web-dev-qa-db-ja.com

eduroam資格情報の保護

最近、私の教育機関は、自分のワイヤレスネットワークから eduroam に正式に切り替えました。

[〜#〜] faq [〜#〜] を正しく理解すれば、どこからログインしても、教育機関のサーバーで資格情報の認証が実行されます。

ユーザーが訪問したeduroam対応機関のワイヤレスネットワークにログオンしようとすると、ユーザーの認証要求がユーザーの自宅の機関に送信されます。これは、RADIUSサーバーの階層システムを介して行われます。ユーザーのホーム機関はユーザーの資格情報を確認し、訪問した機関に送信します(RADIUSサーバーを介して)そのような検証の結果。

さらに、それは述べています:

Eduroamでは、アクセスポイントとユーザーの自宅の機関との間の通信は、IEEE 802.1X標準に基づいています。 802.1Xには、さまざまな認証方法を可能にする拡張認証プロトコルであるEAPの使用が含まれます。使用するEAP方式のタイプに応じて、ユーザーのコンピューターから実際の認証情報(ユーザー名/パスワードなど)が送信される自宅の機関への安全なトンネル(EAP-TTLSまたはPEAP)、または相互のトンネルが確立されます。盗聴に対して脆弱ではない公開X.509証明書による認証が使用されます(EAP-TLS)。

私が持っているいくつかの質問は次のとおりです。

  1. セキュリティの点でeduroamはVPNとどう違うのですか?
  2. 私の所属機関以外のどこかでeduroamに接続するのは安全ではありませんか?
  3. デバイス、接続しているアクセスポイント、認証サーバーの間で資格情報が暗号化されていることをどのようにして知ることができますか?
  4. ドメインと認証サーバーの集中データベースはありますか(つまり、どのサーバーが[email protected][email protected]をチェックするかをどのようにして知るのですか)?
authenticationwificredentialsradiuspeap
9
rink.attendant.6

eduroam802.1XおよびWPA-Enterpriseに基づいています/ WPA-EAP標準。

  1. VPNとは異なり、ホーム機関は認証のみを実行しています。データはWPA空中で)で保護されますが、ローカルの物理的な場所が提供するインターネットの影響を受けます。

  2. はい、自宅の機関で行われる認証とは別に、すべてのインターネットトラフィックは、物理的に配置されているローカルネットワークを経由して発信されるため(自宅をトンネルすることなく)、eduroamをローカルキャンパスの外で使用する方が安全ではありません。 。たとえば、別のネットワークで別のIPアドレスを使用すると、IEEE Xploreなどのサブスクリプションへのオンラインアクセスにも影響します。

  3. これが一番の質問です!どうやら WPA/WPA2エンタープライズネットワークをスプーフィングして資格情報を取得しますか? および 802.1x PEAPによる証明書の検証 によると、一般的なデバイスに自動保護が実装されているかどうかは不明です。 WaterlooのIST によると、eduroam Configuration Assistant ToolというWebサイトがにあるようです https://cat.eduroam.org/、機関とオペレーティングシステムの組み合わせの設定をダウンロードできます。これらには、何らかのルートが含まれているようです。証明書(ただし、問題の機関とは無関係のCAのように見えるため、実際のピン留めは存在しないようです(たとえば、Waterlooのeduroam CAT設定には、いくつかのGlobalSignがあるだけです) ベルギーからのルート証明書と一致します buntuの公式の説明 -図を実行してください; CAは常に再発行を継続するために信頼されているという考えです毎年または必要に応じて機関に証明書を発行し、関係のないエンティティに機関の証明書を発行することはありません))。

  4. はい、cat.eduroam.orgで上記のとおり、オタワがリストされています。ただし、一目見ただけでは、米国にはヒューストン大学、ライス大学、UTSAなどの新しいメンバーが不足しているため、頻繁に更新されていないと思います。

4
cnst
  1. セキュリティの点でeduroamはVPNとどう違うのですか?

Eduroamは認証のためのインフラストラクチャにすぎません。これにより、組織のサーバーは、あなたが本当にあなたが本人であることを証明する人物であることを証明できます。それはあなたを認証するだけですが、あなたのトラフィックや同様のものをトンネルしません-あなたのトラフィックはあなたが接続しているどんなネットワークのなすがままです、それであなたはあなたがそのネットワークとその管理者を悪意がないか安全なプロトコルだけを使うことを信頼する必要がありますHTTPSなど。

  1. 私の所属機関以外のどこかでeduroamに接続するのは安全性が低くなりますか?

Eduroam資格情報は安全であり、あなたの所属機関だけがそれらを見ることができます。トラフィックは安全性が低く、ネットワークとその管理者を信頼する必要がありますが、EAPはユーザーごとに異なるキーを使用するため、オープンネットワークまたはPSKで保護されたネットワークのように、ネットワーク上の他の誰かがトラフィックを盗聴することはできません。

100%確実ではないので、最後の2つの質問は他の人に任せます。

6
André Borie

サブ質問1と2はすでに回答されているので、他の2つを取り上げます。

  1. デバイス、接続しているアクセスポイント、認証サーバーの間で資格情報が暗号化されていることをどのようにして知ることができますか?

暗号化されたWLAN接続を使用していることを確認してください(そうしないと、資格情報が空中から盗聴される可能性があります)、httpsなどの安全なプロトコル。そうすれば、eduroamのセキュリティについて心配する必要はありません。

  1. ドメインと認証サーバーの集中データベースはありますか(つまり、user @ uottawa.caと[email protected]をチェックするサーバーをどのようにして知るのですか)?

いいえ、ありません。 eduroamは@記号の右側から連絡先を知っています。

4
jk - Reinstate Monica