Зошто, за жал, безбедноста секогаш мора да биде комплицирана; посебна, нова лозинка за eduroam

За оние кои се заинтересирани за технологијата, еве ја „целата“ приказна за Android eduroam.

Дури и ако инфраструктурата врз која се заснова мрежата едуроам може да се смета за безбедна, недоволно имплементираните клиенти на Радиус во мобилните уреди може да ја нарушат реално безбедната околина. Во случај на безжични мрежи WLAN, клиентот секогаш мора да провери дали е поврзан со точната пристапна точка. Секој напаѓач може лесно да копира SSID (името на мрежата WLAN). Затоа отворените мрежни мрежи се секогаш опасни.

Клиентот никогаш не може да биде сигурен дека соодветната IP адреса е всушност вратена кога ќе се направи барање за DNS. Само оние кои комуницираат шифрирана преку https во отворени мрежи и всушност ги проверуваат сертификатите што се користат во оваа врска, можат да бидат сигурни дека се поврзани со правилниот сервер. Секој што ги игнорира предупредувањата за сертификати на Интернет, може, како и во реалниот живот, да биде избришан од измамници. Со конвенционално шифрирање WEP (процесот е несигурен) или WPA, лозинката позната и за клиентот и за пристапната точка обезбедува комуникација со „точната“ пристапна точка. Во мрежите на компании или универзитети, едноставната лозинка за WPA не е практична и затоа протоколот Radius влегува во игра. Првично дизајниран за автентикација во dial-up модем мрежи, Radius може да се користи и во WLAN мрежи со стандард 802.1X (првично наменет за LAN).

За безбедно да комуницирате со радиус сервер, методите TTLS (Tunneled TLS) и PEAP (Protected EAP) се користат во 802.1X (протокол за проширување за автентикација). И во двата случаи тоа е во основа безбеден тунел TLS бидејќи се користи и од https или слично за SSH конекции. Како и кај овие врски, сертификатот е одлучувачки и за Enterprise WPA (802.1X EAP).
Нема безбедна врска без проверка на сертификатот! Секој што ќе се откаже од сертификатите во едуроам WLAN е грубо несовесен!

мора

Сл. 1 Така е правилно конфигуриран едуроамот

Патем, единствениот идентификатор се пренесува само во тунелот, т.е. Х. ако корисник на UDE z. Б. е на пат кај ТУ Дортмунд, колегите таму го гледаат само надворешниот анонимен идентитет, кој според нашите упатства треба да биде „[email protected]“. Суфиксот „uni-due.de“ е важен за да може барањето да се пренасочи на нашиот Radius сервер преку серверот Radius на DFN-Verein. Во рамките на безбедниот тунел, проверката може да се одвива со јасна текстуална лозинка (PAP) или, многу посигурно, со MSCHAPv2. Со MSCHAPv2, се разменуваат само хаши (предизвик/одговор), лозинката за обичен текст никогаш не се пренесува. Сепак, MSCHAPv2, кој е базиран на застарен метод за шифрирање DES, е ранлив. Автентикацијата на обичен текст со PAP повеќе не треба да се препорачува во какви било упатства за конфигурација!

Покрај безбедносниот јаз (1) опишан од DFN-Verein во клиентот Android Radius при конфигурирање на повеќе Enterprise WPA WLAN профили, што е невообичаен случај - само неколку од нашите клиенти имаат свој радиус сервер дома - има и други безбедносни празнини што може да се искористи со недоволно конфигурирани клиенти. Напад врз еден наш клиент беше извршен во мај 2014 година со експлоататорот „PEAP-ing TOM“ (3,4). Ова експлоатирање може да напаѓа само уреди кои се слабо конфигурирани. Изменет радиус сервер предизвикува клиентот Андроид да ја издаде својата лозинка преку ГТЦ (генеричка картичка за токени, еднократна лозинка).

За да бидете ранливи на PEAPing TOM, доволно е да не внесувате root-сертификат или метод за проверка на фаза 2 во конфигурацијата на Android WLAN (види слика 2).

Сл. 2: подолу: Не вака! Ранлив профил на Андроид - горе: алатка за напад

За жал, Андроид (во сите верзии, само Андроид 5 е безбеден), дури и со правилно конфигуриран пристап до едуроам, им верува на сите сертификати под коренот на Дојче Телеком и не само на сертификатите на нашите сервери Радиус. Опишаниот напад би работел и доколку напаѓачот има валиден сертификат под коренот на Телеком (2). Ниту MSCHAPv2 во внатрешниот тунел не помага сигурно, бидејќи ова е исто така ранливо (5). Сите наши упатства за конфигурација на eduroam за Android се ажурирани од пролетта 2014 година. Сепак, не можеме да гарантираме дека клиенти со погрешна конфигурација сè уште не се на пат. Поради големиот број мобилни клиенти чиј интегритет не може секогаш да се провери, ни беше логично да воведеме посебна лозинка за WLAN. За таа цел, беа прилагодени и административната администрација на AUM и серверот Radius.

Како реакција на безбедносните празнини на Андроид, сите центри за податоци на УАР заеднички планираат да воведат изборна посебна лозинка за едуроам. За преоден период, ќе биде можно да се продолжи со користење на претходната лозинка што одговара на uni-ID за eduroam. Ако клиентот конфигурира посебна лозинка, ова ќе се користи само за проверка на eduroam. На среден рок, центрите за податоци на УАР се стремат кон автентикација со лични сертификати.