eduroam tajemství zbavený

Podobné dokumenty
Krádež eduroam identity a obrana proti ní

eduroam - nastavení v MS Windows 7/8/8.1/10 1 Konfigurace pomocí asistenta eduroam CAT

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

1. Obecná konfigurace autentizace osob. 2. Konfigurace klienta Windows Vista

Dual-stack jako řešení přechodu?

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Bezpečnost sítí

Ochrana soukromí v DNS

Návod na nastavení klienta pro připojení k WiFi síti SPŠE Brno

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Mobilita a roaming Možnosti připojení

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Audit bezpečnosti počítačové sítě

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Návod pro Windows 7. Automatická konfigurace Windows 7 a Vista umožňují použít konfiguraci WiFi připojení pomocí programu eduroamcuni.exe.

Stránka, doména, URL, adresa

Počítačová síť TUONET a její služby

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Co musíte vědět o šifrování

Návod pro Windows 7.

Falšování DNS s RPZ i bez

Návod pro Windows 8. Automatická konfigurace Windows 8 umožňují použít konfiguraci WiFi připojení pomocí programu eduroamcuni2.exe.

SSL Secure Sockets Layer

Desktop systémy Microsoft Windows

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Roamingová politika. federace eduroam.cz

Zkušební provoz wifi sítě na SPŠ a VOŠ Písek

Obrana sítě - základní principy

Bezpečnost vzdáleného přístupu. Jan Kubr

Co musíte vědět o šifrování

Jak se měří Internet

DoS útoky v síti CESNET2

Univerzita Pardubice

Návod pro Windows 8. Automatická konfigurace Windows 8 umožňují použít konfiguraci WiFi připojení pomocí programu eduroamcuni3.exe.

Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE

Představení Kerio Control

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Přehled služeb CMS. Centrální místo služeb (CMS)

Návod pro Windows 7. Automatická konfigurace Windows 7 a Vista umožňují použít konfiguraci WiFi připojení pomocí programu eduroamcuni3.exe.

Univerzita Pardubice. Návod na připojení k bezdrátové síti Eduroam Windows 7. V případě nejasností volejte

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Návod pro připojení do pevné sítě eduroam pro MS Windows VISTA

eduroam.cz - monitoring infrastruktury a detekce problémů

Návod na nastavení sítě Eduroam v prostorách 3.LF

Demo: Multipath TCP. 5. října 2013

Jak se měří Internet

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

PŘIPOJENÍ K WI-FI SÍTI EDUROAM NA OSTRAVSKÉ UNIVERZITĚ

Nastavení MS Windows Vista pro připojení k WIFI síti JAMU. Stažení certifikátu JAMU. Instalace certifikátu JAMU

IP telephony security overview

Dodávka UTM zařízení FIREWALL zadávací dokumentace

DNSSEC na vlastní doméně snadno a rychle

15 let federace eduroam. Jiří Bořík CESNET konference e-infrastruktury CESNET

eduroam v kostce aneb šest pohledů na mobilní wifi CESNET Day v Liberci

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Nastavení MS Windows XP pro připojení k eduroam

Mobilita a roaming v sítích národního výzkumu. Jan.Furman@CESNET.CZ

registrace Fyzické (tj. MAC) adresy

Ondřej Caletka. 13. března 2014

Připojení k bezdrátové síti eduroam na VFU Brno s počítačem se systémem Windows

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

PB169 Operační systémy a sítě

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Bezpečnější pošta aneb DANE for SMTP

WrapSix aneb nebojme se NAT64. Michal Zima.

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Informační manuál PŘIPOJENÍ K WIFI ČZU (zaměstnanci)

Návod pro připojení do sítě (LAN) pomocí kabelu pro MS Windows VISTA

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Návod na nastavení připojení k drátové síti na kolejích Jana Opletala pro operační systém MS Windows 10

Návod pro připojení do bezdrátové sítě eduroam pro MS Windows XP

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Ondřej Caletka. 21. října 2015

Desktop systémy Microsoft Windows

BCOP aneb jak správně nasazovat

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Co znamená IPv6 pro podnikovou informatiku.

Ondřej Caletka. 27. března 2014

Roamingová politika (verze )

Firewall. DMZ Server

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Instalační a uživatelská příručka

Nastavení MS Windows XP (SP2) pro připojení k eduroam na UTIA AVCR

Federativní přístup k autentizaci

NÁVOD K NASTAVENÍ BEZDRÁTOVÉ SÍTĚ FNUSA-GUEST PRO HOSPITALIZOVANÉ PACIENTY

Téma bakalářských a diplomových prací 2014/2015 řešených při

Návod pro Windows XP-OLD

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Připojení k bezdrátové síti eduroam na VFU Brno s mobilním telefonem se systémem Android

Transkript:

eduroam tajemství zbavený Ondřej Caletka 9. října 2016 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 1 / 35

O sdružení CESNET Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 2 / 35

Internet jako lidská potřeba Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 3 / 35

(Skoro) všichni chceme Wi-Fi rychlé a spolehlivé zdarma bez složité konfigurace bezpečné i v době LTE (specifický trh) zvláště pak v železobetonových katedrálách Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 4 / 35

Druhy Wi-Fi sítí nešifrovaná síť, přímý přístup snadno provozovatelné snadno použitelné velmi nebezpečné pro uživatele i provozovatele nešifrovaná síť, captive portál snadno provozovatelné obtížně použitelné velmi nebezpečné pro uživatele síť zabezpečená sdíleným WPA heslem snadno provozovatelné i použitelné velmi bezpečné pro uživatele síť zabezpečená pomocí 802.1X obtížně provozovatelné i použitelné velmi bezpečné Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 5 / 35

Když zaklepe policie anonymní Wi-Fi sítě fungují dobře, než jsou zneužity k páchání kyberkriminality provozovatelé mají (alespoň někde) odpovědnost za chování uživatelů ve své síti přinejmenším to je nepříjemnost provozování anonymní sítě jako alibi pro svou vlastní nelegální činnost nefunguje Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 6 / 35

Captive portály klient se připojí k nešifrované síti jeho komunikace je blokována a HTTP provoz unášen (!) směrem k autentizačnímu portálu po ověření jména a hesla je komunikace pro danou MAC adresu povolena Broken by design míchání autentizovaných a neautentizovaných uživatelů v jedné síti nekompatibilita s HTTPS (a IPv6, DNSSEC, atd.) nepříjemný uživatelský zážitek Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 7 / 35

Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 8 / 35

Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 9 / 35

Zapamatované nešifrované sítě většina zařízení si připojení k nešifrované síti pamatuje následně se snaží aktivně objevovat takovou síť útočník triviálně zachytí výzvy a vytvoří požadovanou síť na míru dostupná řešení např. Wi-Fi Pineapple Nikdy nenechávejte nešifrované sítě v seznamu oblíbených! Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 10 / 35

Projekt eduroam vznikl v roce 2002 v Nizozemsku, do ČR dorazil v roce 2004 problém pro akademiky, migrující mezi univerzitami bylo třeba nahlásit MAC adresy případně si zapůjčit správnou síťovou kartu myšlenka kooperace mezi akademickými provozovateli (bezdrátových) sítí reciproční princip kdo chce účet, musí poskytovat službu původně podpora 802.1x, VPN i captive portálů od 1. 10. 2007 zákaz captive portálů použití VPN nikdy pořádně nefungovalo řeší autentizaci, ne konektivitu (tu dodává hostitel) Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 11 / 35

Autentizace podle 802.1x klient se fyzicky připojí k síti, veškerý provoz je blokován autentikátor vyzve klienta protokolem EAP-over-LAN zprávy EAPOL jsou autentikátorem (typicky switch nebo AP) předávány autentizačnímu serveru supplicant uvnitř klienta komunikuje s autentizačním serverem při pozitivní odpovědi je klient vpuštěn do sítě Arran Cudbard-Bell, Wikimedia, FDL Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 12 / 35

Federace eduroam Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 13 / 35

Federace eduroam lokální uživatelé jsou odbaveni lokálně ostatní jsou směrováni pomocí realmu v uživatelském jménu EAP sezení je vždy navázáno od supplicanta k autentizačnímu serveru domovské organizace (IdP) pro uživatele není žádný rozdíl mezi domovskou a cizí organizací používané autentizační metody: EAP-TTLS/EAP-PEAP EAP-TLS vnější TLS tunel s autentizací serverového certifikátu vnitřní EAP ověření klienta (EAP-MSCHAPv2, EAP-PAP) vzájemná autentizace certifikáty Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 14 / 35

Vnější a vnitřní identita vnější (anonymní) identita vnitřní identita putuje v otevřené podobě slouží pro směrování k IdP v rámci federace identita uživatele může být anonymizovaná (např. anonymous@example.org) putuje uvnitř TLS tunelu k IdP slouží k autentizaci vidí ji jen IdP Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 15 / 35

Propojení RADIUS serverů RADIUS protokol používá UDP, šifruje pouze heslo sdíleným tajemstvím pro vyšší ochranu transportován v IPSec obtížná konfigurace nekompatibilní s překlady adres nutnost udržovat tunel naživu přechod na protokol RadSec RADIUS protokol tunelovaný v TLS/TCP vzájemná autentizace TLS certifikáty snadná konfigurace Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 16 / 35

Dynamické objevování RadSec hierarchický systém doménových jmen funguje dobře jen s cctld připojení organizací s realmem.eu nebo.edu obtížně škálovatelné použití NAPTR a SRV záznamů v DNS pro objevení RADIUS serveru pro daný realm (obdoba ENUM pro SIP) ověření příslušnosti k eduroamu TLS certifikátem vydaným konkrétní autoritou povinné pro gtld realmy, volitelné pro cctld zkrácení autentizační cesty, ideálně na SP IdP bez prostředníků idea Let s RadSec automatizovaně vydávat certifikáty s ověřením prostřednictvím existující hierarchie Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 17 / 35

eduroam v praxi Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 18 / 35

Problémy SP Dohledání majitele dané adresy 802.1x řeší jen přístup k síti zná pouze MAC adresu jen některá L2 zařízení registrují klientské IP(v4/v6) adresy v účtovacích datech je-li použit NAT, je třeba uchovávat informace o překladech Zablokování konkrétního uživatele je k dispozici pouze MAC adresa (tu může měnit) a vnější identita (ta může být společná pro všechny uživatele dané organizace) spolehlivé zablokování vyžaduje manuální komunikaci s IdP řešením je nový IdP atribut Chargeable-User-Identity Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 19 / 35

Problémy IdP Způsob autentizace, volba EAP protokolu nejčastěji heslem a EAP-MSCHAPv2 samostatné heslo bude uložené nechráněné v zařízeních generovat nebo nechat uživatele zvolit? podporovat/tolerovat anonymní vnější identity? Volba certifikátu pro autentizaci vnějšího TLS tunelu zvolenou CA je velmi obtížné změnit veřejné CA funguje out-of-the-box, ale nebezpečně privátní CA vyžaduje složitější konfiguraci, ale může být bezpečnější Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 20 / 35

Problémy uživatelů jak službu nakonfigurovat aby fungovala a aby byla bezpečná a aby to zvládl i běžný uživatel problematické ověřování vnějšího TLS tunelu Windows ve výchozím stavu vyžadují jakýkoli platný veřejný certifikát Apple používá TOFU přístup, vyvolá dialog pro ověření otisku ostatní ve výchozím stavu neověřují nic ideální správné nastavení důvěra v privátní CA, která vydává certifikáty pouze pro RADIUS důvěra ve veřejné PKI a explicitně konfigurované jméno serveru Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 21 / 35

Proč je ověřování certifikátu důležité kdokoli může nastavit své AP, aby vysílalo ESSID eduroam i když tím riskuje žalobu od GÉANT autentizaci nezapojí do eduroamu, ale otočí proti svému serveru klient nepozná, že nemluví s domovskou organizací v případě použití EAP-PAP je heslo okamžitě odcizeno MSCHAPv2 je dávno prolomený, získání hesla je otázkou max. hodin Obtížné ověření certifikátu supplicant nezná správné jméno serveru bez připojení nelze kontrolovat revokaci Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 22 / 35

Ověřování klientským certifikátem eliminuje možnost odcizit heslo obvykle velmi obtížné pro uživatele problém s velkými pakety ClientHello s certifikátem je velký některé tunely mohou mít menší MTU a vynucovat fragmentaci některé firewally blokují fragmenty autentizační výzva do domovské organizace nedoputuje v rámci ČR automaticky testováno Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 23 / 35

eduroam Configuration Assistant Tool nástroj pro snadnou a bezpečnou konfiguraci vychází z XML profilu, který publikuje IdP generuje instalátor pro konkrétní instituci a platformu Windows Vista+ OS X / macos Linux (funguje téměř všude!) Chrome OS Apple ios 5+ Android 4.3+ jediná možnost, jak v Androidu nastavit kontrolu jména serveru Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 24 / 35

Ruční konfigurace - WPA Supplicant network={ ssid="eduroam" key_mgmt=wpa-eap eap=peap identity="caletka@cesnet.cz" password=hash:012c9edfb06b543233745c9aff836490 ca_cert="/etc/ssl/certs/addtrust_external_root.pem" altsubject_match="dns:rad1.ces.net;dns:rad2.ces.net" } Získání hashe hesla ochrana před letmým pohledem $ python -c 'import getpass,hashlib; print(hashlib.new("md4", > getpass.getpass().encode("utf-16le")).hexdigest())' Password: CorrectHorseBatteryStaple 012c9edfb06b543233745c9aff836490 Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 25 / 35

Včelka Mája chybná konfigurace RADIUS serveru při neshodě realmu vnitřní identity předává autentizační zprávy dál uživatel z orgc navštíví orga s použitím anonymní identity orgb orga se mylně domnívá, že uživatel přichází z orgb orgc se mylně domnívá, že uživatel roamuje v orgb Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 26 / 35

Problematická signalizace vyhodnocování živosti realmů server konkrétního realmu přestane odpovídat klient přeposílá dotaz přes nadřazený server nadřazený server nemá jak odpovědět klient vyhodnotí nadřazený server jako nefunkční přestanou fungovat i jiné realmy špatné chování supplicanta nezobrazují uživateli důvod odmítnutí žádosti timeout odpovědi vyhodnotí jako špatné heslo neexistuje žádný způsob komunikace IdP/SP s uživatelem Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 27 / 35

Expirované účty při opuštění univerzity uživatelé zapomínají odkonfigurovat uložené účty vybíjí si baterii, kdykoli jsou v dosahu eduroamu pro autentizační servery žádný praktický problem situace se zhoršila se zálohou Wi-Fi sítí do cloudu Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 28 / 35

Kolize Wi-Fi sítí typický problém v kampusech jedna budova, 3 různé eduroamy každý poskytuje nezávislou IP konektivitu některá zařízení se trvale drží nesprávné sítě nemožnost vynutit použítí konkrétní sítě/technologie essid typu eduroam-5ghz, eduroam-cesnet rozbíjí roaming řešením může být HotSpot 2.0 Hot Spot 2.0 / Passpoint / 802.11u rozšíření metadat Wi-Fi AP možnost komunikace s uživatelem před autentizací možnost identifikovat asociaci nezávisle na essid Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 29 / 35

Příliš paranoidní SP organizace poskytující eduroam může připojovat uživatele dynamicky do různých sítí místní uživatelé mohou být připojování libovolně hosté by měli být připojování do sítě s přístupem alespoň k: HTTP/S, FTP SSH OpenVPN/IPSec/PPTP IPv6 in IPv4 SMTP/S, POP3/S, IMAP/S testovací účty by neměly mít přístup nikam Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 30 / 35

Matice dostupnosti https://ermon.cesnet.cz/matrix/index.html Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 31 / 35

Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 32 / 35

Projekt eduroom kompletní řešení pro nasazení eduroam SP v malých organizacích a na cestách postavené na komoditním hardwaru a OpenWRT automatický provisioning certifikátu i nastavení z projektu BeeSIP připojení k federaci pomocí RadSecproxy netflow sonda pro zaznamenávání překladů adres addrwatch pro zjišťování adres účastníků podpora IPv4 i IPv6 (podle hostitelské sítě) dálková správa a logování pomocí OpenVPN možnost LTE uplinku Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 33 / 35

Shrnutí captive portály jsou zlo 802.1x má slabá místa, ale poskytuje vysoký komfort nikdy nenechávejte nešifrované sítě v seznamu oblíbených vždy konfigurujte svůj eduroam účet bezpečně volte silné heslo ověřujte identitu svého IdP přednostně používejte nástroj https://cat.eduroam.org není-li vaše instituce v nabídce, požádejte správce svého IdP námět na start-up rozšířit koncept eduroam mimo akademickou obec konkurovat řešením postaveným na captive portálech využívat národní e-identity Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 34 / 35

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o.) eduroam tajemství zbavený 9. října 2016 35 / 35

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář