¿Qué información de autenticación se revela localmente con eduroam WPA-Enterprise 802.1X?

2

Si se autenticó con sus credenciales de eduroam en una institución participante, su institución de origen es la que realiza la autenticación de las credenciales, y la institución anfitriona solo proporciona el acceso a Internet.

¿Qué información de autenticación 802.1X podrá ver la institución eduroam de acogida?

Supongo que no verán su contraseña, pero es probable que vean su nombre de dominio (para poder enrutar su autenticación correctamente, ¿o es de alguna manera centralizada por alguna otra autoridad?). ¿Verán su nombre de usuario completo?

    
pregunta cnst 23.02.2016 - 01:44
fuente

2 respuestas

1

La configuración de RADIO de Eduroam crea un túnel con seguridad TLS entre su dispositivo y el servidor RADIUS de su hogar para el Desafío de acceso de RADIUS.

Si bien el servidor RADIUS de la institución local verá quién es usted (es decir, su nombre de usuario) (tienen que hacerlo para saber si se debe autenticar localmente o enviarlo a la red de Eduroam), La autenticación real utilizando la contraseña se realiza completamente dentro del túnel.

Aquí hay un diagrama de secuencia de la documentación:

Consultela Descripción técnica general de Eduroam US para obtener más detalles.

NOTA : el estándar RADIUS le permite especificar una "identidad externa" separada que el servidor local ve que es diferente de la que realmente usa para la autenticación . Sin embargo, esto normalmente se deja sin configurar por defecto. Si desea anonimizar su nombre de usuario, Eduroam le permite cambiar la identidad externa a anonymous@realm , donde realm es el dominio de su universidad.

Si configura una identidad externa, el servidor RADIUS de la institución local utiliza la parte realm para determinar dónde enviar la solicitud. Si bien la institución local puede registrar la parte user de la identidad externa, no la utilizan para la autenticación. Por lo tanto, es técnicamente posible que otra persona pretenda ser usted en la institución local mientras se autentica como ellos mismos en su institución de origen. Sin embargo, si las dos instituciones comparan sus registros del servidor RADIUS, descubrirán fácilmente que la otra persona está fingiendo ser usted. No hay manera de ocultar cosas como actividades maliciosas o criminales, siempre y cuando ambas instituciones estén registrando el acceso a sus servidores (lo cual sé que al menos algunas instituciones de Eduroam están haciendo). Además, el realm de la identidad externa debe ser la correcta para su institución para que la autenticación tenga éxito, por lo que no hay forma de fingir que es de una institución diferente.

Para obtener más información sobre este proceso, consulte el párrafo arriba de la Figura 3 y la Figura 3 en la página enlazada arriba.

    
respondido por el Moshe Katz 24.02.2016 - 00:11
fuente
0

no del todo correcto.

el sitio local que está visitando puede ver su ID de usuario externo; esto se puede anonimizar de manera tal que, por ejemplo, su userid es [email protected] entonces puede simplemente tener @ site.ac.uk - por lo tanto, la solicitud volverá a su organización local (si es compatible con externalids anónimos) pero el sitio local no sabrá exactamente quién es usted.

el sitio local verá la dirección MAC de su dispositivo

también, el sitio local puede tener todo tipo de analizadores de tráfico presentes, por lo que podría, por ejemplo, ver los sitios a los que se dirige y, si usa protocolos inseguros, podría leer los datos que se transmiten a / desde su clave (así que siempre use métodos TLS seguros y use una VPN para privacidad / seguridad

    
respondido por el alan buxey 24.02.2016 - 22:34
fuente

Lea otras preguntas en las etiquetas