Spécifications techniques


Ce document décrit les modalités de mise en oeuvre du service de mobilité eduroam.
Version : $Revision: 1.19 $, $Date: 2016/11/22 08:50:51 $

Architecture

Chaque établissement raccorde son ou ses serveurs RADIUS au serveur proxy national (doublé) à qui il délègue toute demande d'authentification qui n'est pas de son ressort. Le serveur national remonte au serveur européen toutes les demandes ne concernant aucun des établissements français. Ces requêtes sont alors acheminées vers le bon pays puis l'établissement concerné. Les réponses suivent le chemin inverse.

Architecture

Le compte eduroam-fr

Ce compte, géré par les exploitants du service, est associé à l'établissement titulaire d'un agrément RENATER ayant souscrit au service mobilité. Il permet de gérer les informations nécessaires au fonctionnement du service au niveau national. Il est accessible au(x) correspondant(s) enregistré(s) dans PASS à l'url https://services.eduroam.fr/ et créé automatiquement par la demande d'adhésion au service mobilité.
L'authentification est réalisée via la fédération d'identité Éducation-Recherche. Si l'établissement du correspondant n'en fait partie, il lui est possible de se créer un compte.

Principales informations gérées :

  • noms de domaines (realms Radius) : tout utilisateur de la communauté eduroam a un identifiant de la forme [user]@[domaine]. La partie [domaine] est, à priori, un domaine DNS de l'établissement et doit se terminer par ".fr" (exemple : "cru.fr") ou, éventuellement, en ".eu" après accord des exploitants. C'est logiquement la partie domaine (ou une sous-partie) de l'identifiant institutionnel stocké dans l'attribut eduPersonPrincipalName des entrées de personnes dans l'annuaire SupAnn de l'établissement. Il peut en être déclaré plusieurs. Seuls ceux des communautés susceptibles d'utiliser le service eduroam doivent être déclarés.
  • serveur RADIUS principal : adresse ou nom du serveur principal
  • serveur(s) RADIUS de secours : adresse(s) ou nom(s) du ou des serveurs de secours
  • ports : port utilisé pour l'authentification (ne pas utiliser l'accounting vers les proxies)
  • type d'authentification : la ou les méthodes d'authentification EAP utilisées
  • secret partagé : le secret partagé entre les serveurs RADIUS nationaux et les serveurs de l'établissement. Un secret initial est proposé, il peut être modifié
  • compte de test : afin d'effectuer des tests et de surveiller la disponibilité du service, un compte de test identique (même nom, même mot de passe) sur tous les realms déclarés sera créé. Le nom par défaut est "arredu" et un mot de passe est proposé automatiquement à la création du compte eduroam. Il est conseillé de le changer de temps en temps. Ce compte pourra être communiqué à d'autres correspondants eduroam-fr pour effectuer des tests de toute la chaîne entre eux et le site concerné.
  • SSID : identifiant du service ("eduroam" si chiffrement WPA2-AES) Le SSID à utiliser pour le service eduroam sera indiqué sur les pages d'informations du service et sur le portail Wi-Fi si un tel portail existe.
  • chiffrement radio : chiffrement mis en oeuvre au niveau 802.11 (WPA2-AES). Voir recommandations ci-dessous.
  • type de serveur : logiciel ou appliance RADIUS utilisé
  • pages d'information : url des pages publiques décrivant le service eduroam mis en place localement
  • coordonnées du service d'assistance : email et téléphone du service d'assistance. Ces informations ne seront pas rediffusées
  • coordonnées du correspondant eduroam-fr
  • Latitude du site : latitude pour le positionnement sur la carte
  • Longitude du site : latitude pour le positionnement sur la carte

Infrastructure RADIUS, configuration

Ce document est un bon point de départ pour configurer un serveur eduroam.

Cas des serveurs Microsoft : ce document décrit la mise en oeuvre de serveur NPS dans le cadre d'eduroam.

Précisions :

  • noms de domaines (realms) : configurer les domaines choisis (dans proxy.conf dans le cas de FreeRadius)
  • méthodes d'authentification : configurer la ou les méthodes d'authentification choisies (radius.conf, eap.conf dans le cas de FreeRadius)
  • compte de test : configurer pour chaque domaine le compte de test enregistré dans le compte eduroam-fr (users par exemple dans le cas de FreeRadius)
  • sécurisation : les clients (points d'accès) et serveurs RADIUS doivent être configurés et administrés dans les règles de l'art (patchs de sécurité par exemple) et situés sur des réseaux/vlans dédiés. Le trafic RADIUS ne doit pouvoir être intercepté en aucun point de la chaîne.
  • proxies nationaux de rattachement : configurer les proxies nationaux (rad1.eduroam.fr et rad2.eduroam.fr, ports 1812/1813) avec le secret partagé associé (clients.conf et proxy.conf dans le cas de FreeRadius)

Exemple pour proxy.conf, dans le cas de FreeRadius 2.x :


# 1er proxy national :
home_server rad1.eduroam.fr {
        type            = auth
        ipaddr          = 193.49.160.187
        port            = 1812
        secret          = 
        require_message_authenticator = yes
        response_window = 20
        zombie_period   = 40
        status_check    = status-server
        check_interval  = 20
        num_answers_to_alive = 3
}

# 2eme proxy national :
home_server rad2.eduroam.fr {
        type            = auth
        ipaddr          = 193.49.159.82
        port            = 1812
        secret          = 
        require_message_authenticator = yes
        response_window = 20
        zombie_period   = 40
        status_check    = status-server
        check_interval  = 20
        num_answers_to_alive = 3
}

home_server_pool pool-eduroam-fr {
        type = fail-over
	home_server = rad1.eduroam.fr
	home_server = rad2.eduroam.fr
}

realm  DEFAULT {
       auth_pool = pool-eduroam-fr
       nostrip
}
Exemple pour clients.conf, dans le cas de FreeRadius 2.x :


# 1er proxy national :
client  193.49.160.187 {
        secret          = 
        shortname       = rad1.eduroam.fr
}

# 2ème proxy national :
client  193.49.159.82 {
        secret          = 
        shortname       = rad2.eduroam.fr
}

Tests, mise au point :

Afin de vous permettre de tester l'infrastructure, notamment la possibilité pour un utilisateur nomade de se connecter lors de son passage dans votre établissement, un compte de test spécifique à votre établissement est disponible. Ses caractéristiques sont les suivantes:

  • User: <votre realm>@cru.fr (example : renater.fr@cru.fr)
  • Password: <le mot de passe de votre compte de test>
Bien entendu, les caractéristiques exactes de ce compte ne sont pas à divulguer.

Infrastructure sans fil, recommandations

  • type : 802.11g
  • canaux utilisés : pour pouvoir accueillir des visiteurs provenant de pays dont la réglementation d'utilisation de la bande 2.4GHz est plus restrictive que la nôtre, il est conseillé de ne pas utiliser les canaux au-delà de 11 pour les points d'accès eduroam.
  • SSID : le choix effectué dans le cadre d'eduroam est "eduroam". Il doit être diffusé par les bornes (broadcast) et associé au chiffrement WPA2-AES (cf ci-dessous). Si un autre SSID est utilisé les visiteurs doivent en être informés.
  • chiffrement : doit être WPA2-AES dans le cadre du profil standard eduroam. Si ce chiffrement n'est pas possible il faut utiliser un SSID de la forme eduroam-chiffrement soit "eduroam-wpa2-tkip" pour WPA2-TKIP, "eduroam-wpa-tkip" pour WPA-TKIP ou "eduroam-wpa-aes" pour WPA-AES. Le WEP est exclu. Le(s) type(s) de chiffrement utilisé devra(ont) être indiqué(s) sur les pages d'informations.
  • support de 802.1X : les points d'accès au service eduroam doivent mettre en oeuvre le protocole d'accès 802.1X
  • DHCP : un service DHCP doit communiquer les informations réseau de base aux clients
  • services réseau accessibles : il ne devrait pas y avoir de filtrage sortant, dans le cas contraire au moins les services suivants doivent être ouverts vers l'Internet :
    • HTTP et HTTPS,
    • domaine (DNS),
    • ICMP (echo/reply),
    • IPSec (ESP, AH, IKE),
    • OpenVPN,
    • SSH,
    • POPs,
    • IMAPs,
    • NTP,
    • submission (smtp/auth),
  • protection vis à vis de l'extérieur : le réseau d'accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'extérieur
  • un visiteur ne devra pas pouvoir se connecter via un accès n'offrant pas les garanties demandées dans la charte (portails captifs par exemple) sans être dûment informé que ses credentials et/ou son trafic peuvent être interceptés.

Filtrage, firewall

Il faudra veiller à laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement 1812/UDP).
Attention à bien laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux : les serveurs FreeRadius utilisent le port 1814 comme port source de requêtes, les réponses ont donc ce numéro comme port destination.

Méthodes d'authentification, certificats

Le respect des critères de sécurisation garantis aux utilisateurs à travers la charte du service implique l'utilisation de méthodes d'authentification sûres et mutuelles c'est-à dire à base de tunnel SSL avec authentification du serveur d'authentification par le client.
Ces méthodes sont :
  • EAP/TLS
  • EAP/TTLS
  • EAP/PEAP
Les serveurs RADIUS doivent être configurés pour imposer l'usage d'une de ces méthodes pour les utilisateurs du service eduroam. Toute tentative de connexion sur un accès eduroam n'utilisant pas une de ces méthodes doit être rejetée. Toutes ces méthodes impliquent l'utilisation d'un certificat côté serveur. Ce certificat doit être vérifié côté client.
L'utilisation de certificat commercial n'est pas nécessaire, voire pas souhaitable. Ce document décrit ce qu'il faut savoir sur les certificats utilisés pour EAP.

Traçabilité

L'établissement doit garder les traces nécessaires à l'identification d'un usager à partir de l'adresse IP utilisée en cas d'abus constaté : accounting RADIUS local, logs DHCP, NAT,... Ces traces doivent comporter un horodatage fiable.

Cas des portails web dit captifs

Ces portails posent généralement des problèmes de sécurité à plusieurs niveaux :
  • de par l'absence de 802.1X, il n'y a pas de protection du contenu des requêtes RADIUS. Il y a un risque de crackage si le flux RADIUS peut être intercepté à un endroit quelconque de la chaîne. Les mots de passe peuvent également être exposés par le simple fonctionnement en mode debug de l'un des serveurs RADIUS traversés. La compromission de la machine supportant le portail exposerait les données d'authentification des utilisateurs.
  • le lien radio n'étant pas protégé, le trafic des utilisateurs est "à la disposition" de tous ceux qui sont dans la zône de couverture du point d'accès (voire plus).
  • outre l'interception des données (éventuellement sensibles), des attaques de type MIM sont possibles ainsi que le vol de session (faux point d'accès, faux portail, faux serveur d'authentification...) pouvant révéler les crédentiels des usagers.

Pour ces raisons ce type d'accès ne peut être utilisé dans le cadre d'eduroam. Les établissements en ayant déployé devront veiller à ce qu'ils n'utilisent pas l'infrastructure eduroam et mettre en garde clairement, sur la page d'accueil de leur portail, les utilisateurs sur les risques liés et indiquer comment utiliser les accès protégés 802.1X.

Pages web

Chaque établissement doit mettre en ligne une rubrique web publique décrivant le service eduroam local (SSID utilisé, chiffrement supporté, zônes couvertes,...) en français et en anglais. S'il offre une page "portail" ouverte (accessible sans authentification par les visiteurs) il pourra y référencer cette rubrique ainsi qu'autoriser l'accès au site eduroam.fr.

L'url de la page "portail" ou, sinon, de la page en anglais, sera communiquée dans les informations du compte eduroam et sera publiée sur le site eduroam.fr.

Utilisation

  • Même si ce n'est pas techniquement nécessaire en local, prendre l'habitude d'entrer le nom d'utilisateur qualifié (avec le realm) dans les clients 802.1X. Comme cela il n'y aura rien à changer lors de connexions à l'extérieur.
  • Pour protéger l'identifiant des utilisateurs il est recommandé d'utiliser une identité "externe" (outer identity) du genre anonymous@domaine.fr. Attention à bien la qualifier pour éviter l'éventualité de session TLS s'arrêtant au serveur RADIUS de l'établissement visité et de session RADIUS standard ensuite vers le serveur d'établissement d'origine.
  • Suivant les clients 802.1X utilisés il peut être nécessaire d'ajuster le type de chiffrement de la liaison sans fil conformément au choix du site visité.
  • L'utilitaire Configuration Assistant Tool (CAT) permet d'automatiser la configuration des clients. Pour en profiter il suffit d'en demander l'accès à support@renater.fr en précisant l'établissement concerné. Un jeton d'activation sera retourné pour créer votre compte d'administrateur CAT.

PS : Vérifiez que les requêtes utilisant anonymous@domaine.fr comme outer identitiy, ne sont pas rejetées par le RADIUS d'authentification. Ceci est visible via la page de monitoring.

Formation/information

L'établissement doit informer ses utilisateurs :
  • sur la façon d'utiliser les accès 802.1X (éventuellement en fournissant des clients et/ou en configurant les postes clients), et attirer leur attention sur l'authentification nécessaire de leur serveur RADIUS d'authentification
  • de l'existence et de l'intérêt de l'infrastructure eduroam et de la façon de l'utiliser
  • que la charte RENATER s'applique également sur les autres sites français partenaires
  • que des règles semblables sont en vigueur sur les sites étrangers adhérant à eduroam
  • de respecter les règles d'utilisation du réseau d'accueil
  • que le service d'assistance réseau (de l'établissement de rattachement, cf ci-dessous) doit être contacté en cas de problème de connexion sur un autre site et leur en communiquer les coordonnées.

L'établissement doit informer les visiteurs :

  • de la façon d'accéder au service (par l'intermédiaire d'une page de portail web "captif" par exemple)
  • des éventuelles conditions d'utilisation des ressources mises à leur disposition

Support

Chaque établissement doit offrir un service d'assistance à ses utilisateurs pour les aider, en particulier, dans la mise en oeuvre et la configuration des clients 802.1X, en cas de perte ou de vol de credentials, de problème lors de leurs déplacements sur un autre site eduroam, etc ...

Ce service n'a pas à être sollicité par les visiteurs. Ceux-ci doivent s'adresser à leur propre support en cas de problème.