More of the previous action
This commit is contained in:
parent
56612e7d45
commit
306e23af31
|
|
@ -207,28 +207,34 @@ Da jedoch der Datenverkehr bei IPsec durch den Betriebssystemkernel verarbeitet
|
|||
|
||||
\section{Konzipierung der Benutzerverwaltung}
|
||||
Anforderungen:
|
||||
* Soll möglichst "einfach" sein
|
||||
* Möglichst wenig personenbezogene Daten verarbeiten oder speichern
|
||||
* Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen)
|
||||
* Studenten sollen immer für ein (laufendes?) Semester Zugriff erhalten
|
||||
* Für Beschäftigte wurde kein Kriterium genannt, allerdings könnten andere Gültigkeitsdauern erwünscht sein.
|
||||
\begin{itemize}
|
||||
\item Soll möglichst "einfach" sein
|
||||
\item Möglichst wenig personenbezogene Daten verarbeiten oder speichern
|
||||
\item Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen)
|
||||
\item Studenten sollen immer für ein (laufendes?) Semester Zugriff erhalten
|
||||
\item Für Beschäftigte wurde kein Kriterium genannt, allerdings könnten andere Gültigkeitsdauern erwünscht sein.
|
||||
\end{itemize}
|
||||
|
||||
Möglichkeiten: User+Passwort oder SSL-Zertifikate
|
||||
|
||||
Zertifikate:
|
||||
* klare Laufzeit
|
||||
* kann nicht erraten werden
|
||||
* Können schlimmstenfalls via CRL gesperrt werden
|
||||
* Verschlüsselung des privaten Schlüssels verhindert Missbrauch bei gestohlenen Daten (Cert+Key)
|
||||
* Einrichtung von Benutzern geschieht durch Signatur eines Zertifikatsantrags
|
||||
* Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden
|
||||
\begin{itemize}
|
||||
\item klare Laufzeit
|
||||
\item kann nicht erraten werden
|
||||
\item Können schlimmstenfalls via CRL gesperrt werden
|
||||
\item Verschlüsselung des privaten Schlüssels verhindert Missbrauch bei gestohlenen Daten (Cert+Key)
|
||||
\item Einrichtung von Benutzern geschieht durch Signatur eines Zertifikatsantrags
|
||||
\item Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden
|
||||
\end{itemize}
|
||||
|
||||
Benutzer/Passwort:
|
||||
* Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulkonto)
|
||||
* Einrichtung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen
|
||||
* Benutzerkonten werden automatisch deaktiviert
|
||||
* Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer
|
||||
* Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche
|
||||
\begin{itemize}
|
||||
\item Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulkonto)
|
||||
\item Einrichtung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen
|
||||
\item Benutzerkonten werden automatisch deaktiviert
|
||||
\item Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential für betroffene Benutzer
|
||||
\item Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche
|
||||
\end{itemize}
|
||||
|
||||
Gewinner: Zertifikate
|
||||
Für Zertifikate wird eine Zertifizierungsstelle benötigt.
|
||||
|
|
|
|||
Loading…
Reference in New Issue