Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 83 reacties

Verschillende overheidsinstellingen hebben zich aangesloten bij het Govroam-initiatief, een variant van Eduroam maar dan voor ambtenaren. Het gaat onder andere om de ministeries van Onderwijs, Cultuur en Wetenschap en van Economische Zaken.

Behalve de ministeries gaan ook de Belastingdienst, Rijkswaterstaat, de provincie Gelderland en de stichtingen ICTU en Geonovum deelnemen aan het Govroam-netwerk. Dat maakten ze dinsdag bekend in een gezamenlijk persbericht. De gemeentes Den Haag, Arnhem, Deventer, Heerlen, Rheden en Tilburg gebruiken het netwerk sinds eind vorig jaar al.

Govroam is het equivalent van Eduroam, dat al populair is bij onderwijsinstellingen, maar dan voor ambtenaren. Dankzij het netwerk kunnen ambtenaren die netwerktoegang bij hun organisatie hebben, bij de andere deelnemende organisaties inloggen zonder daarvoor aparte inloggegevens te gebruiken. Het onderling koppelen van wifi-netwerken zou makkelijker en veiliger zijn.

Govroam ging in oktober vorig jaar van start in de eerder genoemde gemeentes. Die testten het concept samen met Envolve, Stratix en SURFnet en namen het vervolgens in gebruik. SURFnet was ook al de initiatiefnemer van het Eduroam-netwerk, dat al tien jaar bestaat en dagelijks 20 miljoen keer in verschillende landen wordt gebruikt.

Moderatie-faq Wijzig weergave

Reacties (83)

En net als je leest dat social engineering attacks zo succesvol zijn gaan overheidsinstellingen over op een semi-publiek wifi netwerk. Ik vind het een mooi initiatief en gezien Eduroam is het succes al bewezen, maar misschien is iets meer achterdocht wel op z'n plaats.
Ehm nee. Je maakt een fout. En geloof me, ik heb aan de knoppen van Eduroam gezeten en weet precies wat het wel en niet doet.

Eduroam is een cluster van Wifi netwerken. Wat er gebeurt is dat het het voor studenten en onderwijs personeel mogelijk maakt om op elke universiteit die op Eduroam aangesloten is in te kunnen loggen op het netwerk. Let op: op netnetwerk, niet op de servers! Het werkt alsvolgt. Je laat je wifi adapter een connectie leggen met een AP dat het EDUROAM SSID adverteert. Dat doet je met je loginnaam: user@instelling. Dat userid wordt aangeboden aangeboden aan een RADIUS server van de instelling waar je fysiek aanwezig bent. Die vergelijkt het realm (het gedeelte achter de @) met zijn eigen realm. komt dat overeen dan gaat hij de user authenticeren door een 802.1x authenticatie methode. Klopt dat realm niet, dan wordt de 802.1x autenticatie doorgestuurd naar een radius server van de opgegeven realm. Dat verkeer wordt bij EDUROAM via een beveiligde infrastructuur gedaan, en is niet publiek te benaderen. Meestal via SURFnet en dan nog via een secure tunnel ook!

meer doet EDUROAM niet! Het is aan de instelling om aan een login consequenties te geven. Wil men alleen het ip-netwerk toegangelijk maken dan is dat net zo valide als het toegang geven tot beveiligde delen van het netwerk.

Het heeft dus niets te maken met semi publieke, private of publieke omgevingen.
Dus de eigen radius server proxied de authenticatie naar een andere radius server over
een geencrypteerde tunnel ? Betekend dit niet dat er een onderliggend beveiligd netwerk van authenticatieservers is: een always-on eduroam VPN ?
Je moet het zien als een ster-netwerk, puur en alleen voor de authenticatie. In het midden van de ster zit de EDUroam/GOVroam organisatie, die stuurt alle authenticatie verzoeken naar de juiste instellingen toe.

Hoe de connectie tussen de instelling en Xroam zit kan per geval verschillen, afhankelijk van richtlijnen binnen een organisatie, al bestaande afspraken, type netwerken, etc. etc.
Toevoeging, je hebt gelijk dat het meestal als ster fungeert, maar niet helemaal / altijd en het wordt ook steeds minder juist:

1) Men kan het via SURFnet sturen (de hub in het netwerk die de Nederlandse RADIUS servers beheert).
2) Het kan echter - als beide instellingen het hebben ingesteld - ook rechtstreeks via DNS. Dan zit SURFnet er niet meer tussen.
3) Als je in een ander Europees land bent ga je via de nationale hub naar de nationale hub van de ander. Internationaal ga je via nationaal --> internationaal --> nationaal volgens mij. Ook dit kan echter direct via DNS.

Oh en @goarilla: er worden volgens mij losse tunnels opgezet per authenticatie. De meeste Eduroam organisaties hebben ook hun internet via SURFnet lopen, maar dat staat los van elkaar.
Enkel de authenticatie wordt via deze tunnel gendaan,
als de authenticatie succesvol is krijgt de gebruiker wel degelijk een IP van de instelling waar hij zich fysiek verbind bevindt.

Het is natuurlijk best pratices voor deze instellingen om deze ip's op een afzonderlijk subnet te stoppen, zodat deze gebruikers niet onmiddelijk op het interne netwerk zitten, als er nu al Guest AP's zijn kunnen ze hier hetzelfde subnet voor gebruiken.

Bij UGent bvb komen interne UGent gebruikers die via eduroam verbindgen op een ander subnet terrecht dan externen die zich hiermee verbinden.

[Reactie gewijzigd door Keneo op 15 april 2015 15:03]

Het is niet de bedoeling dat ambtenaren via Govroam meer kunnen dan regulier internet. Wat Eduroam doet (en Govroam gaat na-apen :)) is het internet van een aanbieder (gemeentehuis, ministerie, etc.) via een specifiek SSID aanbieden. Dit voorkomt dat ze op openbare en totaal onveilige WiFi netwerken moeten zitten.

Is het daarmee perfect? Zeker niet. Is het een stuk beter dan op andere openbare WiFi netwerken of een WEP beveiligd netwerk met 1 key, omdat er geen alternatief is? Ja absoluut wel :).
In mijn onderwijsinstelling krijg ik via eduroam wel degelijk toegang tot (private) lokale diensten en servers, die via andere netwerken niet bereikbaar zijn.
Zoals diegenen onder mij aangeven kan dit prima. Zo kan ik via eduroam gewoon bij allerlei terminal servers, shares en andere domein bronnen. Ik heb ook een HU account gehad (student) en daarmee kan ik bij mijn huidige onderwijsinstelling waar ik werk ook op internet, maar zeker niet bij allerlei netwerk bronnen op mijn werk.

Sommige collega's hebben dit niet door en krijgen dan foutmeldingen als zij op tsv's willen inloggen of bij netwerkshares willen. Eduroam ingesteld en werkend op een laptop wil overigens helaas niet altijd zeggen dat deze automatisch elders connecties, de configuratie en encryptie methode verschilt soms zodanig dat je jouw eduroam profiel moet weggooien en opnieuw verbinding moet maken met eduroam. Ik ben benieuwd hoe dat bij dit netwerk word opgelost.
Dat is niet de bedoeling. Als het goed is kun je met dezelfde configuratie op alle eduroam-netwerken. Waarmee ik niet wil zeggen dat jij zit te liegen ;) De verschillende netwerken worden beheerd door de afzonderlijke organisaties beheerd. Er kan dus wat lokale variatie zijn, al is dat niet de bedoeling.
*student die met eduroam te maken heeft* Ik hoef ook allen studentnummer + wachtwoord in te voeren bij mijn eigen locatie ;). Maar ik vemoed dus inderdaad bij een andere instelling dat er @instellingdomein bij moet omdat het anders niet herkend word.

Daarnaast kunnen instellingen net een andere encryptie gebruiken waardoor je inderdaad alsnog een nieuwe instelling voor eduroam op je laptop/telefoon etc kan gaan maken.
Doorgaans betekend dat dat je de @[instelling] bent vergeten achter je gebruikersnaam. Bij je eigen instelling kun je dan inloggen, maar een andere instelling gaat je niet herkennen.
Dat kan idd. Zet ik er niet @[domeinmijnbedrijf].lan bij dan kom ik ondanks mijn juiste account naam in een soort gastvlan.
"de configuratie en encryptie methode verschilt soms zodanig dat je jouw eduroam profiel moet weggooien en opnieuw verbinding moet maken met eduroam."

Dat zou niet moeten, het hele idee van Eduroam is dat het overal hetzelfde is namelijk... Weet je zeker dat dit de oorzaak is en je altijd op een echt Eduroam netwerk zit?
Binnen je onderwijsinstelling ja. Met een goede 802.1x oplossing kan je vrij eenvoudig je eigen studenten in een ander VLAN proppen waardoor bepaalde content beschikbaar wordt. De mogelijkheden zijn eindeloos!
Sterker, je kunt op specifieke accounts e.d. aparte VLAN's aanmaken. Eigen medewerkers op een apart VLAN van de studenten en externe studenten weer elders dan gasten. Dat gaat dan echter alleen om resources binnen die instelling (want jouw onderwijsinstelling kan moeilijk de VLAN's van de Bruno wijzigen :P).
Uiteraard! Ik wilde het alleen niet te moeilijk maken :D Een vriend van me die eduroam beheert bij een grote instelling in Wales heeft echt een paar hele leuke dingen gehosseld. Zo ben ik bijvoorbeeld voor het systeem onderdeel van het interne IT-services team zodat ik geen stomme blokkades krijg op volledig legaal p2p-verkeer (A)

Wij gaan eduroam binnen nu en een paar maanden uitrollen voor 4% van het volledige Nederlandse voortgezet onderwijs, hoe gaaf :D Als OMO nou ook even meedoet en nog een paar van die stichtingen dan is er straks overal eduroam *O* Dan nog even de NS overhalen ;)
De NS blijkt ongelooflijk lastig te zijn helaas, dus ik ben bang dat Eduroam op stations nog wel even gaat duren :(
Station Eindhoven is Eduroam beschikbaar.
Weet je zeker dat dit door de NS wordt aangeboden en je niet gewoon Eduroam opvangt van de panden om het station heen? Want zie https://www.eduroam.nl/ - de TU biedt Eduroam aan en aan de andere kant nog de Design Academy, maar op het station niet lijkt het?
Als ik aan de bus zijde van het station sta in ieder geval wel..

Heb nooit echt nagedacht over eduroam, ik zag het alleen voorbij komen als draadloos netwerk.
Bij welke organisatie werk je dat je 4% van de VO instellingen van netwerk voorziet?

Ik vind het een mooi initiatief en wij (vo stichting met 8 locaties 6000 leerlingen) gaan ook meedoen zodra we op Surfnet zijn aangesloten (binnen 2 maanden).
Stichting Carmel College, ~40.000 leerlingen. Daar vallen dan wel weer heel veel losse scholen onder zoals Twents Carmel College, Het Hooghuis in Oss, Etty Hillesum Lyceum in Deventer, enzovoorts.
Dergelijke netwerken worden opgezet als internet only netwerken en kun je in princiepen nog steeds nergens bij vanaf het netwerk zelf. Ze behandelen alsof je thuis zit en je hebt altijd een 2e set gegevens nodig om in te kunnen loggen op de bedrijfs omgeving.

In dit geval kunnen ambtenaren van andere instellingen van de wifi verbinding gebruik maken, maar alleen maar tbv internet. mochten ze meer willen dan moeten ze alsnog op een beveiligde omgeving inloggen zoals een vpn of een externe/vdi desktop.
Dit lijkt mij inderdaad de juiste manier om hier naar te kijken, zie het meer als een Ziggo hotspot dan een volledige toegang tot het netwerk. De hotspot komt uit een consument zijn kastje zetten maar dat betekent niet dat gebruikers van het gast netwerk het interne netwerk kunnen begaan.
Nu is het natuurlijk wel iets om die schijding in tact te houden.
Eduroam en Govroam zijn fysiek gescheiden van het netwerk van de betreffende organisatie. Zelfs het beheer ervan is gescheiden. Het is gewoon een extra 'vuil' netwerk, die je vervolgens kan gebruiken op bijv. d.m.v. VPN een verbinding op te zetten met het bedrijfsnetwerk.
Hoe denk jij dat het fysiek gescheiden is? Het zijn geen aparte AP's en netwerkkabels hoor :). Gescheiden is het wel, met VLAN's en dergelijke, maar niet fysiek. Dat zou toch wat idioot prijzig worden...
Ze moeten die belastingcenten toch ergens aan uitgeven :+
Dat is zeker niet fysiek gescheiden, hoewel je wellicht in een ander vlan terecht komt dan een lokale gebruiker, afhankelijk van de lokale policies.
Maar dat geldt natuurlijk ook bij ziggo
Ondanks al het positieve nieuws hierboven, is dit een slecht iets.

Want.. goed het gaat om toegang tot het netwerk niet tot services. Maar daar heeft niemand wat aan, dus zal de toegang tot die services vanaf het netwerk er echt wel gaan komen. Logged men bv. via dat netwerk in op een citrix omgeving, of iets van dien aard.

De clou waarom het slecht is; de lokale werkstations zijn ongecontroleerd. Dus 1 van de deelnemende instanties hoeft maar een wat minder systeembeheer te hebben, en een handige user met keylogger, en... precies.

Daarnaast; kijk eens wat voor teringzooi de overheid, universiteiten, ziekenhuizen, verzin het maar, van IT maken. Me dunkt dat ze hun IT budget beter kunnen besteden aan het eindelijk eens normaal werkende krijgen van de reguliere systemen, ipv de handel nog complexer en instabieler te maken door er nog een gefaald project aan toe te voegen wat vol met securityimplicaties zit.
Je hebt wel een punt maar je lijkt er van uit te gaan dat er nu nog geen WIFI-netwerken of thuiswerkers zijn. Die zijn er volgens mij al lang. Dit project maakt het mogelijk dat ambtenaren op elkaars WIFI-netwerken kunnen met hun eigen wachtwoorden. Nu doen ze dat vast ook wel maar gaat het met tijdelijke accounts, wachtwoorden op een briefje aan de muur of accounts die van collega's worden geleend.
IMHO is deze aanpak dus een verbetering ten opzichte van de huidige situatie.

Ik vind dan ook niet dat ze het complexer en instabieler maken. Door een standaardoplossing te kiezen wordt het juist overzichtelijker. Daarbij zijn ze zo slim geweest om niet het wiel opnieuw uit te vinden maar gebruik te maken van de kennis en ervaring van het Eduroam-project. Er zijn in Nederland aardig wat mensen die dit systeem al kennen waardoor het vinden van goed personeel makkelijker zou moeten zijn.

In mijn ervaring is het ook bij de meeste bedrijven een puinhoop en doen overheid/universiteiten/etc het helemaal zo slecht niet, het grootste verschil is dat bedrijven hun mislukkingen bij voorkeur geheim houden. Waar het fout gaat is dat er overal te weinig geld en tijd is om het goed te doen. Bij de overheid moet er voortdurend bezuinigd worden en het bedrijfsleven wil meestal niet meer dan het absolute minimum betalen waar ze mee weg kunnen komen. De meesten zien IT nog steeds vooral als een vervelende kostenpost waar je zo min mogelijk aan moet uitgeven.
De clou waarom het slecht is; de lokale werkstations zijn ongecontroleerd. Dus 1 van de deelnemende instanties hoeft maar een wat minder systeembeheer te hebben, en een handige user met keylogger, en... precies.
Euh, dit gaat om wifi en de laptops die mensen dus zelf meenemen, al dan niet van hun eigen instelling. Dus die lokale werkstations zijn irrelevant.
Als je het over keloggers hebt, heb je gelijk. Maar keyloggers is slechts 1 voorbeeld. Packet-sniffers, of veel eenvoudiger, ik durf te wedden dat als je nu alle 'overheid-laptops' aan 1 netwerk hangt, je aardig wat 'geheime documenten' simpelweg al kunt vinden door eens onder gedeelde bestanden rond te neuzen.

Daarnaast ga je volledig voorbij aan de opmerking dat dit soort investeringen in infrastructuur in MoSCoW tot de W behoort, en dus het minst belangrijke is. Laat ze eerst de rest van de ICT maar eens op orde gaan krijgen, voordat ze de zaak nog meer overhoop gaan trekken.
Je kaart terechte risico's van ICT aan, maar waar dit specifiek een GOVRoam probleem is ontgaat me:

1) De verbinding tussen een laptop en de dienst (bv die citrix omgeving) moet je gewoon versleuteld laten plaatsvinden. End-to-end dus, succes met sniffen :).
2) Alle vormen van lokale software (categorie keylogger) heeft niets met WiFi te maken.
3) Nu zitten de ambtenaren op openbare WiFi netwerken. Dat zou je nog kunnen afdekken, maar in een andere overheidsinstantie gebruiken ze een willekeurige WPA-w beveiligt netwerk en dan is de Eduroam variant een stuk veiliger.
4) Als gebruikers gevoelige bestanden via een reguliere netwerkshare delen op hun laptop dan... tja, dan heb je sowieso een probleem en ook dat heeft niet echt wat met Wifi te maken. Nog los van het feit dat ik volgens mij op Eduroam niet kan zoeken naar die andere PC's.

Dus nee, ik zie je punten wel maar niet hoe die concreet slechter worden door 1 gezamenlijk WiFi te hebben zoals Eduroam. Het maakt verschillende use-cases juist een stuk veiliger. Zo kun je gebruik van openbare of slecht beveiligde WiFi netwerken echt verbieden.
Normaliter is de wifi router de outer border van je interne netwerk. Die dingen doen doorgaans aan NAT. Dat betekent dat bv. het aanstaan van windows file sharing niet zo'n ramp is.

Ga je ze echter allemaal op 1 wifi netwerk zetten.. juist.

'zou versleuteld moeten plaatsvinden'.. heb je wel eens werk voor de overheid gedaan? Er 'zou veel moeten' maar 'gebeurt weinig'.

Ik heb voor de TU delft ooit een shop (ga niet zeggen welke) beveiligd met secure2shop. Op een bepaald moment was daar een storing in waardoor de beveiliging met certificaten even uit moest. Nooit meer aangezet. Want makkelijker. Dat is overheid ;)
"'zou versleuteld moeten plaatsvinden'.. heb je wel eens werk voor de overheid gedaan? Er 'zou veel moeten' maar 'gebeurt weinig'."

Dat herken ik, maar heeft weinig met Eduroam of GOVroam te maken. Die ambtenaar werkt nu op het terras via het publieke WiFi en heeft exact hetzelfde probleem :).

Volgens mij kun je file sharing van een andere gebruiker nog altijd niet via Eduroam benaderen, of wel? Someone, correct me?
Het punt is, het heeft securityimplicaties. Je gaat gebruikers van verschillende locaties consolideren in 1 netwerk. Wellicht dat ik niet de perfecte voorbeelden pak, maar het feit ligt er wel.

De tijd zal het leren. Ik verwacht dat medio deze tijd dit jaar bekend zal zijn dat Eduroam veel storingen kent, en de overheid het eerste miljard al kwijt is. Gaat nl nogal hard met al die externe adviseurs :P
Als het werkt zoals Eduroam dan wordt het niet één netwerk. Het blijft een stel gescheiden netwerken maar ze koppelen hun authenticatieservers zodat je op alle aangesloten netwerken met dezelfde account kan aanmelden.
Wat CAPSLOCK2000 hieronder zegt, mijn probleem met je stellingname is dat het lijkt uit te gaan van meerdere incorrecte aannames. Het enige dat Eduroam doet is een andere authenticatie toevoegen op het al bestaande WiFi. Zo kun je met een account van de gemeente Amsterdam inloggen op het WiFi van het ministerie van OCW maar houden zowel Amsterdam als OCW gewoon hun eigen WiFi zoals ze dat al hadden.

Ik zie gewoon niet waarom dat onveiliger zou zijn dan de situatie nu, waarbij je bij de balie van OCW een WiFI code gaat halen om online te kunnen. Nee, volgens mij denk je dat Eduroam of GOVroam anders werkt dan het is.
Dit is een goeie aansluiting op het 'nieuwe werken'. :)
Meer flexibiliteit en mogelijkheden van huis tot locatie zijn steeds meer gewenst door medewerkers. Fijn dat door één netwerk het te faciliteren is en gemeenten aan deze ontwikkeling bijdragen.

Ik hoop wel dat ze 'kinderziektes' van Eduroam niet in Govroam hebben/krijgen. Er zijn nog steeds apparaten die netwerkadapters (Serie(s) uit Intel Adapters) problemen hebben met verbinden van het netwerk.

[Reactie gewijzigd door CyberDonky op 14 april 2015 18:16]

Heeft dat niet meer wat te maken met de AP's dan met de 802.1x setup?
Ik zou het zelf niet weten maar ik heb bij mij op school de keuze uit twee types netwerk een 5ghz dat dus 802.1x Avans heet en gewoon eduroam. Zou graag van de 5ghz gebruik willen maken maar dat gooit mij er naar een half uur steeds eraf terwijl ik nooit problemen ondervind met het 2.4Ghz netwerk. Sinds is het tergend traag. Maar dat is het zo'n beetje locatie hangt er ook mee samen dat wel

Als ze allebei gebruik maken van 802.1x ligt het dus niet daar aan doet alleen de 5ghz dit dan ligt het misschien toch daar aan. Op andere locaties met 5GHz geen problemen trouwens

[Reactie gewijzigd door Splitinfinitive op 14 april 2015 20:17]

Hmm, je zou niet verwachten dat de radio's iets met eduroam te maken hebben. Vreemd.
Vind ikzelf ook, ik heb het wel eens gevraagd bij ict waarom de avans mij er steeds afgooide maar daarop kreeg ik het antwoord dat ik dan maar beter gewoon eduroam moest gebruiken. Hij heeft er wel een melding van gemaakt bij support, maar tot nu toe heb ik nog steeds geen mail ontvangen waarom het niet werkt.

Mischien ligt het toch aan mijn adapter. Maar dat zou vreemd zijn omdat zoals ik zei ik nergens anders problemen ermee ondervind.
Ik had zelf begrepen dat het netwerk met ssid 802.1x avans alleen voor medewerkers is die een laptop hebben gekregen van de school, de rest van de wifi gebruikers moet gewoon gebruik maken van eduroam.

Maar het kan zijn dat dit maar een smoesje was van de school.
heh dan moet ik maar eens proberen in te loggen op het puntensysteem kan nog wel een voldoende voor wiskunde gebruiken :P

of mischien is dat wel de reden dat hij mij er steeds afknalt naar bepaalde tijd.
Die helpdesks op scholen daar heb je helemaal niks aan..
In ieder geval op alle scholen waar ik op heb gezeten.
Mogelijk, maar met 100% zekerheid is dit niet te zeggen. Ik had vernomen van de ICT tak op mijn school dat dit aan Eduroam ligt en niet aan de apparatuur. Dat is juist het stomme, want ik denk zelf dat het ook aan het 802.1x protocol ligt.
Vreemd, dan zou je verwachten dat er een of andere 802.1x offloading stuk is in sommige chipsets/drivers. Ach, misschien dat fabrikanten denken dat consumenten toch geen 802.1x gaan gebruiken en dat ze het dan maar 'niet echt' implementeren ;)
Dat soort problemen liggen aan hoe het netwerk in elkaar zit, niet aan Eduroam zelf.
Zo kan de AP een probleem met bepaalde kaartjes hebben, de controller(s) kunnen er moeite mee hebben en dan de kaart zelf nog, die kan problemen hebben met wpa2/enterprise netwerken.
Op Eduroam vonden we iig dat het vervangen van een flink verouderd wifi netwerk voor een gloednieuw Aruba Networks systeem het gedoe oploste, geen uitval/storingen en prima snelheid :)
Realiseer je dat Eduroam niet veel meer is dat een heel breed gedragen standaard plus een paar RADIUS servers. De AP's en het netwerk zijn niet onderdeel van Eduroam zelf maar van de organisatie die het WiFi aanbiedt. Bijvoorbeeld de Universiteit van Amsterdam of de Bruna, beide hebben eigen WiFi en zenden een extra SSID (Eduroam) uit en laten jou authenticeren met de RADIUS server van je eigen (onderwijs)instelling.
Dit heeft vaker maken met de controllers waarvan de firmware niet up-to-date is. Was een paar maanden geleden ook probleem hier met de nieuwe Intel kaartjes op mijn hogeschool. Toen hebben de controllers update gekregen en waren alle problemen weg.

Op mijn school werkt het trouwens heel goed, ik haal via 5GHz meestal wel de 100Mbit :)

[Reactie gewijzigd door Zenix op 14 april 2015 20:42]

Ik gebruik Eduroam dagelijks en het werkt prima, zelfs bij CeBIT was er Eduroam, daar was ik wel erg mee verrast! ;)
Wist je dat Eduroam beschikbaar is op 13.000 locaties over 71 landen? ^^
handig: er is een app met alle eduroam locaties in Nederland. Erg handig omdat eduroam ook op allerlei plekken beschikbaar is die op het eerste gezicht niks met onderwijs te maken hebben.
Eduroam werkt prima - maar je moet gewoon de discipline hebben om de configuratie eerst op de thuisinstelling te testen. Dat is toch kort samengevat onze ervaring. Als er omwille van allerlei SSL-toestanden nieuwe certificaten moeten komen - dan is 't inderdaad niet gelachen. Maar ook dat hebben we overleefd zeker?
ha, dan moet het 'thuis' (lees op je eigen instelling) wel werken. Ik liep destijds tegen de idiote situatie aan dat eduroam op de WUR met geen stok aan de praat te krijgen was. Daarentegen werkte het uitstekend op de universiteit van Luik. Gelukkig is het nu verbeterd.
Niet Eduroam, dat hadden wij op school, moesten wij iedere keer onze nummer (leerling nummer) naam, achternaam, wachtwoord...

Zo omslachtig was dat :(
Huh hoe bedoel je? Voor Eduroam krijg je een account van de instelling en dat stel je eenmalig in op je telefoon en laptop zoals bij ieder WiFi netwerk. Als je dat 1 keer goed doet werkt het en blijft het werken.. :)
Zo werkt het voor mij in ieder geval wel. Een keer aanmelden en ik heb op bijna de gehele Radboud Universiteit WiFi.

Echter als ik in Rotterdam bij de Erasmus Universiteit ben dan kan ik opeens niet meer inloggen. Het artikel wekt de suggestie dat je met een enkele inlog overal terecht kunt. Dat klopt helaas niet.

edit: en dat klopt ook. Zie de reactie van Cobis taba onder mij. Bedankt!

[Reactie gewijzigd door Noisia op 14 april 2015 20:41]

Dan heb je jouw account verkeerd ingesteld - al dan niet met verkeerde voorlichting van de Radboud. Je moet als username ook het deel achter de @ gebruiken, dus in jouw geval volgens mij @ru.nl - als je alleen je username gebruikt werkt het binnen de RU maar niet er buiten. Als je <username>@ru.nl gebruikt werkt het over de hele wereld.

Hoe Eduroam werkt (beperkte uitleg, de echte techneut ben ik niet :P):
- Je maakt contact met het Acces Point. Die - of de RADIUS server van de instelling waar het AP bij hoort - beoordeeld waar je vandaan komt. Dit doet hij op basis van het deel achter de @.
- Als je geen @ru.nl gebruikt is zijn aanname dat je een lokale gebruiker bent.
- Als dat bij de eigen instelling is stuurt hij je naar de lokale RADIUS server. Ben je dat niet dan wordt je naar SURFnet gestuurd (de organisatie die Eduroam beheert) en stuurt die RADIUS server je door.
-- Uitzondering is als beide instellingen het via DNS doen, dan ga je rechtstreeks van de EUR naar de RU in jouw voorbeeld.
- Jouw eigen instelling authenticeert je en stuurt een akkoord naar het AP van de EUR (jouw voorbeeld).

Let op, je kunt bij WPA-enterprise twee ID's instellen. Een 'inner' ID en een 'outer' ID. De bepaling waar je vandaan komt gebeurt op basis van het outerID en alleen het deel achter de @. Hiervoor kun je dus ook 'anonymous@ru.nl' gebruiken. Je inner ID is net als je password alleen leesbaar voor de eigen RADIUS server (die van de RU). Voordeel is dat je dus relatief anoniem op het EUR netwerk kunt als je een anoniem outer ID gebruikt. De EUR kan dan - zonder hulp van de RU - niet zien wie je bent.
Ik zit al behoorlijke tijd op eduroam en enige keer dat ik mijn username etc moet opgeven is als ik mijn telefoon een factory reset heb gegeven :) verder logt mijn telefoon automatisch op eduroam in als het beschikbaar is.
De overheid is goed bezig, net als met de rijkspas, kan je gewoon overal naar binnen als je bent aangemeld voor die locatie.
Ik moet zeggen dat ik Eduroam best wel fijn ging werken. Toen ik een semester in Oslo studeerde, kon ik bijvoorbeeld gewoon mijn inloggegevens van de Radboud Universiteit gebruiken en hoefde ik helemaal niks in te stellen.
Ik ben naarstig op zoek naar de meerwaarde van eduroam. Via eduroam krijg je 'free wifi' en toegang tot de beveiligde services waar je bij mag van je eigen instelling, zo begrijp ik.

Nou lukt het werkelijk ieder café om free wifi aan te bieden. En kan ik in ieder café een beveiligde verbinding opzetten (SSL etc) met willekeurig welke server ter wereld. Wat dan ook gewoon veilig is. Alles wat over de verbinding gaat is immers versleuteld. Even afgezien van het feit dat er weleens een poortje dicht zal staan. Wat eduroam nu lijkt toe te voegen ten opzichte van die open situatie is alleen dat het om een beveiligde toegang gaat tot een wifi-netwerk. Dat is leuk, maar voor geen enkel café een probleem.

Is dit nu alleen een dure oplossing voor IT beheerders die het in hun broek doen bij het idee van een publiek wifi of is er nog iets wat ik mis?
"Alles wat over de verbinding gaat is immers versleuteld. " <-- whahah, serieus? :) Was het maar zo'n feest...

Wat Eduroam toevoegt is dat je met 1 set credentials over de hele wereld kunt inloggen op een WiFi netwerk waarvan je weet dat men zich aan correcte standaarden en veiligheid houdt. Daarbij hoef je niet steeds ergens een WPA-2 key vandaan te halen (nog los van het feit dat dit onveiliger is). Als Universiteit Utrecht(UU) student kun je in Rome inloggen met je UU account.

Waar haal je vandaan dat dit een dure oplossing is trouwens? In beheer scheelt het onderwijsinstellingen extreem veel geld (niet 10 verschillende SSID's voor verschillende doeleinden beheren maar 1 die voor iedereen werkt). De Eduroam infrastructuur is een paar RADIUS servers, dat kost echt geen drol.

Maar als jij gewoon dat netwerk van je lokale cafe wilt gebruiken, veel succes, ik houdt het bij het relatief veiligere Eduroam als je het niet erg vindt :).

"Via eduroam krijg je 'free wifi' en toegang tot de beveiligde services waar je bij mag van je eigen instelling, zo begrijp ik. "

Dat klopt niet. Je krijgt toegang tot het netwerk van de instelling waar je op bezoek bent en eventueel hun services die ze je toestaan op basis van wie je bent. De UU kan er dus voor kiezen medewerkers van de Hogeschool Utrecht toegang tot een apart VLAN te geven omdat zij weten dat dit een HU medewerker is.

Dat is het andere voordeel namelijk, je kan van iedereen die je netwerk gebruikt achterhalen wie het is. Misbruik is dus nihil - de gebruiker weet dat hij traceerbaar is - en dat is bij een openbaar WiFi niet het geval.
Universiteiten mogen geen 'free wifi' aanbieden. Nouja, het mag wel, maar dan mag je daar een speciale rechten aan koppelen, zoals bv toegang tot de bibliotheek. Daarnaast moet je dan ook aan alle verplichtingen van een "normale" ISP gaan voldoen, zoals (tot voor kort) de bewaarplicht.
Universiteiten willen dus hun eigen gesloten netwerk draaien maar wel studenten en medewerkers van andere instellingen toegang geven.

Daarnaast worden er hogere eisen gesteld aan de kwaliteit en de veiligheid dan een gemiddelde kroeg. Voor de meeste mensen is het opzetten van een tunnel/VPN iedere keer als ze op Wifi zitten te moeilijk. Door Eduroam te gebruiken kan er een zeker minimumbeveiliginsniveau worden gegarandeerd.

Verder is Eduroam erg prettig in het gebruik omdat het min of meer automatisch werkt. Je hoeft je niet af te vragen welk netwerk je nu weer moet gebruiken of waar het blaadje met het wifi-wachtwoord is. Veel kroegen eisen dat je inlogt met facebook of je op en andere manier registreert zodat ze weten wie je bent. Voor universiteiten is een koppeling met facebook niet acceptabel.
"zonder daarvoor aparte inloggegevens te gebruiken"-mentaliteit
+
Evil twins/fake hotspot
=
Overheidsinstellingen die worden gehacked
En daarom werkt het met WPA2-enterprise, op basis van certificaten. Dat maakt een MITM al een heel stuk minder makkelijk.

edit: @hieronder: het werkt de andere kant op: het access point/netwerk moet zich authenticeren, niet de gebruiker, want daar hebben we dus al een wachtwoord voor.

[Reactie gewijzigd door ktf op 14 april 2015 19:04]

Niet perse, een certificaat is ook alleen maar een 'lang wachtwoord'. Sure, er wordt niet meer getypt, en je kan mutual authentication makkelijker gebruiken, maar dat maakt nog niet dat er domme ambtenaren zijn die in het cafe even willen internetten en daar 'Govroam' zien en dan proberen aan te melden. Je kan gewoon een open netwerk zonder auth opzetten en dan om een username en password vragen in een captive portal.
weg wegens liever geen problemen op het werk :-)

[Reactie gewijzigd door telenut op 14 april 2015 22:23]

Volgens mij moet je ook certivicaten hebben. Dus heb je aan inlog niet gelijk wat.
Je kan ook EAP-PSK draaien; is wat minder populair echter. Het wordt trouwens pas echt sterk als je je clients deployed met eigen certs zodat je ook client authenticatie hebt.

Een aantal van onze klanten draaien een open netwerk welke na ouderwetse autorisatie (bezoekers portaal) over HTTPs je toestel voorziet van een preset en certs voor 8021x waarna de gebruiker van het netwerk wordt geschopt en verbinding maakt met het beveiligde netwerk.

en een niveautje hoger: Je kan wel een fake AP plaatsen maar als jij het verkeerde cert uitdeelt op je radius server gaan je clients toch niet verbinden hoor. Fake je het certificaat dan zal je antwoord niet kloppen door gebrek aan private key.

[Reactie gewijzigd door analog_ op 14 april 2015 18:41]

weg wegens liever geen problemen op het werk :-)

[Reactie gewijzigd door telenut op 14 april 2015 22:23]

En zelfs met een certificaat ben je nog niet veilig tenzij je encryptie van het toestel ook gaat afdwingen en de eindgebruiker niet bij het certificaat laat komen.
Benieuwd hoeveel van deze instellingen dat doen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True