\section{Ausblick: eduroam-ng}\label{chap:ausblick}
-Unter dem Stichwort \emph{eduroam-ng} (eduroam-next generation) werden Verbesserungen der aktuellen eduroam-Infrastruktur entwickelt. Es sollen hier einige mögliche Sicherheitslücken und Performanceprobleme addressiert werden. \cite{inter-nren-arch}
+Unter dem Stichwort \emph{eduroam-ng} (eduroam-next generation) werden Verbesserungen der aktuellen eduroam-Infrastruktur entwickelt. Es sollen hier einige mögliche Sicherheitslücken und Performanceprobleme addressiert werden.~\cite{inter-nren-arch}
-\subsection{RadSec}
-Es ist geplant, die aktuelle \acr{RADIUS}-Infrastruktur sukzessive durch RadSec zu ergänzen. Dieses Protokoll stellt eine Erweiterung des herkömmlichen \acr{RADIUS}-Protokolls dar, sodass es abwärtskompatibel dazu ist. Die grundlegendste Erweiterung dabei ist die Umstellung von \acr{UDP}-basiertem Datenverkehr auf \acr{TCP}. Dadurch werden einige Mechanismen (beispielsweise negative Authentifizierungsantworten) in \acr{RADIUS} überflüssig, die durch die verbindungslose Natur von \acr{UDP} eingeführt wurden, und die im verbindungsorientierten \acr{TCP} besser abgebildet werden können.
+%\subsection{RadSec}
+Es ist geplant, die aktuell vorhandene \acr{RADIUS}-Infrastruktur schrittweise durch RadSec zu ergänzen.~\cite{radsec-report} Dieses Protokoll stellt eine Erweiterung des herkömmlichen \acr{RADIUS}-Protokolls dar, sodass es abwärtskompatibel dazu ist und einen nahtlosen Übergangsprozess ermöglicht. Die grundlegendste Erweiterung dabei ist die Umstellung von \acr{UDP}-basiertem Datenverkehr auf \acr{TCP}. Dadurch werden einige Mechanismen (beispielsweise negative Authentifizierungsantworten) in \acr{RADIUS} überflüssig, die durch die verbindungslose Natur von \acr{UDP} eingeführt wurden, und die im verbindungsorientierten \acr{TCP} besser abgebildet werden können.
-Zudem ist es mit RadSec möglich, die Kommunikation verschlüsselt über \acr{TLS} abzuwickeln. Dies stellt zum einen die Abhörsicherheit der Verbindung fest, zum anderen erlaubt es auch, die Identität beider Kommunikationspartner über Zertifikate festzustellen -- dies ist insbesondere wichtig, da die Identität vorher anhand der IP-Adresse des \acr{RADIUS}-Servers festgestellt wurde, die sich leicht fälschen lässt. Außerdem wird dadurch die unsichere MD5-Verschlüsselung der Benutzerdaten hinfällig.
+Zudem ist es mit RadSec möglich, die Kommunikation verschlüsselt über \acr{TLS} abzuwickeln. Dies stellt zum einen die Abhörsicherheit der Verbindung fest, zum anderen erlaubt es auch, die Identität beider Kommunikationspartner über Zertifikate festzustellen -- dies ist insbesondere wichtig, da die Identität vorher anhand der IP-Adresse des \acr{RADIUS}-Servers festgestellt wurde, die sich leicht fälschen lässt. Außerdem wird dadurch die unsichere MD5-Verschlüsselung der Benutzerdaten, wie in Kapitel~\ref{chap:sicherheit-radius} erwähnt, hinfällig.
-\subsection{DNSSec}
+Weiterhin ist in RadSec ein Feature vorhanden, dass sich \emph{Peer Discovery} nennt. Damit ist es möglich, die strenge Hierarchie der RADIUS-Server zu umgehen und direkt den RADIUS-Server des Identity Providers zu kontaktieren. Dieser wird über einen DNS-SRV-Eintrag im Nameserver des Identity Providers ermittelt, welcher \url{_radiustls._tcp.idp.org} lautet und den wirklichen Servernamen des RADIUS-Servers sowie den zu kontaktierenden TCP-Port enthält. In Verbindung mit kryptografisch abgesicherter Namensauflösung über DNSSec ist so eine verlässliche Peer Discovery möglich.
+
+
+%\subsection{\acr{RADIUS} mit \acr{DNSSec}}
projects / seminar-bachelor.git / blobdiff