Bezdrátová síť Eduroam
Bezdrátová síť Eduroam - SSŠVT
Vítejte na stránkách věnovaných projektu Eduroam. Jedná se o mezinárodní projekt zabývající se podporou mobility a roamingu v sítích národního výzkumu a vzdělávání (NREN). V české republice je projekt zastřešován sdružením CESNET. Seznam všech připojených organizací naleznete na adrese www.eduroam.cz
Na těchto stránkách jsou k dispozici informace o připojení k bezdrátové síti v budově SSŠVT v Praze 9, která je zapojena do projektu eduroam.
Prostudujte si důkladně následující informace, jejichž znalost je nezbytná pro využívání služeb roamingu. Pro zaměstnance a studenty SSŠVT je povinné nastavení hesla pro eduroam - viz přístupové údaje.
Více informací: http://www.eduroam.cz
Dotazy, připomínky zasílejte na: kony@sssvt.cz; horas@sssvt.cz, osobně kab.04
Automatický konfigurátor pro Windows Vista a Windows 7 stahujte zde
Mobilita a roaming v rámci projektu eduroam jsou založeny na tom, že přístupové informace od uživatele jsou postupně předány organizaci, u níž má uživatel svůj účet (tzv. domovská organizace). Ta potom na základě informací o uživateli rozhodne, zda mu bude umožněn přístup do sítě.
Sítě začleňené do projektu eduroam jsou nejčastěji realizovány jako bezdrátové sítě (WiFi) podle standardu 802.11b (11Mbit/s) nebo 802.11g (54Mbit/s). Pro ověřování uživatelů se používá několik mechanizmů. Z hlediska bezpečnosti a komfortu je preferována autentizace podle standardu 802.1x (tzv. network login). Tento mechanizmus poskytuje solidní zabezpečení komunikace uživatelů a je podporován většinou moderních síťových prvků a operačních systémů. Jako doplněk se někdy využívají další metody, např. tzv. web-based autentizace.
V bezdrátových sítích (WiFi) v rámci projektu eduroam se používají standardizované identifikátory sítě (tzv. SSID). Pro sítě s autentizací podle standardu 802.1x je to SSID eduroam.
Aby mohl uživatel využívat služby roamingu, musí mít zřízen účet u organizace, která participuje na projektu eduroam a je připojena k AAI.
V rámci projektu eduroam se jako identifikace používá jednoznačné uživatelské jméno a k němu se připojuje znak @ a tzv. realm (doména). Příklad: username@sssvt.cz. Vždy je nutné uvést celé uživatelské jméno včetně realmu (domény), protože právě realm se používá ke směrování autentizačních dotazů. Bez realmu je uživatelské jméno v rámci projektu eduroam neplatné.
Zaměstnanci a studenti SSŠVT
K ověřování uživatelů slouží databáze v doménách LITV (litv.sssvt.cz) To znamená, že kterýkoliv zaměstnanec nebo student SSŠVT, který má platný uživatelský účet v doméně LITV může využívat roamingu v rámci projektu eduroam. Z bezpečnostních důvodů je však nutné používat tzv. sekundární heslo - viz dále.
Heslo pro eduroam
Vzhledem k tomu, že některé podporované autentizační mechanizmy nenabízejí dostatečnou ochranu uživatelského hesla, je vyžadováno používání tzv. sekundárního hesla pro eduroam. Primární heslo je to, kterým se uživatelé přihlašují do domény LITV a k dalším službám, které jsou ověřovány v doménách (např. elektronická pošta, apod.). Sekundární heslo je určeno pouze pro přihlašování uživatelů k sítím v rámci projektu eduroam. V případě jeho zneužití není ohroženo primární heslo do domény a uživatel si může bez problémů nastavit nové sekundární heslo.
Před tím, než může uživatel s platným účtem v doméně LITV začít využívat služeb v rámci projektu eduroam, musí si nastavit sekundární heslo. K tomu slouží aplikace na adrese:
http://user.eduroam.sssvt.cz
(přístup povolen pouze z lokální sítě školy a bezdrátové sítě sssvt-simple)
Pro připojení k síti je možné použít několik metod.
Bezpečné pohodlí s 802.1x - eduroam
Preferovanou a doporučenou možností je využítí autentizačního mechanizmu 802.1x, který využívá schopností AP (přístupových bodů) a popř. přepínačů ovládat provoz na svých portech na základě ověření uživatele. Takové zařízení komunikuje přímo s autentizačním serverem (RADIUS). Pro komunikaci mezi klientem (suplikant), aktivním síťovým prvkem (AP nebo switch) a RADIUS serverem se používá protokol EAP a jeho rozšíření. Tento systém umožňuje díky silnému šifrování bezpečné předávání citlivých dat (autentizačních informací) mezi jednotlivými komponentami. Po ověření uživatele se navíc v bezdrátových sítích používají protokoly WEP a WPA, které zajišťují ochranu přenášených dat.
Velkou výhodou tohoto systému je to, že po prvotním nastavení už v podstatě není nutný zásah uživatele a po zapnutí bezdrátového zařízení, nebo připojení k síti je provedeno automatické přihlášení uživatele. Není nutné při každém připojení zadávat jméno a heslo. V bezdrátových sítích je pro tento typ autentizace vyhrazeno SSID (název sítě) eduroam.
- Návod pro Windows 7 je k dispozici zde
- Návod pro Windows Vista je k dispozici zde
- Návod pro Windows XP je k dispozici zde
- Návod pro Linux je k dispozici zde
Pro vyšší bezpečnost je doporučena instalace kořenového certifikátu CESNET CA (přímý odkaz : Instalace certifikátu), od níž mají certifikáty naše RADIUS servery. Pokud tento kořenový certifikát není k dispozici, je nutné vypnout ověřování serverového certifikátu pro EAP.
Poslední záchrana - sssvt-simple
Někteří uživatelé mohou používat hardware a/nebo software, který není schopen spolupráce s dalšími komponentami 802.1x. Také ve všech sítích není dostupná autentizace 802.1x (viz pokrytí. Proto existuje "záchranná síť" pro tyto případy s SSID sssvt-simple. Pro připojení k této sítí dostačuje téměř jakákoliv WiFi karta standardu 802.11b/g.
V tomto případě však není možné zajistit silné zabezpečení autentizačních ůdajů a u bezdrátové sítě ani zabezpečení přenášených dat. Před začátkem práce se uživatel musí přihlásit pomocí speciální WEBové aplikace. Pokud uživatel po připojení k síti spustí internetový prohlížeč a zadá nějakou adresu, bude automaticky přesměrován na přihlašovací stránku. Tam je nutné po přečtení pokynů stisknout tlačítko Login a zadat uživatelské jméno (včetně realmu) a heslo pro eduroam - vizpřístupové údaje. Pokud proběhne úspěšné ověření, je uživateli umožněn přístup do internetu.
Z bezpečnostních důvodů jsou na sítě zapojené do projektu eduroam aplikována přísnější bezpečností pravidla. Všechny zmíněné sítě jsou k Internetu (resp. k sítí SSŠVT) připojeny přes firewall. Základním pravidlem je, že co není explicitně povoleno, je zakázáno.
Povoleny jsou následující služby a protokoly ICMP:
| popis | port |
| Přenos souborů (aktivní i pasivní mód) | 21/tcp |
| Zabezpečený terminálový přístup | 22/tcp |
| Webové stránky | 80/tcp |
| Stahování pošty | 110/tcp |
| Přístup do poštovní schránky | 143/tcp |
| Zabezpečené webové stránky | 443/tcp |
| Zabezpečený přenos souborů | 989,990/tcp |
| Zabezpečený přístup do poštovní schránky | 993/tcp |
| Zabezpečené stahování pošty | 995/tcp |
| Zabezpečené odesílání pošty SMTPS | 465/tcp |
| SMTP Submission | 587/tcp |
| Vzdálená plocha (terminal services) | 3389/tcp |
| Remote Admin Viewer | 4899/tcp |
| VNC Client | 4900/tcp |
| ICQ Client/Server | 5190/tcp |
| Windows Messenger | 1863,7001/tcp |
| Google Talk | 5222,5223/tcp |
| Protokoly IPSEC (PPTP,GRE) | --- |
| Kerio VPN | 4090/tcp |
| Open VPN | 1194/udp |
Pro konfiguraci klientů se používá služba DHCP. Klientům jsou přidělovány adresy z rozsahu dle RFC1918 (privátní adresy) a ty jsou na firewallu překládány (PAT/NAPT) na veřejnou adresu.
Soukromá střední škola výpočetní techniky, Litvínovská 600, Praha 9. Síť je tvořena access pointy Cisco. Pokryt je převážně celý objekt SSŠVT Jsou podporovány SSID eduroam i sssvt-simple.
| Umístění | Hostname | MAC(Wifi rozhraní) |
| Chodba přízemí kabinet 04 | AP1 | 00:14:a8:bc:56:30 |
| Chodba přízemí k tělocvičně | AP2 | 00:14:a8:bc:5c:90 |
| Chodba 1. patro/místn. 101-104 | AP3 | 00:14:a8:bc:60:30 |
| Chodba 1. patro/sekretariát 107-110 | AP4 | 00:14:a8:25:5a:70 |
| Chodba 2. patro/mistn. 201-204 | AP5 | 00:14:a8:bc:88:b0 |
| Chodba 2 .patro/mistn. 212-216 | AP6 | 00:14:a8:bc:55:d0 |
| Nadstavba 2 .patro/mistn. 208-211 | AP7 | 00:15:c6:5f:66:c0 |
Poděkování
Oddělení ÚVT University Karlovy za technickou podporu a pomoc při budování bezdrátové sítě a zapojení do projektu Eduroam.