Wifi v Karlíně

Bezdrátová síť v budově nabízí tři možnosti připojení a to pro:

  • uživatele zapojené do projektu EDUROAM (ssid: eduroam)
  • uživatele bez EDUROAMu požadující přístup v rámci spolupráce na na mat. sekci (ssid: msekce-quest
  • účastníky akcí (workshopy, konference,...) pořádaných v budově (ssid: mff)

Studenti a zaměstnanci (SSID: eduroam)

Síť eduroam je určena pro studenty a zaměstnance UK a studenty a zaměstnance institucí, které jsou do projektu eduroam zapojeny.

Technologie a pokrytí
Podmínky připojení
Jak se připojit
Omezení provozu
Bezpečnost především
Monitorování síťového provozu
Technická podpora
Označení a logo eduroam jsou registrovanou ochrannou známkou společnosti TERENA.
Technologie a pokrytí

Pro bezdrátové připojení je k dispozici signál dle standardů 802.11a/b/g/n a 802.11n/ac. Signálem jsou pokryty chodby, posluchárny a pracovny v budově. Pro ověření před připojením je využíván protokol 802.1x.

Podmínky pro připojení
  • Každý uživatel roamingu je povinen se řídit podmínkami roamingu hostující a domácí sítě a dále zásadami přijatelného užití akademické sítě CESNET – viz www.cesnet.cz.
  • Každý uživatel roamingu je povinen okamžitě reagovat na výzvy a pokyny správy sítě hostující i domácí sítě a roamingového centra CESNETu.
  • Každý uživatel roamingu je plně odpovědný za zneužití svých osobních údajů (heslo, certifikát, ...), umožňujících mu přístup do sítě.

Pro uživatele se dále na používání služby vztahuje i příkaz děkana 4/2018: Zásady pro provozování a používání výpočetní techniky zapojené do sítě MFF UK.

Důležitá omezení a pravidla vybraná z předpisů

Ze zásad přijatelného užití akademické sítě CESNET vyplývá, že uživatelé nesmějí používat tuto síť pro činnosti, které:

  • umožňují nebo snaží se získat neoprávněný přístup ke zdrojům připojených sítí
  • porušují práva duševního vlastnictví
  • nepříznivě působí na provoz sítě nebo jejích jednotlivých služeb, brání uživatelům v přístupu k těmto službám, ohrožují činnost sítě nebo nadměrně omezují její výkon
  • plýtvají kapacitou sítě
  • ničí integritu informací uložených v počítačích a ostatních síťových prvcích
  • omezují soukromí uživatelů.
Jak se připojit

Pro připojení k síti eduroam je zapotřebí mít účet v libovolné instituci, která je do tohoto projektu zapojena, jejich seznam je dostupný na stránkách projektu. Také zde v sekci PRO UŽIVATELE najdete návody pro nastavení v různých operačních systémech a seznam podporovaného hardware.

V případě, že váš operační systém nenastaví parametry automaticky, použijte zabezpečení EAP/MSCHAPv2.

Nastavení IP protokolu nechte na DHCP serveru, který připojenému zařízení automaticky přidělí IP adresu z příslušného rozsahu.

Připojení v budově Karlín probíhá proti autorizačním zdrojům dostupným na RUK, všechny požadavky na ověření jsou tam předány prostřednictvím proxy.

Informace týkající se logovacího jména a hesla pro studenty a zaměstnance MFF UK jsou dostupné na stránkách ÚVT UK. Zde připojíme jen stručný postup pro jeho získání:

  • v některém Výdejním centru na základě průkazu zaměstance či studenta získat dočasné heslo pro Autentizační službu UK
  • v Autentizační službě UK si toto heslo do 10 dnů změnit na trvalé
  • a v téže Autentizační službě UK si nastavit heslo pro 802.1x (označeno nadpisem Nastavení hesla pro připojení k sítím s 802.1x (eduroam a některé koleje)), je oddělené od heslo pro vstup do uvedené autentizační služby (blíže viz stránky CAS UK)
  • váš login pak bude mít tvar "číslo_průkazu@cuni.cz" a lze ho spolu s heslem použít kdekoliv v síti eduroam

Jedinou dostupnou možností, jak se na Karlíně připojit do sítě eduroam je použití autentizačního mechanizmu definovaného standardem 802.1x. Přesněji:

  • Šifrování přenosu mezi zařízením a přístupovým bodem – v síti eduroam se používá šifrování TKIP s výměnou klíčů dle standardu WPA.
  • Ověření probíhá zašifrovaným tunelem (802.1x, na bázi SSL) mezi připojovacím bodem (AP nebo switch) a ověřovacím serverem (Radius). Identita autorizačního serveru je ověřována jeho certifikátem.
  • Zašifrované ověřovací údaje (jméno a heslo) jsou posílány prostřednictvím protokolu PEAP, heslo kódováno pomocí varianty EAP-MSCHAPv2.
Omezení provozu 
Z bezpečnostních důvodů je provoz mezi sítí eduroam a Internetem (prakticky sítí PASNET) omezen pouze na následující služby a protokoly:
Protokol Port/type		Služba
----------------------------------------------------------------
tcp	22	ssh	Zabezpečený terminálový přístup
tcp	25	smtp	Odesílání pošty
tcp	37	time	Nastavení času
tcp	80	http	Webové stránky
tcp	110	pop3	Stahování pošty
tcp	119	nntp	News
tcp	143	imap	Přístup do poštovní schránky
tcp	389	ldap	Adresářová služba
tcp	443	https	Zabezpečené webové stránky
tcp	465	smtps	Zabezpečené odesílání pošty
tcp	563	nntps	News (SSL)
tcp	636	ldaps	Adresářová služba (SSL)
tcp	993	imaps	Zabezpečený přístup do poštovní schránky
tcp	995	pop3s	Zabezpečené stahování pošty
tcp	1194	ovpn	Open VPN
tcp	1352	lotus	Lotus Notes
tcp	2401	cvs	Verzovací systém CVS
tcp	3389	rdp	Připojení ke vzdálené ploše
tcp	3690	svn	Verzovací systém SVN
tcp	4156	avg	AVG TCP server
tcp	5190	icq	Komunikační program ICQ
tcp	5222	jabber	Komunikační protokol Jabber
tcp	5223	jabber	Komunikační protokol Jabber (SSL)
tcp	8080	http	Webové stránky (proxy)
udp	53	domain	Domain Name Server
udp	123	ntp	Nastavení času
udp	1194	vpn	OpenVPN
udp	3690	svn	Verzovací systém SVN
icmp	8	ping	ICMP ping

Komunikace s vnějším světem probíhá v privátní síti, počítače dostávají automaticky adresu od DHCP serveru z rozsahu 10.31.0.0/16.

Bezpečnost především

Ukládání hesla do registrů představuje bezpečnostní riziko hlavně v kombinaci s privilegovaným účtem či účtem bez nutnosti zadávat hesla (jakýmkoliv). Vytvořte si proto běžný uživatelský účet chráněný heslem – po splnění těchto předpokladů ukládání hesla eduroam do registru příliš nezvyšuje bezpečnostní riziko. Pokud sdílí notebook více uživatelů, měl by mít každý svůj vlastní uživatelský účet chráněný heslem.

Je velmi doporučeno nainstalovat si a používat pro ověření autorizačních serverů certifikáty, pro uživatele MFF UK a obecně z UK, kteří jsou ověřováni servery ÚVT UK, platí certifikační autority CESNET, neboť se poté bráníte nebezpečí útoku man-in-the-middle. Nezapomeňte, že některé programy své certifikáty nesdílejí. Proto je potřeba stáhnout a instalovat certifikát vícekrát pro jednotlivé skupiny programů. Např. Internet Explorer používá jiné úložiště certifikátů, než webový prohlížeč Firefox.

Připojením do sítě se počítač stává cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků) – použití eduroam tuto stránku bezpečnosti nezvyšuje. Proto je velmi nutné kontrolovat bezpečnost operačního systému a pravidelně ji zlepšovat.

Monitorování síťového provozu

V síti eduroam jsou v souladu s Roamingovou politikou České federace eduroam monitorovány a logovány tyto údaje:

  • informace o požadavcích na ověření (802.1x, radius log)
  • informace o požadavcích na přidělení IP adresy k MAC adrese (DHCP)
  • podezřelý ARPA provoz
  • stavové a provozní informace použitých AP

Údaje jsou uchovávány minimálně po dobu 6 měsíců.

Technická podpora

V případě potíží či nejasností, které se nepodařilo překonat s použitím této stránky a které se týkají eduroamu na MFF UK na Karlíně, se s důvěrou obraťte na Správu počítačové sítě Karlín.

Hosté (SSID: msekce-guest)

Tato síť je určena pro hosty pracovníků Matematické sekce bez smluvního vztahu k UK. Pro připojení do této sítě musíte být registrovaní uživatelé s oprávněním k připojení. Obojí zajišťuje správa sítě (M. Bejček, J. Richter, O. Ulrych). Pro zřízení účtu je nutná osobní návštěva u pracovníků správy sítě. Pokud uživatel (host) již má zřízený účet, stačí napsat e-mail pracovníkům správy sítě s požadavkem na přidání možnosti připojení k WiFi. Pokud má host již zřízený účet s oprávněním k připojení k WiFi, stačí pouze nastavit heslo na této stránce. V případě problémů s připojením se s důvěrou obraťte na pracovníky správy sítě.

Uživatelské jméno pro síť msekce-guest se zadává ve tvaru login@msekce-guest.

Ověřování je podle standardu 802.1x (stejně jako u eduroam) metodou EAP/MSCHAPv2.

Z bezpečnostních důvodů je provoz mezi sítí eduroam a Internetem (prakticky sítí PASNET) omezen pouze na následující služby a protokoly:

Protokol Port/type		Služba
----------------------------------------------------------------
tcp	22	ssh	Zabezpečený terminálový přístup
tcp	80	http	Webové stránky
tcp	443	https	Zabezpečené webové stránky

Konference (SSID: mff)

Tato síť slouží pro semináře, konference a podobné jednorázové akce, kde se vyskytuje větší množství externistů. Síť není standardně zapnutá. V případě, že budete mít zájem o zapnutí této sítě na nějakou vaší akci, kontaktujte s dostatečným předstihem (alespoň týden předem) pracovníky správy sítě. Síť pak bude aktivní pouze po dobu konání akce. Pro každou akci bude nastaveno vždy specifické heslo.

Z bezpečnostních důvodů je provoz mezi sítí eduroam a Internetem (prakticky sítí PASNET) omezen pouze na následující služby a protokoly:

Protokol Port/type		Služba
----------------------------------------------------------------
tcp	22	ssh	Zabezpečený terminálový přístup
tcp	80	http	Webové stránky
tcp	443	https	Zabezpečené webové stránky

Jazyk stránek