• Pro studenty
  • Oběžníky Web
  • Rozvrh & Suplovací
  • Rozvrh hodin
  • Suplovací rozvrh
  • Kontakt na učitele
  • MSDN Acad. Alliance
  • Cisco Netw. Academy
  • Autodesk Academia
  • Software pro studenty
  • Webmail
  • Bezdrátová síť Eduroam
  • Školní knihovna
  • Jídelní lístek
  • Hlavní stránka SSŠVT / Pro studenty

    Bezdrátová síť Eduroam

    Bezdrátová síť Eduroam - SSŠVT


    Vítejte na stránkách věnovaných projektu Eduroam. Jedná se o mezinárodní projekt zabývající se podporou mobility a roamingu v sítích národního výzkumu a vzdělávání (NREN). V české republice je projekt zastřešován sdružením CESNET. Seznam všech připojených organizací naleznete na adrese www.eduroam.cz

    Na těchto stránkách jsou k dispozici informace o připojení k bezdrátové síti v budově SSŠVT v Praze 9, která je zapojena do projektu eduroam.

    Prostudujte si důkladně následující informace, jejichž znalost je nezbytná pro využívání služeb roamingu. Pro zaměstnance a studenty SSŠVT je povinné nastavení hesla pro eduroam - viz přístupové údaje.Bezdrátová síť Eduroam

    Více informací: http://www.eduroam.cz

    Dotazy, připomínky zasílejte na: kony@sssvt.cz; horas@sssvt.cz, osobně kab.04

    Automatický konfigurátor pro Windows Vista a Windows 7 stahujte zde

    Základní informace 

    Mobilita a roaming v rámci projektu eduroam jsou založeny na tom, že přístupové informace od uživatele jsou postupně předány organizaci, u níž má uživatel svůj účet (tzv. domovská organizace). Ta potom na základě informací o uživateli rozhodne, zda mu bude umožněn přístup do sítě.

    FotogalerieSítě začleňené do projektu eduroam jsou nejčastěji realizovány jako bezdrátové sítě (WiFi) podle standardu 802.11b (11Mbit/s) nebo 802.11g (54Mbit/s). Pro ověřování uživatelů se používá několik mechanizmů. Z hlediska bezpečnosti a komfortu je preferována autentizace podle standardu 802.1x (tzv. network login). Tento mechanizmus poskytuje solidní zabezpečení komunikace uživatelů a je podporován většinou moderních síťových prvků a operačních systémů. Jako doplněk se někdy využívají další metody, např. tzv. web-based autentizace.

    V bezdrátových sítích (WiFi) v rámci projektu eduroam se používají standardizované identifikátory sítě (tzv. SSID). Pro sítě s autentizací podle standardu 802.1x je to SSID eduroam.

    Aby mohl uživatel využívat služby roamingu, musí mít zřízen účet u organizace, která participuje na projektu eduroam a je připojena k AAI.

    Přístupové údaje

    V rámci projektu eduroam se jako identifikace používá jednoznačné uživatelské jméno a k němu se připojuje znak @ a tzv. realm (doména). Příklad: username@sssvt.cz. Vždy je nutné uvést celé uživatelské jméno včetně realmu (domény), protože právě realm se používá ke směrování autentizačních dotazů. Bez realmu je uživatelské jméno v rámci projektu eduroam neplatné.

    Zaměstnanci a studenti SSŠVT

    K ověřování uživatelů slouží databáze v doménách LITV (litv.sssvt.cz) To znamená, že kterýkoliv zaměstnanec nebo student SSŠVT, který má platný uživatelský účet v doméně LITV může využívat roamingu v rámci projektu eduroam. Z bezpečnostních důvodů je však nutné používat tzv. sekundární heslo - viz dále.

    Heslo pro eduroam

    Vzhledem k tomu, že některé podporované autentizační mechanizmy nenabízejí dostatečnou ochranu uživatelského hesla, je vyžadováno používání tzv. sekundárního hesla pro eduroam. Primární heslo je to, kterým se uživatelé přihlašují do domény LITV a k dalším službám, které jsou ověřovány v doménách (např. elektronická pošta, apod.). Sekundární heslo je určeno pouze pro přihlašování uživatelů k sítím v rámci projektu eduroam. V případě jeho zneužití není ohroženo primární heslo do domény a uživatel si může bez problémů nastavit nové sekundární heslo.

    Před tím, než může uživatel s platným účtem v doméně LITV začít využívat služeb v rámci projektu eduroam, musí si nastavit sekundární heslo. K tomu slouží aplikace na adrese:

    http://user.eduroam.sssvt.cz
    (přístup povolen pouze z lokální sítě školy a bezdrátové sítě sssvt-simple)


    Jak se připojit

    Pro připojení k síti je možné použít několik metod.

    Bezpečné pohodlí s 802.1x - eduroam

    Preferovanou a doporučenou možností je využítí autentizačního mechanizmu 802.1x, který využívá schopností AP (přístupových bodů) a popř. přepínačů ovládat provoz na svých portech na základě ověření uživatele. Takové zařízení komunikuje přímo s autentizačním serverem (RADIUS). Pro komunikaci mezi klientem (suplikant), aktivním síťovým prvkem (AP nebo switch) a RADIUS serverem se používá protokol EAP a jeho rozšíření. Tento systém umožňuje díky silnému šifrování bezpečné předávání citlivých dat (autentizačních informací) mezi jednotlivými komponentami. Po ověření uživatele se navíc v bezdrátových sítích používají protokoly WEP a WPA, které zajišťují ochranu přenášených dat.

    Velkou výhodou tohoto systému je to, že po prvotním nastavení už v podstatě není nutný zásah uživatele a po zapnutí bezdrátového zařízení, nebo připojení k síti je provedeno automatické přihlášení uživatele. Není nutné při každém připojení zadávat jméno a heslo. V bezdrátových sítích je pro tento typ autentizace vyhrazeno SSID (název sítě) eduroam.

    Pro vyšší bezpečnost je doporučena instalace kořenového certifikátu CESNET CA (přímý odkaz : Instalace certifikátu), od níž mají certifikáty naše RADIUS servery. Pokud tento kořenový certifikát není k dispozici, je nutné vypnout ověřování serverového certifikátu pro EAP. 

    Poslední záchrana - sssvt-simple

    Někteří uživatelé mohou používat hardware a/nebo software, který není schopen spolupráce s dalšími komponentami 802.1x. Také ve všech sítích není dostupná autentizace 802.1x (viz pokrytí. Proto existuje "záchranná síť" pro tyto případy s SSID sssvt-simple. Pro připojení k této sítí dostačuje téměř jakákoliv WiFi karta standardu 802.11b/g.

    V tomto případě však není možné zajistit silné zabezpečení autentizačních ůdajů a u bezdrátové sítě ani zabezpečení přenášených dat. Před začátkem práce se uživatel musí přihlásit pomocí speciální WEBové aplikace. Pokud uživatel po připojení k síti spustí internetový prohlížeč a zadá nějakou adresu, bude automaticky přesměrován na přihlašovací stránku. Tam je nutné po přečtení pokynů stisknout tlačítko Login a zadat uživatelské jméno (včetně realmu) a heslo pro eduroam - vizpřístupové údaje. Pokud proběhne úspěšné ověření, je uživateli umožněn přístup do internetu.

     

    Podporované služby 

    Z bezpečnostních důvodů jsou na sítě zapojené do projektu eduroam aplikována přísnější bezpečností pravidla. Všechny zmíněné sítě jsou k Internetu (resp. k sítí SSŠVT) připojeny přes firewall. Základním pravidlem je, že co není explicitně povoleno, je zakázáno.

    Povoleny jsou následující služby a protokoly ICMP:

    popis port
    Přenos souborů (aktivní i pasivní mód) 21/tcp
    Zabezpečený terminálový přístup 22/tcp
    Webové stránky 80/tcp
    Stahování pošty 110/tcp
    Přístup do poštovní schránky 143/tcp
    Zabezpečené webové stránky 443/tcp
    Zabezpečený přenos souborů 989,990/tcp
    Zabezpečený přístup do poštovní schránky 993/tcp
    Zabezpečené stahování pošty 995/tcp
    Zabezpečené odesílání pošty SMTPS 465/tcp
    SMTP Submission 587/tcp
    Vzdálená plocha (terminal services) 3389/tcp
    Remote Admin Viewer 4899/tcp
    VNC Client 4900/tcp
    ICQ Client/Server 5190/tcp
    Windows Messenger 1863,7001/tcp
    Google Talk 5222,5223/tcp
    Protokoly IPSEC (PPTP,GRE) ---
    Kerio VPN 4090/tcp
    Open VPN 1194/udp

    Pro konfiguraci klientů se používá služba DHCP. Klientům jsou přidělovány adresy z rozsahu dle RFC1918 (privátní adresy) a ty jsou na firewallu překládány (PAT/NAPT) na veřejnou adresu.

    Pokrytí a dostupnost

    Soukromá střední škola výpočetní techniky, Litvínovská 600, Praha 9. Síť je tvořena access pointy Cisco. Pokryt je převážně celý objekt SSŠVT Jsou podporovány SSID eduroam i sssvt-simple.

    Umístění Hostname MAC(Wifi rozhraní)
    Chodba přízemí kabinet 04 AP1 00:14:a8:bc:56:30
    Chodba přízemí k tělocvičně AP2 00:14:a8:bc:5c:90
    Chodba 1. patro/místn. 101-104 AP3 00:14:a8:bc:60:30
    Chodba 1. patro/sekretariát 107-110 AP4 00:14:a8:25:5a:70
    Chodba 2. patro/mistn. 201-204 AP5 00:14:a8:bc:88:b0
    Chodba 2 .patro/mistn. 212-216 AP6 00:14:a8:bc:55:d0
    Nadstavba 2 .patro/mistn. 208-211 AP7 00:15:c6:5f:66:c0

     

    Poděkování

    Oddělení ÚVT University Karlovy za technickou podporu a pomoc při budování bezdrátové sítě a zapojení do projektu Eduroam.