e6ceff326988c4033a183bb133cbbba726468d40
[seminar-bachelor.git] / presentation.tex
1 \documentclass[]{beamer}
2
3 \usepackage[utf8]{inputenc}
4 \usepackage{ngerman}
5 \usepackage{pgf}
6 \usepackage{url}
7 \usepackage{colortbl}
8
9 \mode<presentation>
10 \useoutertheme[footline=authorinstituteframenumber,subsection=false]{tubs}
11 \setbeamertemplate{table of contents}[ball]
12 \setbeamertemplate{items}[ball]
13 \setbeamertemplate{navigation symbols}{}
14
15 %%\setbeamertemplate{blocks}[rounded][shadow=true]
16
17 \mode<all>
18
19 \title{Sicherheit in eduroam}
20 \subtitle{Seminar Kommunikation und Multimedia, Sommersemester 2010}
21 \author{Roland Hieber}
22 \institute[IBR, TU Braunschweig]{Institut für Betriebssysteme und Rechnerverbund\\
23 Technische Universität Braunschweig}
24
25 \date{\today}
26
27 % TODO BOXEN!!!!!
28 \begin{document}
29
30 \frame{\titlepage}
31
32 \section*{Überblick}
33
34 \begin{frame}
35 \frametitle{Überblick}
36 \tableofcontents
37 \end{frame}
38
39 \section{Einführung}
40 \begin{frame}
41 \frametitle{Was ist eduroam?}
42
43 \begin{itemize}
44 \note{foo}
45 \item<1-> "`\emph{edu}cational \emph{roam}ing"'
46 \item<2-> Verbund aus den Organisationen nationaler Forschungsnetze
47 \begin{itemize}
48 \item TERENA -- Trans-European Research and Education Networking Association
49 \end{itemize}
50 \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und
51 Internetzugang
52 \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
53 (Benutzerautorisierung)
54 \end{itemize}
55 \end{frame}
56
57 \begin{frame}
58 \frametitle{Verbreitung}
59 \begin{figure}[h]
60 \centering
61 \includegraphics[width=.8\textwidth]{eduroam-map.png}
62 \caption{Karte der teilnehmenden Länder \cite{eduroam.org}}
63 \end{figure}
64 \end{frame}
65
66 \section{Architektur}
67
68 \begin{frame}
69 \frametitle{Service Provider und Identity Provider}
70 Grundsätzliche Architektur: Aufspaltung in
71 \begin{itemize}
72 \item<1-> Identity Provider
73 \begin{itemize}
74 \item<2-> authentifiziert den Benutzer
75 \item<3-> ``Heiminstitution''
76 \end{itemize}
77 \item<4-> Service Provider
78 \begin{itemize}
79 \item<5-> stellt den Netzzugang zur Verfügung
80 \item<6-> ``besuchte'' Institution
81 \end{itemize}
82 \end{itemize}
83 \end{frame}
84
85 \begin{frame}
86 \frametitle{IEEE 802.1X}
87 \begin{figure}
88 \centering
89 \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
90 \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
91 \label{fig:8021X}
92 \end{figure}
93 \begin{enumerate}
94 \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren}
95 \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
96 Gültigkeit der Login-Daten}
97 \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die
98 kontrollierten Ressourcen}
99 \end{enumerate}
100 \end{frame}
101
102 % \begin{frame}
103 % \frametitle{IEEE 802.1X: Detail}
104 % \begin{figure}
105 % \centering
106 % \includegraphics[width=\textwidth]{8021X-ports.png}
107 % \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
108 % \label{fig:8021Xports}
109 % \end{figure}
110 % Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
111 % \end{frame}
112
113 \begin{frame}
114 \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
115 % TODO
116 \begin{itemize}
117 \item Authentifizierungsprotokoll in IEEE 802.1X
118 \pause
119 \item Grundsätzlicher Aufbau: \\ \medskip
120 \begin{tabular}{lr}
121 \textbf{Authenticator} & \textbf{Supplicant} \\
122 \hline
123 EAP-Identity Request $\rightarrow$ & \\
124 \pause
125 & $\leftarrow$ EAP-Identity Response \\
126 \pause
127 \end{tabular}
128 \pause
129 \item Danach: Wahl der Authentifikationsmethode und Authentifikation
130 \end{itemize}
131 \end{frame}
132
133 \begin{frame}
134 \frametitle{EAP-TLS}
135 \begin{itemize}
136 \item gesicherte Authentifizierung über TLS-Protokoll
137 \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
138 \item anschließend Authentifikation über den gesicherten Kanal
139 \begin{itemize}
140 \item bspw. durch EAP-CHAP o.~ä.
141 \end{itemize}
142 \end{itemize}
143 \end{frame}
144
145 \begin{frame}
146 \frametitle{EAP-TTLS}
147 \begin{itemize}
148 \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
149 \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
150 \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
151 \begin{itemize}
152 \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
153 \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
154 \end{itemize}
155 \end{itemize}
156 \end{frame}
157
158 \begin{frame}
159 \frametitle{RADIUS}
160 \begin{itemize}
161 \item Remote Authentication Dial-In User Service
162 \pause
163 % \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
164 \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
165 anderen Server weiterleiten
166 \end{itemize}
167 \only<4->{\begin{figure}
168 \centering
169 \includegraphics[width=0.4\textwidth]{eduroam-radius.png}
170 \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})}
171 \label{fig:eduroam-radius}
172 \end{figure}}
173 \end{frame}
174
175 \begin{frame}
176 \frametitle{Autorisierung anhand weiterer Benutzerattribute}
177 % \begin{figure}[htb]
178 % \centering
179 % \includegraphics[width=0.4\textwidth]{tnc-arch.png}
180 % %\caption{TNC-Architektur~\cite{10.1109/NSS.2009.47}}
181 % \label{fig:tnc}
182 % \end{figure}
183 \begin{itemize}
184 \item \emph{Integrity Management Collector (IMC)}: sammelt Attributdaten auf dem Client-System (z.~B. ob ein Virenscanner installiert ist)
185 \item \emph{Integrity Management Verifier (IMV)}: prüft, ob die übertragenen Attributdaten mit den vom Systemadministrator vergebenen Richtlinien übereinstimmen
186 \item \emph{Network Access Requestor (NAR)}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~802.1X Supplicant).
187 \item \emph{Network Access Authority (NAA)}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $\Rightarrow$ im RADIUS-Server integriert
188 \end{itemize}
189 \end{frame}
190
191 \section{eduGAIN}
192 \begin{frame}
193 \frametitle{eduGAIN}
194 \begin{figure}[htb]
195 \centering
196 \includegraphics[width=0.55\textwidth]{edugain-arch.png}
197 \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
198 \label{fig:edugain}
199 \end{figure}
200 \begin{itemize}
201 \item Regelung des Zugriffs über manuell zugewiesene Attribute
202 \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
203 \end{itemize}
204 \end{frame}
205
206 \begin{frame}
207 \frametitle{eduGAIN -- Bridged Elements}
208 \begin{itemize}
209 \item Protokoll: SOAP (gekapselt in HTTP)
210 \pause
211 \item Ziel: Abstraktion der institutionsspezifischen Protokolle
212 \end{itemize}
213 % \end{itemize}
214 \end{frame}
215
216 \section{Sicherheitsbetrachtungen}
217 \begin{frame}
218 \frametitle{Sicherheitsbetrachtungen}
219 \begin{itemize}
220 \item Denial of Service durch gefälschte EAP-Pakete
221 \begin{itemize}
222 \pause
223 \item EAP-Pakete nicht kryptografisch abgesichert
224 \pause
225 \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich
226 \end{itemize}
227 \pause
228 \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
229 \end{itemize}
230 \end{frame}
231
232 \begin{frame}
233 \frametitle{Sicherheitsbetrachtungen}
234 \begin{itemize}
235 \item RADIUS-Root-Server ist Single Point of Failure
236 \begin{itemize}
237 \pause
238 \item muss redundant ausgelegt sein
239 \pause
240 \item andernfalls keine institutionsübergreifende Authentifizierung
241 \pause
242 \item behoben in eduroam-ng (siehe unten)
243 \end{itemize}
244 \pause
245 \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
246 \begin{itemize}
247 \pause
248 \item Abhörsicherheit von Benutzerdaten nicht gegeben
249 \pause
250 \item behoben in eduroam-ng (siehe unten)
251 \end{itemize}
252 \end{itemize}
253 \end{frame}
254
255 \section{Ausblick}
256 \begin{frame}
257 \frametitle{Ausblick}
258 \begin{itemize}
259 \item eduroam-ng (\emph{eduroam next generation})
260 \item<2-> Migration RADIUS $\rightarrow$ RadSec % was ist das? sicherheit?
261 \begin{itemize}
262 \item<3-> Gesicherte Kommunikation zwischen RADIUS-Servern
263 \item<4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (\url{_radiustls._tcp.idp.org}) $\Rightarrow$ kein SPoF mehr
264 \end{itemize}
265 \end{itemize}
266 \end{frame}
267
268 \begin{frame}
269 \centerline{\bf\LARGE Vielen Dank für die Aufmersamkeit!}
270 \end{frame}
271
272 \begin{frame}
273 \frametitle{Quellenangaben}
274 \small
275 \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius}
276 \bibliographystyle{plain}
277 \bibliography{lit}
278 \end{frame}
279
280 \end{document}
This page took 0.04984 seconds and 3 git commands to generate.