eduroam e 802.1X: Autenticação WiFi Segura para o Ensino Superior

ROTEIRO DE PODCAST: eduroam e 802.1X — Autenticação WiFi Segura para o Ensino Superior Duração: aproximadamente 10 minutos Voz: Inglês britânico, masculino, tom de consultor sénior — confiante, coloquial, autoritário --- [INTRODUÇÃO — 1 minuto] Bem-vindos de volta. Vou passar os próximos dez minutos a orientar-vos pelo eduroam e 802.1X — o que são, como funcionam realmente nos bastidores e o que a vossa equipa precisa de saber antes de implementar ou integrar com qualquer um deles. Se é gestor de TI, arquiteto de rede ou CTO numa universidade, faculdade ou instituição de investigação — ou se é um operador de espaço que precisa de compreender o que os seus visitantes académicos esperam da sua infraestrutura wireless — esta é a sessão informativa para si. Comecemos pela visão geral. O eduroam significa "education roaming". É um serviço global de roaming WiFi que permite a estudantes, investigadores e funcionários de instituições parceiras ligarem-se à internet em qualquer local aderente — de forma automática, segura e utilizando as credenciais da sua instituição de origem. Sem portais de convidados. Sem códigos de vouchers. Sem pedir a palavra-passe na receção. Está em funcionamento desde 2003, abrange atualmente mais de 10.000 instituições em mais de 100 países e é o padrão de facto para redes wireless de campus no ensino superior em todo o mundo. Se a sua organização se cruza com universidades — quer seja um hotel perto de um campus, um centro de congressos que acolhe eventos académicos ou uma biblioteca pública numa cidade universitária — compreender o eduroam é diretamente relevante para a sua estratégia de rede. --- [MERGULHO TÉCNICO PROFUNDO — 5 minutos] Muito bem. Vamos à mecânica. O eduroam é construído com base no IEEE 802.1X — o padrão de controlo de acesso à rede baseado em portas. O 802.1X define uma estrutura para autenticar dispositivos antes de lhes ser concedido acesso a uma rede. Foi originalmente concebido para Ethernet com fios, mas adapta-se perfeitamente ao wireless, sendo a base do que chamamos segurança WPA2-Enterprise ou WPA3-Enterprise. O modelo 802.1X tem três componentes. Primeiro, o Supplicant — que é o dispositivo que se tenta ligar. O portátil de um estudante, o telemóvel de um investigador. Segundo, o Authenticator — que é o seu ponto de acesso à rede ou switch gerido. Fica posicionado entre o supplicant e o resto da rede, atuando como um guardião. Terceiro, o Authentication Server — quase sempre um servidor RADIUS. RADIUS significa Remote Authentication Dial-In User Service. É o componente que realmente valida as credenciais. Eis como funciona o handshake. O dispositivo do estudante associa-se ao ponto de acesso sem fios. O ponto de acesso ainda não concede acesso total à rede — abre o que se chama uma porta controlada, mas apenas para tráfego EAP. O EAP é o Extensible Authentication Protocol. O ponto de acesso faz o proxy da conversação EAP entre o dispositivo e o servidor RADIUS. O servidor RADIUS desafia o dispositivo, o dispositivo responde com credenciais — tipicamente um nome de utilizador e palavra-passe, ou um certificado — e se o servidor RADIUS estiver satisfeito, envia de volta uma mensagem de Access-Accept. O ponto de acesso abre então a porta de rede total. Toda a troca demora menos de dois segundos numa implementação bem configurada. Agora, onde é que o eduroam se posiciona acima disto? O eduroam utiliza uma infraestrutura hierárquica de proxy RADIUS. Cada instituição participante gere o seu próprio servidor RADIUS — chamado Provedor de Identidade, ou IdP. Quando um estudante, por exemplo, da Universidade de Manchester visita o Imperial College London e se liga ao SSID eduroam, o seu dispositivo envia as suas credenciais no formato utilizador@manchester.ac.uk. O servidor RADIUS do Imperial vê o realm — que é a parte após o símbolo @ — e faz o proxy do pedido de autenticação para o servidor RADIUS nacional, que é operado no Reino Unido pela Jisc, a rede nacional de investigação e educação. A Jisc encaminha então o pedido para o servidor RADIUS da Universidade de Manchester, que valida as credenciais e envia de volta um Accept ou Reject. Toda a cadeia resolve-se em milissegundos. Esta cadeia de proxy é o que faz o eduroam funcionar além das fronteiras institucionais sem quaisquer segredos partilhados previamente entre instituições. Cada salto na cadeia utiliza um segredo RADIUS partilhado apenas com o seu vizinho imediato. A palavra-passe real do estudante nunca sai do servidor RADIUS da instituição de origem — está protegida de ponta a ponta pelo túnel EAP. Falando de métodos EAP — é aqui que muitas implementações correm mal, por isso preste atenção. Os métodos EAP mais comuns no eduroam são o PEAP — Protected EAP — e o EAP-TLS. O PEAP envolve um método de autenticação interno, normalmente o MSCHAPv2, dentro de um túnel TLS. Requer um certificado do lado do servidor no servidor RADIUS, mas o cliente apenas necessita de um nome de utilizador e palavra-passe. O EAP-TLS é a opção mais segura — utiliza autenticação mútua por certificado, o que significa que tanto o servidor como o cliente apresentam certificados. É mais difícil de implementar em grande escala porque necessita de uma PKI para emitir certificados de cliente, mas é essencialmente imune a phishing de credenciais. O requisito de segurança crítico que muitas instituições falham é a validação do certificado no lado do cliente. Quando um dispositivo se liga ao eduroam utilizando PEAP, o dispositivo tem de verificar o certificado do servidor RADIUS antes de submeter as credenciais. Se o dispositivo estiver mal configurado para aceitar qualquer certificado, um atacante pode criar um ponto de acesso falso que transmita o SSID eduroam, apresentar um certificado autoassinado e recolher credenciais. Este é um vetor de ataque conhecido. A solução passa por configurar os seus perfis de suplicante — via MDM para dispositivos geridos, ou via eduroam Configuration Assistant Tool, conhecido como CAT, para dispositivos pessoais — para associar (pin) a autoridade de certificação e o nome de servidor esperados. Do ponto de vista das normas, espera-se que as implementações eduroam cumpram a eduroam Policy Service Definition, que exige TLS 1.2 ou superior para todas as ligações RADIUS sobre TLS, proíbe a utilização de métodos EAP fracos como EAP-MD5 ou LEAP, e exige que todas as ligações proxy RADIUS utilizem RadSec — RADIUS sobre TLS — em vez de RADIUS UDP simples, sempre que possível. Isto está alinhado com as orientações do NCSC no Reino Unido e o NIST SP 800-120 nos EUA. Mais um ponto técnico relevante: a atribuição de VLAN. Numa implementação eduroam bem estruturada, a resposta RADIUS Access-Accept inclui atributos de VLAN que indicam ao ponto de acesso qual a VLAN a atribuir ao dispositivo que se está a ligar. Isto permite segmentar o tráfego — colocando os estudantes visitantes numa VLAN restrita apenas com acesso à Internet, enquanto a sua própria equipa é encaminhada para a rede interna. Isto é essencial para a conformidade, particularmente se estiver sujeito a PCI DSS ou se precisar de manter a separação entre as redes de dados de investigação e o tráfego geral da Internet. --- [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — 2 minutos] Permita-me partilhar algumas orientações práticas. Se está a implementar o eduroam pela primeira vez, o seu primeiro contacto deve ser com a sua NREN nacional — no Reino Unido é a Jisc, na Irlanda a HEAnet, nos EUA a Internet2. Eles gerem a adesão à federação e atribuem-lhe um domínio RADIUS. Não pode participar no eduroam sem ser membro da sua federação nacional. A sua lista de verificação de infraestrutura: precisa de pontos de acesso compatíveis com 802.1X — qualquer equipamento de classe empresarial da Cisco, Aruba, Juniper, Ruckus ou Ubiquiti UniFi serve. Precisa de um servidor RADIUS — o FreeRADIUS é a norma de código aberto, ou pode utilizar o Microsoft NPS, Cisco ISE ou Aruba ClearPass. Precisa de um certificado TLS válido para o seu servidor RADIUS emitido por uma AC em que a comunidade eduroam confie — normalmente um certificado da PKI da sua instituição ou de uma AC comercial na lista aprovada do eduroam. As três falhas de implementação mais comuns que vejo são: primeiro, a configuração incorreta de certificados — ou o certificado RADIUS expirou, ou os perfis do suplicante do cliente não estão fixados corretamente. Segundo, tempos de espera (timeouts) do proxy RADIUS — se a sua ligação NREN a montante tiver problemas de latência, a autenticação expirará e os utilizadores verão falhas de ligação que parecem erros de credenciais. Terceiro, configuração incorreta de VLAN — os utilizadores visitantes acabam no segmento de rede errado, não obtendo acesso à internet ou, pior, obtendo acesso a recursos internos que não deveriam ver. Do lado do cliente, implemente perfis eduroam CAT em todos os dispositivos geridos através da sua plataforma MDM. Para dispositivos pessoais, publique o link do instalador CAT de forma proeminente. Este único passo elimina a maioria dos pedidos de suporte. Para espaços que não são instituições de ensino superior mas querem oferecer acesso eduroam — centros de conferências, hotéis e semelhantes — o processo chama-se eduroam Visitor Access, ou eVA. Permite que organizações não-membro alojem o SSID eduroam e façam o proxy da autenticação para a federação sem serem membros plenos. Vale a pena investigar se organiza regularmente conferências académicas ou eventos universitários. --- [PERGUNTAS E RESPOSTAS RÁPIDAS — 1 minuto] Perguntas frequentes que recebo regularmente. "O eduroam pode substituir totalmente o nosso WiFi de convidados?" Não. O eduroam apenas funciona para utilizadores que tenham credenciais numa instituição membro. Continua a precisar de uma solução de WiFi de convidados separada para todos os outros — visitantes, prestadores de serviços, público em geral. "O eduroam está em conformidade com o GDPR?" Sim, com ressalvas. A arquitetura de federação significa que a sua instituição processa dados de autenticação, mas precisa de garantir que os seus avisos de privacidade cobrem isto e que os seus registos RADIUS são tratados adequadamente. "Podemos usar WPA3 com o eduroam?" Sim. O WPA3-Enterprise é totalmente compatível com 802.1X e é o padrão recomendado para novas implementações. Adiciona encriptação em modo de 192 bits para ambientes de alta segurança. "Qual é a diferença entre o eduroam e o OpenRoaming?" O OpenRoaming é uma iniciativa mais ampla do setor, da Wireless Broadband Alliance, que utiliza a mesma arquitetura de proxy RADIUS e 802.1X, mas estende o roaming além da educação para espaços comerciais. Algumas plataformas, incluindo a Purple, suportam o OpenRoaming como parte da sua oferta de WiFi de convidados. --- [RESUMO E PRÓXIMOS PASSOS — 1 minuto] Para concluir. O eduroam é um serviço de roaming WiFi maduro, bem governado e implementado globalmente, construído sobre 802.1X e uma infraestrutura hierárquica de proxy RADIUS. Oferece autenticação por utilizador, encriptação forte e roaming contínuo em mais de 10.000 instituições — sem palavras-passe partilhadas ou captive portals. Para equipas de TI que estejam a implementar ou a atualizar redes sem fios de campus: priorize o EAP-TLS em detrimento do PEAP onde a sua PKI o possa suportar, force a validação de certificados em todos os perfis de cliente, utilize RadSec para todas as ligações de proxy RADIUS e segmente os utilizadores visitantes numa VLAN dedicada. Para operadores de espaços: se acolhe regularmente visitantes académicos, investigue o eduroam Visitor Access. E independentemente de implementar ou não o eduroam, a sua infraestrutura de WiFi para convidados deve ser construída com base em princípios 802.1X de nível empresarial — e não em PSKs partilhados. Se quiser aprofundar qualquer um destes temas — arquitetura RADIUS, design PKI para EAP-TLS ou como plataformas como a Purple se integram com o eduroam e OpenRoaming — o guia escrito completo está associado nas notas do programa. Obrigado por ouvir. Até à próxima. --- FIM DO SCRIPT