Remove OpenVPN from user concept section
This commit is contained in:
parent
a687b50c0f
commit
86e2836b43
@ -208,19 +208,17 @@ Der VPN-Dienst wird für mindestens 50-500 gleichzeitig aktive Benutzer ausgeleg
|
|||||||
Beschäftigte und Studierende sollen im zeitlichen Rahmen ihrer Tätigkeiten in der Abteilung Informatik über das VPN Zugriff erhalten.
|
Beschäftigte und Studierende sollen im zeitlichen Rahmen ihrer Tätigkeiten in der Abteilung Informatik über das VPN Zugriff erhalten.
|
||||||
|
|
||||||
\paragraph{Methoden zur Benutzerauthentisierung:} \label{par:user_auth_methods}
|
\paragraph{Methoden zur Benutzerauthentisierung:} \label{par:user_auth_methods}
|
||||||
\todo{OpenVPN wurde hier chronologisch noch nicht ausgewählt!}
|
Die Authentisierung von VPN-Benutzern ist mit den folgenden Methoden möglich:
|
||||||
OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden:
|
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
\item X.509-Public-Key-Zertifikaten
|
\item X.509-Public-Key-Zertifikaten
|
||||||
\item Angabe von Benutzername und Passwort zur Prüfung durch ein beliebiges Programm auf dem OpenVPN-Server
|
\item Angabe von Benutzername und Passwort
|
||||||
\item Angabe von Benutzername und Passwort für einen durch OpenVPN verwendeten HTTP- oder SOCKS-Proxy
|
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
Somit muss entschieden werden, ob die Authentisierung von VPN-Benutzern über Zertifikate oder über Zugangsdaten in Form von Benutzername und Passwort durchgeführt werden soll.
|
Somit muss entschieden werden, ob die Authentisierung von VPN-Benutzern über Zertifikate oder über Zugangsdaten in Form von Benutzername und Passwort durchgeführt werden soll.
|
||||||
|
|
||||||
\paragraph{Authentisierung mit Zugangsdaten:} \label{p:auth_cred}
|
\paragraph{Authentisierung mit Zugangsdaten:} \label{p:auth_cred}
|
||||||
\todo{Eindeutig abgrenzen zwischen allgemeinen Zugangsdaten (neuer LDAP) und Benutzung des Hochschulkontos (existierende Struktur). Angreifbarkeit mit Brute-Force bleibt. Passwortänderung bei eigenem LDAP nicht komfortabel. Mehr über die \enquote{ist sicherer-Schiene} argumentieren. Passworte sind immer schwächer als RSA-Schlüssel.}
|
\todo{Eindeutig abgrenzen zwischen allgemeinen Zugangsdaten (neuer LDAP) und Benutzung des Hochschulkontos (existierende Struktur). Angreifbarkeit mit Brute-Force bleibt. Passwortänderung bei eigenem LDAP nicht komfortabel. Mehr über die \enquote{ist sicherer-Schiene} argumentieren. Passworte sind immer schwächer als RSA-Schlüssel.}
|
||||||
Die Verwendung von Zugangsdaten zur Authentisierung bietet dem Benutzer einen hohen Komfort:
|
Die Verwendung von Zugangsdaten zur Authentisierung bietet dem Benutzer einen hohen Komfort:
|
||||||
Die Eingabe einer Kombination aus Benutzername und Passwort erfordert keine individuellen Konfigurationen am OpenVPN-Client.
|
Die Eingabe einer Kombination aus Benutzername und Passwort erfordert keine individuellen Konfigurationen am VPN-Client.
|
||||||
Zusätzlich ist denkbar, dass bereits existierende Zugangsdaten - wie zum Beispiel das Hochschulkonto des Benutzers - zur Authentisierung verwendet werden könnten.
|
Zusätzlich ist denkbar, dass bereits existierende Zugangsdaten - wie zum Beispiel das Hochschulkonto des Benutzers - zur Authentisierung verwendet werden könnten.
|
||||||
Eine Benutzerverwaltung auf dieser Form der Authentisierung erfordert nur wenige Handgriffe durch den Systemadministrator, da eine Liste berechtigter VPN-Benutzer auf Basis aktuell zur Verfügung stehender Verzeichnisdienste automatisch generiert werden könnte.
|
Eine Benutzerverwaltung auf dieser Form der Authentisierung erfordert nur wenige Handgriffe durch den Systemadministrator, da eine Liste berechtigter VPN-Benutzer auf Basis aktuell zur Verfügung stehender Verzeichnisdienste automatisch generiert werden könnte.
|
||||||
Alternativ wäre auch die manuelle Pflege einer Whitelist von Benutzerkonten denkbar, die in einem bestehenden Verzeichnisdienst bereits existieren.
|
Alternativ wäre auch die manuelle Pflege einer Whitelist von Benutzerkonten denkbar, die in einem bestehenden Verzeichnisdienst bereits existieren.
|
||||||
@ -231,13 +229,13 @@ Ein VPN-Dienst, der Benutzer über eingegebene Zugangsdaten authentisiert kann z
|
|||||||
Kompromittierte Zugangsdaten können in diesem Fall mindestens für den Missbrauch des VPN-Dienst verwendet werden.
|
Kompromittierte Zugangsdaten können in diesem Fall mindestens für den Missbrauch des VPN-Dienst verwendet werden.
|
||||||
Zusätzlich ist je nach konkreter Implementierung denkbar, dass kompromittierte Zugangsdaten auch für den Missbrauch anderer Systeme verwendet werden können, für die diese Zugangsdaten gültig sind.
|
Zusätzlich ist je nach konkreter Implementierung denkbar, dass kompromittierte Zugangsdaten auch für den Missbrauch anderer Systeme verwendet werden können, für die diese Zugangsdaten gültig sind.
|
||||||
Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind.
|
Das Schadenspotential umfasst in diesem Fall zusätzlich zu über den VPN-Zugang begangene Straftaten auch das Ausspähen von persönlichen Daten, die über die kompromittierten Zugangsdaten zugänglich sind.
|
||||||
Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch OpenVPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen.
|
Ein weiterer Nachteil ergibt sich dadurch, dass Zugangsdaten zum Zweck der Benutzerauthentisierung durch VPN-Client und -Server, sowie zusätzlich auf dem Server eingebundene Authentisierungsprogramme verarbeitet und übertragen werden müssen.
|
||||||
Die involvierten Programme erhöhen die Menge des Quellcodes, der aufgrund seiner Position als Angriffsfläche keine Schwachstellen enthalten sollte.
|
Die involvierten Programme erhöhen die Menge des Quellcodes, der aufgrund seiner Position als Angriffsfläche keine Schwachstellen enthalten sollte.
|
||||||
Da die Abwesenheit von Schwachstellen in Quellcode nicht garantiert werden kann, ergibt sich der Verwendung von Zugangsdaten zur Benutzerauthentisierung ein erhöhtes Bedrohungsrisiko.
|
Da die Abwesenheit von Schwachstellen in Quellcode nicht garantiert werden kann, ergibt sich der Verwendung von Zugangsdaten zur Benutzerauthentisierung ein erhöhtes Bedrohungsrisiko.
|
||||||
|
|
||||||
\paragraph{Authentisierung mit Zertifikaten:} \label{p:auth_cert}
|
\paragraph{Authentisierung mit Zertifikaten:} \label{p:auth_cert}
|
||||||
Die Authentisierung von Benutzern anhand von Zertifikaten erfordert den Aufbau und die Verwaltung einer \textit{Public-Key-Infrastructure} (PKI) und bringt somit erst einmal eine Reihe Nachteile mit sich:
|
Die Authentisierung von Benutzern anhand von Zertifikaten erfordert den Aufbau und die Verwaltung einer \textit{Public-Key-Infrastructure} (PKI) und bringt somit erst einmal eine Reihe Nachteile mit sich:
|
||||||
Für die Benutzer ergibt sich ein zusätzlicher Aufwand durch das regelmäßige Beantragen von neuen Zertifikaten, sowie die Notwendigkeit der Anpassung der OpenVPN-Clientkonfiguration.
|
Für die Benutzer ergibt sich ein zusätzlicher Aufwand durch das regelmäßige Beantragen von neuen Zertifikaten, sowie die Notwendigkeit der Anpassung der VPN-Clientkonfiguration.
|
||||||
Auch für den Systemadministrator ergibt sich dieser zusätzliche Aufwand in Bezug auf die regelmäßige Erneuerung des Serverzertifikats und der \textit{Certificate Revocation List} (CRL).
|
Auch für den Systemadministrator ergibt sich dieser zusätzliche Aufwand in Bezug auf die regelmäßige Erneuerung des Serverzertifikats und der \textit{Certificate Revocation List} (CRL).
|
||||||
Zusätzlich ist der Systemadministrator mit der Betreuung der \textit{Zertifizierungsstelle} (CA) beschäftigt, nimmt die Zertifikatsanträge der Benutzer entgegen, prüft diese und stellt Benutzerzertifikate aus.
|
Zusätzlich ist der Systemadministrator mit der Betreuung der \textit{Zertifizierungsstelle} (CA) beschäftigt, nimmt die Zertifikatsanträge der Benutzer entgegen, prüft diese und stellt Benutzerzertifikate aus.
|
||||||
Der daraus resultierende Aufwand ist proportional zu der Anzahl der VPN-Benutzer.
|
Der daraus resultierende Aufwand ist proportional zu der Anzahl der VPN-Benutzer.
|
||||||
|
Loading…
Reference in New Issue
Block a user