Znak našeho oddělení
PSíK  Správa počítačové Karlov a centrálního informačního uzlu
MFF > PSíK > Počítačová síť na Karlově > Připojení zařízení osob registrovaných v rámci projektu eduroam
Znak našeho oddělení
Znak našeho oddělení

Připojení zařízení osob registrovaných v rámci projektu eduroam

Tato stránka shrnuje informace pro uživatele, kteří by se rádi připojili k síti na MFF UK, v budovách Ke Karlovu 3 a 5, prostřednictvím projektu eduroam.

Změna certifikátu!

Od 13. září 2016 používají radius servery ÚVT (pro studenty a zaměstnance UK) nové SSL certifikáty. Změna v mezilehlé autoritě těchto certifikátů se patrně nejvíce dotkne uživatelů OS unixového typu. Použité certifikáty viz stránka ÚVT UK.
Technologie a pokrytí
Podmínky připojení
Jak se připojit
Omezení provozu
Bezpečnost především
Monitorování síťového provozu
Technická podpora
Označení a logo eduroam jsou registrovanou ochrannou známkou společnosti TERENA.

Technologie a pokrytí

Pro bezdrátové připojení je k dispozici signál dle standardu 802.11b/g a 802.11a. Signálem jsou pokryty chodby, posluchárny a z větší části i pracovny v budovách Ke Karlovu 3 a Ke Karlovu 5. Pro ověření před připojením je využíván protokol 802.1x.

Kromě bezdrátového připojení je k dispozici ve vybraných veřejných zásuvkách i spojení pomocí kabelu s ověření opět dle standardu 802.1x. Příslušné zásuvky jsou barevně odlišeny obdélníkovou značkou (zpravidla nad konektorem). Zásuvky jsou v těchto prostorách:

Budova Ke Karlovu 3:
PatroMístnostPozn.
1. sut. zasedací místnost v suterénu (M -109) 
1. sut. katedrální učebna KChFO (M -149) 
přízemíchodba u fyzikálních praktik(jen severní část, naproti M 049 a M 050)
1. p.chodba u knihovny(jen severní část, naproti M 149 a M 152)
2. p.posluchárna M5 (M 207) 
2. p.posluchárna M4 (M 208) 
2. p.posluchárna M2 (M 229) 
2. p.posluchárna M3 (M 225) 
2. p.posluchárna M1 - šatna (M 246)  
2. p.posluchárna M1 (M 247) 
2. p.zasedací místnost u OVZS (M 251) 
2. p.posluchárna M6 (M 275) 

Budova Ke Karlovu 5:
PatroMístnost
1. p.posluchárna F1 (F 134)
1. p.posluchárna F2 (F 171)
3. p.posluchárna FUUK (Atelier F 302)

Podmínky připojení
Pravidla pro používání sítě eduroam jsou definovány roamingovou politikou této sítě. Uživatelé mají následující povinnosti:
  • Každý uživatel roamingu je povinen se řídit podmínkami roamingu hostující a domácí sítě a dále zásadami přijatelného užití akademické sítě CESNET – viz www.cesnet.cz.
  • Každý uživatel roamingu je povinen okamžitě reagovat na výzvy a pokyny správy sítě hostující i domácí sítě a roamingového centra CESNETu.
  • Každý uživatel roamingu je plně odpovědný za zneužití svých osobních údajů (heslo, certifikát, ...), umožňujících mu přístup do sítě.

Pro uživatele se dále na používání služby vztahuje i směrnice děkana 4/2008: Zásady pro provozování a používání výpočetní techniky zapojené do sítě MFF UK.

Důležitá omezení a pravidla vybraná z předpisů

Ze zásad přijatelného užití akademické sítě CESNET vyplývá, že uživatelé nesmějí používat tuto síť pro činnosti, které:

  • umožňují nebo snaží se získat neoprávněný přístup ke zdrojům připojených sítí
  • porušují práva duševního vlastnictví
  • nepříznivě působí na provoz sítě nebo jejích jednotlivých služeb, brání uživatelům v přístupu k těmto službám, ohrožují činnost sítě nebo nadměrně omezují její výkon
  • plýtvají kapacitou sítě
  • ničí integritu informací uložených v počítačích a ostatních síťových prvcích
  • omezují soukromí uživatelů.
Jak se připojit
Pro připojení k síti eduroam je zapotřebí mít účet v libovolné instituci, která je do tohoto projektu zapojena, jejich seznam je dostupný na stránkách projektu.

Připojení v budovách Ke Karlovu probíhá proti autorizačním zdrojům dostupným na RUK, všechny požadavky na ověření jsou tam předány prostřednictvím proxy.

Informace týkající se logovacího jména a hesla pro studenty a zaměstnance MFF UK jsou dostupné na stránkách ÚVT UK. Zde připojíme jen stručný postup pro jeho získání:

  • v některém Výdejním centru na základě průkazu zaměstance či studenta získat dočasné heslo pro Autentizační službu UK
  • Autentizační službě UK si toto heslo do 10 dnů změnit na trvalé
  • a v  téže Autentizační službě UK si nastavit heslo pro 802.1x (označeno nadpisem Nastavení hesla pro připojení k sítím s 802.1x (eduroam a některé koleje)), je oddělené od heslo pro vstup do uvedené autentizační služby (blíže viz stránky CAS UK)
  • váš login pak bude mít tvar "číslo_průkazu@cuni.cz" a lze ho spolu s heslem použít kdekoliv v síti eduroam

Jedinou dostupnou možností, jak se na Karlově připojit do sítě eduroam je použití autentizačního mechanizmu definovaného standardem 802.1x. Přesněji:

  • Šifrování přenosu mezi zařízením a přístupovým bodem – v síti eduroam se používá šifrování AES/WPA2, po přechodnou dobu je možno souběžně používat variantu TKIP/WPA (týká se pouze WiFi).
  • Ověření probíhá zašifrovaným tunelem (802.1x, na bázi SSL) mezi připojovacím bodem (AP nebo switch) a ověřovacím serverem (Radius). Identita autorizačního serveru je ověřována jeho certifikátem.
  • Zašifrované ověřovací údaje (jméno a heslo) jsou posílány prostřednictvím protokolu PEAP, heslo kódováno pomocí varianty EAP-MSCHAPv2.

Konfigurace vlastního připojení se výrazně liší podle použitého zařízení. Postupy pro řadu z nich jsou dostupné na následujících místech.

Poznámka: Návody je třeba adekvátně interpretovat s ohledem na výše uvedená fakta o konkrétní konfiguraci sítě na Karlově a ověřovacích serverů na RUK, především šifrovací metody (WPA2/AES (dočasně též WPA/TKIP) + PEAP/MSCHAPv2), certifikát certifikační autority (viz stránka ÚVT UK) a pod.
Operační systém Podpůrný program Médium Návod
Linux xsuplikant WiFi www.eduroam.cz
  WPA suplikant WiFi www.eduroam.cz
Windows XP MS konfigurace WiFi PřF UK
  MS konfigurace (SP2) Ethernet psik.mff.cuni.cz
IBM Access Connection (v4.23) WiFi psik.mff.cuni.cz
IBM Access Connection (v4.23) Ethernet psik.mff.cuni.cz
Windows Vista MS konfigurace WiFi www.eduroam.cz
  MS konfigurace + instalace certifikátu WiFi net.zcu.cz
Široká škála OS     idoc.vsb.cz
  MS konfigurace WiFi phil.muni.cz
Symbian OS (Nokia 9500)   WiFi psik.mff.cuni.cz

Nastavení IP protokolu nechte na DHCP serveru, který připojenému zařízení automaticky přidělí IP adresu z příslušného rozsahu.

Omezení provozu
Z bezpečnostních důvodů je provoz mezi sítí eduroam a Internetem (prakticky sítí PASNET) omezen pouze na následující služby a protokoly:
Protokol Port/type		Služba
----------------------------------------------------------------
tcp	21	     ftp	Přenos souborů (aktivní mód)
tcp	22	     ssh	Zabezpečený terminálový přístup
tcp	23	     telnet	Nezabezpečený terminálový přístup
tcp	25	     smtp	Odesílání pošty
tcp	37	     time	Nastavení času
tcp	80	     http	Webové stránky
tcp	110	     pop3	Stahování pošty
tcp	119	     nntp	News
tcp	143	     imap	Přístup do poštovní schránky
tcp	389	     ldap	Adresářová služba
tcp	443	     https	Zabezpečené webové stránky
tcp	465	     smtps	Zabezpečené odesílání pošty
tcp	563	     nntps	News (SSL)
tcp	587	     smtp	Odesílání pošty
tcp	636	     ldaps	Adresářová služba (SSL)
tcp	993	     imaps	Zabezpečený přístup do poštovní schránky
tcp	995	     pop3s	Zabezpečené stahování pošty
tcp	1194	     ovpn	Open VPN
tcp	1352	     lotus	Lotus Notes
tcp	1723	     pptp	PPTP Management Channel
tcp	2401	     cvs	Přístup ke zdrojovým kódům
tcp	3389	     rdp	Vzdálená plocha (terminal services)
tcp	3690	     svn	Přístup ke zdrojovým kódům (Subversion)
tcp	4156	     avg	AVG TCP server
tcp	4158	     avg	AVG TCP server 2011
tcp     5066         sip        SIP pro MFF UK
tcp	5190	     aol/icq	ICQ client/server
tcp	5222	     jabber	IM Jabber
tcp	5223	     jabber	IM Jabber (SSL)
tcp	5555	     VSE prx	VŠE proxy do interní sítě
tcp	6051	     avg	AVG TCP server 2011
tcp	6054	     avg	AVG TCP server 2011
tcp	6667	     irc	Internet Relay Chat
tcp	8080	     http	Webové stránky (proxy)
tcp	9418	     git	Přístup ke zdrojovým kódům (Git)
udp	53	     domain	Domain Name Server
udp	123	     ntp	Nastavení času
udp	1194	     ovpn	Open VPN
udp	3690	     svn	Přístup ke zdrojovým kódům (Subversion)
udp     5066         sip        SIP pro MFF UK
udp     10000-20000  sip        SIP provoz
icmp	8	     ping	ICMP ping
gre                             GRE / PPTP

Komunikace s vnějším světem probíhá s překladem síťových adres (NAT), počítače v síti eduroam dostávají automaticky adresu od DHCP serveru z rozsahu 10.32.69.20 - 10.32.69.254.

Bezpečnost především

Změna certifikátu!

Od 13. září 2016 používají radius servery ÚVT (pro studenty a zaměstnance UK) nové SSL certifikáty. Změna v mezilehlé autoritě těchto certifikátů se patrně nejvíce dotkne uživatelů OS unixového typu. Použité certifikáty viz stránka ÚVT UK.

Ukládání hesla do registrů představuje bezpečnostní riziko hlavně v kombinaci s privilegovaným účtem či účtem bez nutnosti zadávat hesla (jakýmkoliv). Vytvořte si proto běžný uživatelský účet chráněný heslem – po splnění těchto předpokladů ukládání hesla eduroam do registru příliš nezvyšuje bezpečnostní riziko. Pokud sdílí notebook více uživatelů, měl by mít každý svůj vlastní uživatelský účet chráněný heslem.

Je velmi doporučeno nainstalovat si a používat pro ověření autorizačních serverů certifikáty, pro uživatele MFF UK a obecně z UK, kteří jsou ověřováni servery ÚVT UK, platí certifikáty Terena CA (podepsané certifikační autoritou společnosti Comodo), neboť se poté bráníte nebezpečí útoku man-in-the-middle. Více informací o certifikátech i o jejich získání naleznete na příslušné stránce ÚVT. Nezapomeňte, že některé programy své certifikáty nesdílejí. Proto je potřeba stáhnout a instalovat certifikát vícekrát pro jednotlivé skupiny programů. Např. Internet Explorer používá jiné úložiště certifikátů, než webový prohlížeč Firefox.

Připojením do sítě se počítač stává cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků) – použití eduroam tuto stránku bezpečnosti nezvyšuje. Proto je velmi nutné kontrolovat bezpečnost operačního systému a pravidelně ji zlepšovat.

Monitorování síťového provozu

V síti eduroam jsou v souladu s Roamingovou politikou České federace eduroam monitorovány a logovány tyto údaje:

  • informace o požadavcích na ověření (802.1x, radius log)
  • informace o požadavcích na přidělení IP adresy k MAC adrese (DHCP)
  • podezřelý ARPA provoz
  • stavové a provozní informace použitých AP

Údaje jsou uchovávány minimálně po dobu 6 měsíců.

Technická podpora

V případě potíží či nejasností, které se nepodařilo překonat s použitím této stránky a které se týkají eduroamu na MFF UK na Karlově, se s důvěrou obraťte na Správu počítačové sítě Karlov.

   Za obsah odpovídá PSIK
 0   6   3   0   9   4 
Poslední změna: 16. září 2016, www@mff.cuni.cz