cs:ukonceni_provozu_site_eduroam-simple

Důvody ukončení provozu sítě eduroam-simple

Tento článek si klade za cíl seznámit čtenáře s hlavními důvody, které vedly k eliminaci webové a VPN autentizace v rámci systému eduroam.

Už ve chvíli, kdy vznikala myšlenka roamingového systému eduroam, bylo jasné, že nejperspektivnější technologií pro realizaci tohoto projektu je autentizace pomocí protokolu 802.1x. Tento mechanizmus zajišťuje bezpečný přenos autentizačních dat, ale v době vzniku eduroamu nebyl ještě dostatečně rozšířený, takže jeho výlučné použití by pro uživatele znamenalo značné komplikace (chyběla podpora jak na straně síťových prvků, tak i na straně klientů). Hlavně z důvodu plošného nasazení a okamžité využitelnosti eduroamu byly definovány i další dva autentizační mechanizmy, o nichž se vědělo, že mají své slabiny. Šlo o VPN a především pak webovou autentizaci. VPN řešení sice poskytuje velkou míru bezpečnosti, ale pro své nevýhody spočívající především v prakticky nulové škálovatelnosti a v neoptimálních datových tocích se nikdy nerozšířilo. Jiná je situace s webovou autentizací. Ta je nasazována poměrně často a vzhledem ke své jednoduchosti ji uživatelé často preferují. Zde je však značný problém s bezpečností. Hlavní úskalí spočívá právě v existenci autentizační stránky, která je plně pod kontrolou jejího administrátora. Pokud se tento rozhodne zneužít své pravomoci, dostane se ke všem uživatelským kredencím, které jsou přes tuto stránku zadávány. Uživatel, který se rozhodne připojit do hostující sítě, musí věřit, že jeho autentizační data nebudou odposlechnuta a zneužita. Nemá však reálnou možnost tento „odposlech“ technicky znemožnit. Naproti tomu v případě 802.1x protokolu jdou autentizační údaje spolehlivým šifrovaným kanálem až na domovskou instituci (té uživatel s největší pravděpodobností věří) a jako výsledek ověření se vrátí pouze informace, zda je uživatel oprávněn použít síť, či nikoliv. Dalším závažným problémem webové autentizace je možnost podvrhnout logovací stránku. Ta je sice v naprosté většině případů chráněna pomocí SSL a je tedy možnost ověřit pomocí certifikátu, zda se uživatel připojil a zadává přihlašovací údaje do orginální logovací stránky instituce, v praxi ovšem málokterý uživatel kontroluje platnost certifikátu. Pro potenciálního útočníka je tedy snadné vytvořit svoji kopii logovací stránky a vydávat ji za originál. Při vhodné „úpravě“ sítě (pirátský access point, podvržené SSID, atd.) je pak jednoduché přesměrovat uživatele - oběť - na tuto stránku a zjistit tak jeho kredenciály. Uživatel bude totiž s největší pravděpodobností ignorovat zprávu o špatném certifikátu stránky, jednoduše klikne na OK a neštěstí je na světě. Nehledě na to, že spousta organizací používá na logovacích stránkách self-signed certifikáty, které nejsou podepsané žádnou uznávanou certifikační autoritou a ověření „pravosti“ stránky je tedy v tomto případě nemožné. V neposlední řadě byl velkou nevýhodou sítě eduroam-simple nešifrovaný přenos uživatelských dat (vlastní datový provoz po úspěšném ověření). V případě plnohodnotného eduroamu jsou data šifrována pomocí důvěryhodných algoritmů (TKIP, WPA), což uživateli zajišťuje bezpečný přenos po radiové části sítě.

Výše popsaná bezpečnostní rizika byla tím hlavním důvodem, proč se přistupilo k úplnému odstavení sítě eduroam-simple. Ten již svou nezanedbatelnou úlohu při zavádění a rozšiřování eduroamu mezi akademické organizace sehrál a nastal čas pro posun pomyslné laťky opět o kousek výš - směrem k vyšší bezpečnosti a kvalitě.

Kromě výhody nesrovnatelně vyšší míry zabezpečení v síti eduroam (v porovnání s eduroam-simple) je potřeba mít na zřeteli i další pozitiva, která mechanizmus postavený na 802.1x protokolu poskytuje. Jedná se hlavně o transparentnost, která vyplývá z identického nastavení sítě na všech participujících organizacích. Pro uživatele je pak připojení k síti všude stejné a jednoduché. Stačí spustit počítač a vestavěný suplicant při startu operačního systému provede sám a na pozadí veškeré autentizační operace - uživatel může začít pracovat prakticky okamžitě.

I 802.1x protokol má svoje nedostatky (např. nevyřešené informování uživatele o průběhu autentizace, což je potřeba hlavně v případě, že se vyskytne chyba, která se musí nějak lokalizovat), jsou však v porovnání s přednostmi zanedbatelné a na jejich řešení se usilovně pracuje.

Odstavení eduroam-simple však nebylo jednoduché a k úplnému zrušení webové autentizace asi hned tak nedojde. Doporučuje se použití modelu, kdy má organizace kromě plně funkčního a zabezpečeného eduroamu také svou „vlastní“ radiovou síť s lokální webovou autentizací. Tato ovšem nesmí být začleněna do eduroamu a ani použité SSID nesmí s eduroamem nijak souviset. Uživatelské účty musí být vedeny v lokální databázi, která není propojena s eduroam AAI. Důvod je evidentní, uživatel návštěvník, u něhož by hrozilo vyzrazení kredencí, může použít pouze zabezpečený eduroam - ve svém vlastním zájmu. Lokální uživatelé pak na svoji odpovědnost a na vlastní nebezpečí mohou použít i „nebezpečný“ webový přístup. Riziko zneužití je v tomto případě nižší a je plně v kompetenci organizace, jaká si nastaví pravidla pro přístup k síti (v případě diskreditace lokálního účtu nehrozí tak velké riziko zneužití, jako v případě, že by šlo o plnohodnotný eduroam účet, který opravňuje k přístupu do sítě ve stovkách institucí). Pochopitelně i uživatelé příslušející k té které organizaci mohou lokálně využívat plný eduroam. Tento mechanizmus 2 SSID (eduroam a místní webově autentizovaná síť) poslouží především v případě, že je potřeba připojit do sítě uživatele, který nemá účet v eduroamu (například uživatele mimo akademickou sféru) nebo jeho zařízení nepodporuje 802.1x (různé nestandardní PDA atd.). Za těchto okolností se vytvoří lokální účet a uživatel může využívat síťovou konektivitu přes webové ověření.

Kromě toho, že bylo odstavení eduroam-simple nezbytné z důvodu zkvalitnění a většího zabezpečení roamingového systému eduroam, byl tento krok potřebný také z důvodu splnění podmínek evropské roamingové politiky. Tento dokument pro potřeby eduroamu počítá pouze s použitím důvěryhodné autentizace (tj. 802.1x). Pozn.: Minimální technické a bezpečnostní požadavky na eduroam jsou součástí dokumentu roamingové politiky. Je zde také definována tzv. „sunset period“, což je časový limit, do něhož musela být z eduroamu vyřazena veškerá webová autentizace. Toto přechodné období bylo zakotveno i v české roamingové politice a jako nejzazší termín pro vyřazení eduroam-simple z činnosti byl stanoven 1. říjen 2007.

V praxi je potřeba mít výše uvedená fakta na paměti a při nových implementacích eduroamu již variantu eduroam-simple vůbec nezavádět.

Jan Fürman 11. 06. 2006 vytvoření dokumentu

Jan Fürman 3. 12. 2007 aktualizace dokumentu

Last modified:: 2007/12/03 17:54