X-Git-Url: https://git.rohieb.name/seminar-bachelor.git/blobdiff_plain/881358e6e4d28ff7c4467e1675dd813203a00ba9..refs/heads/master:/presentation.tex diff --git a/presentation.tex b/presentation.tex index 79449a4..7f4e7b8 100644 --- a/presentation.tex +++ b/presentation.tex @@ -11,6 +11,7 @@ \setbeamertemplate{table of contents}[ball] \setbeamertemplate{items}[ball] \setbeamertemplate{navigation symbols}{} + %%\setbeamertemplate{blocks}[rounded][shadow=true] \mode @@ -30,98 +31,154 @@ \section*{Überblick} -\frame{ +\begin{frame} \frametitle{Überblick} \tableofcontents -} +\end{frame} \section{Einführung} -\frame{ +\begin{frame} \frametitle{Was ist eduroam?} \begin{itemize} + \note{foo} \item<1-> "`\emph{edu}cational \emph{roam}ing"' \item<2-> Verbund aus den Organisationen nationaler Forschungsnetze \begin{itemize} \item TERENA -- Trans-European Research and Education Networking Association \end{itemize} - \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung - \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung) + \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und +Internetzugang + \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen +(Benutzerautorisierung) \end{itemize} -} +\end{frame} -\frame{ +\begin{frame} \frametitle{Verbreitung} \begin{figure}[h] \centering \includegraphics[width=.8\textwidth]{eduroam-map.png} \caption{Karte der teilnehmenden Länder \cite{eduroam.org}} \end{figure} -} +\end{frame} \section{Architektur} -\frame{ +\begin{frame} + \frametitle{Service Provider und Identity Provider} + Grundsätzliche Architektur: Aufspaltung in + \begin{itemize} + \item<1-> Identity Provider + \begin{itemize} + \item<2-> authentifiziert den Benutzer + \item<3-> ``Heiminstitution'' + \end{itemize} + \item<4-> Service Provider + \begin{itemize} + \item<5-> stellt den Netzzugang zur Verfügung + \item<6-> ``besuchte'' Institution + \end{itemize} + \end{itemize} +\end{frame} + +\begin{frame} \frametitle{IEEE 802.1X} \begin{figure} \centering \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf} - %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} + \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} \label{fig:8021X} \end{figure} \begin{enumerate} - \item<1> Rechner (Supplicants) müssen sich authentifizieren - \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten - \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen + \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren} + \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach +Gültigkeit der Login-Daten} + \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die +kontrollierten Ressourcen} \end{enumerate} -} +\end{frame} -\frame{ - \frametitle{IEEE 802.1X: Detail} - \begin{figure} - \centering - \includegraphics[width=\textwidth]{8021X-ports.png} - %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} - \label{fig:8021Xports} - \end{figure} - Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert. -} +% \begin{frame} +% \frametitle{IEEE 802.1X: Detail} +% \begin{figure} +% \centering +% \includegraphics[width=\textwidth]{8021X-ports.png} +% \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})} +% \label{fig:8021Xports} +% \end{figure} +% Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert. +% \end{frame} -\frame{ +\begin{frame} \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)} - Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt % TODO -} + \begin{itemize} + \item Authentifizierungsprotokoll in IEEE 802.1X + \pause + \item Grundsätzlicher Aufbau: \\ \medskip + \begin{tabular}{lr} + \textbf{Authenticator} & \textbf{Supplicant} \\ + \hline + EAP-Identity Request $\rightarrow$ & \\ + \pause + & $\leftarrow$ EAP-Identity Response \\ + \pause + \end{tabular} + \pause + \item Danach: Wahl der Authentifikationsmethode und Authentifikation + \end{itemize} +\end{frame} -\frame{ +\begin{frame} \frametitle{EAP-TLS} - Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TLS darstellt - % TODO -} + \begin{itemize} + \item gesicherte Authentifizierung über TLS-Protokoll + \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten + \pause + \item anschließend Authentifikation über den gesicherten Kanal + \pause + \begin{itemize} + \item bspw. durch EAP-CHAP o.~ä. + \end{itemize} + \end{itemize} +\end{frame} -\frame{ +\begin{frame} \frametitle{EAP-TTLS} - Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt - % TODO -} + \begin{itemize} + \item gesicherte Authentifizierung über getunnelte TLS-Verbindung + \pause + \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten + \pause + \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel + \pause + \begin{itemize} + \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation + \item innere Authentifikation bspw. durch EAP-CHAP o.~ä. + \end{itemize} + \end{itemize} +\end{frame} -\frame{ +\begin{frame} \frametitle{RADIUS} \begin{itemize} \item Remote Authentication Dial-In User Service - \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA) - \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen + \pause +% \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA) + \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen anderen Server weiterleiten \end{itemize} - \only<4->{\begin{figure} + \pause + \begin{figure} \centering \includegraphics[width=0.4\textwidth]{eduroam-radius.png} - %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} + \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})} \label{fig:eduroam-radius} - \end{figure}} -} + \end{figure} +\end{frame} -\frame{ +\begin{frame} \frametitle{Autorisierung anhand weiterer Benutzerattribute} % \begin{figure}[htb] % \centering @@ -135,62 +192,96 @@ \item \emph{Network Access Requestor (NAR)}: auf der Client-Seite für den Aufbau einer Netzwerkverbindung zuständig. (meist IEEE~802.1X Supplicant). \item \emph{Network Access Authority (NAA)}: regelt auf der Server-Seite den Zugriff der anfragenden Clients $\Rightarrow$ im RADIUS-Server integriert \end{itemize} -} +\end{frame} \section{eduGAIN} -\frame{ +\begin{frame} \frametitle{eduGAIN} \begin{figure}[htb] \centering - \includegraphics[width=0.6\textwidth]{edugain-arch.png} -% \caption{eduGAIN-Architektur~\cite{Lopez2008418}} + \includegraphics[width=0.55\textwidth]{edugain-arch.png} + \caption{eduGAIN-Architektur~\cite{Lopez2008418}} \label{fig:edugain} \end{figure} \begin{itemize} \item Regelung des Zugriffs über manuell zugewiesene Attribute - \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements} + \pause + \item Netzwerkübergreifende Kommunikation über \emph{Bridged Elements} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{eduGAIN -- Bridged Elements} \begin{itemize} - \item Abstraktion der institutionsspezifischen Protokolle + \item Protokoll: SOAP (gekapselt in HTTP) + \pause + \item Ziel: Abstraktion der institutionsspezifischen Protokolle \end{itemize} +% \end{itemize} +\end{frame} +\section{Sicherheitsbetrachtungen} +\begin{frame} + \frametitle{Sicherheitsbetrachtungen} + \begin{itemize} + \item Denial of Service durch gefälschte EAP-Pakete + \begin{itemize} + \pause + \item EAP-Pakete nicht kryptografisch abgesichert + \pause + \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich + \end{itemize} + \pause + \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut \end{itemize} +\end{frame} -} - -\section{Sicherheitsbetrachtungen} -\frame{ +\begin{frame} \frametitle{Sicherheitsbetrachtungen} \begin{itemize} - \item Denial of Service durch gefälschte EAPOL-Pakete - \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut - \item<3-> RADIUS-Root-Server ist Single Point of Failure + \item RADIUS-Root-Server ist Single Point of Failure + \begin{itemize} + \pause + \item muss redundant ausgelegt sein + \pause + \item andernfalls keine institutionsübergreifende Authentifizierung + \pause + \item behoben in eduroam-ng (siehe unten) + \end{itemize} + \pause \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert + \begin{itemize} + \pause + \item Abhörsicherheit von Benutzerdaten nicht gegeben + \pause + \item behoben in eduroam-ng (siehe unten) + \end{itemize} \end{itemize} -} +\end{frame} \section{Ausblick} -\frame{ +\begin{frame} \frametitle{Ausblick} \begin{itemize} \item eduroam-ng (\emph{eduroam next generation}) - \item<2-> Migration RADIUS $\rightarrow$ RadSec + \item<2-> Migration RADIUS $\rightarrow$ RadSec % was ist das? sicherheit? \begin{itemize} \item<3-> Gesicherte Kommunikation zwischen RADIUS-Servern \item<4-> Peer Discovery: automatisierte Feststellung des zuständigen RADIUS-Servers anhand von DNS-Einträgen (\url{_radiustls._tcp.idp.org}) $\Rightarrow$ kein SPoF mehr \end{itemize} - \end{itemize} +\end{frame} -} - -\frame{ - \centerline{\bf\LARGE Thank you!} -} +\begin{frame} + \centerline{\bf\LARGE Vielen Dank für die Aufmersamkeit!} +\end{frame} -\frame{ +\begin{frame} \frametitle{Quellenangaben} + \small + \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius} \bibliographystyle{plain} \bibliography{lit} -} +\end{frame} -\end{document} \ No newline at end of file +\end{document}