Conditions d'adhésion d'un établissement à ARREDU

C. Claveleira
novembre 2005
V 0.4

Adhérer à ARREDU (et EduRoam) c'est

offrir à ses utilisateurs la possibilité d'utiliser les infrastructures réseau des autres établissements partenaires lors de leurs déplacements en utilisant leur mot de passe habituel
offrir l'accès à l'Internet, via son infrastructure réseau, aux utilisateurs des autres établissements partenaires
ceci dans des conditions de sécurité satisfaisantes pour les utilisateurs en garantissant la protection de leurs données d'authentification et de leur trafic

Tous les établissements adhérant à ARREDU s'engagent auprès de Renater au respect des principes ci-dessus, Renater se portant garant de leur respect auprès de Terena en leur nom.

Type d'accès offert

L'établissement doit offrir au moins des accès sans fil de type 802.11b/g via des points d'accès supportant (imposant) le protocole 802.1x et la rotation de clés WEP dynamique.

L'identifiant réseau (ESSID) diffusé devra être, si possible, "eduroam".

Les services réseau accessibles devront comprendre http, https, dns, icmp (echo/reply), IPSec (ESP, AH, IKE), ssh, pops, imaps, ntp et SMTP sur le serveur de messagerie local. Un serveur DHCP assurera la configuration réseau des clients.

Contraintes techniques

L'authentification des utilisateurs se fera à l'aide du protocole Radius (voir pages ARREDU) et sera protégée en utilisant une méthode EAP sûre (TLS, TTLS ou PEAP) garantissant l'authentification du serveur d'authentification et la protection de bout en bout des crédentiels.
Le trafic sera protégé par l'utilisation de clés WEP (ou mieux : WPA) dynamiques de 128 bits initialisé par le serveur d'authentification et tournant assez fréquemment pour déjouer les crackeurs de WEP (5 mn).
Un visiteur ne devra pas pouvoir se connecter via un accès n'offrant pas les garanties ci-dessus (cf cas des portails captifs).
Le réseau sans-fil devra être protégé des attaques provenant de l'extérieur de l'établissement.
Il faudra tenir compte du risque de connexion de postes éventuellement infectés par des virus.
Le serveur Radius devra être sécurisé et un compte de test mis à la disposition des exploitants de l'infrastructure ARREDU.
La partie domaine de l'identifiant utilisateur devra se terminer en ".fr".

Formation/information

L'établissement doit informer ses utilisateurs

sur la façon d'utiliser les accès 802.1x (éventuellement en fournissant des clients et/ou en configurant les postes clients)
de l'existence et de l'intérêt de l'infrastructure ARREDU/EduRoam et de la façon de l'utiliser
que la charte Renater s'applique également sur les autres sites français partenaires
que des règles semblables sont en vigueur sur les sites étrangers adhérant à EduRoam
de respecter les règles d'utilisation du réseau d'accueil
que le service d'assistance réseau (de l'établissement de rattachement) doit être contacté en cas de problème de connexion sur un autre site et leur en communiquer les coordonnées.

S'il n'est pas possible de diffuser le ou les identifiants recommandés, les visiteurs devront être informés de la façon d'accéder au service.

Support

L'établissement doit offrir un service d'assistance à ses utilisateurs en cas de problème de connexion lors de leurs déplacements.
Ce n'est qu'après investigation, si celle-ci conclut à un problème sur le site visité, que celui-ci sera sollicité via le point de contact enregistré auprès d'ARREDU.

Traçabilité

L'établissement doit garder les traces nécessaires à l'identification d'un usager à partir de l'adresse IP en cas d'abus constaté. Ces traces doivent comporter un horodatage fiable.

Cas des portails web captifs

Ces portails posent généralement des problèmes de sécurité à plusieurs niveaux :

de par l'absence de 802.1x, il n'y a pas de protection du contenu des requêtes Radius. Il y a un risque de crackage si le flux Radius peut être intercepté à un endroit quelconque de la chaîne. Les mots de passe peuvent également être exposés par le simple fonctionnement en mode debug de l'un des serveurs Radius traversés. La compromission de la machine supportant le portail exposerait les données d'authentification des utilisateurs.
le lien radio n'étant pas protégé, le trafic des utilisateurs est "à la disposition" de tous ceux qui sont dans la zône de couverture du point d'accès (voire plus).
outre l'interception des données (éventuellement sensibles) des attaques de type MIM sont possibles ainsi que le vol de session (faux point d'accès, faux portail, faux serveur d'authentification...) pouvant révéler les crédentiels des usagers

Pour ces raisons ce type d'accès ne peut être utilisé dans le cadre d'ARREDU/EduRoam pour l'instant. Les établissements en ayant déployé devront veiller à ce qu'ils n'utilisent pas l'infrastructure ARREDU et mettre en garde clairement, sur la page d'accueil de leur portail, les utilisateurs sur les risques liés et indiquer comment utiliser les accès protégés 802.1x.