Add paragraph about credential-based authentication
This commit is contained in:
parent
0ceee71ade
commit
0a2e4b55ae
@ -284,13 +284,30 @@ Beschäftigte und Studenten sollen im zeitlichen Rahmen Ihrer Tätigkeiten in de
|
|||||||
OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden:
|
OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden:
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
\item Authentisierung mit X.509-Public-Key-Zertifikaten
|
\item Authentisierung mit X.509-Public-Key-Zertifikaten
|
||||||
\item Angabe von Benutzername und Passwort für einen durch OpenVPN verwendeten HTTP- oder SOCKS-Proxy
|
|
||||||
\item Angabe von Benutzername und Passwort zur Authentisierung durch ein beliebiges Programm auf dem OpenVPN-Server
|
\item Angabe von Benutzername und Passwort zur Authentisierung durch ein beliebiges Programm auf dem OpenVPN-Server
|
||||||
|
\item Angabe von Benutzername und Passwort für einen durch OpenVPN verwendeten HTTP- oder SOCKS-Proxy
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
Somit muss entschieden werden, ob die Authentisierung von VPN-Benutzern über Zertifikate oder über Zugangsdaten in Form von Benutzername und Passwort durchgeführt werden soll.
|
||||||
|
|
||||||
Jetzt folgt eine Begründung, wieso Zertifikate geiler sind als der andere Kram. Datenschutz und so. Und Dauer und Sicherheit.
|
\paragraph{Authentisierung mit Zugangsdaten}
|
||||||
|
Die Verwendung von Zugangsdaten zur Authentisierung bietet dem Benutzer einen hohen Komfort:
|
||||||
|
Die Eingabe einer Kombination aus Benutzername und Passwort erfordert keine individuellen Konfigurationen am OpenVPN-Client.
|
||||||
|
Zusätzlich ist denkbar, dass bereits existierende Zugangsdaten - wie zum Beispiel das Hochschulkonto des Benutzers - zur Authentisierung verwendet weden könnte.
|
||||||
|
Eine Benutzerverwaltung auf dieser Form der Authentisierung erfordert nur wenige Handgriffe durch den Systemadministrator, da eine Liste berechtigter VPN-Benutzer auf Basis aktuell zur Verfügung stehender Verzeichnisdienste automatisch generiert werden könnte.
|
||||||
|
Alternativ wäre auch die manuelle Pflege einer Whitelist von Benutzerkonten denkbar, die in einem bestehenden Verzeichnisdienst bereits existieren.
|
||||||
|
Ein weiterer Vorteil bestünde darin, dass man sich auf den Aktivitätsstatus der Benutzerkonten in bestehenden Verzeichnisdiensten verlassen kann um Benutzer auszuschließen, die keine Mitgliedschaft an der Hochschule Hannover besitzen.
|
||||||
|
|
||||||
|
Die genannten Vorteile ziehen allerdings auch einige Nachteile mit sich, die nicht außer Acht gelassen werden dürfen:
|
||||||
|
Ein VPN-Dienst, der Benutzer über eingegebene Zugangsdaten authentisiert kann zu einem Ziel für einen Brute-Force-Angriff werden.
|
||||||
|
Kompromittierte Zugangsdaten können in diesem Fall mindestens für den Missbrauch des VPN-Dienst verwendet werden.
|
||||||
|
Zusätzlich ist je nach konkreter Implementierung denkbar, dass kompromittierte Zugangsdaten auch für den Missbrauch anderer Systeme verwendet werden können, für die diese Zugangsdaten gültig sind.
|
||||||
|
Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind.
|
||||||
|
Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch OpenVPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen.
|
||||||
|
Die involvierten Programme erhöhen die Menge des Quellcodes, der aufgrund seiner Position als Angriffsfläche keine Schwachstellen enthalten darf.
|
||||||
|
Da die Abwesenheit von Schwachstellen in Quellcode nicht garantiert werden kann, ergibt sich der Verwendung von Zugangsdaten zur Benutzerauthentisierung ein erhöhtes Bedrohungsrisiko.
|
||||||
|
|
||||||
|
\paragraph{Authentisierung mit Zertifikaten}
|
||||||
|
|
||||||
Zertifikate:
|
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
\item klare Laufzeit
|
\item klare Laufzeit
|
||||||
\item kann nicht erraten werden
|
\item kann nicht erraten werden
|
||||||
@ -300,14 +317,6 @@ Zertifikate:
|
|||||||
\item Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden
|
\item Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
Benutzer/Passwort:
|
|
||||||
\begin{itemize}
|
|
||||||
\item Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulkonto)
|
|
||||||
\item Einrichtung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen
|
|
||||||
\item Benutzerkonten werden automatisch deaktiviert
|
|
||||||
\item Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer
|
|
||||||
\item Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche
|
|
||||||
\end{itemize}
|
|
||||||
|
|
||||||
Gewinner: Zertifikate
|
Gewinner: Zertifikate
|
||||||
Für Zertifikate wird eine Zertifizierungsstelle benötigt.
|
Für Zertifikate wird eine Zertifizierungsstelle benötigt.
|
||||||
|
Loading…
Reference in New Issue
Block a user