無線網路

[注意事項]

• 當Android平板或智慧型手機預設會自動將WiFi帳號密碼備份到google、各單位以不安全的Captive portal login進行無線漫遊認證，請問：

• 把與認證系統極度相關的mail帳密，也同時作為漫遊WiFi帳密，這樣設計的確比較便利，但是，安全嗎？

• 如果透過認證系統登入的子系統，除了帳密，暫時沒有更進一步的其他驗證措施，例如增設個人憑證或OneTimePassword來強化安全，那麼最好還是先使用另一組WiFi帳密來做區隔吧！

[TANet無線漫遊不符合eduroam規範]

記於2013/8/3

從歐洲開始、目前已經推動到全球學術界的無線網路漫遊eduroam使用802.1x做漫遊認證，並明確地在advisories 001告知不要使用web logins來進行認證，其FAQ這麼寫：https://www.eduroam.org/index.php?p=faq#captive

=================================

Does eduroam use a captive portal for authentication?

No. Web Portal, Captive Portal or Splash-Screen based authentication mechanisms are not a secure way of accepting eduroam credentials, even if the website is protected by an HTTPS secure connection. The distributed nature of eduroam would mean that many different pages, languages and layouts would be presented to eduroam users making it impossible to distinguish between legitimate and bogus sites (even a consistent layout can be mimicked by an adversary).

eduroam requires the use of 802.1x which provides end-to-end encryption to ensure that your private user credentials are only available to your home institution. The certificate of your home institution is the only point you need to trust regardless of who operates any intermediate infrastructure. Web portals require you to trust their infrastructure as they receive your password in clear text, this breaks the end-to-end encryption tenets of eduroam.

=================================

TANet已經於2012年4月10日簽定無線網路漫遊機制，加入eduroam漫遊：https://roamingcenter.tanet.edu.tw/?page_id=1935

但是為什麼TANet不用全世界通用的SSID=eduroam及802.1x來推動漫遊認證呢？當別的國家的使用者打開電腦，只要找到SSID=eduroam，就會自動以安全的802.1x認證&AES加密(ie.WPA2)來連結無線網路，TANet卻建議漫遊使用者，試著去找找看有沒有名稱為xxx-roaming的SSID，然後再以web login這種很不安全、容易被sniffer的方式來連結無線網路，這樣的規劃不是很古怪嗎？

[WiFi認證使用openID]

如果無線網路Captive portal導向支援openID web login，即可避開TANet跨單位漫遊，password須經AAA client及多台radius servers之間，僅以shared secret加密傳送的安全疑慮。

有什麼方法可以讓WiFi以安全的加密連結(如WPA2)，同時又順利支援後端的openID web login呢？將controller/manager/authentication-server設計具備AAA proxy功能，即可把AAA client的認證需求，依照帳號尾碼分別導向所對應的radius, ldap伺服器。

WiFi要與openID整合，因為現有AP並不支援radius轉openID，所以並不是由AP直接與openID連接，而是類似下列連接方式：

client <=> AP <=(radius)=> Radius-OpenID Converter <=(https)=> openID

其中的Radius-OpenID Converter，能進行雙向溝通，巧妙地傳遞challenge，最後將client送出的username&challenge response，轉為https登入openID。

不過openID login程序不是MSCHAP-V2，所以必須openID login程序做調整，也能支援MSCHAP2，不然就是無線驗證改用TTLS with PAP認證，讓Radius-OpenID Converter可以取得帳密明碼再代為登入openID。

以上方法似乎都不夠好，最佳解決應該是設計另一種無線加密連結方式，無線終端先以加密的安全連結Access Point，要存取網路時，再跳出web portal login，直接導到使用者的openID server做認證。

[Accouting]

Accounting Server在未來很有可能必須收容巨量資料(Big Data)，有必要規劃在巨量資料分析平台(如Hadoop)運作，才能順利提供流量統計及異常偵測服務。