確認依頼: eduroam における TKIP のみの暗号化禁止と認証ログの保存ポリシについて

2024-01-11 18:11 by 鈴木

eduroam JP 加入機関技術担当者のみなさま

eduroam JP 事務局です。

eduroam 運用にあたって不具合が報告されています。
技術担当者のみなさまは以下2点を確認し、必要に応じてご対応ください。

1. eduroam 暗号化方式
2. 認証ログの適切な保存

1. eduroam 暗号化方式
各機関においては SSID が eduroam のネットワークで WPA2/AES が有効化されていることを確認ください。
必要がなければ WPA2/TKIP が無効化されていることをご確認ください。

eduroam では WPA2+AES 方式による暗号化が必須となっており、WPA2/TKIP のみのネットワークは禁止されています(**)。
WiFi 標準化をすすめている Wi-Fi Allianceでは セキュリティの問題から 2015 年より WPA2/TKIP は非推奨となっています(***)。

2. 認証ログの保存
eduroam ではSP/IdP ともに適切なログ保存が求められています。
機関のログ保存設定が以下の要件を満たしていることをご確認ください。
以下の要件は従来ご案内していた要件ではなく、最新の eduroam Compliance Statement (eCS) に準拠した記載としています(****)。
なお、新しい eCS では保存期間要件は3ヶ月に短縮されていますが、各機関ではそれより長い保存期間が求められている場合もありますのでご留意ください。

また、一部機関の SP ログ保存が要件を満たしておらず、不正アクセス試行に対する当事者からの照会に際し、利用者の特定に至らず、当該機関の eduroam からのアクセスがブロックされるという事案が発生しています。

IdP が保存すべきログ
- 認証要求とそれに対応する応答のタイムスタンプ
- 認証要求における外部 EAP アイデンティティ(User-Name 属性)
- 内部 EAP アイデンティティ(実際のユーザの識別子)
- 接続しているクライアントの MAC アドレス(Calling-Station-Id 属性)
- Operator-Name 属性が存在すれば、訪問先 SP 情報
- eduroam-SP-country 属性が存在すれば、認証要求の訪問国情報
- 認証応答のタイプ(すなわち,Accept や Reject)

当該国の定めがないかぎり最小保存期間は3ヶ月とする

SP が保存すべきログ(*)
- 認証要求とそれに対応する応答のタイムスタンプ
- 認証要求における外部 EAP アイデンティティ(User-Name 属性)
- 接続しているクライアントの MAC アドレス(Calling-Station-Id 属性)
- 接続しているアクセスポイントの MAC アドレスと SSID(Called-Station-Id 属性、利用できない場合もあり)
- Operator-Name 属性中の SP 識別子(RO によって付与されてもよい)
- 認証応答のタイプ(すなわち,Accept や Reject)
- IdP が返せば Chargeable-User-Identity (CUI 属性)
- クライアントのレイヤ 2(MAC)アドレスと,パブリックアドレスが使用されている場合の,ログイン後に発行されたレイヤ 3(IP)アドレスとの相関情報(例えば DHCP ログ)
- NAT を利用している場合、アドレス変換およびポート変換の履歴

当該国の定めがないかぎり最小保存期間は3ヶ月とする。

現状、JP Proxy では上記の RADIUS 属性のうち一部を転送しておりませんが、今年度中に転送を開始する予定です。

(*)以下はeCS が求める内容と異なりますが、eduroam JP サービス技術基準・運用基準ではNAT利用時の利用者特定に必要な情報加筆しており、これに沿った内容としています。

(**) 2013年1月以降は WPA/TKIP のみの暗号化は 許されず、WPA/AES も併せて提供する必要があります。
https://eduroam.org/wp-content/uploads/2020/02/eduroam_Compliance_Statement_v1_0.pdf

(***) https://www.wi-fi.org/system/files/Wi-Fi_Alliance_Technical_Note_TKIP_v1.0.pdf

(****)
https://eduroam.org/wp-content/uploads/2023/10/eduroam_Compliance_Statement_v2-FINAL.pdf
こちらは現在オリジナルの英文のみとなっています。

===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
お問い合わせフォーム:https://www.eduroam.jp/for_admin/contact
===============================================