Rewrite credential section

This commit is contained in:
Jan Philipp Timme 2018-10-29 14:22:04 +01:00
parent d4af99ac83
commit 50dbf4b01a

View File

@ -216,23 +216,32 @@ Die Authentisierung von VPN-Benutzern ist mit den folgenden Methoden möglich:
Somit muss entschieden werden, ob die Authentisierung von VPN-Benutzern über Zertifikate oder über Zugangsdaten in Form von Benutzername und Passwort durchgeführt werden soll. Somit muss entschieden werden, ob die Authentisierung von VPN-Benutzern über Zertifikate oder über Zugangsdaten in Form von Benutzername und Passwort durchgeführt werden soll.
\paragraph{Authentisierung mit Zugangsdaten:} \label{p:auth_cred} \paragraph{Authentisierung mit Zugangsdaten:} \label{p:auth_cred}
\todo{Eindeutig abgrenzen zwischen allgemeinen Zugangsdaten (neuer LDAP) und Benutzung des Hochschulkontos (existierende Struktur). Angreifbarkeit mit Brute-Force bleibt. Passwortänderung bei eigenem LDAP nicht komfortabel. Mehr über die \enquote{ist sicherer-Schiene} argumentieren. Passworte sind immer schwächer als RSA-Schlüssel.} Die Verwendung von Zugangsdaten zur Authentisierung bietet dem Benutzer einen hohen Komfort, da keine individuelle Konfiguration des VPN-Clients erforderlich ist, und der Benutzer sich seine Zugangsdaten leicht merken kann.
Die Verwendung von Zugangsdaten zur Authentisierung bietet dem Benutzer einen hohen Komfort:
Die Eingabe einer Kombination aus Benutzername und Passwort erfordert keine individuellen Konfigurationen am VPN-Client.
Zusätzlich ist denkbar, dass bereits existierende Zugangsdaten - wie zum Beispiel das Hochschulkonto des Benutzers - zur Authentisierung verwendet werden könnten.
Eine Benutzerverwaltung auf dieser Form der Authentisierung erfordert nur wenige Handgriffe durch den Systemadministrator, da eine Liste berechtigter VPN-Benutzer auf Basis aktuell zur Verfügung stehender Verzeichnisdienste automatisch generiert werden könnte.
Alternativ wäre auch die manuelle Pflege einer Whitelist von Benutzerkonten denkbar, die in einem bestehenden Verzeichnisdienst bereits existieren.
Ein weiterer Vorteil bestünde darin, dass man sich auf den Aktivitätsstatus der Benutzerkonten in bestehenden Verzeichnisdiensten verlassen kann, um Benutzer auszuschließen, die nicht mehr als Beschäftigte oder Studierende zur Hochschule Hannover gehören.
Die genannten Vorteile ziehen allerdings auch einige Nachteile mit sich: Zusätzlich ist denkbar, dass bereits existierende Zugangsdaten - wie zum Beispiel das Hochschulkonto des Benutzers - zur Authentisierung verwendet werden könnten, indem der VPN-Server an den Verzeichnisdienst der Hochschule Hannover angebunden wird.
Ein VPN-Dienst, der Benutzer über eingegebene Zugangsdaten authentisiert kann zu einem Ziel für einen Brute-Force-Angriff werden. In diesem Fall erfolgt die Aktualisierung der Benutzerkonten durch die Hochschul-IT, sodass nur die Benutzerkonten aktiv sind, deren Benutzer gerade als Beschäftigte oder Studierende zur Hochschule gehören.
Kompromittierte Zugangsdaten können in diesem Fall mindestens für den Missbrauch des VPN-Dienst verwendet werden. Der Administrator des VPN-Servers könnte die Menge der erlaubte VPN-Benutzer durch Gruppenmitgliedschaften im Verzeichnisdienst der Hochschule, oder eine vom Verzeichnisdienst getrennte geführte Liste steuern.
Zusätzlich ist je nach konkreter Implementierung denkbar, dass kompromittierte Zugangsdaten auch für den Missbrauch anderer Systeme verwendet werden können, für die diese Zugangsdaten gültig sind.
Die genannten Vorteile ziehen allerdings auch Nachteile mit sich:
Ein VPN-Dienst, der Benutzer über eingegebene Zugangsdaten authentisiert, kann zu einem Ziel für einen Brute-Force-Angriff werden.
Kompromittierte Zugangsdaten können in diesem Fall für den Missbrauch des VPN-Dienst verwendet werden.
Zusätzlich ist denkbar, dass kompromittierte Zugangsdaten auch für den Missbrauch anderer Systeme verwendet werden können, für die diese Zugangsdaten gültig sind.
Das ist der Fall, wenn Benutzer ihr VPN-Passwort für weitere Dienste verwenden, und ein Angreifer sich in Folge dessen Zugang zu diesen Diensten verschaffen kann.
Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind. Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind.
Ein solches Schadenspotential besteht auch dann, wenn der VPN-Dienst an den Verzeichnisdienst der Hochschule Hannover angebunden würde.
Dann können die kompromittierten Zugangsdaten verwendet werden, um beispielsweise die E-Mails des betroffenen Benutzers zu lesen, Zugriff auf dessen Homelaufwerk zu nehmen oder - im Fall eines Studierenden - über das Prüfungsverwaltungssystem Ergebnisse und weitere persönliche Daten auszuspähen.
Eine Anbindung des VPN-Dienst an den Verzeichnisdienst der Hochschule Hannover kommt in Folge dessen nicht in Frage.
Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch VPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen. Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch VPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen.
Die involvierten Programme erhöhen die Menge des Quellcodes, der aufgrund seiner Position als Angriffsfläche keine Schwachstellen enthalten sollte. Die involvierten Programme erhöhen die Menge des Quellcodes, der aufgrund seiner Position als Angriffsfläche keine Schwachstellen enthalten sollte.
Da die Abwesenheit von Schwachstellen in Quellcode nicht garantiert werden kann, ergibt sich der Verwendung von Zugangsdaten zur Benutzerauthentisierung ein erhöhtes Bedrohungsrisiko. Da die Abwesenheit von Schwachstellen in Quellcode nicht garantiert werden kann, ergibt sich der Verwendung von Zugangsdaten zur Benutzerauthentisierung ein erhöhtes Bedrohungsrisiko.
Auch auf den Administrator des VPN-Servers kommt ein erheblicher Mehraufwand hinzu, wenn ein eigener Verzeichnisdienst (wie zum Beispiel ein OpenLDAP-Server) installiert werden soll, um die Zugangsdaten der VPN-Benutzer zu speichern und zu verwalten.
Dieser zusätzliche Aufwand umfasst neben der Installation und dem Betrieb auch die Bereitstellung von Infrastruktur, über die Benutzer ihr VPN-Passwort gegebenenfalls ändern oder zurücksetzen können.
Auch die Absicherung des Verzeichnisdienst ist notwendig, um Manipulation oder Auslesen der gespeicherten Daten durch einen Angreifer zu verhindern.
\paragraph{Authentisierung mit Zertifikaten:} \label{p:auth_cert} \paragraph{Authentisierung mit Zertifikaten:} \label{p:auth_cert}
Die Authentisierung von Benutzern anhand von Zertifikaten erfordert den Aufbau und die Verwaltung einer \textit{Public-Key-Infrastructure} (PKI) und bringt somit erst einmal eine Reihe Nachteile mit sich: Die Authentisierung von Benutzern anhand von Zertifikaten erfordert den Aufbau und die Verwaltung einer \textit{Public-Key-Infrastructure} (PKI) und bringt somit erst einmal eine Reihe Nachteile mit sich:
Für die Benutzer ergibt sich ein zusätzlicher Aufwand durch das regelmäßige Beantragen von neuen Zertifikaten, sowie die Notwendigkeit der Anpassung der VPN-Clientkonfiguration. Für die Benutzer ergibt sich ein zusätzlicher Aufwand durch das regelmäßige Beantragen von neuen Zertifikaten, sowie die Notwendigkeit der Anpassung der VPN-Clientkonfiguration.