Verbesserte Netzwerksicherheit dank Trusted Network Connect

Nach Angaben der Trusted Computing Group liegt das Fernziel in der Entwicklung einer offenen und herstellerunabhängigen Spezifikation zur Überprüfung der Endpunkt-Integrität. Diese Überprüfung sei grundlegend zur Feststellung der Vertrauenswürdigkeit eines Rechnersystems. Zusätzlich bietet die TNC-Spezifikation erweiterte Sicherheitsmechanismen für die Zugriffskontrolle.

So definiert die TNC-Architektur drei verschiedene Komponenten. Neben Access Requestor (AR) sind dies Policy Decision Point (PDP) sowie Policy Enforcement Point (PEP). TNC soll dabei keine vorhandenen Sicherheitstechnologien ersetzen, sondern auf ihnen aufbauen. So werden beispielsweise aktuelle Sicherheitstechnologien für den Netzwerkzugriff (802.1x und VPN), für den Nachrichtentransport (EAP, TLS und HTTPS) und für die Authentifizierung unterstützt.

Durch diese Eigenschaften soll sich TNC leicht in bestehende Netzinfrastrukturen integrieren lassen. Welche Hard- und Software in einem Netzwerk erlaubt ist, kann vom Netzbetreiber über Policies fesgelegt werden. Beispielsweise lassen sich aktuelle Virenscanner zur Bedingung machen oder lokal angeschlossene Drucker untersagen.

Das Rechnersystem, das eine Verbindung zum Netzwerk aufbauen soll, wird als Access Requestor (AR) bezeichnet. Das Gegenstück dazu bietet der Policy Decision Point (PDP). Direkt am Zugriffspunkt zum Netzwerk befindet sich der Policy Enforcement Point (PEP). Als „mission critical“ erweist sich die Authentifizierung beziehungsweise Autorisierung für das Virtual Private Network (VPN). Bekanntlich benötigt der User hierfür Credentials wie Benutzername und Passwort.

TNC versucht nun, in diesen Prozess verschiedene Module zwischenzuschalten. So sendet etwa der VPN-Client seine Credentials zum VPN-Gateway, der wiederum mit einer Access-Request-Nachricht an einen RADIUS-Server aufwartet. Dieser nutzt etwa einen Verzeichnisdienst (DS), um das Zugriffsrecht zu prüfen. Der RADIUS erfragt die Logindaten wiederum vom Verzeichnisdienst. Er prüft die Credentials und sendet eine Nachricht ans VPN-Gateway.

Besitzt die Zielperson die nötigen Zugriffsrechte, so erhält der Nutzer einen verschlüsselten und sicheren Zugriff ins Netzwerk. Allerdings geschehe dies mit der Einschränkung, dass auch Malware auf den Access Requestor (AR) gelangen oder ein Angreifer mit gestohlenem Token oder Passwort sich ebenfalls einloggen könne, erläutert Pohlmann. Folglich gilt es, weitere Stufen in der Absicherung zu erklimmen.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…

4 Tagen ago

Apple schließt Zero-Day-Lücken in iOS, iPadOS und macOS

Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…

4 Tagen ago

Gefährliche Anzeigen für Passwortmanager Bitwarden verbreiten Malware

Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…

5 Tagen ago

Public Cloud: Gartner erwartet 2025 weltweite Ausgaben von 723 Milliarden Dollar

Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.

5 Tagen ago

iPhone 15 ist bestverkauftes Smartphone im dritten Quartal

Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…

5 Tagen ago