Konsten att få eduroam säkert. Anders Nilsson Hans Berggren



Relevanta dokument
Konfigurering av eduroam

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst nätverk för privata enheter

Konfiguration av NAP VPN

Om du har en egen smartphone, dator, eller surfplatta och vill använda skolans WiFi-nätverk för internet, kan du följa instruktionerna här efter.

Installationsguide Junos Pulse för MAC OS X

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Trådlöst nätverk MAHSTAFF Mac OS X

Instruktioner för Axxell's Trådlösa Nät

Det här med levels.?

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Då Eduroam använder sig av WPA2 (kryptering) krävs att din dator har stöd för detta.

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Eduroam Onboarding. Eduroam ChromeOS

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

Lösenordsportalen Hosted by UNIT4 For instructions in English, see further down in this document

Windows 8 och det nya arbetslivet. Magnus Holmér IT strategisk rådgivare

SWAMID. Nyttjandestatistik av SWAMID. Vad är SWAMID? Så, hur mycket används SWAMID idag? Vi vet inte.. en första demonstration!

Användarhandbok. MHL to HDMI Adapter IM750

MBIT BREDBAND VI ÄGS AV INVÅNARNA I KARLSHAMN REGISTRERA DIG IDAG. Din lokala elleverantör. Starka på hemmaplan. Din guide till Karlshamnsporten

Windows 7 konfiguration för trådlöst nät

Skapa ett paket av TI-Nspire programvara med Microsoft SMS 2003

Instruktion: Trådlöst nätverk för privata

F1 SBS EC Utbildning AB

Geo installationsguide

Datasäkerhet och integritet

VPN (PPTP) installationsguide för Windows 7

Instruktion för integration mot CAS

Network. WPA Installationsguide. LCD-projektor NP3150/NP2150/ NP1150/NP3151W. Security WPA. Stödd autenticerings metod

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Installationsguide Junos Pulse för iphone/ipad

Installationsguide fo r CRM-certifikat

Installation/första start av DEP-ansluten ios-enhet

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

Installationsanvisning Boss delad databas

ANVÄNDAR-GUIDE för Bränneriets LAN

Vilka är vi? Vadå ansvarsfulla? Vår del på KAU Avrundning. A4Cloud. Ansvarsfulla molntjänster. Tobias Pulls. Karlstads Universitet

Instruktion för användande av Citrix MetaFrame

Innehåll. Dokumentet gäller från och med version

Beijer Electronics AB 2000, MA00336A,

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

Created with novapdf Printer ( Please register to remove this message.

JobOffice SQL databas på server

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

MVK SSO 2.0 Mina vårdkontakter

BREDBAND MBIT REGISTRERA DIG IDAG. Din guide till Karlshamnsporten

Produktens väg från idé till grav

REGISTRERA DIG IDAG Din guide till Ronnebyporten

Inloggning på trådlöst nätverk för biblioteksanvändare och gäster vid Umeå Stadsbibliotek

Installation av StruSofts låne-licensserver (nätverkslicens)

Access till Centrum För Affärssystems Virtuella Affärssystemspark.

Kerberos baserad Single Sign On, tillämpningsexempel

iphone, ipad... 9 Anslut... 9 Anslutningsproblem... 9 Ta bort tidigare inloggningar... 9 Ta bort profil... 9

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

ThinkVantage Access Connections 4.1. Användarhandbok

iphone/ipad Snabbguide för anställda på HB

Mobilitet Vi kallar det Livet!

IPv6 och säkerhet.

SkillGuide. Bruksanvisning. Svenska

The Municipality of Ystad

Din manual F-SECURE PSB AND SERVER SECURITY

Att bygga enkla webbsidor

Att sätta upp en IPsec-förbindelse med NAT. Lisa Hallingström Paul Donald

Installationsanvisningar

LARS. Ett e-bokningssystem för skoldatorer.

Manual licenserver. Installations och konfigurations-manual för Adtollo licenserver

Unified Communication. Martin Lidholm

Network Admission Control på MdH

Installationsguide TV-IP301 TV-IP301W

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Testa ditt SITHS-kort

Sparbankerna PDF. ==>Download: Sparbankerna PDF ebook By 0

Installation och setup av Net-controller AXCARD DS-202

Switch- och WAN- teknik. F2: Kapitel 3 och 4

BRUKSANVISNING FÖR NÄTVERKSANVÄNDARE

Bordermail instruktionsmanual

Michael Q. Jones & Matt B. Pedersen University of Nevada Las Vegas

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

Remote Access Services Security Architecture Notes

Filleveranser till VINN och KRITA

Uppdatera Easy Planning till SQL

Felsökning av vanliga fel Kontrollera installera version Innehållsförteckning

Uppdatera Easy Planning till SQL

Egen Enhet Skapa ditt egna gästinlogg

Innehållsförteckning:

Användarhandbok. Trio Visit Web. Trio Enterprise 4.1

Swedbank Mobile Loadtesting. LoadRunner Mobile App protocol

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

ORCID medlemskap och implementering vid Chalmers

Säkra pausade utskriftsjobb. Administratörshandbok

Telia Connect för Windows

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Från och med den 22/6 kl 19:00 kommer alla nya mail till din nya postlåda, och inte längre till din gamla.

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Snabbguide för iphone / ipad

Transkript:

Konsten att få eduroam säkert Anders Nilsson Hans Berggren

The story so far.. Alla vill köra eduroam och trycket från användarna att få access är hård på alla IT avdelningar Brist på instruktioner leder till tillfälliga instruktioner

Skydda ditt user/lösenord Säkerheten i eduroam är starkt beroende av Radius servercertifikat verifiering. Inte alla kunder har möjlighet att fullt ut verifiera certifikatet och IT-support människor kämpar för att ge bra säkra instruktioner. Trycket och viljan bland användare att få alla sina enheter att ansluta till eduroam är stor och ibland glömmer man att tänka på och testa säkerheten. Trend mot Single Sign On (SSO) med samma autentiseringsuppgifter för allt.

Vilka EAP metoder gäller RFC4017 - EAP Requirements Specifies requirements for EAP methods All standard EAP methods must provide: Mutual authentication Resistance to dictionary attacks Protection against MitM attacks Protected ciphersuite negotiation EAP methods that fail these requirements EAP-MD5, EAP-OTP, EAP-GTC, LEAP EAP methods that pass these requirements PEAP, TTLS, EAP/TLS, EAP-FAST

Hur funkar eduroam för de flesta?

Ska jag då lita på RADIUS-servern? Tänk på att: Ingen validering av AP / Switch på fysiska lagret AP kan eller inte kan vara legitimt AP / Switch väljer RADIUS-server, inte klienten Det kan vara illegalt nät Det Kan vara ett felaktigt konfigurerade nätverk RADIUS-servern kan vara illegal: Att lämna credentials till fel RADIUS-server är dåligt för alla parter. Nätverk: Utsatt för orättmätigt får tillgång Användare: Utsatt för nätverk sniffa & manipulation

Anatomi av ett vanligt servercert

En korrekt Radius server verifiering.

Demo tajm!

Så vad är då problemen? Vissa klienter stöder att verifiera både CA och servernamn på Radiuscertifikat. Vissa klienter saknar över huvudtaget möjligheten att verifiera certifikat Bristfälliga instruktioner (klicka vidare här). IT avdelningen rekommenderar enheter som aldrig går att få säkra.

Vad säger SWAMID För identiteter är SAML och eduroam likställda: http://wiki.swamid.se/display/swamid/swamid+identity+assurance+level+1+profile+- +Draft 5.1.3 All network communication between systems related to Identity or Credential management MUST be secured and encrypted. Guidance: Always use TLS/SSL or similar for establishing encrypted communications between endpoints. Clients and servers needs to be mutually authenticated. An example of clients can be the webpage for changing passwords and the server can be the Identity management back-end (e.g. Active Directory). 5.1.4 Subjects MUST be actively discouraged from sharing credentials with other subjects either by using technical controls or by requiring users to confirm policy forbidding sharing of credentials or acting in a way that makes stealing credentials easy. 5.1.5 The organisation SHOULD take into account applicable system threats and apply appropriate controls to all relevant systems.

Vad kan konsekvenserna bli då? Karantän från SAML access. Nedgradering från LOA2 till LOA1 I värsta fall avstängning.

MSCHAP-v2 då?? No problems, vi har ju Cloud services

Är eduroam konceptet kört då???? NEJ! Vi kan fortfarande använda eduroam säkert om: Skriv ordentliga instruktioner (inte mer bara klickar på OK utan att verifiera certifikatet) Använd MDM programvara för att konfigurera enheter (CAT eller andra BOYD verktyg) Undvik om möjligt att återanvända dina inloggningsuppgifter för andra verifieringar (SSO syndrom) om du vill stödja enheter som inte gör ordentlig kontroll. Undvik att använda apparater som inte stöder validering RADIUS-server (Bara säga nej till Windows Phone 7, osäkert om WP8 funkar) Vissa enheter stöder bara CA-root verifiering (använd en egen CA-root och förlita dig inte på kommersiella) Använd inte credentials utan snarare klientcertifikat (EAP-TLS) för högsta säkerhet. Vid nyttjande av PEAP eller EAP-TTLS använd inte samma credentials för SAML och eduroam. Lita inte på din enhet. Testa och verifiera att enhetens supplikant korrekt verifierar Radius certifikat.

Så med säkra klienter är det bara att köra på!

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss