Dies ist eine alte Version des Dokuments!


JoinNow! - Eduroam sicher konfigurieren

Im Eduroam WLAN noch nicht online?
Jetzt Eduroam sicher konfigurieren.

Zusammenfassung

Eine Anpassung der eduroam-Infrastruktur (DFN-PKI Zertifikatswechsel) ist sowohl aus technischer Sicht als auch aufgrund von Erkenntnissen zur Konfiguration von Geräten durch Benutzer und daraus resultierenden inkorrekten und angreifbaren eduroam WLAN Konfigurationen notwendig und für den 18.3.18 terminiert.

Die konkrete Umsetzung „richtiger“ und sicherer Konfigurationen für das eduroam WLAN geschieht am schnellsten und einfachsten durch Verwendung unseres SecureW2 JoinNow Portals. Eine für fast alle Geräte „passende“ (sichere) Interimskonfiguration steht bis zum Umstellungstermin am 18.3.18 bereit. Für bestimmte Geräte kann jedoch eine Neukonfiguration erst nach der Infrastrukturumstellung ab 19.03.18 vorgenommen werden. Hiervon sind vor allem einige Versionen/Herstellervarianten von Android und Linux betroffen.

Eine manuelle Konfiguration empfehlen wir ausdrücklich nicht. Die für eine sichere Konfiguration des Gerätes nötige Zertifikatsprüfung ist – unabhängig vom Betriebssystem – sehr unterschiedlich gestaltet, wenig intuitiv und zum Teil in für den Benutzer nicht zugänglichen Systemeinstellungen verborgen.

Ihr individuelles Handeln ist notwendig, um auch nach dem 18.3.18 weiterhin eduroam nutzen zu können. Konfigurieren Sie jetzt Ihr(e) Gerät(e) über unser SecureW2 JoinNow Portal.

Sicherheit im Eduroam WLAN

Eduroam ist das zentrale WLAN an der TU Braunschweig. Die Funknetzkennung (SSID) eduroam steht auf dem Campus überall dort zur Verfügung, wo Access Points das Funknetz des zentralen WLAN aufspannen. Neben speziellen Einsatzmöglichkeiten wie beispielsweise als Instituts-WLAN auf dem Campus der TU zeichnet sich eduroam generell durch zwei wesentliche Aspekte aus:

  • Weltweites Roaming; gemeint ist damit die Internetnutzung sowohl an der Heimateinrichtung als auch an anderen Einrichtungen von Forschung und Lehre weltweit, ohne dass der heimische eduroam WLAN-Zugang neu konfiguriert werden muss, da – korrekte Konfiguration vorausgesetzt – WLAN-Anmeldungen an anderen Einrichtungen an die jeweilige Heimateinrichtung des Benutzers weiterleitet werden.
  • Sicherer, über moderne Methoden verschlüsselter und authentifizierter Zugang. Dabei wird eine zertifikatsbasierte Absicherung der Kommunikation eingesetzt, ähnlich wie sie auch bei https zwischen Browser und Webserver verwendet wird. Hier werden Zertifikate aus der DFN-PKI eingesetzt.

Dabei hängt die Sicherheit im eduroam WLAN wesentlich davon ab, dass die Geräte beim Verbinden über Zertifikate abgesichert mit dem für die Authentifizierung zuständigen Server kommunizieren. Zwar werden Zertifikate aus der DFN-PKI eingesetzt, jedoch kommt es für eine sichere Kommunikation darauf an, dass von den Geräten diese Zertifikate auch auf Validität (u.a. Zertifikatskette, Gültigkeit) geprüft werden.

Dies kann auf (fast) allem Geräten/Betriebssystemen durch richtige Konfiguration erreicht werden. Ist die Konfiguration falsch oder unvollständig, so dass das Zertifikat am Gerät (den Smartphone, dem Notebook etc.) nicht überprüft wird, besteht die Gefahr, dass sowohl Benutzerkennung und Passwort bei der Anmeldung als auch die Kommunikation innerhalb einer eduroam WLAN Verbindung von Dritten abgegriffen werden können.

Zwar ist es hierzu in erster Linie notwendig, dass Angreifer und Angegriffener in räumlicher Nähe (Funkreichweite) sein müssen, allerdings tragen hier zwei Faktoren negativ zur Gefährdung der Geräte mit bei:

  • Benutzer schalten selten selektiv ihre WLAN-Adapter an ihren Geräten aus/ein.
  • WLAN Funknetze werden vielfach so konfiguriert, dass eine Verbindung automatisch aufgebaut wird, sobald das Funknetz in Reichweite ist.

Ein Angriff auf Geräte mit dem Ziel Benutzerkennungen und Passwörter der jeweiligen Benutzer abzugreifen, ist für fachlich versierte Angreifer mit überschaubarem Aufwand möglich. Dass ein entsprechendes „Angriffs-Gerät“ kostengünstig erstellt und einfach in einem Rucksack mitgeführt werden kann, hatten wir bei unserem Vortrag zum ECSM 2017 an der TU Braunschweig eindrücklich darstellen können.

Bis 18.3.18 eduroam für mehr Sicherheit und Roaming richtig konfigurieren

Für den Einsatz des Eduroam WLAN an der TU Braunschweig stellen falsch konfigurierte Geräte eine Gefahr sowohl für die betroffenen Benutzer als auch für das Netz der TU im Allgemeinen dar. Ob an einem Gerät die Zertifikate tatsächlich überprüft werden oder nicht, können wir aus den Logfiles der Authentifizierungsinfrastruktur zwar nicht ablesen, jedoch haben wir Grund zu der Annahme, dass ein bedeutender Anteil an Geräten von Hand und hinsichtlich der Zertifikatsüberprüfung falsch konfiguriert sind. Ferner sind fast alle Geräte bei denen wir eine manuelle Konfiguration unterstellen können nicht roaming-konform konfiguriert, so dass der roaming-Einsatz an anderen Einrichtungen scheitern wird.

Die Kenntnis dieses Missstandes macht ein Handeln notwendig. Im Rahmen einer aus mehreren technischen Gründen ohnehin anstehenden Änderung der Eduroam-Infrastruktur an der TU Braunschweig – wir hatten hierzu bereits im DV-Koordinatoren Newsletter Nr. 39 berichtet – werden wir in naher Zukunft die Konfigurationsvorgaben im eduroam WLAN an der TU enger fassen und mit einer Informationsoffensive den Einsatz unseres Konfigurationsportals SecureW2 JoinNow fördern. Die Verwendung des Portals stellt aus unserer Sicht die für den Benutzer einfachste Möglichkeit dar, seine Geräte den Vorgaben entsprechend und sicher zu konfigurieren.

Im Zuge dieser technischen Anpassung der Eduroam-Infrastruktur werden auch die eingesetzten Zertifikate ausgetauscht. Zur Verdeutlichung/Erinnerung: Die Gültigkeit des Wurzel-Zertifikats „Telekom Root CA2“ endet in naher Zukunft und das Nachfolgezertifikat muss eingeführt werden. Die DV-Koordinatoren von Instituten und Einrichtungen hatten wir sowohl zu anstehenden Arbeiten an der Infrastruktur als auch zum anstehenden Zertifikatswechsel bereits über unsere DV-Koordinatoren Newsletter Nr. 39/2017 und Nr. 40/2017 bereits umfassend informiert, jedoch lediglich den Zeitraum für den nun konkret mit 18.3.18 benannten Umstellungstermin umrissen.

Bis 18.3.18 eduroam WLAN neu konfigurieren

Bis zum Stichtag 18.3.18 müssen alle das eduroam WLAN nutzenden Geräte so neu konfiguriert werden, dass sowohl der Wechsel des Wurzel-Zertifikats als auch die enger gestalteten Konfigurationsvorgaben am jeweiligen Gerät berücksichtigt sind.

Der Verlust der eduroam WLAN Verbindung droht all jenen Geräten bei denen die Anpassung der Konfiguration nicht bereits im Vorfeld umgesetzt wurde. Auch wird es Geräte geben, die sich nicht bereits im Voraus so konfiguriert werden können, dass sowohl die enger gestalteten Konfigurationsvorgaben als auch der Wechsel der Zertifikate von der alten zur neuen PKI berücksichtigt werden. Sobald die Umstellung in der Infrastruktur vollzogen wurde, müssen diese Geräte neu konfiguriert werden, um wieder eine Verbindung mit dem eduroam WLAN herstellen zu können.

Um es ganz deutlich hervorzuheben:

  • Benutzer müssen die eduroam-Konfiguration auf ihren Geräten anpassen. Dies geschieht am einfachsten durch das Löschen der bestehenden eduroam-Konfiguration und erneuter Konfiguration am besten über die Selbstbedienungsschnittstelle unseres

    SecureW2 JoinNow Portals.

  • Diese Konfigurationsanpassung kann bereits jetzt durchgeführt werden. Ãœber die Selbstbedienungsschnittstelle des SecureW2 JoinNow Portals stellen wir bereits seit mehreren Wochen eine Konfiguration bereit, die sowohl die enger gestalteten Konfigurationsvorgaben als auch den Ãœbergang der Zertifikate von der alten zur neuen PKI berücksichtigt. Eine große Mehrheit aktueller Geräte unterstützt dies.
  • Geräte, bei denen eine den Zertifikatswechsel berücksichtigende Konfiguration nicht umgesetzt werden kann, können jederzeit nach der Umstellung der Infrastruktur (ab 19.3.18 über das Portal) neu konfiguriert werden.
  • Alle Geräte, die bis zum Stichtag 18.3.18 nicht neu konfiguriert wurden und sich in der Folge ab 19.3.18 nicht mehr mit dem eduroam WLAN verbinden, können jederzeit nach der Umstellung der Infrastruktur (über das Portal) neu konfiguriert werden.

Eduroam: Besondere Hinweise, Empfehlungen

Bekannt ist, dass Geräte mit dem Betriebssystem Linux nicht mit mehreren Zertifikaten umgehen können. Dies trifft auch auf ältere Android-Versionen (bis 4.4/5, ggf. herstellerabhängig auch neuere Versionen) zu. Für eine Konfiguration im Vorfeld des Termins am 18.3.18 ist dies jedoch erforderlich. Daher können diese Geräte erst nach der eigentlichen Umstellung am 19.3.18 neu konfiguriert werden.

Zudem muss angemerkt werden, dass ältere Android-Versionen sich aufgrund von Limitationen des Betriebssystems nicht sicher konfigurieren lassen. Es ergeht die dringende Empfehlung, derartige Geräte nicht mehr einzusetzen. Ferner haben wir bei Benutzern Android Geräte gesehen, die sich nicht konsistent verhielten. Ob hier Modifikationen des Betriebssystems durch die Gerätehersteller zu diesem Verhalten geführt haben, konnte nicht abschließend geklärt werden.

IT-Administratoren aus Instituten und Einrichtungen die den SecureW2 Enterprise Client über automatisierte Softwareverteilung (z.B. SCCM) auf Geräten installiert haben, müssen neue Pakete mit der aktualisierten Konfiguration erstellen und diese auf die Geräte verteilen. Sofern dies an Ihrer Einrichtung eingesetzt wird, sprechen Sie uns bitte an unter noc@tu-braunschweig.de. Zentral verwaltete Laptops in der Verwaltung werden seitens des GITZ mit einer aktualisierten Version versorgt.

Für dienstlich bereitgestellte Smartphones im Bereich der Verwaltung werden die betroffenen Benutzer von uns angeschrieben, da jeder Benutzer der Verwaltung mit Dienst-Smartphone tätig werden muss.

Als DV-Koordinatoren Ihrer Einrichtung weisen Sie bitte Ihre Benutzer auf den Termin 18.3.18 hin. Sensibilisieren Sie bitte zu der Thematik des Zertifikatswechsels in der DFN-PKI und zur Problematik, dass die Sicherheitsmechanismen im Eduroam WLAN nur dann greifen, wenn die Geräte richtig konfiguriert sind.

Zertifikate bieten nur dann Sicherheit, wenn diese beim Verbindungsaufbau durch das jeweilige Gerät auch geprüft werden. Die Analogie zum Schlosssymbol in der Adressleiste des Browsers beim Besuch gesicherter Webseiten mag hier hilfreich sein, da auch in diesem Beispiel die Sicherheit erst durch Mechanismen im Browser erreicht wird. Anders als das Schlosssymbol im Browser fehlt bezüglich WLAN durchgängig allen Betriebssystemen eine gute Visualisierung anhand derer ein Benutzer eine sichere WLAN-Konfiguration erkennen kann.

Die Kenntnis der grundlegenden Konfigurationsparameter hilft daher dem Benutzer nicht, insbesondere die richtige Konfiguration der Zertifikate ist entweder nicht oder nicht intuitiv durch den Benutzer möglich, weshalb wir von einer manuellen Konfiguration explizit abraten. Wir stellen die Benutzung der zentral bereitgestellten Selbstbedienungsschnittstelle des SecureW2 JoinNow Portals anheim. Für Fragen wenden Sie sich bitte an noc@tu-braunschweig.de

netz/wlan/eduroam_bis_18.3.18_neu_konfigurieren.1526974299.txt.gz · Zuletzt geändert: 2018/05/22 09:31 von pilawa
Gauß-IT-Zentrum