Was ist eduroam?<\/h2>\n\n- Begriff setzt sich aus englischem „Edu<\/b>cation“ und „Roam<\/b>ing“ zusammen<\/li>\n
- Initiative, die Internetzugang f\u00fcr Forschungs- und Bildungseinrichtungen (\u201cEducation\u201d) bereitstellt<\/li>\n
- Zugang \u00fcber WLAN, Kabel bei Bedarf auch m\u00f6glich<\/li>\n
- an manchen Institutionen Zugriff auf weitere Ressourcen<\/li>\n
- Simple + Easy + Secure<\/b><\/li>\n
- „Sign in once and access wherever you are“<\/i>\u00a0„Open your laptop and be online.“<\/i>\n
\n- einmalige Anmeldung bietet Zugang zu allen verf\u00fcgbaren Hotspots des Eduroam WLANs<\/li>\n
- Log-in mit Daten der Heimateinrichtung \u2192 kein Gastzugang notwendig<\/li>\n
- keine zus\u00e4tzlichen Kosten<\/li>\n<\/ul>\n<\/li>\n
- basiert auf sichersten Verschl\u00fcsselungs- und Authentifizierungs-Standards<\/li>\n
- viel sicherer als typische \u00f6ffentliche Hotspots<\/li>\n
- Benutzeranmeldeinformationen nicht f\u00fcr besuchte Website freigegeben, sondern an Heimatinstitution weitergeleitet und dort validiert<\/li>\n<\/ul>\n
<\/a><\/p>\nWie hat sich eduroam ausgebreitet?<\/h2>\n\n- 2002 von \u201eG\u00c9ANT\u201c (Forschungs- und Bildungsnetzwerk Community in Europa) ins Leben gerufen<\/li>\n
- 2003 in 6 L\u00e4ndern gestartet (Niederlande, Deutschland, Finnland, Portugal, Kroatien, UK)<\/li>\n
- danach noch mehr europ\u00e4ische L\u00e4nder<\/li>\n
- Ende 2004 erstes nicht-europ\u00e4ische Land (Australien)<\/li>\n
- Mittlerweile in 106 L\u00e4ndern , insgesamt \u00fcber 10 000 Standorte<\/li>\n
- in 16 L\u00e4ndern schon Pilot Projekte<\/li>\n<\/ul>\n
![\"Verf\u00fcgbarkeit](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/01\/whereeduroam.png\")
Verf\u00fcgbarkeit von Eduroam
dunkelblau:<\/b> eduroam vorhanden grau:<\/b> eduroam nicht vorhanden hellblau:<\/b> Pilotprojekt<\/p>\nQuelle: https:\/\/www.eduroam.org\/where\/<\/a><\/p>\n<\/em><\/figcaption><\/figure>\n
\n- in Afrika noch gro\u00dfe L\u00fccken<\/li>\n
- Karte sagt nichts \u00fcber Abdeckung innerhalb der L\u00e4nder<\/li>\n<\/ul>\n
<\/a><\/p>\nWie wird eduroam verwaltet?<\/h2>\n\n- G\u00c9ANT hauptverantwortlich f\u00fcr eduroam\n
\n- koordiniert und unterst\u00fctzt GeGC (Global eduroam Governance Committee)<\/li>\n
- arbeitet kontinuierlich an Verbesserung der Technologie und Sicherheit rund um eduroam<\/li>\n<\/ul>\n<\/li>\n
- GeGC\n
\n- besteht aus einigen wenigen (insgesamt 15) Repr\u00e4sentanten der Roaming Betreiber in den Regionen<\/li>\n
- hat Compliance Statement formuliert<\/li>\n
- setzt technologische und organisatorische Standards f\u00fcr Roaming Betreiber<\/li>\n
- k\u00fcmmert sich um Einhaltung, \u00dcberarbeitung des Compliance Statements, neue Mitglieder die unterschreiben<\/li>\n<\/ul>\n<\/li>\n
- jedes Land eigenen Partner von eduroam, einen Roaming Anbieter, der Compliance Statement unterschreibt\n
\n- Deutschland: DFN (Verein zur F\u00f6rderung eines Deutschen Forschungsnetzes)<\/li>\n
- k\u00fcmmert sich um Einrichtung von eduroam im eigenen Land und Einhaltung der Standards<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
![\"Verwaltung](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/01\/eduroamverwaltung.png\")
Verwaltung von Eduroam
Quelle: Eigene Abbildung<\/em><\/figcaption><\/figure>\n<\/a><\/p>\nTechnischer Hintergrund<\/h1>\n\n- Weltweiter Aufbau aus verschiedenen Ebenen von RADIUS Servern<\/li>\n
- RADIUS: Client-Server-Protokoll zur Authentifizierung, Autorisierung und zum Accounting von Nutzern in Netzwerken<\/li>\n<\/ul>\n
<\/a><\/p>\nInfrastruktur<\/h2>\n\n- Confederation top-level RADIUS Server (TLR)<\/li>\n
- Federation-Level RADIUS Server (FLR)<\/li>\n
- Identity Provider (IdP) und Service Provider (SP)<\/li>\n<\/ul>\n
<\/a><\/p>\nTLR<\/h3>\n\n- Zust\u00e4ndig f\u00fcr gro\u00dfe geografische Bereiche (Europa: D\u00e4nemark und Niederlande, Asien + Pazifik: Australien und Hongkong)<\/li>\n
- Leitet Anfragen an FLRs im eigenen Zust\u00e4ndigkeitsbereich oder an andere TLRs weiter<\/li>\n<\/ul>\n
<\/a><\/p>\nFLR<\/h3>\n\n- Zust\u00e4ndig f\u00fcr alle RADIUS Domains der zugeh\u00f6rigen top-level-domain<\/li>\n
- z.B. FLR f\u00fcr Deutschland: zust\u00e4ndig f\u00fcr alle *.de Server (kann zus\u00e4tzlich auch f\u00fcr einige andere Domains anderer top-level-domains wie .com, .net, .org zust\u00e4ndig sein)<\/li>\n
- Akzeptiert Anfragen von TLRs und den zugeh\u00f6rigen IdPs\/SPs und leitet diese weiter<\/li>\n<\/ul>\n
<\/a><\/p>\nIdP + SP<\/h3>\n\n- RADIUS Server der eigentlichen Institutionen<\/li>\n
- IdPs sind f\u00fcr Authentifikation der User zust\u00e4ndig, nutzen Identity Management Systeme der Institutionen<\/li>\n
- SPs stellen \u00fcber Access Points oder Switches die eigentliche Netzwerkverbindung zum Nutzer her und leiten Anfragen weiter<\/li>\n<\/ul>\n
<\/a><\/p>\nBeispiel Anfrage<\/h2>\n![\"Eduroam](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/01\/Eduroam_Nutzer_Anfrage.png\")
Eduroam Nutzer Anfrage, Quelle: Eigene Abbildung<\/em><\/figcaption><\/figure>\nHTWK Student mit @htwk-leipzig.de Benutzernamen meldet sich im eduroam einer Uni in Tokyo an:<\/p>\n
\n- Ger\u00e4t des Nutzers verbindet sich mit Access Point im WLAN<\/li>\n
- Anfrage an SP der Uni in Tokyo<\/li>\n
- Weiterleitung an FLR Japan, da kein Uni Tokyo Nutzer<\/li>\n
- Weiterleitung an TLR Hongkong, da nicht f\u00fcr .de top-level-domain zust\u00e4ndig<\/li>\n
- Weiterleitung an TLR Niederlande, da .de im Zust\u00e4ndigkeitsbereich des TLR Europas liegt<\/li>\n
- Weiterleitung an FLR Deutschland, da .de Domain<\/li>\n
- Weiterleitung an IdP HTWK, da @htwk-leipzig Nutzer<\/li>\n
- Authentifizierung und gleicher Weg zur\u00fcck<\/li>\n<\/ol>\n
<\/a><\/p>\nSoftware<\/h2>\n\n- keine spezifische Software vorausgesetzt<\/li>\n
- muss lediglich die Spezifikationen erf\u00fcllen<\/li>\n
- f\u00fcr FLR Server z.B. Radiator<\/li>\n
- f\u00fcr SP Server z.B. FreeRADIUS<\/li>\n<\/ul>\n
<\/a><\/p>\nSicherheit<\/h1>\n\n- sichere \u00dcbertragung der User Authentifizierungsinformationen vom Service Provider (SP) zum Identity Provider (IdP)<\/li>\n
- Voraussetzungen f\u00fcr genutzte EAP Methoden:\n
\n- gegenseitige Authentifizierung (Login \u00fcberall m\u00f6glich)<\/li>\n
- Verschl\u00fcsselung der Anmeldedaten (nur f\u00fcr den IdP sichtbar)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\nGenutzte EAP Methoden<\/h2>\n\n- EAP (Extensible Authentication Protocol)\n
\n- von der Internet Engineering Task Force (IETF) entwickeltes, allgemeines Authentifizierungsprotokoll<\/li>\n
- bietet generische Unterst\u00fctzung bei der Authentifizierung, d. h. der Einwahl in ein fremdes Netzwerk<\/li>\n
- man muss sich nicht bei jeder neuen Authentifizierung um die Infrastruktur k\u00fcmmern und sie aktualisieren<\/li>\n<\/ul>\n<\/li>\n
- PEAP (Protected EAP)\n
\n- Microsoft Protokoll, welches einen TLS Tunnel verwendet und dadurch Nutzername und Passwort in MS-CHAPv2 (Challenge-Handshake Authentication Protocol) hashes versendet<\/li>\n
- Protokoll, das das EAP (Extensible Authentication Protocol) in einem verschl\u00fcsselten und authentifizierten TLS-Tunnel (Transport Layer Security) kapselt\n
\n- Ziel: M\u00e4ngel im EAP zu beheben<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n
- TLS (Transport Layer Security)\n
\n- IETF Protokoll, welches den Nutzer und den IdP mit zwei X.509 Zertifikaten authentifiziert<\/li>\n
- basiert auf TLS Handshake und TLS Record<\/li>\n
- TLS Handshake: sicherer Schl\u00fcsselaustausch & Authentisierung<\/li>\n
- TLS Record verwendet den im TLS Handshake ausgehandelten symmetrischen Schl\u00fcssel f\u00fcr eine sichere Daten\u00fcbertragung<\/li>\n<\/ul>\n<\/li>\n
- TTLS (Tunneled TLS)\n
\n- IETF (Internet Engineering Task Force) Protokoll, welches einen TLS Tunnel verwendet und dadurch Nutzername und Passwort in vielfach konfigurierbaren Formaten versendet<\/li>\n<\/ul>\n<\/li>\n
- FAST (Flexible Authentication via Secure Tunneling)\n
\n- ein Cisco Protokoll, welches einen TLS Tunnel verwendet und dadurch Nutzername und Passwort auf eine benutzerdefinierte Art versendet<\/li>\n
- nutzt das TLS Handshake Protokoll<\/li>\n
- Phase 1: EAP-FAST verwendet den TLS-Handshake, um einen authentifizierten Schl\u00fcsselaustausch bereitzustellen und einen gesch\u00fctzten Tunnel einzurichten<\/li>\n
- Phase 2: Sobald der Tunnel eingerichtet ist beginnen Peer und Server weitere Gespr\u00e4che zu f\u00fchren, um die erforderlichen Authentifizierungs- und Autorisierungsrichtlinien festzulegen.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\nUmgang mit Nutzerinformationen<\/h2>\n\n- Unsichtbarkeit des \u201cechten\u201d Nutzernamen im RADIUS<\/li>\n
- Nutzung von \u00e4u\u00dferer & innerer Identit\u00e4t\n
\n- \u00e4u\u00dfere Identit\u00e4t: sichtbarer \u201cNutzername\u201d im RADIUS und f\u00fcr weitere teilnehmende Parteien<\/li>\n
- innere Identit\u00e4t: eigentliche Nutzer-Informationen, nur sichtbar f\u00fcr den Nutzer selbst und den IdP<\/li>\n
- der IdP entschl\u00fcsselt den TLS Tunnel und erh\u00e4lt so Zugriff auf die innere Identit\u00e4t, die Nutzer-Informationen, um den Nutzer zu authentifizieren<\/li>\n
- nach erfolgreicher Authentifizierung durch den IdP und die Autorisierung durch den SP gew\u00e4hrt der SP dem Nutzer den Netzwerkzugang<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\nSicherheitskomponente Endnutzer<\/h2>\n\n- Ger\u00e4t muss WPA2\/AES wireless encryption, IEEE 802.1X authentication und von Institution verwendete EAP (Authentifizierungsprotokoll) Methode unterst\u00fctzen<\/li>\n
- Einrichtung f\u00fcr jede Institution spezifisch<\/li>\n
- Institutionen stellen „eduroam Configuration Assistant Tool (CAT)“ Installer f\u00fcr verschiedene Ger\u00e4te bereit, die komplette Einrichtung \u00fcbernehmen<\/li>\n<\/ul>\n
<\/a><\/p>\nProblem<\/h3>\n\n- Fehlerhafte Einrichtung eines CA Zertifikats durch den Endnutzer<\/li>\n
- Gro\u00dfe Menge von unterschiedlichen Endger\u00e4ten und Betriebssystemen\n
\n- Hersteller setzen auf schnelle Internetverbindung statt ausreichenden Schutz\n
\n- Verzicht auf die Verifizierung des Zertifikats<\/li>\n
- denn: Usability geht vor!<\/li>\n<\/ul>\n<\/li>\n
- nicht f\u00fcr jedes Ger\u00e4te\/Betriebssystem automatisierte Einrichtung angeboten\n
\n- ungeschulten Nutzer haben kein Vorwissen zur korrekten Einrichtung\n
\n- -> Selbst wenn sich ein Endger\u00e4t sicher konfigurieren l\u00e4sst, ist fraglich, ob der Endnutzer die Risiken und die technischen Grundlagen versteht und die Einstellungen korrekt vornimmt.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\nFolge<\/h3>\n\n- Fehlende oder fehlerhafte Einrichtung eines CA Zertifikats<\/li>\n
- Endger\u00e4t pr\u00fcft die G\u00fcltigkeit des Zertifikats nicht\n
\n- Passworte der Benutzer k\u00f6nnen durch \u201eRogue Access Points\u201c oder \u201eEvil Twins\u201c mit der SSID \u201eEduroam\u201c gestohlen werden<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\nM\u00f6gliche Gegenma\u00dfnahmen<\/h3>\n\n- Schulung der Nutzer (\u201cSichere\u201d Konfiguration der Endger\u00e4te\u201d)<\/li>\n
- Beschr\u00e4nkung auf Ger\u00e4te mit \u201csicherer\u201d Implementierung<\/li>\n<\/ul>\n
<\/a><\/p>\nBetrieblicher Kontext<\/h1>\n
<\/a><\/p>\nKostenbetrachtung<\/h2>\n\n- Eduroam WLAN verfolgt keine Gewinnerzielungsabsichten<\/li>\n
- alle nutzungsbasierten Kosten obliegen den teilnehmenden Institutionen:\n
\n- Fixkosten\n
\n- Infrastruktur f\u00fcr u.a. WLAN, Server usw.<\/li>\n
- Personalkosten f\u00fcr Betrieb und Wartung<\/li>\n<\/ul>\n<\/li>\n
- Variable Kosten\n
\n- Nutzungsgeb\u00fchren Eduroam<\/li>\n
- Lizenzkosten in Abh\u00e4ngigkeit der Nutzerzahlen (Produktabh\u00e4ngig)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\nWLAN Roaming in der betrieblichen Praxis am Beispiel der Deutschen Telekom<\/h2>\n![\"WLAN](\"https:\/\/informatik.htwk-leipzig.de\/seminar\/wp-content\/uploads\/2021\/01\/vgl_Eduroam_TD.jpg\")
WLAN Telekom, Quelle: Telekom AG: DT Halbjahresbericht 2020; Abgerufen am 20.11.2020 unter https:\/\/www.telekom.com\/de\/investor-relations\/finanzpublikationen<\/a><\/em>
<\/figcaption><\/figure>\n<\/a><\/p>\nZiele & Zukunftsvisionen<\/h1>\n\n- L\u00fccken in der weltweiten Abdeckung im Bildungsbereich schlie\u00dfen (siehe Pilotprojekte)<\/li>\n
- Eine hohe Abdeckung in den teilnehmenden L\u00e4ndern gew\u00e4hrleisten<\/li>\n
- Eduroam ist ein Gr\u00fcndungsmitglied der OpenRoaming – Initiative\n
\n- Ziel von OpenRoaming: Millionen Netzwerke weltweit verbinden<\/li>\n
- keine Einschr\u00e4nkung auf Bildungseinrichtungen<\/li>\n
- nahtloser \u00dcbergang von WLAN zu WLAN<\/li>\n
- keine Anmeldebarrieren<\/li>\n
- h\u00f6here Sicherheit als \u00f6ffentliche Netzwerke<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\nQuellenverzeichnis<\/h1>\n
Bunsen, G. (2016): Eingrenzung von Risiken durch Diebstahl von EduroamCredentials. In P. M\u00fcller, B. Neumair, H. Reiser, & G. Dreo, 9. DFN-Forum Kommunikationstechnologien (pp. 107\u2013113). Bonn: Gesellschaft f\u00fcr Informatik e.V. (GI).<\/p>\n
DFN (2018): eduroam, [online]\u00a0https:\/\/www.dfn.de\/dienstleistungen\/eduroam\/<\/a>\u00a0 [18.11.2020].<\/p>\neduroam (2020): eduroam,<\/a> [online] https:\/\/www.eduroam.org\/<\/a> [18.11.2020].<\/p>\nG\u00e9ant (o.J.): eduroam, [online] https:\/\/www.geant.org\/Services\/Trust_identity_and_security\/Pages\/eduroam.aspx<\/a> [18.11.2020].<\/p>\nG\u00e9ant Wiki: eduroam, [online] https:\/\/wiki.geant.org\/pages\/viewpage.action?pageId=121346286<\/a> [18.11.2020].<\/p>\nTelekom AG: DT Halbjahresbericht 2020 ; Abgerufen am 20.11.2020 unter\u00a0https:\/\/www.telekom.com\/de\/investor-relations\/finanzpublikationen.<\/a><\/p>\nSebastian Brenza, Andre Pawlowski, and Christina P\u00f6pper. (2015). A practical investigation of identity theft vulnerabilities in Eduroam. In Proceedings of the 8th ACM Conference on Security & Privacy in Wireless and Mobile Networks (WiSec ’15). Association for Computing Machinery, New York, NY, USA, Article 14, 1\u201311. DOI:https:\/\/doi.org\/10.1145\/2766498.2766512<\/a><\/p>\n <\/p>\n
Vortragsfolien<\/strong><\/h1>\n
- \n
- einmalige Anmeldung bietet Zugang zu allen verf\u00fcgbaren Hotspots des Eduroam WLANs<\/li>\n
- Log-in mit Daten der Heimateinrichtung \u2192 kein Gastzugang notwendig<\/li>\n
- keine zus\u00e4tzlichen Kosten<\/li>\n<\/ul>\n<\/li>\n
- basiert auf sichersten Verschl\u00fcsselungs- und Authentifizierungs-Standards<\/li>\n
- viel sicherer als typische \u00f6ffentliche Hotspots<\/li>\n
- Benutzeranmeldeinformationen nicht f\u00fcr besuchte Website freigegeben, sondern an Heimatinstitution weitergeleitet und dort validiert<\/li>\n<\/ul>\n
<\/a><\/p>\n
Wie hat sich eduroam ausgebreitet?<\/h2>\n
- \n
- 2002 von \u201eG\u00c9ANT\u201c (Forschungs- und Bildungsnetzwerk Community in Europa) ins Leben gerufen<\/li>\n
- 2003 in 6 L\u00e4ndern gestartet (Niederlande, Deutschland, Finnland, Portugal, Kroatien, UK)<\/li>\n
- danach noch mehr europ\u00e4ische L\u00e4nder<\/li>\n
- Ende 2004 erstes nicht-europ\u00e4ische Land (Australien)<\/li>\n
- Mittlerweile in 106 L\u00e4ndern , insgesamt \u00fcber 10 000 Standorte<\/li>\n
- in 16 L\u00e4ndern schon Pilot Projekte<\/li>\n<\/ul>\n
Verf\u00fcgbarkeit von Eduroam
dunkelblau:<\/b> eduroam vorhanden grau:<\/b> eduroam nicht vorhanden hellblau:<\/b> Pilotprojekt<\/p>\nQuelle: https:\/\/www.eduroam.org\/where\/<\/a><\/p>\n
<\/em><\/figcaption><\/figure>\n
- \n
- in Afrika noch gro\u00dfe L\u00fccken<\/li>\n
- Karte sagt nichts \u00fcber Abdeckung innerhalb der L\u00e4nder<\/li>\n<\/ul>\n
<\/a><\/p>\n
Wie wird eduroam verwaltet?<\/h2>\n
- \n
- G\u00c9ANT hauptverantwortlich f\u00fcr eduroam\n
- \n
- koordiniert und unterst\u00fctzt GeGC (Global eduroam Governance Committee)<\/li>\n
- arbeitet kontinuierlich an Verbesserung der Technologie und Sicherheit rund um eduroam<\/li>\n<\/ul>\n<\/li>\n
- GeGC\n
- \n
- besteht aus einigen wenigen (insgesamt 15) Repr\u00e4sentanten der Roaming Betreiber in den Regionen<\/li>\n
- hat Compliance Statement formuliert<\/li>\n
- setzt technologische und organisatorische Standards f\u00fcr Roaming Betreiber<\/li>\n
- k\u00fcmmert sich um Einhaltung, \u00dcberarbeitung des Compliance Statements, neue Mitglieder die unterschreiben<\/li>\n<\/ul>\n<\/li>\n
- jedes Land eigenen Partner von eduroam, einen Roaming Anbieter, der Compliance Statement unterschreibt\n
- \n
- Deutschland: DFN (Verein zur F\u00f6rderung eines Deutschen Forschungsnetzes)<\/li>\n
- k\u00fcmmert sich um Einrichtung von eduroam im eigenen Land und Einhaltung der Standards<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
Verwaltung von Eduroam
Quelle: Eigene Abbildung<\/em><\/figcaption><\/figure>\n<\/a><\/p>\n
Technischer Hintergrund<\/h1>\n
- \n
- Weltweiter Aufbau aus verschiedenen Ebenen von RADIUS Servern<\/li>\n
- RADIUS: Client-Server-Protokoll zur Authentifizierung, Autorisierung und zum Accounting von Nutzern in Netzwerken<\/li>\n<\/ul>\n
<\/a><\/p>\n
Infrastruktur<\/h2>\n
- \n
- Confederation top-level RADIUS Server (TLR)<\/li>\n
- Federation-Level RADIUS Server (FLR)<\/li>\n
- Identity Provider (IdP) und Service Provider (SP)<\/li>\n<\/ul>\n
<\/a><\/p>\n
TLR<\/h3>\n
- \n
- Zust\u00e4ndig f\u00fcr gro\u00dfe geografische Bereiche (Europa: D\u00e4nemark und Niederlande, Asien + Pazifik: Australien und Hongkong)<\/li>\n
- Leitet Anfragen an FLRs im eigenen Zust\u00e4ndigkeitsbereich oder an andere TLRs weiter<\/li>\n<\/ul>\n
<\/a><\/p>\n
FLR<\/h3>\n
- \n
- Zust\u00e4ndig f\u00fcr alle RADIUS Domains der zugeh\u00f6rigen top-level-domain<\/li>\n
- z.B. FLR f\u00fcr Deutschland: zust\u00e4ndig f\u00fcr alle *.de Server (kann zus\u00e4tzlich auch f\u00fcr einige andere Domains anderer top-level-domains wie .com, .net, .org zust\u00e4ndig sein)<\/li>\n
- Akzeptiert Anfragen von TLRs und den zugeh\u00f6rigen IdPs\/SPs und leitet diese weiter<\/li>\n<\/ul>\n
<\/a><\/p>\n
IdP + SP<\/h3>\n
- \n
- RADIUS Server der eigentlichen Institutionen<\/li>\n
- IdPs sind f\u00fcr Authentifikation der User zust\u00e4ndig, nutzen Identity Management Systeme der Institutionen<\/li>\n
- SPs stellen \u00fcber Access Points oder Switches die eigentliche Netzwerkverbindung zum Nutzer her und leiten Anfragen weiter<\/li>\n<\/ul>\n
<\/a><\/p>\n
Beispiel Anfrage<\/h2>\n
Eduroam Nutzer Anfrage, Quelle: Eigene Abbildung<\/em><\/figcaption><\/figure>\n HTWK Student mit @htwk-leipzig.de Benutzernamen meldet sich im eduroam einer Uni in Tokyo an:<\/p>\n
- \n
- Ger\u00e4t des Nutzers verbindet sich mit Access Point im WLAN<\/li>\n
- Anfrage an SP der Uni in Tokyo<\/li>\n
- Weiterleitung an FLR Japan, da kein Uni Tokyo Nutzer<\/li>\n
- Weiterleitung an TLR Hongkong, da nicht f\u00fcr .de top-level-domain zust\u00e4ndig<\/li>\n
- Weiterleitung an TLR Niederlande, da .de im Zust\u00e4ndigkeitsbereich des TLR Europas liegt<\/li>\n
- Weiterleitung an FLR Deutschland, da .de Domain<\/li>\n
- Weiterleitung an IdP HTWK, da @htwk-leipzig Nutzer<\/li>\n
- Authentifizierung und gleicher Weg zur\u00fcck<\/li>\n<\/ol>\n
<\/a><\/p>\n
Software<\/h2>\n
- \n
- keine spezifische Software vorausgesetzt<\/li>\n
- muss lediglich die Spezifikationen erf\u00fcllen<\/li>\n
- f\u00fcr FLR Server z.B. Radiator<\/li>\n
- f\u00fcr SP Server z.B. FreeRADIUS<\/li>\n<\/ul>\n
<\/a><\/p>\n
Sicherheit<\/h1>\n
- \n
- sichere \u00dcbertragung der User Authentifizierungsinformationen vom Service Provider (SP) zum Identity Provider (IdP)<\/li>\n
- Voraussetzungen f\u00fcr genutzte EAP Methoden:\n
- \n
- gegenseitige Authentifizierung (Login \u00fcberall m\u00f6glich)<\/li>\n
- Verschl\u00fcsselung der Anmeldedaten (nur f\u00fcr den IdP sichtbar)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\n
Genutzte EAP Methoden<\/h2>\n
- \n
- EAP (Extensible Authentication Protocol)\n
- \n
- von der Internet Engineering Task Force (IETF) entwickeltes, allgemeines Authentifizierungsprotokoll<\/li>\n
- bietet generische Unterst\u00fctzung bei der Authentifizierung, d. h. der Einwahl in ein fremdes Netzwerk<\/li>\n
- man muss sich nicht bei jeder neuen Authentifizierung um die Infrastruktur k\u00fcmmern und sie aktualisieren<\/li>\n<\/ul>\n<\/li>\n
- PEAP (Protected EAP)\n
- \n
- Microsoft Protokoll, welches einen TLS Tunnel verwendet und dadurch Nutzername und Passwort in MS-CHAPv2 (Challenge-Handshake Authentication Protocol) hashes versendet<\/li>\n
- Protokoll, das das EAP (Extensible Authentication Protocol) in einem verschl\u00fcsselten und authentifizierten TLS-Tunnel (Transport Layer Security) kapselt\n
- \n
- Ziel: M\u00e4ngel im EAP zu beheben<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n
- TLS (Transport Layer Security)\n
- \n
- IETF Protokoll, welches den Nutzer und den IdP mit zwei X.509 Zertifikaten authentifiziert<\/li>\n
- basiert auf TLS Handshake und TLS Record<\/li>\n
- TLS Handshake: sicherer Schl\u00fcsselaustausch & Authentisierung<\/li>\n
- TLS Record verwendet den im TLS Handshake ausgehandelten symmetrischen Schl\u00fcssel f\u00fcr eine sichere Daten\u00fcbertragung<\/li>\n<\/ul>\n<\/li>\n
- TTLS (Tunneled TLS)\n
- \n
- IETF (Internet Engineering Task Force) Protokoll, welches einen TLS Tunnel verwendet und dadurch Nutzername und Passwort in vielfach konfigurierbaren Formaten versendet<\/li>\n<\/ul>\n<\/li>\n
- FAST (Flexible Authentication via Secure Tunneling)\n
- \n
- ein Cisco Protokoll, welches einen TLS Tunnel verwendet und dadurch Nutzername und Passwort auf eine benutzerdefinierte Art versendet<\/li>\n
- nutzt das TLS Handshake Protokoll<\/li>\n
- Phase 1: EAP-FAST verwendet den TLS-Handshake, um einen authentifizierten Schl\u00fcsselaustausch bereitzustellen und einen gesch\u00fctzten Tunnel einzurichten<\/li>\n
- Phase 2: Sobald der Tunnel eingerichtet ist beginnen Peer und Server weitere Gespr\u00e4che zu f\u00fchren, um die erforderlichen Authentifizierungs- und Autorisierungsrichtlinien festzulegen.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\n
Umgang mit Nutzerinformationen<\/h2>\n
- \n
- Unsichtbarkeit des \u201cechten\u201d Nutzernamen im RADIUS<\/li>\n
- Nutzung von \u00e4u\u00dferer & innerer Identit\u00e4t\n
- \n
- \u00e4u\u00dfere Identit\u00e4t: sichtbarer \u201cNutzername\u201d im RADIUS und f\u00fcr weitere teilnehmende Parteien<\/li>\n
- innere Identit\u00e4t: eigentliche Nutzer-Informationen, nur sichtbar f\u00fcr den Nutzer selbst und den IdP<\/li>\n
- der IdP entschl\u00fcsselt den TLS Tunnel und erh\u00e4lt so Zugriff auf die innere Identit\u00e4t, die Nutzer-Informationen, um den Nutzer zu authentifizieren<\/li>\n
- nach erfolgreicher Authentifizierung durch den IdP und die Autorisierung durch den SP gew\u00e4hrt der SP dem Nutzer den Netzwerkzugang<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\n
Sicherheitskomponente Endnutzer<\/h2>\n
- \n
- Ger\u00e4t muss WPA2\/AES wireless encryption, IEEE 802.1X authentication und von Institution verwendete EAP (Authentifizierungsprotokoll) Methode unterst\u00fctzen<\/li>\n
- Einrichtung f\u00fcr jede Institution spezifisch<\/li>\n
- Institutionen stellen „eduroam Configuration Assistant Tool (CAT)“ Installer f\u00fcr verschiedene Ger\u00e4te bereit, die komplette Einrichtung \u00fcbernehmen<\/li>\n<\/ul>\n
<\/a><\/p>\n
Problem<\/h3>\n
- \n
- Fehlerhafte Einrichtung eines CA Zertifikats durch den Endnutzer<\/li>\n
- Gro\u00dfe Menge von unterschiedlichen Endger\u00e4ten und Betriebssystemen\n
- \n
- Hersteller setzen auf schnelle Internetverbindung statt ausreichenden Schutz\n
- \n
- Verzicht auf die Verifizierung des Zertifikats<\/li>\n
- denn: Usability geht vor!<\/li>\n<\/ul>\n<\/li>\n
- nicht f\u00fcr jedes Ger\u00e4te\/Betriebssystem automatisierte Einrichtung angeboten\n
- \n
- ungeschulten Nutzer haben kein Vorwissen zur korrekten Einrichtung\n
- \n
- -> Selbst wenn sich ein Endger\u00e4t sicher konfigurieren l\u00e4sst, ist fraglich, ob der Endnutzer die Risiken und die technischen Grundlagen versteht und die Einstellungen korrekt vornimmt.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\n
Folge<\/h3>\n
- \n
- Fehlende oder fehlerhafte Einrichtung eines CA Zertifikats<\/li>\n
- Endger\u00e4t pr\u00fcft die G\u00fcltigkeit des Zertifikats nicht\n
- \n
- Passworte der Benutzer k\u00f6nnen durch \u201eRogue Access Points\u201c oder \u201eEvil Twins\u201c mit der SSID \u201eEduroam\u201c gestohlen werden<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\n
M\u00f6gliche Gegenma\u00dfnahmen<\/h3>\n
- \n
- Schulung der Nutzer (\u201cSichere\u201d Konfiguration der Endger\u00e4te\u201d)<\/li>\n
- Beschr\u00e4nkung auf Ger\u00e4te mit \u201csicherer\u201d Implementierung<\/li>\n<\/ul>\n
<\/a><\/p>\n
Betrieblicher Kontext<\/h1>\n
<\/a><\/p>\n
Kostenbetrachtung<\/h2>\n
- \n
- Eduroam WLAN verfolgt keine Gewinnerzielungsabsichten<\/li>\n
- alle nutzungsbasierten Kosten obliegen den teilnehmenden Institutionen:\n
- \n
- Fixkosten\n
- \n
- Infrastruktur f\u00fcr u.a. WLAN, Server usw.<\/li>\n
- Personalkosten f\u00fcr Betrieb und Wartung<\/li>\n<\/ul>\n<\/li>\n
- Variable Kosten\n
- \n
- Nutzungsgeb\u00fchren Eduroam<\/li>\n
- Lizenzkosten in Abh\u00e4ngigkeit der Nutzerzahlen (Produktabh\u00e4ngig)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\n
WLAN Roaming in der betrieblichen Praxis am Beispiel der Deutschen Telekom<\/h2>\n
WLAN Telekom, Quelle: Telekom AG: DT Halbjahresbericht 2020; Abgerufen am 20.11.2020 unter https:\/\/www.telekom.com\/de\/investor-relations\/finanzpublikationen<\/a><\/em>
<\/figcaption><\/figure>\n<\/a><\/p>\n
Ziele & Zukunftsvisionen<\/h1>\n
- \n
- L\u00fccken in der weltweiten Abdeckung im Bildungsbereich schlie\u00dfen (siehe Pilotprojekte)<\/li>\n
- Eine hohe Abdeckung in den teilnehmenden L\u00e4ndern gew\u00e4hrleisten<\/li>\n
- Eduroam ist ein Gr\u00fcndungsmitglied der OpenRoaming – Initiative\n
- \n
- Ziel von OpenRoaming: Millionen Netzwerke weltweit verbinden<\/li>\n
- keine Einschr\u00e4nkung auf Bildungseinrichtungen<\/li>\n
- nahtloser \u00dcbergang von WLAN zu WLAN<\/li>\n
- keine Anmeldebarrieren<\/li>\n
- h\u00f6here Sicherheit als \u00f6ffentliche Netzwerke<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
<\/a><\/p>\n
Quellenverzeichnis<\/h1>\n
Bunsen, G. (2016): Eingrenzung von Risiken durch Diebstahl von EduroamCredentials. In P. M\u00fcller, B. Neumair, H. Reiser, & G. Dreo, 9. DFN-Forum Kommunikationstechnologien (pp. 107\u2013113). Bonn: Gesellschaft f\u00fcr Informatik e.V. (GI).<\/p>\n
DFN (2018): eduroam, [online]\u00a0https:\/\/www.dfn.de\/dienstleistungen\/eduroam\/<\/a>\u00a0 [18.11.2020].<\/p>\n
eduroam (2020): eduroam,<\/a> [online] https:\/\/www.eduroam.org\/<\/a> [18.11.2020].<\/p>\n
G\u00e9ant (o.J.): eduroam, [online] https:\/\/www.geant.org\/Services\/Trust_identity_and_security\/Pages\/eduroam.aspx<\/a> [18.11.2020].<\/p>\n
G\u00e9ant Wiki: eduroam, [online] https:\/\/wiki.geant.org\/pages\/viewpage.action?pageId=121346286<\/a> [18.11.2020].<\/p>\n
Telekom AG: DT Halbjahresbericht 2020 ; Abgerufen am 20.11.2020 unter\u00a0https:\/\/www.telekom.com\/de\/investor-relations\/finanzpublikationen.<\/a><\/p>\n
Sebastian Brenza, Andre Pawlowski, and Christina P\u00f6pper. (2015). A practical investigation of identity theft vulnerabilities in Eduroam. In Proceedings of the 8th ACM Conference on Security & Privacy in Wireless and Mobile Networks (WiSec ’15). Association for Computing Machinery, New York, NY, USA, Article 14, 1\u201311. DOI:https:\/\/doi.org\/10.1145\/2766498.2766512<\/a><\/p>\n
<\/p>\n
Vortragsfolien<\/strong><\/h1>\n
- Fixkosten\n
- Passworte der Benutzer k\u00f6nnen durch \u201eRogue Access Points\u201c oder \u201eEvil Twins\u201c mit der SSID \u201eEduroam\u201c gestohlen werden<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
- -> Selbst wenn sich ein Endger\u00e4t sicher konfigurieren l\u00e4sst, ist fraglich, ob der Endnutzer die Risiken und die technischen Grundlagen versteht und die Einstellungen korrekt vornimmt.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
- ungeschulten Nutzer haben kein Vorwissen zur korrekten Einrichtung\n
- Hersteller setzen auf schnelle Internetverbindung statt ausreichenden Schutz\n
- EAP (Extensible Authentication Protocol)\n
- G\u00c9ANT hauptverantwortlich f\u00fcr eduroam\n