presentation.tex

   1 \documentclass[]{beamer}
   2
   3 \usepackage[utf8]{inputenc}
   4 \usepackage{ngerman}
   5 \usepackage{pgf}
   6 \usepackage{url}
   7 \usepackage{colortbl}
   8
   9 \mode<presentation>
  10 \useoutertheme[footline=authorinstituteframenumber,subsection=false]{tubs}
  11 \setbeamertemplate{table of contents}[ball]
  12 \setbeamertemplate{items}[ball]
  13 \setbeamertemplate{navigation symbols}{}
  14
  15 %%\setbeamertemplate{blocks}[rounded][shadow=true]
  16
  17 \mode<all>
  18
  19 \title{Sicherheit in eduroam}
  20 \subtitle{Seminar Kommunikation und Multimedia, Sommersemester 2010}
  21 \author{Roland Hieber}
  22 \institute[IBR, TU Braunschweig]{Institut für Betriebssysteme und Rechnerverbund\\
  23   Technische Universität Braunschweig}
  24
  25 \date{\today}
  26
  27 % TODO BOXEN!!!!!
  28 \begin{document}
  29
  30 \frame{\titlepage}
  31
  32 \section*{Überblick}
  33
  34 \begin{frame}
  35   \frametitle{Überblick}
  36   \tableofcontents
  37 \end{frame}
  38
  39 \section{Einführung}
  40 \begin{frame}
  41  \frametitle{Was ist eduroam?}
  42
  43  \begin{itemize}
  44   \note{foo}
  45    \item<1-> "`\emph{edu}cational \emph{roam}ing"'
  46    \item<2-> Verbund aus den Organisationen nationaler Forschungsnetze
  47    \begin{itemize}
  48      \item TERENA -- Trans-European Research and Education Networking Association
  49    \end{itemize}
  50    \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung // Internetzugang
  51    \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung)
  52  \end{itemize}
  53 \end{frame}
  54
  55 \begin{frame}
  56   \frametitle{Verbreitung}
  57   \begin{figure}[h]
  58     \centering
  59     \includegraphics[width=.8\textwidth]{eduroam-map.png}
  60     \caption{Karte der teilnehmenden Länder \cite{eduroam.org}}
  61   \end{figure}
  62 \end{frame}
  63
  64 \section{Architektur}
  65 % TODO SERVICE / IDENTITY PROVIDER
  66 \begin{frame}
  67 \frametitle{IEEE 802.1X}
  68   \begin{figure}
  69     \centering
  70     \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
  71 % TODO: Quellen bei Bildern
  72     \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
  73     \label{fig:8021X}
  74   \end{figure}
  75   \begin{enumerate}
  76     \item<1-> Rechner (Supplicants) müssen sich authentifizieren
  77     \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten
  78     \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen
  79   \end{enumerate}
  80 \end{frame}
  81
  82 \begin{frame}
  83   \frametitle{IEEE 802.1X: Detail}
  84   \begin{figure}
  85     \centering
  86     \includegraphics[width=\textwidth]{8021X-ports.png}
  87     %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
  88     \label{fig:8021Xports}
  89   \end{figure}
  90   Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
  91 \end{frame}
  92
  93 \begin{frame}
  94   \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
  95   Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt
  96   % TODO
  97 \end{frame}
  98
  99 \begin{frame}
 100   \frametitle{EAP-TLS}
 101   % TODO
 102 \end{frame}
 103
 104 \begin{frame}
 105   \frametitle{EAP-TTLS}
 106   Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt
 107   % TODO
 108 \end{frame}
 109
 110 \begin{frame}
 111   \frametitle{RADIUS}
 112   \begin{itemize}
 113     \item Remote Authentication Dial-In User Service
 114     \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
 115     \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
 116       anderen Server weiterleiten
 117   \end{itemize}
 118   \only<4->{\begin{figure}
 119     \centering
 120     \includegraphics[width=0.4\textwidth]{eduroam-radius.png}
 121     %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
 122     \label{fig:eduroam-radius}
 123   \end{figure}}
 124 \end{frame}
 125
 126 \begin{frame}
 127   \frametitle{Autorisierung anhand weiterer Benutzerattribute}
 128 %   \begin{figure}[htb]
 129 %     \centering
 130 %     \includegraphics[width=0.4\textwidth]{tnc-arch.png}
 131 %     %\caption{TNC-Architektur~\cite{10.1109/NSS.2009.47}}
 132 %     \label{fig:tnc}
 133 %   \end{figure}
 134   \begin{itemize}
 135     \item \emph{Integrity Management Collector (IMC)}: sammelt Attributdaten auf dem Client-System (z.~B. ob ein Virenscanner installiert ist)
 136     \item \emph{Integrity Management Verifier (IMV)}: prüft, ob die übertragenen Attributdaten mit den vom Systemadministrator vergebenen Richtlinien übereinstimmen
 137     \item \emph{Network Access Requestor (NAR)}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~802.1X Supplicant).
 138     \item \emph{Network Access Authority (NAA)}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $\Rightarrow$ im RADIUS-Server integriert
 139   \end{itemize}
 140 \end{frame}
 141
 142 \section{eduGAIN}
 143 \begin{frame}
 144   \frametitle{eduGAIN}
 145   \begin{figure}[htb]
 146     \centering
 147     \includegraphics[width=0.6\textwidth]{edugain-arch.png}
 148 %     \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
 149     \label{fig:edugain}
 150   \end{figure}
 151   \begin{itemize}
 152     \item Regelung des Zugriffs über manuell zugewiesene Attribute
 153     \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
 154     \begin{itemize}
 155       \item Abstraktion der institutionsspezifischen Protokolle
 156     \end{itemize}
 157   \end{itemize}
 158 \end{frame}
 159
 160 \section{Sicherheitsbetrachtungen}
 161 \begin{frame}
 162   \frametitle{Sicherheitsbetrachtungen}
 163   \begin{itemize} % TODO aufbohren, details
 164     \item Denial of Service durch gefälschte EAPOL-Pakete
 165     \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
 166     \item<3-> RADIUS-Root-Server ist Single Point of Failure
 167     \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
 168   \end{itemize}
 169 \end{frame}
 170
 171 \section{Ausblick}
 172 \begin{frame}
 173   \frametitle{Ausblick}
 174   \begin{itemize}
 175     \item eduroam-ng (\emph{eduroam next generation})
 176     \item<2-> Migration RADIUS $\rightarrow$ RadSec % was ist das? sicherheit?
 177     \begin{itemize}
 178       \item<3-> Gesicherte Kommunikation zwischen RADIUS-Servern
 179       \item<4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (\url{_radiustls._tcp.idp.org}) $\Rightarrow$ kein SPoF mehr
 180     \end{itemize}
 181   \end{itemize}
 182 \end{frame}
 183
 184 \begin{frame}
 185   \centerline{\bf\LARGE Vielen Dank für die Aufmersamkeit!}
 186 \end{frame}
 187
 188 \begin{frame}
 189   \frametitle{Quellenangaben}
 190 % TODO eap, radius, ieee-quellen
 191   \bibliographystyle{plain}
 192   \bibliography{lit}
 193 \end{frame}
 194
 195 \end{document}