Cât de sigur este Eduroam? (Securitatea informațiilor, Rețea, Wifi)

Boolean a intrebat.

Instituția de învățământ superior pe care o frecventez utilizează Eduroam, o companie de infrastructură și IT care se ocupă adesea de nevoile de infrastructură și de rețea ale organizațiilor de cercetare și de învățământ. Sunt puțin îngrijorat de riscul ca informațiile sensibile (cum ar fi datele de conectare) să fie furate în timp ce folosesc internetul la institutul pe care îl frecventez (de exemplu, prin interceptarea traficului meu de către alți utilizatori rău intenționați de pe rețeaua locală a institutului). Poate că este vorba doar de paranoia mea, dar am motive de îngrijorare cu privire la furtul informațiilor mele în timp ce îmi conectez laptopul personal la rețeaua institutului de învățământ?

Comentarii

  • Institutele de învățământ mari au, în mod normal, un buget mai mare și sunt conștiente de potențialele atacuri din cadrul colegiului. Este probabil ca conexiunea să fie complet criptată cu SSL/TLS. –  > Por tungsten.
  • Vă rugăm să rețineți că eduroam este internațional și că diferite instituții îl implementează diferit. –  > Por schroeder.
  • @schroeder De ce au fost eliminate unele comentarii? –  > Por Boolean.
  • @Boolean Deoarece întrebarea se referă acum la Eduroam și nu la instituția dumneavoastră, comentariile despre dimensiunea instituției dumneavoastră nu se mai aplică. –  > Por schroeder.
1 răspunsuri
YLearn

Instituția de învățământ superior pe care o frecventez utilizează Eduroam

Dacă folosiți eduroam, atunci vă conectați la rețeaua wireless cu o anumită formă de autentificare 802.1X și infrastructura wireless trebuie să fie compatibilă cu WPA2/AES conform cerințelor eduroam (este posibil să suporte în plus WPA sau TKIP).

802.1X utilizează un supplicant pe dispozitivul client care se conectează la un server RADIUS pentru a se autentifica. Marea majoritate a autentificărilor eduroam utilizează metode EAP care folosesc un tunel TLS de la supplicant la serverul RADIUS pentru a proteja acreditările utilizatorilor. (Am văzut personal doar statisticile de la eduroam US, dar pentru acestea 99,99% din încercările de autentificare folosesc EAP-PEAP, EAP-TTLS sau EAP-TLS).

Odată ce sunteți autentificat, cu excepția cazului în care implementarea wireless este veche (pre-802.11n) sau prost implementată ȘI dispozitivul wireless nu preferă WPA2/AES, traficul wireless este securizat cu ajutorul criptării AES, care este negociată cu ajutorul unui material de codificare unic generat în timpul autentificării. Utilizarea TKIP (predecesorul AES) face ca o rețea fără fir să dezactiveze ratele de date HT/VHT (802.11n și ratele de date mai noi), astfel încât nici măcar nu este disponibilă în majoritatea rețelelor fără fir care utilizează în prezent autentificarea 802.1X.

Sunt puțin îngrijorat de riscul ca informațiile sensibile (cum ar fi datele de conectare) să fie furate în timp ce folosesc internetul la institutul la care particip (de exemplu, prin interceptarea traficului meu de către alți utilizatori rău intenționați de pe rețeaua locală a institutului).

Deoarece păreți a fi preocupat în primul rând de utilizatorii rău intenționați din rețea (și de dragul conciziei), nu voi lua în considerare preocupările legate de interceptarea traficului de către școală/personalul dumneavoastră sau de capturarea datelor dumneavoastră din cauza compromiterii dispozitivului dumneavoastră. Mai ales că nu furnizați nicio informație în aceste privințe.

Presupunând că se utilizează criptarea AES, traficul dvs. este securizat între dispozitivul dvs. și punctul de acces (AP) al școlii dvs. Deoarece criptarea AES utilizată în wireless este considerată în continuare sigură, niciun alt dispozitiv nu va putea captura și decripta acest trafic.

Odată ce traficul dvs. ajunge la AP, ar trebui să existe un fel de compromis în rețeaua școlii dvs. pentru ca datele dvs. să fie compromise. Dar atunci majoritatea serviciilor pe care le accesați vor utiliza TLS pentru a cripta traficul între aplicația dvs. și server (de exemplu, HTTPS în browserul dvs. web), în special atunci când transmiteți informații sensibile (și dacă nu este așa, aș fi mai îngrijorat de faptul că aceste informații sunt transmise necriptate pe internet decât chiar de o rețea școlară compromisă).

Există posibilitatea compromiterii datelor dacă lăsați dispozitivul să se conecteze la un AP necinstit care se dă drept rețeaua wireless a școlii. Cele mai multe aplicații EAP supplicant oferă protecție în acest sens într-un fel, fie prin configurare, fie prin faptul că vă oferă cel puțin opțiunea de a confirma că serverul RADIUS/certificatul SSL prezentat dispozitivului este valid. Așadar, asigurați-vă că ați configurat acest lucru în supplicantul EAP sau confirmați efectiv că informațiile pe care urmează să le aprobați sunt valide.

Poate că este vorba doar de paranoia mea, dar am motive de îngrijorare în legătură cu furtul informațiilor mele în timp ce îmi conectez laptopul personal la rețeaua instituției mele de învățământ?

Nu strică niciodată să vă faceți griji cu privire la furtul de informații și nu doar atunci când vă conectați la [inserați serviciul aici].

În timpul autentificării atunci când vă conectați la o rețea wireless „eduroam”? Nu (atâta timp cât vă conectați la serverul RADIUS al școlii dumneavoastră). Chiar dacă vă conectați la eduroam la o altă școală, tunelul TLS se formează între supplicantul EAP de pe dispozitivul dumneavoastră și serverul RADIUS al școlii dumneavoastră.

De la utilizatorii care captează traficul wireless între dispozitivul dvs. și AP? Nu, 802.1X și AES pe wireless este în general considerată în continuare cea mai sigură metodă de conectare la wireless (atâta timp cât vă conectați la serverul RADIUS al școlii dumneavoastră).

De la compromiterea rețelei școlii dumneavoastră? Nu mai mult decât orice alt trafic pe care îl trimiteți pe internet (adică ar trebui să presupuneți că traficul pe internet este compromis, astfel încât informațiile sensibile ar trebui să fie criptate).

De la școala dumneavoastră sau de la personalul acesteia care captează date? Posibil, dar probabil puțin probabil. Cea mai mare îngrijorare ar fi dacă școala dvs. este una care a implementat o formă de interceptare TLS (majoritatea școlilor nu o fac).

De la conectarea dispozitivului dumneavoastră la un AP necinstit sau de la compromiterea dispozitivului dumneavoastră? Absolut, dar, din nou, în primul caz, nu sunteți cu adevărat conectat la rețeaua școlii dumneavoastră (și nu există un motiv întemeiat pentru ca cineva să se dea drept rețeaua școlii dumneavoastră), iar în al doilea caz, nu ar conta la ce rețea sunteți conectat.

Tags:,