Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
netz:wlan:eduroam_bis_18.3.18_neu_konfigurieren [2018/05/22 07:31]
pilawa [JoinNow! - Eduroam bis 18.3.18 neu konfigurieren]
netz:wlan:eduroam_bis_18.3.18_neu_konfigurieren [2019/09/09 12:19] (aktuell)
flohaake [Eduroam: Besondere Hinweise, Empfehlungen]
Zeile 6: Zeile 6:
 ===== Zusammenfassung ===== ===== Zusammenfassung =====
  
-Eine Anpassung der eduroam-Infrastruktur (DFN-PKI Zertifikatswechsel) ist sowohl aus technischer Sicht als auch aufgrund von Erkenntnissen zur Konfiguration von Geräten durch Benutzer und daraus resultierenden inkorrekten und angreifbaren eduroam WLAN Konfigurationen notwendig und für den 18.3.18 terminiert. +Die konkrete Umsetzung „richtiger“ und sicherer Konfigurationen für das eduroam WLAN geschieht am schnellsten und einfachsten durch Verwendung unseres [[https://​cloud.securew2.com/​public/​41878/​eduroam/​|SecureW2 JoinNow Portals]]. .
- +
-Die konkrete Umsetzung „richtiger“ und sicherer Konfigurationen für das eduroam WLAN geschieht am schnellsten und einfachsten durch Verwendung unseres [[https://​cloud.securew2.com/​public/​41878/​eduroam/​|SecureW2 JoinNow Portals]]. ​Eine für fast alle Geräte „passende“ (sichere) Interimskonfiguration steht bis zum Umstellungstermin am 18.3.18 bereit. Für bestimmte Geräte kann jedoch eine  Neukonfiguration erst nach der Infrastrukturumstellung ab 19.03.18 vorgenommen werden. Hiervon sind vor allem einige Versionen/​Herstellervarianten von Android und Linux betroffen.+
  
 Eine manuelle Konfiguration empfehlen wir ausdrücklich nicht. Die für eine sichere Konfiguration des Gerätes nötige Zertifikatsprüfung ist  – unabhängig vom Betriebssystem – sehr unterschiedlich gestaltet, wenig intuitiv und zum Teil in für den Benutzer nicht zugänglichen Systemeinstellungen verborgen. Eine manuelle Konfiguration empfehlen wir ausdrücklich nicht. Die für eine sichere Konfiguration des Gerätes nötige Zertifikatsprüfung ist  – unabhängig vom Betriebssystem – sehr unterschiedlich gestaltet, wenig intuitiv und zum Teil in für den Benutzer nicht zugänglichen Systemeinstellungen verborgen.
- 
-Ihr individuelles Handeln ist notwendig, um auch nach dem 18.3.18 weiterhin eduroam nutzen zu können. Konfigurieren Sie jetzt Ihr(e) Gerät(e) über unser [[https://​cloud.securew2.com/​public/​41878/​eduroam/​|SecureW2 JoinNow Portal]]. 
  
 ===== Sicherheit im Eduroam WLAN ===== ===== Sicherheit im Eduroam WLAN =====
Zeile 29: Zeile 25:
  
 Ein Angriff auf Geräte mit dem Ziel Benutzerkennungen und Passwörter der jeweiligen Benutzer abzugreifen,​ ist für fachlich versierte Angreifer mit überschaubarem Aufwand möglich. Dass ein entsprechendes „Angriffs-Gerät“ kostengünstig erstellt und einfach in einem Rucksack mitgeführt werden kann, hatten wir bei unserem Vortrag zum ECSM 2017 an der TU Braunschweig eindrücklich darstellen können. Ein Angriff auf Geräte mit dem Ziel Benutzerkennungen und Passwörter der jeweiligen Benutzer abzugreifen,​ ist für fachlich versierte Angreifer mit überschaubarem Aufwand möglich. Dass ein entsprechendes „Angriffs-Gerät“ kostengünstig erstellt und einfach in einem Rucksack mitgeführt werden kann, hatten wir bei unserem Vortrag zum ECSM 2017 an der TU Braunschweig eindrücklich darstellen können.
- 
-====== Bis 18.3.18 eduroam für mehr Sicherheit und Roaming richtig konfigurieren ====== 
- 
-Für den Einsatz des Eduroam WLAN an der TU Braunschweig stellen falsch konfigurierte Geräte eine Gefahr sowohl für die betroffenen Benutzer als auch für das Netz der TU im Allgemeinen dar. Ob an einem Gerät die Zertifikate tatsächlich überprüft werden oder nicht, können wir aus den Logfiles der Authentifizierungsinfrastruktur zwar nicht ablesen, jedoch haben wir Grund zu der Annahme, dass ein bedeutender Anteil an Geräten von Hand und hinsichtlich der Zertifikatsüberprüfung falsch konfiguriert sind. Ferner sind fast alle Geräte bei denen wir eine manuelle Konfiguration unterstellen können nicht roaming-konform konfiguriert,​ so dass der roaming-Einsatz an anderen Einrichtungen scheitern wird. 
- 
-Die Kenntnis dieses Missstandes macht ein Handeln notwendig. Im Rahmen einer aus mehreren technischen Gründen ohnehin anstehenden Änderung der Eduroam-Infrastruktur an der TU Braunschweig – wir hatten hierzu bereits im DV-Koordinatoren Newsletter Nr. 39 berichtet – werden wir in naher Zukunft die Konfigurationsvorgaben im eduroam WLAN an der TU enger fassen und mit einer Informationsoffensive den Einsatz unseres Konfigurationsportals SecureW2 JoinNow fördern. Die Verwendung des Portals stellt aus unserer Sicht die für den Benutzer einfachste Möglichkeit dar, seine Geräte den Vorgaben entsprechend und sicher zu konfigurieren. 
-  
-Im Zuge dieser technischen Anpassung der Eduroam-Infrastruktur werden auch die eingesetzten Zertifikate ausgetauscht. Zur Verdeutlichung/​Erinnerung:​ [[https://​doku.rz.tu-bs.de/​doku.php?​id=zertifikate:​root-ca-g2|Die Gültigkeit des Wurzel-Zertifikats „Telekom Root CA2“ endet in naher Zukunft und das Nachfolgezertifikat muss eingeführt werden.]] Die DV-Koordinatoren von Instituten und Einrichtungen hatten wir sowohl zu anstehenden Arbeiten an der Infrastruktur als auch zum anstehenden Zertifikatswechsel bereits über unsere DV-Koordinatoren Newsletter Nr. 39/2017 und Nr. 40/2017 bereits umfassend informiert, jedoch lediglich den Zeitraum für den nun konkret mit 18.3.18 benannten Umstellungstermin umrissen. 
- 
-====== Bis 18.3.18 eduroam WLAN neu konfigurieren ====== 
- 
-**Bis zum Stichtag 18.3.18 müssen alle das eduroam WLAN nutzenden Geräte so neu konfiguriert werden, dass sowohl der Wechsel des Wurzel-Zertifikats als auch die enger gestalteten Konfigurationsvorgaben am jeweiligen Gerät berücksichtigt sind. ** 
- 
-Der Verlust der eduroam WLAN Verbindung droht all jenen Geräten bei denen die Anpassung der Konfiguration nicht bereits im Vorfeld umgesetzt wurde. Auch wird es Geräte geben, die sich nicht bereits im Voraus so konfiguriert werden können, dass sowohl die enger gestalteten Konfigurationsvorgaben als auch der Wechsel der Zertifikate von der alten zur neuen PKI berücksichtigt werden. Sobald die Umstellung in der Infrastruktur vollzogen wurde, müssen diese Geräte neu konfiguriert werden, um wieder eine Verbindung mit dem eduroam WLAN herstellen zu können. ​ 
- 
-Um es ganz deutlich hervorzuheben: ​ 
-<note important>​ 
-  * **Benutzer müssen die eduroam-Konfiguration auf ihren Geräten anpassen.** Dies geschieht am einfachsten durch das Löschen der bestehenden eduroam-Konfiguration und erneuter Konfiguration am besten über die Selbstbedienungsschnittstelle unseres\\ \\ [[https://​cloud.securew2.com/​public/​41878/​eduroam/​|SecureW2 JoinNow Portals]].\\ \\ 
-  * **Diese Konfigurationsanpassung kann bereits jetzt durchgeführt werden.** Über die Selbstbedienungsschnittstelle des SecureW2 JoinNow Portals stellen wir bereits seit mehreren Wochen eine Konfiguration bereit, die sowohl die enger gestalteten Konfigurationsvorgaben als auch den Übergang der Zertifikate von der alten zur neuen PKI berücksichtigt. Eine große Mehrheit aktueller Geräte unterstützt dies. 
-  * Geräte, bei denen eine den Zertifikatswechsel berücksichtigende Konfiguration nicht umgesetzt werden kann, können jederzeit nach der Umstellung der Infrastruktur (ab 19.3.18 über das Portal) neu konfiguriert werden. 
-  * **Alle Geräte, die bis zum Stichtag 18.3.18 nicht neu konfiguriert wurden und sich in der Folge ab 19.3.18 nicht mehr mit dem eduroam WLAN verbinden, können jederzeit nach der Umstellung der Infrastruktur (über das Portal) neu konfiguriert werden**. ​ 
-</​note>​ 
  
 ===== Eduroam: Besondere Hinweise, Empfehlungen ===== ===== Eduroam: Besondere Hinweise, Empfehlungen =====
- 
-Bekannt ist, dass Geräte mit dem Betriebssystem Linux nicht mit mehreren Zertifikaten umgehen können. Dies trifft auch auf ältere Android-Versionen (bis 4.4/5, ggf. herstellerabhängig auch neuere Versionen) zu. Für eine Konfiguration im Vorfeld des Termins am 18.3.18 ist dies jedoch erforderlich. Daher können diese Geräte erst nach der eigentlichen Umstellung am 19.3.18 neu konfiguriert werden. 
  
 Zudem muss angemerkt werden, dass ältere Android-Versionen sich aufgrund von Limitationen des Betriebssystems nicht sicher konfigurieren lassen. Es ergeht die dringende Empfehlung, derartige Geräte nicht mehr einzusetzen. Ferner haben wir bei Benutzern ​ Android Geräte gesehen, die sich nicht konsistent verhielten. Ob hier Modifikationen des Betriebssystems durch die Gerätehersteller zu diesem Verhalten geführt haben, konnte nicht abschließend geklärt werden. Zudem muss angemerkt werden, dass ältere Android-Versionen sich aufgrund von Limitationen des Betriebssystems nicht sicher konfigurieren lassen. Es ergeht die dringende Empfehlung, derartige Geräte nicht mehr einzusetzen. Ferner haben wir bei Benutzern ​ Android Geräte gesehen, die sich nicht konsistent verhielten. Ob hier Modifikationen des Betriebssystems durch die Gerätehersteller zu diesem Verhalten geführt haben, konnte nicht abschließend geklärt werden.
    
-IT-Administratoren aus Instituten und Einrichtungen ​die den **SecureW2 Enterprise Client über automatisierte Softwareverteilung (z.B. SCCM)** auf Geräten installiert haben, ​müssen ​neue Pakete ​mit der aktualisierten Konfiguration erstellen ​und diese auf die Geräte verteilen. Sofern dies an Ihrer Einrichtung eingesetzt ​wird, sprechen Sie uns bitte an unter noc@tu-braunschweig.de. Zentral verwaltete Laptops in der Verwaltung werden seitens des GITZ mit einer aktualisierten Version versorgt.  +IT-Administratoren aus Instituten und Einrichtungen ​können ​den **SecureW2 Enterprise Client über automatisierte Softwareverteilung (z.B. SCCM)** auf Geräte installieren. Hierzu ​müssen ​entsprechende ​Pakete ​erstellt ​und diese auf die Endgeräte verteilt werden. Sofern dies an Ihrer Einrichtung eingesetzt ​werden soll, sprechen Sie uns bitte an unter noc@tu-braunschweig.de. Zentral verwaltete Laptops in der Verwaltung werden seitens des GITZ mit einer aktualisierten Version versorgt. ​
- +
-Für dienstlich bereitgestellte Smartphones im Bereich der Verwaltung werden die betroffenen Benutzer von uns angeschrieben,​ da jeder Benutzer der Verwaltung mit Dienst-Smartphone tätig werden muss.  +
- +
-Als DV-Koordinatoren Ihrer Einrichtung weisen Sie bitte Ihre Benutzer auf den Termin 18.3.18 hin. Sensibilisieren Sie bitte zu der Thematik des Zertifikatswechsels in der DFN-PKI und zur Problematik,​ dass die Sicherheitsmechanismen im Eduroam WLAN nur dann greifen, wenn die Geräte richtig konfiguriert sind.+
    
 Zertifikate bieten nur dann Sicherheit, wenn diese beim Verbindungsaufbau durch das jeweilige Gerät auch geprüft werden. Die Analogie zum Schlosssymbol in der Adressleiste des Browsers beim Besuch gesicherter Webseiten mag hier hilfreich sein, da auch in diesem Beispiel die Sicherheit erst durch Mechanismen im Browser erreicht wird. Anders als das Schlosssymbol im Browser fehlt bezüglich WLAN durchgängig allen Betriebssystemen eine gute Visualisierung anhand derer ein Benutzer eine sichere WLAN-Konfiguration erkennen kann.  Zertifikate bieten nur dann Sicherheit, wenn diese beim Verbindungsaufbau durch das jeweilige Gerät auch geprüft werden. Die Analogie zum Schlosssymbol in der Adressleiste des Browsers beim Besuch gesicherter Webseiten mag hier hilfreich sein, da auch in diesem Beispiel die Sicherheit erst durch Mechanismen im Browser erreicht wird. Anders als das Schlosssymbol im Browser fehlt bezüglich WLAN durchgängig allen Betriebssystemen eine gute Visualisierung anhand derer ein Benutzer eine sichere WLAN-Konfiguration erkennen kann. 
netz/wlan/eduroam_bis_18.3.18_neu_konfigurieren.1526974299.txt.gz · Zuletzt geändert: 2018/05/22 07:31 von pilawa
Gau-IT-Zentrum