Trusted Network Connect (TNC) - Prof. Dr. Norbert
Pohlmann
Trusted Network Connect (TNC)
Inhaltsverzeichnis
Was ist Trusted Network Connect (TNC)?
Trusted Network Connect (TNC) Bei einer Kommunikation über unsichere Netzwerke müssen alle an der Kommunikation beteiligten Nutzer und IT-Systeme vertrauenswürdig sein. Dabei handelt es sich neben den beteiligten Nutzern und den eingesetzten IT-Systemen (Endpunkte) auch um sämtliche Netzelemente wie Hubs, Switches, Router und Firewall-Systeme. Die Vertrauenswürdigkeit eines IT-Systems beziehungsweise Netzelements ist hauptsächlich von seiner Integrität abhängig. Das bedeutet, dass ein Endpunkt nur vertrauenswürdig sein kann, wenn alle Systemkomponenten, das heißt, Hard- und Software (vorhandene Einsteckkarten, Betriebssystem, Anwendungen usw.), in einem unverfälschten und nicht-kompromittierten Zustand sind. Das Problem dabei ist, dass heutzutage eine Kompromittierung nicht direkt, sondern nur indirekt über weitere Software verhindert wird und messbar ist. Dies geschieht zum Beispiel durch die Nutzung einer aktuellen Anti-Malwarelösung und einer Personal-Firewall. Nur solange diese Programme installiert sind und einen aktuellen Datenstand aufweisen, kann die Wahrscheinlichkeit einer Kompromittierung als gering betrachtet werden. Dabei muss bedacht werden, dass eine vorhandene Integrität keinen standardisierten Zustand eines IT-Systems darstellt. Vielmehr ist die Integrität von den Sicherheitsrichtlinien (Policys) der Kommunikationspartner abhängig. So kann ein Betreiber eines Netzwerkes die Integrität eines IT-Systems durch die Nutzung eines aktuellen Betriebssystems und definierten Anwendungen als bewiesen ansehen, während ein anderer Betreiber zum Beweis der Integrität eine zusätzliche installierte Anti-Malware-Lösung, Personal Firewall usw. verlangt. Genau hier setzen die neuen Konzepte zur Etablierung vertrauenswürdiger Netzwerkverbindungen an. Sie ermöglichen eine Überprüfung der Konfiguration der Endpunkte schon beim Aufbau einer Netzwerkverbindung. Welche Konfigurationen aus Hard- und Software in einem Netzwerk erlaubt sind, kann vom Netzbetreiber über Policys festgelegt werden. Nur bei Erfüllung der Policys wird einem anfragenden Endgerät ein Zugriff auf das Netzwerk mit seinen Diensten gewährt.
Bei diesen neuen Sicherheitskonzepten kann von einem Wechsel der Schutz-Strategie von Netzwerken und deren Dienste gesprochen werden. Durch die Überprüfung der IT-Systeme vor dem Netzzugriff findet ein Wechsel von der Gefahren-Reaktion hin zur Prävention statt. Während heute mit Intrusion-Detection-Systemen (IDS) versucht wird, anhand von abnormalen Messwerten im Netzwerkverkehr kompromittierte IT-Systeme zu erkennen (Reaktion), verhindern die präventiven Sicherheitskonzepte, dass IT-Systeme mit einer fehlerhaften oder unerwünschten Systemkonfiguration und somit einer eventuellen Kompromittierung überhaupt in das Netz gelangen und die dort vorhandenen Dienste nutzen können.
Es existieren mehrere Ansätze, die eine Integritätsprüfung zur Erhöhung der Vertrauenswürdigkeit bieten. Die wohl wichtigsten Vertreter sind Trusted Network Connect (TNC), Microsoft NAP und Cisco NAC. Mit der Trusted Network Connect-Spezifikation (TNC) entwickelt die Trusted Computing Group einen Ansatz zur Realisierung vertrauenswürdiger Netzwerkverbindungen. Die Entwicklung findet durch die Trusted Network Connect-Subgroup statt. Ziel ist die Entwicklung einer offenen, herstellerunabhängigen Spezifikation zur Überprüfung der Endpunkt-Integrität. Dieser Ansatz wird im Folgenden genauer beschrieben. Die Firma Microsoft entwickelt mit der „Microsoft Network Access Protection“ (Microsoft NAP) eine Lösung einer policybasierten Zugriffssteuerung. Cisco Network Admission Control (Cisco NAC) ist Teil der „Self-Defending Network“-Strategie und gehört ebenfalls zu den policybasierten Zugriffssteuerungen. Die durch die Trusted Computing Group vorangetriebene Trusted Network Connect-Spezifikation (TNC) soll als offene und herstellerunabhängige Spezifikation die Realisierung von vertrauenswürdigen Netzwerkverbindungen ermöglichen. TNC versucht dabei nicht, vorhandene Sicherheitstechnologien zu ersetzen, sondern auf diese aufzusetzen. So werden beispielsweise Sicherheitstechnologien für den Netzwerkzugriff („802.1x“ und „VPN“), für den Nachrichtentransport („EAP“, „TLS“ und „HTTPS“) und für die Authentifizierung („Radius“ und „Diameter“) unterstützt. Durch diese Eigenschaften soll sich TNC leicht in bestehende Netzinfrastrukturen integrieren lassen.
Phasen – Trusted Network Connect (TNC)
Alle durch TNC bereitgestellten Funktionen lassen sich in drei Phasen einordnen.
Assessment-Phase Die Assessment-Phase umfasst alle Aktionen vom Versuch eines Verbindungsaufbaus zu einem TNC-geschützten Netzwerk bis zur Entscheidung über dessen Vertrauenswürdigkeit. In dieser Phase werden Messwerte vom IT-System an einen Server im Netzwerk gesendet und dort anhand von Policys verglichen. Durch diesen Vergleich ist eine Entscheidung über die Vertrauenswürdigkeit möglich.
Isolation-Phase Wird das IT-System, bei Nichterfüllung der Policys, als nicht-vertrauenswürdig eingestuft, gelangt es in die Isolation-Phase. In dieser Phase wird das zugreifende IT-System in einen geschützten Netzwerkbereich isoliert, der vom restlichen Netz abgeschottet ist. Eventuell mit Malware kompromittierte IT-Systeme oder IT-Systeme von Angreifern erlangen so keinen Zugriff auf das Netzwerk und die dort angebotenen Dienste.
Remediation-Phase Die Remediation-Phase bietet den isolierten IT-Systemen die Möglichkeit, ihre Integrität, zum Beispiel über die Installation fehlender Sicherheitssoftware, wiederherzustellen, und nach einer erneuten Überprüfung Zugriff auf das Netzwerk mit seinen angebotenen Dienste zu erlangen. Sowohl die Isolation- als auch die Remediation-Phase sind durch die TNC-Spezifikation nicht vorgeschrieben und müssen somit nicht zwangsläufig implementiert werden.
Struktur – Trusted Network Connect (TNC)
Grundsätzlich wird in der TNC-Spezifikation zwischen drei Elementen unterschieden. Das IT-System, mit dem eine Netzwerkverbindung zu einem TNC-Netzwerk aufgebaut werden soll, wird Access Requestor (AR) genannt. Auf dem Access Requestor befinden sich TNC-Komponenten für Verbindungsanfrage, Messwertermittlung und Messwertübermittlung. Die Messung der einzelnen Komponenten des IT-Systems findet durch sogenannte „Integrity Measurement Collectors (IMC)“ statt. Für jede zu messende sicherheitsrelevante Komponente oder Cyber-Sicherheitslösung existiert dabei ein passender IMC, beispielsweise einer für das installierte Betriebssystem und SW-Anwendungen, für die installierte Hardware, Anti-Malwarelösung und einer für die Personal-Firewall. Zum Systemstart werden die IMCs vom TNC-Client auf dem zugreifenden IT-System initialisiert, um bei einem Verbindungsaufbau Messwerte von den jeweiligen Komponenten sammeln zu können. Die Art der möglichen Messwerte ist dabei zunächst nicht begrenzt. Bei einer Anti-Malware-Lösung können zum Beispiel Informationen über Hersteller und Alter der Malware-Signatur wichtig sein, bei einem angeschlossenen Drucker die Version der Firmware.
Aufseiten des Netzwerks existieren zwei TNC-Elemente: Der Policy Decision Point (PDP) stellt die Gegenseite zum Access Requestor (AR) dar. Es handelt sich dabei um einen Server, der die Aufgabe hat, die Messwerte eines Access Requestors zu sammeln und mithilfe von Policys eine Zugriffsentscheidung zu formulieren. Diese Entscheidung wird anschließend der ausführenden Stelle für den Zugriff mitgeteilt. Die Network Access Authority (NAA) im Policy Decision Point entscheidet, ob ein AR Zugriff bekommen soll oder nicht. Dazu fragt der Networt Access Authority (NAA) den TNC-Server, ob die Integritätsmessungen des ARs mit der Security Policy übereinstimmen. Auf dem PDP stellen sogenannte „Integrity Measurement Verifier (IMV)” das Gegenstück zu den IMCs des AR dar. Auch hier existieren mehrere IMVs für die unterschiedlichen Aspekte und Cyber-Sicherheitskomponenten und Cyber Sicherheitslösungen. Für jeden zu überprüfenden Aspekt und jede Cyber-Sicherheitskomponente muss es, neben dem IMC, auch einen passenden IMV geben. Damit ein IMC die richtigen Messwerte sammeln kann, bedarf es einer sehr genauen Kenntnis der zu messenden Hardware/Software. Diese Kenntnis besitzt meist nur der Hersteller von Hardware beziehungsweise Software. Daher ist eine direkte Verbindung zum Hersteller eines IMC sehr hilfreich. Die IMVs vergleichen die übermittelten Messwerte anhand der in den Policys festgelegten Regeln und teilen ihr Ergebnis dem TNC-Server im PDP mit. Dieser kann mit diesen Teilergebnissen eine Entscheidung über den Zugriff auf das Netzwerk mit seinen Diensten treffen und diese Gesamtentscheidung dem Policy Enforcement Point (PEP) über die Network Access Authority (NAA) mitteilen. Der Policy Enforcement Point (PEP) ist das TNC-Element am Eintrittspunkt des Netzes. Seine Aufgaben sind die Entgegennahme und Weiterleitung von Verbindungsanfragen sowie die Ausführung der Handlungsentscheidung des PDPs. Der PEP stellt als Eintrittspunkt den zuerst zu adressierenden Verbindungspunkt des Netzwerkes dar. Ankommende Verbindungsanfragen eines AR werden direkt an den PDP weitergeleitet. Nachdem ein PDP seine Entscheidung über die Vertrauenswürdigkeit des AR getroffen hat, teilt er diese dem PDP mit, der gemäß dieser Entscheidung handeln muss. Ein PEP kann laut TNC-Spezifikation sowohl ein eigenständiges IT-System als auch in den PDP oder in ein anderes Netzwerk-Equipment integriert sein. Dadurch wird es möglich, den PEP zum Beispiel flexibel direkt in ein VPN-Gateway zu integrieren oder, um vorhandene Netzwerkstrukturen unberührt zu lassen, vor beziehungsweise hinter diesem Gateway zu platzieren. Wenn AR und PDP auf einer vertrauenswürdigen Basis arbeiten, kann den gemessenen Messwerten eine höhere Echtheit zugesprochen werden, weil diese nicht manipuliert werden können. Damit wird der Lying Endpoint-Problematik entgegengewirkt.
Weitere Informationen zum Begriff “Trusted Network Connect (TNC)”:
Trusted Network Connect-Spezifikation (TNC) soll als offene Spezifikation die Realisierung von vertrauenswürdigen Netzwerkzugängen ermöglichen. TNC versucht dabei nicht, vorhandene Sicherheitstechnologien zu ersetzen, sondern auf diese aufzusetzen.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Trusted Network Connect (TNC) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten