Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
cs:ukonceni_provozu_site_eduroam-simple [2007/12/03 17:54] |
cs:ukonceni_provozu_site_eduroam-simple [2007/12/03 17:54] (aktuální) |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
+ | ====== Důvody ukončení provozu sítě eduroam-simple ====== | ||
+ | Tento článek si klade za cíl seznámit čtenáře s hlavními důvody, které | ||
+ | vedly k eliminaci webové a VPN autentizace v rámci systému | ||
+ | //eduroam//. | ||
+ | |||
+ | Už ve chvíli, kdy vznikala myšlenka roamingového systému //eduroam//, bylo | ||
+ | jasné, že nejperspektivnější technologií pro realizaci tohoto projektu | ||
+ | je autentizace pomocí protokolu 802.1x. Tento mechanizmus zajišťuje | ||
+ | bezpečný přenos autentizačních dat, ale v době vzniku eduroamu nebyl | ||
+ | ještě dostatečně rozšířený, takže jeho výlučné použití by pro | ||
+ | uživatele znamenalo značné komplikace (chyběla podpora jak na straně | ||
+ | síťových prvků, tak i na straně klientů). Hlavně z důvodu plošného | ||
+ | nasazení a okamžité využitelnosti eduroamu byly definovány i další dva | ||
+ | autentizační mechanizmy, o nichž se vědělo, že mají své slabiny. Šlo o | ||
+ | VPN a především pak webovou autentizaci. VPN řešení sice poskytuje | ||
+ | velkou míru bezpečnosti, ale pro své nevýhody spočívající především | ||
+ | v prakticky nulové škálovatelnosti a v neoptimálních datových tocích se | ||
+ | nikdy nerozšířilo. Jiná je situace s webovou autentizací. Ta je | ||
+ | nasazována poměrně často a vzhledem ke své jednoduchosti ji uživatelé | ||
+ | často preferují. Zde je však značný problém s bezpečností. Hlavní | ||
+ | úskalí spočívá právě v existenci autentizační stránky, která je plně | ||
+ | pod kontrolou jejího administrátora. Pokud se tento rozhodne zneužít | ||
+ | své pravomoci, dostane se ke všem uživatelským kredencím, které jsou | ||
+ | přes tuto stránku zadávány. Uživatel, který se rozhodne připojit do | ||
+ | hostující sítě, musí věřit, že jeho autentizační data nebudou | ||
+ | odposlechnuta a zneužita. Nemá však reálnou možnost tento "odposlech" | ||
+ | technicky znemožnit. Naproti tomu v případě 802.1x protokolu jdou | ||
+ | autentizační údaje spolehlivým šifrovaným kanálem až na domovskou | ||
+ | instituci (té uživatel s největší pravděpodobností věří) a jako | ||
+ | výsledek ověření se vrátí pouze informace, zda je uživatel oprávněn | ||
+ | použít síť, či nikoliv. Dalším závažným problémem webové autentizace | ||
+ | je možnost podvrhnout logovací stránku. Ta je sice v naprosté většině | ||
+ | případů chráněna pomocí SSL a je tedy možnost ověřit pomocí | ||
+ | certifikátu, zda se uživatel připojil a zadává přihlašovací údaje do | ||
+ | orginální logovací stránky instituce, v praxi ovšem málokterý uživatel | ||
+ | kontroluje platnost certifikátu. Pro potenciálního útočníka je tedy | ||
+ | snadné vytvořit svoji kopii logovací stránky a vydávat ji za | ||
+ | originál. Při vhodné "úpravě" sítě (pirátský access point, podvržené | ||
+ | SSID, atd.) je pak jednoduché přesměrovat uživatele - oběť - na tuto | ||
+ | stránku a zjistit tak jeho kredenciály. Uživatel bude totiž s největší | ||
+ | pravděpodobností ignorovat zprávu o špatném certifikátu stránky, | ||
+ | jednoduše klikne na OK a neštěstí je na světě. Nehledě na to, že | ||
+ | spousta organizací používá na logovacích stránkách self-signed | ||
+ | certifikáty, které nejsou podepsané žádnou uznávanou certifikační | ||
+ | autoritou a ověření "pravosti" stránky je tedy v tomto případě | ||
+ | nemožné. V neposlední řadě byl velkou nevýhodou sítě eduroam-simple | ||
+ | nešifrovaný přenos uživatelských dat (vlastní datový provoz po | ||
+ | úspěšném ověření). V případě plnohodnotného eduroamu jsou data | ||
+ | šifrována pomocí důvěryhodných algoritmů (TKIP, WPA), což uživateli | ||
+ | zajišťuje bezpečný přenos po radiové části sítě. | ||
+ | |||
+ | Výše popsaná bezpečnostní rizika byla tím hlavním důvodem, proč se | ||
+ | přistupilo k úplnému odstavení sítě | ||
+ | eduroam-simple. Ten již svou nezanedbatelnou úlohu při zavádění a | ||
+ | rozšiřování eduroamu mezi akademické organizace sehrál a nastal | ||
+ | čas pro posun pomyslné laťky opět o kousek výš - směrem k vyšší | ||
+ | bezpečnosti a kvalitě. | ||
+ | |||
+ | Kromě výhody nesrovnatelně vyšší míry zabezpečení v síti //eduroam// | ||
+ | (v porovnání s eduroam-simple) je potřeba mít na zřeteli i další | ||
+ | pozitiva, která mechanizmus postavený na 802.1x protokolu | ||
+ | poskytuje. Jedná se hlavně o transparentnost, která vyplývá | ||
+ | z identického nastavení sítě na všech participujících organizacích. Pro | ||
+ | uživatele je pak připojení k síti všude stejné a jednoduché. Stačí | ||
+ | spustit počítač a vestavěný suplicant při startu operačního systému | ||
+ | provede sám a na pozadí veškeré autentizační operace - uživatel může | ||
+ | začít pracovat prakticky okamžitě. | ||
+ | |||
+ | I 802.1x protokol má svoje nedostatky (např. nevyřešené informování | ||
+ | uživatele o průběhu autentizace, což je potřeba hlavně v případě, že | ||
+ | se vyskytne chyba, která se musí nějak lokalizovat), jsou však | ||
+ | v porovnání s přednostmi zanedbatelné a na jejich řešení se usilovně | ||
+ | pracuje. | ||
+ | |||
+ | Odstavení eduroam-simple však nebylo jednoduché a k úplnému zrušení | ||
+ | webové autentizace asi hned tak nedojde. Doporučuje se použití | ||
+ | modelu, kdy má organizace kromě plně funkčního a zabezpečeného | ||
+ | eduroamu také svou "vlastní" radiovou síť s lokální webovou | ||
+ | autentizací. Tato ovšem **nesmí** být začleněna do eduroamu a ani použité | ||
+ | SSID nesmí s eduroamem nijak souviset. Uživatelské účty musí být | ||
+ | vedeny v lokální databázi, která není propojena s //eduroam// AAI. Důvod | ||
+ | je evidentní, uživatel návštěvník, u něhož by hrozilo vyzrazení | ||
+ | kredencí, může použít pouze zabezpečený eduroam - ve svém | ||
+ | vlastním zájmu. Lokální uživatelé pak na svoji odpovědnost a na | ||
+ | vlastní nebezpečí mohou použít i "nebezpečný" webový přístup. Riziko | ||
+ | zneužití je v tomto případě nižší a je plně v kompetenci organizace, | ||
+ | jaká si nastaví pravidla pro přístup k síti (v případě diskreditace | ||
+ | lokálního účtu nehrozí tak velké riziko zneužití, jako v případě, že | ||
+ | by šlo o plnohodnotný eduroam účet, který opravňuje k přístupu do sítě | ||
+ | ve stovkách institucí). Pochopitelně i uživatelé příslušející k té | ||
+ | které organizaci mohou lokálně využívat plný eduroam. Tento | ||
+ | mechanizmus 2 SSID (eduroam a místní webově autentizovaná síť) | ||
+ | poslouží především v případě, že je potřeba připojit do sítě | ||
+ | uživatele, který nemá účet v eduroamu (například uživatele mimo | ||
+ | akademickou sféru) nebo jeho zařízení nepodporuje 802.1x (různé | ||
+ | nestandardní PDA atd.). Za těchto okolností se vytvoří lokální účet a | ||
+ | uživatel může využívat síťovou konektivitu přes webové ověření. | ||
+ | |||
+ | Kromě toho, že bylo odstavení eduroam-simple nezbytné z důvodu | ||
+ | zkvalitnění a většího zabezpečení roamingového systému //eduroam//, byl | ||
+ | tento krok potřebný také z důvodu splnění podmínek evropské | ||
+ | roamingové politiky. Tento dokument pro potřeby eduroamu počítá pouze s použitím | ||
+ | důvěryhodné autentizace (tj. 802.1x). Pozn.: Minimální technické a | ||
+ | bezpečnostní požadavky na eduroam jsou součástí dokumentu roamingové | ||
+ | politiky. Je zde také definována tzv. "sunset period", což je časový | ||
+ | limit, do něhož musela být z eduroamu vyřazena veškerá webová | ||
+ | autentizace. Toto přechodné období bylo zakotveno i v české roamingové | ||
+ | politice a jako nejzazší termín pro vyřazení eduroam-simple z činnosti | ||
+ | byl stanoven 1. říjen 2007. | ||
+ | |||
+ | V praxi je potřeba mít výše uvedená fakta na paměti a při nových | ||
+ | implementacích eduroamu již variantu eduroam-simple vůbec | ||
+ | nezavádět. | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ====== ====== | ||
+ | |||
+ | --- //Jan Fürman 11. 06. 2006// vytvoření dokumentu | ||
+ | |||
+ | --- //Jan Fürman 3. 12. 2007// aktualizace dokumentu |