Schnittstellen-Abstimmung bei macmon secure für das CLEARER-Projekt
Am 26. Juni 2017 trafen sich die Partner des CLEARER-Projektes, welches die DECOIT® GmbH als Konsortialführer leitet, in Berlin bei dem NAC-Hersteller macmon secure, um über die Anbindungsmöglichkeiten des SIEM-Prototypens zu diskutieren. Das Treffen wurde mit einem Statusmeeting kombiniert, so dass alle Partner auch die Entwicklungen der letzten Monate präsentierten. Der Hersteller macmon secure zeigte dabei auch den neusten Status seiner NAC-Lösung und stellte eine kleine Roadmap vor. Dabei zeigte sich das Projekt auf einem guten Weg, auch wenn noch längst nicht alle technischen Hindernisse überwunden sind.
Aktuell stecken die Partner intensiv in der Entwicklung, nachdem die Konzeptionsphase überwunden und eine endgültige Architektur festgelegt werden konnte. Während die IF-MAP-Kollektoren und die Datenhaltung der Ereignisdaten so gut wie abgeschlossen werden konnten, liegen die IT-Compliance-Arbeiten bisher noch rein konzeptionell vor. Auch die visuelle Darstellung mittels SIEM-GUI ist noch nicht fertiggestellt worden, da sich das integrale Ticketsystem verzögert hat. Dafür sind das Datenbankschema und Datensicherungskonzept umgesetzt worden. Insgesamt befindet man sich daher noch im Zeitplan, hat aber nur noch acht Monate Zeit, um alle Anforderungen umzusetzen. Auch die Anbindung an ein NAC-System steht noch aus und sollte in den nächsten Monaten erfolgen.
Das NAC-System von macmon secure stand daher im Mittelpunt des hiesigen Projekttreffens. Einige Neuerungen gab es denn auch zu vermelden. So hat sich die Performance und Skalierbarkeit deutlich verbessert, seitdem die NAC-Lösung auf Java umgesetzt wurde. Auch die Bedrohungserkennung wurde dadurch verbessert und Parallelverarbeitung ermöglicht. Eine topologische Erkennung wurde über CDP-/LLDP-Verarbeitung implementiert sowie eine bessere Endgeräteerkennung mittels WMI, SNMP oder Nmap. Am wichtigsten für das Projekt ist aber die REST-Schnittstelle, die nun endlich die Anbindung von Drittsystemen ermöglicht. Damit wird sich auch der CLEARER-Prototyp verbinden, um Informationen zwischen beiden Systemen austauschen zu können. Ein Szenario wäre beispielsweise, dass CLEARER einen Angriff von einem Endgerät erkennt und ein Enforcement an das NAC-System meldet, welches dann dieses Endgerät von Netz trennt. Dadurch würden sich beide Lösungen optimal ergänzen.
Geplant wurde in dem Statusmeeting, dass ein Technologie-Durchbruch im Juli erfolgen soll, so dass eine Anbindung an das macmon NAC ab Mitte August getestet werden kann. Bis dahin müssen noch einige Hausaufgaben gemacht und ein Testsystem installiert werden. Aufgrund der Nutzung einer REST-Schnittstelle und mittels des IF-MAP-Protokolls scheint sich der Aufwand dafür aber in machbaren Grenzen zu halten, wie abschließend festgestellt wurde.