X-Git-Url: https://git.rohieb.name/seminar-bachelor.git/blobdiff_plain/e281964ca7df21fd1be537aa0cc338612acdd23e..ebb54be3f784cd0da9a3d5715d3a58f934bf46cd:/presentation.tex diff --git a/presentation.tex b/presentation.tex index 3837e65..7f4e7b8 100644 --- a/presentation.tex +++ b/presentation.tex @@ -47,8 +47,10 @@ \begin{itemize} \item TERENA -- Trans-European Research and Education Networking Association \end{itemize} - \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung // Internetzugang - \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung) + \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und +Internetzugang + \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen +(Benutzerautorisierung) \end{itemize} \end{frame} @@ -62,65 +64,118 @@ \end{frame} \section{Architektur} -% TODO SERVICE / IDENTITY PROVIDER + +\begin{frame} + \frametitle{Service Provider und Identity Provider} + Grundsätzliche Architektur: Aufspaltung in + \begin{itemize} + \item<1-> Identity Provider + \begin{itemize} + \item<2-> authentifiziert den Benutzer + \item<3-> ``Heiminstitution'' + \end{itemize} + \item<4-> Service Provider + \begin{itemize} + \item<5-> stellt den Netzzugang zur Verfügung + \item<6-> ``besuchte'' Institution + \end{itemize} + \end{itemize} +\end{frame} + \begin{frame} \frametitle{IEEE 802.1X} \begin{figure} \centering \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf} -% TODO: Quellen bei Bildern \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} \label{fig:8021X} \end{figure} \begin{enumerate} - \item<1-> Rechner (Supplicants) müssen sich authentifizieren - \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten - \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen + \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren} + \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach +Gültigkeit der Login-Daten} + \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die +kontrollierten Ressourcen} \end{enumerate} \end{frame} -\begin{frame} - \frametitle{IEEE 802.1X: Detail} - \begin{figure} - \centering - \includegraphics[width=\textwidth]{8021X-ports.png} - %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} - \label{fig:8021Xports} - \end{figure} - Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert. -\end{frame} +% \begin{frame} +% \frametitle{IEEE 802.1X: Detail} +% \begin{figure} +% \centering +% \includegraphics[width=\textwidth]{8021X-ports.png} +% \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})} +% \label{fig:8021Xports} +% \end{figure} +% Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert. +% \end{frame} \begin{frame} \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)} - Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt % TODO + \begin{itemize} + \item Authentifizierungsprotokoll in IEEE 802.1X + \pause + \item Grundsätzlicher Aufbau: \\ \medskip + \begin{tabular}{lr} + \textbf{Authenticator} & \textbf{Supplicant} \\ + \hline + EAP-Identity Request $\rightarrow$ & \\ + \pause + & $\leftarrow$ EAP-Identity Response \\ + \pause + \end{tabular} + \pause + \item Danach: Wahl der Authentifikationsmethode und Authentifikation + \end{itemize} \end{frame} \begin{frame} \frametitle{EAP-TLS} - % TODO + \begin{itemize} + \item gesicherte Authentifizierung über TLS-Protokoll + \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten + \pause + \item anschließend Authentifikation über den gesicherten Kanal + \pause + \begin{itemize} + \item bspw. durch EAP-CHAP o.~ä. + \end{itemize} + \end{itemize} \end{frame} \begin{frame} \frametitle{EAP-TTLS} - Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt - % TODO + \begin{itemize} + \item gesicherte Authentifizierung über getunnelte TLS-Verbindung + \pause + \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten + \pause + \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel + \pause + \begin{itemize} + \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation + \item innere Authentifikation bspw. durch EAP-CHAP o.~ä. + \end{itemize} + \end{itemize} \end{frame} \begin{frame} \frametitle{RADIUS} \begin{itemize} \item Remote Authentication Dial-In User Service - \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA) - \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen + \pause +% \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA) + \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen anderen Server weiterleiten \end{itemize} - \only<4->{\begin{figure} + \pause + \begin{figure} \centering \includegraphics[width=0.4\textwidth]{eduroam-radius.png} - %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} + \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})} \label{fig:eduroam-radius} - \end{figure}} + \end{figure} \end{frame} \begin{frame} @@ -144,27 +199,63 @@ \frametitle{eduGAIN} \begin{figure}[htb] \centering - \includegraphics[width=0.6\textwidth]{edugain-arch.png} -% \caption{eduGAIN-Architektur~\cite{Lopez2008418}} + \includegraphics[width=0.55\textwidth]{edugain-arch.png} + \caption{eduGAIN-Architektur~\cite{Lopez2008418}} \label{fig:edugain} \end{figure} \begin{itemize} \item Regelung des Zugriffs über manuell zugewiesene Attribute - \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements} + \pause + \item Netzwerkübergreifende Kommunikation über \emph{Bridged Elements} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{eduGAIN -- Bridged Elements} \begin{itemize} - \item Abstraktion der institutionsspezifischen Protokolle + \item Protokoll: SOAP (gekapselt in HTTP) + \pause + \item Ziel: Abstraktion der institutionsspezifischen Protokolle \end{itemize} - \end{itemize} +% \end{itemize} \end{frame} \section{Sicherheitsbetrachtungen} \begin{frame} \frametitle{Sicherheitsbetrachtungen} - \begin{itemize} % TODO aufbohren, details - \item Denial of Service durch gefälschte EAPOL-Pakete - \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut - \item<3-> RADIUS-Root-Server ist Single Point of Failure + \begin{itemize} + \item Denial of Service durch gefälschte EAP-Pakete + \begin{itemize} + \pause + \item EAP-Pakete nicht kryptografisch abgesichert + \pause + \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich + \end{itemize} + \pause + \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Sicherheitsbetrachtungen} + \begin{itemize} + \item RADIUS-Root-Server ist Single Point of Failure + \begin{itemize} + \pause + \item muss redundant ausgelegt sein + \pause + \item andernfalls keine institutionsübergreifende Authentifizierung + \pause + \item behoben in eduroam-ng (siehe unten) + \end{itemize} + \pause \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert + \begin{itemize} + \pause + \item Abhörsicherheit von Benutzerdaten nicht gegeben + \pause + \item behoben in eduroam-ng (siehe unten) + \end{itemize} \end{itemize} \end{frame} @@ -187,7 +278,8 @@ \begin{frame} \frametitle{Quellenangaben} -% TODO eap, radius, ieee-quellen + \small + \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius} \bibliographystyle{plain} \bibliography{lit} \end{frame}