Add paragraph about credential-based authentication

This commit is contained in:
Jan Philipp Timme 2018-09-28 13:14:03 +02:00
parent 0ceee71ade
commit 0a2e4b55ae

View File

@ -284,13 +284,30 @@ Beschäftigte und Studenten sollen im zeitlichen Rahmen Ihrer Tätigkeiten in de
OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden:
\begin{itemize}
\item Authentisierung mit X.509-Public-Key-Zertifikaten
\item Angabe von Benutzername und Passwort für einen durch OpenVPN verwendeten HTTP- oder SOCKS-Proxy
\item Angabe von Benutzername und Passwort zur Authentisierung durch ein beliebiges Programm auf dem OpenVPN-Server
\item Angabe von Benutzername und Passwort für einen durch OpenVPN verwendeten HTTP- oder SOCKS-Proxy
\end{itemize}
Somit muss entschieden werden, ob die Authentisierung von VPN-Benutzern über Zertifikate oder über Zugangsdaten in Form von Benutzername und Passwort durchgeführt werden soll.
Jetzt folgt eine Begründung, wieso Zertifikate geiler sind als der andere Kram. Datenschutz und so. Und Dauer und Sicherheit.
\paragraph{Authentisierung mit Zugangsdaten}
Die Verwendung von Zugangsdaten zur Authentisierung bietet dem Benutzer einen hohen Komfort:
Die Eingabe einer Kombination aus Benutzername und Passwort erfordert keine individuellen Konfigurationen am OpenVPN-Client.
Zusätzlich ist denkbar, dass bereits existierende Zugangsdaten - wie zum Beispiel das Hochschulkonto des Benutzers - zur Authentisierung verwendet weden könnte.
Eine Benutzerverwaltung auf dieser Form der Authentisierung erfordert nur wenige Handgriffe durch den Systemadministrator, da eine Liste berechtigter VPN-Benutzer auf Basis aktuell zur Verfügung stehender Verzeichnisdienste automatisch generiert werden könnte.
Alternativ wäre auch die manuelle Pflege einer Whitelist von Benutzerkonten denkbar, die in einem bestehenden Verzeichnisdienst bereits existieren.
Ein weiterer Vorteil bestünde darin, dass man sich auf den Aktivitätsstatus der Benutzerkonten in bestehenden Verzeichnisdiensten verlassen kann um Benutzer auszuschließen, die keine Mitgliedschaft an der Hochschule Hannover besitzen.
Die genannten Vorteile ziehen allerdings auch einige Nachteile mit sich, die nicht außer Acht gelassen werden dürfen:
Ein VPN-Dienst, der Benutzer über eingegebene Zugangsdaten authentisiert kann zu einem Ziel für einen Brute-Force-Angriff werden.
Kompromittierte Zugangsdaten können in diesem Fall mindestens für den Missbrauch des VPN-Dienst verwendet werden.
Zusätzlich ist je nach konkreter Implementierung denkbar, dass kompromittierte Zugangsdaten auch für den Missbrauch anderer Systeme verwendet werden können, für die diese Zugangsdaten gültig sind.
Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind.
Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch OpenVPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen.
Die involvierten Programme erhöhen die Menge des Quellcodes, der aufgrund seiner Position als Angriffsfläche keine Schwachstellen enthalten darf.
Da die Abwesenheit von Schwachstellen in Quellcode nicht garantiert werden kann, ergibt sich der Verwendung von Zugangsdaten zur Benutzerauthentisierung ein erhöhtes Bedrohungsrisiko.
\paragraph{Authentisierung mit Zertifikaten}
Zertifikate:
\begin{itemize}
\item klare Laufzeit
\item kann nicht erraten werden
@ -300,14 +317,6 @@ Zertifikate:
\item Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden
\end{itemize}
Benutzer/Passwort:
\begin{itemize}
\item Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulkonto)
\item Einrichtung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen
\item Benutzerkonten werden automatisch deaktiviert
\item Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer
\item Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche
\end{itemize}
Gewinner: Zertifikate
Für Zertifikate wird eine Zertifizierungsstelle benötigt.