Cornelius Kölbelhttps://NetKnights.it
Zwei-Faktor-Authentisierung
Alles unter Kontrolle mit Open Source
Cornelius Kölbel @cornelinux
[email protected]://netknights.it
Cebit Open Source Forum14. März 2016
Cornelius Kölbelhttps://NetKnights.it
Eigene Identität
● Identitäten, Mehr-Faktor-Authentifizierung, PKI, Verschlüsselung
●Förderung von Open Source Software und kollaborativer Wertschöpfung (Halle 3/D36 620)
Cornelius Kölbelhttps://NetKnights.it
Begriffsklärung
●Authentisierung vs. Authentifizierung●Zwei-Faktor(en)
Wissen Besitz Eigenschaft
Cornelius Kölbelhttps://NetKnights.it
Sinn von 2FAAngriffe
●Angriffszenarien und Skill-Profile●Phishing / Social Engineering ●SQL-Injection●Cracker / Skript-Kiddie
●Physikalischer Diebstahl●Zugriff zum Firmengebäude
●Körperkontakt●Partybesucher / Einwohnermeldeamt1
Cornelius Kölbelhttps://NetKnights.it
Anforderungen an Faktoren
●Eindeutig → Nicht kopierbar●Verlust sollte bemerkbar sein●Revozierbar / Neu ausstellbar
Cornelius Kölbelhttps://NetKnights.it
Kombination
+
PasswortPIN
OTP
Smartcard
Cornelius Kölbelhttps://NetKnights.it
Smartcard
●Assymmetrischer Algorithmus (RSA bis 2048/4096 bit)●Treiber erforderlich●Kein Backend nötig (offline) Smartcard wird
angeschlossen
Sendet Challenge
Entschlüsselt Challenge (priv Key)Überprüft mitpub Key
Cornelius Kölbelhttps://NetKnights.it
Open SourceSmartcard
●PKCS11 library● Endliche Liste an unterstützen Karten● OpenSC (PCSC-lite) / OpenCT
● eToken Pro (PKCS#15) , Yubikey (PIV)● https://github.com/OpenSC/OpenSC/wiki
●GnupPG● Poldi
● GnuPG Smartcards, NitroKey● https://www.schiessle.org/howto/poldi.html
Smartcard Chip
CT Treiber
SC Treiber(PKCS#11)
Applikation(libpam, Mozilla)
Smartcard OS
ObjektePKCS#15 / proprietär
Cornelius Kölbelhttps://NetKnights.it
Smartcard → Applikationen
●PAM● Libpam-p11 (Key Pair)● Libpam-pkcs11 (X.509)● Poldi (GnuPG Smartcards)● Anmeldung an PAM Applikationen
●Firefox / Thunderbird ● PKCS11 als neues Kryptographie-Modul
(Erweitert → Zertifikate → Kryptographiemodule)● Anmeldung mittels X.509 an HTTPS
(Mutual Authentication)
●LUKS ● Nur passphrases
Cornelius Kölbelhttps://NetKnights.it
OTP: Einmal-Passwörter
●Symmetrischer Algorithmus (RFC 4226, 6238...)●Keine Treiber●Backend erforderlich
Rechnet nach RFCmit symmetrischemSchlüssel
Rechnet nach RFCmit symmetrischemSchlüssel
Cornelius Kölbelhttps://NetKnights.it
OTP → Standalone
●Google (Authenticator)● libpam-google-authenticator● Kein Backend: Secret und counter im Homedirectory
●Yubico (Yubikey)● libpam-yubico
● Challenge Response● Kein Backend: Secret im Home-Directory
●LUKS● https://github.com/cornelinux/yubikey-luks● LUKS nur passphrase
Cornelius Kölbelhttps://NetKnights.it
privacyIDEAAuthentifizierung und Verwaltung
lokal
Portal
Firewall
Serverfarm
Cornelius Kölbelhttps://NetKnights.it
privacyIDEAFeatures
●Offen, Open Source, Kein Vendor-Lock-In,●Auth-Devices: Yubikey, U2F, HOTP/TOTP, TiQR, SMS, Email, Google Auth, SSH-Key, X.509 u.v.m.
●Policies → Migration●API → Automatisierbar●Audit●Benutzer lokal, LDAP, AD, SQL, SCIM...●Anbindung von Linux und Windows Desktop, PAM, RADIUS, SAML, Wordpress, OTRS, Dokuwiki, TYPO3, Contao, OwnCloud u.v.m.
Cornelius Kölbelhttps://NetKnights.it
privacyIDEAMigration bestehender OTP-Lösungen
●Sanfte Migration
Proprietäres2FA-System
VPN
Cornelius Kölbelhttps://NetKnights.it
privacyIDEAMigration bestehender OTP-Lösungen
●Sanfte Migration
Einrichten einerWeiterleitungspolicy
Proprietäres2FA-System
VPN
Cornelius Kölbelhttps://NetKnights.it
privacyIDEAMigration bestehender OTP-Lösungen
●Sanfte Migration
Mischbetrieb aus alten und neuen Geräten
Proprietäres2FA-System
VPN
Cornelius Kölbelhttps://NetKnights.it
privacyIDEAMigration bestehender OTP-Lösungen
●Sanfte Migration
VPN
Cornelius Kölbelhttps://NetKnights.it
Ihre nächsten Schritte
●Noobs:● An welchen Stellen brauchen Sie 2FA?
●Experts:● Richtige Technologie?
Sowohl bei der Management-Software als auch bei den Token?
→ Migration.