eduroam mit EAP-PWD absichern
|
|
- Elke Böhler
- vor 7 Jahren
- Abrufe
Transkript
1 eduroam mit EAP-PWD absichern Rechenzentrum TU Clausthal 64. DFN Betriebstagung, Mobile-IT-AK 3. März 2016 Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 1
2 Agenda Was ist EAP-PWD Funktionsweise Sicherheit Vorteile Nachteile Implementierung mit FreeRADIUS Supplikanten mit EAP-PWD-Unterstützung Fazit & Zukunftsperspektiven Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 2
3 Was ist EAP-PWD Funktionsweise Extensible Authentication Protocol (EAP) Methode: Nutzt nur geteiltes Password für Authentifizierung, widerstandsfähig gegen aktive Angriffe,... passive Angriffe,... Wörterbuchangriffe. Forward Secrecy -Fähigkeit. Erster Draft für den EAP-PWD-Standard bei IETF: 2008 Finaler IETF-Standard 2010 veröffentlicht als RFC Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 3
4 Was ist EAP-PWD Funktionsweise EAP-pwd-ID/Request: (Ciphersuite, Token, Password Processing Method, Server_ID) EAP-pwd-ID/Response: (Ciphersuite, Token, Password Processing Method, Peer_ID) EAP-pwd-Commit/Request: (Scalar_S, Element_S) EAP-pwd-Commit/Response: (Scalar_P, Element_P) Peer EAP-pwd-Confirm/Response: (Confirm_P) EAP-pwd-Confirm/Request: (Confirm_S) FreeRADIUS Server Identity-Exchange Commit-Exchange Confirm-Exchange Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 4
5 Was ist EAP-PWD Sicherheit Gegenseitig Authentifizierung (siehe RFC 5931, Seite 35) Client und Server authentifizieren sich gegenseitig, indem sie nachweisen, dass sie das geteilte Passwort besitzen. Forward Secrecy. Schutz vor Replay-Attacken. Schutz vor Wörterbuchattacken. Schutz vor DoS (Denial-of-Service). Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 5
6 Was ist EAP-PWD Sicherheit Das geteilte Passwort wird an keiner Stelle im Klartext übermittelt. Kryptografie: Elliptic Curve Cryptography (ECC) bzw. Finite Field Cryptography (FFC). Passwörter dienen als Grundlage für Password Elements. Password Element -Erstellung: 1. Seed aus mehreren Komponenten (inkl. original Passwort), 2. Seed wird mit Key Derivation Function (KDF) auf eine Mindestlänge gebracht. 3. Ermittlung des Password Elements durch Hunting & Pecking auf ECC oder FFC mit Hilfe des per KDF bearbeiteten Seeds. Verfahren basiert auf guten Zufallszahlen. Peer und Server können an Hand der versendeten Elemente Scalar_*, Element_* und Confirm_* die komplette Authentisierung durchführen. Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 6
7 Was ist EAP-PWD Vorteile Vergleich mit EAP-TTLS & PEAP Es werden keine Zertifikate gebraucht. Autorisieren/Authentifizierung nur mit Nutzername & Passwort. Weniger RADIUS-Pakete notwendig: EAP-PWD: 6 gesendete Pakete & 6 empfangene Pakete PEAP+MSCHAPv2: 15 gesendete Pakete & 15 empfangene Pakete Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 7
8 Was ist EAP-PWD Nachteile Nachteil gegenüber getunnelten Verfahren (EAP-TTLS & PEAP) Keine äußere Identität anonymous, da kein getunneltes Verfahren. Hinweis: EAP-PWD kann theoretisch getunnelt werden. Bessere Alternative: Ggf. eigene Identitäten für eduroam Nutzerkennung. Kaum native Unterstützung in Endgerätebetriebssystemen (bisher nur Android und aktueller wpa_supplicant). Im eduroam CAT: Supplikant von Aruba für Windows (Installation buggy; Autoren von eduroam CAT arbeiten an Lösung). Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 8
9 Implementierung mit FreeRADIUS EAP-PWD wird seit FreeRADIUS-Version unterstützt, nach Aussage aus der FreeRADIUS-Community erst seit stabil. Copyright der FreeRADIUS-Quellen für EAP-PWD liegt bei Dan Harkins, Autor von RFC Konfiguration mods-available/eap: ## eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.) eap { pwd { group = 19 server_id =... fragment_size = 1020 virtual_server = "inner-tunnel" Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 9
10 Implementierung mit FreeRADIUS Konfiguration sites-available/default (analog wie EAP-TTLS / PEAP): server default { listen {... authorize { filter_username preprocess suffix eap { ok = return authenticate { eap... post-auth { update { &reply: += &session-state: reply_log Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 10
11 Implementierung mit FreeRADIUS Benötigte Attribute Cleartext-Password (gehashte Passwörter funktionieren derzeit nicht) Es wird Cleartext-Password als Control-Attribut in LDAP benötigt (falls man LDAP benutzt). Es empfiehlt sich, extra Passwörter nur für EAP-PWD im Verzeichnisdienst zu pflegen. Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 11
12 Implementierung mit FreeRADIUS Fallstrick bei EAP-PWD in FreeRADIUS: EAP-PWD ist in der FreeRADIUS-Implementierung getunnelt, obwohl es kein getunneltes Verfahren ist. RADIUS-Attribute (Reply-Items) für die VLAN-Zuordnung etc. werden nicht sauber in Access-Accept-Nachrichten kopiert. Workaround mit session state zum Kopieren von Reply Items. Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 12
13 Implementierung mit FreeRADIUS Warum sollte man für EAP-PWD und EAP-TTLS / PEAP die session-state -Methode verwenden? Früher (FreeRADIUS 1.x-2.x): copy_tunnel_reply=yes. copy_tunnel_reply=yes sollte in FreeRADIUS ab Version nicht mehr genutzt werden: Bei MSCHAPv2: Sicherheitsprobleme mit diesem Verfahren. Zu viele Attribute werden nach Außen kopiert (z. B. MS-MPPE-* -Attribute). Es sollte daher der neue session-state -Mechanismus verwendet werden. Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 13
14 Implementierung mit FreeRADIUS Konfiguration sites-available/inner-tunnel: # This is a virtual server that handles *only* inner tunnel server inner-tunnel { authorize { preprocess eapinnertunnel { ok = return ldap update { &outer.session-state: += &reply: update outer.session-state { MS-MPPE-Encryption-Policy!* ANY MS-MPPE-Encryption-Types!* ANY MS-MPPE-Send-Key!* ANY MS-MPPE-Recv-Key!* ANY Message-Authenticator!* ANY EAP-Message!* ANY Proxy-State!* ANY [ ] Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 14
15 Supplikanten mit EAP-PWD-Unterstützung Getestet mit Android (nativ im OS unterstützt, eventuell schon in früheren Versionen) Windows Windows 7 & 10 (eduroam CAT; nutzt Supplikant von Aruba, CAT- Installation derzeit buggy) Linux Aktuelles Ubuntu / Mint (nicht von Network-Manager unterstützt). Lösung mit wpa_supplicant. Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 15
16 Supplikanten mit EAP-PWD-Unterstützung Konfiguration wpa_supplicant ap_scan=1 network={ ssid="eduroam" key_mgmt=wpa-eap eap=pwd password="passwort" Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 16
17 Fazit & Zukunftsperspektiven Gutes Verfahren, um Android-Geräte sicher zu authentisieren. Derzeit kaum Unterstützung für andere OS. Fast perfektes EAP-Verfahren, nicht nur für Android. Löst viele Probleme mit Zertifikaten und kann eine gute Alternative für EAP-TTLS und PEAP + innere Verfahren sein. Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 17
18 Danke für Ihre Aufmerksamkeit! Fragen? Abram Lawendy Rechenzentrum TU Clausthal Erzstraße Clausthal-Zellerfeld Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 18
19 Referenzen Extensible Authentication Protocol (EAP) Authentication Using Only a Password Rechenzentrum TU Clausthal eduroam mit EAP-PWD absichern 19
Begrüßung/Agenda, MSCHAPv2 & eduroam mit SymbianOS
Begrüßung/Agenda, MSCHAPv2 & eduroam mit SymbianOS C. Strauf, 47. DFN Betriebstagung, Mobile IT AK, 17.10.2007 1 Begrüßung & Agenda Agenda: DFNRoaming Admin-Tool & Neues zu eduroam R. Paffrath (DFN) WLAN-Security
MehrWiTUC - Radius, Accounting & DFNRoaming
WiTUC - Radius, Accounting & DFNRoaming C. Strauf, DFNRoaming-Workshop (Stuttgart, 30.11.2006) 1 Agenda WiTUC - WLAN an der TU Clausthal Technik hinter WiTUC AAA-Infrastruktur von WiTUC Fußangeln bei AAA
MehrVersuch eines EAP-PWD-Rollouts und Vergleich mit PEAP. Martin Weber
Martin Weber Vorgeschichte Geplante Umstellung der Radius-Infrastruktur für das Jahr 2017 Inbetriebnahme eines RadSec-Proxy für DFN-Roaming Umstellung FreeRADIUS 2 zu FreeRADIUS 3 Änderung der Zertifikatskette
MehrRADIUS. Moritz Blanke (KaWo1) TANAG 2017
RADIUS Moritz Blanke (KaWo1) TANAG 2017 RADIUS Weg von den Bastellösungen! Moritz Blanke (KaWo1) TANAG 2017 AAA RADIUS? Was ist das? AAA-Protokoll Authentication Authorization Accounting RADIUS? Was ist
MehrRADIUS (Remote Authentication Dial In User Service)
RADIUS (Remote Authentication Dial In User Service) von Patrick Oppermann und Sönke Chair for Communication Technology (ComTec( ComTec), Faculty of Electrical Engineering / Computer Science Inhalt Einführung/Überblick
MehrWas tun mit eduroam Clients bei Ablauf des Telekom CA 2 Zertifikats?
Was tun mit eduroam Clients bei Ablauf des Telekom CA 2 Zertifikats? oder: Wohin emigriert der eduroam-admin am 9. Juli 2019? Steffen Klemer (GWDG), Ralf Paffrath (DFN), Christian Strauf (TU Clausthal)
MehrNetzwerk-Zugangskontrolle mit FreeRADIUS und OpenLDAP Linux höchstpersönlich.
Netzwerk-Zugangskontrolle mit FreeRADIUS und OpenLDAP Wer sind wir? wir bieten seit 20 Jahren Wissen und Erfahrung rund um Linux- Server und E-Mails IT-Consulting und 24/7 Linux-Support mit 17 Mitarbeitern
MehrZiel: Problemdefinition: Der vorhandene LDAP Dienst kann mit der Verwendung von MSCHAP nicht für die Authentifizierung verwendet werden.
Ziel: Integration eines Radiusservers in eine LDAP/Active Directory Umgebung. Dies wird anhand eines Beispiels mit Redhat Enterprise Server 5 veranschaulicht. Problemdefinition: Der vorhandene LDAP Dienst
MehrRADIUS Loadbalacing. 66. DFN Betriebstagung. mit Freeradius 3. Chemnitz 21. März 2017 Ronald Schmidt
RADIUS Loadbalacing mit Freeradius 3 Agenda Motivation Ausgangs-Situation Loadbalacing mit Freeradius Ausblick 2 Motivation () Hauptlast durch Eduroam-Authentifizierung ~2000 gleichzeitige AAA in Mittagszeit
MehrFreeradius Migration 2to3
Freeradius Migration 2to3 Steffen Klemer Gesellschaft für Wissenschaftliche Datenverarbeitung Göttingen 2015-10-28 Steffen Klemer (GWDG) eduroam 2015-10-28 1 / 32 1 eduroam und RADIUS 2 Freeradius 3 Freeradius
MehrWiTUC Radius, LDAP, Accounting & DFNRoaming
WiTUC Radius, LDAP, Accounting & DFNRoaming C. Höfft, (Autor: C. Strauf) DFNRoaming-Workshop (Berlin, 26.04.2007) 1 Agenda WiTUC - WLAN an der TU Clausthal Technik hinter WiTUC AAA-Infrastruktur von WiTUC
Mehreduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack
eduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack Agenda eduroam Infrastruktur Sichere Nutzung Sicherheitstest (Android-)Probleme Fazit 2 2002 durch TERENA in Europa gestartet 3 Verfügbar
MehrEduroam-Einrichtung unter Linux
Eduroam-Einrichtung unter Linux Inhaltsverzeichnis 1 Einrichtung mit Hilfe des Gnome-Netzwerk-Verwaltungswerkzeugs 2 Einrichtung unter Kubuntu 10.10 2.1 Schritt 1 2.2 Schritt 2 2.3 Schritt 3 3 Einrichtung
MehrNutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de
Nutzerauthentifizierung mit 802.1X Torsten Kersting kersting@dfn.de Inhalt EAP Protokoll EAP Methoden 802.1X Netzwerk Port Auth. 802.1X in WLAN s 802.11i (TKIP, CCMP, RSN) Einführung Design Fehler in statischem
Mehrtubit WirelessLAN 27. November 2008 eduroam Martin Schmidt IT Dienstleistungszentrum der TU Berlin
tubit WirelessLAN eduroam 27. November 2008 Martin Schmidt IT Dienstleistungszentrum der TU Berlin (tubit) Inhalt Historie ehemaliger Netzaufbau akuteller Netzaufbau neue Authentifizierung Management Optionen
MehrVoIP an der UdS. Erste Erfahrungen mit 802.1x Umsetzung an der UdS. VoIP-Arbeitskreis, Berlin, 21.10.08
Erste Erfahrungen mit 802.1x Umsetzung an der UdS VoIP-Arbeitskreis, Berlin, 21.10.08 Mail:e.scherer@rz.uni-saarland.de Tel: +49 681 302 686 60 Motivation: VoIP-Ausschreibung (ca. 5200 Telefone) Netzwerkanschaltung
MehrGrundlagen der entfernten Authentifizierung und Autorisierung: Kerberos
Grundlagen der entfernten Authentifizierung und Autorisierung: Kerberos Proseminar Konzepte von Betriebssystem-Komponenten Sommersemster 2010 florian.lukas@e-technik.stud.uni-erlangen.de 23. Juni 2010
MehrAnleitung Nutzung eduroam
Anleitung Nutzung eduroam Freigegeben von HoSch am 07.10.2015 Seite 1 von 11 Inhalt 1. Eduroam... 3 2. Installationsassistent eduroam CAT... 4 2.1. Microsoft Installation... 4 2.2. MAC OS X Installation...
MehrMittelschulen und Berufsbildung Allgemeine Gewerbeschule Basel AGS-Basel
Allgemeine Gewerbeschule Basel Drahtlosnetzwerk AGS-Basel Version 1.2 Drahtlosnetzwerk AGS-Basel [Linux] Version 1.2 Installations- Anleitung IT Services Allgemeine Gewerbeschule Basel Vogelsangstrasse
MehrEinrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal
Einrichtung von radsecproxy Agenda Erinnerung: Funktionsweise von RADIUS RadSec - eine Übersicht Systemvoraussetzungen Installation von radsecproxy Konfiguration von radsecproxy Debugging 2 Erinnerung:
MehrEin EAP Supplicant in JavaScript
Ein EAP Supplicant in JavaScript Wäre es technisch möglich, eduroam Accounts als Web-Login zu verwenden unter Beibehalten des Ende-zu-Ende-Tunnels? oder: Wie schwer ist es, einen EAP Supplikanten in JavaScript
MehrHochschule Wismar - University of Applied Sciences Technology Business and Design. 802.1X Port-Based. Authentication. für das Schulnetzwerk
802.1X Port-Based Authentication für das Schulnetzwerk 1 Workshop: 802.1X Port-Based Authentication für das Schulnetzwerk Was wollen wir tun? Teil 1: Grundlegende Fragen Etwas Theorie 802.1x Userdatenbank-Server
MehrOpeneGK. Benutzerfreundliche und sichere Authentisierung für Mehrwertdienste im Gesundheitswesen. Mannheim,
OpeneGK Benutzerfreundliche und sichere Authentisierung für Mehrwertdienste im Gesundheitswesen Mannheim, 08.09.2010 Daniel Eske, Detlef Hühnlein, Johannes Schmölz, Sachar Paulus, Tobias Wich, Thomas Wieland
MehrWireless & Management
4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung
MehrSichere Netzwerke x Auf Rollen basierte Sicherheit Inkl. Demonstrationen
Sichere Netzwerke 802.1x Auf Rollen basierte Sicherheit Inkl. Demonstrationen Karaduman Ercan TGM Wien 20 Inhalt Motivation, Voraussetzungen, Funktion, Geräte Demonstration
MehrSicherung der Kommunikation zwischen OAM und WebGate
überraschend mehr Möglichkeiten! Sicherung der Kommunikation zwischen OAM und WebGate Mohammad Esad-Djou, Solution Architect OPITZ CONSULTING 2016 Agenda 1 2 3 Grundkonzepte und Komponenten Kommunikation
MehrNCP Exclusive Remote Access Client (ios) Release Notes
Service Release: 1.2.1.1 r43310 Datum: März 2019 Voraussetzungen Folgende NCP Software-Komponenten werden für den Rollout und den Einsatz des NCP Secure Enterprise Clients auf einem Gerät mit ios 11.x
MehrAnleitung Nutzung eduroam
Anleitung Nutzung eduroam Freigegeben von HoSch am 07.10.2015 Seite 1 von 12 Inhalt 1. Eduroam... 3 2. Installationsassistent eduroam CAT... 4 2.1. Microsoft Installation... 4 2.2. MAC OS X Installation...
MehrIdentity Based Networking Services 2.0 an der Hochschule Luzern
Identity Based Networking Services 2.0 an der Hochschule Luzern Finanzen & Services IT Services Pascal Gertsch ICT System Ingenieur T direkt +41 41 228 21 29 pascal.gertsch@hslu.ch Luzern 15.06.2016 Agenda
MehrNCP Secure Entry macos Client Release Notes
Service Release: 3.00 r37856 Datum: November 2017 Voraussetzungen Apple OS X Betriebssysteme: Folgende Apple macos Betriebssysteme werden mit dieser Version unterstützt: macos High Sierra 10.13 macos Sierra
MehrRadius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106
Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:
MehrVon der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg
Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory DOAG 2014 - Konferenz Nürnberg 18.-20.11.2014 Rechenzentrum der RUB Hans-Ulrich.Beres@rub.de Suvad.Sahovic@oracle.com
MehrZwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung Impulsvortrag im Rahmen des ZKI Arbeitskreises Verzeichnisdienste 14./15. März 2016 in Marburg Kurzüberblick Token-Typen I Algorithmen HOTP (HMAC-based One Time Password,
MehrSNMP Der vergessene Klassiker
Dr. Schwartzkopff IT Services SNMP Der vergessene Klassiker Dr. Michael Schwartzkopff SNMP Seite 1/27 Der Aufbau des Seminars Motivation für Netzwerk Management Grundlagen für SNMP (SMI, MIB und SNMP)
MehrIT-Sicherheit - Sicherheit vernetzter Systeme -
IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 9: Netzsicherheit - Schicht 2: Data Link Layer 1 Inhalt Virtualisierungstechniken Point-to-Point Protocol () Point-to-Point Tunneling Protocol (PPTP)
MehrUnsupported HowTo. paedml Linux. Radius-Server im WLAN konfigurieren Stand Version: 7.0. paedml stabil und zuverlässig vernetzen
Beratung und Support Technische Plattform Support-Netz-Portal paedml stabil und zuverlässig vernetzen Unsupported HowTo Radius-Server im WLAN konfigurieren Stand 05.02.2018 paedml Linux Version: 7.0 Impressum
MehrSicherer Netzzugang im Wlan
PEAP Sicherer Netzzugang im Wlan Motivation Im Wohnheimnetzwerk des Studentenwerks erfolgt die Zugangskontrolle via 802.1X. Als Methode wurde MD5 eingesetzt. Dies wurde in Microsoft Vista nicht unterstützt.
MehrNCP Exclusive Remote Access Client (ios) Release Notes
Service Release: 1.2.2.0 r43824 Datum: Mai 2019 Enterprise Clients auf einem Gerät mit ios 11.x oder neuer benötigt: NCP Management Plug-in Client Configuration Version 11.14 r42540 NCP Management Plug-in
MehrIEEE 802.1X- Authentifizierung
IEEE 802.1X- Authentifizierung mit SCEP Kurzanleitung Stand: 2017-12-22 1. IEEE 802.1X-Authentifizierung mit Unterstützung von SCEP 2 2. Windows als SCEP-Server 3 3. SCEP für elux-clients konfigurieren
MehrDigicomp Microsoft Evolution Day 2015 1. ADFS Oliver Ryf. Partner:
1 ADFS Oliver Ryf Partner: 2 Agenda Begrüssung Vorstellung Referent Active Directory Federation Services (ADFS) F&A Weiterführende Kurse 3 Vorstellung Referent Seit 1991 IT-Trainer 1995 MCSE und MCT Seit
Mehreduroam mit Android nutzen
Artikeldatum: 11:09 17. Juni 2016 Seite: 1/10 eduroam mit Android nutzen eduroam mit Android nutzen Voraussetzung Vor der Wi-Fi Nutzung muss die Betriebsregelung elektronisch anerkannt werden, sonst ist
MehrKonfiguration eduroam
Konfiguration eduroam Windows XP Vorbedingungen Gültiger Benutzeraccount der Universität Bonn. WPA2/WPA-fähige Netzwerkkarte in Ihrem Rechner. Aktuelles Servicepack mit aktuellen Stammzertifikaten. Version
MehrSeite Access Point im Enterprise Mode (802.1x) 4.1 Einleitung
4. Access Point im Enterprise Mode (802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung
MehrTechnische Richtlinie Sicheres WLAN (TR-S-WLAN)
Technische Richtlinie Sicheres WLAN (TR-S-WLAN) Teil 1: Darstellung und Bewertung der Sicherheitsmechanismen Kürzel: BSI-TR 03103 Teil 1 Version 1.0 Veröffentlichung 10/2005 SecuMedia Teil 1: Darstellung
MehrBest Practices WPA2 Enterprise und Radius-SSO
Best Practices WPA2 Enterprise und Radius-SSO Jonas Spieckermann Senior Sales Engineer Jonas.Spieckermann@watchguard.com Grundlage WLAN IEEE 802.11 definiert den Standard für Wi-Fi Netze 2 Frequenzbänder
MehrKonfigurationsbeispiel USG & ZyWALL
ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall
MehrInternetsichere Kennwörter
Internetsichere Kennwörter TEFO 2013,, Zürich André Liechti, CTO SysCo systèmes de communication sa, Neuchâtel, Suisse S y s C o Referent André Liechti CTO SysCo systèmes de communication sa dipl. Kom.-Syst.-Ing.
MehrNCP Secure Enterprise Client (ios) Release Notes
Service Release: 1.2.0.0 r42534 Datum: Januar 2019 Voraussetzungen Folgende NCP Software-Komponenten werden für den Rollout und den Einsatz des NCP Secure Enterprise Clients auf einem Gerät mit ios 11.x
MehrNCP Secure Enterprise Client (ios) Release Notes
Service Release: 1.2.1.1 r 43310 Datum: März 2019 Voraussetzungen Folgende NCP Software-Komponenten werden für den Rollout und den Einsatz des NCP Secure Enterprise Clients auf einem Gerät mit ios 11.x
MehrSichere WLANs an UNI und UKM Dieter Frieler
Sichere WLANs an UNI und UKM 2007 Dieter Frieler 27.10.2006 Übersicht 0 Einleitung 1 Stand bisher 2 Ziele 3 Umsetzung 4 WPA / WPA 2 5 Praxis: Windows XP 6 Support 7 Ausblick Stand bisher Eingestzte Dienste
MehrEduroam-Einrichtung unter Android
Eduroam-Einrichtung unter Android Das kabellose Netzwerk der Hochschule hat den Namen "eduroam". Dieses Netzwerk ist an fast allen europäischen Hochschulen unter diesem Namen verfügbar. Die für den Zugang
MehrNCP Secure Enterprise Client (ios) Release Notes
Service Release: 1.1.2.0 r36988 Datum: September 2017 Voraussetzungen Folgende NCP Software-Komponenten werden für den Rollout und den Einsatz des NCP Secure Enterprise Clients auf einem Gerät mit ios
Mehrhiermit möchte ich Sie um eine Stellungnahme zu folgendem Fall von vermutlichem wissenschaftlichem Fehlverhalten bitten.
Thomas Raab 06.07.2012 Liselotte-Herrmann-Str. 16 14558 Nuthetal Universität Potsdam Sehr geehrter Dekan Prof. Dr. Patrick O'Brien, Sehr geehrter Ombudsmann Prof. Dr. Wolfgang Mitsch hiermit möchte ich
MehrBest Practices - WatchGuard AuthPoint - Active Directory / LDAP Integration
1 Best Practices - WatchGuard AuthPoint - Active Directory / LDAP Integration Thomas Fleischmann Senior Sales Engineer, Central Europe Thomas.Fleischmann@watchguard.com 2 Agenda Kurz Was ist WatchGuard
MehrWLAN an der Ruhr-Universität Bochum
WLAN an der Ruhr-Universität Bochum Andreas Jobs, Andreas Noack 13. März 2009 Überblick Rechenzentrum - Abtl. Rechnernetz ca. 40.950 Switchports ca. 30.800 Netzwerkanschlüsse ca. 9600 aktive Anschlüsse
MehrEntwicklungen um LDAP 1
Weitere Entwicklungen um LDAP 33. DFN Betriebstagung Directory Forum Berlin 10.10.2000 Peter Gietz Peter.gietz@directory.dfn.de Entwicklungen um LDAP 1 Agenda IETF LDAPext (LDAP Extensions) LDAPbis (LDAP
MehrBeispiel Konfiguration für einen Freeradius Server 802.1X EAP/TTLS
Beispiel Konfiguration für einen Freeradius Server 802.1X EAP/TTLS ( Version 1.1.1) zusammengetragen von Ralf Paffrath DFN-Verein Vorraussetzung: Für das DFN-Roaming wird ein aktueller freeradius benötigt.
MehrNetzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen
Netzsicherheit 4: Layer 2-Sicherheit Das Point-to-Point- Protokoll und seine Erweiterungen Das TCP/IP-Schichtenmodell Anwendungsschicht (FTP, HTTP, SMTP,...) Transportschicht (TCP, UDP) Internetschicht
MehrIEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de
IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung
MehrAuthentifizierung und Autorisierung in Kubernetes
Authentifizierung und Autorisierung in Kubernetes Frühjahrsfachgespräch GUUG 2018 01. März 2018 Michael Steinfurth Linux / Unix Consultant & Trainer B1 Systems GmbH steinfurth@b1-systems.de Vorstellung
MehrSicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1
Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 1 1. TLS-Einordnung (OSI-Referenzmodell, Geschichte) 2. TLS-Datenübertragung 3. TLS Schlüssel und Algorithmen 4. TLS-Handshake 5. TLS-Implementierung
MehrHowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware
HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher
MehrEntwicklung einer REST-API zur Erstellung und Konfiguration von Microsoft Teams. Jan Kruse, utilitas GmbH
Entwicklung einer REST-API zur Erstellung und Konfiguration von Microsoft Teams Jan Kruse, utilitas GmbH 15.01.2018 Gliederung Einleitung Motivation Ziele Grundlagen ASP.Net Web API REST-API Microsoft
MehrWebLogic goes Security!
WebLogic goes Security! SSO und Forms, ein Erfahrungsbericht Frank Burkhardt, Senior Architekt Quality-Technology Solutions GmbH, Deutschland Nürnberg, DOAG 2017 AGENDA 1. Ausgangssituation und Zielsetzung
MehrHostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert, <jan.fiegert@gmx.de>
HostAP WPA Workshop 27. Dezember 2004 Jan Fiegert, Einleitung / Motivation 802.11 ist eine Gruppe von Standards zu Funkvernetzung. 802.11b beinhaltet ein RC4 basiertes Verfahren zur
MehrMobilkommunikationsnetze - 802.11 Security -
- 802.11 Security - Vorlesung Historisch: WEP Wired Equivalent Privacy (WEP) Verschlüsselung mit RC4-Stromchiffre mit 40 bzw. 104 Bit Schlüssel 24-Bit-Initialisierungsvektor zur Vermeidung von Schlüsselduplikaten
MehrKonzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Benutzerverwaltung mit Kerberos
Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Benutzerverwaltung mit Kerberos Jochen Merhof m.jochen@web.de 1. Einleitung 2. Was ist Kerberos 3. Wichtige Begriffe des Kerberos-Protokolls
MehrEduroam Einrichtung bei Android-Geräten mittels EduroamCAT
Eduroam Einrichtung bei Android-Geräten mittels EduroamCAT Felizitas Heinebrodt Technische Hochschule Nürnberg Rechenzentrum Kesslerplatz 12, 90489 Nürnberg DokID: RZ_5440_HR_EduroamCAT-Android_public,
MehrIKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN
IKEv1 vs. v2 Wie verändert die Version 2 von IKE das Verhalten? 1 Agenda Einführung IPSec IKE v1 v2 Zusammenfassung der Unterschiede Fazit Quellen Fragen und Antworten 2 IPSec OSI Layer 3 (Network Layer)
MehrKapitel 11: Netzsicherheit - Schicht 2: Data Link Layer. IT-Sicherheit
Kapitel 11: Netzsicherheit - Schicht 2: Data Link Layer IT-Sicherheit Inhalt Virtualisierung von Netzen Virtual Private Networks VLAN Point-to-Point Protocol (PPP) Authentisierungsprotokolle: PAP, CHAP,
MehrVon der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg
Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory DOAG 2016 - Konferenz Nürnberg 15.-17.11.2016 IT.SERVICES der RUB Hans-Ulrich.Beres@ruhr-uni-bochum.de Suvad.Sahovic@oracle.com
MehrNCP Secure Enterprise Client (ios) Release Notes
Service Release: 1.2.2.0 r 43824 Datum: Mai 2019 Enterprise Clients auf einem Gerät mit ios 11.x oder neuer benötigt: NCP Management Plug-in Client Configuration Version 11.14 r42540 NCP Management Plug-in
MehrAZURE ACTIVE DIRECTORY
1 AZURE ACTIVE DIRECTORY Hype oder Revolution? Mario Fuchs Welcome 2 Agenda 3 Was ist [Azure] Active Directory? Synchronization, Federation, Integration Praktische Anwendungen z.b.: Multifactor Authentication
Mehreduroam // DHBW Mosbach / IT-Service
eduroam // DHBW Mosbach / IT-Service 1 Allgemeine Erläuterungen... 2 1.1 Zugang für reisende Wissenschaftler... 2 1.2 Sicherheit... 2 1.3 Voraussetzungen... 3 1.4 Technische Daten... 3 2 eduroam-account
MehrWLAN-Anmeldung und Nutzung Stand: 05/2019
Einbindung und Nutzung von Android-basierten Geräten im WLAN-Netz Voraussetzung für die Nutzung des WLAN im AGB ist die Registrierung des Gerätes anhand der MAC-Adresse des WLAN-Adapters. Hinweis: Andere
MehrKonfiguration eduroam
Konfiguration eduroam Windows 7 Vorbedingungen Gültiger Benutzeraccount der Universität Bonn. WPA2/WPA-fähige Netzwerkkarte in Ihrem Rechner. Version 0.2 1 Installieren der notwendigen Software Die Universität
MehrHP JetAdvantage Security Manager
HP JetAdvantage Security Manager Sicherheit Wie gehen die Unternehmen mit diesem Thema um? 1. Ignoriert! 2. MFP/Drucker aussen vor. 3. Vollständig im Fokus. Sicherheit für MFP/Printer. Warum? Command
MehrHochschule Prof. Dr. Martin Leischner Bonn-Rhein-Sieg Netzwerksysteme und TK Modul 7: SNMPv3 Netzmanagement Folie 1
Modul 7: SNMPv3 M. Leischner Netzmanagement Folie 1 SNMP-Versionen Party-Based SNMP Version 2 (SNMPv2p) User-Based SNMP Version 2 (SNMPv2u) SNMP Version 3 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrDas Kerberos-Protokoll
Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt
Mehreduroam mit Android Timo Bernard & Karsten Honsack
Timo Bernard & Karsten Honsack Warum wir hier sind Aktionstag der Ruhr-Universität Bochum Kontrolle der eduroam Konfiguration 2/3 von 350 Studierenden hatten unsichere Einstellungen 2 Es ist anzunehmen,
MehrBibliografische Informationen digitalisiert durch
Auf einen Blick 1 Einführung 17 2 Netzwerkgrundlagen 41 3 Software 85 4 Authentisierung und Verschlüsselungsarten 101 5 OpenVPN konfigurieren 129 6 Plug-ins 181 7 Weitere Konfigurationen 185 8 Tipps 209
MehrZertifikate Exchange Server / WLAN. Referent: Marc Grote
Zertifikate Exchange Server / WLAN Referent: Marc Grote Agenda Verwendungszweck von Zertifikaten Krytografiegrundlagen Symmetrische / Asymmetrische Verschluesselungsverfahren Windows Zertifizierungsstellen
MehrSicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 2
Sicherheit in Netzen Modul 5: TLS Transport Layer Security Teil 2 1. TLS-Einordnung (OSI-Referenzmodell, Geschichte) 2. TLS-Datenübertragung 3. TLS Schlüssel und Algorithmen 4. TLS-Handshake 5. TLS-Implementierung
MehrLDAP-Server ganz einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg
LDAP-Server ganz einfach mit Oracle Virtual Directory DOAG 2017 - Konferenz Nürnberg 21.-23.11.2017 IT.SERVICES der RUB Hans-Ulrich.Beres@ruhr-uni-bochum.de Agenda Ausgangslage und Anforderungen Lösung
MehrDas Ende der Passwort-Ära X.509 Authentifizierung die Alternative!
Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative! - X.509 Sicherheit für alle mobilen Geräte - Die PKI/MDM Integrationsproblematik - Ist Ihre Infrastruktur kompatibel? Juni 2013 Nicolas
Mehr051124 TechNet Webcast Aufbau eines sicheren WLANs. Wireless LAN. Page: 1
Wireless LAN Page: 1 Microsoft TechNet Page: 2 Microsoft TechNet Page: 3 Warum schauen Sie diesen Webcast? Page: 4 Slide 5 Page: 5 Slide 6 Page: 6 Slide 7 Page: 7 Anspruch dieser Session Page: 8 Sicherheitsanforderungen
MehrVertrauliche Videokonferenzen im Internet
Vertrauliche Videokonferenzen im Internet Luigi Lo Iacono, Christoph Ruland Institut für Digitale Kommunikationssysteme, Förderung DFG-Projekt (Ru 600/8-1) Internet Security System für Voice over IP unter
MehrFortgeschrittene Wireless Sicherheitsmechanismen
Fortgeschrittene Wireless Sicherheitsmechanismen Was nach WEP kommt Von P. Infanger Inhaltsverzeichnis Wieso WEP so schlecht ist WPA WPA2 802.11i 802.1x Empfehlungen Wieso WEP so schlecht ist Verschlüsselung
MehrNCP Secure Enterprise Management (für Windows-Betriebssysteme) Neue Features Version 1.03 bis 2.04
NCP Secure Enterprise Management (für Windows-Betriebssysteme) Neue Features Version 1.03 bis 2.04 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert
MehrOAuth 2.0. Ralf Hoffmann 03 /
OAuth 2.0 Ralf Hoffmann 03 / 2017 ralf.hoffmann@gmx.de Früher User / Pass User / Pass Client Server Alles aus einer Hand Früher / Heute Sind meine Credentials hier sicher??? User / Pass User / Pass Kann
MehrSeite - 1 - 12. IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung
12. IPsec Client / Gateway mit Zertifikaten (CA / DynDNS) 12.1 Einleitung Sie konfigurieren eine IPsec Verbindung zwischen dem IPsec Client und der UTM. Die UTM hat eine dynamische IP-Adresse und ist über
MehrTransport Layer Security Nachtrag Angriffe
Transport Layer Security Nachtrag Angriffe TLS Replay Attack TLS Replay Angriff Annahme Server sendet keine Nonce, oder immer gleiche Client generiert Pre-Master Secret, Schlüsselmaterial über KDF (deterministisch!)
MehrShibboleth und Kerberos in gemischten Umgebungen Erfahrungen und Grenzen
Shibboleth und Kerberos in gemischten Umgebungen Erfahrungen und Grenzen 66. DFN-Betriebstagung, AAI-Forum, 21.03.2017 Frank Schreiterer Universität Bamberg S. 1 Agenda 1. Ausgangssituation 2. Anpassungen
MehrWLAN-Anleitung Eduroam für Angehörigen der HSRM an fremden Standorten
WLAN-Anleitung Eduroam für Angehörigen der HSRM an fremden Standorten Inhalt 1. Vorwort zum Thema eduroam... 3 2. Nutzung eduroam an fremden Standorten... 3 3. Einrichten eduroam... 4 Hochschule RheinMain
MehrFreeIPA. Eine Einführung. Robert M. Albrecht. Presented by. Fedora Ambassador CC-BY-SA. Freitag, 20. Juli 12
FreeIPA Eine Einführung Presented by Robert M. Albrecht Fedora Ambassador CC-BY-SA Robert M. Albrecht Linux seit 1992 RedHat User seit 1996 Fedora seit 2003 romal@fedoraproject.org Robert-M.Albrecht@T-Systems.COM
MehrKerberos. Kerberos. Folien unter. http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf. 1 Stefan Schnieber 23.05.
Kerberos Folien unter http://www.tu-berlin.de/zrz/mitarbeiter/stsc4000/tubit_kerberos_infrastruktur.pdf 1 Stefan Schnieber Authentication of Unknown Entities on an Insecure Network of Untrusted Workstations
MehrElektronischer Personalausweis epa
Elektronischer Personalausweis epa Attribut-Authentisierung für das Web Prof. Dr. Norbert Pohlmann Institut für Internet-Sicherheit if(is) Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de
Mehr