Bedenken zu eduroam

Der ZID der TU Graz beschäftigt sich schon seit der Jahrtausendwende mit der Frage, ob die TU Graz an WLAN-Roaming teilnehmen soll. Erste Initiativen (Greenspot) wurden bereits 2003 gesetzt und seit es Pläne für eduroam gab, wurde auch über eine Teilnahme diskutiert. Die TU Graz nimmt inzwischen schon lange an eduroam teil, bis Anfang 2015 wurde aber nach Anmeldung im WLAN nur VPN unterstützt.

Wir waren (und sind noch immer) der Meinung, dass VPN (wie früher auch in der Schweiz eingesetzt: SWITCHconnect Classic - SWITCHmobile) auch zur Anmeldung verwendet werden sollte, weil einige - unserer Meinung nach gravierende - Punkte gegen die Lösung mit 802.1X sprechen:

  • 802.1X-Supplicants sind noch immer nicht für alle Betriebssysteme (frei) verfügbar, gerade im Umfeld einer technischen Universität wird aber nicht nur Windows eingesetzt.
  • Die RADIUS-Proxy-Infrastruktur skaliert zwar sehr gut, bietet aber im Prinzip in jedem Knoten und durch rogue Access-Points die Möglichkeit die Userdaten anzugreifen (MITM-Angriff), daher kommt an der TU Graz auch ein eigenes Netzzugangskennwort zum Einsatz (was inzwischen viele andere Einrichtungen auch so handhaben).
  • Angehörige fremder Einrichtungen bekommen IP-Adressen des Gastgebers zugeteilt, der Gastgeber kennt die Benutzungsordnung (Security-Policy etc.) der Heimatorganisation des Gastes nicht, der Gast die des Gastgebers und eventuelle nationale Gesetze (z. B. Urheberrecht) nicht.
  • Der Umgang bei „Incidents“ (sicherheits- oder rechtsrelevanten Vorfälle) ist nicht verbindlich geklärt.

Die TERENA (Vorläufer von GÉANT) Taskforce eduroam hat sich aber aufgrund der guten Skalierbarkeit aus mehreren möglichen Varianten für 802.1X und eine RADIUS-Proxy-Infrastruktur als Zugangsmethode entschieden, das ist nun ein weltweiter Quasi-Standard geworden.