Enklere å sikre og administrere

Enklere å sikre og administrere

For et par år siden spesifiserte Trusted Computing Group IF-MAP. Er det en protokoll å bry seg om?

Opprinnelig ble IF-MAP, Interface to Metadata Access Point, en SOAP-basert protokoll spesifisert for å sikre endepunkter: Hvem er du, hvilke rettigheter ber du om, er du patchet og så videre. Men i det siste er protokollen vist seg nyttig innenfor nettverksadministrasjon, og gjør det betydelig enklere. Og det er det en del som bryr seg om.

Utgangspunktet for IF-MAP var å få til en løsning på at sikkerhetssystemer tidligere i hovedsak var «siloer». De enkelte løsningene eksisterte hver for seg, og fungerte ikke sammen: Brannmuren kommuniserte ikke med IDS, antivirus og autentiseringssystemet kjente ikke til hverandre, og så videre.

Med NAC, Network Access Control, ble dette noe bedre. Men NAC er fortsatt en reise hvor målet ikke er nådd ennå. Vel blir pc-en ikke godkjent av autentiseringssystemet om den ikke er patchet, men det er fortsatt deler av nettverket som burde bli bedre på å kommunisere hva de er, og hva de gjør.

Gir beskjed i sanntid

Og det er nettopp hva IF-MAP gjør. Spesifikasjonen definerer en standard SOAP-basert protokoll som enheter i nettverket kan bruke til å kommunisere med en felles database, Metadata Access Point (MAP). Ved å bruke denne protokollen og databasen kan forskjellige enheter i nettverket dele sanntids informasjon om brukere, hvilke enheter de benytter, om noen bryter policy, utstyrets helsetilstand og mye annet.


Her er et eksempel på hvordan enheter kan kommunisere seg i mellom med IF-MAP.

Det er lett å se at dette kan gi kraftige løsninger med hensyn til sikkerhet. Når adkomstsystemet og autentiseringssystemet samarbeider med DHCP-serveren er det lett å oppdage om en bruker som er registrert på hjemmekontoret plutselig plugger seg på nettet.

Ikke bare sikkerhet

Når alle enhetene i et nettverk kan identifisere seg, ville det ikke da være lurt om de også kunne gis beskjeder eller kommandoer? Altså å kunne lage et administrasjonssystem som er basert på mer «intelligent» styring enn SNMP.

Infoblox var først ute med IF-MAP-server, Juniper støtter også IF-MAP og har lagt inn støtte for det i nyere enheter. Open Cloud Consortium har lagt opp til interoperatibilitetstester. Trusted Computing Group jobber for å få IF-MAP godkjent av Internet Engineering Task Force (IETF).

En IF-MAP-klient kan gjøre tre ting: Publisere, søke og abonnere. Dette er funksjonene som brukes til å legge data til MAP-serveren og få MAP-serveren til å gi beskjed når noe skjer.

MAP-databasen inneholder tre typer objekter: Identifiserere, metadata og lenker. Identifiserere er globale unike verdier i et datasett, for eksempel en IP-adresse, MAC-adresse eller annet som identifiserer enheten.

Lenker er den unike assosiasjonen mellom to identifiserere, mellom en IP-adresse og en MAC-adresse. Metadata er informasjon som er assosiert med en identifiserer eller lenke. Det er flere typer metadata som er definert i versjon 1.1 av IF-MAP, som tilgangsforespørsel, autentisert som/av, egenskaper, lag 2 informasjon, rolle og flere andre.

Selv om implementeringen av IF-MAP bare er i startgropen, mener tilhengerne at den er så enkel å implementere at den snart blir dagligdags.

Trusted Computing Group

Trusted Computing Group (TCG) er etterfølgeren til Trusted Computing Platform Alliance (TCPA), et initiativ startet i 1999 av blant annet Intel, AMD, IBM, Hewlett-Packard, Microsoft og Sun. TCG er en ideell organisasjon hvis hovedformål er å arbeide for å utvikle, definere og promotere såkalt «Trusted computing».

Nå er Trusted Computing støttet av mange av de viktigste aktørene i bransjen, særlig når det gjelder maskinvare, som harddiskkryptering, endepunktssikkerhet og autentisering. Trusted Platform Module, TPM-brikken, sitter i de fleste bærbare pc-er laget etter 2006 og på mange hovedkort.

Kritikere av Trusted Computing finnes i enkelte akademiske kretser og miljøer rundt åpen kildekode. For eksempel bruker Richard Stallman begrepet «treacherous computing». Kritikken går på at det vil være mulig å utnytte teknikkene til å lukke maskiner også for brukere som skal ha full tilgang, og til å håndeve rettigheter utenfor brukerens kontroll.

At TCG har utviklet protokollen IF-MAP er imidlertid mindre kontroversielt.

Les om:

Nettverk