Re: Zugriff auf Webserver und OPIE Authentifizierung

Matthias Teege <matthias(at)mteege.de> wrote:
> ich habe eine FreeBSD Webserver der Informationen für eine Organisation
> im »Intranet« anbietet. Jetzt möchte ich diese Informationen auch
> extern verfügbar machen.
>
> Da ich davon ausgehen muß, daß der Zugriff von unsicheren Terminals
> erfolgt, würde ich gerne OPIE zur Authentifizierung verwenden.
> Leider habe ich noch nichts Passendes gefunden.

Das ist (leider) auch ein Problem, das sich nicht in zu-
friedenstellender Weise lösen läßt.

> Ich stelle mir das folgendermaßen vor. Der Klient ruft den betreffenden
> Server via https://www.server.org/login=user an und bekommt eine
> Loginseite mit dem challenge von OPIE. Dann gibt er das Passwort
> ein. Bei erfolgreicher Anmeldung werden Anfragen von der betreffenden
> IP Adresse für 30 Minuten erlaubt. Danach ist eine erneute Anmeldung
> erforderlich.

Dir ist schon klar, daß das keinerlei Sicherheit bietet,
nicht wahr? Erstens ist das betreffende Terminal dann im
worst-case noch für 30 Minuten »offen«, nachdem der Benut-
zer es verlassen hat. Zweitens verwenden Internet-Cafes,
Terminal-Pools auf Konferenzen u.ä. häufig einen gemein-
samen (transparenten) Proxy, und Anfragen scheinen von
dessen IP zu kommen. Oft haben die einzelnen Rechner gar
keine eigenen offiziellen IPs, sondern RFC-Adressen, die
geNATet werden. Die Folge: Ein Benutzer würde mit seinem
Einmal-Paßwort das gesamte Internet-Cafe freischalten!

Man könnte die Problematik durch Cookies ein wenig ent-
schärfen: Bei erfolgreicher Eingabe des OTP sendet der
Server ein Cookie durch die SSL-verschlüsselte Verbindung
an den Client, und nachfolgende Zugriffe sind nur dann er-
laubt, wenn der Client von der richtigen IP den richtigen
Cookie wieder mitschickt. Am Ende der Session muß der
Cookie gelöscht werden. Aber auch dies erhöht die Sicher-
heit nur marginal, wenn man davon ausgehen muß, daß der
Client manipuliert sein könnte. Und davon _muß_ man im
Zweifelsfall ausgehen.

> Es wäre auch denkbar, auf OPIE zu verzichten und eine »normale«
> Anmeldung zu wählen da ein potentieller Angreifer nach dem erfolgreichen
> Login auch den Bildschirminhalt mitschneiden kann. OPIE wäre mir
> aber lieber, da ich mich nicht darauf verlassen kann, daß die
> Anwender nach einem »schmutzigen« Login ihr Passwort ändern.

Man könnte das natürlich auch kombinieren, sprich, es ist
ein »normales« Paßwort erforderlich, _und_ zusätzlich ein
OTP mit einer gewissen Gültigkeitsdauer. Aber auch das ist
halt nur ein weiterer Mini-Schritt in der Sicherheit, und
keine Garantie.

Fakt ist: Wenn Du dem Client nicht trauen kannst, hilft
Dir gar nichts. Du müßtest schon ein eigenes Stück Hard-
ware dabeihaben, um Dich zu authentifizieren, und sei es
nur eine Smartcard. Aber wo hat man schon die Möglichkeit
dafür ...

> Hat hier jemand schon einmal Derartiges eingerichtet und kann die
> Installation kurz beschreiben? Gibt es eine Alternative? Wie erledigt
> ihr sowas?

Entweder es soll sicher sein oder nicht. Wenn es sicher
sein soll, dann sind Internet-Cafes u.ä. tabu, es sei denn,
sie bieten Netzwerkzugang direkt an, in Form von Ethernet-
oder WLAN-Zugängen, wo man dann mit seinem _eigenen_ Note-
book / Laptop / PDA drankommt.

Sorry, daß ich Dir keine befriedigende Antwort geben konn-
te, aber so ist's nunmal leider.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message