kleinere korrekturen

[seminar-bachelor.git] / presentation.tex
diff --git a/presentation.tex b/presentation.tex

index 3837e65..7f4e7b8 100644 (file)
--- a/presentation.tex
+++ b/presentation.tex
@@ -47,8 +47,10 @@
     \begin{itemize}
       \item TERENA -- Trans-European Research and Education Networking Association
     \end{itemize}
     \begin{itemize}
       \item TERENA -- Trans-European Research and Education Networking Association
     \end{itemize}
-   \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung // Internetzugang
-   \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung)
+   \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und
+Internetzugang
+   \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
+(Benutzerautorisierung)
   \end{itemize}
  \end{frame}
  
   \end{itemize}
  \end{frame}
  
@@ -62,65 +64,118 @@
  \end{frame}
  
  \section{Architektur}
  \end{frame}
  
  \section{Architektur}
-% TODO SERVICE / IDENTITY PROVIDER
+
+\begin{frame}
+  \frametitle{Service Provider und Identity Provider}
+  Grundsätzliche Architektur: Aufspaltung in
+  \begin{itemize}
+    \item<1-> Identity Provider
+      \begin{itemize}
+       \item<2-> authentifiziert den Benutzer
+       \item<3-> ``Heiminstitution''
+      \end{itemize}
+    \item<4-> Service Provider
+      \begin{itemize}
+       \item<5-> stellt den Netzzugang zur Verfügung
+       \item<6-> ``besuchte'' Institution
+      \end{itemize}
+  \end{itemize}
+\end{frame}
+
  \begin{frame}
  \frametitle{IEEE 802.1X}
    \begin{figure}
      \centering
      \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
  \begin{frame}
  \frametitle{IEEE 802.1X}
    \begin{figure}
      \centering
      \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
-% TODO: Quellen bei Bildern
      \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
      \label{fig:8021X}
    \end{figure}
    \begin{enumerate}
      \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
      \label{fig:8021X}
    \end{figure}
    \begin{enumerate}
-    \item<1-> Rechner (Supplicants) müssen sich authentifizieren
-    \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten
-    \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen
+    \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren}
+    \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
+Gültigkeit der Login-Daten}
+    \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die
+kontrollierten Ressourcen}
    \end{enumerate}
  \end{frame}
  
    \end{enumerate}
  \end{frame}
  
-\begin{frame}
-  \frametitle{IEEE 802.1X: Detail}
-  \begin{figure}
-    \centering
-    \includegraphics[width=\textwidth]{8021X-ports.png}
-    %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
-    \label{fig:8021Xports}
-  \end{figure}
-  Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
-\end{frame}
+% \begin{frame}
+%   \frametitle{IEEE 802.1X: Detail}
+%   \begin{figure}
+%     \centering
+%     \includegraphics[width=\textwidth]{8021X-ports.png}
+%     \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
+%     \label{fig:8021Xports}
+%   \end{figure}
+%   Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
+% \end{frame}
  
  \begin{frame}
    \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
  
  \begin{frame}
    \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
-  Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt
    % TODO
    % TODO
+  \begin{itemize}
+    \item Authentifizierungsprotokoll in IEEE 802.1X
+    \pause
+    \item Grundsätzlicher Aufbau: \\ \medskip
+      \begin{tabular}{lr}
+        \textbf{Authenticator} & \textbf{Supplicant} \\
+        \hline
+        EAP-Identity Request $\rightarrow$ & \\
+        \pause
+         & $\leftarrow$ EAP-Identity Response \\
+        \pause
+      \end{tabular}
+      \pause
+      \item Danach: Wahl der Authentifikationsmethode und Authentifikation
+  \end{itemize}
  \end{frame}
  
  \begin{frame}
    \frametitle{EAP-TLS}
  \end{frame}
  
  \begin{frame}
    \frametitle{EAP-TLS}
-  % TODO
+  \begin{itemize}
+    \item gesicherte Authentifizierung über TLS-Protokoll
+    \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+    \pause
+    \item anschließend Authentifikation über den gesicherten Kanal
+    \pause
+    \begin{itemize}
+     \item bspw. durch EAP-CHAP o.~ä.
+    \end{itemize}
+  \end{itemize}
  \end{frame}
  
  \begin{frame}
    \frametitle{EAP-TTLS}
  \end{frame}
  
  \begin{frame}
    \frametitle{EAP-TTLS}
-  Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt
-  % TODO
+  \begin{itemize}
+    \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
+    \pause
+    \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+    \pause
+    \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
+    \pause
+    \begin{itemize}
+      \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
+      \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
+    \end{itemize}
+  \end{itemize}
  \end{frame}
  
  \begin{frame}
    \frametitle{RADIUS}
    \begin{itemize}
      \item Remote Authentication Dial-In User Service
  \end{frame}
  
  \begin{frame}
    \frametitle{RADIUS}
    \begin{itemize}
      \item Remote Authentication Dial-In User Service
-    \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
-    \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
+    \pause
+%     \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
+    \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
        anderen Server weiterleiten
    \end{itemize}
        anderen Server weiterleiten
    \end{itemize}
-  \only<4->{\begin{figure}
+  \pause
+  \begin{figure}
      \centering
      \includegraphics[width=0.4\textwidth]{eduroam-radius.png}
      \centering
      \includegraphics[width=0.4\textwidth]{eduroam-radius.png}
-    %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
+    \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})}
      \label{fig:eduroam-radius}
      \label{fig:eduroam-radius}
-  \end{figure}}
+  \end{figure}
  \end{frame}
  
  \begin{frame}
  \end{frame}
  
  \begin{frame}
@@ -144,27 +199,63 @@
    \frametitle{eduGAIN}
    \begin{figure}[htb]
      \centering
    \frametitle{eduGAIN}
    \begin{figure}[htb]
      \centering
-    \includegraphics[width=0.6\textwidth]{edugain-arch.png}
-%     \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
+    \includegraphics[width=0.55\textwidth]{edugain-arch.png}
+     \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
      \label{fig:edugain}
    \end{figure}
    \begin{itemize}
      \item Regelung des Zugriffs über manuell zugewiesene Attribute
      \label{fig:edugain}
    \end{figure}
    \begin{itemize}
      \item Regelung des Zugriffs über manuell zugewiesene Attribute
-    \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
+    \pause
+    \item Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
+  \end{itemize}
+\end{frame}
+
+\begin{frame}
+  \frametitle{eduGAIN -- Bridged Elements}
      \begin{itemize}
      \begin{itemize}
-      \item Abstraktion der institutionsspezifischen Protokolle
+      \item Protokoll: SOAP (gekapselt in HTTP)
+      \pause
+      \item Ziel: Abstraktion der institutionsspezifischen Protokolle
      \end{itemize}
      \end{itemize}
-  \end{itemize}
+%   \end{itemize}
  \end{frame}
  
  \section{Sicherheitsbetrachtungen}
  \begin{frame}
    \frametitle{Sicherheitsbetrachtungen}
  \end{frame}
  
  \section{Sicherheitsbetrachtungen}
  \begin{frame}
    \frametitle{Sicherheitsbetrachtungen}
-  \begin{itemize} % TODO aufbohren, details
-    \item Denial of Service durch gefälschte EAPOL-Pakete
-    \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
-    \item<3-> RADIUS-Root-Server ist Single Point of Failure
+  \begin{itemize}
+    \item Denial of Service durch gefälschte EAP-Pakete
+      \begin{itemize}
+        \pause
+        \item EAP-Pakete nicht kryptografisch abgesichert
+        \pause
+        \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich
+      \end{itemize}
+    \pause
+    \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
+  \end{itemize}
+\end{frame}
+
+\begin{frame}
+  \frametitle{Sicherheitsbetrachtungen}
+  \begin{itemize}
+    \item RADIUS-Root-Server ist Single Point of Failure
+      \begin{itemize}
+        \pause
+        \item muss redundant ausgelegt sein
+        \pause
+        \item andernfalls keine institutionsübergreifende Authentifizierung
+        \pause
+        \item behoben in eduroam-ng (siehe unten)
+      \end{itemize}
+    \pause
      \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
      \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
+      \begin{itemize}
+        \pause
+        \item Abhörsicherheit von Benutzerdaten nicht gegeben
+        \pause
+        \item behoben in eduroam-ng (siehe unten)
+      \end{itemize}
    \end{itemize}
  \end{frame}
  
    \end{itemize}
  \end{frame}
  
@@ -187,7 +278,8 @@
  
  \begin{frame}
    \frametitle{Quellenangaben}
  
  \begin{frame}
    \frametitle{Quellenangaben}
-% TODO eap, radius, ieee-quellen
+  \small
+  \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius}
    \bibliographystyle{plain}
    \bibliography{lit}
  \end{frame}
    \bibliographystyle{plain}
    \bibliography{lit}
  \end{frame}