Cornelius Kölbelhttps://NetKnights.it

Zwei-Faktor-Authentisierung

Alles unter Kontrolle mit Open Source

Cornelius Kölbel @cornelinux

cornelius.koelbel@netknights.ithttps://netknights.it

Cebit Open Source Forum14. März 2016

Cornelius Kölbelhttps://NetKnights.it

Eigene Identität

● Identitäten, Mehr-Faktor-Authentifizierung, PKI, Verschlüsselung

●Förderung von Open Source Software und kollaborativer Wertschöpfung (Halle 3/D36 620)

Cornelius Kölbelhttps://NetKnights.it

Begriffsklärung

●Authentisierung vs. Authentifizierung●Zwei-Faktor(en)

Wissen Besitz Eigenschaft

Cornelius Kölbelhttps://NetKnights.it

Sinn von 2FAAngriffe

●Angriffszenarien und Skill-Profile●Phishing / Social Engineering ●SQL-Injection●Cracker / Skript-Kiddie

●Physikalischer Diebstahl●Zugriff zum Firmengebäude

●Körperkontakt●Partybesucher / Einwohnermeldeamt1

Cornelius Kölbelhttps://NetKnights.it

Anforderungen an Faktoren

●Eindeutig → Nicht kopierbar●Verlust sollte bemerkbar sein●Revozierbar / Neu ausstellbar

Cornelius Kölbelhttps://NetKnights.it

Kombination

+

PasswortPIN

OTP

Smartcard

Cornelius Kölbelhttps://NetKnights.it

Smartcard

●Assymmetrischer Algorithmus (RSA bis 2048/4096 bit)●Treiber erforderlich●Kein Backend nötig (offline) Smartcard wird

angeschlossen

Sendet Challenge

Entschlüsselt Challenge (priv Key)Überprüft mitpub Key

Cornelius Kölbelhttps://NetKnights.it

Open SourceSmartcard

●PKCS11 library● Endliche Liste an unterstützen Karten● OpenSC (PCSC-lite) / OpenCT

● eToken Pro (PKCS#15) , Yubikey (PIV)● https://github.com/OpenSC/OpenSC/wiki

●GnupPG● Poldi

● GnuPG Smartcards, NitroKey● https://www.schiessle.org/howto/poldi.html

Smartcard Chip

CT Treiber

SC Treiber(PKCS#11)

Applikation(libpam, Mozilla)

Smartcard OS

ObjektePKCS#15 / proprietär

Cornelius Kölbelhttps://NetKnights.it

Smartcard → Applikationen

●PAM● Libpam-p11 (Key Pair)● Libpam-pkcs11 (X.509)● Poldi (GnuPG Smartcards)● Anmeldung an PAM Applikationen

●Firefox / Thunderbird ● PKCS11 als neues Kryptographie-Modul

(Erweitert → Zertifikate → Kryptographiemodule)● Anmeldung mittels X.509 an HTTPS

(Mutual Authentication)

●LUKS ● Nur passphrases

Cornelius Kölbelhttps://NetKnights.it

OTP: Einmal-Passwörter

●Symmetrischer Algorithmus (RFC 4226, 6238...)●Keine Treiber●Backend erforderlich

Rechnet nach RFCmit symmetrischemSchlüssel

Rechnet nach RFCmit symmetrischemSchlüssel

Cornelius Kölbelhttps://NetKnights.it

OTP → Standalone

●Google (Authenticator)● libpam-google-authenticator● Kein Backend: Secret und counter im Homedirectory

●Yubico (Yubikey)● libpam-yubico

● Challenge Response● Kein Backend: Secret im Home-Directory

●LUKS● https://github.com/cornelinux/yubikey-luks● LUKS nur passphrase

Cornelius Kölbelhttps://NetKnights.it

privacyIDEAAuthentifizierung und Verwaltung

lokal

Portal

Firewall

Serverfarm

Cornelius Kölbelhttps://NetKnights.it

privacyIDEAFeatures

●Offen, Open Source, Kein Vendor-Lock-In,●Auth-Devices: Yubikey, U2F, HOTP/TOTP, TiQR, SMS, Email, Google Auth, SSH-Key, X.509 u.v.m.

●Policies → Migration●API → Automatisierbar●Audit●Benutzer lokal, LDAP, AD, SQL, SCIM...●Anbindung von Linux und Windows Desktop, PAM, RADIUS, SAML, Wordpress, OTRS, Dokuwiki, TYPO3, Contao, OwnCloud u.v.m.

Cornelius Kölbelhttps://NetKnights.it

privacyIDEAMigration bestehender OTP-Lösungen

●Sanfte Migration

Proprietäres2FA-System

VPN

Cornelius Kölbelhttps://NetKnights.it

privacyIDEAMigration bestehender OTP-Lösungen

●Sanfte Migration

Einrichten einerWeiterleitungspolicy

Proprietäres2FA-System

VPN

Cornelius Kölbelhttps://NetKnights.it

privacyIDEAMigration bestehender OTP-Lösungen

●Sanfte Migration

Mischbetrieb aus alten und neuen Geräten

Proprietäres2FA-System

VPN

Cornelius Kölbelhttps://NetKnights.it

privacyIDEAMigration bestehender OTP-Lösungen

●Sanfte Migration

VPN

Cornelius Kölbelhttps://NetKnights.it

Ihre nächsten Schritte

●Noobs:● An welchen Stellen brauchen Sie 2FA?

●Experts:● Richtige Technologie?

Sowohl bei der Management-Software als auch bei den Token?

→ Migration.