Das internationale Standardisierungskonsortium Trusted Computing Group (TCG) hat auf der Fachmesse Interop in Las Vegas eine neue Spezifikation für seine Softwareplattform Trusted Network Connect (TNC) angekündigt. Auf Basis dieses Standards entwickelte Produkte sollen sich direkt mit Microsofts proprietärer NAP-Infrastruktur (Network Access Protection) integrieren lassen. Auf diese Weise könnte die Einbindung einer Vielzahl heterogener Techniken für Network Access Control (NAC) erleichtert und die Installation wie auch die Verwaltung der Tools vereinfacht werden.

Konzertierte Endpoint-Kontrolle

NAC-Produkte sollen Endgeräte wie PCs oder Laptops vor der Anmeldung am Firmennetz identifizieren, authentifizieren und gewährleisten, dass sie bestimmte Sicherheitsprüfungen durchlaufen. Darüber hinaus versprechen diese Systeme, etwa durch Scans nach Anomalien der Verbreitung von Malware via infizierte Endgeräte entgegenzuwirken. Auf Anwenderseite wächst indes die Frustration über die mangelnde Interoperabilität der bereits seit einigen Jahren erhältlichen NAC-Produkte.

Dank der Verbindung des mittlerweile weithin unterstützten TCG-Standards und Microsofts NAP – letzteres ist fester Bestandteil des Desktop-Betriebssystems Vista und auch für die kommenden Windows-Server der Redmonder geplant – sollen NAC-Tools künftig eher das leisten können, was sie versprechen. Nach Angaben von Steve Hanna, Mitglied der TNC-Arbeitsgruppe von TCG und Engineer bei Juniper Networks, wird die neue Spezifikation die Implementierung spürbar erleichtern und Interessenten eine größere Anbieterauswahl bescheren.

Cisco noch nicht im Boot

Cisco Systems, das sich mit seinem Network Admission Control im NAC-Segment selbst als führend bezeichnet, hat keine Unterstützung für die TCG-Spezifikation zugesagt, aber bereits eine NAP-betreffende Partnerschaft mit Microsoft angekündigt. Support von Seiten des Netzriesen für die TCG-Plattform wäre ideal, räumt Hanna ein. Seit einigen Jahren koexistierten nun drei separate, miteinander nur begrenzt kompatible NAC-Architekturen. Langfristiges Bestreben sei es, alle drei Techniken unter einen Hut zu bringen – aber schon das Alignment zweier Konzepte zur Netzzugangskontrolle sei ein Riesenschritt nach vorn.

Um den neuen Standard "IF-TNCCS-SOH" zu ermöglichen, hat Microsoft, selbst TCG-Mitglied, sein NAP-Client-Server-Protocol "Statement of Health" (SOH) dem Konsortium gegenüber offen gelegt. Konkret soll die Spezifikation die Interoperabilität von NAP-Clients und -Servern mit TNC-konformen Clients, Servern und Infrastruktur gewährleisten. So soll damit etwa der konzertierte Einsatz von Juniper Networks UAC-Produkte (Unified Access Control) und den in Vista eingebauten NAP-Funktionen möglich sein. Anwendern von Microsofts Windows XP sollen Letztere über ein Service-Pack-Update im Lauf dieses Jahres ebenfalls zur Verfügung stehen.

Um von den Vorzügen des neuen TCG-Standards zu überzeugen, gibt es von einigen involvierten Anbietern bereits Integrationsszenarien. So zeigt Juniper beispielsweise, wie sein "Infranet Controller", der zentrale Policy-Management-Server seiner UAC-Produktlinie, die Security-Assessment-Funktionen in Vista nutzen kann. Eine UAC-Version, die den jüngsten TCG-Standard unterstützt, soll voraussichtlich in der ersten Hälfte 2008 auf den Markt kommen. (kf)