From 0a2e4b55ae5f26e39ebee5e2e8c2b71a04315846 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Fri, 28 Sep 2018 13:14:03 +0200 Subject: [PATCH] Add paragraph about credential-based authentication --- MA-Inhalt.tex | 31 ++++++++++++++++++++----------- 1 file changed, 20 insertions(+), 11 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 88eec52..0776e32 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -284,13 +284,30 @@ Beschäftigte und Studenten sollen im zeitlichen Rahmen Ihrer Tätigkeiten in de OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden: \begin{itemize} \item Authentisierung mit X.509-Public-Key-Zertifikaten -\item Angabe von Benutzername und Passwort für einen durch OpenVPN verwendeten HTTP- oder SOCKS-Proxy \item Angabe von Benutzername und Passwort zur Authentisierung durch ein beliebiges Programm auf dem OpenVPN-Server +\item Angabe von Benutzername und Passwort für einen durch OpenVPN verwendeten HTTP- oder SOCKS-Proxy \end{itemize} +Somit muss entschieden werden, ob die Authentisierung von VPN-Benutzern über Zertifikate oder über Zugangsdaten in Form von Benutzername und Passwort durchgeführt werden soll. -Jetzt folgt eine Begründung, wieso Zertifikate geiler sind als der andere Kram. Datenschutz und so. Und Dauer und Sicherheit. +\paragraph{Authentisierung mit Zugangsdaten} +Die Verwendung von Zugangsdaten zur Authentisierung bietet dem Benutzer einen hohen Komfort: +Die Eingabe einer Kombination aus Benutzername und Passwort erfordert keine individuellen Konfigurationen am OpenVPN-Client. +Zusätzlich ist denkbar, dass bereits existierende Zugangsdaten - wie zum Beispiel das Hochschulkonto des Benutzers - zur Authentisierung verwendet weden könnte. +Eine Benutzerverwaltung auf dieser Form der Authentisierung erfordert nur wenige Handgriffe durch den Systemadministrator, da eine Liste berechtigter VPN-Benutzer auf Basis aktuell zur Verfügung stehender Verzeichnisdienste automatisch generiert werden könnte. +Alternativ wäre auch die manuelle Pflege einer Whitelist von Benutzerkonten denkbar, die in einem bestehenden Verzeichnisdienst bereits existieren. +Ein weiterer Vorteil bestünde darin, dass man sich auf den Aktivitätsstatus der Benutzerkonten in bestehenden Verzeichnisdiensten verlassen kann um Benutzer auszuschließen, die keine Mitgliedschaft an der Hochschule Hannover besitzen. + +Die genannten Vorteile ziehen allerdings auch einige Nachteile mit sich, die nicht außer Acht gelassen werden dürfen: +Ein VPN-Dienst, der Benutzer über eingegebene Zugangsdaten authentisiert kann zu einem Ziel für einen Brute-Force-Angriff werden. +Kompromittierte Zugangsdaten können in diesem Fall mindestens für den Missbrauch des VPN-Dienst verwendet werden. +Zusätzlich ist je nach konkreter Implementierung denkbar, dass kompromittierte Zugangsdaten auch für den Missbrauch anderer Systeme verwendet werden können, für die diese Zugangsdaten gültig sind. +Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind. +Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch OpenVPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen. +Die involvierten Programme erhöhen die Menge des Quellcodes, der aufgrund seiner Position als Angriffsfläche keine Schwachstellen enthalten darf. +Da die Abwesenheit von Schwachstellen in Quellcode nicht garantiert werden kann, ergibt sich der Verwendung von Zugangsdaten zur Benutzerauthentisierung ein erhöhtes Bedrohungsrisiko. + +\paragraph{Authentisierung mit Zertifikaten} -Zertifikate: \begin{itemize} \item klare Laufzeit \item kann nicht erraten werden @@ -300,14 +317,6 @@ Zertifikate: \item Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden \end{itemize} -Benutzer/Passwort: -\begin{itemize} -\item Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulkonto) -\item Einrichtung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen -\item Benutzerkonten werden automatisch deaktiviert -\item Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer -\item Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche -\end{itemize} Gewinner: Zertifikate Für Zertifikate wird eine Zertifizierungsstelle benötigt.