kleinere korrekturen
[seminar-bachelor.git] / ausblick.tex
1 \section{Ausblick: eduroam-ng}\label{chap:ausblick}
2 Unter dem Stichwort \emph{eduroam-ng} (eduroam-next generation) werden Verbesserungen der aktuellen eduroam-Infrastruktur entwickelt. Es sollen hier einige mögliche Sicherheitslücken und Performanceprobleme addressiert werden.~\cite{inter-nren-arch}
3
4 %\subsection{RadSec}
5 Es ist geplant, die aktuell vorhandene \acr{RADIUS}-Infrastruktur schrittweise durch RadSec zu ergänzen.~\cite{radsec-report} Dieses Protokoll stellt eine Erweiterung des herkömmlichen \acr{RADIUS}-Protokolls dar, sodass es abwärtskompatibel dazu ist und einen nahtlosen Übergangsprozess ermöglicht. Die grundlegendste Erweiterung dabei ist die Umstellung von \acr{UDP}-basiertem Datenverkehr auf \acr{TCP}. Dadurch werden einige Mechanismen (beispielsweise negative Authentifizierungsantworten) in \acr{RADIUS} überflüssig, die durch die verbindungslose Natur von \acr{UDP} eingeführt wurden, und die im verbindungsorientierten \acr{TCP} besser abgebildet werden können.
6
7 Zudem ist es mit RadSec möglich, die Kommunikation verschlüsselt über \acr{TLS} abzuwickeln. Dies stellt zum einen die Abhörsicherheit der Verbindung fest, zum anderen erlaubt es auch, die Identität beider Kommunikationspartner über Zertifikate festzustellen -- dies ist insbesondere wichtig, da die Identität vorher anhand der IP-Adresse des \acr{RADIUS}-Servers festgestellt wurde, die sich leicht fälschen lässt. Außerdem wird dadurch die unsichere MD5-Verschlüsselung der Benutzerdaten, wie in Kapitel~\ref{chap:sicherheit-radius} erwähnt, hinfällig.
8
9 Weiterhin ist in RadSec ein Feature vorhanden, dass sich \emph{Peer Discovery} nennt. Damit ist es möglich, die strenge Hierarchie der RADIUS-Server zu umgehen und direkt den RADIUS-Server des Identity Providers zu kontaktieren. Dieser wird über einen DNS-SRV-Eintrag im Nameserver des Identity Providers ermittelt, welcher \url{_radiustls._tcp.idp.org} lautet und den wirklichen Servernamen des RADIUS-Servers sowie den zu kontaktierenden TCP-Port enthält. In Verbindung mit kryptografisch abgesicherter Namensauflösung über DNSSec ist so eine verlässliche Peer Discovery möglich.
10
11
12 %\subsection{\acr{RADIUS} mit \acr{DNSSec}}
This page took 0.046965 seconds and 5 git commands to generate.