Spesso mi capita di recarmi in biblioteche universitarie coperte da eduroam, la rete wifi federata degli atenei europei (gestita in Italia da GARR). L’autenticazione è tutt’altro che semplice, tant’è che un buon 40% delle persone, pur avendone diritto, usa il proprio telefono in modalità hotspot.
Chiedo a voi, perchè è necessario un processo così macchinoso e soprattutto come mai è necessario installare un profilo esterno? Non sarebbe più comoda un’autenticazione tramite pop-up e via?
Rete wifi eduroam: perchè è così complicato accedere?
- Modificato
La rete eduroam usa un'autenticazione di tipo WPA2 Enterprise (forse ora anche WPA3 Enterprise), che permette l'accesso tramite username e password (o volendo un certificato, ma è più raro come implementazione, magari più in azienda con device managed).
Il profilo non è per nulla necessario (io non l'ho mai dovuto mettere), credo sia semplicemente per accettare il certificato o per fornire le credenziali automaticamente.
I problemi dipendono molto dal device, Android (e anche Windows) hanno più problemi di iOS e macOS.
La lentezza di login è dovuta al meccanismo di autenticazione, dato che le tue credenziali sono possedute solo dalla tua università è lei che gestisce l'autenticazione e viene mandata là, quindi la latenza, ovviamente, aumenta.
edit ho dimenticato di menzionare il pop-up, stile login guest di hotel e ristoranti. Quello è una tecnologia diversa, che richiede un server web e diventa complicato gestire l'handoff a entità diverse che, invece, è molto più semplice gestire con un server RADIUS, che sta alla base dell'autenticazione di cui sopra.
- Modificato
edom mi sembra che Wikipedia nella sezione Technology dia una spiegazione breve e abbastanza chiara un po’ per tutti.
C’è anche una Wiki creata da Eduroam stessa dove spiega come funziona.
In poche parole il sistema di autenticazione di eduroam è diviso su più livelli, uno nazionale, uno internazionale regionale e uno dove possono identificarsi tutti.
Nel caso in cui l’utente non possa identificarsi a livello nazionale che è in loco (perché magari è uno studente straniero), le credenziali vanno inviate al RADIUS di livello superiore e il certificato per esempio per autenticazione TTLS è uno dei metodi più sicuri per proteggere le password.
(Please se ho detto castronerie correggetemi pure, ho letto abbastanza velocemente e sono stanco 
)
Comunque la configurazione non è così difficile…
Io sono riuscito a configurare il tutto sui miei device, insieme a polimi-protected (stesso metodo di identificazione e stesso certificato), in 10 minuti massimo per il primo dispositivo, compreso il tempo necessario a trovare la pagina per creare il certificato e per capire come installarlo.
Per i device successivi anche meno
itsmatteomanf Al PoliMi consigliano e praticamente ti obbligano a usare il certificato, l’autenticazione tramite WPA2 Enterprise chiede comunque un certificato e chiede quasi ogni volta la password.
Con la configurazione con WPA Enterprise serve un solo certificato, con un altro metodo ne servono due
edom Non sarebbe più comoda un’autenticazione tramite pop-up e via?
E dover fare login ogni volta, sperando che l'autorilevamento captive portal del browser o dell'OS funzioni e non si incricchi? O peggio ancora trovarsi la connessione interrotta se scade la sessione o se cambio AP?
Per me i captive portal (l'unica altra alternativa di avere un'autenticazione federata alle reti wifi) sono il male, e per fortuna che eduroam non le usa.
Configuri le credenziali una volta, e tac, te ne dimentichi e ti trovi connesso in tutto il mondo. È vero che con alcuni OS è più difficile che con altri, e si può lavorare su rendere l'interfaccia utente migliore.
Il problema dei certificati, non essendoci Certification Authority precaricate sui dispositivi per questo scopo, non è così semplice. Le alternative essenzialmente sono due:
1) Disabilitare la verifica del certificato host, in questo caso tutti i certificati host vengono accettati automaticamente. È possibile essere vittime di attacchi Man-in-the-Middle, ma con a meno che non si usino servizi non-ssl il problema secondo me è merginale. Opzione molto semplice da configurare su Android, Win>10, OS X
2) Approvare uno ad uno i certificati dei vari enti a cui ci si collega. Si è esposti a Man in the Middle solo se l'attacco è presente al momento della prima connessione a un nuovo ente, a meno di non verificare gli estremi del certificato. Opzioni più difficile da gestire, dovrebbe esistere un'app apposita per semplificare il processo. (qualche cosa come eduroam.cat? Non ricordo).
Nella mia esperienza solo Windows a volte è un po' rognoso nello stabilire la connessione la prima volta, e per qualche motivo circa il 30/40% delle volte fallisce senza dare motivazioni. In quel caso serve manualmente cancellare la rete tra reti note e riaggungerla a mano. Con gli altri OS mi è sempre bastato solo cliccare sulla rete, inserire username (col dominio dell'ente di affiliazione) e password, e via!
ag23900 Nel caso in cui l’utente non possa identificarsi a livello nazionale che è in loco
A livello della singola istituzione, poi sale al nazionale, poi europeo, ecc., l'università di turno gestisce l'autenticazione dei propri domini.
ag23900 Al PoliMi consigliano e praticamente ti obbligano a usare il certificato, l’autenticazione tramite WPA2 Enterprise chiede comunque un certificato e chiede quasi ogni volta la password.
Con la configurazione con WPA Enterprise serve un solo certificato, con un altro metodo ne servono due
Al PoliTO bastano username e password, non esiste nemmeno il certificato (sarà sicuramente supportato) come opzione, almeno lato studenti.
Hai un certificato sempre presentato dal server (che puoi accettare, o meno rifiutando la connessione) che è normalmente self-signed (volendo si può fare valido, usando un host per l'autenticazione e non un IP, ma è più raro come configurazione e spesso non è supportata lato server) e uno volendo lato device, che può richiedere anche le credenziali.
lore20 Nella mia esperienza solo Windows a volte è un po' rognoso nello stabilire la connessione la prima volta, e per qualche motivo circa il 30/40% delle volte fallisce senza dare motivazioni. In quel caso serve manualmente cancellare la rete tra reti note e riaggungerla a mano. Con gli altri OS mi è sempre bastato solo cliccare sulla rete, inserire username (col dominio dell'ente di affiliazione) e password, e via!
Ho visto anche la configurazione di Android essere incasinata, ma poi forse funziona correttamente, tranne ovviamente Windows, ma è Windows e si sa già come andrà a finire...
- Modificato
itsmatteomanf A livello della singola istituzione, poi sale al nazionale, poi europeo, ecc., l'università di turno gestisce l'autenticazione dei propri domini.
Sì me lo sono dimenticato mentre scrivevo
itsmatteomanf Hai un certificato sempre presentato dal server (che puoi accettare, o meno rifiutando la connessione) che è normalmente self-signed (volendo si può fare valido, usando un host per l'autenticazione e non un IP, ma è più raro come configurazione e spesso non è supportata lato server) e uno volendo lato device, che può richiedere anche le credenziali.
Questi sono i profili che ho sul telefono:
Il primo contiene le credenziali e mi pare sia self-signed visto che il telefono dice che non è verificato.
Il secondo dentro ha altri certificati:
Penso che i primi quattro servano per l’accesso WPA Enterprise, c’è il certificato di root e poi non so gli altri a cosa servano di preciso.
Fatto sta che senza entrambi i profili non si riesce ad accedere.
Sull’iPad invece accedo con le credenziali e infatti ho solo il secondo certificato, quello eduroam
itsmatteomanf Ho visto anche la configurazione di Android essere incasinata, ma poi forse funziona correttamente, tranne ovviamente Windows, ma è Windows e si sa già come andrà a finire...
Ho avuto più difficoltà a configurare il MacBook di un mio amico che il mio portatile Windows mio pc configurato in 10 minuti, il suo MacBook un’ora di bestemmie
- Modificato
ag23900 Il primo contiene le credenziali e mi pare sia self-signed visto che il telefono dice che non è verificato.
Concordo.
ag23900 Il secondo dentro ha altri certificati:
Non sono certificati, hai i 4 network Wi-Fi (eduroam, polimi-protected, i due con nomi particolari per accessi specifici), il certificato root del certificato presentato dal server, una configurazione per il cablato, che mi pare strana, ma c'è e i certificati che firmano il profilo.
I primi 4 semplicemente dicono al device che quei 4 SSID sono noti e di collegarcisi.
Curiosando sul sito dell'area ICT di PoliMi dice che con iOS 14.7+ si deve usare solo le credenziali senza profilo.
Ho visto anche che siete limitati a 30 Mbps per utente, su Wi-Fi. PoliTO non ha limiti, solo quello dell'effettivo AP (che sono tutti Cisco top di gamma, 4x4 Wi-Fi 5 con MI-MO).
- Modificato
itsmatteomanf Non sono certificati, hai i 4 network Wi-Fi (eduroam, polimi-protected, i due con nomi particolari per accessi specifici), il certificato root del certificato presentato dal server, una configurazione per il cablato, che mi pare strana, ma c'è e i certificati che firmano il profilo.
Sì chiaro, non riesco a spiegarmi bene. Comunque per WPA Enterprise non serve installare un certificato che verifichi anche il server? Ricordo male?
itsmatteomanf Curiosando sul sito dell'area ICT di PoliMi dice che con iOS 14.7+ si deve usare solo le credenziali senza profilo.
Mi trovo meglio col profilo sull’iPad, senza profilo, mi chiede ogni 2x3 le credenziali, due palle ahahah
itsmatteomanf Ho visto anche che siete limitati a 30 Mbps per utente
È già tanto, fino a dicembre 2019 era 8Mbps
- Modificato
ag23900 Comunque per WPA Enterprise non serve installare un certificato che verifichi anche il server? Ricordo male?
Puoi farlo manualmente, te lo propone al primo login.
ag23900 Mi trovo meglio col profilo
Devo dire che a me non capita, ma sono reti diverse.
ag23900 dicembre 2019
Primo test che ho trovato, tra 5G e 1Gbps a casa non sono più così monstre come erano nel 2019 e precedenti. Wi-Fi, iPhone.
A differenza di Windows e iOS/MacOS dove basta inserire le credenziali, il dispositivo più complicato da collegare è Android, perché bisogna andare ma manualmente ad inserire come metodo EAP: PEAP e come autenticazione fase 2:MSCHAPV2. Se non lo so si fa non si connette proprio
- Modificato
Dani25 c'è l'app di configurazione che imposta tutto correttamente inclusi i certificati
https://play.google.com/store/apps/details?id=uk.ac.swansea.eduroamcat
Idem su desktop.
- Modificato
Ne parlavo qualche giorno fa su Telegram.
Io sono tre anni che vado avanti di 4G e connessione temporanea con captive portal perchè è sempre una gran rottura di scatole configurare seriamente la connessione WiFi. La app che ha menzionato matteo sul mio telefono crasha (sarà Android11? Boh)
Possibile che non si poteva qualcosa di più semplice? La sparo lì... autenticarsi con email istituizionale (senza stramaledetti certificati) ed usare il DNS per trovare i server di autenticazione della specifica istituzione?
edofullo a pavia ci fanno usare l'email istituzionale, però la copertura di eduroam è pessima, ogni 2x3 va malissimo o non va proprio. Senza contare che sinceramente della sicurezza dell'unipv mi fido ben poco dato che quando mi immatricolai mi mandarono la mia password in chiaro nella email di avvenuta immatricolazione, e in più devi per forza metterla tutta in maiuscolo. su Linux Mint Cinnamon una volta capiti i parametri da impostare non è troppo complicato connettersi.
edom ma scusa io non ho mai avuto problemi con eduroam nel tuo stesso ateneo, ma hai installato il certificato tramite eduroam CAT?
itsmatteomanf La rete eduroam usa un'autenticazione di tipo WPA2 Enterprise (forse ora anche WPA3 Enterprise), che permette l'accesso tramite username e password (o volendo un certificato, ma è più raro come implementazione, magari più in azienda con device managed).
La rete eduroam usa i certificati per evitare di mandare in chiaro la password dell'sso di ateneo
edofullo strano a me non ha mai dato problemi, in caso di problemi ricordo che il certificato di login viene trasferito da un telefono all'altro in caso di migrazione e credo pure sincronizzato con G drive
edofullo Università di Venezia per collegarsi si utilizza la mail istituzionale. Il certificato viene scaricato in automatico una volta inserite le credenziali corrette. Se il certificato non viene scaricato in automatico è presente la procedura per il download manuale, ma tra tutti i miei dispositivi che ho avuto in questi anni non mi è mai capitato.
Giann quando mi immatricolai mi mandarono la mia password in chiaro nella email di avvenuta immatricolazione, e in più devi per forza metterla tutta in maiuscolo.
Non puoi cambiarla? La mia università obbliga il cambiamento ogni 6 mesi altrimenti l'account viene disabilitato e la nuova password non deve essere simile ad una utilizzata in precedenza.
- Modificato
Ma non esiste il protocollo gestibile così. O hai una password unica (la versione Personal, quella standard) o hai questo metodo (quello Enterprise). L’alternativa è una rete aperta, che non è nemmeno cifrata nell’invio dei dati ed è terribile.
Giann però la copertura di eduroam è pessima, ogni 2x3 va malissimo o non va proprio
Questo è un problema dell’Università però, appena entrai a PoliTO il Wi-Fi era pessimo, avevano ancora AP 802.11g, che però sostituirono a breve con i sopra citati Cisco Wi-Fi 5, con una densità parecchio alta.
simonebortolin La rete eduroam usa i certificati per evitare di mandare in chiaro la password dell'sso di ateneo
Assolutamente, ma per fare ciò ne basta uno, quello lato server, che come una connessione HTTPS permette di stabilire una connessione cifrata. Il certificato lato utente permette al server di rifiutare la connessione in mancanza di ciò (credenziali compromesse, ma device non aziendale e quindi senza certificato distribuito tramite AD).
Nick1997 La mia università obbliga il cambiamento ogni 6 mesi
Anche la mia, anche se al giorno d’oggi è sconsigliato il cambio password obbligato.
Nick1997 Non puoi cambiarla? La mia università obbliga il cambiamento ogni 6 mesi altrimenti l'account viene disabilitato e la nuova password non deve essere simile ad una utilizzata in precedenza.
si ma mi pare che te la mandino in chiaro anche dopo averla cambiata (l'avevo fatto dopo aver visto che mi avevano mandato in chiaro la prima, ma non ricordo poi se me la mandarono in chiaro di nuovo) e no a noi non fanno storie su ogni quanto devi cambiare la password (infatti per me in fatto di sicurezza informatica sono piuttosto indietro).
Giann mandino in chiaro anche dopo averla cambiata
Wow. Degno dei peggiori servizi di internet.
itsmatteomanf Questo è un problema dell’Università però
sisi, qua è un mix di un edificio particolarmente vecchio e coi muri molto spessi (perlomeno la sede centrale), di AP abbastanza vecchi (dei motorola ma non saprei dirti il modello adesso)
