Zwei-Faktor-Authentisierung Alles unter Kontrolle - Linux

Commentaren

Transcriptie

Zwei-Faktor-Authentisierung Alles unter Kontrolle - Linux
Zwei-Faktor-Authentisierung
Alles unter Kontrolle
mit Open Source
Cornelius Kölbel
@cornelinux
[email protected]
https://netknights.it
Cebit Open Source Forum
14. März 2016
Cornelius Kölbel
https://NetKnights.it
Eigene Identität
●
●
Identitäten, Mehr-Faktor-Authentifizierung, PKI,
Verschlüsselung
Förderung von Open Source Software und
kollaborativer Wertschöpfung (Halle 3/D36 620)
Cornelius Kölbel
https://NetKnights.it
Begriffsklärung
●
Authentisierung vs. Authentifizierung
●
Zwei-Faktor(en)
Wissen
Cornelius Kölbel
https://NetKnights.it
Besitz
Eigenschaft
Sinn von 2FA
Angriffe
●
Angriffszenarien und Skill-Profile
Phishing / Social Engineering
●SQL-Injection
●Cracker / Skript-Kiddie
●
Physikalischer Diebstahl
●Zugriff zum Firmengebäude
●
Körperkontakt
●Partybesucher / Einwohnermeldeamt
●
1
Cornelius Kölbel
https://NetKnights.it
Anforderungen an Faktoren
●
Eindeutig → Nicht kopierbar
●
Verlust sollte bemerkbar sein
●
Revozierbar / Neu ausstellbar
Cornelius Kölbel
https://NetKnights.it
Kombination
+
OTP
Passwort
Cornelius Kölbel
https://NetKnights.it
PIN
Smartcard
Smartcard
●
Assymmetrischer Algorithmus (RSA bis 2048/4096 bit)
●
Treiber erforderlich
●
Kein Backend nötig (offline)
Smartcard wird
angeschlossen
Sendet Challenge
Überprüft mit
pub Key
Cornelius Kölbel
https://NetKnights.it
Entschlüsselt Challenge (priv Key)
Open Source
Smartcard
●
PKCS11 library
Applikation
(libpam, Mozilla)
●
Endliche Liste an unterstützen Karten
SC Treiber
(PKCS#11)
●
OpenSC (PCSC-lite) / OpenCT
CT Treiber
eToken Pro (PKCS#15) , Yubikey (PIV)
● https://github.com/OpenSC/OpenSC/wiki
●
●
GnupPG
●
Poldi
GnuPG Smartcards, NitroKey
● https://www.schiessle.org/howto/poldi.html
●
Cornelius Kölbel
https://NetKnights.it
Objekte
PKCS#15 / proprietär
Smartcard
OS
Smartcard
Chip
Smartcard → Applikationen
●
●
PAM
●
Libpam-p11 (Key Pair)
●
Libpam-pkcs11 (X.509)
●
Poldi (GnuPG Smartcards)
●
Anmeldung an PAM Applikationen
Firefox / Thunderbird
●
PKCS11 als neues Kryptographie-Modul
(Erweitert → Zertifikate → Kryptographiemodule)
●
Anmeldung mittels X.509 an HTTPS
(Mutual Authentication)
●
LUKS
●
Nur passphrases
Cornelius Kölbel
https://NetKnights.it
OTP: Einmal-Passwörter
●
Symmetrischer Algorithmus (RFC 4226, 6238...)
●
Keine Treiber
●
Backend erforderlich
Rechnet nach RFC
mit symmetrischem
Schlüssel
Cornelius Kölbel
https://NetKnights.it
Rechnet nach RFC
mit symmetrischem
Schlüssel
OTP → Standalone
●
●
Google (Authenticator)
●
libpam-google-authenticator
●
Kein Backend: Secret und counter im Homedirectory
Yubico (Yubikey)
●
libpam-yubico
●
●
●
Challenge Response
Kein Backend: Secret im Home-Directory
LUKS
●
https://github.com/cornelinux/yubikey-luks
●
LUKS nur passphrase
Cornelius Kölbel
https://NetKnights.it
privacyIDEA
Authentifizierung und Verwaltung
Portal
Firewall
lokal
Serverfarm
Cornelius Kölbel
https://NetKnights.it
privacyIDEA
Features
●
●
Offen, Open Source, Kein Vendor-Lock-In,
Auth-Devices: Yubikey, U2F, HOTP/TOTP, TiQR, SMS, Email,
Google Auth, SSH-Key, X.509 u.v.m.
●
Policies → Migration
●
API → Automatisierbar
●
Audit
●
Benutzer lokal, LDAP, AD, SQL, SCIM...
●
Anbindung von Linux und Windows Desktop, PAM, RADIUS,
SAML, Wordpress, OTRS, Dokuwiki, TYPO3, Contao,
OwnCloud u.v.m.
Cornelius Kölbel
https://NetKnights.it
privacyIDEA
Migration bestehender OTP-Lösungen
●
Sanfte Migration
Proprietäres
2FA-System
VPN
Cornelius Kölbel
https://NetKnights.it
privacyIDEA
Migration bestehender OTP-Lösungen
●
Sanfte Migration
Proprietäres
2FA-System
Einrichten einer
Weiterleitungspolicy
VPN
Cornelius Kölbel
https://NetKnights.it
privacyIDEA
Migration bestehender OTP-Lösungen
●
Sanfte Migration
Proprietäres
2FA-System
VPN
Mischbetrieb aus
alten und neuen
Geräten
Cornelius Kölbel
https://NetKnights.it
privacyIDEA
Migration bestehender OTP-Lösungen
●
Sanfte Migration
VPN
Cornelius Kölbel
https://NetKnights.it
Ihre nächsten Schritte
●
Noobs:
●
●
An welchen Stellen
brauchen Sie 2FA?
Experts:
●
Richtige Technologie?
Sowohl bei der ManagementSoftware als auch bei den Token?
→ Migration.
Cornelius Kölbel
https://NetKnights.it