JoinNow! - Eduroam sicher konfigurieren

Im Eduroam WLAN noch nicht online?
Jetzt Eduroam sicher konfigurieren.

Zusammenfassung

Die konkrete Umsetzung „richtiger“ und sicherer Konfigurationen für das eduroam WLAN geschieht am schnellsten und einfachsten durch Verwendung unseres SecureW2 JoinNow Portals. .

Eine manuelle Konfiguration empfehlen wir ausdrücklich nicht. Die für eine sichere Konfiguration des Gerätes nötige Zertifikatsprüfung ist – unabhängig vom Betriebssystem – sehr unterschiedlich gestaltet, wenig intuitiv und zum Teil in für den Benutzer nicht zugänglichen Systemeinstellungen verborgen.

Sicherheit im Eduroam WLAN

Eduroam ist das zentrale WLAN an der TU Braunschweig. Die Funknetzkennung (SSID) eduroam steht auf dem Campus überall dort zur Verfügung, wo Access Points das Funknetz des zentralen WLAN aufspannen. Neben speziellen Einsatzmöglichkeiten wie beispielsweise als Instituts-WLAN auf dem Campus der TU zeichnet sich eduroam generell durch zwei wesentliche Aspekte aus:

  • Weltweites Roaming; gemeint ist damit die Internetnutzung sowohl an der Heimateinrichtung als auch an anderen Einrichtungen von Forschung und Lehre weltweit, ohne dass der heimische eduroam WLAN-Zugang neu konfiguriert werden muss, da – korrekte Konfiguration vorausgesetzt – WLAN-Anmeldungen an anderen Einrichtungen an die jeweilige Heimateinrichtung des Benutzers weitergeleitet werden.
  • Sicherer, über moderne Methoden verschlüsselter und authentifizierter Zugang. Dabei wird eine zertifikatsbasierte Absicherung der Kommunikation eingesetzt, ähnlich wie sie auch bei https zwischen Browser und Webserver verwendet wird. Hier werden Zertifikate aus der DFN-PKI eingesetzt.

Dabei hängt die Sicherheit im eduroam WLAN wesentlich davon ab, dass die Geräte beim Verbinden über Zertifikate abgesichert mit dem für die Authentifizierung zuständigen Server kommunizieren. Zwar werden Zertifikate aus der DFN-PKI eingesetzt, jedoch kommt es für eine sichere Kommunikation darauf an, dass von den Geräten diese Zertifikate auch auf Validität (u.a. Zertifikatskette, Gültigkeit) geprüft werden.

Dies kann auf (fast) allen Geräten/Betriebssystemen durch richtige Konfiguration erreicht werden. Ist die Konfiguration falsch oder unvollständig, sodass das Zertifikat am Gerät (dem Smartphone, dem Notebook etc.) nicht überprüft wird, besteht die Gefahr, dass sowohl Benutzerkennung und Passwort bei der Anmeldung als auch die Kommunikation innerhalb einer eduroam WLAN Verbindung von Dritten abgegriffen werden können.

Zwar ist es hierzu in erster Linie notwendig, dass Angreifer und Angegriffener in räumlicher Nähe (Funkreichweite) sein müssen, allerdings tragen hier zwei Faktoren negativ zur Gefährdung der Geräte mit bei:

  • Benutzer schalten selten selektiv ihre WLAN-Adapter an ihren Geräten aus/ein.
  • WLAN Funknetze werden vielfach so konfiguriert, dass eine Verbindung automatisch aufgebaut wird, sobald das Funknetz in Reichweite ist.

Ein Angriff auf Geräte mit dem Ziel Benutzerkennungen und Passwörter der jeweiligen Benutzer abzugreifen, ist für fachlich versierte Angreifer mit überschaubarem Aufwand möglich. Dass ein entsprechendes „Angriffs-Gerät“ kostengünstig erstellt und einfach in einem Rucksack mitgeführt werden kann, hatten wir bei unserem Vortrag zum ECSM 2017 an der TU Braunschweig eindrücklich darstellen können.

Eduroam: Besondere Hinweise, Empfehlungen

Zudem muss angemerkt werden, dass ältere Android-Versionen sich aufgrund von Limitationen des Betriebssystems nicht sicher konfigurieren lassen. Es ergeht die dringende Empfehlung, derartige Geräte nicht mehr einzusetzen. Ferner haben wir bei Benutzern Android Geräte gesehen, die sich nicht konsistent verhielten. Ob hier Modifikationen des Betriebssystems durch die Gerätehersteller zu diesem Verhalten geführt haben, konnte nicht abschließend geklärt werden.

IT-Administratoren aus Instituten und Einrichtungen können den SecureW2 Enterprise Client über automatisierte Softwareverteilung (z.B. SCCM) auf Geräte installieren. Hierzu müssen entsprechende Pakete erstellt und diese auf die Endgeräte verteilt werden. Sofern dies an Ihrer Einrichtung eingesetzt werden soll, sprechen Sie uns bitte an unter noc@tu-braunschweig.de. Zentral verwaltete Laptops in der Verwaltung werden seitens des GITZ mit einer aktualisierten Version versorgt.

Zertifikate bieten nur dann Sicherheit, wenn diese beim Verbindungsaufbau durch das jeweilige Gerät auch geprüft werden. Die Analogie zum Schlosssymbol in der Adressleiste des Browsers beim Besuch gesicherter Webseiten mag hier hilfreich sein, da auch in diesem Beispiel die Sicherheit erst durch Mechanismen im Browser erreicht wird. Anders als das Schlosssymbol im Browser fehlt bezüglich WLAN durchgängig allen Betriebssystemen eine gute Visualisierung anhand derer ein Benutzer eine sichere WLAN-Konfiguration erkennen kann.

Die Kenntnis der grundlegenden Konfigurationsparameter hilft daher dem Benutzer nicht, insbesondere die richtige Konfiguration der Zertifikate ist entweder nicht oder nicht intuitiv durch den Benutzer möglich, weshalb wir von einer manuellen Konfiguration explizit abraten. Wir stellen die Benutzung der zentral bereitgestellten Selbstbedienungsschnittstelle des SecureW2 JoinNow Portals anheim. Für Fragen wenden Sie sich bitte an noc@tu-braunschweig.de

netz/wlan/eduroam_bis_18.3.18_neu_konfigurieren.txt · Zuletzt geändert: 2022/03/28 16:47 von minbecir
Gauß-IT-Zentrum