Innleiðing IEEE 802.1X á þráðlausu netkerfiHáskóla Íslands og sameining þess við eduroam

Jóhann Björn Björnsson

TölvunarfræðideildHáskóli Íslands

2012

Innleiðing IEEE 802.1X á þráðlausu netkerfiHáskóla Íslands og sameining þess við eduroam

Jóhann Björn Björnsson

7 eininga ritgerð sem er hluti afBaccalaureus Scientiarum gráðu í Tölvunarfræði

LeiðbeinandiJón Ingi Einarsson

Iðnaðarverkfræði-, vélaverkfræði- og tölvunarfræðideildVerkfræði- og náttúruvísindasvið

Háskóli ÍslandsReykjavík, júní 2012

Innleiðing IEEE 802.1X á þráðlausu netkerfi Háskóla Íslands og sameining þess viðeduroamSameining þráðlauss netkerfis HÍ við eduroam7 eininga ritgerð sem er hluti af Baccalaureus Scientiarum gráðu í Tölvunarfræði

Höfundarréttur c© 2012 Jóhann Björn BjörnssonÖll réttindi áskilin

Iðnaðarverkfræði-, vélaverkfræði- og tölvunarfræðideildVerkfræði- og náttúruvísindasviðHáskóli ÍslandsHjarðarhaga 2-6107 Reykjavík

Sími: 525 4000

Skráningarupplýsingar:Jóhann Björn Björnsson, 2012, Innleiðing IEEE 802.1X á þráðlausu netkerfiHáskóla Íslands og sameining þess við eduroam, BS ritgerð, Tölvunarfræðideild, HáskóliÍslands, 22 bls.

Prentun: HáskólaprentReykjavík, júní 2012

Útdráttur

Í samfélagi okkar í dag reiðum við í auknum mæli á tölvur ogtölvunet. Við notum Internetið til að skoða fréttir, senda tölvupóst,nálgast afþreyingu og margt annað. Algeng er orðið í dag að notendurtengist netum í með þráðlausum aðferðum þar sem samskipti notandavið netið eru send í gegn um loftið. Þráðlaus samskipti gera notkunog aðgengi auðveldara fyrir notendur en yfirleitt á kostnað öryggis.Háskóli Íslands heldur úti þráðlausu neti fyrir nemendur og starfsfólksem heitir HINET. Við lítum á núverandi fyrirkomulag á HINET meðtilliti til öryggis og bendum á galla sem gera árásarmanni kleift að fáaðgang. Lausn við þessu vandamáli er sett fram og er fyrirkomulaghennar skoðað. Fyrirkomulagið felst í því að innleiða alþjóða mennta-og rannsóknanetið eduroam í stað HINET og auka þannig öryggi ogbæta þjónustu fyrir notendur. Að lokum er litið á hvernig skipta megium fyrirkomulag á sem auðveldastan hátt svo notendur verði fyrir semminnstu raski.

Abstract

In today’s society we rely increasingly much on computers andcomputer networks. We use the Internet to read the news, send e-mail, access entertainment and so on. Wireless communication sendscommunication through the air and has become a common way toconnect users to networks. Wireless communication makes usage andaccess easier for users but usually at the expense of security. TheUniversity of Iceland maintains a wireless network for students andstaff called HINET. We look at the current setup for HINET regardingsecurity and identify flaws that enable an attacker to gain access. Asolution to this problem is put forth and we look at various aspects ofthe suggested setup. The solution focuses on the international researchand educational network eduroam taking HINET’s place for increasedsecurity and better services to users. Transition from the old setup tothe new setup is also discussed with the goal of making it as easy aspossible for users.

Þakkir

Höfundur vill þakka Óskari Guðjónssyni og Þuríði Jóhannsdóttur fyrir yfir-lestur á verkefni. Einnig vill höfundur þakka Ingimar Erni Jónssyni og JóniInga Einarssyni fyrir góð ráð og tæknilegar ábendingar.

Efnisyfirlit

Inngangur 1

1 Núverandi fyrirkomulag 21.1 Öryggi og aðgangur . . . . . . . . . . . . . . . . . . . . . . . . 21.2 Öryggisstaðlar . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.2.1 WPA/WPA2 og IEEE 802.1X . . . . . . . . . . . . . . 41.3 HINET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1.3.1 Árás með stolnu MAC-vistfangi . . . . . . . . . . . . . 61.3.2 MAC-vistfanga bannlisti . . . . . . . . . . . . . . . . . 7

2 Nýtt fyrirkomulag 82.1 Kröfur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.2 eduroam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.2.1 RADIUS tré eduroam . . . . . . . . . . . . . . . . . . 92.2.2 eduroam í HÍ . . . . . . . . . . . . . . . . . . . . . . . 10

2.3 eduroam í stað HINET . . . . . . . . . . . . . . . . . . . . . . 122.4 HINET sem captive portal . . . . . . . . . . . . . . . . . . . . 122.5 SU1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.6 MAC-vistföng á eduroam . . . . . . . . . . . . . . . . . . . . . 15

2.6.1 Stillingar á RADIUS þjóni . . . . . . . . . . . . . . . . 15

3 Samantekt og netöryggi 163.1 Samanburður . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.2 eduroam með beintengingu . . . . . . . . . . . . . . . . . . . . 173.3 Samantekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Heimildaskrá 19

InngangurFramþróun tölvutækninnar hefur verið mjög mikil á síðustu áratugum oghefur sett mark sitt á daglegt líf okkar. Meðal þeirra hluta sem gera tölvurnarsvo öflugar og notadrjúgar er sá eiginleiki þeirra til að eiga samskipti hver viðaðra. Afurðir tölvuneta eru mjög fjölbreyttar, auðvelda okkur hin ýmsu verkásamt því að opna fyrir okkur alveg nýjar dyr. Internetið er gott dæmi umslíka afurð sem hefur haft djúpstæð áhrif á flestokkar. Fólk notar Internetiðtil að skoða fréttir, leita sér upplýsinga, senda tölvupóst, nálgast afþreyinguog svo mætti lengi telja. Einnig er farsímanotkun orðin mjög djúpstæðurþáttur í lífi okkar og bæði farsímanotendum og Internetnotendum fjölgarjafnt og þétt.

Til eru tölvunet af ýmsum stærðum og gerðum og geta þau verið allt frálitlum heimilisnetum, upp í stór net sem ná heimshlutanna á milli. Samaer af hvaða stærð eða gerð þau eru, þau eiga það öll sameiginlegt að veramynduð af tölvum sem tengjast hverri annarri með einum eða öðrum hætti.Algengt er orðið að nýta þráðlausa tækni til að tengja saman tölvur og búaþannig til þráðlaus net. Þá hafa tölvurnar samskipti með sérstökum sendi-og móttökubúnaði (þráðlausu netkorti) sem sendir rafsegulbylgjur í gegn umloftið til nærliggjandi tölva. Í dag er fjöldi tækja með slíkan búnað orðinnmjög mikill og er áframhaldandi vexti þeirra spáð [ISU]. Til þess að gerasamskipti á milli þessara tækja möguleg þurfa þau að vinna að einhverjuleiti eins og hafa þessi samskipti því verið stöðluð. Staðlasamtökin IEEE út-bjuggu fyrst slíkan staðal árið 1997 [Cisco2002] sem fellur undir IEEE 802.11staðlafjölskylduna og er hann notaður fyrir þráðlaus samskipti á staðarnet-um. Staðarnet eru net sem ná yfir minni svæði eins og heimili, skrifstofureða jafnvel skrifstofubyggingar.

Þar sem þráðlaus samskipti eru einfaldlega bylgjur sem sendar eru í gegnum loftið geta allir sem hafa þráðlaust netkort og eru innan drægi sendandahlustað og svarað þessum þráðlausu skilaboðum. Þetta var ekki vandamáláður en að þráðlaus net komu til sögunnar þar sem samskipti fóru í gegn umsnúrur og var þá ekki sá möguleiki fyrir hendi að óviðkomandi aðilar gætuátt samskipti við netið eða hlerað samskiptin. Á þráðlausu neti á þetta ekkivið því bæði þarf að koma í veg fyrir að óviðkomandi aðilar geti átt samskiptivið netið og að þeir geti hlerað þau samskipti sem fara yfir netið.

1

Kafli 1

Núverandi fyrirkomulag

1.1 Öryggi og aðgangurÞegar kemur að því að halda úti öruggu og lokuðu þráðlausu neti þarf aðglíma við ýmis vandamál. Meðal annars þarf að ná fram aðgangsstýringu,þ.e.a.s. bera kennsl á notendur og stjórna aðgangi þeirra. Einnig þarf aðná fram samskiptahuld, en í því felst að tryggja að einungis þeir sem eigaað hafa aðgang geti skilið samskiptin sem fara yfir netið. Þar sem þráðlaussamskipti eru send yfir loftið, má líkja þeim við samtal tveggja manna. Þegarmennirnir tala hvor við annan berast hljóð þeirra í allar áttir og allir sem erunógu nálægt geta heyrt það sem mennirnir segja. Ef mennirnir eru að sendaá milli sín á leyndarmál og þriðji maðurinn gengur upp að þeim og biður umleyndarmálið, sjá mennirnir að sá þriðji er óviðkomandi aðili og gefa ekki uppleyndarmálið. Þegar tölvur eiga þráðlaus samskipti sín á milli geta þær ekkieinfaldlega séð hvort þær eru að tala við óviðkomandi aðila eða ekki. Til aðtölvan gefi ekki óviðkomandi aðila upp leyndarmálið þarf því að passa að húngangi úr skugga um að aðilinn sé ekki óviðkomandi aðili.

Það er ekki nægilegt að ganga úr skugga um að einungis réttu aðilarnirfái aðgang að netinu ef allir geta skilið öll þeirra samskipti. Ef mennirnirtveir skiptast á leyndarmálinu og þriðji aðilinn stendur hjá þeim þegar þeirgera það, þá heyrir hann leyndarmálið. Því skiptir einnig máli að passaað þriðji aðilinn geti ekki skilið samskiptin sem eiga sér stað innan netsins.Ef mennirnir tala tungumál sem þriðji aðilinn skilur ekki, geta þeir sagtleyndarmálið án þess að þurfa að hafa áhyggjur af öðrum aðilum sem kunnaað vera að hlusta. Til að koma á slíkri samskiptahuld þarf að dulkóða öllsamskipti á netinu svo að einungis réttir aðilar skilji samskiptin.

2

KAFLI 1. NÚVERANDI FYRIRKOMULAG 3

1.2 ÖryggisstaðlarTil að leysa þessi ofantalin vandamál var staðallinn WEP þróaður og áttihann að tryggja að samskipti á netinu væru ekki læsileg fyrir óviðkomandi að-ila. Meginmarkmið WEP var að ná fram samskiptahuld [Borisov et al.2001]með því að dulkóða samskipti á þráðlausum netum. Til þess notast WEP viðfyrirfram ákveðið lykilorð sem notendum netsins er tilkynnt til að veita þeimaðgang. Með lykilorðinu geta notendur afkóðað þau skilaboð sem send eru tilþeirra frá netinu og útbúið dulkóðuð svör sem netið tekur svo á móti. Einsog fyrr geta allir þeir sem eru innan drægi sendandans hlustað á samskiptinen þau eru dulkóðuð svo ekki er hægt að lesa það sem í þeim stendur. Þannigeru öll samskipti sem eiga sér stað á netinu dulkóðuð með sama lykilorðinu.Þetta sameiginlega lykilorð er bæði notað til að dulkóða samskiptin á net-inu og til að auðkenna notendur á netinu, svo óviðkomandi aðili sem veitlykilorðið getur bæði hlerað samskiptin á netinu og auðkennt sig (og fengiðþannig aðgang að því). Fyrirkomulagið hentar því einungis minni netum einsog þráðlausum netum á heimilum þar sem fáir vita lykilorðið og notendurnetsins eru nokkurnvegin alltaf þeir sömu. Þegar kemur að stærri netum t.d.hjá fyrirtækjum eða stofnunum er þetta óásættanlegt. Ef að starfsmaðurhættir hjá fyrirtæki eða utanaðkomandi aðili kemst yfir lykilorðið, þarf aðskipta um lykilorð og dreifa nýju lykilorði til allra notenda netsins. Á stærrinetum skiptir því miklu máli að auðkenning sé ekki nafnlaus á þennan hátt,heldur einkennandi fyrir hvern notanda, með t.d. notandanafni og lykilorði.WEP hentar því ekki einn og sér til að þekkja notendur í sundur og auðkennahvern og einn notanda.

Því miður voru hönnunargallar í WEP sem gerðu staðalinn móttækilegangagnvart fremur einföldum árásum. Árið 2001 var fyrst opinberlega sýntfram á árás á WEP sem tók þá eina til tvær klukkustundir á almennumtölvubúnaði þess tíma [Fluhrer et al.2001]. Með árásinni gátu árásarmennkomist yfir lykilorðið að netinu og þannig fengið aðgang að netinu. Árið 2003var WEP opinberlega úreldur og kom þá WPA (Wi-Fi Protected Access)í stað WEP. WPA notaði breytta útgáfu af dulkóðun WEP og bauð uppá aðgangsstýringu (IEEE 802.1X) þannig að hver og einn leyfður notandiauðkenndi sig með sínum auðkennum. WPA var þó einungis hugsaður semtímabundin lausn við öryggisgöllum í WEP og kom WPA2 árið 2004 semfullkláruð öryggislausn fyrir IEEE 802.11 [Lashkari et al.2009].

Þrátt fyrir að WEP hafi verið úreldur opinberlega árið 2003 eru enn þanndag í dag mörg þráðlaus net sem nota WEP. Síðan 2003 hafa komið þónokkrar nýjar aðferðir við að brjóta WEP [Sepehrdad et al.2011] og í dageru til aðferðir sem geta það á undir mínútu ef mikil notkun er á netinu.

KAFLI 1. NÚVERANDI FYRIRKOMULAG 4

1.2.1 WPA/WPA2 og IEEE 802.1X

WPA og WPA2 bjóða upp á notkun á IEEE 802.1X til að stjórna aðgangiað netinu. IEEE 802.1X er staðall sem þróaður var af IEEE sem skilgreinirstaðlaða aðgangsstýringu á netum og býður meðal annars upp á aðferðir tilað auðkenna notendur á neti [IEE2001]. Til að notfæra sér IEEE 802.1Xauðkenningu setur kerfisstjóri upp gagnagrunn yfir notendur, þar sem hvernotandi fær auðkenni (t.d. notandanafn og lykilorð) og auðkenningarþjónsem flettir upp í gagnagrunninum þegar auðkenningarbeiðni berst. Auð-kenningarþjónn er þjónn sem keyrir auðkenningarþjónustu eins og RADIUSeða Diameter (meira um þetta í kafla 2.2.1). Þegar notendur tengjast net-inu, senda þeir auðkenni sín til svokallaðs auðkennanda. Auðkennandinn erþað tæki sem notendur tengjast til að fá aðgang að netinu (t.d. þráðlaustengipunktur). Auðkennandinn sendir aðgangsbeiðnina ásamt auðkennumnotandans til auðkenningarþjónsins sem flettir upp í notendagrunninum ogathugar hvort notandi sé á skrá og hafi gefið upp rétt auðkenni. Ef svo ersendir auðkenningarþjónninn skilaboð til auðkennanda um að auðkenning-in hafi tekist og auðkennandi hleypir notanda inn á netið (sjá mynd 1.1).Þannig má auðveldlega eyða notendum úr kerfinu ef að t.d. starfsmaður hjáfyrirtæki hættir og synjar þá kerfið aðgangsbeiðnum frá þeim notanda. Þegarnotendur tengjast á þennan hátt er innskráningin einkennandi fyrir viðkom-andi notanda í stað þess að vera alveg nafnlaus. Út frá auðkenningunni er þvíhægt að ákvarða hvort notandi eigi að fá aðgang eða ekki. Þá er einnig hægtað skilgreina mismunandi aðgang notandans að t.d. prenturum, lokuðuminnranetum, Internetinu eða annarri þjónustu á netinu.

WPA og WPA2 má einnig nota eins og WEP þar sem allir notendur deilasama lykilorðinu og kallast sú aðferð WPA/WPA2 PSK (Pre-shared key).Þetta hentar betur fyrir t.d. heimili því þá þarf ekki að reka gagnagrunnyfir notendur þar sem aðgangi er stýrt. Fyrir stærri net hentar betur að hafasérstaka notendaskráningu en sú aðferð er kölluð WPA/WPA2 Enterprise.

1.3 HINETReiknistofnun Háskóla Íslands rekur þráðlaust net fyrir nemendur og starfs-fólk sem heitir HINET. HINET notast við WEP til að dulkóða umferð semfer um loftið á milli tölva notenda og þráðlausra tengipunkta Reiknistofn-unnar. Þar sem HINET er ætlað nemendum og starfsfólki háskólans þarf aðganga úr skugga um að aðrir fái ekki aðgang. Eins og komið hefur fram erWEP dulkóðun ekki nægileg ein og sér til að stýra aðgangi að stóru neti.Því er notast við svokölluð MAC-vistföng (Media Access Control) til að ein-

KAFLI 1. NÚVERANDI FYRIRKOMULAG 5

1

2

3Internet

Notandi Auðkenningarþjónn

Auðkennandi

Notendagrunnur

Mynd 1.1: Þegar IEEE 802.1X auðkenning á sér stað sendir notandi auðkennisín til auðkennandans (nr. 1 á mynd). Auðkennandi áframsendir svo auð-kennin til auðkenningarþjóns sem athugar hvort notandi sé á skrá og eigi aðfá aðgang (nr. 2 á mynd). Ef notandi er á skrá sendir auðkenningarþjónninnboð til auðkennanda um að veita notanda aðgang. Notanda er svo hleypt inná netið og hefur hann aðgang að þjónustum á netinu eins og t.d. Internetinu(nr. 3 á mynd).

kenna notendur á netinu. Öll IEEE 802.11 stöðluð netkort hafa svokallaðMAC-vistfang sem er einstök tala sem tækið fær í framleiðslu. Engin tvötæki fá sama MAC-vistfang og þegar nýr notandi er skráður hjá RHÍ (t.d.þegar nýr nemandi hefur skólagöngu) þarf notandinn að skrá MAC-vistfangtækis síns (getur verið tölva, spjaldtölva, farsími o.s.frv.) hjá Reiknistofn-un. Þegar notendur tengjast svo HINET er athugað hvort MAC-vistfangtækisins sé á skrá. Ef það er á skrá, fær notandi aðgang að netinu, annarsekki. Þetta þýðir að notendur þurfa bæði að hafa WEP-lykilinn (dulkóðun-arlykilinn að netinu) og að hafa MAC-vistfang sitt á skrá til að fá aðgang aðHINET. WEP-lykillinn gerir tækjunum kleift að skilja dulkóðuð skilaboðinfrá þráðlausa netinu og svo þarf MAC-vistfangið að vera á skrá svo notandasé hleypt inn á netið. Þannig eru MAC-vistföngin á tækjum notenda, notuðtil að auðkenna notendur. Þessi notendaauðkenning hefur ákveðna veikleikasem gera óskráðum notendum kleift að fá aðgang að netinu og rýra á samatíma öryggi þeirra notenda sem þegar eru skráðir.

KAFLI 1. NÚVERANDI FYRIRKOMULAG 6

1.3.1 Árás með stolnu MAC-vistfangi

Á HINET er notast við MAC-vistfanga síu til að ná fram notendaauðkenn-ingu og WEP dulkóðun til að ná fram samskiptahuld. Eins og komið hefurfram er ekki hægt að treysta áWEP dulkóðun enda er WEP gamall og úreldurstaðall. WEP lykillinn fyrir HINET er gerður opinber á vefsíðu Reiknistofn-unnar svo aðgengi í leiðbeiningar sé auðveldara fyrir nemendur og starfsfólkog er WEP dulkóðunin því ekki ætluð sem sterk vörn fyrir netið. Hún erþó ekki það sem ógnar öryggi notenda heldur er það notendaauðkenningin.Þó að hvert þráðlaust netkort fái einstakt MAC-vistfang í framleiðslu er ímörgum tilfellum hægt að breyta því eftir á. Mismunandi er frá hvaða fram-leiðanda netkortið er og hvaða stýrikerfi tækið notar hversu auðvelt það erað breyta MAC-vistfanginu, en á flestum fartölvum er það tiltölulega einfaltmál. Ef árásarmaður veit WEP lykilinn inn á HINET og MAC-vistfang ein-hvers skráðs tækis á HINET getur hann fengið aðgang. Árásarmaður myndiþá auðkenna sig sem manneskjan sem skráð er fyrir MAC-vistfanginu og væruallar hans gjörðir á Internetinu eða annars staðar í hennar nafni.

Til þess að öðlast aðgang á þennan hátt þarf árásarmaður að sjálfsögðu aðvita MAC-vistfang á tæki hjá skráðum notanda á HINET. Þar sem dulkóðun-in á HINET er fremur veik er þetta lítið vandamál. Þegar tölvur senda skila-boð sín á milli á staðarnetum fylgja samskiptunum yfirleitt MAC-vistfangsendanda. Árásarmaður sem ætlar sér að fá aðgang að HINET þarf þvíeinungis að hlusta á samskipti sem fara yfir netið og grípa MAC-vistfang áeinhverju tæki sem þegar hefur auðkennt sig. Til þess að hægt sé að hlustaþarf að sjálfsögðu að getað afkóðað umferðina sem fer yfir netið en WEPlykillinn að HINET er opinber á vefsíðu Reiknistofnunnar svo þetta er líkalítið mál fyrir árásarmanninn. Þó að árásarmaðurinn vissi ekki WEP lykil-inn eru til margar mismunandi aðferðir við að brjóta WEP dulkóðunina ogmeð nýlegum aðferðum er hægt að gera það á innan við mínútu við réttaraðstæður.

Þegar núverandi fyrirkomulag á HINET var valið á sínum tíma var WPAekki orðið útbreitt og þurfti því að finna aðra lausn sem hentaði stóru, fjöl-breyttu neti. Reiknistofnun þarf að geta náð fram ákveðnum rekjanleika ogeinnig þarf netið að virka á sem flestum tækjum. Til að dulkóða netið var þvínotast við WEP og fyrir notendaauðkenningu varð MAC-vistfangaskráningfyrir valinu. Þráðlaust net sem notar WEP dulkóðun og MAC-vistföng til aðauðkenna notendur virkar á langflestum tækjum í dag og gerir Reiknistofnunkleift að rekja og loka á aðgang notenda ef þörf krefur, en er ekki örugg lausn.Ljóst er því að breyta þarf núverandi fyrirkomulagi svo netið sé öruggt, bæðifyrir utanaðkomandi aðilum og fyrir skráða notendur.

KAFLI 1. NÚVERANDI FYRIRKOMULAG 7

1.3.2 MAC-vistfanga bannlisti

Ákveðnar reglur gilda um notkun HINET sem notendur þurfa að fylgja. Efnotandi misnotar netið eða brýtur reglurnar þarf Reiknistofnun að geta lokaðaðgangi þess notanda að netinu. Þetta er gert með því að halda úti MAC-vistfanga bannlista og með því að bæta MAC-vistfangi á listann er hægtað loka tímabundið aðgangi þess MAC-vistfangs ef þörf krefur. Þetta þarfeinnig að vera hægt af öryggisástæðum. Ef árásarmaður nær tökum á tækjumá háskólanetinu getur hann notað háskólanetið til að framkvæma árásir. Efþetta gerist þarf að vera hægt að loka aðgangi smitaðra tækja til að stöðvaslíka árás.

Kafli 2

Nýtt fyrirkomulag

2.1 KröfurTil þess að geta tekið í notkun nýtt fyrirkomulag þarf það að uppfylla ákveðn-ar kröfur. Reiknistofnun þarf eins og áður að geta fylgst með og takmarkaðnotkun notenda ef upp kemur árás eða ef notendur brjóta reglur um notkunnetsins. Það þarf því að vera hægt að rekja vandamál af þessu tagi sem getakomið upp. Einnig má flækjustig notkunar á nýju neti ekki vera of mikið ogtryggja þarf að netið virki á sem flestum tækjum og nái þannig til sem flestranotenda.

2.2 eduroamHINET er til staðar í flestum byggingum skólans og geta notendur tengstalls staðar á sama hátt án þess að þurfa að stilla tæki sín sérstaklega fyrirhvern stað. Ýmsar stofnanir út um allan heim reka stór net fyrir misleitanhóp notenda eins og HINET og til eru slík net sem ná yfir mörg lönd ogjafnvel margar stofnanir. Þegar stærðargráðan er orðin slík getur aðgangs-stjórnun orðið vandamál. Árið 2003 stofnuðu samtökin TERENA (Trans-European Research and Education Networking Association) vinnuhóp semkallaðist TF-Mobility. Hlutverk hópsins var að útbúa lausn á þessu vanda-máli fyrir rannsókna- og menntanet þar sem notendur stórs nets gætu fengiðaðgang að Internetinu á rannsókna- og háskólasvæðum í Evrópu á örugganhátt [Wierenga and Florio2005]. Hópnum bárust nokkrar tillögur að útfærsl-um á öryggismálum og tekin var sú ákvörðun að útbúa net sem notaði IEEE802.1X auðkenningu. Þessi tilraun tókst vel í Evrópu og fékk netið nafn-ið eduroam. Netið hefur stækkað talsvert síðan og er það nú til í mörgumlöndum um allan heim. Þegar notandi er skráður hjá stofnun sem heldur úti

8

KAFLI 2. NÝTT FYRIRKOMULAG 9

13

Internet

Notandi Auðkenningarþjónn

Auðkennandi

Notendagrunnur

2

Mynd 2.1: Þegar eduroam notanda er veittur aðgangur að eduroam neti,sendir notandi auðkenni sín til auðkennanda (nr. 1 á mynd). Rétt eins og ávenjulegu IEEE 802.1X vörðu neti sendir auðkennandi skilaboð til auðkenn-ingarþjóns heimastofnunar notandans með aðgangsbeiðninni. Ef notandinner að tengjast eduroam neti við aðra stofnun en sína heimastofnun er að-gangsbeiðnin send yfir Internetið til heimastofnunar notanda sem auðkennirnotandann og sendir svo boð til baka um að veita notanda aðgang (nr. 2á mynd). Að þessu loknu veitir svo auðkennandi notanda aðgang að sínunetinu (nr. 3 á mynd).

eduroam neti (t.d. þegar nemandi hefur skólagöngu sína við HÍ) eru auðkennihans skráð í notendagrunn þeirrar stofnunar. Þegar notandi ætlar síðan aðtengjast eduroam neti, hvar sem það er í heiminum, skráir hann sig inn á þaðnet með þeim auðkennum sem heimastofnun hans gaf út. Þessi aðgangsbeiðninotandans er svo send til heimastofnunar hans sem auðkennir notandann ogsendir svo skilaboð til baka um að hleypa honum inn á eduroam (sjá mynd2.1). Með þessu fyrirkomulagi geta notendur með aðgang að eduroam tengstInternetinu á öruggan hátt víðsvegar um heiminn.

2.2.1 RADIUS tré eduroam

Þegar notendur biðja um aðgang að eduroam neti sendir auðkennandinn að-gangsbeiðnina til heimastofnunar notandans. Aðgangsbeiðnin er áframsend

KAFLI 2. NÝTT FYRIRKOMULAG 10

af auðkenningarþjónum sem nota RADIUS (Remote Authentication Dial InUser Service). RADIUS er þjónusta sem veitir aðgangsstýringu, notenda-auðkenningu [RFCb] og bókhald [RFCa] fyrir net. Þegar stofnun setur uppeduroam velur kerfisstjóri RADIUS þjón sem auðkenningarþjón. RADIUSþjónninn sér því um að auðkenna notendur eða áframsenda aðgangsbeiðniráleiðis til RADIUS þjóns þeirrar stofnunar sem beiðnin er merkt. RADIUSþjónninn getur einnig haldið úti bókhaldi um netnotkun notenda (þetta ert.d. hægt að nota til að loka aðgangi eða rukka fyrir prentnotkun).

Til að tryggja að beiðni um aðgang rati til heimastofnunar notanda erRADIUS þjónum komið upp svo þeir myndi tré sem tengir þjónana saman.Neðstir í trénu eru RADIUS þjónar sem fá aðgangsbeiðnir beint frá auðkenn-endum. Ef beiðni er merkt annarri stofnun, áframsenda þeir aðgangsbeiðninaá miðlægan RADIUS landsþjón sem þjónar RADIUS þjónum í viðkomandilandi. Þessir landsþjónar eru yfirleitt reknir af rannsókna og menntanetiviðkomandi lands (t.d. rekur RHnet landsþjóninn fyrir Ísland). Þessir lands-þjónar áframsenda svo aðgangsbeiðnina áleiðis til landsþjóns þeirrar stofn-unar sem beiðnin tilheyrir. Á leiðinni þangað getur hún þurft að fara í gegnum stærri miðlægan þjón sem þjónar mörgum löndum eða heimsálfu. Lands-þjónn heimastofnunarinnar fær svo beiðnina og sér til þess að hún rati tilréttrar stofnunar, sem auðkennir svo notandann. Til að eduroam netið vitihvert á að áframsenda aðgangsbeiðni notanda, þarf notandi að tilgreina hverheimastofnun hans er. Notandi gerir þetta með því að láta lén heimastofn-unarinnar fylgja með notandanafni sínu (t.d. jbb10@hi.is). Þetta lén lesaRADIUS þjónarnir, þegar þeir áframsenda beiðnir til að vita hvert þær eigaað fara (sjá dæmi á mynd 2.2).

2.2.2 eduroam í HÍ

Hver stofnun fyrir sig heldur úti sínu neti sem hún tengir svo við eduroam.Stofnunin ræður upp að vissu marki hvernig hún hagar sínu neti en auð-kenning notenda skal framkvæmd með IEEE 802.1X. Stofnunin heldur útisínum notendagrunni og getur því stýrt aðgangi sinna notenda að eduroam.Stofnanir geta t.d. haldið úti bannlista yfir MAC-vistföng svo hægt sé aðloka aðgangi einstakra tækja líkt og RHÍ gerir. RHÍ er nú þegar búin að inn-leiða eduroam og geta eduroam notendur tengst í mörgum byggingum HÍ.RADIUS þjónn RHÍ er einnig tengdur eduroam netinu svo notendur HÍ getatengst eduroam í byggingum HÍ eða annars staðar í heiminum. IEEE 802.1Xnotendaauðkenning býður upp á margar aðferðir til að auðkenna notendurog geta stofnanir ráðið hvaða aðferð þeir nota fyrir sína notendur svo lengisem eduroam styður aðferðina. Aðferðirnar eru misjafnlega flóknar í uppsetn-ingu og tryggja öryggi í auðkenningu misjafnlega vel. Aðferðirnar sem eru í

KAFLI 2. NÝTT FYRIRKOMULAG 11

jbb10@hi.isjbb10@hi.is

RHnetUNI•C

jbb10@hi.isjbb10@hi.is

jbb10@hi.is

RHÍDTU

Alþjóðlegur

jbb10@hi.is

jbb10@hi.is

Mynd 2.2: Í dæminu á myndinni tengist notandi frá Háskóla Íslands meðnotandanafnið jbb10@hi.is eduroam netinu við DTU háskóla í Danmörku.Þar sem lén notandanafnsins bendir til að notandinn sé ekki í DTU, sendirRADIUS þjónn DTU aðgangsbeiðnina til landsþjónsins í Danmörku. Lands-þjónninn sér að beiðnin á að fara til Íslands svo hann sendir beiðnina áleiðistil Íslands. Í dæminu fer beiðnin í gegn um alþjóðlegan RADIUS þjón en íraunveruleikanum er ekki víst að hún geri það. RHnet rekur svo landsþjónÍslands sem fær beiðnina og áframsendir hana til RHÍ. RADIUS þjónninnhjá RHÍ sér að beiðninni er beint að sér svo hann auðkennir notandann. Efauðkenning tekst eru skilaboð send til baka um að hleypa notanda inn ánetið.

boði eru aðferðir sem byggja á EAP (Extensible Authentication Protocol) ogbýður RHÍ sínum notendum að nota bæði EAP-TTLS (EAP-Tunneled Tran-sport Layer Security) og PEAP (Protected EAP). Notkun MAC-vistfangatil auðkenningar krefst ekki neinna aðgerða af hálfu notenda nema í upphafiþegar MAC-vistfangið er skráð hjá RHÍ. Þegar hins vegar notendur tengjasteduroam þurfa þeir að gefa upp auðkenni sín og misjafnt er á milli stýrikerfaog tækja hvort setja þurfi upp sérstakan hugbúnað til að nota IEEE 802.1Xauðkenningu. Flest tæki í almennri notkun í dag styðja PEAP án nokkurraviðbóta [TER] og til eru öflug tól til að aðstoða notendur við að stilla tækin.Því má gera ráð fyrir að eduroam nái til langflestra núverandi notenda og ereduroam því tilvalinn arftaki HINET.

KAFLI 2. NÝTT FYRIRKOMULAG 12

2.3 eduroam í stað HINETEins og fyrirkomulagið er nú mega notendur skrá MAC-vistföng á tveimurtækjum sem hafa aðgang að HINET. Í nóvember 2011 voru rúmlega 17.000skilgreind tæki sem nota HINET [RHI2011]. Gera má ráð fyrir að tölvu-kunnátta einstaklinga í svona stórum hópi sé allt frá algerum byrjendum, tilreyndra tölvunotenda. Allskyns tæki sem keyra á allskonar stýrikerfum notanetið og skiptir því miklu máli að breytingar á fyrirkomulaginu valdi semminnstri truflun hjá notendum. Ef uppsetningu netsins er breytt þannig aðnotendur þurfi að breyta stillingum á sínum tækjum til að aðlagast breyt-ingunum, gætu þúsundir notenda lent í vandræðum en Reiknistofnun hefurekki bolmagn til að taka við aðstoðarbeiðnum frá slíkum fjölda notenda áeinu bretti. Því skiptir miklu máli að breytingarnar valdi sem minnstu raskihjá notendum.

Markmiðið er að færa notendur af HINET yfir á eduroam. Þar semeduroam er annað þráðlaust net en HINET, munu notendur þurfa að veljaeduroam sérstaklega þegar þeir skipta yfir. Lang flest tæki bjóða upp á aðvista þessar stillingar til að gera notendum auðveldara fyrir. Mestu máliskiptir að tilkynna skiptin vel svo að notendur viti af þeim og lendi ekki ívandræðum þegar HINET er tekið niður. Þegar notendur tengjast eduroamþurfa þeir að gefa upp auðkenni sín. Þessum auðkennum fá notendur úthlut-að við upphaf ferils síns við HÍ og eru þau notuð til að fá aðgang að ýms-um þjónustum (tölvupósti, aðgang í tölvuver, innra vefkerfi (Ugla) o.s.frv.).Mikilvægt er að notendur láti lén háskólans fylgja með notandanafni sínu(notandanafn endar á @hi.is), því tengipunktur netsins (auðkennandi) þarfað vita hvert senda skal auðkenninguna. Til að notendur geti stillt tæki sínþurfa stillingarnar að vera aðgengilegar og helst þurfa leiðbeiningar að fylgjasem sýna hvernig helstu stýrikerfi eru stillt. Þegar notendur eru að stilla tækisitt eru þeir ekki komnir með Internetaðgang svo ekki dugir að setja stillingarog leiðbeiningar á vefsíðu Reiknistofnunnar. Því þarf að koma stillingum ogleiðbeiningum til notanda áður en þeir fá Internetaðgang.

2.4 HINET sem captive portalTil að dreifa álagi á RHÍ og notendur er líklegast best að tilkynna skiptin meðgóðum fyrirvara, a.m.k. nokkrum mánuðum. Þar sem eduroam er nú þegarnothæft gætu notendur því skipt yfir á eduroam þegar þeim hentar fram aðskiptum. Þegar kemur að því að skipta út HINET gætu því margir verið þegarbyrjaðir að nota eduroam. Með áberandi tilkynningum og góðum fyrirvaramá gera ráð fyrir að flestir viti af skiptingunni áður en hún er framkvæmd.

KAFLI 2. NÝTT FYRIRKOMULAG 13

Fyrir þá notendur sem ekki væru byrjaðir að nota eduroam þegar HINETyrði tekið niður gætu skiptin reynst erfið ef þeir hafa ekkert undirbúið sig.Þeir notendur komast ekki á Internetið til að nálgast stillingar fyrir eduroamog þyrftu því að verða sér út um þær á annan hátt. Til þess að gera þessumnotendum skiptin auðveldari væri hægt að halda HINET úti í einhvern tíma(mögulega einhverja mánuði) eftir að skiptin yfir á eduroam eiga sér stað.HINET myndi þó ekki veita sama aðgang að Internetinu og netþjónustumháskólans eins og áður heldur einungis þjóna sem svo kallað captive portalfyrir stillingar og leiðbeiningar fyrir eduroam.

Captive portal er aðferð við að beina athygli notenda að tilteknum upplýs-ingum. Þessi aðferð er víða notuð sem aðgangsstýring að þráðlausum netumá hótelum, flugvöllum, kaffihúsum og ýmsum stöðum sem selja aðgang að In-ternetinu. Þegar notendur tengjast slíku neti er allri þeirra umferð beint aðtiltekinni vefsíðu eða neti. Þessi síða inniheldur þá innskráningarsvæði þarsem notendur gefa upp auðkenni sín eða kaupa aðgang og þegar notendurhafa skráð sig inn fá þeir svo aðgang að Internetinu eða öðrum netþjónust-um. HINET væri þá captive portal sem vísar notendum einungis á vefsíðumeð stillingum og leiðbeiningum fyrir eduroam og fengju notendur ekki að-gang að Internetinu eða öðrum þjónustum. Netið myndi því einungis þjónaþeim tilgangi að aðstoða notendur við að tengjast eduroam og yrði HINETsvo tekið niður þegar ekki þarf að sinna því hlutverki lengur (sjá mynd 2.3).Þessi aðferð byggir á því að notendur opni vefsíðu í vafra þar sem stillinga-síðan kemur í stað síðunnar sem notandi bað um. Ef notandi biður ekki umvefsíðu sér hann ekki stillingasíðuna. Gera má þó ráð fyrir að flestir reyniá einhverjum tímapunkti að opna vefsíðu og finni þá leiðbeiningarnar. Þeirnotendur sem ekki skipta yfir á eduroam, vita ekki af skiptunum og finnaekki stillingasíðuna þyrftu þá að nálgast aðgang að háskólanetinu í tölvuverieða leita sér hjálpar á þjónustuborði RHÍ.

2.5 SU1XÁður en notendur geta auðkennt sig þarf tæki notandans að hafa auðkenn-ingarhugbúnað (e. supplicant) sem styður þá EAP aðferð sem netið notar.Reiknistofnun býður notendum sínum upp á auðkenningu með PEAP ogEAP-TTLS. Þar sem flest stýrikerfi í almennri notkun í dag hafa innbyggð-an auðkenningarhugbúnað fyrir PEAP hentar sú aðferð vel fyrir notendur.Notendur geta þó ekki auðkennt sig nema auðkenningarhugbúnaðurinn séstilltur til að virka með netinu. Þessar stillingar fara eftir uppsetningu RHÍá RADIUS þjóni sínum og þeim þarf að koma til notenda. Stillingar fyrireduroam ásamt leiðbeiningum eru nú þegar í boði á vefsíðu Reiknistofnunnar

KAFLI 2. NÝTT FYRIRKOMULAG 14

eduroam

HINET

Skipti

tilkynnt

HINET verður

captive portal

HINET tekið

niður

Captive portal

Mynd 2.3: Til að flutningur notenda yfir á eduroam og gangi sem best þyrftiað tilkynna skiptin með góðum fyrirvara. Á myndinni táknar ásinn tíma þarsem helstu atburðir eru merktir inn. Á fyrirfram tilkynntri dagsetningu ersvo HINET breytt í captive portal sem þjónar einungis þeim tilgangi að að-stoða notendur við stillingar á eduroam. Þegar flestir notendur hafa skipt erHINET svo endanlega tekið niður og notendur notast eingöngu við eduroam.

svo notendur geta nálgast þær þar. Auðkenningarhugbúnaður hjá notendumer misjafn eftir stýrikerfum og tækjum og misjafnt er hversu auðvelt er aðstilla hann. Í sumum tilfellum getur auðkenningarbúnaðurinn stillt sig sjálf-krafa (t.d. á nýjustu útgáfu Mac OS X fyrir PEAP auðkenningu) en á þeimstýrikerfum sem þetta er ekki í boði þarf notandinn að færa stillingar innhandvirkt. Þetta getur reynst óvönum notendum vandasamt þó að ítarlegarleiðbeiningar fylgi. Því væri ákjósanlegast að geta boðið notendum upp ábúnað sem stillir tækin sjálfkrafa.

SU1X er opinn hugbúnaður sem þróaður var til að auðvelda notendumstillingar á auðkenningarhugbúnaði fyrir IEEE 802.1X auðkenningu. Hug-búnaðurinn var þróaður við Swansea háskóla í Bretlandi [SU1] og er ætlaðurrannsókna- og menntageiranum. Hugbúnaðurinn er stilltur fyrirfram af kerfs-stjóra og síðan dreift til notenda. Notendur ræsa svo hugbúnaðinn á sínumtækjum og sér hugbúnaðurinn um að stilla tækið fyrir notanda svo notandiþurfi ekki að fara í gegn um stillingarferlið. Til að tengjast þurfa notendurþví eingöngu að gefa upp notandanafn sitt og lykilorð. Þetta sparar notend-um mikinn tíma og tryggir að stillingar séu færðar inn rétt. Tólið er hannaðfyrir notkun á Microsoft Windows og Mac OS X og verið er að þróa útgáfurfyrir Android og Linux. Með öllum útgáfum tólsins væri því hægt að veitalangflestum notendum sjálfvirkt uppsetningartól til að tryggja rétta og auð-velda uppsetningu. Hægt væri að stilla hugbúnaðinn fyrir notkun á PEAPeða TTLS fyrir eduroam og dreifa á vefsíðu Reiknistofnunnar. Þegar kemursvo að skiptunum væri hægt að hafa hugbúnaðinn með á captive portal síðuHINET þar sem notendur gætu sótt hann.

KAFLI 2. NÝTT FYRIRKOMULAG 15

2.6 MAC-vistföng á eduroamÞegar nýir notendur fá fyrst aðgang að HINET þurfa þeir að skrá MAC-vistfang sitt hjá Reiknistofnun því MAC-vistfangið er notað til að auðkennanotendur. Í nýja fyrirkomulaginu er ekki þörf á þessu þar sem MAC-vistföngeru ekki notuð til að auðkenna notendur á eduroam. Notendur mega nú skráað hámarki tvö tæki til notkunar á HINET til að koma í veg fyrir að þeir skráivini og vandamenn í kerfið og misnoti þannig netið. Með nýja fyrirkomulaginuþurfa notendur að gefa vinum og vandamönnum auðkenni sín hjá HÍ (semveita m.a. aðgang að Uglu og tölvupósti notanda) til að misnota netið áþennan hátt og er því minni þörf á að takmarka fjölda leyfðra tækja. Meðnýja fyrirkomulaginu má því bjóða notendum upp á að nota eins mörg tækiog þeir vilja, svo lengi sem tækin styðja fyrirkomulag eduroam.

Tryggja þarf að hægt sé að loka á tæki á netinu ef þau misnota netið eðaeru undir stjórn árásarmanns. Þar sem öll tæki tiltekins notanda eru skráð áhann væri einfaldlega hægt að loka aðgangi hans að netinu og stöðva þannigárásina, en þetta er óþarflega stórtækt úrræði. Ef einungis fartölva notandaer undir stjórn árásarmanns er óþarfi að loka á öll tæki hans. Með því aðviðhalda MAC-vistfanga bannlista er hægt að setja einungis smituð tæki álistann og meina þannig einungis þeim tækjum aðgangi. Þá getur notandienn notað önnur tæki til að leita sér ráða eða hafa samband við RHÍ.

2.6.1 Stillingar á RADIUS þjóni

Til að tryggja að smituð tæki fái ekki aðgang að netinu þarf að viðhaldaMAC-vistfanga bannlista og leita í honum í hvert sinn sem notandi tengist.Ef mikið af tækjum eru á bannlista getur skipt máli hvernig uppflettinguí listanum er hagað. Þegar RADIUS þjónninn fær beiðni um auðkenninguþarf hann að byrja á að athuga hvaða léni beiðnin er merkt. Ef beiðnin ermerkt annarri stofnun er hún áframsend yfir RADIUS tréð, en ef þjónninná að afgreiða beiðnina þarf hann að fletta upp í notendatöflunni og MAC-vistfanga bannlistanum. Notendataflan hjá RHÍ inniheldur alla nemendurog flest starfsfólk háskólans og er því fremur stór. Ef aðgangsbeiðni kemurfrá tæki sem er á bannlistanum þarf ekki að fletta upp í notendatöflunni þvívitað er að tækið á ekki að fá aðgang, burtséð frá því hvort auðkenningin sérétt eða ekki. Það er því ódýrara að láta RADIUS þjóninn fletta fyrst upp íbannlistanum áður en flett er upp í notendatöflunni ef bannlistinn er minnien notendataflan. Ef hinsvegar bannlistinn er stærri en notendataflan, snýstþetta við og verður þá ódýrara að fletta fyrst upp í notendatöflunni. Gera máþó ráð fyrir að bannlistinn sé í langflestum tilfellum minni en notendalistinnog sé því hagstæðara að láta RADIUS þjóninn fletta fyrst upp í honum.

Kafli 3

Samantekt og netöryggi

3.1 SamanburðurÞegar skiptingunni er lokið og notendur farnir að tengjast eduroam í staðHINET verður fyrirkomulagið ekki einungis öruggara fyrir notendur, heldureinnig þægilegra. Notendur munu eiga þess kost að tengjast eduroam net-um víðsvegar um heiminn og nota netið óháð tæki. Upphaflegt stillingarferlinotenda verður einnig þægilegra, en smávægilegur munur er á uppsetningar-ferlinu fyrir núverandi notendur og fyrir nýja notendur.

Núverandi notendur munu fá tilkynningu með góðum fyrirvara um skipt-inguna yfir á eduroam. Notendur munu geta nálgast sjálfvirkar stillingar ávefsíðu Reiknistofnunnar og svo á HINET þegar skiptin eiga sér stað. Not-endur þurfa ekki að huga að þegar skráðum MAC-vistföngum og geta notaðnetið óháð tæki.

Nýir notendur fá auðkenni frá RHÍ þegar ferill þeirra hefst við HÍ. Þessiauðkenni nota notendur til að fá aðgang að ýmsum þjónustum, s.s. Uglunniog tölvupósti. Auðkennin veita notendum einnig aðgang að eduroam svonotendur þurfa ekki að huga að MAC-vistfangaskráningu eins og áður og eruþegar komnir með aðgang að háskólanetinu óháð tæki. Notendum yrði þábent á leiðbeiningar og sjálfvirkar stillingar á vefsvæði RHÍ.

Fyrir nýja notendur er ferlið í flestum tilvikum einfaldara en það var áður.Mjög misjafnt er milli stýrikerfa hversu auðvelt er að fletta MAC-vistfangitækisins upp og getur þetta reynst erfitt fyrir hinn almenna tölvunotanda. Ístað þess að notandi þurfi að fletta MAC-vistfangi tækis síns upp og skrá þaðhjá RHÍ þarf hann einungis að sækja sjálfvirku stillingarnar og keyra þær.

16

KAFLI 3. SAMANTEKT OG NETÖRYGGI 17

3.2 eduroam með beintenginguUpphaflega var IEEE 802.1X hannaður fyrir beintengd net (ekki þráðlaus).Þá skipti talsvert minna máli að dulkóða auðkenningarupplýsingar á meðaná auðkenningu stóð og var þá oft notast við EAP aðferðir með slakri eðaengri dulkóðun. Í dag skiptir meira máli að nota öruggar EAP aðferðir,sérstaklega þegar kemur að þráðlausum netum. Þar sem eduroam notarIEEE 802.1X er það ekki takmarkað við þráðlaus net. Stofnanir geta þvíboðið eduroam notendum aðgang á beintengdu neti jafnt sem þráðlausu.eduroam notendur gætu þá tengt tölvur sínar í nettengla í húsnæði stofnanaog fengið beinan aðgang. Þá þurfa skiptar beintengda netsins að geta þjónaðhlutverki auðkennanda og gæti þetta krafist uppfærslu á innviðum netsins.Þó að þráðlaust net noti öfluga dulkóðun og nýjustu öryggisstaðla er í flestumtilfellum öruggara að nota beintengingu.

Þar sem stofnanir bjóða upp á tölvuver fyrir notendur, væri einnig hægt aðnota eduroam. Tölvurnar í tölvuverinu væru þá tengdar neti stofnunarinnarog stilltar fyrir eduroam. Notendur myndu þá nota eduroam aðgang sinntil að skrá sig inn á tölvurnar þar sem þeir hefðu aðgang að Internetinu ogjafnvel fleiri þjónustum sem tiltekin stofnun vill bjóða eduroam notendumupp á. Notendur þyrftu því ekki einu sinni að vera með eigin tölvur heldureinungis að vera með eduroam aðgang.

3.3 SamantektSaga þráðlausra neta í gegn um tíðina hefur ekki verið flekklaus. Bestadæmið um þetta er líklegast WEP staðallinn sem átti að veita jafn gottöryggi og beintenging með netsnúru. Helsta ástæða öryggisgallans í WEPvar sökum slakrar útfærslu þar sem sami lykill var notaður til að dulkóðamikið af upplýsingum. Menn hafa dregið ýmsan lærdóm af þessum mistökumog sem betur fer virðast nýjustu staðlar í dag vera tiltölulega öruggir. Þóer aldrei hægt að vera viss um að þráðlaus samskipti séu örugg og finnastöryggisgallar reglulega. Í desember 2011 fannst stór öryggisgalli í WPA2 semgerir ákveðin net móttækileg gagnvart hættulegri árás [WPS]. Margir nýlegirþráðlausir tengipunktar bjóða upp á WPS (Wi-Fi Protected Setup) til aðauðvelda notendum að tengjast þráðlausum netum. Þá geta notendur komisthjá því að slá inn lykilorð ef þeir hafa beinan aðgang að tengipunktinum.Sumir tengipunktar bjóða upp á sérstakan takka sem notendur ýta á til aðauðkenna tæki sitt inn á netið. Önnur tæki bjóða upp á USB auðkenninguí gegn um usb-lykil eða þráðlausa auðkenningu með NFC tækni (Near fieldcommunication) og enn önnur krefja notendur um PIN númer sem prentað

KAFLI 3. SAMANTEKT OG NETÖRYGGI 18

er á tengipunktinn. Misjafnt er á milli tækja hvaða aðferðir tækin styðja enPIN aðferðin er sú aðferð sem öll WPS tæki styðja og felst öryggisgallinn íþeirri aðferð. Aðferðin byggir á því að giska á PIN númerið sem er 8 tölustafirað lengd (býður upp á 100.000.000 mismunandi PIN númer) en með réttuPIN númeri fær notandi aðgang að netinu. Þar sem alvarlegir gallar eru íútfærslunni á WPS þarf árásarmaður ekki að giska á nema í mesta lagi 11.000og er það ágætlega viðráðanlegur fjöldi. Misjafnt er eftir tækjum hversu hratter hægt að giska á PIN númerið en á þeim tækjum sem útfærðu minnst öryggitók það um fjórar klukkustundir.

Þó svo að öryggisstaðlarnir séu í stöðugri þróun koma reglulega upp ör-yggisholur eins og þessi. Misjafnt er einnig hvað notendur geta gert til aðverjast svona göllum. Til að verjast WPS gallanum er nóg að slökkva á WPSþjónustunni í tengipunktinum en á mörgum tegundum er það ekki í boði.Þegar kemur að notkun á þráðlausum netum geta notendur aldrei verið alvegvissir um að þeir séu alveg öruggir. Það besta sem notendur geta gert er þvíað vera meðvitaðir um áhættur þess að nota þráðlausa tækni og ekki takanetöryggi sem sjálfsögðum hlut.

Heimildir

[WPS] Brute forcing Wi-Fi Protected Setup - When poor design meetspoor implementation. "http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf". Sótt: 25. maí 2012.

[TER] How to deploy eduroam on-site or on campus - ’how to....’eduroam - terena wiki. "https://confluence.terena.org/display/H2eduroam/How+to+deploy+eduroam+on-site+or+on+campus#Howtodeployeduroamon-siteoroncampus-Devicesthatarecompatiblewitheduroam".Sótt: 15. mars 2012.

[ISU] More than 1 billion devices to have embedded wireless network-ing capability - the mobile wireless communications portal atihs isuppli R© provides mobile industry news in addition to upda-tes with the most recent mobile trends. at isuppli. "http://www.isuppli.com/Mobile-and-Wireless-Communications/News/Pages/More-Than-1-Billion-Devices-to-Have-Embedded-Wireless-Networking-Capability.aspx". Sótt: 4. apríl 2012.

[RFCa] RADIUS Accounting. "http://tools.ietf.org/html/rfc2866".Sótt: 25. maí 2012.

[RFCb] Remote Authentication Dial In User Service (RADIUS). "http://tools.ietf.org/html/rfc2865". Sótt: 25. maí 2012.

[SU1] Swansea University 802.1X. "https://su1x.swan.ac.uk/". Sótt: 26.maí 2012.

[IEE2001] (2001). IEEE Standard for Local and Metropolitan Area Networks- Port-Based Network Access Control. IEEE Std 802.1X-2001, síða i.

[RHI2011] (2011). Kennitölur úr rekstri. RHÍ Fréttir, desember 2011(48):23.

19

"http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf""http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf""https://confluence.terena.org/display/H2eduroam/How+to+deploy+eduroam+on-site+or+on+campus#Howtodeployeduroamon-siteoroncampus-Devicesthatarecompatiblewitheduroam""https://confluence.terena.org/display/H2eduroam/How+to+deploy+eduroam+on-site+or+on+campus#Howtodeployeduroamon-siteoroncampus-Devicesthatarecompatiblewitheduroam""https://confluence.terena.org/display/H2eduroam/How+to+deploy+eduroam+on-site+or+on+campus#Howtodeployeduroamon-siteoroncampus-Devicesthatarecompatiblewitheduroam""http://www.isuppli.com/Mobile-and-Wireless-Communications/News/Pages/More-Than-1-Billion-Devices-to-Have-Embedded-Wireless-Networking-Capability.aspx""http://www.isuppli.com/Mobile-and-Wireless-Communications/News/Pages/More-Than-1-Billion-Devices-to-Have-Embedded-Wireless-Networking-Capability.aspx""http://www.isuppli.com/Mobile-and-Wireless-Communications/News/Pages/More-Than-1-Billion-Devices-to-Have-Embedded-Wireless-Networking-Capability.aspx""http://www.isuppli.com/Mobile-and-Wireless-Communications/News/Pages/More-Than-1-Billion-Devices-to-Have-Embedded-Wireless-Networking-Capability.aspx""http://tools.ietf.org/html/rfc2866""http://tools.ietf.org/html/rfc2865""http://tools.ietf.org/html/rfc2865""https://su1x.swan.ac.uk/"

HEIMILDIR 20

[Borisov et al.2001] Borisov, N., Goldberg, I., and Wagner, D. (2001). In-tercepting mobile communications: the insecurity of 802.11. Í Proceed-ings of the 7th annual international conference on Mobile computing andnetworking, MobiCom ’01, síður 180–189, New York, NY, USA. ACM.

[Cisco2002] Cisco (2002). Ieee 802.11. The Internet Protocol Journal, 5(1):2–13.

[Fluhrer et al.2001] Fluhrer, S., Mantin, I., and Shamir, A. (2001). Weak-nesses in the key scheduling algorithm of rc4. In Vaudenay, S. and Youssef,A., editors, Selected Areas in Cryptography, bindi 2259 af Lecture Notes inComputer Science, síður 1–24. Springer Berlin / Heidelberg. 10.1007/3-540-45537-X1.

[Lashkari et al.2009] Lashkari, A., Danesh, M., and Samadi, B. (2009). A sur-vey on wireless security protocols (wep, wpa and wpa2/802.11i). In Compu-ter Science and Information Technology, 2009. ICCSIT 2009. 2nd IEEE In-ternational Conference on, síður 48–52.

[Sepehrdad et al.2011] Sepehrdad, P., Vaudenay, S., and Vuagnoux, M. (2011).Statistical Attack on RC4: Distinguishing WPA. In Advances in Cryptology– EUROCRYPT 2011, bindi 6632 af Lecture Notes in Computer Science,síður 343–363. Springer.

[Wierenga and Florio2005] Wierenga, K. and Florio, L. (2005). Eduroam: past,present and future. Computational Methods in Science and Technology,11(2):169–173.

InngangurNúverandi fyrirkomulagÖryggi og aðgangurÖryggisstaðlarWPA/WPA2 og IEEE 802.1X

HINETÁrás með stolnu MAC-vistfangiMAC-vistfanga bannlisti

Nýtt fyrirkomulagKröfureduroamRADIUS tré eduroameduroam í HÍ

eduroam í stað HINETHINET sem captive portalSU1XMAC-vistföng á eduroamStillingar á RADIUS þjóni

Samantekt og netöryggiSamanburðureduroam með beintenginguSamantekt

Heimildaskrá