Finns det kommersiella konkurrenter?

– Bra fråga. När det gäller alternativ som är krypterade och säkra är Homerun1.x eller Ipassconnect två kommersiella exempel. När det gäller okrypterad åtkomst finns till exempel tjänsten Fon och de internationella roamingavtalen mellan telekomoperatörer för wi-fi-åtkomst. Det syns bland annat i Lufthansa-loungen på amerikanska flygplatser, där kan man logga in med sitt Telia Homerun-konto, som alltså också fungerar som en identitetsutfärdare. Dock tar de normalt ut en minutavgift när man roamar.


Som en liten, liten del inuti den här serverstapeln hos Sunet körs de två virtuella instanserna av radius som hanterar hela Sverige.

Vad kan en hacker vilja göra mot Eduroam?

– För någon tid sedan hade vi en incident där vi helt enkelt stängde av ett lärosäte från Eduroam. Det gjorde ont och det var inte roligt för det lärosätet. De hade haft ett intrång på sin identitetsserver med trolig spridning av användarnamn och krypterade lösenord. Då identiteterna användes inom Swamid bröt vi kontakten med Eduroam och web single-sign-on ut, och de fick sätta nya lösenord för de studenter som skulle använda sig av Eduroam.

– Det har hänt, och det är hanterat. Det var kanske det viktiga, att vi kunde hantera det. Det är möjligt att det kan komma att hända igen, och då får man bryta kontakten igen, säger Valter Nordh.
– Tänk dig kostnaden i arbetstid för att varje användare ska komma till helpdesken och identifiera sig med id-kort och få ut ett nytt lösenord. Låt oss säga att det är 10 000 stycken och det kostar 50 kronor per person. Det lönar sig för lärosätena att hålla en stor, stark mur runt sina identitetsservrar eftersom det är ett av de dyraste system man kan få intrång i.


En av de stora Juniper-routrar som hanterar hela den svenska universitetstrafiken på Sunet.

Risk för attack
Det finns en teoretisk möjlighet att 802.1x-supplikanten kan konfigureras fel i klienten, så att man i de fall man använder användarnamn och lösenord kan bli utsatt för en man-in-the-middle-attack om man inte korrekt verifierar namnet och den tillhörande signeringsroten på den identifierande radius-servern. Det finns tyvärr vissa klienter som inte stöder verifiering av både radius-servernamn och signeringsrot. Det här avhjälps dock genom att man nyttjar en egen signeringsrot som man själv har kontroll över.

Sida 5 / 6
Föregående Nästa

Innehållsförteckning

Fakta

Så fungerar 802.1x och Eduroam

802.1x är ett identifikationsprotokoll som innebär att man autentiseras mot radius-servrar. När man vill logga in kommer klienten att tala med en accesspunkt via ett ssid, initialt enbart på mac-adresslagret. Accesspunkten kommer inte att dela ut ett ip-nummer förrän en radius-server har godkänt användaren. Det här används ofta i företagsmiljöer när man vill släppa in tillfälliga användare.

Det fina med Eduroam är att flera radius-servrar är kedjade så att man kan skicka en förfrågan vidare om det aktuella lärosätets server inte känner till den del av nätverket som efterfrågas och kan svara ja eller nej. Förfrågan går i så fall vidare till landsdomänen. Om inte Sverige kan svara ja eller nej går frågan vidare till Europadomänen som då vet vart frågan ska ta vägen.

Hela routningen bygger på att universitetet del av nätverket (dess realm) finns med i användarnamnet. Kommer exempelvis användarnamnet kalle@gu.se från någonstans i Europa kommer förfrågan att gå till .se, som skickar den till .gu (Göteborgs Universitet). .gu kommer att autentisera och svara ja.

Svaret går tillbaka till accesspunkten, som släpper ut kalle@gu.se på internet.

Läs mer

Eduroam i Sverige:
www.eduroam.se

Eduroam internationellt:
www.eduroam.org

Swamid:
www.swamid.se

Swamid:s policy för att säkra identiteter (pdf):
tinytw.se/swasec

Skolfederationen, Swamids:s motsvarighet för grund och gymnasieskolor:
tinytw.se/skolfed

Om att sträcka ut Eduroam utanför lärosätena (pdf):
tinytw.se/eduout