コンテキスト:組織から提供されたラップトップを持っています。 eduroam に接続しようとしていますが、組織のラップトップを使用して接続することはできません。パーソナルコンピュータを使用すると、標準のWi-Fiネットワークがパスワードを要求するのと同じように、ユーザー名とパスワードを要求されます。
内部ITポリシーに以下のテキストが含まれています。それを理解する助けが必要です。私にとっては完全に直感的ではありません:
ホテル、コーヒーショップ、公共WiFiホットスポットの使用
ホテルや喫茶店などでラップトップを接続してWiFiを使用できる場合がありますが、これはWiFiの設定方法によって異なります。
- それが「開いている」(つまり、接続にパスワードが必要ない)場合、問題はありません。
- wiFiに接続するためにパスワードが必要となるように設定されている場合(およびこのパスワードは施設から提供されます)、再びOKになります。
- ただし、WiFiに簡単に接続できるが、Webブラウザーソフトウェアでユーザー名やパスワードを入力する必要がある場合は、サービスにアクセスできません。
私たちのラップトップが構築されているセキュリティ標準は、それらが「ダーティ」または安全でないインターネット接続に直接接続できないことを意味します–すべてが私たちのITネットワークへの安全なVPN接続を経由します。したがって、ユーザーは最初にVPNに接続しないと、パスワードを入力する必要があるWebページにアクセスできません。また、最初にWebページにアクセスしないと、VPNに接続できません。
したがって、基本的には、誰もがネットワークを共有しているコーヒーショップで仕事のラップトップを使用できます(たとえば、 here などに対して多くのことが書かれています)。パスワードセキュリティのみのネットワークでも使用できます。ハッキングに関する WikiHow (!)ガイドさえあります。それでも、ユーザー名とパスワードの両方が必要なネットワークでは使用できません。ハッキングするのははるかに難しいはずです。
私の組織の根底にあるこの安心感は何ですか?何か不足していますか?
彼らは、VPN接続を開始し、ネットワークに接続した後にのみ「ホームベース」と通信するようにラップトップを構成しました。つまり、資格情報を入力する必要があるローカルの「キャプティブポータル」がある場合、VPNを回避する必要があるため、それを使用できません。
(それは鶏と卵のことです。VPNなし、ポータルに到達する能力なし-ポータルなし、VPNを起動する能力なし!)
どんな接続であっても、送信するネットワークトラフィックは会社のネットワークと会社の制御を通過し、他の当事者による傍受や操作の影響を受けないため、より安全です。
残念なことに、「キャプティブポータル」を使用したワイヤレスのケースは破られますが、そのケースを許可すると、VPNを介さずにマシンが直接任意のマシンと通信できるようになり、セキュリティが低下します。
コメントで言及した「eduroam」サービス キャプティブポータルがないことを明示的に示しています ですが、802.1Xに基づくWPA-Enterpriseを使用します。
eduroamは認証にWebポータルを使用しますか?
いいえ。Webポータル、キャプティブポータル、またはスプラッシュスクリーンベースの認証メカニズムは、eduroam資格情報を受け入れる安全な方法ではありません。..eduroamは、802.1Xを使用する必要があります...
802.1Xは、ネットワークに接続するようにマシンを構成するために入力する必要のある種類の認証であるため、このケースでは、ITポリシーで明示的に許可されています。
wiFiに接続するためにパスワードが必要となるように設定されている場合(およびこのパスワードは施設から提供されます)、再びOKになります。
実際、eduroamはITポリシーと非常によく一致しているように見えます。両方とも、キャプティブポータルによって課される「悪いセキュリティ」を信用していません。
元の質問の編集に基づいて:
Eduroamに接続しようとしていますが、組織のラップトップを使用して接続することはできません。パーソナルコンピュータを使用すると、標準のWi-Fiネットワークがパスワードを要求するのと同じように、ユーザー名とパスワードを要求されます。
それは、あなたの組織のラップトップが単にあなたのパーソナルコンピュータと同じように新しいネットワークに接続するように促していないことを私に示唆しています。これは、2つのコンピューターに異なるオペレーティングシステムまたは異なるポリシーが適用されていることが原因である可能性があります。単に、eduroamネットワークに接続するための802.1Xの構成について、ITグループに質問したい場合があります。そのキーワードを使用すると、彼らが許可していることを実行しようとしていることが明確になります。
一部のWebサイトに初めて接続するときは、サービスを使用する前に、Eメールアドレスまたはその他のデータを提供する必要があります。このページはキャプティブポータルと呼ばれます。
会社のラップトップは、インターネット接続を検出すると会社のVPNに接続し、そこから接続するように設定されています。ほとんどの状況では(質問のシナリオ1および2)、パスワードでwifiに接続するか、wifiを開いて企業のVPNにトンネルし、その後接続し直すことができます-これらはすべてwifiのサービスを使用して行われます接続しています。
ただし、状況3では、キャプティブポータルWebページにアクセスする可能性があり、接続するために最初にデータの一部を入力する必要があります。ただし、ラップトップは、企業のVPNに最初に接続する必要があるように設計されています。つまり、キャプティブポータルで資格情報を入力していないためにVPNに接続できず、VPNにまだ接続していないため、資格情報を入力できません。
うまくいけば、これは私の以前のコメントより少し良くあなたの質問に答えます。ここにコメントを残してください。さらに質問がある場合は更新します。
編集:会社がこのタイプの設定を行う理由を追加するだけで、すべてのトラフィックが確実にVPNを通過できるようになり、他のポリシーを適用できるようになります。許容される使用法など。上記の詳細については、@ gowenfawrの回答を参照してください。彼は非常によく説明しています。
ポリシーの理解に関してはすでに良い回答がありますが、eduroamのセキュリティと接続プロファイルについて簡単に説明し、すべてのベースが回答の観点からカバーされていることを確認します。私は、eduroamを提供している2つの大学で働いており、eduroamでの作業に多くの時間を費やしてきました。
Eduroamは、ある機関のメンバーが別のパートナー機関のネットワークリソースにアクセスできるように相互にピアリングする、大学やその他の教育機関のグローバルネットワークです。
Eduroamへの認証は、802.1xプロトコルを介して行われます(MS-CHAP v2では、通常、少なくとも私の経験ではフェーズ2の認証です)。これは、AP /コントローラーがRADIUSを使用してRADIUSサーバーと通信する)場合です。すべてが良好であると想定すると、クライアントは接続を許可されます。
マシンからAPへのワイヤレスパケットの暗号化は、WPA2(エンタープライズ、つまり802.1x認証)暗号化を使用して行われます。
Eduroam接続プロファイルで見た最大の問題の1つは、オペレーティングシステムがログオンしたユーザーの資格情報を自動的に送信するときです(これはWindows 7以下ではデフォルトです... Windows 8でこれを変更したと思います)。また、Windowsがマシンアカウントを使用して接続しようとする問題が発生しました。これは、通常、大学では承認されていません(ユーザーアカウントのみが許可されています)。
Eduroamに接続すると、会社はVPNプロバイダーを介してデータをトンネルします。接続しようとしている教育機関がeduroamネットワークをどのように設定しているかによって、これが機能する場合と機能しない場合があります(私が働いた1つの場所では、すべてではなく、eduroamで一部のVPNのみを許可していました)。
あなたが言及しているものは キャプティブポータル と呼ばれます。
このようなポータルをWebブラウザーに表示するには、次のことが必要です。
これは、コンピュータ上のセキュリティソフトウェアにとって非常に悪そうに見えるものです。信頼されていないネットワークを介して公開Webサイトに暗号化されていないHTTPリクエストを実行しており、中間者攻撃の犠牲者になっています。はい、あなたはこれを知っています、そしてあなたはキャプティブポータルを見ることができるようにちょうどこれをやっています。しかし、キャプティブポータルは標準化されていないため、コンピュータは違いを見分けることができません。
IT部門がこのプロセスを許可する場合、完全に安全でない接続を介してインターネットを閲覧することもできます。
通常、これらのWi-Fiホットスポットは、MACアドレスを介して認証します。つまり、キャプティブポータル経由でサインインすると、システムのWi-Fi MACアドレスが記憶されます。そのMACアドレスからのトラフィックは、ポリシーに応じて、Wi-FiホットスポットでX分/時間許可されます。
彼らはまた、あなたが立ち去り、戻ってきて、新しいIPアドレスを取得し、MACアドレスだけで認識されるのに十分な期間それを保存します。一部は広大です。 Target'sゲストWi-Fiで「TOS Accept」を押すと、年間MACアドレスを記憶しますと全国的に起動します。
だから、問題は:そのMACアドレスを備えたマシンでWi-Fiをどのように利用できるか、参照してください- http:// neverssl.com (または任意のHTTPS以外のサイト)、キャプティブポータルにリダイレクトされ、キャプティブポータルの要件を満たし、MACアドレスを取得することをお勧めします。
私の考えは 別のデバイスを使用 であり、これによりMACアドレスを任意に変更できます。会社のラップトップのWi-Fiを無効にし、そのMACアドレスを他のデバイスに設定します。キャプティブポータルの画面をウォークスルーするために使用します。 Wi-Fiを無効にして、会社のラップトップのWi-Fiを有効にします。
もう1つの方法は、ノートパソコンをサムドライブから再起動してロックダウンされていないOSにして、会社がそれで問題がないと仮定することです。
さて、質問のいくつかのポイントを取り上げましょう。
組織は、パスワードなしの認証にLDAPやその他の方法を使用することが多く、さらに安全です。
インフラストラクチャVPNは特定のIP範囲のみを許可します。これは、ファイアウォール設定とiptablesによってイントラネット/内部ネットワークとの通信を許可されています。これで、実際に認証情報を取得するか、Cisco SSL VPNやSophosインフラストラクチャVPNなどのインフラストラクチャVPNを介して会社のネットワークを使用するだけで、特定のIPサブネット/範囲を使用してこのイントラネットにアクセスすることのみが許可されます。
これがあなたが持っていたいくつかの疑問を晴らしてくれることを願っています!
追伸-インフラストラクチャ用のCisco SSL VPNのように安全に実装されたIPSecプロトコルを使用する安全なVPNの使用は、従来のものよりもはるかに安全であり、実質的にネットワークにアクセスできない外部の攻撃者のコンテキストから深いセキュリティ層を提供しますインフラストラクチャVPNにアクセスする必要はありません。
組織のシステム管理者がそれを実行するかどうかはわかりませんが、VPN構成で特定の例外を作成して、Webサイトへの暗号化されていない直接接続を許可することを提案できます http://neverssl.com / 。このサイトの目的はすべて、キャプティブポータルに乗っ取られることです。キャプティブポータルで暗号化されていないHTTP接続をハイジャックしてログインページを表示する必要があり、情報を一切受け入れないため、企業VPNを介して誰もアクセスできないため、企業VPN経由でアクセスする必要はありません。そのように。残りのリスクは、キャプティブポータル自体が悪質である可能性があり、それが本当のリスクであるため、彼らがそれを実行しない可能性があることです。しかし、試してみる価値はあります。
ユーザー名+パスワードより安全なパスワードはありませんか?
共有キーを使用する場合 。これが機能する方法です、簡単に説明します。
コンピューターに安全なキーがあります。ログインしようとしているキーには、それに一致するキーがあります。これにより、シンプルで迅速、かつ安全なパスワードなしのログインが可能になります。
このリンク は、ほとんどの場合、ユーザー名とパスワードを入力せずに、ssh経由でリモートサーバーにリモートログインすることを目的としています。別の状態のリースされたベアメタルサーバーにSSHで接続する必要があるときは、常にそうしています。 確かに、あなたのケースではそれを行うことが可能です。