Buona domanda. Non sono sicuro al 100% della risposta, e ovviamente dipende anche da molti aspetti specifici della configurazione della soluzione L2TP / IPsec.
A prima vista, sembra molto probabile che se il "segreto condiviso" viene esposto in questo modo, consentirebbe a un attaccante di attaccare almeno un attacco man-in-the-middle attivo contro di te o la tua università. In tal caso, l'utente malintenzionato dovrebbe essere in grado di osservare / inoltrare / modificare il traffico che passa attraverso questo tunnel. A seconda del tipo di traffico, questo potrebbe includere informazioni protette come la tua password. Tuttavia, potrebbe essere che la tua password personale sia protetta da un altro livello (s) di sicurezza.
A seconda della configurazione di IKE, potrebbe anche essere possibile montare un attacco passivo, mentre il traffico viene analizzato (al volo o in seguito) e i dati vengono estratti da esso senza eseguire effettivamente un attacco MITM. Questa è ovviamente una forma più complessa di attacco, e ci sono alcuni metodi IKE per una perfetta sicurezza in avanti che potrebbe aiutare a mitigarla. Tuttavia, credo che quei metodi non saranno efficaci in caso di attacco MITM.
Detto questo, questo potrebbe essere un rischio "accettabile" dal punto di vista dell'Università. In un tale ambiente (che di solito coinvolge un'ampia area del campus fisico, con molti punti di rete che sono quasi impossibili da controllare), si presume generalmente che ottenere l'accesso alla rete stessa sia facile / banale. Pertanto, gli strati di protezione per le risorse vengono applicati ad un livello superiore, ad es. nello stack di applicazioni o tramite mezzi semplici come SSL. Potrebbe quindi essere una decisione legittima per l'Università decidere che la connessione L2TP / IPSec è semplicemente un'estensione della rete (già aperta). In quanto tale, si presume che questa connessione sia insicura, ma dovrebbe / ha livelli di sicurezza aggiuntivi per mitigare tali esposizioni.
Inoltre, in riferimento alla pubblicazione di questo "segreto condiviso": potrebbe essere tecnicamente difficile mantenere un segreto condiviso tra molte parti segreto per molto tempo, quindi è meglio non fare affidamento sulla sua segretezza e assumere che sia già esposto. In caso contrario, problemi tecnici o di altro tipo impediscono all'università di applicare una chiave diversa (ad esempio chiavi RSA) per proteggere tale connessione di rete.
Quindi, anche se hai ottime ragioni per preoccuparti, hai davvero bisogno di vedere l'immagine più grande per sapere se c'è un rischio reale per te o la tua Università. È inoltre consigliabile non fare affidamento su una connessione crittografata per fornire tutta la sicurezza. Consiglierei di parlare con le persone della tua Università responsabili della sicurezza e di esprimere questa preoccupazione. Potresti esserti imbattuto in una debolezza e loro dovrebbero saperlo. Altrimenti potrebbero spiegare meglio perché non ci sia motivo per cui tu sia preoccupato.