Protezione delle credenziali di eduroam

7

Recentemente il mio istituto scolastico è passato ufficialmente dalla propria rete wireless a eduroam .

Se ho capito correttamente dalle FAQ , l'autenticazione delle credenziali viene eseguita sui server della mia istituzione scolastica non importa da dove accedo da:

When a user tries to log on to the wireless network of a visited eduroam-enabled institution, the user's authentication request is sent to the user's home institution. This is done via a hierarchical system of RADIUS servers. The user's home institution verifies the user's credentials and sends to the visited institution (via the RADIUS servers) the result of such a verification.

Inoltre, afferma che:

In eduroam, communication between the access point and the user's home institution is based on IEEE 802.1X standard; 802.1X encompasses the use of EAP, the Extensible Authentication Protocol, which allows for different authentication methods. Depending on the type of EAP method used, either a secure tunnel will be established from the user’s computer to his home institution through which the actual authentication information (username/password etc.) will be carried (EAP-TTLS or PEAP), or mutual authentication by public X.509 certificates, which is not vulnerable to eavesdropping, will be used (EAP-TLS).

Alcune domande che ho sono:

  1. In che modo eduroam è diverso da una VPN in termini di sicurezza?
  2. È meno sicuro connettersi a eduroam in un luogo diverso dal mio istituto di origine?
  3. Come faccio a sapere che le mie credenziali sono crittografate tra il mio dispositivo, il punto di accesso a cui sono connesso e i server di autenticazione?
  4. Esiste un database centralizzato di domini e server di autenticazione (ad esempio, come fa a sapere quale server controlla [email protected] e [email protected] )?
posta rink.attendant.6 30.08.2015 - 18:36
fonte

3 risposte

3

eduroam si basa su 802.1X e WPA-Enterprise / standard WPA-EAP.

  1. È diverso da VPN nel fatto che l'istituto di casa esegue solo l'autenticazione; i tuoi dati sono protetti con WPA in-air, ma sono quindi soggetti a qualunque sia la tua posizione fisica locale è disposta a fornirti.

  2. Sì, è meno sicuro usare eduroam al di fuori del tuo campus locale, perché, a parte l'autenticazione eseguita dal tuo istituto di origine, tutto il traffico internet verrà generato da una rete locale in cui ti trovi fisicamente (senza essere tunnelled attraverso la tua casa). Ad esempio, avrai un indirizzo IP diverso su una rete diversa, che influirà anche sull'accesso online agli abbonamenti accademici come IEEE Xplore.

  3. Questa è la migliore domanda! Apparentemente, secondo Ottieni le credenziali spoofando la rete WPA / WPA2 Enterprise? e convalida del certificato con 802.1x PEAP , non è chiaro se eventuali protezioni automatiche sono implementate nei dispositivi più diffusi. Secondo IST di UWaterloo , sembra esserci un sito web chiamato Strumento Assistente configurazione eduroam , disponibile all'indirizzo link , in cui è possibile scaricare le impostazioni per la combinazione di istituto e sistema operativo e queste sembrano includere una sorta di certificato di origine (tuttavia, sembra che sia una CA non correlata all'istituzione in questione, quindi , non sembra che ci sia alcun tipo di pinning reale (ad esempio, le impostazioni di eduroam CAT per Waterloo hanno semplicemente un paio di GlobalSign certs root dal Belgio, e corrispondono le istruzioni ufficiali per Ubuntu , anche - vai a capire, immagino l'id È che una CA deve essere considerata attendibile per continuare a rilasciare nuovamente i certificati all'istituzione ogni anno o secondo necessità e a non emettere mai certificati per l'ente a un'entità non correlata).

  4. Sì, a cat.eduroam.org come sopra, e Ottawa è elencata. Tuttavia, una breve occhiata mi porta a credere che non sia aggiornato troppo frequentemente, poiché gli Stati Uniti non hanno più membri nuovi come l'Università di Houston, la Rice University e l'UTSA, ad esempio.

risposta data 16.02.2016 - 04:04
fonte
6
  1. How is eduroam different from a VPN in terms of security?

Eduroam è solo un'infrastruttura per l'autenticazione, consente ai server dell'istituzione di dimostrare che sei effettivamente la persona che rivendichi di essere. Ti autenticherà solo, ma non canalizza il tuo traffico o simili - il tuo traffico è ancora in balia di qualsiasi rete a cui ti connetti, quindi devi fidarti che la rete e i suoi amministratori non sono malevoli o usano solo protocolli sicuri come HTTPS.

  1. Is it any less secure to connect to eduroam somewhere other than my home institution?

Le tue credenziali di Eduroam sono al sicuro e solo le tue istituzioni di origine possono vederle. Il tuo traffico è meno sicuro e devi fidarti della rete e dei suoi amministratori, sebbene EAP utilizzi una chiave diversa per utente in modo che qualcun altro sulla rete non sia in grado di intercettare il traffico come può con reti aperte o protette da PSK .

Lascio le ultime due domande a qualcun altro perché non ne sono sicuro al 100%.

    
risposta data 30.08.2015 - 19:02
fonte
4

Le sottorezioni 1 e 2 hanno già una risposta, quindi prendo le altre due:

  1. How do I know that my credentials are encrypted between my device, the access point I'm connected to, and the authentication servers?

Assicurati di utilizzare una connessione WLAN criptata (altrimenti le tue credenziali possono essere intercettate dall'aria) e protocolli sicuri come https. Quindi non ti devi preoccupare della sicurezza di eduroam.

  1. Is there a centralized database of domains and authentication servers (i.e. how does it know which server to check for [email protected] and [email protected])?

No, non c'è. eduroam sa dal lato destro del segno @ quale istituzione contattare.

    
risposta data 01.09.2015 - 16:47
fonte

Leggi altre domande sui tag