Share on Google+Share on FacebookTweet about this on Twitter

Vuelta al mundo del día a día, las vacaciones quedan ya lejos y toca trabajar y/o estudiar. Miro el escritorio de mi PC y tan solo hay un icono en él, un TXT con anotaciones, tareas pendientes… lo abro.

“Comprar material lectivo, escribir unos correos, terminar/empezar cierta web… terminar de “compilar” el repositorio de Cydia…”

Hoy solo rutina…

Pero hay que aprender a mirar el día de color de rosas, así que “madrugo” desayuno, labores diarias… saco tiempo para añadir unos cuantos iconos más al tema de mi iPod, aunque aun me quedan muchos por incorporar. Como hay que cumplir… corriendo a la escuela… saco la radio, conecto mi buen Touch, música para el camino y me pierdo en mis propios pensamientos.

No tengo muchas ganas de trabajar y/o estudiar (no podemos desvelar el secreto). Así que cada vez que tengo un hueco me pregunto si podré usar la red de la Universidad de Sevilla Eduroam (Red WIFI a nivel europeo por cierto) con mi dispositivo. Aquí tenemos dos redes universitarias WIFI: Reinus y Eduroam. Reinus está más limitada pero es abierta. Eduroam te da más libertad pero usa WPA Enterprise con EAP… y no todos los dispositivos tiene dichas certificaciones. Que diablos, seguro que lo logro…

Una red que se apoya en WPA Enterprise es algo más complejo que las redes que usamos a diario tipo WEP o WPA/WP2 PSK, que la autentificación se lleva a cabo por la misma contraseña. Con los perfiles EAP la auntetificación no es una contraseña… es un servidor RADIUS el que verifica tus datos de sesión, nombre y contraseña, y las coteja en una base de datos interna. Si es correcto pasas y se te entregan las claves de sesión AES. Si no estás, fuera. Todo esto con certificados de por medio. En realidad simplemente usando WPA/WPA2 Enterprise usando como autentificación 802.1x no es tan seguro como usando perfiles EAP, aunque este puede definirse así mismo como la evolución de 802.1x, puesto que está basado en él.

Todo esto se puede fortificar usando certificados. En dicho caso el sistema (dependiendo del perfil EAP usado) puede usar dos esquemas diferentes:

El primero, menos seguro, tan solo se identifica con certificado el servidor RADIUS, de modo que nuestro dispositivo sepa a ciencia exacta que el servidor RADIUS es de verdad el que deseamos conectarnos, y no es un servidor falso.

El segundo, el más seguro de todos, obliga a una autentificación mutua. Es decir, no solo se debe de identificar el servidor RADIUS, sino que el mismo dispositivo, cliente… tiene que identificarse con un certificado propio. El servidor RADIUS comprobará que el certificado emitido por el cliente es válido. De esta forma el servidor RADIUS sabrá si el cliente es quien dice ser al 100%.

Evidentemente, en cualquiera de los casos, hará falta la identificación de usuario por nombre y contraseña, y una vez pasada la fase de autentificación, todo el tráfico irá encriptado por claves AES de sesión en el caso de WPA2 y claves TKIP de sesión en el caso de WPA.

Lo primero que tengo que saber es el perfil EAP que usa la red Eduroam. Sé que mi dispositivo es compatible con WPA/WPA2 Enterprise, pero quizás la red use un perfil EAP que no está soportado por mi dispositivo. Esto no sería extraño!! Pensar que lo mismo le sucede a Windows. Windows XP/Vista si no recuerdo mal tan solo es compatible con los perfiles EAP:

EAP-MD5 CHAP
EAP-TLS
PEAP
PEAP MS-CHAP v2

Si vien es cierto que cubre muchos de los perfiles EAP hay otros que no. Y aquí comienza el infierno. Los perfiles soportados por M$ son, como no, los suyos. Es decir PEAP MS y otros. Exceptuando el perfil EAP-TLS, que es el más seguro del mundo (requiere autentificación mtua) los otros de M$ son propietarios, aunque es cierto también que algunos están aceptados por la WIFI Alliance.

Por otro ladol, los perfiles EAP aceptados por mi iPod Touch son los siguientes:

EAP-TLS
EAP-TTLS/MSCHAPv2
PEAPv0/EAP-MSCHAPv2

Lo podeis comprobar AQUI si quereis que no se piense que la información me la invento 😉

Es decir, paradógicamente nuestro dispositivo es más compatible con EAP que Windows!! no es compatible con EAP-MD5 (que además de ser inseguro no se usa), pero es compatible con EAP-TTLS, que es mucho más usado.

Bueno, busco la información acerca de que perfil EAP es usado por Eduroam… busco y rebusto… y lo encuentro:

Red usando WPA Enterprise (Por ahora bien)
Red usando encriptación TKIP (Era de esperar, TKIP WPA, AES WPA2. No hay problema)
SSID eduroam (Los datos son los datos…)
Perfil EAP -> EAP-TTLS (tenemos suerte, nuestro dispositivo soporta TTLS… Windows NO)
Autentificación EAP-TTLS PAP (Puede ser PAP o CHAP, en cualquier caso no hay problema)

Bueno, parece que reunimos todos los requisitos… curioso… un sistema Windows no podría conectarse de por sí, tendría que instalar un suplicante a parte en el sistema como SecureW2.

Intentamos conectar…
Umm… nombre y contraseña… supongo que será:
Theliel@us.es (Suponiendo claro que mi usuario fuera Theliel)
XXXXXXXX (Suponiendo que esas X fuera mi contraseña)

Pasamos… pero ahora me sale un mensaje extraño, una pantalla similar (no igual) a esta:


Ya ya sé que no es esa la que sale, pero no realicé una captura, así que saco la más similar posible… el caso es que me pide instalación de un certificado? Es normal… a fin de cuentas el servidor RADIUS se tiene que identificar conmigo.

Instalo el certificado… nada, error de nombre y contraseña…

Intento unas cuantas veces más con diferentes ID de usuarios, pero no hay suerte… quizás un problema en la recepción del certificado? quizás necesito el certificado raiz que autentifica el certificado del servidor RADIUS?…

Se acaba el día, y hay que volver a casa… Ducha, cena, un poco de lectura, un poco de vida privada… y aprovecho para crear perfiles de conexiones WIFI a mano con la herramienta de “iphone configuration Web utility”. Quizás si me instalo de antemanos el perfil tenga más suerte:




Creo el perfil y me lo envio por correo, y por si acaso lo cuelgo en inet para tener acceso a él desde el esterior.

Aunque ahora que lo pienso, creo tambien que sería bueno, en vez de incluir los certificados en el perfil creado, quitarlos, e instalar manualmente los certificados dentro de mi dispositivo. A fin de cuentas puedo querer usarlos en cualquier otro momento. Si los añado a la base de datos de certificados de mi iPod, comenzando por el certificado Raiz de la FNMT. Un certificado raiz es la entidad más superior que existe en la certificación. Una entidad de certificación raiz certifica otros certificados por así decirlos, y así garantiza que el certificado emitido es legítimo.

Es decir, yo puedo crear un certificaod en cualquier momento, pero sin un organismo de certificación que me lo firme y lo acredite, nadie se creería mi certificado. En España, la máxima autoridad reguladora es la FNMT (Fabrica Nacionao de Moneda y Timbre). Por desgracia es una autoridad estatal, con lo que los certificados emitidos por ella no tienen un reconocimiento mundial. Esto es un poco complejo… para certificar que un certificado es válido se tiene que usar estos organismos. Con el certificado de estos organismos, validamos los certificados firmados por esta entidad. Existen multitud de organismos de certificación raiz. Cada uno se encarga de verificar y firmar los certificados emitidos por ellos. Pero claro… la mayoría de los navegadores, disposotivos… tan solo contienen los certificados raices más usados, es decir, las agencias de certificación más usadas, como puedan serlo VerySign o Thawte.

El esquema es el siguiente:

Un organismo de certificación raiz emite, vende, regala… certificados a personas físicas o fiscales (empresas). Estas personas pagan a estas empresas por la certificación, y estas les entregan un certificado digital, con sus claves privadas, que más se adecue a sus necesidades. Puede ser un certificado de firma, de autentificación o de cifrado, o todos a la vez. El certificado que entrega lo firma el mismo organimos. El cliente que ha comprado este certificado a VeriSign tambien tiene su certificado firmado por estos. Todo el mundo, todos los dispositivos, PCs.. tienen los certificados raices de VeriSign instalados en los equipos (llamados certificados CA o AC en inglees), con lo que cualquiera puede verificar en todo momento la legitimidad del certificado adquirido por este cliente. Un certificado puede estar firmado por más de un organismo, incluso un certificado de un cliente puede firmar un certificado de otra persona!!

Este es el problema. La FNMT es un organismo estatal, si usamos cualquier certificado emitido por la FNMT (desde los del DNI electrónico o los certificados CERES) tendremos advertencias de seguridad. Por qué? porque el certificado usado tan solo estará firmado por la FNMT, y normalmente no poseemos el certificado CA en nuestro PC, dispositivo… con lo que no se puede verificar la legitimidad. Y no poseemos ese certificado CA porque al ser un organismo estatal, ni Windows, MAC OS, Mozilla… integra en los navegadores, programas… el certificado CA de la FNMT. Es posible que en un futuro sean reconocidos a nivel mundial y no tengamos más advertencias de seguridad de certificados inseguros. Estoy seguro que más de uno ha tenido y visto advertencias de este tipo… ahora sabeis el por qué. Una vez que se instala el certificado CA de la FNMT estas advertencias casi desaparecen del todo. Decir que los certificados raices normalmente tan solo están firmados por ellos mismos, dado que son la máxima autoridad, nadie los certifica a ellos, tan solo ellos mismos.

Realizada toda la reflexión anterior, creo que lo mejor será instalar los 3 certificados. Por un lado el certificado raiz CA de la FNMT para que pueda verificar correctamente el resto de certificados. Y de paso le instalo tambien los certificados de los servidores RADIUS de la universidad de Sevilla (los encuentro facilmente en el portal de la universidad).

¿Como los instalo? Conozco 3 formas:

A mano por JB: Es complejo, innecesario.
Por Web: Visitando un enlace con el certificado en formato .cer, .crt…
Por correo: Este es quizás el más simple, me envio los 3 certificados por correo. Abro el correo desde mi iPod, me salen los 3 adjuntos, y selecciono uno a uno y los instalo. Me los detecta como perfiles de configuración… luego puedo desinstalarlos o verlos cuando quiera, si voy a Ajustes -> General -> Perfile. ¿Que? no te aparece? eso es porque nunca has instalado un perfil ;). Como se crean estos perfiles? con Iphone Configuration Web Utility:

Listo, parece ser que los 3 certificados están correctamente instalados. Bueno, poco más queda por hacer hoy. Como un poco más (tengo hambre), pongo algo de música de fondo y me dispongo a escribir algo en el blog…
¿el qué?

Te parece poco lo que he escrito? 😉

No lo he logrado, al final no pude realizar la conexión a la red que deseé… pero mañana, quizás pasado, nos volveremos a ver las caras, y esta vez estaré mejor preparado 😉

Alguien ponía en duda que un día a día no pudiese ser productivo en tanto y cuanto al aprendizaje? cada problema que te encuentras en el día a día es una oportunidad para aprender algo más, un reto que afrontar. Y esto es un blog de iPod Touch o iPhone, pero lo mismo se extrapola a la vida personal de cada uno. A fin de cuentas esto es tan solo un rincón… una muy pequeña parte del mundo, de mi vida de un todo… pero si se afronta cada problema o cada día con la ilusión propia, si aprendemos no aburrirnos nunca, a aprender, a observar a escuchar… la vida da sorpresas.

Un saludo amigos.