Soukromá střední škola výpočetní techniky - Bezdrátová síť Eduroam
Bezdrátová síť Eduroam
(Aktualizováno 21.3.2011)
Vítejte na stránkách věnovaných projektu Eduroam. Jedná se o mezinárodní projekt zabývající se podporou mobility a roamingu v sítích národního výzkumu a vzdělávání (NREN). V české republice je projekt zastřešován sdružením CESNET. Seznam všech připojených organizací naleznete na adrese www.eduroam.cz
Více informací: http://www.eduroam.cz
Dotazy, připomínky zasílejte na: kony@sssvt.cz; horas@sssvt.cz, osobně kab.04
- Základní informace
Mobilita a roaming v rámci projektu eduroam jsou založeny na tom, že přístupové informace od uživatele jsou postupně předány organizaci, u níž má uživatel svůj účet (tzv. domovská organizace). Ta potom na základě informací o uživateli rozhodne, zda mu bude umožněn přístup do sítě.
Sítě začleňené do projektu eduroam jsou nejčastěji realizovány jako bezdrátové sítě (WiFi) podle standardu 802.11b (11Mbit/s) nebo 802.11g (54Mbit/s). Pro ověřování uživatelů se používá autentizace podle standardu 802.1x (tzv. network login).
V bezdrátových sítích (WiFi) v rámci projektu eduroam se používá standardizovaný identifikátor sítě (tzv. SSID). Pro sítě s autentizací podle standardu 802.1x je to SSID eduroam.
Aby mohl uživatel využívat služby roamingu, musí mít zřízen účet u organizace, která participuje na projektu eduroam a je připojena k autentizační infrastruktuře Eduroam.
V rámci projektu se jako identifikace používá uživatelské jméno a k němu se připojuje znak "@" a tzv.realm(doména). Příklad: novakjan@sssvt.cz. Vždy je nutné uvést celé uživatelské jméno včetně realmu (domény), protože právě realm se používá ke směrování autentizačních dotazů. Bez domény je uživatelské jméno platné pouze pro přihlašování ve vaší domovské organizaci.
- Heslo pro eduroam
Vzhledem k tomu, že některé podporované autentizační mechanizmy nenabízejí dostatečnou ochranu uživatelského hesla, je vyžadováno používání tzv. sekundárního hesla pro eduroam. Primární heslo je to, kterým se uživatelé přihlašují do domény LITV a k dalším službám, které jsou ověřovány v doménách (např. elektronická pošta, apod.). Sekundární heslo je určeno pouze pro přihlašování uživatelů k sítím v rámci projektu eduroam. V případě jeho zneužití není ohroženo primární heslo do domény a uživatel si může bez problémů nastavit nové sekundární heslo.
Před tím, než může uživatel s platným účtem v doméně LITV začít využívat služeb v rámci projektu eduroam, musí si nastavit sekundární heslo. K tomu slouží aplikace na adrese:
http://user.eduroam.sssvt.cz (přístup povolen pouze z lokální sítě školy a bezdrátové sítě sssvt-simple)
- Bezpečné pohodlí s 802.1x - eduroam
Preferovanou a doporučenou možností je využítí autentizačního mechanizmu 802.1x, který využívá schopností AP (přístupových bodů) a popř. přepínačů ovládat provoz na svých portech na základě ověření uživatele. Takové zařízení komunikuje přímo s autentizačním serverem (RADIUS). Pro komunikaci mezi klientem (suplikant), aktivním síťovým prvkem (AP nebo switch) a RADIUS serverem se používá protokol EAP a jeho rozšíření. Tento systém umožňuje díky silnému šifrování bezpečné předávání citlivých dat (autentizačních informací) mezi jednotlivými komponentami. Po ověření uživatele se navíc v bezdrátových sítích používají protokoly WEP a WPA, které zajišťují ochranu přenášených dat.
Velkou výhodou tohoto systému je to, že po prvotním nastavení už v podstatě není nutný zásah uživatele a po zapnutí bezdrátového zařízení, nebo připojení k síti je provedeno automatické přihlášení uživatele. Není nutné při každém připojení zadávat jméno a heslo. V bezdrátových sítích je pro tento typ autentizace vyhrazeno SSID (název sítě) eduroam.
nastavení protokolu Protected EAP
----------------------------------------
Připojit k těmto radius serverům: radius.sssvt.cz
Důvěryhodná certifikační autorita: Addtrust External CA Root
- Automatický konfigurátor bezdrátové sítě eduroam pro Windows Vista a Windows 7 stahujte zde
- Návod pro Windows 7 je k dispozici zde
- Návod pro Windows Vista je k dispozici zde
- Návod pro Windows XP je k dispozici zde
- Návod pro Linux je k dispozici zde
- všechny návody na eduroam.cz
- Poslední záchrana - sssvt-simple
Někteří uživatelé mohou používat hardware a/nebo software, který není schopen spolupráce s dalšími komponentami 802.1x. Proto existuje "záchranná síť" pro tyto případy s SSID sssvt-simple. Pro připojení k této sítí dostačuje téměř jakákoliv WiFi karta standardu 802.11b/g.
V tomto případě však není možné zajistit silné zabezpečení autentizačních ůdajů a u bezdrátové sítě ani zabezpečení přenášených dat. Před začátkem práce se uživatel musí přihlásit pomocí speciální WEBové aplikace. Pokud uživatel po připojení k síti spustí internetový prohlížeč a zadá nějakou adresu, bude automaticky přesměrován na přihlašovací stránku. Tam je nutné po přečtení pokynů stisknout tlačítko Login a zadat uživatelské jméno (včetně realmu) a heslo pro eduroam. Pokud proběhne úspěšné ověření, je uživateli umožněn přístup do internetu.
- Podporované služby
Povoleny jsou následující služby a protokoly ICMP:
| popis | port |
| Přenos souborů (aktivní i pasivní mód) | 21/tcp |
| Zabezpečený terminálový přístup | 22/tcp |
| Webové stránky | 80/tcp |
| Stahování pošty | 110/tcp |
| Přístup do poštovní schránky | 143/tcp |
| Zabezpečené webové stránky | 443/tcp |
| Zabezpečený přenos souborů | 989,990/tcp |
| Zabezpečený přístup do poštovní schránky | 993/tcp |
| Zabezpečené stahování pošty | 995/tcp |
| Zabezpečené odesílání pošty SMTPS | 465/tcp |
| SMTP Submission | 587/tcp |
| Vzdálená plocha (terminal services) | 3389/tcp |
| Remote Admin Viewer | 4899/tcp |
| VNC Client | 4900/tcp |
| ICQ Client/Server | 5190/tcp |
| Windows Messenger | 1863,7001/tcp |
| Google Talk | 5222,5223/tcp |
| Protokoly IPSEC (PPTP,GRE) | --- |
| Kerio VPN | 4090/tcp |
| Open VPN | 1194/udp |
Pro konfiguraci klientů se používá služba DHCP. Klientům jsou přidělovány adresy z rozsahu dle RFC1918 (privátní adresy) a ty jsou na firewallu překládány (PAT/NAPT) na veřejnou adresu.
Soukromá střední škola výpočetní techniky, Litvínovská 600, Praha 9. Síť je tvořena 7 access pointy Cisco. Pokryt je převážně celý objekt SSŠVT Jsou podporovány SSID eduroam i sssvt-simple.
| Umístění | Hostname | MAC(Wifi rozhraní) |
| Chodba přízemí kabinet 04 | AP1 | 00:14:a8:bc:56:30 |
| Chodba přízemí k tělocvičně | AP2 | 00:14:a8:bc:5c:90 |
| Chodba 1. patro/místn. 101-104 | AP3 | 00:14:a8:bc:60:30 |
| Chodba 1. patro/sekretariát 107-110 | AP4 | 00:14:a8:25:5a:70 |
| Chodba 2. patro/mistn. 201-204 | AP5 | 00:14:a8:bc:88:b0 |
| Chodba 2 .patro/mistn. 212-216 | AP6 | 00:14:a8:bc:55:d0 |
| Nadstavba 2 .patro/mistn. 208-211 | AP7 | 00:15:c6:5f:66:c0 |
Poděkování Oddělení ÚVT University Karlovy za technickou podporu a pomoc při budování bezdrátové sítě a zapojení do projektu Eduroam.