PlugFest 2014 der TCG fand beim Fraunhofer SIT in Darmstadt statt

SIMU-Partner nehmen erfolgreich am PlugFest der Trusted Computing Group (TCG) teil

Zwischen dem 01. und 03. April fand erneut das PlugFest der Trusted Computing Group (TCG) in Darmstadt beim Fraunhofer SIT statt. Unternehmensvertreter und Forscher testeten in drei Tagen ihre Entwicklungen im Bereich IF-MAP, um die Interoperabilität zwischen den verschiedenen Komponenten zu analysieren. Dieses Mal waren drei Teilnehmer des aktuellen Forschungsprojektes SIMU an dem PlugFest beteiligt. Die DECOIT GmbH testete ihren eigenen Open-Source-basierten IF-MAP-Clients, macmon secure ihre NAC-basierte IF-MAP-Lösung und die Hochschule Hannover (HsH) ihren MAP-Server "irond".

IF-MAP-Tests beim PlugFest 2014^

Das PlugFest findet grundsätzlich zweimal im Jahr statt und wird von der Trusted Computing Group (TCG) organisiert, die Juniper in der Arbeitsgruppe Trusted Network Connects (TNC) federführend begleitet. Normalerweise finden diese Tests in den USA statt, so dass nun schon zum dritten Mal eine Ausnahme gemacht wurde. In den letzten beiden Jahren wurde das PlugFest in Darmstadt beim Fraunhofer SIT bereits erfolgreich durchgeführt. Dieses Mal kam es letztendlich zu einem inoffiziellen SIMU-Partnertreffen, da das PlugFest in diesem Jahr ausschließlich mit den Partnern Hochschule Hannover, macmon secure gmbh, DECOIT GmbH und Fraunhofer SIT stattfand. 

Das IF-MAP-Protokoll selbst ist eine Erweiterung des TNC-Standards, der sich mit der sicheren Verbindung mit einem Netzwerk auseinandersetzt. Während TNC darauf abzielt eine Trusted-Umgebung zu schaffen, geht IF-MAP einen Schritt weiter und nutzt Metadaten, um zentral Sicherheitsinformationen bereitzuhalten. Dadurch lassen sich auch Randbedingungen einer Sicherheitsrichtlinie mit verwenden, um z.B. feststellen zu können, ob ein Angriff auf ein Unternehmensnetz vorliegt, obwohl keine direkte Schutzverletzung vorhanden ist. Ausgewertet werden dafür Informationen verschiedener Sicherheitskomponenten, die dafür einen IF-MAP-Client besitzen müssen. Der MAP-Server sammelt die Informationen der IF-MAP-Clients und korreliert die Daten miteinander. Es sind daher beide Komponenten notwendig.

Tests unter Aufsicht der TCG

Während des ersten Tages wurden die virtuellen Maschinen (VM) vorbereitet und die Switch-Plattform konfiguriert. Anschließend konnten bereits erste Tests gestartet und erfolgreiche Kommunikation zwischen den IF-MAP-Komponenten vermeldet werden. Die DECOIT GmbH hatte dieses Mal die Eigenentwicklungen der IF-MAP-Clients von Snort, Nagios, OpenVPN, iptables und Android mit an Bord. Die fünf IF-MAP-Clients der DECOIT wurden gegen den MAP-Server der Hochschule Hannover analysiert. Dabei waren die Tests der DECOIT GmbH allesamt erfolgreich. Auch macmon konnte erfolgreiche Testverläufe vermelden. Am zweiten Tag ging es dann um die Vervollständigung der Tests. Es wurden dabei auch vorhandene VMs anderer Hersteller, die nicht vor Ort anwesend waren, mit den eigenen IF-MAP-Komponenten getestet. Es konnten so die bisherigen Weiterentwicklungen positiv evaluiert werden.

Das PlugFest war für die Teilnehmer wieder ein Erfolg, auch wenn die Beteiligung dieses Mal relativ gering ausfiel. Die Tests wurden alle von der "TCG Certification" aufgenommen, bewertet und im Anschluss an die TCG weitergeleitet. Dadurch können interoperable Komponenten im TNC- und IF-MAP-Umfeld auch weiterhin entwickelt werden. Dabei bleibt zu wünschen, dass die bisherhigen IF-MAP-Hersteller auch weiterhin die interessante Spezifikation in ihre Komponenten einpflegen werden. Das SIMU-Projekt ist auf IF-MAP-Funktionen bei den Sicherheitskomponenten angewiesen, damit diese in einer SIEM-Umgebung zum Einsatz kommen können. Daher wäre es wünschenswert, wenn auch andere Hersteller aus dem Sicherheitsumfeld die Sinnhaftigkeit erkennen würden und IF-MAP zukünftig mit anbieten.