Quali informazioni sull'autenticazione vengono rivelate localmente con eduroam WPA-Enterprise 802.1X?

Naviga le tue risposte
2

Se ti sei autenticato con le tue credenziali di eduroam presso un'istituzione partecipante, la tua istituzione di origine è quella che esegue l'autenticazione delle credenziali e l'istituto ospitante fornisce solo l'accesso a Internet.

Quali sono le informazioni di autenticazione 802.1X che l'istituto host eduroam può vedere?

Suppongo che non vedranno la tua password, ma probabilmente vedranno il tuo nome di dominio (per instradare correttamente la tua autenticazione, o è in qualche modo gestito centralmente da qualche altra autorità?). Vedranno il tuo nome utente per intero?

    
posta cnst 23.02.2016 - 01:44
fonte

2 risposte

1

La configurazione RADIUS di Eduroam crea un tunnel protetto TLS tra il dispositivo e il server RADIUS di casa per la sfida di accesso RADIUS.

Mentre il server RADIUS dell'istituto locale vedrà chi sei (cioè il tuo nome utente) (devono, per sapere se autenticarti localmente o inviarti alla rete Eduroam), l'autentica autenticazione che utilizza la password viene eseguita completamente all'interno del tunnel.

Ecco un diagramma di sequenza dalla documentazione:

Perulterioridettagli,consultala panoramica tecnica per gli amministratori di sistema di Eduroam USA

.

NOTA : lo standard RADIUS consente di specificare una "identità esterna" separata che il server locale vede diversa da quella effettivamente utilizzata per l'autenticazione . Tuttavia, questo in genere viene lasciato non impostato per impostazione predefinita. Se vuoi rendere anonimo il tuo nome utente, Eduroam ti consente di modificare l'identità esterna in anonymous@realm dove realm è il dominio della tua università.

Se si imposta un'identità esterna, il server RADIUS dell'istituto locale utilizza la porzione realm per determinare dove inviare la richiesta. Mentre l'istituzione locale può essere in grado di registrare la porzione user dell'identità esterna, non la usano per l'autenticazione. Pertanto, è tecnicamente possibile che qualcun altro finga di essere te presso l'istituto locale pur continuando ad autenticarsi come se stessi con la propria istituzione di origine. Tuttavia, se le due istituzioni confrontano i registri del server RADIUS, scopriranno facilmente che l'altra persona sta fingendo di essere te. Non c'è modo di nascondere cose come attività criminali o criminali fintanto che entrambe le istituzioni registrano l'accesso ai loro server (che so che almeno alcune istituzioni di Eduroam stanno facendo). Inoltre, il realm dell'identità esterna deve essere quello corretto per il tuo istituto affinché l'autenticazione abbia successo, quindi non c'è modo di fingere di provenire da un'istituzione diversa.

Per ulteriori informazioni su questo processo, consulta il paragrafo sopra la Figura 3 e la Figura 3 nella pagina collegata sopra.

    
risposta data 24.02.2016 - 00:11
fonte
0

non del tutto corretto.

il sito locale che stai visitando può vedere il tuo OuterID - questo può essere reso anonimo in modo tale che se ad es. il tuo userid è [email protected] quindi puoi semplicemente avere @ site.ac.uk - in questo modo la richiesta tornerà alla tua organizzazione di casa (se supportano gli esterni anonimi) ma il sito locale non saprà esattamente chi sei.

il sito locale vedrà l'indirizzo MAC del tuo dispositivo

inoltre, il sito locale potrebbe avere tutti i tipi di analizzatori del traffico presenti così potrebbe, ad esempio, visualizzare quali siti si stanno andando e, se si utilizzano protocolli non sicuri, potrebbero leggere i dati trasmessi al / dal proprio cleint (quindi utilizzare sempre metodi TLS sicuri e utilizzare una VPN per la privacy / sicurezza

    
risposta data 24.02.2016 - 22:34
fonte

Leggi altre domande sui tag

Esiste un modo o uno strumento per verificare se una determinata app iOS sta implementando la funzionalità Pinning SSL? Mail da Outlook a GMX: via Yahoo? [chiuso]