Bedenken zu eduroam

Der ZID der TU Graz beschäftigt sich schon seit einiger Zeit mit der Frage, ob die TU Graz an WLAN-Roaming teilnehmen soll. Erste Initiativen (Greenspot) wurden bereits 2003 gesetzt und seit es eduroam gibt, wird auch darüber diskutiert. Die TU Graz nimmt inzwischen schon lange an eduroam teil, bis Anfang 2015 wurde aber nach Anmeldung im WLAN nur VPN unterstützt.

Wir waren (und sind noch immer) immer der Meinung, daß VPN (wie früher auch in der Schweiz eingesetzt: SWITCHconnect Classic - SWITCHmobile) auch zur Anmeldung verwendet werden sollte, die TERENA Taskforce eduroam hat sich aber aufgrund der guten Skalierbarkeit aus mehreren Varianten (pdf) für 802.1X und eine RADIUS-Proxy-Infrastruktur als Zugangsmethode entschieden, obwohl einige - unserer Meinung nach gravierende - Punkte dagegen sprechen:

  • 802.1X-Supplicants sind noch immer nicht für alle Betriebssysteme (frei) verfügbar, gerade im Umfeld einer technischen Universität wird aber nicht nur Windows eingesetzt.
  • Die RADIUS-Proxy-Infrastruktur skaliert zwar sehr gut, bietet aber im Prinzip in jedem Knoten die Möglichkeit die Userdaten anzugreifen (MITM-Angriff), daher kommt an der TU Graz auch ein eigenes eduroam-Paßwort zum Einsatz.
  • Angehörige fremder Einrichtungen bekommen IP-Adressen des Gastgebers zugeteilt, der Gastgeber kennt die Benutzungsordnung (Security-Policy etc.) der Heimatorganisation des Gastes nicht, der Gast die des Gastgebers und eventuelle nationale Gesetze (z. B. Urheberrecht) nicht.
  • Der Umgang bei „Incidents“ (sicherheits- oder rechtsrelevanten Vorfällen) ist noch nicht verbindlich geklärt.
Aus diesen Gründen haben wir sehr früh beschlossen für eduroam ein eigenes Kennwort einzuführen.
Nachdem dann immer mehr Angriffsvektoren bekannt wurden, haben uns das fast alle Universitäten in Österreich nachgemacht, wir haben das generell auf Netzzugänge ausgedehnt.