diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 9dd934f..1f40adb 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -207,28 +207,34 @@ Da jedoch der Datenverkehr bei IPsec durch den Betriebssystemkernel verarbeitet \section{Konzipierung der Benutzerverwaltung} Anforderungen: -* Soll möglichst "einfach" sein -* Möglichst wenig personenbezogene Daten verarbeiten oder speichern -* Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen) -* Studenten sollen immer für ein (laufendes?) Semester Zugriff erhalten -* Für Beschäftigte wurde kein Kriterium genannt, allerdings könnten andere Gültigkeitsdauern erwünscht sein. +\begin{itemize} +\item Soll möglichst "einfach" sein +\item Möglichst wenig personenbezogene Daten verarbeiten oder speichern +\item Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen) +\item Studenten sollen immer für ein (laufendes?) Semester Zugriff erhalten +\item Für Beschäftigte wurde kein Kriterium genannt, allerdings könnten andere Gültigkeitsdauern erwünscht sein. +\end{itemize} Möglichkeiten: User+Passwort oder SSL-Zertifikate Zertifikate: -* klare Laufzeit -* kann nicht erraten werden -* Können schlimmstenfalls via CRL gesperrt werden -* Verschlüsselung des privaten Schlüssels verhindert Missbrauch bei gestohlenen Daten (Cert+Key) -* Einrichtung von Benutzern geschieht durch Signatur eines Zertifikatsantrags -* Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden +\begin{itemize} +\item klare Laufzeit +\item kann nicht erraten werden +\item Können schlimmstenfalls via CRL gesperrt werden +\item Verschlüsselung des privaten Schlüssels verhindert Missbrauch bei gestohlenen Daten (Cert+Key) +\item Einrichtung von Benutzern geschieht durch Signatur eines Zertifikatsantrags +\item Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden +\end{itemize} Benutzer/Passwort: -* Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulkonto) -* Einrichtung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen -* Benutzerkonten werden automatisch deaktiviert -* Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer -* Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche +\begin{itemize} +\item Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulkonto) +\item Einrichtung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen +\item Benutzerkonten werden automatisch deaktiviert +\item Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer +\item Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche +\end{itemize} Gewinner: Zertifikate Für Zertifikate wird eine Zertifizierungsstelle benötigt.