Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
|
cs:ukonceni_provozu_site_eduroam-simple [2007/12/03 17:54] |
cs:ukonceni_provozu_site_eduroam-simple [2007/12/03 17:54] (aktuální) |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| + | ====== Důvody ukončení provozu sítě eduroam-simple ====== | ||
| + | Tento článek si klade za cíl seznámit čtenáře s hlavními důvody, které | ||
| + | vedly k eliminaci webové a VPN autentizace v rámci systému | ||
| + | //eduroam//. | ||
| + | |||
| + | Už ve chvíli, kdy vznikala myšlenka roamingového systému //eduroam//, bylo | ||
| + | jasné, že nejperspektivnější technologií pro realizaci tohoto projektu | ||
| + | je autentizace pomocí protokolu 802.1x. Tento mechanizmus zajišťuje | ||
| + | bezpečný přenos autentizačních dat, ale v době vzniku eduroamu nebyl | ||
| + | ještě dostatečně rozšířený, takže jeho výlučné použití by pro | ||
| + | uživatele znamenalo značné komplikace (chyběla podpora jak na straně | ||
| + | síťových prvků, tak i na straně klientů). Hlavně z důvodu plošného | ||
| + | nasazení a okamžité využitelnosti eduroamu byly definovány i další dva | ||
| + | autentizační mechanizmy, o nichž se vědělo, že mají své slabiny. Šlo o | ||
| + | VPN a především pak webovou autentizaci. VPN řešení sice poskytuje | ||
| + | velkou míru bezpečnosti, ale pro své nevýhody spočívající především | ||
| + | v prakticky nulové škálovatelnosti a v neoptimálních datových tocích se | ||
| + | nikdy nerozšířilo. Jiná je situace s webovou autentizací. Ta je | ||
| + | nasazována poměrně často a vzhledem ke své jednoduchosti ji uživatelé | ||
| + | často preferují. Zde je však značný problém s bezpečností. Hlavní | ||
| + | úskalí spočívá právě v existenci autentizační stránky, která je plně | ||
| + | pod kontrolou jejího administrátora. Pokud se tento rozhodne zneužít | ||
| + | své pravomoci, dostane se ke všem uživatelským kredencím, které jsou | ||
| + | přes tuto stránku zadávány. Uživatel, který se rozhodne připojit do | ||
| + | hostující sítě, musí věřit, že jeho autentizační data nebudou | ||
| + | odposlechnuta a zneužita. Nemá však reálnou možnost tento "odposlech" | ||
| + | technicky znemožnit. Naproti tomu v případě 802.1x protokolu jdou | ||
| + | autentizační údaje spolehlivým šifrovaným kanálem až na domovskou | ||
| + | instituci (té uživatel s největší pravděpodobností věří) a jako | ||
| + | výsledek ověření se vrátí pouze informace, zda je uživatel oprávněn | ||
| + | použít síť, či nikoliv. Dalším závažným problémem webové autentizace | ||
| + | je možnost podvrhnout logovací stránku. Ta je sice v naprosté většině | ||
| + | případů chráněna pomocí SSL a je tedy možnost ověřit pomocí | ||
| + | certifikátu, zda se uživatel připojil a zadává přihlašovací údaje do | ||
| + | orginální logovací stránky instituce, v praxi ovšem málokterý uživatel | ||
| + | kontroluje platnost certifikátu. Pro potenciálního útočníka je tedy | ||
| + | snadné vytvořit svoji kopii logovací stránky a vydávat ji za | ||
| + | originál. Při vhodné "úpravě" sítě (pirátský access point, podvržené | ||
| + | SSID, atd.) je pak jednoduché přesměrovat uživatele - oběť - na tuto | ||
| + | stránku a zjistit tak jeho kredenciály. Uživatel bude totiž s největší | ||
| + | pravděpodobností ignorovat zprávu o špatném certifikátu stránky, | ||
| + | jednoduše klikne na OK a neštěstí je na světě. Nehledě na to, že | ||
| + | spousta organizací používá na logovacích stránkách self-signed | ||
| + | certifikáty, které nejsou podepsané žádnou uznávanou certifikační | ||
| + | autoritou a ověření "pravosti" stránky je tedy v tomto případě | ||
| + | nemožné. V neposlední řadě byl velkou nevýhodou sítě eduroam-simple | ||
| + | nešifrovaný přenos uživatelských dat (vlastní datový provoz po | ||
| + | úspěšném ověření). V případě plnohodnotného eduroamu jsou data | ||
| + | šifrována pomocí důvěryhodných algoritmů (TKIP, WPA), což uživateli | ||
| + | zajišťuje bezpečný přenos po radiové části sítě. | ||
| + | |||
| + | Výše popsaná bezpečnostní rizika byla tím hlavním důvodem, proč se | ||
| + | přistupilo k úplnému odstavení sítě | ||
| + | eduroam-simple. Ten již svou nezanedbatelnou úlohu při zavádění a | ||
| + | rozšiřování eduroamu mezi akademické organizace sehrál a nastal | ||
| + | čas pro posun pomyslné laťky opět o kousek výš - směrem k vyšší | ||
| + | bezpečnosti a kvalitě. | ||
| + | |||
| + | Kromě výhody nesrovnatelně vyšší míry zabezpečení v síti //eduroam// | ||
| + | (v porovnání s eduroam-simple) je potřeba mít na zřeteli i další | ||
| + | pozitiva, která mechanizmus postavený na 802.1x protokolu | ||
| + | poskytuje. Jedná se hlavně o transparentnost, která vyplývá | ||
| + | z identického nastavení sítě na všech participujících organizacích. Pro | ||
| + | uživatele je pak připojení k síti všude stejné a jednoduché. Stačí | ||
| + | spustit počítač a vestavěný suplicant při startu operačního systému | ||
| + | provede sám a na pozadí veškeré autentizační operace - uživatel může | ||
| + | začít pracovat prakticky okamžitě. | ||
| + | |||
| + | I 802.1x protokol má svoje nedostatky (např. nevyřešené informování | ||
| + | uživatele o průběhu autentizace, což je potřeba hlavně v případě, že | ||
| + | se vyskytne chyba, která se musí nějak lokalizovat), jsou však | ||
| + | v porovnání s přednostmi zanedbatelné a na jejich řešení se usilovně | ||
| + | pracuje. | ||
| + | |||
| + | Odstavení eduroam-simple však nebylo jednoduché a k úplnému zrušení | ||
| + | webové autentizace asi hned tak nedojde. Doporučuje se použití | ||
| + | modelu, kdy má organizace kromě plně funkčního a zabezpečeného | ||
| + | eduroamu také svou "vlastní" radiovou síť s lokální webovou | ||
| + | autentizací. Tato ovšem **nesmí** být začleněna do eduroamu a ani použité | ||
| + | SSID nesmí s eduroamem nijak souviset. Uživatelské účty musí být | ||
| + | vedeny v lokální databázi, která není propojena s //eduroam// AAI. Důvod | ||
| + | je evidentní, uživatel návštěvník, u něhož by hrozilo vyzrazení | ||
| + | kredencí, může použít pouze zabezpečený eduroam - ve svém | ||
| + | vlastním zájmu. Lokální uživatelé pak na svoji odpovědnost a na | ||
| + | vlastní nebezpečí mohou použít i "nebezpečný" webový přístup. Riziko | ||
| + | zneužití je v tomto případě nižší a je plně v kompetenci organizace, | ||
| + | jaká si nastaví pravidla pro přístup k síti (v případě diskreditace | ||
| + | lokálního účtu nehrozí tak velké riziko zneužití, jako v případě, že | ||
| + | by šlo o plnohodnotný eduroam účet, který opravňuje k přístupu do sítě | ||
| + | ve stovkách institucí). Pochopitelně i uživatelé příslušející k té | ||
| + | které organizaci mohou lokálně využívat plný eduroam. Tento | ||
| + | mechanizmus 2 SSID (eduroam a místní webově autentizovaná síť) | ||
| + | poslouží především v případě, že je potřeba připojit do sítě | ||
| + | uživatele, který nemá účet v eduroamu (například uživatele mimo | ||
| + | akademickou sféru) nebo jeho zařízení nepodporuje 802.1x (různé | ||
| + | nestandardní PDA atd.). Za těchto okolností se vytvoří lokální účet a | ||
| + | uživatel může využívat síťovou konektivitu přes webové ověření. | ||
| + | |||
| + | Kromě toho, že bylo odstavení eduroam-simple nezbytné z důvodu | ||
| + | zkvalitnění a většího zabezpečení roamingového systému //eduroam//, byl | ||
| + | tento krok potřebný také z důvodu splnění podmínek evropské | ||
| + | roamingové politiky. Tento dokument pro potřeby eduroamu počítá pouze s použitím | ||
| + | důvěryhodné autentizace (tj. 802.1x). Pozn.: Minimální technické a | ||
| + | bezpečnostní požadavky na eduroam jsou součástí dokumentu roamingové | ||
| + | politiky. Je zde také definována tzv. "sunset period", což je časový | ||
| + | limit, do něhož musela být z eduroamu vyřazena veškerá webová | ||
| + | autentizace. Toto přechodné období bylo zakotveno i v české roamingové | ||
| + | politice a jako nejzazší termín pro vyřazení eduroam-simple z činnosti | ||
| + | byl stanoven 1. říjen 2007. | ||
| + | |||
| + | V praxi je potřeba mít výše uvedená fakta na paměti a při nových | ||
| + | implementacích eduroamu již variantu eduroam-simple vůbec | ||
| + | nezavádět. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | ====== ====== | ||
| + | |||
| + | --- //Jan Fürman 11. 06. 2006// vytvoření dokumentu | ||
| + | |||
| + | --- //Jan Fürman 3. 12. 2007// aktualizace dokumentu | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz