\begin{itemize}
\item TERENA -- Trans-European Research and Education Networking Association
\end{itemize}
- \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung // Internetzugang
- \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung)
+ \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und
+Internetzugang
+ \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
+(Benutzerautorisierung)
\end{itemize}
\end{frame}
\end{frame}
\section{Architektur}
-% TODO SERVICE / IDENTITY PROVIDER
+
+\begin{frame}
+ \frametitle{Service Provider und Identity Provider}
+ Grundsätzliche Architektur: Aufspaltung in
+ \begin{itemize}
+ \item<1-> Identity Provider
+ \begin{itemize}
+ \item<2-> authentifiziert den Benutzer
+ \item<3-> ``Heiminstitution''
+ \end{itemize}
+ \item<4-> Service Provider
+ \begin{itemize}
+ \item<5-> stellt den Netzzugang zur Verfügung
+ \item<6-> ``besuchte'' Institution
+ \end{itemize}
+ \end{itemize}
+\end{frame}
+
\begin{frame}
\frametitle{IEEE 802.1X}
\begin{figure}
\centering
\includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
-% TODO: Quellen bei Bildern
\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
\label{fig:8021X}
\end{figure}
\begin{enumerate}
- \item<1-> Rechner (Supplicants) müssen sich authentifizieren
- \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten
- \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen
+ \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren}
+ \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
+Gültigkeit der Login-Daten}
+ \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die
+kontrollierten Ressourcen}
\end{enumerate}
\end{frame}
-\begin{frame}
- \frametitle{IEEE 802.1X: Detail}
- \begin{figure}
- \centering
- \includegraphics[width=\textwidth]{8021X-ports.png}
- %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
- \label{fig:8021Xports}
- \end{figure}
- Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
-\end{frame}
+% \begin{frame}
+% \frametitle{IEEE 802.1X: Detail}
+% \begin{figure}
+% \centering
+% \includegraphics[width=\textwidth]{8021X-ports.png}
+% \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
+% \label{fig:8021Xports}
+% \end{figure}
+% Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
+% \end{frame}
\begin{frame}
\frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
- Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt
% TODO
+ \begin{itemize}
+ \item Authentifizierungsprotokoll in IEEE 802.1X
+ \pause
+ \item Grundsätzlicher Aufbau: \\ \medskip
+ \begin{tabular}{lr}
+ \textbf{Authenticator} & \textbf{Supplicant} \\
+ \hline
+ EAP-Identity Request $\rightarrow$ & \\
+ \pause
+ & $\leftarrow$ EAP-Identity Response \\
+ \pause
+ \end{tabular}
+ \pause
+ \item Danach: Wahl der Authentifikationsmethode und Authentifikation
+ \end{itemize}
\end{frame}
\begin{frame}
\frametitle{EAP-TLS}
- % TODO
+ \begin{itemize}
+ \item gesicherte Authentifizierung über TLS-Protokoll
+ \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+ \pause
+ \item anschließend Authentifikation über den gesicherten Kanal
+ \pause
+ \begin{itemize}
+ \item bspw. durch EAP-CHAP o.~ä.
+ \end{itemize}
+ \end{itemize}
\end{frame}
\begin{frame}
\frametitle{EAP-TTLS}
- Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt
- % TODO
+ \begin{itemize}
+ \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
+ \pause
+ \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+ \pause
+ \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
+ \pause
+ \begin{itemize}
+ \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
+ \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
+ \end{itemize}
+ \end{itemize}
\end{frame}
\begin{frame}
\frametitle{RADIUS}
\begin{itemize}
\item Remote Authentication Dial-In User Service
- \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
- \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
+ \pause
+% \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
+ \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
anderen Server weiterleiten
\end{itemize}
- \only<4->{\begin{figure}
+ \pause
+ \begin{figure}
\centering
\includegraphics[width=0.4\textwidth]{eduroam-radius.png}
- %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
+ \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})}
\label{fig:eduroam-radius}
- \end{figure}}
+ \end{figure}
\end{frame}
\begin{frame}
\frametitle{eduGAIN}
\begin{figure}[htb]
\centering
- \includegraphics[width=0.6\textwidth]{edugain-arch.png}
-% \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
+ \includegraphics[width=0.55\textwidth]{edugain-arch.png}
+ \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
\label{fig:edugain}
\end{figure}
\begin{itemize}
\item Regelung des Zugriffs über manuell zugewiesene Attribute
- \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
+ \pause
+ \item Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{eduGAIN -- Bridged Elements}
\begin{itemize}
- \item Abstraktion der institutionsspezifischen Protokolle
+ \item Protokoll: SOAP (gekapselt in HTTP)
+ \pause
+ \item Ziel: Abstraktion der institutionsspezifischen Protokolle
\end{itemize}
- \end{itemize}
+% \end{itemize}
\end{frame}
\section{Sicherheitsbetrachtungen}
\begin{frame}
\frametitle{Sicherheitsbetrachtungen}
- \begin{itemize} % TODO aufbohren, details
- \item Denial of Service durch gefälschte EAPOL-Pakete
- \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
- \item<3-> RADIUS-Root-Server ist Single Point of Failure
+ \begin{itemize}
+ \item Denial of Service durch gefälschte EAP-Pakete
+ \begin{itemize}
+ \pause
+ \item EAP-Pakete nicht kryptografisch abgesichert
+ \pause
+ \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich
+ \end{itemize}
+ \pause
+ \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sicherheitsbetrachtungen}
+ \begin{itemize}
+ \item RADIUS-Root-Server ist Single Point of Failure
+ \begin{itemize}
+ \pause
+ \item muss redundant ausgelegt sein
+ \pause
+ \item andernfalls keine institutionsübergreifende Authentifizierung
+ \pause
+ \item behoben in eduroam-ng (siehe unten)
+ \end{itemize}
+ \pause
\item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
+ \begin{itemize}
+ \pause
+ \item Abhörsicherheit von Benutzerdaten nicht gegeben
+ \pause
+ \item behoben in eduroam-ng (siehe unten)
+ \end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Quellenangaben}
-% TODO eap, radius, ieee-quellen
+ \small
+ \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius}
\bibliographystyle{plain}
\bibliography{lit}
\end{frame}
projects / seminar-bachelor.git / blobdiff