Centrum informačních technologií
Přírodovědecké fakulty Univerzity Karlovy v Praze

česky | english
Hledat | Helpdesk | E-mail | Telefonní seznam | SIS | Moodle | Mapa portálu | Odhlásit se

Přejít na obsah | Přejít na navigaci

Student
Kontakty

Centrum informačních technologií
Přírodovědecké fakulty
Univerzity Karlovy v Praze

Vedoucí:
RNDr. Milan Richter
mrichter@natur.cuni.cz
221 951 017
Hlavova 8, suterén, dveře 021

Sekretářka:
Hana Losertová
losertov@natur.cuni.cz
221 951 045
Albertov 6, suterén, dveře S02

Fakulta v médiích

Jak se připojit

Logo Eduroam

Důležitá upozornění:

  • uživatelské jméno se zadává ve tvaru uzivatelske_jmeno@natur.cuni.cz - má tedy stejný tvar jako Vaše fakultní emailová adresa
  • heslo je stejné jako do CASu (resp. do Vaší poštovní schránky, pokud se liší od hesla do CASu); nastavení hesla pro eduroam na stránkách ldap.cuni.cz se netýká naší fakulty - platí jenom pro realm @cuni.cz
  • do kolonky doména se nic nezadává
  • jméno RADIUS serveru pro PřF UK je iradius.natur.cuni.cz
  • připojením do sítě se počítač může stát cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků). Nezapomeňte si proto nainstalovat antivirový program, mít zapnutý firewall a pravidelně záplatovat operační systém
  • dodržujte roamingovou politiku a Zásady práce pro provozování a používání výpočetní techniky na PřF UK. Její porušení, např. nelegální šíření obsahu přes bittorenty, je řešeno s RUK

Konfigurace šifrované sítě eduroam se velmi liší v závislosti na operačním systému. V rámci operačního systému se konfigurace liší i pro jednotlivé konfigurační programy pro WiFi a pro tzv. suplikanty. Následuje tabulka s odkazy na popisy konfigurace pro různé operační systémy:

operační systém

Windows Vista

Windows 7

Pro uživatele s Windows Vista a Windows 7 je k dispozici program pro WPA/TKIP pro automatickou konfiguraci připojení. Jediné, co musíte udělat, je spustit utilitku a poté zadat své přihlašovací údaje (váš_login@natur.cuni.cz + heslo do CASu !POZOR login není jmeno.prijmeni!). Program nevyžaduje administrátorská práva a nastaví vše potřebné.

-nově je možné vybrat i zabezpečení WPA2-podnikové a typ šifrování AES (nejvyšší dostupný stupeň zabezpečení). POZOR WPA2/AES nepodporují všechny připojené organizace – v rámci eduroamu je to pouze doporučená varianta. Pokud hodně cestujete a připojujete se v cizích organizacích, je doporučené WPA/TKIP.

program pro WPA2/AES

 
Windows XP

standardní konfigurace

Pokud se Vám podaří jednou úspěšně přihlásit do bezdrátové sítě, uloží si Windows do registrů uživatelské jméno i heslo. Při dalším připojení k bezdrátové síti již jméno a heslo zadávat nemusíte. To je sice určitou výhodou pro uživatele, ale velkým bezpečnostním rizikem, neboť:

  • Windows nenabízejí uživatelskou možnost vymazat jméno a heslo z registrů,
  • Pokud se někdo dostane k Vašemu notebooku, může se Vaším jménem přihlásit do bezdrátové sítě.

Proto velmi doporučujeme minimálně si zaheslovat přístup k notebooku (nastavit hesloa pro jednotlivé uživatele) tak, aby při každém spuštění počítače bylo vyžadováno zadání jména a hesla. Dalším doporučením je běžně nepoužívat uživatele administrator, ale používat uživatelské účty.

Následuje postup pro vymazaní uloženého jména a heslo - je to však na vlastní nebezpečí, neboť přímo pracujete s registry.

  • klikněte na tlačítko Start a zvolte Spustit...
  • do okénka Otevřít: napište regedit a klikněte na OK
  • vyhledejte klíč HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEapInfo a vyberte ho,
  • v menu Úpravy klikněte na Odstranit a v následující nabídce potvrďte odstranění klíče (volba Ano)
  • ukončete Editor registru
Android odkaz uživatelské jméno se zadává ve tvaru uzivatelske_jmeno@natur.cuni.cz - má tedy stejný tvar jako Vaše fakultní emailová adresa !POZOR login není jmeno.prijmeni! + heslo do CAS
Symbian Symbian S60v5 and S60v3 v ENG. Uživatelské jméno se zadává ve tvaru uzivatelske_jmeno@natur.cuni.cz - má tedy stejný tvar jako Vaše fakultní emailová adresa !POZOR login není jmeno.prijmeni! + heslo do CAS
Ostatní OS eduroam.cz

Technický způsob řešení:

Zabezpečení bezdrátové sítě eduroam lze rozdělit do čtyř bodů:

  1. Šifrování přenosu mezi zařízením a přístupovým bodem - v síti eduroam se používá šifrování TKIP s výměnou klíčů dle standardu WPA. Při asociaci zařízení/notebooku s přístupovým bodem (AP), si mezi sebou dohodnou klíč pro šifrovanou komunikaci, který se pravidelně (v podstatě s každým přeposlaným paketem) mění. Tím se zabraňuje útoku známému z předchůdce - protokolu WEP, kde se klíč neměnil a kde bylo možné po odchycení relativně malého množství paketů zjistit použitý klíč. Šifrování s výměnou klíčů se používá po celou dobu spojení zařízení/notebooku s přístupovým bodem.
  2. Do bezdrátové sítě nelze připojit kohokoliv, je potřeba autorizace uživatelů. Ve větších sítích je pro více přístupových bodů (AP) jeden či několik autorizačních serverů, na kterých se ověřují uživatelská jména a hesla (popř. certifikáty). Proto se vytváří šifrovaný tunel mezi zařízením a autorizačním serverem, obvykle na základě protokolu 802.1x, který je založen na protokolu SSL. Uživatel nemusí znát autorizační server - ví o něm obvykle přístupový bod. V rozsáhlých sítích, jako je Eduroam, je více autorizačních serverů, které si mezi sebou předávají autorizační požadavky. Šifrovaný tunel se vytvoří od zařízení k autorizačnímu serveru, který je schopen požadavek vyřídit. Pokud se např. na PřF připojí uživatel z Masarykovy univerzity v Brně (tj. přihlásí se s realmem @muni.cz), vytvoří se příslušný tunel od uživatelova notebooku k autorizačnímu serveru Masarykovy univerzity. Tento způsob vytváření tunelů umožňuje různé způsoby autorizace pro různé organizace zapojené v eduroam - někteří se mohou autorizovat jménem a heslem, jiní certifikátem. Po ukončení autorizace (výsledkem může být jak povolení přístupu, tak zamítnutí přístupu) se tento tunel ruší.
  3. Údaje posílané v šifrovaném tunelu mohou mít různý formát, nejčastěji se používá protokol PEAP. Existují i různé možnosti, jak v rámci tunelu poslat heslo - nejčastější varianta je EAP-MSCHAP v2.
  4. V bezdrátové síti může nastat jeden závažný problém - narušitel na vhodné místo umístí svůj přístupový bod (včetně autorizačního serveru), který bude též vysílat SSID eduroam. Uživatelé se k němu zkusí přihlásit, to se sice nepodaří, ale narušitel z pokusu získá uživatelské jméno a heslo. Aby se tomuto zabránilo, provádí se dva kroky:
  • uživatelé musí na svém zařízení/notebooku nastavit ručně některé parametry spojení (použítí konkrétních protokolů pro jednotlivé části připojení),
  • uživatel by měl kontrolovat, zda autorizační server je pro něho důvěryhodný. Zde se využívají zkušenosti s certifikáty a certifikačními autoritami - při vytvoření šifrovaného 802.1x tunelu mezi zařízením a autorizačním serverem posílá autorizační server zpět svůj certifikát podepsaný certifikační autoritou. V konfiguraci na notebooku lze nastavit, že se při připojení bude důvěřovat pouze autorizačním serverům se certifikátem podepsaným od určené certifikační autority.

Pro připojení potřebujete:

  • zařízení vybavené bezdrátovou technologií WiFi:
    • radiová část odpovídá standardu 802.11, rařízení musí dále odpovídat platných zákonům a normám v ČR (viz např. Všeobecné oprávnění Českého telekomunikačního úřadu),
    • síťová karta/zařízení podporuje WPA a autentizační protokol PEAP, v rámci PEAP pak EAP-MSCHAP v2.
  • znalost svého uživatelského jména a hesla do CASu (celouniverzitni heslo),
  • kořenový certifikát certifikační autority CESNET. Certifikát si můžete stáhnout z tohoto webu
  • v utilitě pro konfiguraci bezdrátové síťové karty správně nakonfigurovat připojení k síti.
Akce dokumentů

Centrum informačních technologií Přírodovědecké fakulty Univerzity Karlovy v Praze
Správce webu: Jiří Kühn, www@natur.cuni.cz