Technology- and Layer-indipendent Authentication Schemes for the Internet. Stefan Keller Andreas Wirth Markus Stocker IntEco Vortrag vom

Transkript

1 Technology- and Layer-indipendent Authentication Schemes for the Internet Stefan Keller Andreas Wirth Markus Stocker IntEco Vortrag vom

2 Vorwort Abgrenzung: Titel vs. Inhalt Titel Technology- and Layer-indipendent Authentication Schemes for the Internet Inhalt Protocol for carrying Authentication for Network Access Kurz: PANA 2

3 Übersicht PANA s technische Eigenschaften Beschreibung von PANA aus technischer Sicht Heterogene, mobile Geräte Anforderungen Anwendungszenarien Schlussfolgerungen Ökonomische Perspektive Ökonomische Pros und Contra Statements der Wirtschaft Roaming Problematik 3

4 PANA s technische Eigenschaften Beschreibung Aufgaben Architektur Protokollphasen 4

5 5 Beschreibung Generelles Netzwerkschicht-Protokoll (Layer 3) Layer 2 vs. Layer 3 Protokolle Unabhängigkeit von der Zugangsart und der Netzwerktopologie UDP basiertes Protokoll Verbindungslos, keine Zustellungsgarantie Eigener Mechanismus für die zuverlässige Zustellung der Nachrichten Authentifizierung erfolgt über EAP Allgemeines Protokoll Bietet mehrere Authentifizierungsmöglichkeiten

6 Aufgaben PANA handelt zwischen einem Client (PaC) und einem Server (PAA) Ziel ist Authentifizierung und Authorisierung des Clients für den Netzwerkzugang Protokoll besteht aus einer Serie von Anfrage- und Antwort-Nachrichten (AVP) PANA Nachrichten sind Teil einer PANA Session 6

7 Architektur PANA Client (PaC) Device Identifier (DI) PANA Authentication Agent (PAA) 7

8 Protokollphasen Die Such- und Handshakephase Die Authentifizierungsphase Die Authorisierungsphase Die Re-Authentifizierungsphase Die Beendigungsphase 8

9 Die Such- und Handshakephase Protokollphase 1 PaC muss beim Anschluss an ein Netzwerk einen PAA suchen (Uni- vs. Multicast) PAA bekommt Nachricht und gibt dem PaC eine Antwort Benutzung des PAA der zuerst antwortet Schutz vor DoS-Angriffe durch Cookie 9

10 Die Authentifizierungsphase Protokollphase 2 Aufgabe ist die Übermittlung von EAP Nachrichten zwischen dem PaC und PAA Eigentliche Authentifizierung erfolg durch EAP PANA-Bind Nachrichten binden den Device Identifier (DI) des PaC und die IP des PAA mit der PANA Security Association PANA SA ist eine Verknüpfung zwischen dem PaC und dem PAA 10

11 Die Authorisierungsphase Protokollphase 3 Diese Phase folgt nach einer Authentifizierungs- oder Re- Authentifizierungsphase PaC besitzt bereits Zugang zum Netzwerk IP Packete können gesendet und empfangen werden Ständige Überprüfung der Aufrechterhaltung der PANA Session durch Ping-Nachrichten 11

12 Die Re-Authentifizierungsphase Protokollphase 4 Erneute Authentifizierung einer PANA Session Ziel ist die Verlängerung der Lebenszeit einer PANA Session Nach der Re-Authentifizierungsphase startet erneut eine Authorisierungsphase 12

13 Die Beendigungsphase Protokollphase 5 Sowohl der PaC als auch der PAA können die Beendigungsphase initieren Es wird einen Beendigungsgrund dem Partner mitgeteilt 13

14 PANA in der Welt heterogener, mobiler Geräte Mobile, heterogene Geräte Anforderungen Anwendungszenarien Schlussfolgerungen 14

15 Mobile, heterogene Geräte Verschiedene Netzwerkschnittstellen Wechsel der verwendeten Schnittstelle Transparenter Internetzugang z.b.: Swisscom Unlimited UMTS PWLAN GPRS 15

16 Anforderungen Geräte müssen sich über L2-Netze authentifizieren können, die dafür keinen Mechanismus haben L3- und L2-Authentifikation müssen unabhängig sein Wiederholte Authentifikation L2-Netz merkt nicht wenn sich Gerät ausschaltet Gerät ändert IP oder MAC Interface-Wechsel, Netzwechsel 16

17 PAA koexistent mit Access Router Verschiedene Zugangsprovider Load balancing PaC PaC PaC PaC WLAN UMTS Ethernet HSCSD AR/PAA AR/PAA AR/PAA Internet 17

18 PAA separiert von Access Router Ein Zugangsprovider Load balancing PaC WLAN PAA PaC UMTS AR AR Internet PaC Ethernet AR PaC HSCSD 18

19 ISP Auswahl PANA bietet mechanismus zur ISP Auswahl Basiert auf PaC' identity Problem: Client bekommt anderes IP-Prefix als AR hat Lösung: für jeden PaC eigene Route? PaC WLAN ISP1 PaC PaC UMTS Ethernet PAA AR ISP1 ISP1 PaC HSCSD 19

20 20 L2 und L3 Authentifikation Lokale Services in einem Hot Spot (gratis), Internet (kostenpflichtig) PaC WLAN Service PAA AR Internet :=L2TP, WEP

21 DHCP DHCP Pre-PANA IP-Adresse Authentifikation, Authorisation DHCP Post-PANA IP-Adresse PaC PRPA WLAN DHCP PaC POPA DHCP PAA AR Internet 21

22 Mobilität PANA-Session: Wechsel in anderes WLAN Mechanismus zur Übergabe der PANA-Session keine erneute Authentifikation nötig Noch nicht Implementiert TCP-Verbindungszustand Nicht bestandteil der PANA Spezifikation 22

23 Schlussfolgerungen PANA's Vorteile Technologieunbhängige Authentifikation Netze werden für den Benutzer transparent PANA's Probleme Routing? 23

24 PANA Ökonomische Perspektive

25 25 Vorteile von PANA Link-layer independent authentication Roaming Authorisierter Zugang fehlt bei IPv6 PANA hat eine breite Zustimmung bei den Internet Area Directors vom IETF Analogie Mobilfunk

26 Nachteile Schon vorhandene Authentifizierungsmechanismen Viele PANA Szenarien benötigen neue Protokolle PANA ist doch nicht so Link-Layer Indipendent Device Identifier Encapsulation in einen EAP-Header reicht nicht Resistenz von wichtigen Persönlichkeiten Not Invented here Syndrom Konkurrenz mit PPP basierten Mechanismen 26

27 27 Weitere Nachteile PANA Gruppe sehr klein, wenige Firmen (Nokia, Toshiba, etc.) Umfrage ergab das wenige Hersteller und Implementatoren aktiv mitmachen Rückschläge nach Meeting in Minneapolis im Jahr 2002

28 28 INTEL.com und IPASS Statments The PANA working group is trying to define an IPbased network authentication protocol. If they succeed, PANA may become a relevant technology for WLAN. PANA addresses many of the requirements of public hotspots and home broadband users; however the RFC is not completed at this time.

29 29 Gartner says The extranet access management market grew sluggishly in 2002, with the top four revenue leaders accounting for almost 80 percent of the market. EAM projects are resuming, and the market will see 15 percent growth through by the year 2008 there will be more than 167,000 public WLAN hotspots around the globe. In addition, there will be over 75 million users of public WLAN hotspots worldwide.

30 Microsoft Wireless Provisioning Services in Windows XP SP2 und 2003 Consistent and automated configuration process when connecting: Public wireless hotspots that provide access to the Internet. Private organization wireless networks that provide guest access to the Internet. 30

31 Microsoft 31

32 32 Aktuell ist IEEE i Microsoft is actively engaged with the IETF and IEEE standard bodies as well as with hardware vendors such as Agere, Cisco, and Enterasys. Current initiatives focus on acceptance and support of the upcoming IEEE i standard.

33 Herausforderungen für PANA Jeder Operator/carrier community hat eigene Business Modelle Hotspots werden immer heterogener Billiges Equipment Fehlende Gesetze Schnelle technische Evolution fördert Marktfragmentierung Service muss sofort günstig, verfügbar, einfach bedienbar und sicher sein 33

34 Roaming 34

35 Home Provider 35

36 36 Roaming Probleme Home Provider muss Athentifizierung und Authentication machen End-To-End Security Privacy: Roaming Partner sollte User nicht erkennen Risiko des Kunden Diebstahles Service Levels differenzieren

37 Schlussfolgerungen Generelles Protokoll für die Anmeldung an ein Netzwerk Mehr Nachteile als Vorteile aus ökonomischer Perspektive Microsoft unterstützt PANA nicht aktiv Business Modelle sehr heterogen 37

38 Fragen? Besten Dank für eure Aufmerksamkeit! 38

39 Diskussion Braucht es wirklich dieses Protokoll? Layer indipendent authorisation Vielleicht setzt sich ein Layer durch. WiMAX? Hat PANA eine Chance wenn Microsoft es nur passiv unterstüzt und eigene Lösungen entwickelt? Wo liegt der Vorteil von PANA gegenüber einer Lösung wie Swisscom-Unlimited? 39