From: Roland Hieber Date: Sun, 4 Jul 2010 21:53:00 +0000 (+0200) Subject: presentation X-Git-Url: https://git.rohieb.name/seminar-bachelor.git/commitdiff_plain/e02aefffd08fc915ab8f6fe99f417833454432b9 presentation --- diff --git a/8021X-Overview.pdf b/8021X-Overview.pdf index 68f3855..0ba7d9d 100644 Binary files a/8021X-Overview.pdf and b/8021X-Overview.pdf differ diff --git a/8021X-Overview.svg b/8021X-Overview.svg index 1547370..fc7db04 100644 --- a/8021X-Overview.svg +++ b/8021X-Overview.svg @@ -2,15 +2,61 @@ + id="svg2" + inkscape:version="0.47 r22583" + sodipodi:docname="8021X-Overview.svg"> + + + + image/svg+xml + + + + + + + Wireless Network + style="font-size:18px">Wireless Network + style="fill:none;stroke:#000000;stroke-width:2;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none" + sodipodi:nodetypes="cc" /> Authentication Server Authenticator Supplicant + style="fill:none;stroke:#166bad;stroke-width:3;stroke-linecap:butt;stroke-linejoin:miter;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none;marker-start:url(#ArrowBlueBegin);marker-end:url(#ArrowBlueEnd)" + sodipodi:nodetypes="cc" /> @@ -294,7 +342,7 @@ style="fill:none;stroke:#000000;stroke-width:1.70000005;stroke-linejoin:round;stroke-miterlimit:4;stroke-opacity:1;stroke-dasharray:none;stroke-dashoffset:0" /> Ziel: netzübergreifende Benutzerauthentifizierung // Internetzugang - \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen (Benutzerautorisierung) + \item<3-> Ziel: netzübergreifende Benutzerauthentifizierung und +Internetzugang + \item<4-> Aber auch: Zugriffskontrolle auf die angebotenen Ressourcen +(Benutzerautorisierung) \end{itemize} \end{frame} @@ -62,63 +64,110 @@ \end{frame} \section{Architektur} -% TODO SERVICE / IDENTITY PROVIDER + +\begin{frame} + \frametitle{Service Provider und Identity Provider} + Grundsätzliche Architektur: Aufspaltung in + \begin{itemize} + \item<1-> Identity Provider + \begin{itemize} + \item<2-> authentifiziert den Benutzer + \item<3-> ``Heiminstitution'' + \end{itemize} + \item<4-> Service Provider + \begin{itemize} + \item<5-> stellt den Netzzugang zur Verfügung + \item<6-> ``besuchte'' Institution + \end{itemize} + \end{itemize} +\end{frame} + \begin{frame} \frametitle{IEEE 802.1X} \begin{figure} \centering \includegraphics[width=0.6\textwidth]{8021X-Overview.pdf} -% TODO: Quellen bei Bildern \caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} \label{fig:8021X} \end{figure} \begin{enumerate} - \item<1-> Rechner (Supplicants) müssen sich authentifizieren - \item<2-> Authenticator fragt Backend (RADIUS-Server) nach Gültigkeit der Login-Daten - \item<3-> Supplicant hat nach Freigabe Zugriff auf die kontrollierten Ressourcen + \only<1>{\item[1] Rechner (Supplicants) müssen sich authentifizieren} + \only<2>{\item[2] Authenticator fragt Backend (RADIUS-Server) nach +Gültigkeit der Login-Daten} + \only<3>{\item[3] Supplicant hat nach Freigabe Zugriff auf die +kontrollierten Ressourcen} \end{enumerate} \end{frame} -\begin{frame} - \frametitle{IEEE 802.1X: Detail} - \begin{figure} - \centering - \includegraphics[width=\textwidth]{8021X-ports.png} - %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} - \label{fig:8021Xports} - \end{figure} - Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert. -\end{frame} +% \begin{frame} +% \frametitle{IEEE 802.1X: Detail} +% \begin{figure} +% \centering +% \includegraphics[width=\textwidth]{8021X-ports.png} +% \caption{Netzzugang durch IEEE 802.1X (\cite{ieee802.1X})} +% \label{fig:8021Xports} +% \end{figure} +% Nach erfolgreicher Authentifizierung werden beide kontrollierten Ports aktiviert. +% \end{frame} \begin{frame} \frametitle{IEEE 802.1X: Extensible Authentication Protocol (EAP)} - Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei der generellen EAP-Authentifizierung darstellt % TODO + \begin{itemize} + \item Authentifizierungsprotokoll in IEEE 802.1X + \pause + \item Grundsätzlicher Aufbau: \\ \medskip + \begin{tabular}{lr} + \textbf{Authenticator} & \textbf{Supplicant} \\ + \hline + EAP-Identity Request $\rightarrow$ & \\ + \pause + & $\leftarrow$ EAP-Identity Response \\ + \pause + \end{tabular} + \pause + \item Danach: Wahl der Authentifikationsmethode und Authentifikation + \end{itemize} \end{frame} \begin{frame} \frametitle{EAP-TLS} - % TODO + \begin{itemize} + \item gesicherte Authentifizierung über TLS-Protokoll + \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten + \item anschließend Authentifikation über den gesicherten Kanal + \begin{itemize} + \item bspw. durch EAP-CHAP o.~ä. + \end{itemize} + \end{itemize} \end{frame} \begin{frame} \frametitle{EAP-TTLS} - Hier soll ein Diagramm erscheinen, das den Nachrichtenverkehr bei EAP-TTLS darstellt - % TODO + \begin{itemize} + \item gesicherte Authentifizierung über getunnelte TLS-Verbindung + \item Aushandlung von Sitzungsschlüsseln anhand von Zertifikaten + \item aber: anschließend neue EAP-Verbindung über den gesichtern TLS-Tunnel + \begin{itemize} + \item ``äußere'' Verbindung dient nur zum Schutz der inneren Kommunikation + \item innere Authentifikation bspw. durch EAP-CHAP o.~ä. + \end{itemize} + \end{itemize} \end{frame} \begin{frame} \frametitle{RADIUS} \begin{itemize} \item Remote Authentication Dial-In User Service - \item<2-> Protokoll für Authentifizierung, Autorisierung und Accounting (AAA) - \item<3-> RADIUS-Server kann Anfragen entweder selber beantworten oder an einen + \pause +% \item Protokoll für Authentifizierung, Autorisierung und Accounting (AAA) + \item RADIUS-Server kann Anfragen entweder selber beantworten oder an einen anderen Server weiterleiten \end{itemize} \only<4->{\begin{figure} \centering \includegraphics[width=0.4\textwidth]{eduroam-radius.png} - %\caption{Netzzugang durch IEEE 802.1X (\cite{commons8021X})} + \caption{RADIUS-Hierarchie in eduroam (\cite{Lopez2008418})} \label{fig:eduroam-radius} \end{figure}} \end{frame} @@ -144,27 +193,62 @@ \frametitle{eduGAIN} \begin{figure}[htb] \centering - \includegraphics[width=0.6\textwidth]{edugain-arch.png} -% \caption{eduGAIN-Architektur~\cite{Lopez2008418}} + \includegraphics[width=0.55\textwidth]{edugain-arch.png} + \caption{eduGAIN-Architektur~\cite{Lopez2008418}} \label{fig:edugain} \end{figure} \begin{itemize} \item Regelung des Zugriffs über manuell zugewiesene Attribute \item<2-> Netzwerkübergreifende Kommunikation über \emph{Bridged Elements} + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{eduGAIN -- Bridged Elements} \begin{itemize} - \item Abstraktion der institutionsspezifischen Protokolle + \item Protokoll: SOAP (gekapselt in HTTP) + \pause + \item Ziel: Abstraktion der institutionsspezifischen Protokolle \end{itemize} - \end{itemize} +% \end{itemize} \end{frame} \section{Sicherheitsbetrachtungen} \begin{frame} \frametitle{Sicherheitsbetrachtungen} - \begin{itemize} % TODO aufbohren, details - \item Denial of Service durch gefälschte EAPOL-Pakete - \item<2-> Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut - \item<3-> RADIUS-Root-Server ist Single Point of Failure + \begin{itemize} + \item Denial of Service durch gefälschte EAP-Pakete + \begin{itemize} + \pause + \item EAP-Pakete nicht kryptografisch abgesichert + \pause + \item Nur MAC-Adresse dient zur Identifikation $\Rightarrow$ MAC Spoofing möglich + \end{itemize} + \pause + \item Gefälschte Zertifikate $\Rightarrow$ Benutzer muss wissen, was er tut + \end{itemize} +\end{frame} + +\begin{frame} + \frametitle{Sicherheitsbetrachtungen} + \begin{itemize} + \item RADIUS-Root-Server ist Single Point of Failure + \begin{itemize} + \pause + \item muss redundant ausgelegt sein + \pause + \item andernfalls keine institutionsübergreifende Authentifizierung + \pause + \item behoben in eduroam-ng (siehe unten) + \end{itemize} + \pause \item<4-> Kommunikation zwischen RADIUS-Server nicht gesichert + \begin{itemize} + \pause + \item Abhörsicherheit von Benutzerdaten nicht gegeben + \pause + \item behoben in eduroam-ng (siehe unten) + \end{itemize} \end{itemize} \end{frame} @@ -187,7 +271,8 @@ \begin{frame} \frametitle{Quellenangaben} -% TODO eap, radius, ieee-quellen + \small + \nocite{rfc-eap} \nocite{radsec-report} \nocite{rfc-radius} \bibliographystyle{plain} \bibliography{lit} \end{frame} diff --git a/seminar.kilepr b/seminar.kilepr index d8ef53a..0c916ab 100644 --- a/seminar.kilepr +++ b/seminar.kilepr @@ -3,7 +3,7 @@ def_graphic_ext=pdf img_extIsRegExp=false img_extensions=.eps .jpg .jpeg .png .pdf .ps .fig .gif kileprversion=2 -kileversion=2.1 beta2 +kileversion=2.0.85 lastDocument=presentation.tex masterDocument=ausarbeitung.tex name=Seminar @@ -16,12 +16,53 @@ src_extensions=.tex .ltx .latex .dtx .ins MakeIndex= QuickBuild= +[document-settings,item:ausarbeitung.tex] +Bookmarks= +Encoding=UTF-8 +Highlighting=LaTeX +Indentation Mode= +Mode=LaTeX +ReadWrite=true + +[document-settings,item:ausblick.tex] +Bookmarks= +Encoding=UTF-8 +Highlighting=LaTeX +Indentation Mode= +Mode=LaTeX +ReadWrite=true + +[document-settings,item:authz.tex] +Bookmarks= +Encoding=UTF-8 +Highlighting=LaTeX +Indentation Mode= +Mode=LaTeX +ReadWrite=true + +[document-settings,item:lit.bib] +Bookmarks= +Encoding=UTF-8 +Highlighting=BibTeX +Indentation Mode=normal +Mode=BibTeX +ReadWrite=true + +[document-settings,item:presentation.tex] +Bookmarks= +Encoding=UTF-8 +Highlighting=LaTeX +Indentation Mode= +Mode=LaTeX +ReadWrite=true + [item:8021X-Overview.pdf] archive=true column=0 encoding= highlight= line=0 +mode= open=false order=-1 @@ -31,6 +72,7 @@ column=3080297 encoding= highlight= line=0 +mode= open=false order=-1 @@ -40,6 +82,7 @@ column=841 encoding=UTF-8 highlight=LaTeX line=43 +mode= open=false order=1 @@ -48,17 +91,19 @@ archive=true column=0 encoding=UTF-8 highlight=LaTeX -line=40 +line=0 +mode=LaTeX open=true order=0 [item:ausblick.tex] archive=true -column=324 +column=0 encoding=UTF-8 highlight=LaTeX -line=8 -open=true +line=0 +mode=LaTeX +open=false order=3 [item:authn.tex] @@ -67,6 +112,7 @@ column=0 encoding=UTF-8 highlight=LaTeX line=40 +mode= open=false order=6 @@ -75,7 +121,8 @@ archive=true column=0 encoding=UTF-8 highlight=LaTeX -line=1 +line=0 +mode=LaTeX open=true order=1 @@ -85,6 +132,7 @@ column=27 encoding=UTF-8 highlight=LaTeX line=18 +mode= open=false order=9 @@ -94,6 +142,7 @@ column=0 encoding= highlight= line=0 +mode= open=false order=-1 @@ -103,6 +152,7 @@ column=7864421 encoding= highlight= line=0 +mode= open=false order=-1 @@ -112,6 +162,7 @@ column=7864320 encoding= highlight= line=0 +mode= open=false order=-1 @@ -121,6 +172,7 @@ column=0 encoding=UTF-8 highlight=LaTeX line=12 +mode= open=false order=5 @@ -130,26 +182,29 @@ column=17 encoding=UTF-8 highlight=LaTeX line=13 +mode= open=false order=2 [item:lit.bib] archive=true -column=1 +column=10 encoding=UTF-8 highlight=BibTeX -line=151 -open=false -order=3 +line=128 +mode=BibTeX +open=true +order=2 [item:presentation.tex] archive=true -column=150 +column=10 encoding=UTF-8 highlight=LaTeX -line=178 +line=243 +mode=LaTeX open=true -order=2 +order=3 [item:seminar.kilepr] archive=true @@ -157,6 +212,7 @@ column=0 encoding= highlight= line=0 +mode= open=false order=-1 @@ -166,6 +222,7 @@ column=34 encoding=UTF-8 highlight=LaTeX line=2 +mode= open=false order=4 @@ -175,6 +232,7 @@ column=32718 encoding= highlight= line=0 +mode= open=false order=-1 @@ -184,5 +242,26 @@ column=6 encoding=UTF-8 highlight=LaTeX line=6 +mode= open=false order=2 + +[view-settings,view=0,item:ausarbeitung.tex] +CursorColumn=0 +CursorLine=0 + +[view-settings,view=0,item:ausblick.tex] +CursorColumn=0 +CursorLine=0 + +[view-settings,view=0,item:authz.tex] +CursorColumn=0 +CursorLine=0 + +[view-settings,view=0,item:lit.bib] +CursorColumn=10 +CursorLine=128 + +[view-settings,view=0,item:presentation.tex] +CursorColumn=10 +CursorLine=243