ausarbeitung
authorRoland Hieber <rohieb@rohieb.name>
Mon, 17 May 2010 04:06:41 +0000 (06:06 +0200)
committerRoland Hieber <rohieb@rohieb.name>
Mon, 17 May 2010 04:06:41 +0000 (06:06 +0200)
.gitignore
8021X-Overview.png [new file with mode: 0644]
Makefile [new file with mode: 0644]
architektur.tex [new file with mode: 0644]
ausarbeitung.tex [new file with mode: 0644]
authn.tex [new file with mode: 0644]
authz.tex [new file with mode: 0644]
eduroam-map.png [new file with mode: 0644]
einfuehrung.tex [new file with mode: 0644]
lit.bib [new file with mode: 0644]
zusammenfassung.tex [new file with mode: 0644]

index 7052a83..36a8a03 100644 (file)
@@ -1,7 +1,10 @@
-gliederung.tex~
-gliederung.tex.backup
-gliederung.log
-gliederung.pdf
+*~
+.*.swp
+*.backup
+*.log
+*.pdf
 *.dvi
-gliederung.aux
+*.aux
 *.toc
+*.bbl
+*.blg
diff --git a/8021X-Overview.png b/8021X-Overview.png
new file mode 100644 (file)
index 0000000..0921528
Binary files /dev/null and b/8021X-Overview.png differ
diff --git a/Makefile b/Makefile
new file mode 100644 (file)
index 0000000..f24a2f0
--- /dev/null
+++ b/Makefile
@@ -0,0 +1,5 @@
+all: 
+       pdflatex ausarbeitung.tex
+
+clean:
+       rm -f *.bbl *.blg *.pdf *.log *.aux
diff --git a/architektur.tex b/architektur.tex
new file mode 100644 (file)
index 0000000..d010189
--- /dev/null
@@ -0,0 +1,18 @@
+\section{Architektur}
+\subsection{Identity Provider und Service Provider}
+Um das Roaming von Endbenutzern so einfach wie möglich zu machen, wird in der Architektur von eduroam zwischen dem \emph{Identity Provider} (\acr{IdP}) und dem \emph{Service Provider} (\acr{SP}) unterschieden. Der Identity Provider ist für die Authentifizierung des sich einwählenden Benutzers zuständig, wobei der Service Provider den Netzzugang stellt, und mit dem Identity Provider kommuniziert, um den Benutzer zu authentifizieren. Beispielsweise ist ein Benutzer, der ein Benutzerkonto an der \acr{TU} Braunschweig besitzt, zu Gast an der \acr{TU} Berlin, und will das dort vorhandene \acr{WLAN} benutzen. Beide Universitäten nehmen am eduroam-Programm teil. Bei der Einwahl in Berlin kommuniziert der zuständige Server dort mit dem Server in Braunschweig, der für die Benutzerauthentifizierung zuständig ist, und gestattet (oder verwehrt) aufgrund dessen Antwort dem Benutzer den Netzzugriff.
+
+\subsection{Sicherer Netzzugang durch \acr{IEEE 802.1X}}
+Der sichere Netzzugang wird in eduroam durch den Standard \acr{IEEE 802.1X}
+\cite{IEEE802.1X} auf \acr{ISO/OSI}-Layer 2 realisiert. Dabei muss sich der Rechner, der Zugriff auf das physikalische Netz erlangen will (der sogenannte \emph{Supplicant}) bei einem Server (dem \emph{Authenticator} authentifizieren, bevor er Zugriff auf weitere Netzressourcen erhält.
+Die Methode der Authentifizierung kann dabei prinzipiell frei gewählt werden, innerhalb des eduroam-Verbundes werden allerdings aus Gründen der Sicherheit die Protokolle \acr{EAP-TLS}, \acr{EAP-TTLS}, oder \acr{EAP-PEAP} (weiteres dazu später) eingesetzt, die die Authentifizierung über eine gesicherte Verbindung abwickeln.
+
+Der Authenticator wird vom Service Provider bereitgestellt und ist in dessen Netz eingebunden, es kann sich dabei je nach Integrationsgrad und Zugangsmedium um einen Access Point, einen Switch bzw. Router, oder einen dedizierten Server handeln. Er hat die Aufgabe, den Benutzer zu authentifizieren, indem er mit einen \emph{Authentication Server} (\acr{AS}) kommuniziert. Dieser wiederum kann sich im selben Netzwerk befinden, kann aber in der Netzwerktopologie auch beliebig weit entfernt sein.
+
+\begin{figure}
+  \centering
+  \includegraphics[width=0.6\textwidth]{8021X-Overview.png}
+  \caption{Netzzugang durch \acr{IEEE 802.1X} (Lizenz: \acr{CC-BY-SA 3.0 DE})}
+\end{figure}
+
+\subsection{Benutzerauthentifizierung und -authorisierung (IEEE 802.1X, RADIUS)}
diff --git a/ausarbeitung.tex b/ausarbeitung.tex
new file mode 100644 (file)
index 0000000..d2ad08d
--- /dev/null
@@ -0,0 +1,38 @@
+\documentclass[12pt,a4paper]{scrartcl}
+
+\usepackage[utf8]{inputenc}
+\usepackage{ngerman}
+\usepackage{graphicx}
+
+\title{Sicherheit in eduroam}
+\subtitle{Seminar Kommunikation und Multimedia, Sommersemester 2010}
+\author{Roland Hieber \\ Matr.~Nr.~2947286}
+
+%% Akronym
+\newcommand{\acr}[1]{\small{#1}}
+
+%% Anfang des Dokuments
+\begin{document}
+
+\maketitle
+
+\begin{abstract}
+Diese Arbeit gibt einen Überblick über die Architektur von eduroam. Im Anschluss wird die Vorgehensweise bei der Benutzerauthentifizierung und -authorisierung dargelegt, wobei der Schwerpunkt insbesondere auf der Betrachtung der Sicherheit liegt.
+\end{abstract}
+
+\input{einfuehrung}
+\input{architektur}
+\input{authn}
+\input{authz}
+\input{zusammenfassung}
+
+%% Bibliografie
+\nocite{RFC2865}
+\nocite{cookbook}
+\nocite{10.1109/NSS.2009.47}
+\nocite{Lopez2008418}
+\nocite{Lopez2007900}
+\bibliographystyle{plain}
+\bibliography{lit}
+
+\end{document}
diff --git a/authn.tex b/authn.tex
new file mode 100644 (file)
index 0000000..602c9ce
--- /dev/null
+++ b/authn.tex
@@ -0,0 +1,11 @@
+\section{Benutzerauthentifizierung im Detail}
+\subsection{Feststellung der Identität der kommunizierenden Systeme untereinander}
+
+\subsection{Aufbau einer sicheren Verbindung zur Benutzerauthentifizierung}
+\subsubsection{\acr{EAP-TTLS} -- \acr{EAP} over Tunneled \acr{TLS}}
+\subsubsection{\acr{EAP-TLS} -- \acr{EAP} over \acr{TLS}}
+\subsubsection{\acr{EAP-PEAP}}
+
+\subsection{Authentifizierung des Benutzers}
+\subsection{Zugriff auf Heimatnetzwerk}
+
diff --git a/authz.tex b/authz.tex
new file mode 100644 (file)
index 0000000..12fdce4
--- /dev/null
+++ b/authz.tex
@@ -0,0 +1,3 @@
+\section{Benutzerauthorisierung im Detail (eduGAIN)}
+eduGAIN
+\subsection{Benutzerattribute, XACML, SAML}
diff --git a/eduroam-map.png b/eduroam-map.png
new file mode 100644 (file)
index 0000000..01f88bf
Binary files /dev/null and b/eduroam-map.png differ
diff --git a/einfuehrung.tex b/einfuehrung.tex
new file mode 100644 (file)
index 0000000..2fa8a5d
--- /dev/null
@@ -0,0 +1,14 @@
+\section{Einführung}
+\emph{eduroam} ist ein Verbund von Netzwerken, der es Mitgliedern der teilnehmenden Institutionen (insbesondere Hochschulen und andere Forschungs- und Bildungseinrichtungen) einen unkomplizierten Netzzugang an allen anderen teilnehmenden Institutionen, beispielsweise über \acr{LAN} oder \acr{WLAN}, ermöglicht, wobei der Besucher mit den Login-Daten seiner Heimatinstitution Zugriff auf das Netz erhält. So wird die Kommunikation in Forschung und Lehre auch bei Dienstreisen, Konferenzen oder Auslandssemestern nahtlos ermöglicht, und es entfällt die Notwendigkeit einer Einrichtung von (eventuell ungeschützten oder mit Standardpassworten versehenen) Gastzugängen, die missbraucht werden könnten, oder sonstigen zusätzlichen Benutzerkonten für Besucher. Der Name leitet sich von "`\emph{edu}cational \emph{roam}ing"' ab.
+
+Innerhalb des eduroam-Netzes wird aber nicht nur auf Benutzerauthentifikation Wert gelegt, sondern es besteht auch die Möglichkeit der Benutzerauthorisierung, um den Zugriff auf bestimmte Netzressourcen an Bedingungen zu koppeln. Beispielsweise sind Szenarien denkbar, wo bestimmte Ressourcen (z.~B. Drucker) nur von berechtigten Personen (beispielsweise wissenschaftlichen Mitarbeitern und Professoren) genutzt werden dürfen. Diese Authorisierungsmechanismen werden durch \emph{edu\acr{GAIN}} (\acr{GÉANT} Authorisation Infrastructure, \acr{GÉANT} bezeichnet das gesamte, pan-europäische Forschungsnetz) bereitgestellt.
+
+Die Organisation \emph{\acr{TERENA}} (Trans-European Research and Education Networking Association), eine Dachorganisation, die sich aus den Organisationen der einzelnen nationalen Forschungsnetzwerke (\acr{NREN}, \emph{National Research and Education Network}) zusammensetzt, und ihren Sitz in Amsterdam hat, startete das eduroam-Programm im Jahr 2003. Sie pflegt auch die
+grundlegende Server-Infrastruktur. Nahezu alle europäischen \acr{NREN}s nehmen am eduroam-Programm teil, dessen Verbreitung ist aber nicht auf Europa an sich beschränkt, sodass eduroam auch in einigen asiatischen und nordamerikanischen Ländern (insbesondere in den Vereinigten Staaten und Japan) zur Verfügung steht.
+
+\begin{figure}[h]
+  \centering
+  \includegraphics[width=.6\textwidth]{eduroam-map.png}
+  \caption{Karte der teilnehmenden \acr{NREN}s. Die nordamerikanischen Länder sind noch nicht dargestellt. \cite{eduroam.org}}
+\end{figure}
+
diff --git a/lit.bib b/lit.bib
new file mode 100644 (file)
index 0000000..23243c5
--- /dev/null
+++ b/lit.bib
@@ -0,0 +1,108 @@
+@article{Lopez2007900,\r
+title = "{A network access control approach based on the AAA architecture and\r
+authorization attributes}",\r
+journal = "Journal of Network and Computer Applications",\r
+volume = "30",\r
+number = "3",\r
+pages = "900 - 919",\r
+year = "2007",\r
+note = "",\r
+issn = "1084-8045",\r
+doi = "DOI: 10.1016/j.jnca.2005.07.010",\r
+howpublished = "http://www.sciencedirect.com/science/article/B6WKB-4H3Y8R1-2/2/88b43ba7f229ab0fb00316f6032a1e4a",\r
+author = "Gabriel López and Oscar Cánovas and Antonio F. Gómez and Jesús D. Jiménez and Rafael Marín",\r
+keywords = "Authorization",\r
+keywords = "Access control",\r
+keywords = "Attributes",\r
+keywords = "SAML",\r
+keywords = "XACML"\r
+}\r
+\r
+@article{Lopez2008418,\r
+title = "A proposal for extending the eduroam infrastructure with authorization\r
+mechanisms",\r
+journal = "Computer Standards \& Interfaces",\r
+volume = "30",\r
+number = "6",\r
+pages = "418 - 423",\r
+year = "2008",\r
+note = "Special Issue: State of standards in the information systems security\r
+area",\r
+issn = "0920-5489",\r
+doi = "DOI: 10.1016/j.csi.2008.03.010",\r
+howpublished =\r
+"http://www.sciencedirect.com/science/article/B6TYV-4S0YXPG-B/2/0c98447f805fc208\r
+08a35c3d64804eb4",\r
+author = "Gabriel López and Óscar Cánovas and Antonio F. Gómez-Skarmeta and\r
+Manuel Sánchez",\r
+keywords = "NAS-SAML",\r
+keywords = "eduroam",\r
+keywords = "eduGAIN",\r
+keywords = "Authorization",\r
+keywords = "AAA"\r
+}\r
+\r
+@article{10.1109/NSS.2009.47,\r
+author = {Fernando Bernal and Manuel Sánchez and Gabriel López and Antonio F.\r
+Gómez-Skarmeta and Óscar Cánovas},\r
+title = {Trusted Network Access Control in the Eduroam Federation},\r
+journal ={International Conference on Network and System Security},\r
+volume = {0},\r
+isbn = {978-0-7695-3838-9},\r
+year = {2009},\r
+pages = {170-175},\r
+howpublished = {http://doi.ieeecomputersociety.org/10.1109/NSS.2009.47},\r
+publisher = {IEEE Computer Society},\r
+address = {Los Alamitos, CA, USA},\r
+}\r
+\r
+@Misc{cookbook,\r
+title = {{Deliverable DJ5.1.5,3: Inter-NREN Roaming Infrastructure and Service\r
+  Support Cookbook}},\r
+author = {S. Winter and T. Kersting and P. Dekkers and L. Guido and S.\r
+  Papageorgiou and Janos Mohacsi and R. Papez and M. Milinovic and D. Penezic\r
+  and J. Rauschenbach and J. Tomasek and K. Wierenga and T. Wolniewicz and\r
+  José-Manuel Macias-Luna and I. Thomson and {JRA5 group}},\r
+edition = {Third},\r
+month = {Oct},\r
+year = {2008},\r
+howpublished = {http://www.eduroam.org/downloads/docs/GN2-08-230-DJ5.1.5.3-eduroamCookbook.pdf},\r
+}\r
+\r
+@Misc{RFC2865,\r
+author = "C. Rigney and S. Willens and A. Rubens and W. Simpson",\r
+year = 2000,\r
+title = "{RFC 2865}: Remote Authentication Dial In User Service ({RADIUS})"\r
+}\r
+\r
+@Misc{RFC1994,\r
+author = "W. Simpson",\r
+year = 1996,\r
+title = "{RFC 1994}: {PPP} Challenge Handshake Authentication Protocol ({CHAP})"\r
+}\r
+\r
+@Misc{RFC1334,\r
+author = "B. Loyd and W. Simpson",\r
+year = 1993,\r
+title = "{RFC 1334}: {PPP} Authentication Protocols"\r
+}\r
+\r
+@Misc{RFC3748,\r
+author = "B. Aboba and L. Blunk and J. Vollbrecht  and J. Carlson and H.\r
+  Levkowetz",\r
+year = 2004,\r
+title = "{RFC 3748}: Extensible Authentication Protocol ({EAP})"\r
+}\r
+\r
+@Misc{IEEE802.1X,\r
+author = "{IEEE Computer Society}",\r
+year = 2004,\r
+title= "{802.1X IEEE Standard for Local and metropolitan area networks,\r
+ Port-Based Network Access Control}"\r
+}\r
+\r
+@Misc{eduroam.org,\r
+author = "eduroam {SA}",\r
+title = "eduroam Website",\r
+howpublished = "http://www.eduroam.org"\r
+}
\ No newline at end of file
diff --git a/zusammenfassung.tex b/zusammenfassung.tex
new file mode 100644 (file)
index 0000000..943705b
--- /dev/null
@@ -0,0 +1,2 @@
+\section{Zusammenfassung}
+- Single-Sign-On
\ No newline at end of file
This page took 0.04293 seconds and 4 git commands to generate.