Analyse der XAUTH-Erweiterung für IKE und Implementierung einer Protokollverbesserung

  • Typ:Studienarbeit
  • Betreuung:Michael Conrad, Lars Völker
  • Bearbeitung:Andreas Hoffmann
  • Beschreibung

    IPsec kann nicht ohne Probleme als Protokoll für VPN/Roadwarrior-Szenarien verwendet werden, denn der Schlüsselaustauschdienst IKE sieht nur die Nutzung einer PKI oder Pre-Shared-Secrets vor. Nur in wenigen Fällen ist die Nutzung einer PKI oder Pre-Shared-Secrets mit vertretbaren Aufwand und Kosten zu Realisieren. Die Firma Cisco hat vor einiger Zeit einen Draft veröffenticht, um per RADIUS o.ä. Passwörter von Benutzern zur Authentifizierung zu nutzen. Dieser Draft (XAUTH) hat aber grundlegende Sicherheitsprobleme. Momentan werden Verbesserungen diskutiert. In dieser Arbeit soll Verbesserungen für XAUTH analysiert und implementiert werden.

    Aufgabe

    Die IKE-Erweiterung XAUTH soll analysiert werden und auf Schwachstellen untersucht werden. Nach der Bewertung dieser sollen Verbesserungsvorschläge entworfen und analysiert werden. Im zweiten Schritt soll eine Verbesserung für XAUTH implementiert werden, indem eine existierende Implementierung angepasst und erweitert wird. Hierfür kann es notwendig sein, XAUTH-Quelltext zu portieren. Danach können experimentell der ursprüngliche XAUTH-Standard und die verbesserte Variante gegenüber gestellt werden, um zu zeigen, dass durch die Änderungen am XAUTH-Standard sicherheitsrelevante Probleme im ursprünglichen Standard behoben werden können.

    Arbeitsumgebung

    Die Arbeit kann im Poolraum des Instituts durchgeführt werden. Für die Entwicklung steht eine Testumgebung zur Verfügung.

    Voraussetzungen

    Für die Durchführung der Studienarbeit sind Kenntnisse der Programmiersprache C notwendig. Kenntnisse in Linux Kernprogrammierung und von IPsec sind hilfreich, aber nicht zwingend notwendig.