Obsah
Připojení zařízení osob registrovaných v rámci projektu eduroam (WiFi a označené zásuvky)
Tato stránka shrnuje informace pro uživatele, kteří by se rádi připojili k síti na MFF UK, v budovách Ke Karlovu 3 a 5, prostřednictvím projektu eduroam.
Změna certifikátu pro eduroam! Od 13. září 2016 používají radius servery ÚVT (pro studenty a zaměstnance UK) nové SSL certifikáty. Změna v mezilehlé autoritě těchto certifikátů se patrně nejvíce dotkne uživatelů OS unixového typu. Použité certifikáty viz stránka ÚVT UK.
Označení a logo eduroam jsou registrovanou ochrannou známkou společnosti TERENA.
Technologie a pokrytí
Pro bezdrátové připojení je k dispozici signál dle standardu 802.11b/g a 802.11a. Signálem jsou pokryty chodby, posluchárny a z větší části i pracovny v budovách Ke Karlovu 3 a Ke Karlovu 5. Pro ověření před připojením je využíván protokol 802.1x.
Kromě bezdrátového připojení je k dispozici ve vybraných veřejných zásuvkách i spojení pomocí kabelu s ověření opět dle standardu 802.1x. Příslušné zásuvky jsou barevně odlišeny obdélníkovou značkou (zpravidla nad konektorem). Zásuvky jsou v těchto prostorách:
Budova Ke Karlovu 3
| Patro | Místnost | Pozn. |
|---|---|---|
| 1. sut. | zasedací místnost v suterénu (M -109) | |
| 1. sut. | katedrální učebna KChFO (M -149) | |
| přízemí | chodba u fyzikálních praktik | (jen severní část, naproti M 049 a M 050) |
| 1. p. | chodba u knihovny | (jen severní část, naproti M 149 a M 152) |
| 2. p. | posluchárna M5 (M 207) | |
| 2. p. | posluchárna M4 (M 208) | |
| 2. p. | posluchárna M2 (M 229) | |
| 2. p. | posluchárna M3 (M 225) | |
| 2. p. | posluchárna M1 - šatna (M 246) | |
| 2. p. | posluchárna M1 (M 247) | |
| 2. p. | zasedací místnost u OVZS (M 251) | |
| 2. p. | posluchárna M6 (M 275) |
Budova Ke Karlovu 5
| Patro | Místnost |
|---|---|
| 1. p. | posluchárna F1 (F 134) |
| 1. p. | posluchárna F2 (F 171) |
| 3. p. | posluchárna FUUK (Atelier F 302) |
Podmínky připojení
Pravidla pro používání sítě eduroam jsou definovány roamingovou politikou této sítě. Uživatelé mají následující povinnosti:
- Každý uživatel roamingu je povinen se řídit podmínkami roamingu hostující a domácí sítě a dále zásadami přijatelného užití akademické sítě CESNET – viz www.cesnet.cz.
- Každý uživatel roamingu je povinen okamžitě reagovat na výzvy a pokyny správy sítě hostující i domácí sítě a roamingového centra CESNETu.
- Každý uživatel roamingu je plně odpovědný za zneužití svých osobních údajů (heslo, certifikát, …), umožňujících mu přístup do sítě.
Pro uživatele se dále na používání služby vztahuje i směrnice děkana 4/2008: Zásady pro provozování a používání výpočetní techniky zapojené do sítě MFF UK.
Důležitá omezení a pravidla vybraná z předpisů
Ze zásad přijatelného užití akademické sítě CESNET vyplývá, že uživatelé nesmějí používat tuto síť pro činnosti, které:
- umožňují nebo snaží se získat neoprávněný přístup ke zdrojům připojených sítí
- porušují práva duševního vlastnictví
- nepříznivě působí na provoz sítě nebo jejích jednotlivých služeb, brání uživatelům v přístupu k těmto službám, ohrožují činnost sítě nebo nadměrně omezují její výkon
- plýtvají kapacitou sítě
- ničí integritu informací uložených v počítačích a ostatních síťových prvcích
- omezují soukromí uživatelů.
Jak se připojit
Pro připojení k síti eduroam je zapotřebí mít účet v libovolné instituci, která je do tohoto projektu zapojena, jejich seznam je dostupný na stránkách projektu.
Připojení v budovách Ke Karlovu probíhá proti autorizačním zdrojům dostupným na RUK, všechny požadavky na ověření jsou tam předány prostřednictvím proxy.
Informace týkající se logovacího jména a hesla pro studenty a zaměstnance MFF UK jsou dostupné na stránkách ÚVT UK. Zde připojíme jen stručný postup pro jeho získání:
- v některém Výdejním centru na základě průkazu zaměstance či studenta získat dočasné heslo pro Autentizační službu UK
- v Autentizační službě UK si toto heslo do 10 dnů změnit na trvalé
- a v téže Autentizační službě UK si nastavit heslo pro 802.1x (označeno nadpisem Nastavení hesla pro připojení k sítím s 802.1x (eduroam a některé koleje)), je oddělené od heslo pro vstup do uvedené autentizační služby (blíže viz stránky CAS UK)
- váš login pak bude mít tvar „cas_login@cuni.cz“ popř. „číslo_průkazu@cuni.cz“ a lze ho spolu s heslem použít kdekoliv v síti eduroam
Jedinou dostupnou možností, jak se na Karlově připojit do sítě eduroam je použití autentizačního mechanizmu definovaného standardem 802.1x. Přesněji:
- Šifrování přenosu mezi zařízením a přístupovým bodem – v síti eduroam se používá šifrování AES/WPA2, po přechodnou dobu je možno souběžně používat variantu TKIP/WPA (týká se pouze WiFi).
- Ověření probíhá zašifrovaným tunelem (802.1x, na bázi SSL) mezi připojovacím bodem (AP nebo switch) a ověřovacím serverem (Radius). Identita autorizačního serveru je ověřována jeho certifikátem.
- Zašifrované ověřovací údaje (jméno a heslo) jsou posílány prostřednictvím protokolu PEAP, heslo kódováno pomocí varianty EAP-MSCHAPv2.
Konfigurace vlastního připojení se výrazně liší podle použitého zařízení. Postupy pro řadu z nich jsou dostupné na následujících místech.
Poznámka: Návody je třeba adekvátně interpretovat s ohledem na výše uvedená fakta o konkrétní konfiguraci sítě na Karlově a ověřovacích serverů na RUK, především šifrovací metody (WPA2/AES (dočasně též WPA/TKIP) + PEAP/MSCHAPv2), certifikát certifikační autority (viz stránka ÚVT UK) a pod.
| Operační systém | Podpůrný program | Médium | Návod |
|---|---|---|---|
| Linux | xsuplikant | WiFi | www.eduroam.cz |
| WPA suplikant | WiFi | www.eduroam.cz | |
| Windows XP | MS konfigurace | WiFi | PřF UK |
| MS konfigurace (SP2) | Ethernet | psik.mff.cuni.cz | |
| IBM Access Connection (v4.23) | WiFi | psik.mff.cuni.cz | |
| IBM Access Connection (v4.23) | Ethernet | psik.mff.cuni.cz | |
| Windows Vista | MS konfigurace | WiFi | www.eduroam.cz |
| MS konfigurace + instalace certifikátu | WiFi | net.zcu.cz | |
| Široká škála OS | idoc.vsb.cz | ||
| MS konfigurace | WiFi | phil.muni.cz | |
| Symbian OS (Nokia 9500) | WiFi | psik.mff.cuni.cz |
Nastavení IP protokolu nechte na DHCP serveru, který připojenému zařízení automaticky přidělí IP adresu z příslušného rozsahu.
Omezení provozu
Z bezpečnostních důvodů jsou při odchozím spojení ze sítě eduroam filtrovány následující služby a protokoly:
Protokol Port/type Služba ---------------------------------------------------------------- tcp 25 smtp Odesílání pošty
Komunikace s vnějším světem probíhá s překladem síťových adres (NAT), počítače v síti eduroam dostávají automaticky adresu od DHCP serveru z rozsahu 10.32.248.20 – 10.32.255.254.
Bezpečnost především
Ukládání hesla do registrů představuje bezpečnostní riziko hlavně v kombinaci s privilegovaným účtem či účtem bez nutnosti zadávat hesla (jakýmkoliv). Vytvořte si proto běžný uživatelský účet chráněný heslem – po splnění těchto předpokladů ukládání hesla eduroam do registru příliš nezvyšuje bezpečnostní riziko. Pokud sdílí notebook více uživatelů, měl by mít každý svůj vlastní uživatelský účet chráněný heslem.
Je velmi doporučeno nainstalovat si a používat pro ověření autorizačních serverů certifikáty, pro uživatele MFF UK a obecně z UK, kteří jsou ověřováni servery ÚVT UK, platí certifikáty Terena CA (podepsané certifikační autoritou společnosti Comodo), neboť se poté bráníte nebezpečí útoku man-in-the-middle. Více informací o certifikátech i o jejich získání naleznete na příslušné stránce ÚVT. Nezapomeňte, že některé programy své certifikáty nesdílejí. Proto je potřeba stáhnout a instalovat certifikát vícekrát pro jednotlivé skupiny programů. Např. Internet Explorer používá jiné úložiště certifikátů, než webový prohlížeč Firefox.
Připojením do sítě se počítač stává cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků) – použití eduroam tuto stránku bezpečnosti nezvyšuje. Proto je velmi nutné kontrolovat bezpečnost operačního systému a pravidelně ji zlepšovat.
Monitorování síťového provozu
V síti eduroam jsou v souladu s Roamingovou politikou České federace eduroam monitorovány a logovány tyto údaje:
- informace o požadavcích na ověření (802.1x, radius log)
- informace o požadavcích na přidělení IP adresy k MAC adrese (DHCP)
- podezřelý ARPA provoz
- stavové a provozní informace použitých AP
Údaje jsou uchovávány minimálně po dobu 6 měsíců.
Technická podpora
V případě potíží či nejasností, které se nepodařilo překonat s použitím této stránky a které se týkají eduroamu na MFF UK na Karlově, se s důvěrou obraťte na Správu počítačové sítě Karlov.