Protección de las credenciales de eduroam

eduroam se basa en 802.1X y WPA-Enterprise / WPA-EAP estándares.

1. Es diferente de VPN en que su institución de origen solo realiza la autenticación; Sus datos están protegidos con WPA en el aire, pero luego están sujetos a cualquier Internet que su ubicación física local esté dispuesto a proporcionarle.

2. Sí, es menos seguro usar eduroam fuera de su campus local, ya que, aparte de la autenticación realizada por su institución de origen, todo el tráfico de Internet se originará a través de una red local donde se encuentre físicamente (sin siendo tunelizado a través de su casa). Por ejemplo, tendrá una dirección IP diferente en una red diferente, lo que también afectará el acceso en línea a las suscripciones académicas como IEEE Xplore.

3. ¡Esta es la mejor pregunta! Aparentemente, de acuerdo con ¿Obtener credenciales al falsificar la red de WPA / WPA2 Enterprise? y Validación del certificado con 802.1x PEAP , no está claro si se implementan protecciones automáticas en dispositivos populares. Según IST de UWaterloo , parece haber un sitio web llamado eduroam Configuration Assistant Tool , ubicado en enlace , donde puede descargar la configuración para su combinación de institución y sistema operativo, y estos parecen incluir algún tipo de certificado raíz (sin embargo, parece ser una entidad emisora de certificados no relacionada con la institución en cuestión, por lo que , no parece que haya ningún tipo de anclaje real (por ejemplo, la configuración CAT de eduroam para Waterloo simplemente tiene un par de certificados de raíz GlobalSign de Bélgica, y coincide con las instrucciones oficiales para Ubuntu , también - imagínate; supongo que la La idea es que debe confiarse en que una CA continúe siempre emitiendo los certificados a la institución anualmente o según sea necesario, y que nunca emita certificados para la institución a una entidad no relacionada)).

4. Sí, en cat.eduroam.org como se indica arriba, y Ottawa aparece en la lista. Sin embargo, una breve mirada me lleva a creer que no se actualiza con demasiada frecuencia, ya que faltan miembros más nuevos como la Universidad de Houston, la Universidad Rice y la UTSA, por ejemplo.

  

1. ¿En qué se diferencia eduroam de una VPN en términos de seguridad?
  

Eduroam es solo una infraestructura para la autenticación, permite que los servidores de su institución demuestren que usted es la persona que dice ser. Solo lo autentica a usted, pero no canaliza su tráfico o algo similar: su tráfico aún está a merced de la red a la que se está conectando, por lo que debe confiar en que la red y sus administradores no serán maliciosos o solo usarán protocolos seguros. como HTTPS.

  

2. ¿Es menos seguro conectarse a eduroam en otro lugar que no sea mi institución de origen?
  

Sus credenciales de Eduroam son seguras y solo su institución de origen puede verlas. Su tráfico es menos seguro y tiene que confiar en la red y sus administradores, aunque EAP usa una clave diferente por usuario para que alguien más en la red no pueda escuchar su tráfico como lo hace con redes abiertas o protegidas por PSK .

Dejaré las dos últimas preguntas a otra persona, ya que no estoy 100% seguro.

Las subcuestiones 1 y 2 ya están respondidas, así que tomo las otras dos:

  

3. ¿Cómo sé que mis credenciales están cifradas entre mi dispositivo, el punto de acceso al que estoy conectado y los servidores de autenticación?
  

Asegúrese de usar una conexión WLAN encriptada (de lo contrario, sus credenciales pueden ser detectadas desde el aire) y protocolos seguros como https. Entonces no debes preocuparte por la seguridad de eduroam.

  

4. ¿Hay una base de datos centralizada de dominios y servidores de autenticación (es decir, cómo sabe qué servidor verificar para [email protected] y [email protected])?
  

No, no hay. eduroam sabe desde el lado derecho del signo @ a qué institución contactar.