presentation.tex

   1 \documentclass[]{beamer}
   2
   3 \usepackage[utf8]{inputenc}
   4 \usepackage{ngerman}
   5 \usepackage{pgf}
   6 \usepackage{url}
   7 \usepackage{colortbl}
   8
   9 \mode<presentation>
  10 \useoutertheme[footline=authorinstituteframenumber,subsection=false]{tubs}
  11 \setbeamertemplate{table of contents}[ball]
  12 \setbeamertemplate{items}[ball]
  13 \setbeamertemplate{navigation symbols}{}
  14
  15 %%\setbeamertemplate{blocks}[rounded][shadow=true]
  16
  17 \mode<all>
  18
  19 \title{Sicherheit in eduroam}
  20 \subtitle{Seminar Kommunikation und Multimedia, Sommersemester 2010}
  21 \author{Roland Hieber}
  22 \institute[IBR, TU Braunschweig]{Institut für Betriebssysteme und Rechnerverbund\\
  23   Technische Universität Braunschweig}
  24
  25 \date{\today}
  26
  27 % TODO BOXEN!!!!!
  28 \begin{document}
  29
  30 \frame{\titlepage}
  31
  32 \section*{Überblick}
  33
  34 \begin{frame}
  35   \frametitle{Überblick}
  36   \tableofcontents
  37 \end{frame}
  38
  39 \section{Einführung}
  40 \begin{frame}
  41  \frametitle{Was ist eduroam?}
  42
  43  \begin{itemize}
  44   \note{foo}
  45    \item<1-> "`\emph{edu}cational \emph{roam}ing"'
  46    \item<2-> Verbund aus den Organisationen nationaler Forschungsnetze
  47    \begin{itemize}
  48      \item TERENA -- Trans-European Research and Education Networking Association
  49    \end{itemize}
  50    \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und
  51 Internetzugang
  52    \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
  53 (Benutzerautorisierung)
  54  \end{itemize}
  55 \end{frame}
  56
  57 \begin{frame}
  58   \frametitle{Verbreitung}
  59   \begin{figure}[h]
  60     \centering
  61     \includegraphics[width=.8\textwidth]{eduroam-map.png}
  62     \caption{Karte der teilnehmenden Länder \cite{eduroam.org}}
  63   \end{figure}
  64 \end{frame}
  65
  66 \section{Architektur}
  67
  68 \begin{frame}
  69   \frametitle{Service Provider und Identity Provider}
  70   Grundsätzliche Architektur: Aufspaltung in
  71   \begin{itemize}
  72     \item<1-> Identity Provider
  73       \begin{itemize}
  74        \item<2-> authentifiziert den Benutzer
  75        \item<3-> ``Heiminstitution''
  76       \end{itemize}
  77     \item<4-> Service Provider
  78       \begin{itemize}
  79        \item<5-> stellt den Netzzugang zur Verfügung
  80        \item<6-> ``besuchte'' Institution
  81       \end{itemize}
  82   \end{itemize}
  83 \end{frame}
  84
  85 \begin{frame}
  86 \frametitle{IEEE 802.1X}
  87   \begin{figure}
  88     \centering
  89     \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
  90     \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
  91     \label{fig:8021X}
  92   \end{figure}
  93   \begin{enumerate}
  94     \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren}
  95     \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
  96 Gültigkeit der Login-Daten}
  97     \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die
  98 kontrollierten Ressourcen}
  99   \end{enumerate}
 100 \end{frame}
 101
 102 % \begin{frame}
 103 %   \frametitle{IEEE 802.1X: Detail}
 104 %   \begin{figure}
 105 %     \centering
 106 %     \includegraphics[width=\textwidth]{8021X-ports.png}
 107 %     \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
 108 %     \label{fig:8021Xports}
 109 %   \end{figure}
 110 %   Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
 111 % \end{frame}
 112
 113 \begin{frame}
 114   \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
 115   % TODO
 116   \begin{itemize}
 117     \item Authentifizierungsprotokoll in IEEE 802.1X
 118     \pause
 119     \item Grundsätzlicher Aufbau: \\ \medskip
 120       \begin{tabular}{lr}
 121         \textbf{Authenticator} & \textbf{Supplicant} \\
 122         \hline
 123         EAP-Identity Request $\rightarrow$ & \\
 124         \pause
 125          & $\leftarrow$ EAP-Identity Response \\
 126         \pause
 127       \end{tabular}
 128       \pause
 129       \item Danach: Wahl der Authentifikationsmethode und Authentifikation
 130   \end{itemize}
 131 \end{frame}
 132
 133 \begin{frame}
 134   \frametitle{EAP-TLS}
 135   \begin{itemize}
 136     \item gesicherte Authentifizierung über TLS-Protokoll
 137     \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
 138     \item anschließend Authentifikation über den gesicherten Kanal
 139     \begin{itemize}
 140      \item bspw. durch EAP-CHAP o.~ä.
 141     \end{itemize}
 142   \end{itemize}
 143 \end{frame}
 144
 145 \begin{frame}
 146   \frametitle{EAP-TTLS}
 147   \begin{itemize}
 148     \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
 149     \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
 150     \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
 151     \begin{itemize}
 152       \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
 153       \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
 154     \end{itemize}
 155   \end{itemize}
 156 \end{frame}
 157
 158 \begin{frame}
 159   \frametitle{RADIUS}
 160   \begin{itemize}
 161     \item Remote Authentication Dial-In User Service
 162     \pause
 163 %     \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
 164     \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
 165       anderen Server weiterleiten
 166   \end{itemize}
 167   \only<4->{\begin{figure}
 168     \centering
 169     \includegraphics[width=0.4\textwidth]{eduroam-radius.png}
 170     \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})}
 171     \label{fig:eduroam-radius}
 172   \end{figure}}
 173 \end{frame}
 174
 175 \begin{frame}
 176   \frametitle{Autorisierung anhand weiterer Benutzerattribute}
 177 %   \begin{figure}[htb]
 178 %     \centering
 179 %     \includegraphics[width=0.4\textwidth]{tnc-arch.png}
 180 %     %\caption{TNC-Architektur~\cite{10.1109/NSS.2009.47}}
 181 %     \label{fig:tnc}
 182 %   \end{figure}
 183   \begin{itemize}
 184     \item \emph{Integrity Management Collector (IMC)}: sammelt Attributdaten auf dem Client-System (z.~B. ob ein Virenscanner installiert ist)
 185     \item \emph{Integrity Management Verifier (IMV)}: prüft, ob die übertragenen Attributdaten mit den vom Systemadministrator vergebenen Richtlinien übereinstimmen
 186     \item \emph{Network Access Requestor (NAR)}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~802.1X Supplicant).
 187     \item \emph{Network Access Authority (NAA)}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $\Rightarrow$ im RADIUS-Server integriert
 188   \end{itemize}
 189 \end{frame}
 190
 191 \section{eduGAIN}
 192 \begin{frame}
 193   \frametitle{eduGAIN}
 194   \begin{figure}[htb]
 195     \centering
 196     \includegraphics[width=0.55\textwidth]{edugain-arch.png}
 197      \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
 198     \label{fig:edugain}
 199   \end{figure}
 200   \begin{itemize}
 201     \item Regelung des Zugriffs über manuell zugewiesene Attribute
 202     \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
 203   \end{itemize}
 204 \end{frame}
 205
 206 \begin{frame}
 207   \frametitle{eduGAIN -- Bridged Elements}
 208     \begin{itemize}
 209       \item Protokoll: SOAP (gekapselt in HTTP)
 210       \pause
 211       \item Ziel: Abstraktion der institutionsspezifischen Protokolle
 212     \end{itemize}
 213 %   \end{itemize}
 214 \end{frame}
 215
 216 \section{Sicherheitsbetrachtungen}
 217 \begin{frame}
 218   \frametitle{Sicherheitsbetrachtungen}
 219   \begin{itemize}
 220     \item Denial of Service durch gefälschte EAP-Pakete
 221       \begin{itemize}
 222         \pause
 223         \item EAP-Pakete nicht kryptografisch abgesichert
 224         \pause
 225         \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich
 226       \end{itemize}
 227     \pause
 228     \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
 229   \end{itemize}
 230 \end{frame}
 231
 232 \begin{frame}
 233   \frametitle{Sicherheitsbetrachtungen}
 234   \begin{itemize}
 235     \item RADIUS-Root-Server ist Single Point of Failure
 236       \begin{itemize}
 237         \pause
 238         \item muss redundant ausgelegt sein
 239         \pause
 240         \item andernfalls keine institutionsübergreifende Authentifizierung
 241         \pause
 242         \item behoben in eduroam-ng (siehe unten)
 243       \end{itemize}
 244     \pause
 245     \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
 246       \begin{itemize}
 247         \pause
 248         \item Abhörsicherheit von Benutzerdaten nicht gegeben
 249         \pause
 250         \item behoben in eduroam-ng (siehe unten)
 251       \end{itemize}
 252   \end{itemize}
 253 \end{frame}
 254
 255 \section{Ausblick}
 256 \begin{frame}
 257   \frametitle{Ausblick}
 258   \begin{itemize}
 259     \item eduroam-ng (\emph{eduroam next generation})
 260     \item<2-> Migration RADIUS $\rightarrow$ RadSec % was ist das? sicherheit?
 261     \begin{itemize}
 262       \item<3-> Gesicherte Kommunikation zwischen RADIUS-Servern
 263       \item<4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (\url{_radiustls._tcp.idp.org}) $\Rightarrow$ kein SPoF mehr
 264     \end{itemize}
 265   \end{itemize}
 266 \end{frame}
 267
 268 \begin{frame}
 269   \centerline{\bf\LARGE Vielen Dank für die Aufmersamkeit!}
 270 \end{frame}
 271
 272 \begin{frame}
 273   \frametitle{Quellenangaben}
 274   \small
 275   \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius}
 276   \bibliographystyle{plain}
 277   \bibliography{lit}
 278 \end{frame}
 279
 280 \end{document}