presentation.tex

   1 \documentclass[]{beamer}
   2
   3 \usepackage[utf8]{inputenc}
   4 \usepackage{ngerman}
   5 \usepackage{pgf}
   6 \usepackage{url}
   7 \usepackage{colortbl}
   8
   9 \mode<presentation>
  10 \useoutertheme[footline=authorinstituteframenumber,subsection=false]{tubs}
  11 \setbeamertemplate{table of contents}[ball]
  12 \setbeamertemplate{items}[ball]
  13 \setbeamertemplate{navigation symbols}{}
  14
  15 %%\setbeamertemplate{blocks}[rounded][shadow=true]
  16
  17 \mode<all>
  18
  19 \title{Sicherheit in eduroam}
  20 \subtitle{Seminar Kommunikation und Multimedia, Sommersemester 2010}
  21 \author{Roland Hieber}
  22 \institute[IBR, TU Braunschweig]{Institut für Betriebssysteme und Rechnerverbund\\
  23   Technische Universität Braunschweig}
  24
  25 \date{\today}
  26
  27 % TODO BOXEN!!!!!
  28 \begin{document}
  29
  30 \frame{\titlepage}
  31
  32 \section*{Überblick}
  33
  34 \begin{frame}
  35   \frametitle{Überblick}
  36   \tableofcontents
  37 \end{frame}
  38
  39 \section{Einführung}
  40 \begin{frame}
  41  \frametitle{Was ist eduroam?}
  42
  43  \begin{itemize}
  44   \note{foo}
  45    \item<1-> "`\emph{edu}cational \emph{roam}ing"'
  46    \item<2-> Verbund aus den Organisationen nationaler Forschungsnetze
  47    \begin{itemize}
  48      \item TERENA -- Trans-European Research and Education Networking Association
  49    \end{itemize}
  50    \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und
  51 Internetzugang
  52    \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
  53 (Benutzerautorisierung)
  54  \end{itemize}
  55 \end{frame}
  56
  57 \begin{frame}
  58   \frametitle{Verbreitung}
  59   \begin{figure}[h]
  60     \centering
  61     \includegraphics[width=.8\textwidth]{eduroam-map.png}
  62     \caption{Karte der teilnehmenden Länder \cite{eduroam.org}}
  63   \end{figure}
  64 \end{frame}
  65
  66 \section{Architektur}
  67
  68 \begin{frame}
  69   \frametitle{Service Provider und Identity Provider}
  70   Grundsätzliche Architektur: Aufspaltung in
  71   \begin{itemize}
  72     \item<1-> Identity Provider
  73       \begin{itemize}
  74        \item<2-> authentifiziert den Benutzer
  75        \item<3-> ``Heiminstitution''
  76       \end{itemize}
  77     \item<4-> Service Provider
  78       \begin{itemize}
  79        \item<5-> stellt den Netzzugang zur Verfügung
  80        \item<6-> ``besuchte'' Institution
  81       \end{itemize}
  82   \end{itemize}
  83 \end{frame}
  84
  85 \begin{frame}
  86 \frametitle{IEEE 802.1X}
  87   \begin{figure}
  88     \centering
  89     \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
  90     \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
  91     \label{fig:8021X}
  92   \end{figure}
  93   \begin{enumerate}
  94     \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren}
  95     \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
  96 Gültigkeit der Login-Daten}
  97     \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die
  98 kontrollierten Ressourcen}
  99   \end{enumerate}
 100 \end{frame}
 101
 102 % \begin{frame}
 103 %   \frametitle{IEEE 802.1X: Detail}
 104 %   \begin{figure}
 105 %     \centering
 106 %     \includegraphics[width=\textwidth]{8021X-ports.png}
 107 %     \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
 108 %     \label{fig:8021Xports}
 109 %   \end{figure}
 110 %   Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
 111 % \end{frame}
 112
 113 \begin{frame}
 114   \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
 115   % TODO
 116   \begin{itemize}
 117     \item Authentifizierungsprotokoll in IEEE 802.1X
 118     \pause
 119     \item Grundsätzlicher Aufbau: \\ \medskip
 120       \begin{tabular}{lr}
 121         \textbf{Authenticator} & \textbf{Supplicant} \\
 122         \hline
 123         EAP-Identity Request $\rightarrow$ & \\
 124         \pause
 125          & $\leftarrow$ EAP-Identity Response \\
 126         \pause
 127       \end{tabular}
 128       \pause
 129       \item Danach: Wahl der Authentifikationsmethode und Authentifikation
 130   \end{itemize}
 131 \end{frame}
 132
 133 \begin{frame}
 134   \frametitle{EAP-TLS}
 135   \begin{itemize}
 136     \item gesicherte Authentifizierung über TLS-Protokoll
 137     \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
 138     \pause
 139     \item anschließend Authentifikation über den gesicherten Kanal
 140     \pause
 141     \begin{itemize}
 142      \item bspw. durch EAP-CHAP o.~ä.
 143     \end{itemize}
 144   \end{itemize}
 145 \end{frame}
 146
 147 \begin{frame}
 148   \frametitle{EAP-TTLS}
 149   \begin{itemize}
 150     \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
 151     \pause
 152     \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
 153     \pause
 154     \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
 155     \pause
 156     \begin{itemize}
 157       \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
 158       \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
 159     \end{itemize}
 160   \end{itemize}
 161 \end{frame}
 162
 163 \begin{frame}
 164   \frametitle{RADIUS}
 165   \begin{itemize}
 166     \item Remote Authentication Dial-In User Service
 167     \pause
 168 %     \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
 169     \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
 170       anderen Server weiterleiten
 171   \end{itemize}
 172   \pause
 173   \begin{figure}
 174     \centering
 175     \includegraphics[width=0.4\textwidth]{eduroam-radius.png}
 176     \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})}
 177     \label{fig:eduroam-radius}
 178   \end{figure}
 179 \end{frame}
 180
 181 \begin{frame}
 182   \frametitle{Autorisierung anhand weiterer Benutzerattribute}
 183 %   \begin{figure}[htb]
 184 %     \centering
 185 %     \includegraphics[width=0.4\textwidth]{tnc-arch.png}
 186 %     %\caption{TNC-Architektur~\cite{10.1109/NSS.2009.47}}
 187 %     \label{fig:tnc}
 188 %   \end{figure}
 189   \begin{itemize}
 190     \item \emph{Integrity Management Collector (IMC)}: sammelt Attributdaten auf dem Client-System (z.~B. ob ein Virenscanner installiert ist)
 191     \item \emph{Integrity Management Verifier (IMV)}: prüft, ob die übertragenen Attributdaten mit den vom Systemadministrator vergebenen Richtlinien übereinstimmen
 192     \item \emph{Network Access Requestor (NAR)}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~802.1X Supplicant).
 193     \item \emph{Network Access Authority (NAA)}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $\Rightarrow$ im RADIUS-Server integriert
 194   \end{itemize}
 195 \end{frame}
 196
 197 \section{eduGAIN}
 198 \begin{frame}
 199   \frametitle{eduGAIN}
 200   \begin{figure}[htb]
 201     \centering
 202     \includegraphics[width=0.55\textwidth]{edugain-arch.png}
 203      \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
 204     \label{fig:edugain}
 205   \end{figure}
 206   \begin{itemize}
 207     \item Regelung des Zugriffs über manuell zugewiesene Attribute
 208     \pause
 209     \item Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
 210   \end{itemize}
 211 \end{frame}
 212
 213 \begin{frame}
 214   \frametitle{eduGAIN -- Bridged Elements}
 215     \begin{itemize}
 216       \item Protokoll: SOAP (gekapselt in HTTP)
 217       \pause
 218       \item Ziel: Abstraktion der institutionsspezifischen Protokolle
 219     \end{itemize}
 220 %   \end{itemize}
 221 \end{frame}
 222
 223 \section{Sicherheitsbetrachtungen}
 224 \begin{frame}
 225   \frametitle{Sicherheitsbetrachtungen}
 226   \begin{itemize}
 227     \item Denial of Service durch gefälschte EAP-Pakete
 228       \begin{itemize}
 229         \pause
 230         \item EAP-Pakete nicht kryptografisch abgesichert
 231         \pause
 232         \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich
 233       \end{itemize}
 234     \pause
 235     \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
 236   \end{itemize}
 237 \end{frame}
 238
 239 \begin{frame}
 240   \frametitle{Sicherheitsbetrachtungen}
 241   \begin{itemize}
 242     \item RADIUS-Root-Server ist Single Point of Failure
 243       \begin{itemize}
 244         \pause
 245         \item muss redundant ausgelegt sein
 246         \pause
 247         \item andernfalls keine institutionsübergreifende Authentifizierung
 248         \pause
 249         \item behoben in eduroam-ng (siehe unten)
 250       \end{itemize}
 251     \pause
 252     \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
 253       \begin{itemize}
 254         \pause
 255         \item Abhörsicherheit von Benutzerdaten nicht gegeben
 256         \pause
 257         \item behoben in eduroam-ng (siehe unten)
 258       \end{itemize}
 259   \end{itemize}
 260 \end{frame}
 261
 262 \section{Ausblick}
 263 \begin{frame}
 264   \frametitle{Ausblick}
 265   \begin{itemize}
 266     \item eduroam-ng (\emph{eduroam next generation})
 267     \item<2-> Migration RADIUS $\rightarrow$ RadSec % was ist das? sicherheit?
 268     \begin{itemize}
 269       \item<3-> Gesicherte Kommunikation zwischen RADIUS-Servern
 270       \item<4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (\url{_radiustls._tcp.idp.org}) $\Rightarrow$ kein SPoF mehr
 271     \end{itemize}
 272   \end{itemize}
 273 \end{frame}
 274
 275 \begin{frame}
 276   \centerline{\bf\LARGE Vielen Dank für die Aufmersamkeit!}
 277 \end{frame}
 278
 279 \begin{frame}
 280   \frametitle{Quellenangaben}
 281   \small
 282   \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius}
 283   \bibliographystyle{plain}
 284   \bibliography{lit}
 285 \end{frame}
 286
 287 \end{document}