1 \documentclass[]{beamer
}
3 \usepackage[utf8
]{inputenc}
10 \useoutertheme[footline=authorinstituteframenumber,subsection=false
]{tubs
}
11 \setbeamertemplate{table of contents
}[ball
]
12 \setbeamertemplate{items
}[ball
]
13 \setbeamertemplate{navigation symbols
}{}
15 %%\setbeamertemplate{blocks}[rounded][shadow=true]
19 \title{Sicherheit in eduroam
}
20 \subtitle{Seminar Kommunikation und Multimedia, Sommersemester
2010}
21 \author{Roland Hieber
}
22 \institute[IBR, TU Braunschweig
]{Institut für Betriebssysteme und Rechnerverbund\\
23 Technische Universität Braunschweig
}
35 \frametitle{Überblick
}
41 \frametitle{Was ist eduroam?
}
45 \item<
1-> "`
\emph{edu
}cational
\emph{roam
}ing"'
46 \item<
2-> Verbund aus den Organisationen nationaler Forschungsnetze
48 \item TERENA -- Trans-European Research and Education Networking Association
50 \item<
3-> Ziel: netzübergreifende Benutzerauthentifizierung und
52 \item<
4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
53 (Benutzerautorisierung)
58 \frametitle{Verbreitung
}
61 \includegraphics[width=
.8\textwidth]{eduroam-map.png
}
62 \caption{Karte der teilnehmenden Länder
\cite{eduroam.org
}}
69 \frametitle{Service Provider und Identity Provider
}
70 Grundsätzliche Architektur: Aufspaltung in
72 \item<
1-> Identity Provider
74 \item<
2-> authentifiziert den Benutzer
75 \item<
3-> ``Heiminstitution''
77 \item<
4-> Service Provider
79 \item<
5-> stellt den Netzzugang zur Verfügung
80 \item<
6-> ``besuchte'' Institution
86 \frametitle{IEEE
802.1X
}
89 \includegraphics[width=
0.6\textwidth]{8021X-Overview.pdf
}
90 \caption{Netzzugang durch IEEE
802.1X (
\cite{commons8021X
})
}
94 \only<
1>
{\item[1] Rechner (Supplicants) müssen sich authentifizieren
}
95 \only<
2>
{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
96 Gültigkeit der Login-Daten
}
97 \only<
3>
{\item[3] Supplicant hat nach Freigabe Zugriff auf die
98 kontrollierten Ressourcen
}
103 % \frametitle{IEEE 802.1X: Detail}
106 % \includegraphics[width=\textwidth]{8021X-ports.png}
107 % \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
108 % \label{fig:8021Xports}
110 % Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
114 \frametitle{IEEE
802.1X: Extensible Authentication Protocol (EAP)
}
117 \item Authentifizierungsprotokoll in IEEE
802.1X
119 \item Grundsätzlicher Aufbau: \\
\medskip
121 \textbf{Authenticator
} &
\textbf{Supplicant
} \\
123 EAP-Identity Request $
\rightarrow$ & \\
125 & $
\leftarrow$ EAP-Identity Response \\
129 \item Danach: Wahl der Authentifikationsmethode und Authentifikation
136 \item gesicherte Authentifizierung über TLS-Protokoll
137 \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
139 \item anschließend Authentifikation über den gesicherten Kanal
142 \item bspw. durch EAP-CHAP o.~ä.
148 \frametitle{EAP-TTLS
}
150 \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
152 \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
154 \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
157 \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
158 \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
166 \item Remote Authentication Dial-In User Service
168 % \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
169 \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
170 anderen Server weiterleiten
175 \includegraphics[width=
0.4\textwidth]{eduroam-radius.png
}
176 \caption{RADIUS-Hierarchie in eduroam (
\cite{Lopez2008418
})
}
177 \label{fig:eduroam-radius
}
182 \frametitle{Autorisierung anhand weiterer Benutzerattribute
}
183 % \begin{figure}[htb]
185 % \includegraphics[width=0.4\textwidth]{tnc-arch.png}
186 % %\caption{TNC-Architektur~\cite{10.1109/NSS.2009.47}}
190 \item \emph{Integrity Management Collector (IMC)
}: sammelt Attributdaten auf dem Client-System (z.~B. ob ein Virenscanner installiert ist)
191 \item \emph{Integrity Management Verifier (IMV)
}: prüft, ob die übertragenen Attributdaten mit den vom Systemadministrator vergebenen Richtlinien übereinstimmen
192 \item \emph{Network Access Requestor (NAR)
}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~
802.1X Supplicant).
193 \item \emph{Network Access Authority (NAA)
}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $
\Rightarrow$ im RADIUS-Server integriert
202 \includegraphics[width=
0.55\textwidth]{edugain-arch.png
}
203 \caption{eduGAIN-Architektur~
\cite{Lopez2008418
}}
207 \item Regelung des Zugriffs über manuell zugewiesene Attribute
209 \item Netzwerkübergreifende Kommunikation über
\emph{Bridged Elements
}
214 \frametitle{eduGAIN -- Bridged Elements
}
216 \item Protokoll: SOAP (gekapselt in HTTP)
218 \item Ziel: Abstraktion der institutionsspezifischen Protokolle
223 \section{Sicherheitsbetrachtungen
}
225 \frametitle{Sicherheitsbetrachtungen
}
227 \item Denial of Service durch gefälschte EAP-Pakete
230 \item EAP-Pakete nicht kryptografisch abgesichert
232 \item Nur MAC-Adresse dient zur Identifikation $
\Rightarrow$ MAC Spoofing möglich
235 \item Gefälschte Zertifikate $
\Rightarrow$ Benutzer muss wissen, was er tut
240 \frametitle{Sicherheitsbetrachtungen
}
242 \item RADIUS-Root-Server ist Single Point of Failure
245 \item muss redundant ausgelegt sein
247 \item andernfalls keine institutionsübergreifende Authentifizierung
249 \item behoben in eduroam-ng (siehe unten)
252 \item<
4-> Kommunikation zwischen RADIUS-Server nicht gesichert
255 \item Abhörsicherheit von Benutzerdaten nicht gegeben
257 \item behoben in eduroam-ng (siehe unten)
264 \frametitle{Ausblick
}
266 \item eduroam-ng (
\emph{eduroam next generation
})
267 \item<
2-> Migration RADIUS $
\rightarrow$ RadSec
% was ist das? sicherheit?
269 \item<
3-> Gesicherte Kommunikation zwischen RADIUS-Servern
270 \item<
4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (
\url{_radiustls._tcp.idp.org
}) $
\Rightarrow$ kein SPoF mehr
276 \centerline{\bf\LARGE Vielen Dank für die Aufmersamkeit!
}
280 \frametitle{Quellenangaben
}
282 \nocite{rfc-eap
} \nocite{radsec-
report} \nocite{rfc-radius
}
283 \bibliographystyle{plain
}