• Soukromá střední škola výpočetní techniky - Bezdrátová síť Eduroam

  • Pro studenty
  • Oběžníky Web
  • Rozvrh & Suplovací
  • Rozvrh hodin
  • Suplovací rozvrh
  • Kontakt na učitele
  • Autodesk Academia
  • Cambridge exams
  • Cisco Netw. Academy
  • ECDL Certificate
  • Software pro studenty
  • MSDN Acad. Alliance
  • Webmail
  • Bezdrátová síť Eduroam
  • Školní knihovna
  • Jídelní lístek
  • Hlavní stránka SSŠVT / Pro studenty

    Bezdrátová síť Eduroam

    Eduroam

    (Aktualizováno 21.3.2011)

    Vítejte na stránkách věnovaných projektu Eduroam. Jedná se o mezinárodní projekt zabývající se podporou mobility a roamingu v sítích národního výzkumu a vzdělávání (NREN). V české republice je projekt zastřešován sdružením CESNET. Seznam všech připojených organizací naleznete na adrese www.eduroam.cz

    Více informací: http://www.eduroam.cz
    Dotazy, připomínky zasílejte na: kony@sssvt.cz; horas@sssvt.cz, osobně kab.04

    Mobilita a roaming v rámci projektu eduroam jsou založeny na tom, že přístupové informace od uživatele jsou postupně předány organizaci, u níž má uživatel svůj účet (tzv. domovská organizace). Ta potom na základě informací o uživateli rozhodne, zda mu bude umožněn přístup do sítě.

    FotogalerieSítě začleňené do projektu eduroam jsou nejčastěji realizovány jako bezdrátové sítě (WiFi) podle standardu 802.11b (11Mbit/s) nebo 802.11g (54Mbit/s). Pro ověřování uživatelů se používá autentizace podle standardu 802.1x (tzv. network login).

    V bezdrátových sítích (WiFi) v rámci projektu eduroam se používá standardizovaný identifikátor sítě (tzv. SSID). Pro sítě s autentizací podle standardu 802.1x je to SSID eduroam.

    Aby mohl uživatel využívat služby roamingu, musí mít zřízen účet u organizace, která participuje na projektu eduroam a je připojena k autentizační infrastruktuře Eduroam.

    V rámci projektu se jako identifikace používá uživatelské jméno a k němu se připojuje znak "@" a tzv.realm(doména). Příklad: novakjan@sssvt.cz. Vždy je nutné uvést celé uživatelské jméno včetně realmu (domény), protože právě realm se používá ke směrování autentizačních dotazů. Bez domény je uživatelské jméno platné pouze pro přihlašování ve vaší domovské organizaci.

    Vzhledem k tomu, že některé podporované autentizační mechanizmy nenabízejí dostatečnou ochranu uživatelského hesla, je vyžadováno používání tzv. sekundárního hesla pro eduroam. Primární heslo je to, kterým se uživatelé přihlašují do domény LITV a k dalším službám, které jsou ověřovány v doménách (např. elektronická pošta, apod.). Sekundární heslo je určeno pouze pro přihlašování uživatelů k sítím v rámci projektu eduroam. V případě jeho zneužití není ohroženo primární heslo do domény a uživatel si může bez problémů nastavit nové sekundární heslo.

    Před tím, než může uživatel s platným účtem v doméně LITV začít využívat služeb v rámci projektu eduroam, musí si nastavit sekundární heslo. K tomu slouží aplikace na adrese: 

    http://user.eduroam.sssvt.cz (přístup povolen pouze z lokální sítě školy a bezdrátové sítě sssvt-simple)

    Preferovanou a doporučenou možností je využítí autentizačního mechanizmu 802.1x, který využívá schopností AP (přístupových bodů) a popř. přepínačů ovládat provoz na svých portech na základě ověření uživatele. Takové zařízení komunikuje přímo s autentizačním serverem (RADIUS). Pro komunikaci mezi klientem (suplikant), aktivním síťovým prvkem (AP nebo switch) a RADIUS serverem se používá protokol EAP a jeho rozšíření. Tento systém umožňuje díky silnému šifrování bezpečné předávání citlivých dat (autentizačních informací) mezi jednotlivými komponentami. Po ověření uživatele se navíc v bezdrátových sítích používají protokoly WEP a WPA, které zajišťují ochranu přenášených dat.

    Velkou výhodou tohoto systému je to, že po prvotním nastavení už v podstatě není nutný zásah uživatele a po zapnutí bezdrátového zařízení, nebo připojení k síti je provedeno automatické přihlášení uživatele. Není nutné při každém připojení zadávat jméno a heslo. V bezdrátových sítích je pro tento typ autentizace vyhrazeno SSID (název sítě) eduroam.

    nastavení protokolu Protected EAP
    ----------------------------------------
    Připojit k těmto radius serverům: radius.sssvt.cz
    Důvěryhodná certifikační autorita: Addtrust External CA Root

    Někteří uživatelé mohou používat hardware a/nebo software, který není schopen spolupráce s dalšími komponentami 802.1x. Proto existuje "záchranná síť" pro tyto případy s SSID sssvt-simple. Pro připojení k této sítí dostačuje téměř jakákoliv WiFi karta standardu 802.11b/g.

    V tomto případě však není možné zajistit silné zabezpečení autentizačních ůdajů a u bezdrátové sítě ani zabezpečení přenášených dat. Před začátkem práce se uživatel musí přihlásit pomocí speciální WEBové aplikace. Pokud uživatel po připojení k síti spustí internetový prohlížeč a zadá nějakou adresu, bude automaticky přesměrován na přihlašovací stránku. Tam je nutné po přečtení pokynů stisknout tlačítko Login a zadat uživatelské jméno (včetně realmu) a heslo pro eduroam. Pokud proběhne úspěšné ověření, je uživateli umožněn přístup do internetu.

    Povoleny jsou následující služby a protokoly ICMP:

    popis port
    Přenos souborů (aktivní i pasivní mód) 21/tcp
    Zabezpečený terminálový přístup 22/tcp
    Webové stránky 80/tcp
    Stahování pošty 110/tcp
    Přístup do poštovní schránky 143/tcp
    Zabezpečené webové stránky 443/tcp
    Zabezpečený přenos souborů 989,990/tcp
    Zabezpečený přístup do poštovní schránky 993/tcp
    Zabezpečené stahování pošty 995/tcp
    Zabezpečené odesílání pošty SMTPS 465/tcp
    SMTP Submission 587/tcp
    Vzdálená plocha (terminal services) 3389/tcp
    Remote Admin Viewer 4899/tcp
    VNC Client 4900/tcp
    ICQ Client/Server 5190/tcp
    Windows Messenger 1863,7001/tcp
    Google Talk 5222,5223/tcp
    Protokoly IPSEC (PPTP,GRE) ---
    Kerio VPN 4090/tcp
    Open VPN 1194/udp

    Pro konfiguraci klientů se používá služba DHCP. Klientům jsou přidělovány adresy z rozsahu dle RFC1918 (privátní adresy) a ty jsou na firewallu překládány (PAT/NAPT) na veřejnou adresu.

    Soukromá střední škola výpočetní techniky, Litvínovská 600, Praha 9. Síť je tvořena 7 access pointy Cisco. Pokryt je převážně celý objekt SSŠVT Jsou podporovány SSID eduroam i sssvt-simple.

    Umístění Hostname MAC(Wifi rozhraní)
    Chodba přízemí kabinet 04 AP1 00:14:a8:bc:56:30
    Chodba přízemí k tělocvičně AP2 00:14:a8:bc:5c:90
    Chodba 1. patro/místn. 101-104 AP3 00:14:a8:bc:60:30
    Chodba 1. patro/sekretariát 107-110 AP4 00:14:a8:25:5a:70
    Chodba 2. patro/mistn. 201-204 AP5 00:14:a8:bc:88:b0
    Chodba 2 .patro/mistn. 212-216 AP6 00:14:a8:bc:55:d0
    Nadstavba 2 .patro/mistn. 208-211 AP7 00:15:c6:5f:66:c0

    Poděkování Oddělení ÚVT University Karlovy za technickou podporu a pomoc při budování bezdrátové sítě a zapojení do projektu Eduroam.