cs:uzivatel:sw:certifikaty

Práce s certifikáty v eduroamu

Nastavení suplikantu

Pro ochranu před zneužitím uživatelského jména a hesla je třeba věnovat velkou pozornost nastavení programu suplikant - oblasti týkající se ověřování certifikátů RADIUS serveru.

V návodech pro MS Windows XP a Vista je popsáno, jak má být suplikant správně nastaven, aby zamezil předání uživatelova hesla neoprávněnému (tedy jinému než domácímu) RADIUS serveru. V případě, že dojde k připojení k neoprávněnému RADIUS serveru, suplikant opakovaně žádá uživatele o heslo - bohužel zpětná vazba, kterou je schopen poskytnout, je zde nulová.

U WPA Supplikantu na Linuxu lze v debug režimu zjistit, jaký certifikát server používá, a také hlášení o tom, že se nepodařilo certifikát RADIUS serveru ověřit, jsou poměrně srozumitelná.

Správné nastavení se sestává z následujících 3 bodů:

1. Ověřování, zda byl certifikát vydán důvěryhodnou CA

Nebudete-li ověřovat, že certifikát serveru byl vydán důvěryhodnou CA, vystavujete se nebezpečí, že se váš suplikant připojí ke kterémukoliv serveru ve svém dosahu a předá mu vaše heslo.

Jméno CA, která vydala certifikát pro váš server, získáte z lokální dokumentace k eduroamu vaší instituce, případně ze seznamu na těchto stránkách.

2. Připojovat se pouze k vyjmenovaným serverům

I pokud ověřujete, že certifikát serveru byl vydán důvěryhodnou CA, je stále možné, že se suplikant připojí k jednomu z desítek, stovek či tisíců serverů certifikovaných tou konkrétní CA. V tomto případě už ale máte jednoznačnou identifikaci serveru, a tím tedy i člověka za server zodpovědného.

Abyste se připojili pouze ke svým domácím RADIUS serverům, je nutné zadávat jejich jméno. Tento požadavek je na první pohled možná zbytečný, ale když zadáváte adresu web serveru, ke kterému se chcete připojit, děláte přesně toto. Asi nikdo neřekne „připoj mě k nějaké bance“ a následně této náhodně vybrané stránce nesvěří své přístupové údaje.

Jméno či jména vašich domácích RADIUS serverů získáte z lokální dokumentace k eduroamu vaší instituce, případně ze seznamu na těchto stránkách.

3. Zakázané zobrazování výzvy k ověření nových serverů

Když umožníte zobrazení výzvy k ověření nových serverů nebo důvěryhodných certifikačních autorit, riskujete, že nedopatřením nebo vědomou akcí nepoučeného uživatele anulujete předchozí dva body. Tento bod se týká pouze MS Windows, nikoliv Linuxu.

A co revokační seznamy nebo OCSP?

Vzhledem k tomu, že suplikant ještě nemá připojení k Internetu, nemůže stáhnout revokační seznamy anebo použít OCSP, takže i při správném nastavení existuje možnost zcizení a zneužití hesla.

Osobní certifikáty pro připojení k eduroamu

Díky masovému rozšíření MS Windows XP je nejčastěji používanou metodou autentizace uživatele PEAP-MSCHAPv2. Existuje však i řada jiných metod, některé, jako např. EAP-PAP, jsou stejně jako PEAP-MSCHAPv2 založeny na ověřování uživatelského jména a hesla. Naproti tomu EAP-TLS používá osobní certifikát, což zajišťuje vyšší uživatelský komfort a bezpečí před zneužitím přihlašovacích údajů.

Pro použití EAP-TLS je nutné, aby vaše instituce tuto metodu podporovala (to se dozvíte z lokální dokumentace), a potom potřebujete osobní certifikát. Postup jeho získání byste měli získat také z lokální dokumentace vaší instituce.

CESNET CA nevydává běžným uživatelům certifikáty pro použití s EAP-TLS.

Jan Tomášek 18.03.2007 20:03 přidání sekce o osobních certifikátech
Jan Tomášek 15.03.2007 13:59 vytvoření dokumentu

Poslední úprava: 2017/03/17 20:40