eduroam – IT@UDE https://blogs.uni-due.de/zim ZIM - Wissen schafft IT Fri, 26 Aug 2016 08:27:33 +0000 de hourly 1 https://wordpress.org/?v=6.7 Warum Sicherheit leider immer kompliziert sein muss – ein separates, neues Passwort für eduroam an der Universität Duisburg-Essen nicht nur gegen die Android Enterprise WPA2-Lücke (WLAN Eduroam Sicherheitslücke Android) https://blogs.uni-due.de/zim/2015/03/24/warum-sicherheit-leider-immer-kompliziert-sein-muss-ein-separates-neues-passwort-fuer-eduroam/ Tue, 24 Mar 2015 16:26:35 +0000 https://blogs.uni-due.de/zim/?p=2174 Weiterlesen ]]> Für technisch Interessierte hier die „ganze“ Android-eduroam-Story.

Auch wenn die dem eduroam-Verbund zugrundeliegende Infrastruktur als sicher gelten kann, könnten doch unzureichend implementierte Radius-Klienten in Mobilgeräten die eigentlich sichere Umgebung untergraben. Bei drahtlosen WLAN-Netzen muss der Client immer überprüfen, ob er mit dem richtigen Accesspoint verbunden ist. Eine SSID (den Namen des WLAN-Netzes) kann jeder Angreifer sehr leicht kopieren. Deshalb sind offene WLANs auch immer gefährlich.

Ein Client kann niemals sicher sein, dass bei einer DNS-Anfrage wirklich die dazu passende IP-Adresse zurückgeliefert wird. Nur wer in offenen Netzen verschlüsselt per https kommuniziert und auch wirklich die in dieser Verbindung verwendeten Zertifikate überprüft, kann sicher sein mit dem richtigen Server verbunden zu sein. Wer im Web Zertifikatswarnungen ignoriert kann dort, wie auch im richtigen Leben, von Betrügern übers Ohr gehauen werden. Bei herkömmlicher WEP- (das Verfahren ist unsicher) oder WPA-Verschlüsselung ist durch das sowohl dem Klienten als auch dem Accesspoint bekannte Passwort sichergestellt mit dem „richtigen“ Accesspoint zu kommunizieren. In Firmen- oder Hochschulnetzen ist ein einfaches WPA-Passwort aber nicht praktikabel und so kommt das Radius-Protokoll ins Spiel. Ursprünglich für die Authentifikation in Modem-Einwahlnetzen konzipiert, kann Radius auch in WLAN-Netzen mit dem Standard 802.1X (ursprünglich vorgesehen für LANs) eingesetzt werden.

Um sicher mit einem Radius-Server zu kommunizieren, werden in 802.1X (Extensible Authentication Protocol) die Methoden TTLS (Tunneled TLS) und PEAP (Protected EAP) eingesetzt. In beiden Fällen handelt es sich prinzipiell um einen sicheren TLS-Tunnel wie er auch von https oder ähnlich bei SSH-Verbindungen genutzt wird. Wie bei diesen Verbindungen ist auch bei Enterprise WPA (802.1X EAP) das Zertifikat entscheidend.
Ohne Überprüfung des Zertifikats gibt es keine sichere Verbindung! Wer auf die Zertifikate im eduroam WLAN verzichtet, handelt grob fahrlässig!

eduroam korrekt konfiguriert

Abb. 1 So ist eduroam korrekt konfiguriert

Übrigens wird die Unikennung nur im Tunnel übertragen, d. h. wenn ein UDE-Nutzer z. B. an der TU-Dortmund unterwegs ist, sehen die Kollegen dort nur die äußere anonyme Identität, welche nach unserer Anleitung „anonymous@uni-due.de“ lauten soll. Der Suffix „uni-due.de“ ist wichtig, damit die Anfrage über die Radius-Server des DFN-Vereins an unsere Radius-Server weitergeleitet werden kann. Innerhalb des sicheren Tunnels kann die Authentifikation mit einem Klartextpasswort (PAP) oder viel sicherer mit MSCHAPv2 stattfinden. Bei MSCHAPv2 werden nur Hashes (challenge/response) ausgetauscht, das Klartext-Passwort wird niemals übertragen. Das auf dem veralteten DES-Verschlüsselungsverfahren beruhende MSCHAPv2 ist aber angreifbar. Klartextauthentifizierung mit PAP sollte aber in keinen Konfigurationsanleitungen mehr empfohlen werden!

Neben der vom DFN-Verein beschriebenen Sicherheitslücke (1) im Android-Radius-Klienten bei der Konfiguration mehrerer Enterprise-WPA-WLAN-Profile, übrigens ein ungewöhnlicher Fall – nur wenige unserer Kunden haben daheim einen eigenen Radiusserver – gibt es weitere Sicherheitslücken, die sich bei unzureichend konfigurierten Klienten ausnutzen lassen. Ein Angriff auf einen unserer Kunden wurde im Mai 2014 mit dem Exploit „PEAP-ing TOM“ (3,4) durchgeführt. Durch diesen Exploit lassen sich nur Geräte angreifen, die unzureichend konfiguriert sind. Ein modifizierter Radius-Server bringt den Android-Klienten dazu sein Passwort per GTC (Generic Token Card, ein one-time Passwort) herauszugeben.

Um per PEAPing TOM angreifbar zu sein, reicht es aus in die Android-WLAN-Konfiguration kein Root-Zertifikat und keine Phase 2-Authentifizierungsmethode einzugeben (Siehe Abbildung 2).

Abb. 2 und 3: oben: So nicht! Ein angreifbares Android Profil - unten: das Angriffswerkzeug

Abb. 2: unten: So nicht! Ein angreifbares Android Profil – oben: das Angriffswerkzeug eduroam2

Leider vertraut Android (in allen Versionen, erst Android 5 ist sicher) auch bei korrekt konfiguriertem eduroam-Zugang allen Zertifikaten unterhalb der Deutschen Telekom Root und nicht nur den Zertifikaten unserer Radius-Server. Daher würde der beschriebene Angriff auch funktionieren, wenn der Angreifer ein gültiges Zertifikat unterhalb der Telekom Root besitzt (2). Auch MSCHAPv2 im inneren Tunnel hilft nicht wirklich zuverlässig, da auch dieses angreifbar ist (5). Alle unsere eduroam-Konfigurationsanleitungen für Android sind seit dem Frühjahr 2014 auf dem aktuellen Stand. Wir können aber nicht sicherstellen, dass nicht noch Kunden mit falscher Konfiguration unterwegs sind. Aufgrund der Vielzahl der mobilen Klienten, deren Integrität nicht immer überprüft werden kann, erschien es uns sinnvoll ein separates WLAN-Passwort einzuführen. Dazu wurden sowohl die zentrale Benutzerverwaltung AUM als auch die Radius-Server angepasst.

Als Reaktion auf die Android-Sicherheitslücken planen alle UAR-Rechenzentren gemeinsam die Einführung eines optionalen separaten Passwortes für eduroam. Übergangsweise wird das bisherige zur Unikennung passende Passwort für eduroam weiterverwendet werden können. Wenn ein Kunde ein separates Passwort konfiguriert, wird ausschließlich dieses für die eduroam-Authentifikation verwendet werden. Mittelfristig wird von den UAR-Rechenzentren eine Authentifikation mit persönlichen Zertifikaten angestrebt.

(1) http://www.dfn-cert.de/aktuell/Google-Android-Eduroam-Zugangsdaten.html

(2) http://h4des.org/blog/index.php?/archives/341-eduroam-WiFi-security-audit-or-why-it-is-
broken-by-design.html

(3) https://www.youtube.com/watch?v=-uqTqJwTFyU

(4) http://www.leviathansecurity.com/blog/peap-at-def-con-21/

(5) http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html

]]>
Stop watching us – IT in Zeiten von PRISM https://blogs.uni-due.de/zim/2013/06/20/stop-watching-us-it-in-zeiten-von-prism/ Thu, 20 Jun 2013 13:11:45 +0000 https://blogs.uni-due.de/zim/?p=1761 Weiterlesen ]]> Welchen Diensten und Anbietern kann man noch trauen? Das fragen sich verunsicherte Nutzer von Datendiensten zurecht im Angesicht der immer neuen Enthüllungen in der  NSA-Affäre bzw. im PRISM-Datenschutzskandal.

Während Experten schon lange vermutet haben, dass Dinge, die technisch möglich sind, von Geheimdiensten auch getan werden (Echelon, mögliche Verbindungen von Facebook zu Geheimdiensten, the guardian 2008),  sind viele begeisterte Nutzer von Web2.0-Diensten nun in Sorge um ihre Privatsphäre.  Das Ausmaß des PRISM-Skandals ist erschreckend, da offensichtlich viele Anbieter von Diensten und Betriebssytemen betroffen sind.

Update: Welche gesellschaftliche Auswirkungen die PRISM-Überwachung haben kann, wird in diesem Youtube-Video eindrücklich und unterhaltsam visualisiert.

Es gibt aber für alle Dienste Alternativen. Etwas Informationsbeschaffung und ein wenig Verzicht auf Bequemlichkeit hilft die Privatsphäre zu stärken und den Datenschutz zu gewährleisten. Unter prism-break.org werden derzeit datenschutzkonforme Alternativen zu vielen Diensten gesammelt und vorgeschlagen.

Was kann der Einzelne nun für seine Privatsphäre tun?

  • Benutzen Sie nicht mehr Google als Standardsuchmaschine.
    Verwenden Sie einfach DuckDuckGo.  Diese Maschine erlaubt eine anonyme Suche und legt kein Nutzerprofil an. Sie üben mit einer solchen Entscheidung Druck auf Google aus, mit den Daten der Nutzer datenschutzkonform umzugehen. Firmen wie Google leben von dem Vertrauen Ihrer Nutzer und werden durch die Abwanderung der Kunden gezwungen, sich dem PRISM-Programm  entgegenzustellen.
  • Vorsicht bei Cloud-Diensten.
    Wenn Sie überhaupt Cloud-Speicherdienste benutzen, verschlüsseln Sie Ihre Daten in einem Truecrypt-Container. Verwenden Sie Alternativen, wie z.B. OwnCloud. In einem durch die Uni Münster initierten Projekt, an dem auch das ZIM teilnimmt, wird übrigens derzeit ein Dropbox-ähnlicher Cloud-Speicher, basierend auf OwnCloud, realisiert. Dieser Dienst wird zukünftig allen Hochschulangehörigen zur Verfügung stehen.
  • Verschlüsseln Sie Ihre Daten.
  • Nehmen Sie Einfluss!
    Wenn Ihnen Ihre Privatsphäre wichtig ist, engagieren Sie sich und machen Sie Ihren Standpunkt bei Ihren Abgeordneten in den Parlamenten deutlich! Update: Schützen Sie Edward Snowden indem Sie die Affäre weiter verfolgen.
  • Verschlüsseln Sie Ihre Kommunikation.
    Chat: Benutzen Sie nicht WhatsApp/Facebook Chat/Google Talk sondern Off-the-Record Messaging.
    Mail: Signieren Sie Ihre Mail. Wenn erforderlich verschlüsseln Sie Ihre Mail.
  • Vorsicht in sozialen Netzwerken.
    Hinterlassen Sie dort keine Daten, die potentielle Arbeitgeber interessieren könnten. Alles war Sie beispielsweise bei Facebook hinterlassen, wird niemals wirklich gelöscht (auch Chat wird aufgezeichnet).
  • Meiden Sie Facebook.
    Dieser Anbieter geht nicht datenschutzkonform mit Ihrer Privatsphäre um. Verwenden Sie diese Alternativen. Schreiben Sie in den sozialen Netzwerken nichts, was Sie nicht auch öffentlich sagen würden.
  • Verwenden Sie Open Source Betriebssysteme (Linux FreeBSD).
    Quelloffene Software kann von Experten auf verborgene Hintertüren oder (viel häufiger) Programmierfehler hin untersucht werden. Bei kommerzieller Closed Source Software müssen Sie auf Gedeih und Verderb dem Anbieter vertrauen, dass Sicherheitslöcher wirklich geschlossen werden und dass keine Zugänge für Geheimdienste eingebaut sind.
    Der Umstieg ist häufig viel einfacher als Sie denken. Wenn Sie Ihren Rechner überwiegend für Office-Anwendungen, E-Mail-Kommunikation und für das Web benutzen, müssen Sie sich nicht umgewöhnen. Wenn Sie mit kommerziell interessanten Forschungsdaten arbeiten, sollten Sie sich fragen ob Sie Betriebssystemen von Microsoft oder Apple diese Daten noch anvertrauen können.
  • Geben Sie niemals Ihre Passwörter weiter!
    Das ZIM/die Hochschule bittet Sie niemals per Mail um eine Passworteingabe. Verwenden Sie niemals gleiche Passwörter für verschiedene Dienste. Lassen Sie niemals Dienste wie z.B. Linkedin (Facebook, Google … etc.) per E-Mail-Passwort-Login in Ihr E-Mail Konto schauen. Sie geben damit Ihren Account aus der Hand und geben die E-Mailadressen Ihrer Kontakte an den Anbieter weiter. Wenn Sie eduroam auf einem Android-Gerät nutzen und Ihr WLAN-Profil bei Google speichern, geben Sie Ihr Uni-Passwort bei Google ab.
    UPDATE 19.7.: Der letzte Satz gewinnt traurige Aktualität, da Google wohl die WLAN-Passwörter bei der Datensichrung unverschlüsselt überträgt und auch unverschlüsselt auf seinen Servern ablegt.
Android_Daten_sichern_bei_Google

Wer auf einem Android-Smartphone Eduroam konfiguriert hat und unter „Einstellungen“ – „Sichern & zurücksetzen“ bei „Meine Daten sichern“ einen Haken eingetragen hat, muss schnellstens sein Uni-Passwort ändern und vorher diesen Haken entfernen! Bei alten Android-Versionen steht das unter „Einstellungen“ – „Datenschutz“.

Was tut das ZIM?

In der  Diskussion um Verlagerung von Diensten in die Cloud werden vom ZIM immer datenschutzkonforme Private Cloud Lösungen als Alternative vorgeschlagen. Daten von Hochschulangehörigen dürfen nicht auf Servern außerhalb Europas gehostet werden, da sonst kein europäisches Datenschutzrecht zur Anwendung kommt.

Einen Dienst, den wir alle benutzen und den es schon viel länger gibt als das Web, ist E-Mail. Auch bei Konfiguration von POP3 und SMTP über SSL bzw. TLS-Verschüsselung, kann nicht von einer sicheren Ende-zu-Ende-Verschlüsselung ausgegangen werden. Auf den Mailbox-Servern Ihres Providers, auch im ZIM, sind ihre Mails immer unverschlüsselt gespeichert. Wenn Sie ein Postfach auf Servern des ZIM verwenden, können Sie aber sicher sein, dass nach den Regeln deutscher Datenschutzgesetzgebung vorgegangen wird. In Deutschland ansässige Provider, wie GMX und Web.de, sind sicherlich viel vertrauenswürdiger, als beispielsweise Google Gmail. Das aktuell propagierte DE-Mail als verbindliche Kommunikation zwischen Ämtern und Bürgern realisiert aber keine sichere Ende-zu-Ende-Verschlüsselung, was Experten seit langer Zeit kritisieren.

Das ZIM stellt für fast alle angebotenen Dienste auch Konfigurationsanleitungen für Open Source Alternativen zur Verfügung. Wir beraten Sie gerne!

]]>
eduroam: mobil unterwegs – überall verbunden https://blogs.uni-due.de/zim/2012/06/03/eduroam-mobil-unterwegs-uberall-verbunden/ Sun, 03 Jun 2012 13:00:33 +0000 https://blogs.uni-due.de/zim/?p=1422 Weiterlesen ]]> Wer als Universitätsangehöriger auf Reisen geht, ist oft auf einen Internet-Zugang angewiesen. Dies ist auch gerade dann notwendig, wenn Daten in der „Uni-Cloud“ (https://blogs.uni-due.de/zim/2011/03/09/die-zim-cloud-oder-zim-in-the-cloud/) der eigenen Universität abgelegt werden. Diese Daten können Dateien auf Fileservern, E-Mails oder auch und Kontaktdaten sein.

Die meisten Hochschulen Deutschlands bilden über den DFN einen WLAN-Verbund, der es ermöglicht, dass Universitätsangehörige das WLAN anderer Universitäten mit nutzen können. Dieses DFNRoaming (http://www.dfn.de/dienstleistungen/dfnroaming/) hört aber nicht an den Grenzen Deutschlands auf, sondern mit eduroam (http://www.eduroam.org/) steht auch ein Netzzugang im europäischen und außereuropäischen Ausland zur Verfügung. Die geografischen Räume sind: USA, Canada, Europa und der asiatisch-pazifische Raum.

Basis für die Nutzung ist immer die eigene Unikennung. Über diese und die Heimat-Universität erfolgt die Authentifizierung und damit der Zugang zum Gast-WLAN.

Wer könnte besser erläutern, was eduroam ist und wie das grundsätzliche Vorgehen bei der Nutzung ist, als eduroam selbst. Hierzu wurde eine Animation erstellt:

[youtube]http://www.youtube.com/watch?v=TVCmcMZS3uA[/youtube]

Doch wie findet man den nächsten Zugang, wo ist die nächste Hochschule, wie weit ist es noch bis dahin? Hierfür gibt es seit einiger Zeit mobile Lösung. Zwei Apps, die die eduroam-Universitäten anzeigen stehen zur Verfügung:

eduroam-companion (in der iOS-Version) bietet vom Funktionsumfang genau das, was zum Finden des nächsten Zuganges nötig ist. Die Datenbank wird regelmäßig aktualisiert und beim Start der App wird auf dem Startbildschirm darüber informiert. Die verfügbaren WLANs werden der Entfernung nach ausgegeben. Eine Kartenansicht ist vorhanden und über die Handy-eigenen Mechanismen erfolgt auch eine Navigation zur gespeicherten Adresse.

Wo Sie WLAN an der UDE finden und wie Sie es einrichten, ist auf den Seiten des ZIM zu finden: http://www.uni-due.de/zim/services/wlan/.

]]>