[seminar-bachelor.git] / presentation.tex

\documentclass[]{beamer}

\usepackage[utf8]{inputenc}
\usepackage{ngerman}
\usepackage{pgf}
\usepackage{url}
\usepackage{colortbl}

\mode<presentation>
\useoutertheme[footline=authorinstituteframenumber,subsection=false]{tubs}
\setbeamertemplate{table of contents}[ball]
\setbeamertemplate{items}[ball]
\setbeamertemplate{navigation symbols}{}
%%\setbeamertemplate{blocks}[rounded][shadow=true]

\mode<all>

\title{Sicherheit in eduroam}
\subtitle{Seminar Kommunikation und Multimedia, Sommersemester 2010}
\author{Roland Hieber}
\institute[IBR, TU Braunschweig]{Institut für Betriebssysteme und Rechnerverbund\\
  Technische Universität Braunschweig}

\date{\today}

% TODO BOXEN!!!!!
\begin{document}

\frame{\titlepage}

\section*{Überblick}

\frame{
  \frametitle{Überblick}
  \tableofcontents
}

\section{Einführung}
\frame{
 \frametitle{Was ist eduroam?}

 \begin{itemize}
   \item<1-> "`\emph{edu}cational \emph{roam}ing"'
   \item<2-> Verbund aus den Organisationen nationaler Forschungsnetze
   \begin{itemize}
     \item TERENA -- Trans-European Research and Education Networking Association
   \end{itemize}
   \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung
   \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung)
 \end{itemize}
}

\frame{
  \frametitle{Verbreitung}
  \begin{figure}[h]
    \centering
    \includegraphics[width=.8\textwidth]{eduroam-map.png}
    \caption{Karte der teilnehmenden Länder \cite{eduroam.org}}
  \end{figure}
}

\section{Architektur}

\frame{
\frametitle{IEEE 802.1X}
  \begin{figure}
    \centering
    \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
    %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
    \label{fig:8021X}
  \end{figure}
  \begin{enumerate}
    \item<1> Rechner (Supplicants) müssen sich authentifizieren
    \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten
    \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen
  \end{enumerate}
}

\frame{
  \frametitle{IEEE 802.1X: Detail}
  \begin{figure}
    \centering
    \includegraphics[width=\textwidth]{8021X-ports.png}
    %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
    \label{fig:8021Xports}
  \end{figure}
  Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
}

\frame{
  \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
  Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt
  % TODO
}

\frame{
  \frametitle{EAP-TLS}
  Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TLS darstellt
  % TODO
}

\frame{
  \frametitle{EAP-TTLS}
  Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt
  % TODO
}

\frame{
  \frametitle{RADIUS}
  \begin{itemize}
    \item Remote Authentication Dial-In User Service
    \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
    \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
      anderen Server weiterleiten
  \end{itemize}
  \only<4->{\begin{figure}
    \centering
    \includegraphics[width=0.4\textwidth]{eduroam-radius.png}
    %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
    \label{fig:eduroam-radius}
  \end{figure}}
}

\frame{
  \frametitle{Autorisierung anhand weiterer Benutzerattribute}
%   \begin{figure}[htb]
%     \centering
%     \includegraphics[width=0.4\textwidth]{tnc-arch.png}
%     %\caption{TNC-Architektur~\cite{10.1109/NSS.2009.47}}
%     \label{fig:tnc}
%   \end{figure}
  \begin{itemize}
    \item \emph{Integrity Management Collector (IMC)}: sammelt Attributdaten auf dem Client-System (z.~B. ob ein Virenscanner installiert ist)
    \item \emph{Integrity Management Verifier (IMV)}: prüft, ob die übertragenen Attributdaten mit den vom Systemadministrator vergebenen Richtlinien übereinstimmen
    \item \emph{Network Access Requestor (NAR)}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~802.1X Supplicant).
    \item \emph{Network Access Authority (NAA)}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $\Rightarrow$ im RADIUS-Server integriert
  \end{itemize}
}

\section{eduGAIN}
\frame{
  \frametitle{eduGAIN}
  \begin{figure}[htb]
    \centering
    \includegraphics[width=0.6\textwidth]{edugain-arch.png}
%     \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
    \label{fig:edugain}
  \end{figure}
  \begin{itemize}
    \item Regelung des Zugriffs über manuell zugewiesene Attribute
    \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
    \begin{itemize}
      \item Abstraktion der institutionsspezifischen Protokolle
    \end{itemize}

  \end{itemize}

}

\section{Sicherheitsbetrachtungen}
\frame{
  \frametitle{Sicherheitsbetrachtungen}
  \begin{itemize}
    \item Denial of Service durch gefälschte EAPOL-Pakete
    \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
    \item<3-> RADIUS-Root-Server ist Single Point of Failure
    \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
  \end{itemize}
}

\section{Ausblick}
\frame{
  \frametitle{Ausblick}
  \begin{itemize}
    \item eduroam-ng (\emph{eduroam next generation})
    \item<2-> Migration RADIUS $\rightarrow$ RadSec
    \begin{itemize}
      \item<3-> Gesicherte Kommunikation zwischen RADIUS-Servern
      \item<4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (\url{_radiustls._tcp.idp.org}) $\Rightarrow$ kein SPoF mehr
    \end{itemize}

  \end{itemize}

}

\frame{
  \centerline{\bf\LARGE Thank you!}
}

\frame{
  \frametitle{Quellenangaben}
  \bibliographystyle{plain}
  \bibliography{lit}
}

\end{document}