ESUKOM Best Practice Report

Bericht AP5: „Best-Practise“-
Dokument
überprüft. Hierzu verbindet sich ein mobiles Endgerät über einen der Access Points im
internen Netz mit dem Patientendienst. Innerhalb der Sicherheitsrichtlinien für diesen
Zugriff wurde festgelegt, dass dieser nur von mobilen Endgeräten durchgeführt werden
darf, welche a) die entsprechenden Capability-Metadaten besitzen und b) über den
Access Point innerhalb der Patientenräume mit den internen Netz verbunden sind (und
nicht über den Access Point innerhalb der Cafeteria). Die Kommunikationswege sind in
Abbildung 15 abgebildet.
Abbildung 15: Zugriff über einen WLAN-Access-Point
Die Initiale Abfrage der Capability-Metadaten verläuft in diesem Fall analog zur Abfrage
im 1. Anwendungsfall, allerdings werden hier die Capability-Metadaten durch macmon im
Metadatengraphen veröffentlich. Sobald ein Zugriff erfolgt werden entsprechende
Metadaten vom Daten-Dienst innerhalb des Metadatengraphen veröffentlicht. Die
Detection Engine wertet diese Ergebnisse aus und prüft, ob der entsprechende Zugriff
von einen Gerät aus erfolgte, welches über den Access Point im Patientenbereich mit
dem internen Netz verbunden ist. Wenn dies nicht der Fall sein sollte, werden von der
Detection Engine entsprechende Alert-Metadaten veröffentlich, welche wiederum durch
den iptables-IF-MAP-Client abgefragt werden und ein Enforcement des Endgerätes zur
Folge haben. Die von der Detection Engine abgefragten Metadaten des macmon-IF-
MAP-Client bzgl. des aktuell benutzten Access Points sind in Abbildung 16 aufgeführt,
die abgefragten Metadaten sind dabei rot markiert.
Copyright ESUKOM-Konsortium 2010-2012 Seite 28