"Comprar material lectivo, escribir unos correos, terminar/empezar cierta web... terminar de "compilar" el repositorio de Cydia..."
Hoy solo rutina...
Pero hay que aprender a mirar el día de color de rosas, así que "madrugo" desayuno, labores diarias... saco tiempo para añadir unos cuantos iconos más al tema de mi iPod, aunque aun me quedan muchos por incorporar. Como hay que cumplir... corriendo a la escuela... saco la radio, conecto mi buen Touch, música para el camino y me pierdo en mis propios pensamientos.
No tengo muchas ganas de trabajar y/o estudiar (no podemos desvelar el secreto). Así que cada vez que tengo un hueco me pregunto si podré usar la red de la Universidad de Sevilla Eduroam (Red WIFI a nivel europeo por cierto) con mi dispositivo. Aquí tenemos dos redes universitarias WIFI: Reinus y Eduroam. Reinus está más limitada pero es abierta. Eduroam te da más libertad pero usa WPA Enterprise con EAP... y no todos los dispositivos tiene dichas certificaciones. Que diablos, seguro que lo logro...
Una red que se apoya en WPA Enterprise es algo más complejo que las redes que usamos a diario tipo WEP o WPA/WP2 PSK, que la autentificación se lleva a cabo por la misma contraseña. Con los perfiles EAP la auntetificación no es una contraseña... es un servidor RADIUS el que verifica tus datos de sesión, nombre y contraseña, y las coteja en una base de datos interna. Si es correcto pasas y se te entregan las claves de sesión AES. Si no estás, fuera. Todo esto con certificados de por medio. En realidad simplemente usando WPA/WPA2 Enterprise usando como autentificación 802.1x no es tan seguro como usando perfiles EAP, aunque este puede definirse así mismo como la evolución de 802.1x, puesto que está basado en él.
Todo esto se puede fortificar usando certificados. En dicho caso el sistema (dependiendo del perfil EAP usado) puede usar dos esquemas diferentes:
El primero, menos seguro, tan solo se identifica con certificado el servidor RADIUS, de modo que nuestro dispositivo sepa a ciencia exacta que el servidor RADIUS es de verdad el que deseamos conectarnos, y no es un servidor falso.
El segundo, el más seguro de todos, obliga a una autentificación mutua. Es decir, no solo se debe de identificar el servidor RADIUS, sino que el mismo dispositivo, cliente... tiene que identificarse con un certificado propio. El servidor RADIUS comprobará que el certificado emitido por el cliente es válido. De esta forma el servidor RADIUS sabrá si el cliente es quien dice ser al 100%.
Evidentemente, en cualquiera de los casos, hará falta la identificación de usuario por nombre y contraseña, y una vez pasada la fase de autentificación, todo el tráfico irá encriptado por claves AES de sesión en el caso de WPA2 y claves TKIP de sesión en el caso de WPA.
Lo primero que tengo que saber es el perfil EAP que usa la red Eduroam. Sé que mi dispositivo es compatible con WPA/WPA2 Enterprise, pero quizás la red use un perfil EAP que no está soportado por mi dispositivo. Esto no sería extraño!! Pensar que lo mismo le sucede a Windows. Windows XP/Vista si no recuerdo mal tan solo es compatible con los perfiles EAP:
EAP-MD5 CHAP
EAP-TLS
PEAP
PEAP MS-CHAP v2
Si vien es cierto que cubre muchos de los perfiles EAP hay otros que no. Y aquí comienza el infierno. Los perfiles soportados por M$ son, como no, los suyos. Es decir PEAP MS y otros. Exceptuando el perfil EAP-TLS, que es el más seguro del mundo (requiere autentificación mtua) los otros de M$ son propietarios, aunque es cierto también que algunos están aceptados por la WIFI Alliance.
Por otro ladol, los perfiles EAP aceptados por mi iPod Touch son los siguientes:
EAP-TLS
EAP-TTLS/MSCHAPv2
PEAPv0/EAP-MSCHAPv2
Lo podeis comprobar AQUI si quereis que no se piense que la información me la invento ;)
Es decir, paradógicamente nuestro dispositivo es más compatible con EAP que Windows!! no es compatible con EAP-MD5 (que además de ser inseguro no se usa), pero es compatible con EAP-TTLS, que es mucho más usado.
Bueno, busco la información acerca de que perfil EAP es usado por Eduroam... busco y rebusto... y lo encuentro:
Red usando WPA Enterprise (Por ahora bien)
Red usando encriptación TKIP (Era de esperar, TKIP WPA, AES WPA2. No hay problema)
SSID eduroam (Los datos son los datos...)
Perfil EAP -> EAP-TTLS (tenemos suerte, nuestro dispositivo soporta TTLS... Windows NO)
Autentificación EAP-TTLS PAP (Puede ser PAP o CHAP, en cualquier caso no hay problema)
Bueno, parece que reunimos todos los requisitos... curioso... un sistema Windows no podría conectarse de por sí, tendría que instalar un suplicante a parte en el sistema como SecureW2.
Intentamos conectar...
Umm... nombre y contraseña... supongo que será:
Theliel@us.es (Suponiendo claro que mi usuario fuera Theliel)
XXXXXXXX (Suponiendo que esas X fuera mi contraseña)
Pasamos... pero ahora me sale un mensaje extraño, una pantalla similar (no igual) a esta:
Ya ya sé que no es esa la que sale, pero no realicé una captura, así que saco la más similar posible... el caso es que me pide instalación de un certificado? Es normal... a fin de cuentas el servidor RADIUS se tiene que identificar conmigo.
Instalo el certificado... nada, error de nombre y contraseña...
Intento unas cuantas veces más con diferentes ID de usuarios, pero no hay suerte... quizás un problema en la recepción del certificado? quizás necesito el certificado raiz que autentifica el certificado del servidor RADIUS?...
Se acaba el día, y hay que volver a casa... Ducha, cena, un poco de lectura, un poco de vida privada... y aprovecho para crear perfiles de conexiones WIFI a mano con la herramienta de "iphone configuration Web utility". Quizás si me instalo de antemanos el perfil tenga más suerte:
Creo el perfil y me lo envio por correo, y por si acaso lo cuelgo en inet para tener acceso a él desde el esterior.
Aunque ahora que lo pienso, creo tambien que sería bueno, en vez de incluir los certificados en el perfil creado, quitarlos, e instalar manualmente los certificados dentro de mi dispositivo. A fin de cuentas puedo querer usarlos en cualquier otro momento. Si los añado a la base de datos de certificados de mi iPod, comenzando por el certificado Raiz de la FNMT. Un certificado raiz es la entidad más superior que existe en la certificación. Una entidad de certificación raiz certifica otros certificados por así decirlos, y así garantiza que el certificado emitido es legítimo.
Es decir, yo puedo crear un certificaod en cualquier momento, pero sin un organismo de certificación que me lo firme y lo acredite, nadie se creería mi certificado. En España, la máxima autoridad reguladora es la FNMT (Fabrica Nacionao de Moneda y Timbre). Por desgracia es una autoridad estatal, con lo que los certificados emitidos por ella no tienen un reconocimiento mundial. Esto es un poco complejo... para certificar que un certificado es válido se tiene que usar estos organismos. Con el certificado de estos organismos, validamos los certificados firmados por esta entidad. Existen multitud de organismos de certificación raiz. Cada uno se encarga de verificar y firmar los certificados emitidos por ellos. Pero claro... la mayoría de los navegadores, disposotivos... tan solo contienen los certificados raices más usados, es decir, las agencias de certificación más usadas, como puedan serlo VerySign o Thawte.
El esquema es el siguiente:
Un organismo de certificación raiz emite, vende, regala... certificados a personas físicas o fiscales (empresas). Estas personas pagan a estas empresas por la certificación, y estas les entregan un certificado digital, con sus claves privadas, que más se adecue a sus necesidades. Puede ser un certificado de firma, de autentificación o de cifrado, o todos a la vez. El certificado que entrega lo firma el mismo organimos. El cliente que ha comprado este certificado a VeriSign tambien tiene su certificado firmado por estos. Todo el mundo, todos los dispositivos, PCs.. tienen los certificados raices de VeriSign instalados en los equipos (llamados certificados CA o AC en inglees), con lo que cualquiera puede verificar en todo momento la legitimidad del certificado adquirido por este cliente. Un certificado puede estar firmado por más de un organismo, incluso un certificado de un cliente puede firmar un certificado de otra persona!!
Este es el problema. La FNMT es un organismo estatal, si usamos cualquier certificado emitido por la FNMT (desde los del DNI electrónico o los certificados CERES) tendremos advertencias de seguridad. Por qué? porque el certificado usado tan solo estará firmado por la FNMT, y normalmente no poseemos el certificado CA en nuestro PC, dispositivo... con lo que no se puede verificar la legitimidad. Y no poseemos ese certificado CA porque al ser un organismo estatal, ni Windows, MAC OS, Mozilla... integra en los navegadores, programas... el certificado CA de la FNMT. Es posible que en un futuro sean reconocidos a nivel mundial y no tengamos más advertencias de seguridad de certificados inseguros. Estoy seguro que más de uno ha tenido y visto advertencias de este tipo... ahora sabeis el por qué. Una vez que se instala el certificado CA de la FNMT estas advertencias casi desaparecen del todo. Decir que los certificados raices normalmente tan solo están firmados por ellos mismos, dado que son la máxima autoridad, nadie los certifica a ellos, tan solo ellos mismos.
Realizada toda la reflexión anterior, creo que lo mejor será instalar los 3 certificados. Por un lado el certificado raiz CA de la FNMT para que pueda verificar correctamente el resto de certificados. Y de paso le instalo tambien los certificados de los servidores RADIUS de la universidad de Sevilla (los encuentro facilmente en el portal de la universidad).
¿Como los instalo? Conozco 3 formas:
A mano por JB: Es complejo, innecesario.
Por Web: Visitando un enlace con el certificado en formato .cer, .crt...
Por correo: Este es quizás el más simple, me envio los 3 certificados por correo. Abro el correo desde mi iPod, me salen los 3 adjuntos, y selecciono uno a uno y los instalo. Me los detecta como perfiles de configuración... luego puedo desinstalarlos o verlos cuando quiera, si voy a Ajustes -> General -> Perfile. ¿Que? no te aparece? eso es porque nunca has instalado un perfil ;). Como se crean estos perfiles? con Iphone Configuration Web Utility:
Listo, parece ser que los 3 certificados están correctamente instalados. Bueno, poco más queda por hacer hoy. Como un poco más (tengo hambre), pongo algo de música de fondo y me dispongo a escribir algo en el blog...
¿el qué?
Te parece poco lo que he escrito? ;)
No lo he logrado, al final no pude realizar la conexión a la red que deseé... pero mañana, quizás pasado, nos volveremos a ver las caras, y esta vez estaré mejor preparado ;)
Alguien ponía en duda que un día a día no pudiese ser productivo en tanto y cuanto al aprendizaje? cada problema que te encuentras en el día a día es una oportunidad para aprender algo más, un reto que afrontar. Y esto es un blog de iPod Touch o iPhone, pero lo mismo se extrapola a la vida personal de cada uno. A fin de cuentas esto es tan solo un rincón... una muy pequeña parte del mundo, de mi vida de un todo... pero si se afronta cada problema o cada día con la ilusión propia, si aprendemos no aburrirnos nunca, a aprender, a observar a escuchar... la vida da sorpresas.
Un saludo amigos.
Entradas
25 comentarios:
Qué bonito es buscar soluciones cuando se tiene actitud positiva ante las cosas. A fin de cuentas un problema lo es porque tiene solución. El asunto es que a veces la solución no nos gusta.
genial post. muy bueno. he entendido poco de lo que has escrito pero me ha servido para aprender algunas cosas que no sabia. sigue asi, que aunque sea solo un blog de iphone/touch es de lo mejor que encuentro hoy en dia. lo bueno es que escribes reflexiones y opiniones y no solo te dedicas a recoger noticias
un saludo
El tema me interesa mucho porque no consigo de ninguna de las maneras conectarme al wifi de mi universidad. Me aparecen tres redes, Eduroam, UnioviWifi y UnioviWEP.
La de Uniovi Wifi que es la que recomiendan utiliza identificación WPA2 creo. Meto mi usuario y contraseña, acepto el certificado y nada de nada, no se me conecta.
He intentado buscar los certificados Radius que buscaste tu, para hacerlo desde casa y después probar y no los encuentro por ningún lado la verdad.
No hay nada que hacer no?¿?
Y usando VPN se puede?¿?
Por cierto no puedo abrir el iphoneconfigurationweb porque me dice que necesito hacer algo con installutil o algo así.
Saludos.
Gracuas d y Oroig, es bonito ver tambien que logras aportar algo al mundo.
Kurling---tito
Que universidad hablamos? es posible que pueda encontrarte los certificados
Es posible que no estés introduciendo bien nombre y contraseña?
Has intentado conectarte a Eduroam?
Por VPN se puede si tu universidad tiene la opción de redes VPN.
Sobre iphoneconfiguration... tienes instalado en el PC net framework? asegurate que tienes la version 1.1 2.0 3.0. Esa utilidad se encuentra dentro de framework, lo q me hace pensar que no lo tienes instalado
Justamente estoy en esa lucha... intentando conectarme con el iTouch a eduroam. He hablado con el responsable de redes de la universidad (la complutense de Madrid) y al no poder darme solución se contactó conmigo el responsable de eduroam ES. Como respuesta me dijo que me instale el iPhone configuration utility, que no sé porqué ya que el mio es el iTouch (y además esta aplicación solo está para MAC de momento), y cree un perfil, dándome una pequeña guía para ello.
Entonces me descargué el iphone configuration Web utility pero no pude utilizarlo por las mismas causas que Kurling---tito. Me descargué el Microsoft .NET framework 2.0 pero al intentar instalarlo me pone que la versión del frame work es incompatible con una instalada anteriormente. Así que ahí estoy... con el error de usuario y contraseña. Ya veré si logro algo más, aunque seguro tengas mas suerte vos!
saludos
La aplicación es para MAC y para Windows en su forma web, para MAC tan solo como herramienta.
Instalada en XP y vista sin problema alguno. Se llama así, pero funciona igual para iPod Touch.
Tengo preparados mis perfiles y mañana los pondré a prueba, espero no tener problema alguno ;)
Buenas
La verdad es que también lo comprobé. Aunque teorícamente hay que poner (en sevilla al menos) tan solo @us.es probé usando otros subdominios, pero nada. Lo curioso es cuando intentaba el acceso de dominios grandes ni si quiera era capaz de traerse el certificado con él... curioso.
De todos modos dices que tienes acceso perfectamente... intenta el acceso tb a Eduroam de la misma forma y comprueba si te funciona ;)
Gracias Theliel.
Me has despertado una curiosidad y como bién dices... "cada problema que te encuentras en el día a día es una oportunidad para aprender algo más"
En mi caso no es un problema pero si algo que le puedo sacar utilidad!!
Gracias de nuevo! y sigue que el blog está de P... Madre!!
Jordi
Theliel1-Us.es 0
Cuando llegue a casa qctualizo, no fue tan dificila fin de cuentas
Tengo .NetFramework 2.0. Instalo el progrma, me oy a la carpeta de instalación e intento ejecutar el archivo iPhoneConfigurationWebUtilityService.exe
y me aparece el siguiente mensaje de error: "Cannot start service from the command line or a debugger. A Windows Service must first be installed (using installutil.exe) and then started with the ServerExplorer, Windows Services Administrative tool or the NET START command.
Me aparece tb otro .exe llamado
CabArc, pero no hace nada.
Saludos.
yo no sé cual es el .NET framework que tengo instalado, pero me pasa lo mismo que a KuRLiNg--TiTo
saludos, y a ver si nos das una mano!
:D
Por cierto mi universidad es la de Oviedo. Por más que busco por google certificados Radius y na. Muchas gracias
Por cierto mi universidad es la de Oviedo. Por más que busco por inet los certificados Radius de mi uni no sale na de na.
Estoy mirando la web de la uni de oviedo y al parecer gestionan un pcoo diferente. Según veo tienen dos, una WPA y otra WEP.
La WEP no debería de usarse, no solo por ser completamente vulnerable, sino que además dicen de usar WEP con autentificación EAP!! y esto es de todo menos un estandar. Autentificación EAP para WPA, no para WEP. WEP usa tan solo autentificaicón compartida o Abierta.
Bueno, yo de momento sigo con el iPhone Configuration Web Utility (ICWU)... Resulta que tenía los 3 primeros Frame Work de la lista, ahora ya me instalé el 3.0 también, pero sin resultados (por cierto estoy bajo XP). Reparé la instalación del ICWU una vez con la nueva versión del Frame Work y el error que recibo es:
"No se puede iniciar un servicio desde la línea de comandos o un depurador. En primer lugar, se debe instalar un servicio de Windows (utilizando installutil.exe) y, a continuación, abrirlo con ServerExplorer, la herramienta administrativa de los servicios de Windows o el comando NET START."
así que ya no sé que más hacer dada la necesidad de crear un perfil. Luego ya me enfrentaré a los certificados (que por cierto no son de la complutense de Madrid, sino que de la Universidad del País Vasco).
Umm... extraño... no sé.
La instalación llega a terminarse? s es así, ve a Panel de control, herramentas adminsitrativas, servicios.
Ordena pro nombre y busca entre todos ellos iPhone configuration.... mira a ver si aparece
El programa se instala bien al parecer (al menos no da ningún error), el error en cuestión se da cuando voy a ubicar el programa en Archivos de programa, y le doy al .exe que se supone abriría la aplicación. Ya miraré lo que me decís de todas formas, que ahora estoy en un cyber (no tengo internet en casa aún).
Bueno, ahora acabo de leer la respuesta a "KuRLiNg--TiTo" del post siguiente (eduroam), y puede que consiga solucionarlo así también, en un rato voy a casa y veo.
Muchas gracias de nuevo, ya me gustaría saber informática a ese nivel ;)
Nadie nace sabiendo.
Haz como digo en el otro comentario. Como digo es una aplicación Web. El programa en sí es un mini servidor web realizado en Perl.
hola Theliel.....que genio!!!! precisamente hace unos dias intentaba conectarme a mi universidad (UJA) y me topé con el problema y no tuve otro remedio que resignarme....este aporte me abre nuevas esperanzas....
Un saludo
perez
Yo soy de la universidad del pais vasco. Estoy intentando crear el perfil por iphone configuration web utility pero nose de donde puedo conseguir los certificados radius
darcktower, no hace falta, ya lo he dicho. Busca los datos de la conexion, configura con iphone web según sean estos datos y listo
Hola, ante todo te felicito por tan importante informacion que publicastes me ha sido util hasta cierto punto
necesito una ayuda, tengo un itouch 2da generacion, he intentado tomar wifi de la universidad pero hay problemas hable con el tecnico y me dijo que ni idea porque no posee uno de esos dispositivos y me dijo que indagara con lo siguiente:
por cierto te estoy escribiendo desde venezuela, especificamente de la universidad de carabobo
te escribo textual:
"para configurar equipos que soporten conexion wifi y no se conozca un procedimiento detallado para conectarse a la red inalambrica de la UC, se sugiere investigar las opciones que ofrece su equipo tales que coincidan de alguna manera con la siguiente lista de parametros:
nombre de red (network nade ssid): WirelessUC
tipo de seguridad (wireless security): WPA-Enterprise
protocolo de autentificacion (EAP method): TTLS (EAP-TTLS)
tipo de clave (key type): TKIP
tipo de fase o metodo de autentificacion (phase2 type): PAP
certificado de CA: vacio
certificado de cliente: vacio
clave privada: vacio
identity: mi login
pass word: mi password
domain: vacio"
yo he logrado acceder a la red wifi desde laptops, claro esta instalando el programa secure w2 en la pc y configurando la red proxy, mi usuario y mi contraseña pero como bien sabemos eso no se puede instalar en el itouch
he intentado editando parametros en el ipod de la red colocando el proxy y el usuario y eso y no me sirve... incluso el tecnico me dice que esa configuracion es una tonteria se necesita editar algo mas a fondo ya que editando eso no se hace nada porque eso es muy elemental para lo que se necesita para conectarse a la red
alguna idea ???
saludos
Es facil. Con la aplicacion que he descrito no tendrías problema alguno de generar dicho perfil. Te dirigiría hacia un creador de perfil para la US (la universidad de Sevilla), pero el nombre de la red es diferente.
Crear un perfil para tu red sería muy simple, instala el iphone configuration web tools que indico en esta entrada y casi casi tienes que seguir los mismos pasos, lo único que cambia en tu caso es el SSID de tu red
Hola, de nuevo yo, gracias por tu respuesta, logre hacer el perfil instalarlo y usarlo y excelente!
puedo usar la wifi de la universidad pero solo para entrar al safari la app store y google maps, a pesar de que son tonterias tengo una pregunta no puedo usar la bolsa el tiempo mail y youtube
puedo youtube desde safari pero no desde la aplicacion
alguna idea, sera que al perfil le falto establecer algo, no es super importante pero no estaria de mas saberlo =)
saludos
Por lo que comentas lo normal es que estén usando alguna clase de filtro en tu universidad que impide el acceso de alguna forma a dichos servicios.
Es posible que concedan por ejemplo acceso para web, pero el acceso POP o IMAP lo tengan cerrado. Es facil establecer filtros para limitar los "derechos" de cada usuario.
Antes de presuponer nada, lo mejor sería que probaras con un PC en las mismas condiciones, o consultar con el servicio técnico de tu universidad y preguntar si tienen capado ciertos servicios.
Si el perfil funciona y tienes safari por ejemplo, funciona. El resto es problema de la infrastructura de la universidad
Publicar un comentario