EDUROAM - WiFi

Připojení zařízení osob registrovaných v rámci projektu eduroam

Tato stránka shrnuje informace pro uživatele, kteří by se rádi připojili k síti na MFF
UK, v budově Sokolovská 83, prostřednictvím projektu eduroam.

Technologie a pokrytí
Podmínky připojení
Jak se připojit
Omezení provozu
Bezpečnost především
Monitorování síťového provozu
Technická podpora

Označení a logo eduroam jsou registrovanou ochrannou známkou společnosti
TERENA.

Technologie a pokrytí
Pro bezdrátové připojení je k dispozici signál dle standardu 802.11b/g a 802.11a. Signálem jsou pokryty chodby, posluchárny a pracovny v budově. Pro ověření před
připojením je využíván protokol 802.1x.
Podmínky pro připojení
  • Každý uživatel roamingu je povinen se řídit podmínkami roamingu hostující
    a domácí sítě a dále zásadami přijatelného užití akademické sítě CESNET –
    viz www.cesnet.cz.
  • Každý uživatel roamingu je povinen okamžitě reagovat na výzvy a pokyny správy
    sítě hostující i domácí sítě a roamingového centra CESNETu.
  • Každý uživatel roamingu je plně odpovědný za zneužití svých osobních údajů
    (heslo, certifikát, ...), umožňujících mu přístup do sítě.

Pro uživatele se dále na používání služby vztahuje i příkaz děkana 4/2008: Zásady pro provozování a používání výpočetní techniky zapojené do sítě MFF UK.

Důležitá omezení a pravidla vybraná z předpisů

Ze zásad přijatelného užití akademické sítě CESNET vyplývá, že uživatelé nesmějí
používat tuto síť pro činnosti, které:

  • umožňují nebo snaží se získat neoprávněný přístup ke zdrojům připojených
    sítí
  • porušují práva duševního vlastnictví
  • nepříznivě působí na provoz sítě nebo jejích jednotlivých služeb, brání
    uživatelům v přístupu k těmto službám, ohrožují činnost sítě nebo nadměrně
    omezují její výkon
  • plýtvají kapacitou sítě
  • ničí integritu informací uložených v počítačích a ostatních síťových prvcích
  • omezují soukromí uživatelů.
Jak se připojit
Pro připojení k síti eduroam je zapotřebí mít účet v libovolné instituci, která je do tohoto projektu zapojena, jejich seznam je dostupný na stránkách projektu. Také zde v sekci PRO UŽIVATELE najdete návody pro nastavení v různých operačních systémech a seznam podporovaného hardware.

Poznámka: Návody je třeba adekvátně interpretovat s ohledem na výše uvedená fakta o konkrétní konfiguraci sítě na Karlíně a ověřovacích serverů na RUK, především
šifrovací metody (WPA/TKIP, PEAP/MSCHAPv2), certifikát certifikační autority (viz stránka ÚVT UK) a pod.

Nastavení IP protokolu nechte na DHCP serveru, který připojenému zařízení automaticky přidělí IP adresu z příslušného rozsahu.

Připojení v budově Karlín probíhá proti autorizačním zdrojům dostupným na RUK, všechny požadavky na ověření jsou tam předány prostřednictvím proxy.

Informace týkající se logovacího jména a hesla pro studenty a zaměstnance MFF UK jsou dostupné na stránkách ÚVT UK. Zde připojíme jen stručný postup pro jeho získání:

  • v některém Výdejním centru na základě průkazu zaměstance či studenta získat dočasné heslo pro Autentizační službu UK
  • v Autentizační službě UK si toto heslo do 10 dnů změnit na trvalé
  • a v téže Autentizační službě UK si nastavit heslo pro 802.1x (označeno nadpisem Nastavení hesla pro připojení k sítím s 802.1x (eduroam a některé koleje)), je oddělené od heslo pro vstup do uvedené autentizační služby (blíže viz stránky CAS UK)
  • váš login pak bude mít tvar "číslo_průkazu@cuni.cz" a lze ho spolu s heslem použít kdekoliv v síti eduroam

Jedinou dostupnou možností, jak se na Karlíně připojit do sítě eduroam je použití autentizačního mechanizmu definovaného standardem 802.1x. Přesněji:

  • Šifrování přenosu mezi zařízením a přístupovým bodem – v síti eduroam se
    používá šifrování TKIP s výměnou klíčů dle standardu WPA.
  • Ověření probíhá zašifrovaným tunelem (802.1x, na bázi SSL) mezi připojovacím bodem (AP
    nebo switch) a ověřovacím serverem (Radius). Identita autorizačního serveru je ověřována jeho certifikátem.
  • Zašifrované ověřovací údaje (jméno a heslo) jsou posílány prostřednictvím protokolu
    PEAP, heslo kódováno pomocí varianty EAP-MSCHAPv2.
Omezení provozu
Z bezpečnostních důvodů je provoz mezi sítí eduroam a Internetem (prakticky sítí PASNET) omezen pouze na následující služby a protokoly:

Protokol Port/type Služba
----------------------------------------------------------------
tcp 22 ssh Zabezpečený terminálový přístup
tcp 25 smtp Odesílání pošty
tcp 37 time Nastavení času
tcp 80 http Webové stránky
tcp 110 pop3 Stahování pošty
tcp 119 nntp News
tcp 143 imap Přístup do poštovní schránky
tcp 389 ldap Adresářová služba
tcp 443 https Zabezpečené webové stránky
tcp 465 smtps Zabezpečené odesílání pošty
tcp 563 nntps News (SSL)
tcp 636 ldaps Adresářová služba (SSL)
tcp 993 imaps Zabezpečený přístup do poštovní schránky
tcp 995 pop3s Zabezpečené stahování pošty
tcp 1194 ovpn Open VPN
tcp 1352 lotus Lotus Notes
tcp 2401 cvs Verzovací systém CVS
tcp 3389 rdp Připojení ke vzdálené ploše
tcp 3690 svn Verzovací systém SVN
tcp 4156 avg AVG TCP server
tcp 5190 icq Komunikační program ICQ
tcp 5222 jabber Komunikační protokol Jabber
tcp 5223 jabber Komunikační protokol Jabber (SSL)
tcp 8080 http Webové stránky (proxy)
udp 53 domain Domain Name Server
udp 123 ntp Nastavení času
udp 1194 vpn OpenVPN
udp 3690 svn Verzovací systém SVN
icmp 8 ping ICMP ping

Komunikace s vnějším světem probíhá ve veřejné síti, počítače dostávají automaticky adresu od DHCP serveru z rozsahu 195.113.26.2 - 195.113.26.126.

Bezpečnost především
Ukládání hesla do registrů představuje bezpečnostní riziko hlavně v kombinaci s privilegovaným účtem či účtem bez nutnosti zadávat hesla (jakýmkoliv). Vytvořte si proto běžný uživatelský účet chráněný heslem
– po splnění těchto předpokladů ukládání hesla eduroam do registru příliš nezvyšuje bezpečnostní riziko. Pokud sdílí notebook více uživatelů, měl by mít každý svůj vlastní uživatelský účet chráněný heslem.

Je velmi doporučeno nainstalovat si a používat pro ověření autorizačních serverů certifikáty, pro uživatele MFF UK a obecně z UK, kteří jsou ověřováni servery ÚVT UK, platí certifikační autority CESNET, neboť se poté bráníte nebezpečí útoku man-in-the-middle. Nezapomeňte, že některé programy své certifikáty nesdílejí. Proto je potřeba stáhnout a instalovat certifikát vícekrát pro jednotlivé skupiny programů. Např. Internet Explorer používá jiné úložiště certifikátů, než webový prohlížeč Firefox.

Připojením do sítě se počítač stává cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků) – použití eduroam tuto stránku bezpečnosti nezvyšuje. Proto je velmi nutné kontrolovat bezpečnost operačního systému a pravidelně ji zlepšovat.

Monitorování síťového provozu
V síti eduroam jsou v souladu s Roamingovou politikou České federace eduroam monitorovány a logovány tyto údaje:
  • informace o požadavcích na ověření (802.1x, radius log)
  • informace o požadavcích na přidělení IP adresy k MAC adrese (DHCP)
  • podezřelý ARPA provoz
  • stavové a provozní informace použitých AP

Údaje jsou uchovávány minimálně po dobu 6 měsíců.

Technická podpora
V případě potíží či nejasností, které se nepodařilo překonat s použitím této stránky a které se týkají eduroamu na MFF UK na Karlíně, se s důvěrou obraťte na Správu počítačové sítě Karlín.

Jazyk stránek