Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Autentikointipalvelimen ja päätelaitteen autentikoinnin yhteydessä käytettävä varmenneketju koostuu juurivarmenteesta, mahdollisista välivarmenteista sekä palvelinvarmenteesta. Päätelaitteessa tulee olla vähintään luotettu juurivarmenne ennen eduroam-autentikoinnin aloittamista. Päätelaitteissa on vaihtelevasti tunnettujen CA:iden varmenteita, ja itseallekirjoitetut niistä luonnollisesti puuttuvat kokonaan. Ylläpitäjien tulee toteuttaa juurivarmenteen jakelu tai tuottaa käyttöjärjestelmäkohtainen loppukäyttäjäohjeistus siitä miten ja mistä varmenteen voi noutaa ja asentaa. Loppukäyttäjien avuksi suunnattuja helppokäyttöisiä provisiointisovelluksia, kuten eduroam CAT:ia kannattaa hyödyntää mahdollisuuksien mukaan. 

 

Section
Column
width550px

Image Modified Koko varmenneketjun määritteleminen eduroam CAT -profiiliin.

Column

Toimivuuden kannalta koko varmenneketjun tallentaminen päätelaitteeseen provisiointityökalulla on varmin ratkaisu. Tästä esimerkkinä Applen käyttöjärjestelmillä (ainakin iOS 7 ja 8) on ollut ongelmia TCS:n varmenneketjun kanssa, koska ketjun nykyinen välivarmenne on aiemmin ollut itseallekirjoitettu juurivarmenne. Käyttöjärjestelmässä esiasennettuna ja luotettuna on varmenteen itseallekirjoitettu versio, eikä iOS siksi kaikissa tilanteissa hyväksy saman varmenteen uutta versiota EAP-kättelyn yhteydessä palvelimen lähettämänä. Provisiointisovelluksella asennettaessa ongelmaa ei ole. Oheisessa eduroam CAT -kuvakaappauksessa palveluun on oikeaoppisesti liitetty juurivarmenteen (R = Root) lisäksi myös varmenneketjun välivarmenteet (I = Intermediate).

RADIUS-tunnistautumispalvelin lähettää autentikointivaiheessa vähintään palvelinvarmenteen. Varmenneketjun välivarmenteet voidaan siirtää EAP-autentikoinnin yhteydessä tai ne voidaan tallentaa päätelaitteeseen juurivarmenteen tavoin etukäteen. Jos välivarmenteet ovat valmiina päätelaitteessa, vähenee EAP-kättelyn tiedonsiirron tarve, mikä nopeuttaa autentikointia. Varmenneketjussa voi olla useita välivarmenteita, ja määrän lisääntyessä myös autentikoinnin ajallinen kesto pitenee.

Erityisesti omalla CA:lla tehtynä varmenteiden kokoon tulee kiinnittää huomiota. Kasvava koko paitsi pidentää kättelyä, saattaa myös keskeyttää sen kokonaan. Päätelaitteiden yleinen maksimikoko varmenneketjulle on 64 kilotavua, mikä edellyttää noin 60 edestakaista EAP-lähetystä. Monet tukiasemat katkaisevat EAP-kättelyn jo 50 lähetyksen kohdalla. [4]


2.3 Varmenteen ominaisuudet

Seuraavassa on listattu muutamia varmenteiden ominaisuuksia sekä niihin liittyviä suosituksia. Ohjeilla pyritään mahdollisimman hyvään yhteensopivuuteen erilaisten päätelaitteiden ja käyttöjärjestelmien kanssa.

Palvelimen nimi

Palvelimen nimi tulee syöttää varmenteen Subject-kenttään nimitiedoksi (CN, Common Name) täydellisenä toimialuenimenä (FQDN, Fully Qualified Domain Name). Suositeltavaa on asettaa sama nimi myös subjectAltName-tietoihin. Niin sanottuja wildcard-nimiä ei pidä käyttää.

Allekirjoitusalgoritmi

Suositeltavin on SHA-2 (esim. SHA-256). SHA-1-algoritmin tuki on hiljalleen päättymässä, ja MD5-algoritmia ei pitäisi käyttää enää missään.

Avaimen pituus

Jotkut käyttöjärjestelmät eivät hyväksy alle 1024-bittisiä avaimia. Uusiin ympäristöihin kannattaa ottaa käyttöön 2048-bittiset avaimet.

CRL Extension

Windows 8 ja Windows Phone 8 vaativat tai ne on mahdollista konfiguroida vaatimaan CRL URL, jolloin URL on oltava oikeanmuotoinen. Kumpikaan käyttöjärjestelmä ei kuitenkaan lataa varsinaista CRL-tiedostoa, vaikka URL olisi määritelty.

BasicConstraint Extension

Ainakin OS X Mountain Lionin kanssa on todettu ongelmia jos BasicConstraint-määritys puuttuu. Asetuksen on oltava “CA:FALSE (critical)”, eli palvelinvarmenne ei ole CA-varmenne.

X509v3 Extended Key Usage (EKU)

Windowsit edellyttävät, että määriteltynä on vähintään yksi ominaisuus. EAP-käytössä eduroamissa ominaisuutena on "Server authentication".

Lähteet: [4] [5] [6]

3. Käyttäjätuki

Kun eduroam on otettu kampuksella käyttöön, sen olemassaolosta tulee viestiä kattavasti. Lisäksi tarvitaan käyttöjärjestelmäkohtainen selkeä ohjeistus eduroamin tietoturvallisesta konfiguroinnista eri päätelaitteisiin. Omien laitteiden käytön tukemiseksi on suositeltavaa tuottaa loppukäyttäjäohjeistukset, koska eduroamissa tyypillisesti käytetään enemmän omia laitteita kuin organisaation omassa keskitetyssä ylläpidossa olevia. Korkeakouluissa eduroamin tietoturvallisesta käyttöönotosta kannattaa kertoa uusien opiskelijoiden ja henkilökunnan perehdytystilaisuuksissa.

Ylläpitäjiltä on vastuutonta neuvoa ohjeissa ohittamaan varmennetarkistukset, vaikka siten saatetaankin päästä ohjeistuksissa helpommalla. Tämä kuitenkin heikentää tietoturvaa ja ohjaa käyttäjiä vääränlaiseen toimintatapaan. Tietyt käyttöjärjestelmät on myös helppo konfiguroida väärin ja vieläpä niin, että verkko toimii kotiverkossa, mutta ei vierailtaessa muun organisaation ylläpitämässä eduroamissa. Selkeyden vuoksi kirjautuminen ilman realmia kotiverkossa tulisi estää. Ilman realmia tehty konfiguraatio saa muuten aikaan sen, että konfiguraatio on näennäisesti oikea kotiverkkoon, mutta roamauskelvoton vierailtaessa muualla.

Ohjeita ja suosituksia eduroam-tuen toteuttamiseen löytyy muun muassa terena.orgista [7].

Erinomainen työkalu loppukäyttäjien eduroam-käyttöönoton helpottamiseen on jo edellä mainittu eduroam CAT [6]. Työkalulla verkkoylläpitäjät voivat luoda omille käyttäjilleen helppokäyttöiset organisaatiokohtaiset eduroam-asennuspaketit. Oman eduroam-verkon tiedot kuten RADIUS-palvelimen nimi, tuetut EAP-tyypit sekä varmenneketju syötetään CAT-palveluun, joka generoi valmiit asennuspaketit. Kun määritykset ovat valmiit, käyttäjät voivat noutaa asennuspaketit CAT-sivustolta. Esimerkiksi omaan intranetiin CAT-linkin voi luoda niin, että käyttäjä päätyy suoraan oman organisaation asennuspakettien lataussivulle. Asennusohjelmien käyttö ei edellytä käyttäjältä verkko-osaamista. CAT:n on todettu vähentävän IT-tuen tehtäviä eduroam-asioissa kun virheellisten konfigurointien määrä on vähentynyt. Palvelun käyttö on maksutonta, ja käyttöönotto aloitetaan ottamalla yhteyttä omaan paikalliseen NRENiin, Suomessa Funetiin.

4. Lähteet

[1] The eduroam architecture for network roaming, [https://tools.ietf.org/html/draft-wierenga-ietf-eduroam-05]

[2] Elenkov, Nikolay: Android Security Internals: An In-Depth Guide to Android's Security Architecture, 2015, s. 248-249

[3] Csc.fi: Funetin palvelut, Varmennepalvelu [https://www.csc.fi/-/varmennepalvelu]

[4] Freeradius.org: Certificate Compatibility [http://wiki.freeradius.org/guide/Certificate-Compatibility] 

[5] Terena.org: EAP Server Certificate considerations [https://wiki.terena.org/display/H2eduroam/EAP+Server+Certificate+considerations]

[6] Microsoft.com: Certificate requirements when you use EAP-TLS or PEAP with EAP-TLS [https://support.microsoft.com/en-us/kb/814394]

[7] Terena.org: How to offer helpdesk support to end users [https://wiki.terena.org/display/H2eduroam/How+to+offer+helpdesk+support+to+end+users]

[8] eduroam CAT [https://cat.eduroam.org/]


...