Handy, 2Hände, WLAN-Zeichen

WLAN sicher konfigurieren

WLAN-Zugänge der RUB

An der Ruhr-Universität gibt es zwei zentral bereitgestellte WLAN-Zugänge. Die von den Accesspoints ausgestrahlten SSID (Service Set Identifier) lauten:

RUB-WLAN

Dies ist ein unverschlüsseltes Funknetz, über das ausschließlich der Zugriff auf wenige Webserver des internen Netzes (Intranet) der RUB möglich ist. Die Verbindung mit dem RUB-WLAN erfolgt ohne Validierung. Um vollen Internetzugang zu erhalten, ist die Konfiguration einer zusätzlichen VPN-Verbindung mit Validierung erforderlich.

eduroam

Dies ist ein über WPA2 verschlüsseltes Funknetz der RUB. Für die Verbindung ist eine Validierung mittels RUB-LoginID und Passwort oder Benutzerzertifikat erforderlich. Über eduroam hat man direkt Zugang zum Internet.
eduroam (education roaming) bietet aber mehr: Es ist ein weltweites Projekt. Das heißt, mit derselben Konfiguration wie an der Ruhr-Universität kommt man an jeder anderen Institution der Welt, die einen eduroam-Zugang anbietet, unter Nutzung der RUB-Berechtigungen ins Internet.
Mehr Informationen zum eduroam-Projekt gibt es auf der Projektseite.

Vorsicht bei der Konfiguration von eduroam!

Die Validierung für den Zugang ins eduroam erfolgt über eine Struktur von sogenannten Radiusservern. Diese schicken die Anmeldeinformation des Benutzers (z.B. LoginID und Passwort) an den zuständigen Heimat-Radius, der die weitere Überprüfung veranlasst. Zum Schutz von Benutzername und Passwort vor fremdem Zugriff erfolgt die Übertragung zwischen Benutzersystem und Radiusserver über eine verschlüsselte Verbindung, die vergleichbar einer https-Verbindung mit einem Webserver ist. Der Radiusserver weist sich beim Verbindungsaufbau über ein Zertifikat aus. Es ist wichtig, dass dieses Zertifikat vom Benutzersystem auf Gültigkeit überprüft wird, damit die Verbindung nur zu einem vertrauenswürdigen Radiusserver erfolgt.

Hier liegt auch die Schwachstelle bei vielen Konfigurationen insbesondere auf Smartphones:

Wird das Zertifikat vom Benutzersystem nicht auf Gültigkeit überprüft, so ist es einem Angreifer möglich, sich in den Anmeldevorgang einzuschleichen und unbemerkt vom Benutzer LoginID und Passwort abzugreifen. Dies ist schon mehrfach an der RUB geschehen.
An dem am 24. Juni 2014 durchgeführten Aktionstag haben über 350 Benutzer ihre Konfiguration testen lassen, wobei sich mehr als 2/3 der Konfigurationen als fehlerhaft erwiesen haben.

Wie kann ich meine Konfiguration überprüfen?

Das Servicecenter von IT.SERVICES hilft Ihnen bei der Überprüfung Ihrer Konfiguration.

Der Königsweg: Validierung mit Zertifikat

Grundsätzlich stehen zwei Möglichkeiten der Validierung im eduroam zur Verfügung: mittels RUB-LoginID und Passwort oder über ein persönliches Benutzerzertifikat. Die Verwendung eines Zertifikats wird empfohlen, da so keinerlei geschützte Informationen beim Anmeldevorgang übertragen werden. Über das Servicecenter kann jeder RUB-Benutzer ein solches Zertifikat erhalten, das zusätzlich z.B. auch zur Signierung oder Verschlüsselung von E-Mail verwendet werden kann.

Konfigurationsanleitung

Ausführliche Beschreibungen zur Konfiguration des eduroam Zugangs für zahlreiche Betriebssysteme und mobile Endsysteme finden Sie unter: www.rub.de/wlan
Wir raten dringend dazu, dass Sie Ihre Konfiguration anhand der neuen Anleitungen sorgfältig überprüfen.
Unter der genannten Webadresse finden Sie auch neue Konfigurationsprofile für Apple-Systeme.

WPA-Typ: WPA2 Enterprise
EAP-Methode: TTLS oder PEAP
Schlüsseltyp: AES
Authentifizierungstyp: MSCHAPv2 für TTLS oder PEAP
CA-Zertifikat: Wurzelzertifikat Deutsche Telekom Root CA 2
noc.rub.de/web/pki/zertifikate
Anonyme Identität: anonymous@ruhr-uni-bochum.de
Servername: radius.ruhr-uni-bochum.de
Identität: loginID@ruhr-uni-bochum.de

 

zur Startseite

Bildquellen: pixabay.com | geralt