EAP-TLS に関する不具合に関する注意喚起と対策のお願い

2024-02-07 11:59 by 鈴木

いくつかの機関のRADIUS IdP の設定に不備があり、意図しない端末からの eduroam の認証が通ってしまうことが報告されています。

不具合内容と対策:
以下の条件がすべて満たされているとき、第三者が同一 CA チェインが発行・署名したクライアント証明書を用いて、EAP-TLSによる認証が成功します。
PEAP, EAP-TTLSを使用している機関が該当します。

  1. Public CAの証明書をサーバ証明書として使用している (UPKIなど)。
  2. FreeRADIUSを使っていて、EAP-TLSを運用していないのに、機能が無効になっていない (デフォルト)。
  3. FreeRADIUSの設定ファイル mods-enabled/eap の中で、EAP-TLSを設定する
     tls { } セクションに tls = tls-common が指定 (デフォルト) されている。
  4. クライアント証明書の属性値を検証する機能が無効 (デフォルト) になっている。

eduroam JPのサイトにある FreeRADIUS 3.2 の設定ガイド(*)には注意事項が記載され、同時に配布している設定テンプレートでは上記 3. については対応済みです。

古いガイドには注意喚起がなく、FreeRADIUSのコメントを見落として構築されたシステムでは、上記の条件が満たされたままになっている可能性があります。
EAP-TLSを使わない場合は無効化するなど、対策が必要です。

加えて、FreeRADIUS 以外の RADIUS IdP アプライアンスの場合も該当する可能性がありますので、確認が必要です。
アプライアンスにつきましては、ベンダ様へお問い合わせください

(*) https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=94340973

本件に関する連絡先:
===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
お問い合わせフォーム:https://www.eduroam.jp/for_admin/contact
===============================================