Conditions d'adhésion d'un établissement à ARREDU


C. Claveleira
novembre 2005
V 0.4

Adhérer à ARREDU (et EduRoam) c'est

Tous les établissements adhérant à ARREDU s'engagent auprès de Renater au respect des principes ci-dessus, Renater se portant garant de leur respect auprès de Terena en leur nom.

Type d'accès offert

L'établissement doit offrir au moins des accès sans fil de type 802.11b/g via des points d'accès supportant (imposant) le protocole 802.1x et la rotation de clés WEP dynamique.

L'identifiant réseau (ESSID) diffusé devra être, si possible, "eduroam".

Les services réseau accessibles devront comprendre  http, https, dns, icmp (echo/reply), IPSec (ESP, AH, IKE), ssh, pops, imaps, ntp et  SMTP sur le serveur de messagerie local. Un serveur DHCP assurera la configuration réseau des clients.

Contraintes techniques

L'authentification des utilisateurs se fera à l'aide du protocole Radius (voir pages ARREDU) et sera protégée en utilisant une méthode EAP sûre (TLS, TTLS ou PEAP) garantissant l'authentification du serveur d'authentification et la protection de bout en bout des crédentiels.
Le trafic sera protégé par l'utilisation de clés WEP (ou mieux : WPA) dynamiques de 128 bits initialisé par le serveur d'authentification et tournant assez fréquemment pour déjouer les crackeurs de WEP (5 mn).
Un visiteur ne devra pas pouvoir se connecter via un accès n'offrant pas les garanties ci-dessus (cf cas des portails captifs).
Le réseau sans-fil devra être protégé des attaques provenant de l'extérieur de l'établissement.
Il faudra tenir compte du risque de connexion de postes éventuellement infectés par des virus.
Le serveur Radius devra être sécurisé et un compte de test mis à la disposition des exploitants de l'infrastructure ARREDU.
La partie domaine de l'identifiant utilisateur devra se terminer en ".fr".

Formation/information

L'établissement doit informer ses utilisateurs
S'il n'est pas possible de diffuser le ou les identifiants recommandés, les visiteurs devront être informés de la façon d'accéder au service.

Support

L'établissement doit offrir un service d'assistance à ses utilisateurs en cas de problème de connexion lors de leurs déplacements.
Ce n'est qu'après investigation, si celle-ci conclut à un problème sur le site visité, que celui-ci sera sollicité via le point de contact enregistré auprès d'ARREDU.

Traçabilité

L'établissement doit garder les traces nécessaires à l'identification d'un usager à partir de l'adresse IP en cas d'abus constaté. Ces traces doivent comporter un horodatage fiable.

Cas des portails web captifs

Ces portails posent généralement des problèmes de sécurité à plusieurs niveaux :
Pour ces raisons ce type d'accès ne peut être utilisé dans le cadre d'ARREDU/EduRoam pour l'instant. Les établissements en ayant déployé devront veiller à ce qu'ils n'utilisent pas l'infrastructure ARREDU et mettre en garde clairement, sur la page d'accueil de leur portail, les utilisateurs sur les risques liés et indiquer comment utiliser les accès protégés 802.1x.