\setbeamertemplate{table of contents}[ball]
\setbeamertemplate{items}[ball]
\setbeamertemplate{navigation symbols}{}
+
%%\setbeamertemplate{blocks}[rounded][shadow=true]
\mode<all>
\section*{Überblick}
-\frame{
+\begin{frame}
\frametitle{Überblick}
\tableofcontents
-}
+\end{frame}
\section{Einführung}
-\frame{
+\begin{frame}
\frametitle{Was ist eduroam?}
\begin{itemize}
+ \note{foo}
\item<1-> "`\emph{edu}cational \emph{roam}ing"'
\item<2-> Verbund aus den Organisationen nationaler Forschungsnetze
\begin{itemize}
\item TERENA -- Trans-European Research and Education Networking Association
\end{itemize}
- \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung
- \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung)
+ \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und
+Internetzugang
+ \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
+(Benutzerautorisierung)
\end{itemize}
-}
+\end{frame}
-\frame{
+\begin{frame}
\frametitle{Verbreitung}
\begin{figure}[h]
\centering
\includegraphics[width=.8\textwidth]{eduroam-map.png}
\caption{Karte der teilnehmenden Länder \cite{eduroam.org}}
\end{figure}
-}
+\end{frame}
\section{Architektur}
-\frame{
+\begin{frame}
+ \frametitle{Service Provider und Identity Provider}
+ Grundsätzliche Architektur: Aufspaltung in
+ \begin{itemize}
+ \item<1-> Identity Provider
+ \begin{itemize}
+ \item<2-> authentifiziert den Benutzer
+ \item<3-> ``Heiminstitution''
+ \end{itemize}
+ \item<4-> Service Provider
+ \begin{itemize}
+ \item<5-> stellt den Netzzugang zur Verfügung
+ \item<6-> ``besuchte'' Institution
+ \end{itemize}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
\frametitle{IEEE 802.1X}
\begin{figure}
\centering
\includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
- %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
+ \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
\label{fig:8021X}
\end{figure}
\begin{enumerate}
- \item<1> Rechner (Supplicants) müssen sich authentifizieren
- \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten
- \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen
+ \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren}
+ \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
+Gültigkeit der Login-Daten}
+ \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die
+kontrollierten Ressourcen}
\end{enumerate}
-}
+\end{frame}
-\frame{
- \frametitle{IEEE 802.1X: Detail}
- \begin{figure}
- \centering
- \includegraphics[width=\textwidth]{8021X-ports.png}
- %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
- \label{fig:8021Xports}
- \end{figure}
- Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
-}
+% \begin{frame}
+% \frametitle{IEEE 802.1X: Detail}
+% \begin{figure}
+% \centering
+% \includegraphics[width=\textwidth]{8021X-ports.png}
+% \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
+% \label{fig:8021Xports}
+% \end{figure}
+% Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
+% \end{frame}
-\frame{
+\begin{frame}
\frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
- Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt
% TODO
-}
+ \begin{itemize}
+ \item Authentifizierungsprotokoll in IEEE 802.1X
+ \pause
+ \item Grundsätzlicher Aufbau: \\ \medskip
+ \begin{tabular}{lr}
+ \textbf{Authenticator} & \textbf{Supplicant} \\
+ \hline
+ EAP-Identity Request $\rightarrow$ & \\
+ \pause
+ & $\leftarrow$ EAP-Identity Response \\
+ \pause
+ \end{tabular}
+ \pause
+ \item Danach: Wahl der Authentifikationsmethode und Authentifikation
+ \end{itemize}
+\end{frame}
-\frame{
+\begin{frame}
\frametitle{EAP-TLS}
- Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TLS darstellt
- % TODO
-}
+ \begin{itemize}
+ \item gesicherte Authentifizierung über TLS-Protokoll
+ \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+ \pause
+ \item anschließend Authentifikation über den gesicherten Kanal
+ \pause
+ \begin{itemize}
+ \item bspw. durch EAP-CHAP o.~ä.
+ \end{itemize}
+ \end{itemize}
+\end{frame}
-\frame{
+\begin{frame}
\frametitle{EAP-TTLS}
- Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt
- % TODO
-}
+ \begin{itemize}
+ \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
+ \pause
+ \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+ \pause
+ \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
+ \pause
+ \begin{itemize}
+ \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
+ \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
+ \end{itemize}
+ \end{itemize}
+\end{frame}
-\frame{
+\begin{frame}
\frametitle{RADIUS}
\begin{itemize}
\item Remote Authentication Dial-In User Service
- \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
- \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
+ \pause
+% \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
+ \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
anderen Server weiterleiten
\end{itemize}
- \only<4->{\begin{figure}
+ \pause
+ \begin{figure}
\centering
\includegraphics[width=0.4\textwidth]{eduroam-radius.png}
- %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
+ \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})}
\label{fig:eduroam-radius}
- \end{figure}}
-}
+ \end{figure}
+\end{frame}
-\frame{
+\begin{frame}
\frametitle{Autorisierung anhand weiterer Benutzerattribute}
% \begin{figure}[htb]
% \centering
\item \emph{Network Access Requestor (NAR)}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~802.1X Supplicant).
\item \emph{Network Access Authority (NAA)}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $\Rightarrow$ im RADIUS-Server integriert
\end{itemize}
-}
+\end{frame}
\section{eduGAIN}
-\frame{
+\begin{frame}
\frametitle{eduGAIN}
\begin{figure}[htb]
\centering
- \includegraphics[width=0.6\textwidth]{edugain-arch.png}
-% \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
+ \includegraphics[width=0.55\textwidth]{edugain-arch.png}
+ \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
\label{fig:edugain}
\end{figure}
\begin{itemize}
\item Regelung des Zugriffs über manuell zugewiesene Attribute
- \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
+ \pause
+ \item Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{eduGAIN -- Bridged Elements}
\begin{itemize}
- \item Abstraktion der institutionsspezifischen Protokolle
+ \item Protokoll: SOAP (gekapselt in HTTP)
+ \pause
+ \item Ziel: Abstraktion der institutionsspezifischen Protokolle
\end{itemize}
+% \end{itemize}
+\end{frame}
+\section{Sicherheitsbetrachtungen}
+\begin{frame}
+ \frametitle{Sicherheitsbetrachtungen}
+ \begin{itemize}
+ \item Denial of Service durch gefälschte EAP-Pakete
+ \begin{itemize}
+ \pause
+ \item EAP-Pakete nicht kryptografisch abgesichert
+ \pause
+ \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich
+ \end{itemize}
+ \pause
+ \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
\end{itemize}
+\end{frame}
-}
-
-\section{Sicherheitsbetrachtungen}
-\frame{
+\begin{frame}
\frametitle{Sicherheitsbetrachtungen}
\begin{itemize}
- \item Denial of Service durch gefälschte EAPOL-Pakete
- \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
- \item<3-> RADIUS-Root-Server ist Single Point of Failure
+ \item RADIUS-Root-Server ist Single Point of Failure
+ \begin{itemize}
+ \pause
+ \item muss redundant ausgelegt sein
+ \pause
+ \item andernfalls keine institutionsübergreifende Authentifizierung
+ \pause
+ \item behoben in eduroam-ng (siehe unten)
+ \end{itemize}
+ \pause
\item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
+ \begin{itemize}
+ \pause
+ \item Abhörsicherheit von Benutzerdaten nicht gegeben
+ \pause
+ \item behoben in eduroam-ng (siehe unten)
+ \end{itemize}
\end{itemize}
-}
+\end{frame}
\section{Ausblick}
-\frame{
+\begin{frame}
\frametitle{Ausblick}
\begin{itemize}
\item eduroam-ng (\emph{eduroam next generation})
- \item<2-> Migration RADIUS $\rightarrow$ RadSec
+ \item<2-> Migration RADIUS $\rightarrow$ RadSec % was ist das? sicherheit?
\begin{itemize}
\item<3-> Gesicherte Kommunikation zwischen RADIUS-Servern
\item<4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (\url{_radiustls._tcp.idp.org}) $\Rightarrow$ kein SPoF mehr
\end{itemize}
-
\end{itemize}
+\end{frame}
-}
-
-\frame{
- \centerline{\bf\LARGE Thank you!}
-}
+\begin{frame}
+ \centerline{\bf\LARGE Vielen Dank für die Aufmersamkeit!}
+\end{frame}
-\frame{
+\begin{frame}
\frametitle{Quellenangaben}
+ \small
+ \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius}
\bibliographystyle{plain}
\bibliography{lit}
-}
+\end{frame}
-\end{document}
\ No newline at end of file
+\end{document}
projects / seminar-bachelor.git / blobdiff