WLAN Roaming

Aus LaborWiki
Wechseln zu: Navigation, Suche
 
WLAN Roaming

Release status: experimental [box doku]

Description Zugang zum Labor WLAN mit spacenet und eduroam Kennungen
Author(s)  kjuliane




Der Plan

Derzeit verwendet das WLAN im Labor WPA/WPA2 mit einem festen Key (PSK). Dies ermöglicht theoretisch allen Nutzern des WLANs fremde Verbindungen zu entschlüsseln und somit mitzulesen. Zudem sind für das WLAN entsprechend Zugangsdaten notwendig, die dann auch nur im Labor WLAN funktionieren.

Zunächst zusätzlich zum bestehenden WLAN mit PSK sollen daher ein oder zwei weitere SSIDs (Netzwerknamen) auf den WLAN Access-Points hinzugefügt werden. In diesen Netzen soll zur Authentifizierung nicht WPA/WPA2 mit PSK sondern WPA/WPA2 "Enterprise" mit Authentifizierung nach IEEE 802.1x und EAP zum Einsatz kommen. Hierbei wird vom Nutzer ein Benutzername und ein Passwort abgefragt, diese Daten werden dann gegen einen RADIUS-Server geprüft.

RADIUS ist hierbei in der Lage, abhängig von der Benutzerkennung bzw. der sogenannten Realm (z.B. Benutzerkennung "kjuliane@das-labor.org" -> Realm "das-labor.org") diese Abfragen an andere Radius-Server weiterzuleiten. Auf diese Weise ist es möglich, einen ganzen Verbund von Radius-Servern zu bilden, innerhalb dessen jede Kennung überall funktioniert. Damit ist WLAN "Roaming" möglich, desweiteren ist die Schlüsselgenerierung für die WLAN-Verschlüsselung durch andere Nutzer nicht mehr angreifbar.

Sicherheit und Datenschutz

Bei der hier verwendeten Technik wird die eigentliche Authentifizierung über den RADIUS-Verbund bis zum zuständigen RADIUS-Server getunnelt. Hierbei kommt eine Ende-zu-Ende Verschlüsselung zwischen dem WLAN-Nutzer und dem für ihn zuständigen RADIUS-Server zu Stande. Nur der jeweils zuständige RADIUS-Server kennt daher die Passworte. Die zwischengeschalteten RADIUS-Server können wegen der Verschlüsselung das Passwort nicht mitlesen. Bei korrekter Konfiguration des Clients kennt zudem nur der zuständige RADIUS-Server überhaupt die genaue Benutzerkennung, während die zwischengeschalteten Server nur z.B. "anonymous@das-labor.org" sehen. Das heisst allerdings, daß der Betreiber des WLANs schon die Herkunft der Benutzerkennung (und damit womöglich des Benutzers) sehen kann.

Allerdings sind manche Clients (insbesondere Mobiltelefone) schlecht programmiert und anfällig für Man-in-the-Middle Angriffe. Das heisst, dass ein hypothetischer "böser" Hackerspace unter Umständen die Sicherheit des TLS-Verfahrens unterlaufen und dann die getunnelte Authentifizierung mitlesen kann. Ein solch bösartiger Betreiber könnte dann die volle Identität "user@das-labor.org" sehen und unter Umständen sogar das Passwort knacken (hier kommt dann MD5 oder MSCHAPv2 zum Einsatz). Auf der anderen Seite braucht eine Benutzerkennung "user@das-labor.org" keine nachvollziehbare Zuordnung zu einem Benutzer und könnte auch zufällig generiert und anonym ausgehändigt werden.

Zusammenfassend bedeutet die Verwendung von spacenet in anderen Hackerspaces also, daß der andere Hackerspace theoretisch sehen kann, das ein Benutzer z.B. des Labors in seinem WLAN aktiv ist. Ein bösartiger Hackerspace (sollte es sowas geben) könnte eventuell sogar die ganze Benutzerkennung und vielleicht auch das Passwort aufdecken. Benutzerkennungen können aber anonym und ohne die Möglichkeit der Zuordnung sein. Potentielle Benutzer müssen also abwägen, ob sie mit den beschriebenen Aspekten einverstanden sind. Zudem empfiehlt sich bei der Verwendung von fremden WLANs im Zweifel ein VPN zu verwenden.

Roaming-Netze

spacenet

eduroam

  • SSID "eduroam"
  • Ein Verbund von WLANs von Universitäten, Hochschulen und Forschungseinrichtungen
  • Info: http://www.eduroam.org
  • Status: Bislang keine Option zum Anschluss.

Projekttagebuch

29. Mai 2013

  • spacenet ist mittlerweile auf AP im Labor aktiv.

2. Mai 2013

  • Sicherheitsbedenken nachgetragen und auf Orga das Projekt vorgestellt und um Meinungen gebeten.

1. Mai 2013

  • freeradius auf dem externen Labor-Server installiert, konfiguriert und getestet. Testweise einen Benutzer angelegt.
  • Testweise im heimischen WLAN eine zwei SSID eingerichtet und eine RADIUS-Abfrage gegen den Labor-Server konfiguriert. Getestet, funktioniert.
  • Anschluß des Radius-Server an spacenet ist erfolgt.

30. April 2013

  • Das DFN als für den Anschluss an eduroam zuständiges nationales Forschungsnetz verweigert einen Anschluss. Als Grund wird primär die Sicherheit der Nutzer genannt. Man hat Sorge, daß ein bösartiges WLAN den Datenverkehr der arglosen Nutzer mitlesen würde. Demgegenüber steht allerdings auf eduroam.org die klare Aussage, daß der Anschluss von Dritt-WLANs erwünscht ist und begrüßt wird. Zuständiger Mitarbeiter beim DFN meldete zurück, daß man das intern diskutieren werde.