<!-- Created with Inkscape (http://www.inkscape.org/) -->
<svg
+ xmlns:dc="http://purl.org/dc/elements/1.1/"
+ xmlns:cc="http://creativecommons.org/ns#"
+ xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"
xmlns:svg="http://www.w3.org/2000/svg"
xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
+ xmlns:sodipodi="http://sodipodi.sourceforge.net/DTD/sodipodi-0.dtd"
+ xmlns:inkscape="http://www.inkscape.org/namespaces/inkscape"
version="1.1"
width="680"
height="410"
- id="svg2">
+ id="svg2"
+ inkscape:version="0.47 r22583"
+ sodipodi:docname="8021X-Overview.svg">
+ <metadata
+ id="metadata72">
+ <rdf:RDF>
+ <cc:Work
+ rdf:about="">
+ <dc:format>image/svg+xml</dc:format>
+ <dc:type
+ rdf:resource="http://purl.org/dc/dcmitype/StillImage" />
+ <dc:title></dc:title>
+ </cc:Work>
+ </rdf:RDF>
+ </metadata>
+ <sodipodi:namedview
+ pagecolor="#ffffff"
+ bordercolor="#666666"
+ borderopacity="1"
+ objecttolerance="10"
+ gridtolerance="10"
+ guidetolerance="10"
+ inkscape:pageopacity="0"
+ inkscape:pageshadow="2"
+ inkscape:window-width="1366"
+ inkscape:window-height="693"
+ id="namedview70"
+ showgrid="false"
+ inkscape:zoom="2.302439"
+ inkscape:cx="304.91861"
+ inkscape:cy="129.20699"
+ inkscape:window-x="0"
+ inkscape:window-y="25"
+ inkscape:window-maximized="1"
+ inkscape:current-layer="layer1" />
<defs
id="defs4">
+ <inkscape:perspective
+ sodipodi:type="inkscape:persp3d"
+ inkscape:vp_x="0 : 205 : 1"
+ inkscape:vp_y="0 : 1000 : 0"
+ inkscape:vp_z="680 : 205 : 1"
+ inkscape:persp3d-origin="340 : 136.66667 : 1"
+ id="perspective74" />
<marker
refX="0"
refY="0"
xlink:href="#path3635-9"
id="textPath3862"><tspan
id="tspan3835"
- style="font-size:14px">Wireless Network</tspan></textPath></text>
+ style="font-size:18px">Wireless Network</tspan></textPath></text>
<g
- transform="translate(-29.305886,74.799015)"
+ transform="matrix(1.1606824,0,0,1.1606824,-136.27255,-59.526542)"
id="g3955"
style="font-size:14px;fill:#ffffff;fill-opacity:1">
<path
y="859.88141"
id="text3913"
xml:space="preserve"
- style="font-size:14px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
+ style="font-size:18px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
x="620.12579"
y="859.88141"
id="tspan3915"
id="path3883"
style="fill:none;stroke:#000000;stroke-width:2;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none" />
<path
- d="m 437.85714,949.33172 70,0"
+ d="m 437.85714,949.33172 49.58686,0"
id="path3885"
- style="fill:none;stroke:#000000;stroke-width:2;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none" />
+ style="fill:none;stroke:#000000;stroke-width:2;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none"
+ sodipodi:nodetypes="cc" />
<path
d="m 437.85714,989.33172 0,49.99998"
id="path3887"
y="741.3316"
id="text3961"
xml:space="preserve"
- style="font-size:14px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
+ style="font-size:18px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
x="465.55777"
y="741.3316"
id="tspan3965">Authentication Server</tspan><tspan
id="path3769-5"
style="fill:none;stroke:#000000;stroke-width:0.60000002;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none" />
<text
- x="136.24805"
- y="825.17426"
+ x="107.14847"
+ y="826.91156"
id="text3967"
xml:space="preserve"
- style="font-size:14px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
- x="136.24805"
- y="825.17426"
+ style="font-size:18px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
+ x="107.14847"
+ y="826.91156"
id="tspan3969">Authenticator</tspan></text>
</g>
<g
id="path3769"
style="fill:none;stroke:#000000;stroke-width:0.60000002;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none" />
<text
- x="5.8368378"
- y="1004.9916"
+ x="101.38769"
+ y="998.47675"
id="text3971"
xml:space="preserve"
- style="font-size:14px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
- x="5.8368378"
- y="1004.9916"
+ style="font-size:18px;font-style:normal;font-weight:normal;fill:#000000;fill-opacity:1;stroke:none;font-family:Bitstream Vera Sans"><tspan
+ x="101.38769"
+ y="998.47675"
id="tspan3973">Supplicant</tspan></text>
</g>
<path
id="path3995"
style="fill:none;stroke:#00a330;stroke-width:3;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none;marker-end:url(#ArrowGreen)" />
<path
- d="M 122.71442,967.16119 C 297.22556,993.13383 332.739,916.63107 492.76096,929.43742"
+ d="M 122.71442,967.16119 C 297.22556,993.13383 317.10341,909.2476 477.12537,922.05395"
id="path3997"
- style="fill:none;stroke:#166bad;stroke-width:3;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none;marker-start:url(#ArrowBlueBegin);marker-end:url(#ArrowBlueEnd)" />
+ style="fill:none;stroke:#166bad;stroke-width:3;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none;marker-start:url(#ArrowBlueBegin);marker-end:url(#ArrowBlueEnd)"
+ sodipodi:nodetypes="cc" />
<g
transform="translate(199.34754,152.7751)"
id="g9536">
style="fill:none;stroke:#000000;stroke-width:1.70000005;stroke-linejoin:round;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none;stroke-dashoffset:0" />
</g>
<g
- transform="translate(372.76127,212.57416)"
+ transform="translate(370.76127,206.57416)"
id="g9536-9">
<text
x="-87.653809"
\begin{itemize}
\item TERENA -- Trans-European Research and Education Networking Association
\end{itemize}
- \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung // Internetzugang
- \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung)
+ \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und
+Internetzugang
+ \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen
+(Benutzerautorisierung)
\end{itemize}
\end{frame}
\end{frame}
\section{Architektur}
-% TODO SERVICE / IDENTITY PROVIDER
+
+\begin{frame}
+ \frametitle{Service Provider und Identity Provider}
+ Grundsätzliche Architektur: Aufspaltung in
+ \begin{itemize}
+ \item<1-> Identity Provider
+ \begin{itemize}
+ \item<2-> authentifiziert den Benutzer
+ \item<3-> ``Heiminstitution''
+ \end{itemize}
+ \item<4-> Service Provider
+ \begin{itemize}
+ \item<5-> stellt den Netzzugang zur Verfügung
+ \item<6-> ``besuchte'' Institution
+ \end{itemize}
+ \end{itemize}
+\end{frame}
+
\begin{frame}
\frametitle{IEEE 802.1X}
\begin{figure}
\centering
\includegraphics[width=0.6\textwidth]{8021X-Overview.pdf}
-% TODO: Quellen bei Bildern
\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
\label{fig:8021X}
\end{figure}
\begin{enumerate}
- \item<1-> Rechner (Supplicants) müssen sich authentifizieren
- \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten
- \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen
+ \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren}
+ \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach
+Gültigkeit der Login-Daten}
+ \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die
+kontrollierten Ressourcen}
\end{enumerate}
\end{frame}
-\begin{frame}
- \frametitle{IEEE 802.1X: Detail}
- \begin{figure}
- \centering
- \includegraphics[width=\textwidth]{8021X-ports.png}
- %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
- \label{fig:8021Xports}
- \end{figure}
- Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
-\end{frame}
+% \begin{frame}
+% \frametitle{IEEE 802.1X: Detail}
+% \begin{figure}
+% \centering
+% \includegraphics[width=\textwidth]{8021X-ports.png}
+% \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})}
+% \label{fig:8021Xports}
+% \end{figure}
+% Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert.
+% \end{frame}
\begin{frame}
\frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)}
- Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt
% TODO
+ \begin{itemize}
+ \item Authentifizierungsprotokoll in IEEE 802.1X
+ \pause
+ \item Grundsätzlicher Aufbau: \\ \medskip
+ \begin{tabular}{lr}
+ \textbf{Authenticator} & \textbf{Supplicant} \\
+ \hline
+ EAP-Identity Request $\rightarrow$ & \\
+ \pause
+ & $\leftarrow$ EAP-Identity Response \\
+ \pause
+ \end{tabular}
+ \pause
+ \item Danach: Wahl der Authentifikationsmethode und Authentifikation
+ \end{itemize}
\end{frame}
\begin{frame}
\frametitle{EAP-TLS}
- % TODO
+ \begin{itemize}
+ \item gesicherte Authentifizierung über TLS-Protokoll
+ \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+ \item anschließend Authentifikation über den gesicherten Kanal
+ \begin{itemize}
+ \item bspw. durch EAP-CHAP o.~ä.
+ \end{itemize}
+ \end{itemize}
\end{frame}
\begin{frame}
\frametitle{EAP-TTLS}
- Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt
- % TODO
+ \begin{itemize}
+ \item gesicherte Authentifizierung über getunnelte TLS-Verbindung
+ \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten
+ \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel
+ \begin{itemize}
+ \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation
+ \item innere Authentifikation bspw. durch EAP-CHAP o.~ä.
+ \end{itemize}
+ \end{itemize}
\end{frame}
\begin{frame}
\frametitle{RADIUS}
\begin{itemize}
\item Remote Authentication Dial-In User Service
- \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
- \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
+ \pause
+% \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA)
+ \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen
anderen Server weiterleiten
\end{itemize}
\only<4->{\begin{figure}
\centering
\includegraphics[width=0.4\textwidth]{eduroam-radius.png}
- %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})}
+ \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})}
\label{fig:eduroam-radius}
\end{figure}}
\end{frame}
\frametitle{eduGAIN}
\begin{figure}[htb]
\centering
- \includegraphics[width=0.6\textwidth]{edugain-arch.png}
-% \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
+ \includegraphics[width=0.55\textwidth]{edugain-arch.png}
+ \caption{eduGAIN-Architektur~\cite{Lopez2008418}}
\label{fig:edugain}
\end{figure}
\begin{itemize}
\item Regelung des Zugriffs über manuell zugewiesene Attribute
\item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements}
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{eduGAIN -- Bridged Elements}
\begin{itemize}
- \item Abstraktion der institutionsspezifischen Protokolle
+ \item Protokoll: SOAP (gekapselt in HTTP)
+ \pause
+ \item Ziel: Abstraktion der institutionsspezifischen Protokolle
\end{itemize}
- \end{itemize}
+% \end{itemize}
\end{frame}
\section{Sicherheitsbetrachtungen}
\begin{frame}
\frametitle{Sicherheitsbetrachtungen}
- \begin{itemize} % TODO aufbohren, details
- \item Denial of Service durch gefälschte EAPOL-Pakete
- \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
- \item<3-> RADIUS-Root-Server ist Single Point of Failure
+ \begin{itemize}
+ \item Denial of Service durch gefälschte EAP-Pakete
+ \begin{itemize}
+ \pause
+ \item EAP-Pakete nicht kryptografisch abgesichert
+ \pause
+ \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich
+ \end{itemize}
+ \pause
+ \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut
+ \end{itemize}
+\end{frame}
+
+\begin{frame}
+ \frametitle{Sicherheitsbetrachtungen}
+ \begin{itemize}
+ \item RADIUS-Root-Server ist Single Point of Failure
+ \begin{itemize}
+ \pause
+ \item muss redundant ausgelegt sein
+ \pause
+ \item andernfalls keine institutionsübergreifende Authentifizierung
+ \pause
+ \item behoben in eduroam-ng (siehe unten)
+ \end{itemize}
+ \pause
\item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert
+ \begin{itemize}
+ \pause
+ \item Abhörsicherheit von Benutzerdaten nicht gegeben
+ \pause
+ \item behoben in eduroam-ng (siehe unten)
+ \end{itemize}
\end{itemize}
\end{frame}
\begin{frame}
\frametitle{Quellenangaben}
-% TODO eap, radius, ieee-quellen
+ \small
+ \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius}
\bibliographystyle{plain}
\bibliography{lit}
\end{frame}
img_extIsRegExp=false
img_extensions=.eps .jpg .jpeg .png .pdf .ps .fig .gif
kileprversion=2
-kileversion=2.1 beta2
+kileversion=2.0.85
lastDocument=presentation.tex
masterDocument=ausarbeitung.tex
name=Seminar
MakeIndex=
QuickBuild=
+[document-settings,item:ausarbeitung.tex]
+Bookmarks=
+Encoding=UTF-8
+Highlighting=LaTeX
+Indentation Mode=
+Mode=LaTeX
+ReadWrite=true
+
+[document-settings,item:ausblick.tex]
+Bookmarks=
+Encoding=UTF-8
+Highlighting=LaTeX
+Indentation Mode=
+Mode=LaTeX
+ReadWrite=true
+
+[document-settings,item:authz.tex]
+Bookmarks=
+Encoding=UTF-8
+Highlighting=LaTeX
+Indentation Mode=
+Mode=LaTeX
+ReadWrite=true
+
+[document-settings,item:lit.bib]
+Bookmarks=
+Encoding=UTF-8
+Highlighting=BibTeX
+Indentation Mode=normal
+Mode=BibTeX
+ReadWrite=true
+
+[document-settings,item:presentation.tex]
+Bookmarks=
+Encoding=UTF-8
+Highlighting=LaTeX
+Indentation Mode=
+Mode=LaTeX
+ReadWrite=true
+
[item:8021X-Overview.pdf]
archive=true
column=0
encoding=
highlight=
line=0
+mode=
open=false
order=-1
encoding=
highlight=
line=0
+mode=
open=false
order=-1
encoding=UTF-8
highlight=LaTeX
line=43
+mode=
open=false
order=1
column=0
encoding=UTF-8
highlight=LaTeX
-line=40
+line=0
+mode=LaTeX
open=true
order=0
[item:ausblick.tex]
archive=true
-column=324
+column=0
encoding=UTF-8
highlight=LaTeX
-line=8
-open=true
+line=0
+mode=LaTeX
+open=false
order=3
[item:authn.tex]
encoding=UTF-8
highlight=LaTeX
line=40
+mode=
open=false
order=6
column=0
encoding=UTF-8
highlight=LaTeX
-line=1
+line=0
+mode=LaTeX
open=true
order=1
encoding=UTF-8
highlight=LaTeX
line=18
+mode=
open=false
order=9
encoding=
highlight=
line=0
+mode=
open=false
order=-1
encoding=
highlight=
line=0
+mode=
open=false
order=-1
encoding=
highlight=
line=0
+mode=
open=false
order=-1
encoding=UTF-8
highlight=LaTeX
line=12
+mode=
open=false
order=5
encoding=UTF-8
highlight=LaTeX
line=13
+mode=
open=false
order=2
[item:lit.bib]
archive=true
-column=1
+column=10
encoding=UTF-8
highlight=BibTeX
-line=151
-open=false
-order=3
+line=128
+mode=BibTeX
+open=true
+order=2
[item:presentation.tex]
archive=true
-column=150
+column=10
encoding=UTF-8
highlight=LaTeX
-line=178
+line=243
+mode=LaTeX
open=true
-order=2
+order=3
[item:seminar.kilepr]
archive=true
encoding=
highlight=
line=0
+mode=
open=false
order=-1
encoding=UTF-8
highlight=LaTeX
line=2
+mode=
open=false
order=4
encoding=
highlight=
line=0
+mode=
open=false
order=-1
encoding=UTF-8
highlight=LaTeX
line=6
+mode=
open=false
order=2
+
+[view-settings,view=0,item:ausarbeitung.tex]
+CursorColumn=0
+CursorLine=0
+
+[view-settings,view=0,item:ausblick.tex]
+CursorColumn=0
+CursorLine=0
+
+[view-settings,view=0,item:authz.tex]
+CursorColumn=0
+CursorLine=0
+
+[view-settings,view=0,item:lit.bib]
+CursorColumn=10
+CursorLine=128
+
+[view-settings,view=0,item:presentation.tex]
+CursorColumn=10
+CursorLine=243
projects / seminar-bachelor.git / commitdiff
