trust router overview
play

Trust Router Overview IETF 86, Orlando, FL Routing Area - PowerPoint PPT Presentation

Dec 17, 2023 •241 likes •413 views

Trust Router Overview IETF 86, Orlando, FL Routing Area Meeting Margaret Wasserman mrw@painless-security.com Problem Statement

  1. Trust Router Overview IETF ¡86, ¡Orlando, ¡FL ¡ Routing ¡Area ¡Meeting ¡ Margaret ¡Wasserman ¡ mrw@painless-­‑security.com ¡

  2. Problem ¡Statement ¡ • https://datatracker.ietf.org/doc/draft-­‑howlett-­‑ abfab-­‑trust-­‑router-­‑ps/ ¡ • Describes ¡the ¡problems ¡that ¡motivated ¡the ¡ Trust ¡Router ¡work ¡ ¡

  3. Trust ¡Router ¡Draft ¡ • https://datatracker.ietf.org/doc/draft-­‑mrw-­‑abfab-­‑ trust-­‑router/ ¡ • Describes ¡the ¡role ¡and ¡purpose ¡of ¡a ¡Trust ¡Router ¡ • Defines ¡the ¡concept ¡of ¡communities ¡ • COIs ¡and ¡APCs ¡ • Defines ¡two ¡protocols ¡ • Temporary ¡Identity ¡(TID) ¡Protocol ¡ • Trust ¡Router ¡Protocol ¡

  4. Trust ¡Router ¡Overview ¡ • Trust ¡Router ¡Motivations ¡ • Trust ¡Router ¡Operation ¡ • Communities ¡ • Temporary ¡Identity ¡Protocol ¡ • Message ¡contents ¡ • Role ¡of ¡Trust ¡Router ¡as ¡gateway ¡ • Trust ¡Router ¡Protocol ¡ • Message ¡contents ¡ • Trust ¡link ¡types ¡ • Implementation ¡Status ¡

  5. Trust ¡Router ¡Motivations ¡ • Scalability ¡of ¡ABFAB ¡Federations ¡ • Eliminate ¡need ¡to ¡configure ¡credentials ¡for ¡every ¡pair ¡of ¡ RPs ¡and ¡IdPs ¡ • Eliminate ¡need ¡to ¡configure ¡manual ¡“routing” ¡ information ¡in ¡intermediate ¡AAA ¡Proxies ¡ • Reduce ¡costs ¡of ¡adding ¡new ¡members, ¡removing ¡ members, ¡changes ¡in ¡peer ¡relationships ¡ • Flexibility ¡to ¡create ¡new ¡Communities ¡ • Groups ¡that ¡want ¡to ¡share ¡access ¡to ¡a ¡set ¡of ¡services, ¡m ¡ apped ¡to ¡registrar ¡Communities ¡for ¡authentication ¡ • Eliminate ¡need ¡to ¡set ¡up ¡new ¡Registrar ¡Community ¡for ¡ every ¡group ¡

  6. Looks ¡Familiar? ¡ • Current ¡SAML ¡Federations ¡are ¡reminiscent ¡of ¡early ¡ Internet ¡ • SAML ¡metadata ¡(like ¡host ¡tables) ¡is ¡distributed ¡ manually ¡and ¡configured ¡by ¡every ¡IdP ¡or ¡RP ¡ • Need ¡for ¡every ¡end-­‑site ¡to ¡know ¡about ¡every ¡other ¡ end-­‑site, ¡or ¡they ¡can’t ¡connect ¡ • Solution: ¡ ¡Routing! ¡ ¡ ¡ • Although ¡we ¡won’t ¡be ¡forwarding ¡IP ¡packets, ¡the ¡ distribution ¡of ¡trust ¡information ¡looks ¡a ¡lot ¡like ¡the ¡ distribution ¡of ¡routing ¡information ¡

  7. Communities ¡ • Authentication ¡Policy ¡Communities ¡(APCs) ¡ • Used ¡to ¡authenticate ¡access ¡to ¡RP ¡Services ¡ • ¡Communities ¡of ¡Interest ¡(COIs) ¡ • Group ¡of ¡RP ¡Clients, ¡IdPs ¡and ¡Trust ¡Routers ¡that ¡ share ¡access ¡to ¡a ¡set ¡of ¡services ¡ • COI ¡must ¡be ¡resolved ¡to ¡an ¡APC ¡(for ¡a ¡given ¡IdP ¡ Realm), ¡before ¡authentication ¡can ¡be ¡achieved ¡

  8. Trust ¡Router ¡Operation ¡

  9. Temporary ¡Identity ¡Protocol ¡ • Used ¡by ¡an ¡RP ¡to ¡negotiate ¡a ¡Temporary ¡ Identity ¡on ¡a ¡(set ¡of) ¡AAA ¡Server(s) ¡in ¡a ¡target ¡ realm ¡ • TID ¡Request ¡is ¡sent ¡to ¡the ¡RP’s ¡local ¡Trust ¡ Router ¡and ¡forwarded ¡across ¡a ¡Trust ¡Path ¡to ¡ the ¡target ¡AAA ¡Server(s) ¡ • Response ¡is ¡returned ¡by ¡reversing ¡the ¡Trust ¡ Path ¡

  10. Temporary ¡Identity ¡Protocol ¡ • Simple ¡request/response ¡protocol ¡ • Messages ¡are ¡encoded ¡in ¡JSON ¡ • Uses ¡GSS-­‑API ¡for ¡authentication ¡ ¡ • Request ¡include ¡½ ¡of ¡a ¡DH ¡exchange ¡ • Server ¡replies ¡with ¡a ¡list ¡of ¡AAA ¡Server ¡IP ¡Addresses ¡ • Response ¡includes ¡the ¡other ¡½ ¡of ¡a ¡DH ¡exchange ¡for ¡ each ¡AAA ¡Server ¡ • Both ¡ends ¡can ¡compute ¡a ¡shared ¡key ¡that ¡is ¡used ¡for ¡ the ¡subsequent ¡AAA ¡authentication ¡ • Key ¡cannot ¡be ¡computed ¡by ¡intermediate ¡Trust ¡Routers ¡

  11. Example ¡TID ¡Request ¡ {"msg_type": ¡"TIDRequest", ¡ ¡ ¡ ¡"msg_body": ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡{"rp_realm": ¡”mit.edu", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"target_realm": ¡”oxford.uk.ac", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"community": ¡”abfab-­‑hackers.communities.ja.net", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"dh_info": ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡{"dh_p”: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"FFFFFFFF…", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"dh_g": ¡"02", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"dh_pub_key": ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"FBF98ABB…”} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ } ¡

  12. Trust ¡Router ¡as ¡TID ¡Gateway ¡ • Trust ¡Router ¡receives ¡a ¡TID ¡Request ¡from ¡an ¡RP ¡Client ¡ (e.g. ¡AAA ¡Proxy) ¡ • Determines ¡appropriate ¡APC ¡for ¡the ¡community ¡ included ¡in ¡the ¡original ¡request ¡ • If ¡different, ¡moves ¡original ¡COI ¡into ¡orig-­‑coi ¡field ¡ • Finds ¡matching ¡rp_client ¡entry ¡(from ¡gss_name), ¡ applies ¡filters, ¡and ¡adds ¡constraints ¡to ¡the ¡message ¡ • Determines ¡“Trust ¡Path” ¡and ¡adds ¡it ¡to ¡the ¡message. ¡ • Forwards ¡message ¡to ¡AAA ¡Server ¡(or ¡next ¡hop ¡Trust ¡ Router) ¡

  13. Trust ¡Router ¡Protocol ¡ • Runs ¡between ¡pairs ¡of ¡Trust ¡Routers ¡ • Configured ¡as ¡“peers” ¡with ¡GSS ¡credentials ¡to ¡reach ¡ each ¡other ¡ • “Routing” ¡protocol ¡used ¡to ¡dynamically ¡distribute ¡ information ¡about ¡ • Available ¡Trust ¡Links ¡ • Used ¡to ¡route ¡TID ¡requests ¡and ¡responses ¡across ¡ the ¡federation ¡ • RP ¡Client ¡membership ¡in ¡COIs ¡ • APC ¡to ¡use ¡for ¡each ¡IdP ¡Realm/COI ¡pair ¡

  14. Trust ¡Link ¡Types ¡ • Trust ¡Link ¡Types ¡(named ¡by ¡target ¡type) ¡ • Routing ¡Links ¡ • Trust ¡Router ¡Link ¡ • Indicates ¡that ¡the ¡originating ¡trust ¡router ¡can ¡provide ¡temporary ¡ IDs ¡to ¡reach ¡the ¡target ¡trust ¡router ¡ • IdP ¡Realm ¡Link ¡ • Indicates ¡that ¡the ¡originating ¡trust ¡router ¡can ¡provide ¡temporary ¡ IDs ¡to ¡reach ¡the ¡AAA ¡servers ¡in ¡the ¡target ¡realm ¡ • Information ¡Flooding ¡Links ¡ • COI ¡RP ¡Membership ¡Link ¡ ¡ • Indicates ¡that ¡the ¡the ¡target ¡RP ¡Client ¡is ¡a ¡member ¡of ¡the ¡ indicated ¡COI ¡ • APC ¡Link ¡ • Indicates ¡that ¡authentication ¡for ¡a ¡target ¡realm ¡and ¡COI ¡should ¡ use ¡the ¡target ¡APC ¡

  15. Trust ¡Path ¡ • A ¡Trust ¡Path ¡is ¡a ¡set ¡of ¡Trust ¡Links ¡that ¡forms ¡a ¡ path ¡across ¡a ¡federation ¡between ¡an ¡RP ¡and ¡ the ¡AAA ¡Server(s) ¡in ¡a ¡Target ¡IdP ¡Realm ¡ • A ¡Trust ¡Path ¡is ¡valid ¡for ¡a ¡given ¡Community ¡ • Trust ¡Routers ¡forward ¡TID ¡Requests/ Responses ¡along ¡Trust ¡Paths, ¡ultimately ¡ resulting ¡in ¡a ¡TID ¡that ¡the ¡RP ¡can ¡use ¡to ¡reach ¡ AAA ¡Servers ¡in ¡the ¡Target ¡IdP ¡Realm. ¡

  16. Next ¡Steps ¡ • [We ¡held ¡a ¡Bar ¡BOF ¡at ¡lunch ¡today] ¡ • We ¡hope ¡to ¡hold ¡a ¡Pre-­‑WG ¡BoF ¡at ¡IETF ¡87 ¡ • Need ¡active ¡discussion ¡on ¡the ¡list ¡ • Join ¡our ¡mailing ¡list! ¡ • trust-­‑router@ietf.org ¡ ¡

  17. Questions? Feedback?

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

CNC Router What is it good for? About the CNC Full name is CNC Router but is shortened to CNC

CNC Router What is it good for? About the CNC Full name is CNC Router but is shortened to CNC

CNC Router What is it good for? About the CNC Full name is CNC Router but is shortened to CNC CNC stands for Computer Numeric Controlled (Router) Very Expensive Can only be used with proper training Trumans favorite

534 views • 7 slides
Off- -Line Router ETR Line Router ETR- -400 400 Off 2007. 05. 15 Rev. 1 2007. 05. 15

Off- -Line Router ETR Line Router ETR- -400 400 Off 2007. 05. 15 Rev. 1 2007. 05. 15

Off- -Line Router ETR Line Router ETR- -400 400 Off 2007. 05. 15 Rev. 1 2007. 05. 15 Rev. 1 http://www.eunil.com PCB Router / Depanel machine : Off-Line ETR-400 This machine is used to separate the main panel PCB and the arrayed

131 views • 9 slides
BSD Router Project Don't buy a router: download it ! FOSDEM 15 Olivier Cochard-Labb

BSD Router Project Don't buy a router: download it ! FOSDEM 15 Olivier Cochard-Labb

BSD Router Project Don't buy a router: download it ! FOSDEM 15 Olivier Cochard-Labb olivier@cochard.me Agenda Why a x86 software router ? Project Targets NanoBSD: FreeBSD for appliance BSDRP feature list

561 views • 32 slides
Six/One Router Six/One Router A Scalable and Backwards-Compatible Solution for

Six/One Router Six/One Router A Scalable and Backwards-Compatible Solution for

Six/One Router Six/One Router A Scalable and Backwards-Compatible Solution for Provider-Independent Addressing 300 K number of number of r routing ta outing table entries ble entries 250 K 200 K 150 K 100 K Geoff Huston: CIDR Report 50 K

171 views • 15 slides
Trust Speak Overview with dialogue all along the way: Definition of trust Three

Trust Speak Overview with dialogue all along the way: Definition of trust Three

Trust Speak Overview with dialogue all along the way: Definition of trust Three roads to trust: 1. Personal: one-on-one 2. Strategy: confidence in what we are doing 3. Process: how things are done Four principles

529 views • 4 slides
Security AutoSecure Router HardeningAutomagically The process of turning off unnecessary

Security AutoSecure Router HardeningAutomagically The process of turning off unnecessary

Security AutoSecure Router HardeningAutomagically The process of turning off unnecessary services is called hardening a router to prevent attacks or exploits. The basic steps of router hardening are: 1) Administratively shut down

102 views • 8 slides
An Enhanced Global Router An Enhanced Global Router An Enhanced Global Router An Enhanced Global

An Enhanced Global Router An Enhanced Global Router An Enhanced Global Router An Enhanced Global

An Enhanced Global Router An Enhanced Global Router An Enhanced Global Router An Enhanced Global Router With Consideration of With Consideration of General Layer Directives General Layer Directives Hsien Lee 1 , Yen Jung Chang 1 , and Ting

365 views • 33 slides
OSPF Router Types OSPF Router Types There are four types of OSPF routers. Router types are

OSPF Router Types OSPF Router Types There are four types of OSPF routers. Router types are

OSPF Router Types OSPF Router Types There are four types of OSPF routers. Router types are determined by a routers function and/or location within an OSPF area: Internal (IR) all (OSPF?)* interfaces must belong to the same OSPF area.

241 views • 10 slides
Overview of MOA Trust & Municipal Code Recommendations Municipality of Anchorage Trust

Overview of MOA Trust & Municipal Code Recommendations Municipality of Anchorage Trust

September 2020 Overview of MOA Trust & Municipal Code Recommendations Municipality of Anchorage Trust Fund Overview Todays Discussion History & Purpose of MOA Trust Fund , including: Management and Oversight

384 views • 37 slides
Account Compliance Trust Account Reconciliation Agenda Trust Account Overview Top

Account Compliance Trust Account Reconciliation Agenda Trust Account Overview Top

Other Peoples Money: Trust Account Compliance Trust Account Reconciliation Agenda Trust Account Overview Top Compliance Challenges Trust Bank Reconciliation Group Exercise Q & A Trust Account Overview 3 2017

598 views • 33 slides
Scaling Databases with DBIx::Router Perrin Harkins We Also Walk Dogs What is DBIx::Router?

Scaling Databases with DBIx::Router Perrin Harkins We Also Walk Dogs What is DBIx::Router?

Scaling Databases with DBIx::Router Perrin Harkins We Also Walk Dogs What is DBIx::Router? Load-balancing Failover Sharding Transparent (Mostly.) Why would you need this? Web and app servers are easy to scale Just add another dozen boxes

489 views • 33 slides
Regaining sovereignty over your router Lucas Lasota | Legal Team lucas.lasota@fsfe.org What is

Regaining sovereignty over your router Lucas Lasota | Legal Team lucas.lasota@fsfe.org What is

Regaining sovereignty over your router Lucas Lasota | Legal Team lucas.lasota@fsfe.org What is it all about? 1. Why Router Freedom is important? 2. Router Freedoms panorama in Europe 3. How to make a stand for Router Freedom 2 Why

254 views • 9 slides
Online Security Michael Hutchinson My First line of Defense Making Things Secure Router

Online Security Michael Hutchinson My First line of Defense Making Things Secure Router

Online Security Michael Hutchinson My First line of Defense Making Things Secure Router Security Anti-Malware Programs Browser Security Internet Searching Router Security Router is First Line of Defense Router typically

472 views • 23 slides
Current W ireless Router C Current W ireless Router C Traditional Routing requires 4 time

Current W ireless Router C Current W ireless Router C Traditional Routing requires 4 time

Analog Network Coding Sachin Katti Shyamnath Gollakota and Dina Katabi Current W ireless Router C Current W ireless Router C Traditional Routing requires 4 time slots Current W ireless Router C Traditional Routing requires 4 time slots

602 views • 31 slides
Configurable software- -based based Configurable software edge router architecture edge router

Configurable software- -based based Configurable software edge router architecture edge router

Configurable software- -based based Configurable software edge router architecture edge router architecture Wajdi LOUATI Badii JOUABER Djamal ZEGHLACHE Institut National des Tlcommunications 4 th Workshop on Applications and Services in

301 views • 17 slides
H3C SR8800 Series 10G Core Router Technology Analysis Date 2008-3-23 Secret level Public

H3C SR8800 Series 10G Core Router Technology Analysis Date 2008-3-23 Secret level Public

H3C SR8800 Series 10G Core Router Technology Analysis Date 2008-3-23 Secret level Public Hangzhou H3C Technologies Co., Ltd. Catalog Core Router Development Tendency H3C SR8800 Overview H3C SR8800 Technical Characteristics

1.12k views • 90 slides
TELEPHONE SWITCHING ECE 2526 Monday, February 10, 2020 1 DIRECT AND COMMON CONTROL SWITCHING

TELEPHONE SWITCHING ECE 2526 Monday, February 10, 2020 1 DIRECT AND COMMON CONTROL SWITCHING

TELEPHONE SWITCHING ECE 2526 Monday, February 10, 2020 1 DIRECT AND COMMON CONTROL SWITCHING SYSTEMS 1. Direct control switching systems: The control subsystem is an integral part of the switching network itself, e.g. the Step-by-step

406 views • 29 slides
NETWORKS ETI 2506 Monday, 05 December 2016 SIG IGNALLING TECHNIQUES Signaling Common

NETWORKS ETI 2506 Monday, 05 December 2016 SIG IGNALLING TECHNIQUES Signaling Common

SIG IGNALING IN IN TELEPHONE NETWORKS ETI 2506 Monday, 05 December 2016 SIG IGNALLING TECHNIQUES Signaling Common In-Channel Channel Low Freq. Voice Non D.C PCM Associated AC Frequency Associated DC & LOW-FREQUENCY AC DC

414 views • 14 slides
distribution and beyond Eleni Diamanti LIP6, CNRS, Sorbonne Universit Paris Centre for Quantum

distribution and beyond Eleni Diamanti LIP6, CNRS, Sorbonne Universit Paris Centre for Quantum

Practical aspects of quantum key distribution and beyond Eleni Diamanti LIP6, CNRS, Sorbonne Universit Paris Centre for Quantum Computing QCrypt, 10-14 August 2020 Quantum communication networks 2 Photonic resources Encoding in properties

632 views • 31 slides
European RCE Conference Vannes August 2018 Jos Hermans The Lekgotla Model: Lekgotla (noun South

European RCE Conference Vannes August 2018 Jos Hermans The Lekgotla Model: Lekgotla (noun South

European RCE Conference Vannes August 2018 Jos Hermans The Lekgotla Model: Lekgotla (noun South Africa) definition: a meeting place for village assemblies, court cases, and meetings of village leaders. www.commeet.org What is Commeet?

441 views • 17 slides
Number Portability Three kinds of number portability Location portability: a subscriber may move

Number Portability Three kinds of number portability Location portability: a subscriber may move

Number Portability Three kinds of number portability Location portability: a subscriber may move from one location to another location without changing his or her telephone number Service portability: a subscriber may keep the same telephone

869 views • 20 slides
An introduction to supersingular isogeny-based cryptography Craig Costello November 10 ECC 2017

An introduction to supersingular isogeny-based cryptography Craig Costello November 10 ECC 2017

An introduction to supersingular isogeny-based cryptography Craig Costello November 10 ECC 2017 Nijmegen, The Netherlands W. Castryck (GIF): Elliptic curves are dead: long live elliptic curves https://www.esat.kuleuven.be/cosic/?p=7404

1.07k views • 78 slides
Asynchronous Replication and Bayou Asynchronous Replication and Bayou Jeff Chase CPS 212, Fall

Asynchronous Replication and Bayou Asynchronous Replication and Bayou Jeff Chase CPS 212, Fall

Asynchronous Replication and Bayou Asynchronous Replication and Bayou Jeff Chase CPS 212, Fall 2000 Asynchronous Replication Asynchronous Replication Idea: build available/scalable information services with read-any-write-any replication and a

247 views • 24 slides
H.323 Call Signaling For the establishment and tear-down of calls Q.931 modified by Rec.

H.323 Call Signaling For the establishment and tear-down of calls Q.931 modified by Rec.

H.323 Call Signaling For the establishment and tear-down of calls Q.931 modified by Rec. H.225.0 Reuse some messages with few modifications A clever use of User-to-User information element Convey all of the extra information

414 views • 39 slides

More recommend