Protección de las credenciales de eduroam

7

Recientemente, mi institución educativa cambió oficialmente desde su propia red inalámbrica a eduroam .

Si entiendo correctamente en las Preguntas frecuentes , la autenticación de credenciales se realiza en los servidores de mi institución educativa no importa desde dónde inicie sesión:

  

Cuando un usuario intenta iniciar sesión en la red inalámbrica de una institución habilitada con eduroam visitada, la solicitud de autenticación del usuario se envía a la institución de origen del usuario. Esto se hace a través de un sistema jerárquico de servidores RADIUS. La institución de origen del usuario verifica las credenciales del usuario y envía a la institución visitada (a través de los servidores RADIUS) el resultado de dicha verificación.

Además, establece que:

  

En eduroam, la comunicación entre el punto de acceso y la institución de origen del usuario se basa en el estándar IEEE 802.1X; 802.1X abarca el uso de EAP, el Protocolo de autenticación extensible, que permite diferentes métodos de autenticación. Dependiendo del tipo de método EAP utilizado, se establecerá un túnel seguro desde la computadora del usuario hasta su institución de origen a través del cual se llevará la información de autenticación real (nombre de usuario / contraseña, etc.) (EAP-TTLS o PEAP), o mutua se utilizará la autenticación mediante certificados públicos X.509, que no es vulnerable a las escuchas ilegales (EAP-TLS).

Algunas preguntas que tengo son:

  1. ¿En qué se diferencia eduroam de una VPN en términos de seguridad?
  2. ¿Es menos seguro conectarse a eduroam en otro lugar que no sea mi institución de origen?
  3. ¿Cómo sé que mis credenciales están cifradas entre mi dispositivo, el punto de acceso al que estoy conectado y los servidores de autenticación?
  4. ¿Existe una base de datos centralizada de dominios y servidores de autenticación (es decir, cómo sabe qué servidor debe verificar [email protected] y [email protected] )?
pregunta rink.attendant.6 30.08.2015 - 18:36
fuente

3 respuestas

3

eduroam se basa en 802.1X y WPA-Enterprise / WPA-EAP estándares.

  1. Es diferente de VPN en que su institución de origen solo realiza la autenticación; Sus datos están protegidos con WPA en el aire, pero luego están sujetos a cualquier Internet que su ubicación física local esté dispuesto a proporcionarle.

  2. Sí, es menos seguro usar eduroam fuera de su campus local, ya que, aparte de la autenticación realizada por su institución de origen, todo el tráfico de Internet se originará a través de una red local donde se encuentre físicamente (sin siendo tunelizado a través de su casa). Por ejemplo, tendrá una dirección IP diferente en una red diferente, lo que también afectará el acceso en línea a las suscripciones académicas como IEEE Xplore.

  3. ¡Esta es la mejor pregunta! Aparentemente, de acuerdo con ¿Obtener credenciales al falsificar la red de WPA / WPA2 Enterprise? y Validación del certificado con 802.1x PEAP , no está claro si se implementan protecciones automáticas en dispositivos populares. Según IST de UWaterloo , parece haber un sitio web llamado eduroam Configuration Assistant Tool , ubicado en enlace , donde puede descargar la configuración para su combinación de institución y sistema operativo, y estos parecen incluir algún tipo de certificado raíz (sin embargo, parece ser una entidad emisora de certificados no relacionada con la institución en cuestión, por lo que , no parece que haya ningún tipo de anclaje real (por ejemplo, la configuración CAT de eduroam para Waterloo simplemente tiene un par de certificados de raíz GlobalSign de Bélgica, y coincide con las instrucciones oficiales para Ubuntu , también - imagínate; supongo que la La idea es que debe confiarse en que una CA continúe siempre emitiendo los certificados a la institución anualmente o según sea necesario, y que nunca emita certificados para la institución a una entidad no relacionada)).

  4. Sí, en cat.eduroam.org como se indica arriba, y Ottawa aparece en la lista. Sin embargo, una breve mirada me lleva a creer que no se actualiza con demasiada frecuencia, ya que faltan miembros más nuevos como la Universidad de Houston, la Universidad Rice y la UTSA, por ejemplo.

respondido por el cnst 16.02.2016 - 04:04
fuente
6
  
  1. ¿En qué se diferencia eduroam de una VPN en términos de seguridad?
  2.   

Eduroam es solo una infraestructura para la autenticación, permite que los servidores de su institución demuestren que usted es la persona que dice ser. Solo lo autentica a usted, pero no canaliza su tráfico o algo similar: su tráfico aún está a merced de la red a la que se está conectando, por lo que debe confiar en que la red y sus administradores no serán maliciosos o solo usarán protocolos seguros. como HTTPS.

  
  1. ¿Es menos seguro conectarse a eduroam en otro lugar que no sea mi institución de origen?
  2.   

Sus credenciales de Eduroam son seguras y solo su institución de origen puede verlas. Su tráfico es menos seguro y tiene que confiar en la red y sus administradores, aunque EAP usa una clave diferente por usuario para que alguien más en la red no pueda escuchar su tráfico como lo hace con redes abiertas o protegidas por PSK .

Dejaré las dos últimas preguntas a otra persona, ya que no estoy 100% seguro.

    
respondido por el André Borie 30.08.2015 - 19:02
fuente
4

Las subcuestiones 1 y 2 ya están respondidas, así que tomo las otras dos:

  
  1. ¿Cómo sé que mis credenciales están cifradas entre mi dispositivo, el punto de acceso al que estoy conectado y los servidores de autenticación?
  2.   

Asegúrese de usar una conexión WLAN encriptada (de lo contrario, sus credenciales pueden ser detectadas desde el aire) y protocolos seguros como https. Entonces no debes preocuparte por la seguridad de eduroam.

  
  1. ¿Hay una base de datos centralizada de dominios y servidores de autenticación (es decir, cómo sabe qué servidor verificar para [email protected] y [email protected])?
  2.   

No, no hay. eduroam sabe desde el lado derecho del signo @ a qué institución contactar.

    
respondido por el jknappen 01.09.2015 - 16:47
fuente

Lea otras preguntas en las etiquetas