cs:ukonceni_provozu_site_eduroam-simple

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

cs:ukonceni_provozu_site_eduroam-simple [2007/12/03 17:54] (aktuální)
Řádek 1: Řádek 1:
 +====== Důvody ukončení provozu sítě eduroam-simple ======
  
 +Tento článek si klade za cíl seznámit čtenáře s hlavními důvody, které
 +vedly k eliminaci webové a VPN autentizace v rámci systému
 +//​eduroam//​.
 +
 +Už ve chvíli, kdy vznikala myšlenka roamingového systému //​eduroam//,​ bylo
 +jasné, že nejperspektivnější technologií pro realizaci tohoto projektu
 +je autentizace pomocí protokolu 802.1x. Tento mechanizmus zajišťuje
 +bezpečný přenos autentizačních dat, ale v době vzniku eduroamu nebyl
 +ještě dostatečně rozšířený,​ takže jeho výlučné použití by pro
 +uživatele znamenalo značné komplikace (chyběla podpora jak na straně
 +síťových prvků, tak i na straně klientů). Hlavně z důvodu plošného
 +nasazení a okamžité využitelnosti eduroamu byly definovány i další dva
 +autentizační mechanizmy, o nichž se vědělo, že mají své slabiny. Šlo o
 +VPN a především pak webovou autentizaci. VPN řešení sice poskytuje
 +velkou míru bezpečnosti,​ ale pro své nevýhody spočívající především
 +v prakticky nulové škálovatelnosti a v neoptimálních datových tocích se
 +nikdy nerozšířilo. Jiná je situace s webovou autentizací. Ta je
 +nasazována poměrně často a vzhledem ke své jednoduchosti ji uživatelé
 +často preferují. Zde je však značný problém s bezpečností. Hlavní
 +úskalí spočívá právě v existenci autentizační stránky, která je plně
 +pod kontrolou jejího administrátora. Pokud se tento rozhodne zneužít
 +své pravomoci, dostane se ke všem uživatelským kredencím, které jsou
 +přes tuto stránku zadávány. Uživatel, který se rozhodne připojit do
 +hostující sítě, musí věřit, že jeho autentizační data nebudou
 +odposlechnuta a zneužita. Nemá však reálnou možnost tento "​odposlech"​
 +technicky znemožnit. Naproti tomu v případě 802.1x protokolu jdou
 +autentizační údaje spolehlivým šifrovaným kanálem až na domovskou
 +instituci (té uživatel s největší pravděpodobností věří) a jako
 +výsledek ověření se vrátí pouze informace, zda je uživatel oprávněn
 +použít síť, či nikoliv. Dalším závažným problémem webové autentizace
 +je možnost podvrhnout logovací stránku. Ta je sice v naprosté většině
 +případů chráněna pomocí SSL a je tedy možnost ověřit pomocí
 +certifikátu,​ zda se uživatel připojil a zadává přihlašovací údaje do
 +orginální logovací stránky instituce, v praxi ovšem málokterý uživatel
 +kontroluje platnost certifikátu. Pro potenciálního útočníka je tedy
 +snadné vytvořit svoji kopii logovací stránky a vydávat ji za
 +originál. Při vhodné "​úpravě"​ sítě (pirátský access point, podvržené
 +SSID, atd.) je pak jednoduché přesměrovat uživatele - oběť - na tuto
 +stránku a zjistit tak jeho kredenciály. Uživatel bude totiž s největší
 +pravděpodobností ignorovat zprávu o špatném certifikátu stránky,
 +jednoduše klikne na OK a neštěstí je na světě. Nehledě na to, že
 +spousta organizací používá na logovacích stránkách self-signed
 +certifikáty,​ které nejsou podepsané žádnou uznávanou certifikační
 +autoritou a ověření "​pravosti"​ stránky je tedy v tomto případě
 +nemožné. V neposlední řadě byl velkou nevýhodou sítě eduroam-simple
 +nešifrovaný přenos uživatelských dat (vlastní datový provoz po
 +úspěšném ověření). V případě plnohodnotného eduroamu jsou data
 +šifrována pomocí důvěryhodných algoritmů (TKIP, WPA), což uživateli
 +zajišťuje bezpečný přenos po radiové části sítě.
 +
 +Výše popsaná bezpečnostní rizika byla tím hlavním důvodem, proč se
 +přistupilo k úplnému odstavení sítě
 +eduroam-simple. Ten již svou nezanedbatelnou úlohu při zavádění a
 +rozšiřování eduroamu mezi akademické organizace sehrál a nastal
 +čas pro posun pomyslné laťky opět o kousek výš - směrem k vyšší
 +bezpečnosti a kvalitě.
 +
 +Kromě výhody nesrovnatelně vyšší míry zabezpečení v síti //eduroam//
 +(v porovnání s eduroam-simple) je potřeba mít na zřeteli i další
 +pozitiva, která mechanizmus postavený na 802.1x protokolu
 +poskytuje. Jedná se hlavně o transparentnost,​ která vyplývá
 +z identického nastavení sítě na všech participujících organizacích. Pro
 +uživatele je pak připojení k síti všude stejné a jednoduché. Stačí
 +spustit počítač a vestavěný suplicant při startu operačního systému
 +provede sám a na pozadí veškeré autentizační operace - uživatel může
 +začít pracovat prakticky okamžitě.
 +
 +I 802.1x protokol má svoje nedostatky (např. nevyřešené informování
 +uživatele o průběhu autentizace,​ což je potřeba hlavně v případě, že
 +se vyskytne chyba, která se musí nějak lokalizovat),​ jsou však
 +v porovnání s přednostmi zanedbatelné a na jejich řešení se usilovně
 +pracuje.
 +
 +Odstavení eduroam-simple však nebylo jednoduché a k úplnému zrušení
 +webové autentizace asi hned tak nedojde. Doporučuje se použití
 +modelu, kdy má organizace kromě plně funkčního a zabezpečeného
 +eduroamu také svou "​vlastní"​ radiovou síť s lokální webovou
 +autentizací. Tato ovšem **nesmí** být začleněna do eduroamu a ani použité
 +SSID nesmí s eduroamem nijak souviset. Uživatelské účty musí být
 +vedeny v lokální databázi, která není propojena s //eduroam// AAI. Důvod
 +je evidentní, uživatel návštěvník,​ u něhož by hrozilo vyzrazení
 +kredencí, může použít pouze zabezpečený eduroam - ve svém
 +vlastním zájmu. Lokální uživatelé pak na svoji odpovědnost a na
 +vlastní nebezpečí mohou použít i "​nebezpečný"​ webový přístup. Riziko
 +zneužití je v tomto případě nižší a je plně v kompetenci organizace,
 +jaká si nastaví pravidla pro přístup k síti (v případě diskreditace
 +lokálního účtu nehrozí tak velké riziko zneužití, jako v případě, že
 +by šlo o plnohodnotný eduroam účet, který opravňuje k přístupu do sítě
 +ve stovkách institucí). Pochopitelně i uživatelé příslušející k té
 +které organizaci mohou lokálně využívat plný eduroam. Tento
 +mechanizmus 2 SSID (eduroam a místní webově autentizovaná síť)
 +poslouží především v případě, že je potřeba připojit do sítě
 +uživatele, který nemá účet v eduroamu (například uživatele mimo
 +akademickou sféru) nebo jeho zařízení nepodporuje 802.1x (různé
 +nestandardní PDA atd.). Za těchto okolností se vytvoří lokální účet a
 +uživatel může využívat síťovou konektivitu přes webové ověření.
 +
 +Kromě toho, že bylo odstavení eduroam-simple nezbytné z důvodu
 +zkvalitnění a většího zabezpečení roamingového systému //​eduroam//,​ byl
 +tento krok potřebný také z důvodu splnění podmínek evropské
 +roamingové politiky. Tento dokument pro potřeby eduroamu počítá pouze s použitím
 +důvěryhodné autentizace (tj. 802.1x). Pozn.: Minimální technické a
 +bezpečnostní požadavky na eduroam jsou součástí dokumentu roamingové
 +politiky. Je zde také definována tzv. "​sunset period",​ což je časový
 +limit, do něhož musela být z eduroamu vyřazena veškerá webová
 +autentizace. Toto přechodné období bylo zakotveno i v české roamingové
 +politice a jako nejzazší termín pro vyřazení eduroam-simple z činnosti
 +byl stanoven 1. říjen 2007.
 +
 +V praxi je potřeba mít výše uvedená fakta na paměti a při nových
 +implementacích eduroamu již variantu eduroam-simple vůbec
 +nezavádět.
 +
 +
 +
 +
 +
 +====== ​ ======
 +
 + --- //Jan Fürman 11. 06. 2006// vytvoření dokumentu
 +
 + --- //Jan Fürman 3. 12. 2007// aktualizace dokumentu
Poslední úprava:: 2007/12/03 17:54