Archivo

Archivo del autor

Nueva edición del tutorial «Uniéndose a SIR2» durante las JT2015

martes, 10 de noviembre de 2015 Comentarios desactivados

Tanto para aquellos que no pudieron asistir al tutorial «Uniéndose a SIR2» organizado la pasada primavera, como para aquellos que quieran avanzar en la instalación del que será su nuevo IdP SAML2int en SIR2, vamos a realizar una nueva edición de dicha sesión de formación, en la que contaremos de nuevo con la ayuda de compañeros de las universidades de Córdoba, Murcia, Málaga y Politécnica de Valencia.

La formación se desarrollará el lunes 23 de noviembre por la mañana, en la sala multiusos del Auditorio de Tenerife Adán Martín. Al día siguiente, 24 de noviembre, tendremos por la mañana la presentación sobre actualidad del Servicio de Identidad de RedIRIS, dentro de la sesión «Servicios de RedIRIS».

El contenido del tutorial no variará, si bien hemos corregido determinadas partes del mismo, y para la parte práctica queremos utilizar ya la infraestructura de SIR2, inclusive los SPs de pruebas de la misma. Repetimos de nuevo la lista de módulos del tutorial:

  1. Introducción a la federación de identidades
  2. El proveedor de identidad
  3. Proveedores de Servicio
  4. Atributos
  5. “Burocracia” para unirse a SIR2
  6. Interfederación: eduGAIN

Para la asistencia al tutorial se recomienda llevar:

  • Ordenador portátil
  • Navegador Firefox, con extensión SAMLTracer instalada
  • Cliente SSH

En esta ocasión disponemos de una sala grande, con sillas de tablero. Aunque se distribuirán enchufes por la sala, recomendamos a los asistentes que lleven su portátil con las baterías cargadas.

Si estás interesado en asistir al curso, la Persona de Enlace con RedIRIS (PER) que cursa tu inscripción a los Grupos de Trabajo y/o Jornadas Técnicas, debe marcar en el formulario de inscripción, que asistirás el lunes, 23 de noviembre.
Categories: SIR 2 Tags:

Fases de migración a SIR2

lunes, 5 de octubre de 2015 Comentarios desactivados

SP de pruebas SAML2 en SIR2Dos preguntas recurrentes de cara a la migración a SIR2 de los Proveedores de Identidad actuales en la federación SIR (por diferenciar a la actual federación de la nueva, la llamaremos SIR1), son cuándo va a comenzar esta, y cuándo tendrá cada organización que actualizar su proveedor de identidad. En este breve artículo tratamos de describir el estado actual y explicar cómo será la migración.

Primero de todo quisiera aclarar en qué momento nos encontramos de la migración. Actualmente tenemos preparado un entorno que denominamos de validación, en el cual se encuentran probando, o están a punto de probar su conexión distintos grupos de organizaciones. La idea durante esta «pre-fase» o fase 0, es comprobar que la conexión de IdPs actuales PAPI al nuevo hub de SIR2 se realizará correctamente. Para esto hemos elegido diversos sabores del software instalado para realizar conexiones a los que serán los nuevos proveedores de servicio de pruebas en SIR2. También queremos comprobar en esta fase que además de estos proveedores de identidad PAPI, pueden convivir en el mismo hub y acceder de manera equivalente los proveedores de identidad con capacidad SAML2int existentes, que usan distintas implementaciones de SAML. Entre estos está el software de IdP de referencia, SimpleSAMLphp.

Dar fechas exactas del comienzo de la migración no es algo trivial, pues las pruebas a realizar son exhaustivas, y pudieran provocar retrasos adicionales, pero nuestra intención sería comenzar con la fase 1 de migración en las próximas semanas, o meses a lo sumo.

Respecto a la segunda pregunta que introducíamos al comienzo, hemos dividido el proceso de migración en 5 fases, donde las instituciones tendrán que implicarse en la migración de sus IdPs en las fases 1 a 3, especialmente durante la fase 3 que es la que implica actualizar el software de su IdP:
  • fase 1. Se conectarán todos los IdPs PAPI actuales de SIR1 al nuevo hub de SIR2 en su entorno de pruebas, sin perder en ningún momento la conexión existente a SIR1. El administrador de cada organización realizará pruebas de conexión al SP de pruebas PAPI en SIR2. Estas pruebas tienen como objetivo validar que los atributos que envía a dicho SP se corresponden con los que se envían actualmente en SIR1.
  • fase 2. Una vez realizadas las pruebas anteriores, el IdP PAPI en SIR1 se conecta con la entrada WAYFless del IdP PAPI en el entorno de producción de SIR2. De este modo, SIR2 comienza a funcionar, si bien inicialmente con los mismos IdPs PAPI que en SIR1, y utilizando el WAYF y pasarelas de SIR1, hacia SPs conectados también a SIR1.
  • fase 3. Seguidamente, las instituciones instalarán el software de IdP SAML2int, que sustituirá al componente PAPI que tenían desplegado hasta el momento. Todas las pruebas pertinentes se realizarán en el entorno de pruebas de SIR2, comprobando que el comportamiento del que será el nuevo IdP es equivalente al de su IdP PAPI.
  • fase 4. Los SPs conectados a SIR1 se irán migrando paulatinamente a SIR2. En el caso de todos los accesos de estos SPs, se utilizará al completo la federación SIR2. Esta fase puede solaparse sin problemas con la tercera en el tiempo.
  • fase 5. Por último, una vez se hayan desconectado todos los SPs de SIR1, se procederá al “apagado” de la antigua federación.

Aclarar que cada institución pasará por estas fases de manera independiente, por lo que en cada momento habrá instituciones en distintas fases. Indicar también que la fase 4, que implica la migración de SPs de SIR1 a SIR2, puede dar comienzo en paralelo a la fase 3.

Todas estas fases quedarán recogidas en una guía de migración de IdPs que estamos preparando, en la que se recogerá también una estimación del tiempo de duración de cada fase. Para la fase 3, estamos preparando también una guía de instalación del IdP de referencia, que anunciaremos en las próximas semanas.

En un próximo artículo, haré una comparación de los atributos en uso en SIR1, y los que se recomiendan en la nueva federación SIR2, incidiendo sobre cómo han de calcularse, su significado, y el uso dentro de la federación de los mismos.

Categories: Información general Tags:

Tutorial durante los GT2015: Uniéndose a SIR2

martes, 12 de mayo de 2015 Comentarios desactivados

El 11 de junio de 2015 se celebrará, en horario de 9:30 a 14:00, un tutorial –o manos en la masa, como nos gusta llamarlo–, que tiene como objetivo explicar las novedades de SIR2, así como la realización de distintos ejercicios prácticos donde se pondrá especial énfasis en la instalación del software usado como IdP de Referencia, SimpleSAMLphp.

El tutorial se dividirá en los siguientes módulos:

  1. Introducción a la federación de identidades
  2. El proveedor de identidad
  3. Proveedores de Servicio
  4. Atributos
  5. «Burocracia» para unirse a SIR2
  6. Interfederación: eduGAIN

El tutorial tendrá un número de plazas limitado, que se asignarán por orden de registro en los grupos de trabajo, limitando a un máximo de dos personas por organización. Con antelación a la fecha de cierre del registro se confirmará la obtención de plaza, o si por el contrario la persona está en lista de espera.

Para la parte práctica, será necesario llevar un ordenador portátil o similar, con un cliente SSH instalado que se utilizará para conectarse a una máquina donde se realizarán las prácticas.

Para aquellas personas que prefieran trabajar sobre su propia máquina, se proporcionará una máquina virtual en la que se podrán realizar las mismas prácticas.

 

Categories: Información general, SIR 2 Tags:

La importancia de la seguridad ofrecida por eduroam

viernes, 22 de marzo de 2013 Comentarios desactivados
Network unlocked by CyberHades @ flickr

Network unlocked by CyberHades

Habitualmente nos paramos poco a pensar en la seguridad a la hora de conectarnos y, cada vez más, asumimos que la red simplemente está ahí, como la luz, o el agua del grifo, y que estamos tan seguros al conectarnos en cualquier sitio como lo estamos bebiendo un vaso de agua del grifo.  Puede que accediendo mediante cable nos sintamos seguros, y que, con el advenimiento de las tecnologías que permiten el acceso móvil (no ya sólo Wi-Fi, aunque en este artículo nos centraremos en eduroam) hayamos asumido que el nivel de seguridad es equivalente al de usar cable. Pero esto no es así, o mejor dicho, no siempre debemos confiar que va a ser así. De hecho, incluso el acceso mediante una conexión cableada tiene sus implicaciones de seguridad: por ejemplo, si tenemos una roseta de red a la que nos conectamos habitualmente, es posible que alguien en nuestra ausencia pueda usarla si el acceso a esta no está protegido.

eduroam se ha definido siempre como una red segura, sin pararnos muchas veces a explicar qué significa esta afirmación. Este artículo pretende clarificar una serie de aspectos relativos a la seguridad en eduroam. No entraremos, aunque lo menciono aquí de paso, en el hecho de que eduroam no sólo puede ser usada para conexiones inalámbricas: también puede usarse en redes cableadas.

Seguridad en el cifrado de la red inalámbrica

El cifrado de la red inalámbrica sirve para que la comunicación entre nuestro dispositivo móvil y el punto de acceso al que nos conectamos no pueda ser interceptada por otro usuario malintencionado que pueda leer lo que transmitimos.

Habitualmente en las redes inalámbricas de nuestros hogares conviven el acceso usando WEP (una muy mala opción en la actualidad), y WPA (o WPA2) Personal, ambos basados en esquemas de clave compartida. El primero de estos se considera ya bastante inseguro y fácil de romper, mientras que WPA2 también tienen ataques conocidos cuando implementan el estándar WPS.

En eduroam se utiliza el modo Enterprise de WPA, la ventaja con respecto a los modos Personal es que no hay una clave única que pueda ser descifrada: las claves se generan después de que se ha verificado que el usuario se ha autenticado correctamente.

Por otro lado, el estándar mínimo de cifrado en eduroam hasta ahora era WPA/TKIP, si bien desde comienzos de este año, por obligación en la política europea de eduroam, es WPA2/AES… ¿el motivo?, aun siendo generadas las claves a partir de la autenticación (y por tanto únicas para un usuario y conexión), ya existen ataques a WPA/TKIP que podrían dar con la clave que se utiliza para cifrar la comunicación entre el usuario (su dispositivo inalámbrico), y el punto de acceso al que se conecta. Por otro lado, a partir de esta fecha desaparece también en el proceso de certificación de la Wireless Alliance el soporte obligatorio de WPA/TKIP por parte de los fabricantes (es decir, ya es posible certificar productos que no incluyan WPA/TKIP).

Seguridad en la entrega de las credenciales a nuestra institución

Quiero dejar claro primero de todo, que mientras el usuario no se ha autenticado -y para ello se usa el cifrado del que hablaremos a continuación-, no se obtendrán las claves de cifrado que nuestro cliente utilizará para cifrar la comunicación con el punto de acceso… ¿qué quiere decir esto? ¿significa que pueden interceptarse las credenciales del usuario en una fase previa a la asociación con el punto de acceso?

Precisamente no. Y precisamente en ello radica la importancia del uso de certificados en eduroam y la comprobación del emisor de los mismos.

La conexión entre el cliente y el servidor que autenticará a la red hace uso también de criptografía, generalmente utilizando algún método tunelado como EAP-TTLS o PEAP, y es muy importante que el cliente verifique que está hablando con el servidor de su organización y no con cualquier otro servidor que intentara suplantarlo. En concreto, no sólo es importante que el cliente conozca quién firma el certificado de su servidor, sino también que valide el asunto del certificado de su servidor (generalmente el nombre del servidor, p. ej.: radius.rediris.es), sobre todo si la autoridad de certificación es «conocida» (nos referimos a una autoridad que esté reconocida por la mayoría de clientes). De no hacerlo de esta manera podríamos estar creando un túnel entre el cliente y cualquier otro servidor cuyo certificado esté firmado por la misma raíz de confianza que el nuestro; es decir, estaríamos estableciendo un túnel seguro, sí, pero podríamos estar entregando las credenciales a cualquier otro servidor que no es el de nuestra institución.

Problemas asociados con la validación del certificado

Todo lo anteriormente dicho es muy bonito, pero no siempre podremos hacerlo… ¿el motivo? implementaciones deficientes por parte de los clientes. Para muestra dos botones:

  • Android. Incluso en versiones recientes no incluye la posibilidad de validar el asunto del servidor: sólo podremos validar la autoridad de certificación, es decir, nos protege a medias.
  • Linux/NetworkManager. Mismo caso que Android. Hasta versiones recientes de los interfaces gráficos que hacen uso de NetworkManager no se ha incorporado la validación del asunto.

En ambos casos resulta paradójico que en realidad lo que falla es cierta funcionalidad en la interfaz gráfica de usuario. Curiosamente en los dos casos mencionados las plataformas (ambas con kernel Linux) hacen uso de la herramienta wpa_supplicant, que sí soporta la validación del asunto del certificado de servidor.

¿es mejor un certificado autofirmado o uno firmado por una autoridad conocida?

Un certificado autofirmado (o firmado por una autoridad de certificación propia) presenta el problema de su distribución; habrá que distribuirlo a todos los clientes; como ventaja, si se controla la autoridad de certificación, podría llegar a prescindirse de la validación del asunto del certificado. Por el contrario, una autoridad de certificación conocida ofrece la ventaja de que ya está distribuida «de serie» en muchos clientes, mientras que como pega, nos obliga a realizar una validación del asunto del certificado del servidor.

En RedIRIS opinamos que es mejor la segunda opción, pues la tarea de instalar certificados suele ser más difícil para el usuario en algunas plataformas. Por otro lado, si la institución proporciona un kit de instalación, tanto la instalación del certificado como su verificación se pueden realizar perfectamente desde dicho kit de instalación. Muchas organizaciones que han optado por esta opción usan los certificados emitidos a través del servicio SCS de RedIRIS, que utiliza una raíz de certificación conocida como es Addtrust External CA Root.

¿merece la pena tanta seguridad?

Queremos pensar que sí. Hay partidarios de la facilidad de uso en contraposición a la seguridad, pero creemos que el nivel de seguridad aportado por eduroam es una cualidad que los usuarios apreciarán, pues protege sus comunicaciones. Por otro lado el administrador de la red también necesita de esa seguridad para saber que quien se conecta a la misma lo hace con legitimidad.

¿y que hay de los tipos de autenticación?

Los dos métodos más usados en eduroam, PEAP (generalmente utilizado en combinación con MSCHAPv2), y EAP-TTLS (usado habitualmente junto con PAP), protegen las credenciales, pues crean un túnel entre el cliente y el servidor, de la manera mencionada anteriormente. La principal ventaja de estos métodos es la privacidad que puede ofrecer al usuario, puesto que en la denominada identidad externa no es necesario consignar el nombre real del usuario, sólo la institución a la que pertenece.

EAP-TLS es usado también por algunas instituciones en eduroam. Tiene la ventaja de estar soportado en muchas plataformas, pero tiene el inconveniente de que hay que generar certificados para todos los clientes, y se pierde en privacidad, salvo si el certificado de cliente ya la incorpora. Por otro lado, EAP TLS es más susceptible de verse afectado por problemas de fragmentación de paquetes.

¿no se prevee en el horizonte algo más sencillo que esto para el usuario final?

Respuesta corta, sí. Respuesta larga:

  • En lo que respecta al cifrado en la red, la desaparición gradual de cualquier tipo de cifrado anterior a WPA2/AES, tanto en equipamiento de red como en hardware cliente, supondrá también la eliminación del problema que teníamos hasta ahora con la convivencia de WPA/TKIP y WPA2/AES (¡y de las minoritarias combinaciones WPA/AES y WPA2/TKIP!).
  • Algunos estándares como EAP-PWD parecen bastante prometedores. Se utiliza criptografía fuerte para proteger las comunicaciones entre cliente y servidor, pero en ningún momento las credenciales viajan entre el equipo que se autentica y el de su institución.
  • Por otro lado, cada vez podemos ver más esfuerzos de los fabricantes de software/hardware por soportar más esquemas de autenticación. Como ejemplo citamos a Microsoft, que en Windows 8 ha introducido el soporte de EAP-TTLS.
¿la complejidad viene por dar soporte a estas características de seguridad?

No es lo único que influye. Determinados sistemas operativos ofrecen una API de provisioning, permitiendo que la institución pueda ofrecer una instalación sencilla para el usuario, donde éste sólo tendrá que introducir su usuario y contraseña. Otras plataformas sin embargo no lo hacen, y es necesario crear instaladores o proporcionar instrucciones de configuración que, lo sabemos, pueden llegar a ser difíciles de seguir .

Desde eduroam en Europa se ha estado desarrollando en los últimos años eduroam CAT, herramienta de la que hablaremos en nuestro próximo artículo, y que permite a los administradores de eduroam generar facilmente perfiles de configuración e instaladores de eduroam que facilitan la labor de configuración a los usuarios.

Categories: Información general, Seguridad Tags:

eduroam cumple 10 años

miércoles, 30 de mayo de 2012 Comentarios desactivados

Tal día como hoy, hace diez años, Klaas Wierenga envió el siguiente mensaje a la lista mobility, en la que se coordinaba la, por aquel entonces, TF-mobility, (hoy TF-MnM) de Terena:

Subject: proposal for inter NREN roaming
From: Klaas Wierenga
Date: Thu, 30 May 2002 12:46:43 +0200

Dear all,

As promised at the mobility workshop a proposal for an inter-NREN wireless LAN
roaming test. Based on some investigation we have done in the Netherlands we
propose to experiment with the 802.1x standard as that seems the most likely
candidate for inter-NREN roaming since it gets a lot of industry attention and
scales relatively easy.

I'm looking forward to hear your comments or better ideas.

Cheers,

Klaas

 

Esta fecha ha sido elegida como la del nacimiento de eduroam, y hoy, 10 años más tarde, hacemos balance de lo que ha sido, e intentamos imaginar lo que será eduroam en los próximos años.

Breve historia de eduroam en España

Para comenzar, la iniciativa en España se presentó en las Jornadas Técnicas de RedIRIS de 2003,

Mapa de eduroam en 2006

Organizaciones participantes en la iniciativa en el año 2006

celebradas en Palma de Mallorca. Los primeros mensajes en la lista de coordinación, MovIRIS, se mandan en la primavera de 2004. Entre las primeras organizaciones participantes al comienzo podemos encontrar a  CESCA, CSIC, UAB, UC3M, UCLM, UDC, UGR, UM, UNIZAR, y UPM. Poco después la iniciativa pasaría a llamarse oficialmente eduroam. El dominio eduroam.es data de comienzos de 2005.

En los años posteriores eduroam se irá consolidando y se van uniendo más organizaciones a la iniciativa. Desde CICA, CESGA y CESCA se establecen proxies regionales que aglutinan el roaming dentro de las organizaciones en sus respectivas regiones. Asimismo, de la mano del CSIC se adhieren numerosos centros. La iniciativa  consigue sin embargo su mayor impulso gracias al programa Campus en Red, lanzado desde red.es en 2005. Las universidades que se unen a esta iniciativa gracias a este programa hacen que el número crezca hasta casi 100 miembros adheridos en España.

A la fecha de escribir este artículo, son un total de 119 las organizaciones unidas a eduroam en España, y el número de usuarios ha crecido hasta situarse en cifras de varios millones de autenticaciones válidas de usuarios en roaming contadas desde los proxies de eduroam en RedIRIS.

En la actualidad RedIRIS sigue participando en los foros desde los que se opera eduroam y se decide sobre su futuro.

El día de mañana de la movilidad académica

No nos andaremos con rodeos: el crecimiento exponencial que ha tenido la iniciativa a lo largo de estos años no está exento de dificultades. Por un lado la estructura jerárquica ha provocado que surgieran incidencias puntuales de escalabilidad. Por otro lado, la popularización del servicio ha venido unida a una explosión de las redes inalámbricas y de todo tipo de dispositivos móviles, que en algunos casos hacen que las redes  no den abasto con la demanda por parte de los usuarios. Unida a esta contrariedad, está la complejidad de tener que dar soporte a las distintas plataformas y estándares que han surgido.

Mapa de localizaciones eduroam en todo el mundo

Mapa mundial de localizaciones eduroam

Pero no queremos con el anterior párrafo dejar un mal sabor de boca al lector de este artículo. Al contrario, estos problemas son reconocidos y han sido solucionados o paliados, o están en vías de hacerlo:

  • El modelo jerárquico actual va a evolucionar en los próximos años a un modelo distribuido, gracias a nuevos estándares que se han desarrollado en los últimos años, y que comienzan a funcionar en el núcleo actual de eduroam.
  • Por otro lado, en el plano de la usabilidad, se está trabajando en la creación de instaladores para los usuarios, y de distintas herramientas que faciliten la labor de los administradores.
  • La saturación de las redes inalámbricas es quizá el asunto más preocupante en el momento en el que vivimos. Desgraciadamente la solución a este problema pasa en muchos casos por la renovación de infraestructuras, si bien la optimización de los recursos existentes puede ayudar a aliviar esta saturación.

Mirando aún más lejos en el futuro, eduroam puede y debe seguir jugando un papel esencial en la movilidad académica. La convergencia con redes de 4ª generación, o la aparición de nuevos estándares que facilitarán el roaming con otros operadores prometen que eduroam, aunque siga evolucionando, siga siendo el estándar de facto en la movilidad académica.

Desde RedIRIS queremos agradecer a todas las organizaciones que habéis participado en la iniciativa, y habéis compartido vuestros problemas y conocimiento con el resto de la comunidad. eduroam no sería posible sin el trabajo de muchos técnicos que estáis detrás en las organizaciones, que facilitáis día a día que un usuario os visite, abra el portátil y ¡esté conectado!.