Pro bezdrátové připojení je k dispozici signál dle standardu 802.11b/g a 802.11a. Signálem jsou pokryty chodby, posluchárny a pracovny v budově. Pro ověření před připojením je využíván protokol 802.1x.

• Každý uživatel roamingu je povinen se řídit podmínkami roamingu hostující a domácí sítě a dále zásadami přijatelného užití akademické sítě CESNET – viz www.cesnet.cz.
• Každý uživatel roamingu je povinen okamžitě reagovat na výzvy a pokyny správy sítě hostující i domácí sítě a roamingového centra CESNETu.
• Každý uživatel roamingu je plně odpovědný za zneužití svých osobních údajů (heslo, certifikát, ...), umožňujících mu přístup do sítě.

Pro uživatele se dále na používání služby vztahuje i příkaz děkana 4/2008: Zásady pro provozování a používání výpočetní techniky zapojené do sítě MFF UK.

Důležitá omezení a pravidla vybraná z předpisů

Ze zásad přijatelného užití akademické sítě CESNET vyplývá, že uživatelé nesmějí používat tuto síť pro činnosti, které:

• umožňují nebo snaží se získat neoprávněný přístup ke zdrojům připojených sítí
• porušují práva duševního vlastnictví
• nepříznivě působí na provoz sítě nebo jejích jednotlivých služeb, brání uživatelům v přístupu k těmto službám, ohrožují činnost sítě nebo nadměrně omezují její výkon
• plýtvají kapacitou sítě
• ničí integritu informací uložených v počítačích a ostatních síťových prvcích
• omezují soukromí uživatelů.

Pro připojení k síti eduroam je zapotřebí mít účet v libovolné instituci, která je do tohoto projektu zapojena, jejich seznam je dostupný na stránkách projektu.

Připojení v budově Karlín probíhá proti autorizačním zdrojům dostupným na RUK, všechny požadavky na ověření jsou tam předány prostřednictvím proxy.

Informace týkající se logovacího jména a hesla pro studenty a zaměstnance MFF UK jsou dostupné na stránkách ÚVT UK. Zde připojíme jen stručný postup pro jeho získání:

• v některém Výdejním centru na základě průkazu zaměstance či studenta získat dočasné heslo pro Autentizační službu UK
• v Autentizační službě UK si toto heslo do 10 dnů změnit na trvalé
• a v  téže Autentizační službě UK si nastavit heslo pro 802.1x (označeno nadpisem Nastavení hesla pro připojení k sítím s 802.1x (eduroam a některé koleje)), je oddělené od heslo pro vstup do uvedené autentizační služby (blíže viz stránky CAS UK)
• váš login pak bude mít tvar "číslo_průkazu@cuni.cz" a lze ho spolu s heslem použít kdekoliv v síti eduroam

Jedinou dostupnou možností, jak se na Karlíně připojit do sítě eduroam je použití autentizačního mechanizmu definovaného standardem 802.1x. Přesněji:

• Šifrování přenosu mezi zařízením a přístupovým bodem – v síti eduroam se používá šifrování TKIP s výměnou klíčů dle standardu WPA.
• Ověření probíhá zašifrovaným tunelem (802.1x, na bázi SSL) mezi připojovacím bodem (AP nebo switch) a ověřovacím serverem (Radius). Identita autorizačního serveru je ověřována jeho certifikátem.
• Zašifrované ověřovací údaje (jméno a heslo) jsou posílány prostřednictvím protokolu PEAP, heslo kódováno pomocí varianty EAP-MSCHAPv2.

Konfigurace vlastního připojení se výrazně liší podle použitého zařízení. Postupy pro řadu z nich jsou dostupné na těchto místech:

Operační systém	Podpůrný program	Návod
Linux	xsuplikant	www.eduroam.cz www.eduroam.no
	WPA suplikant	www.eduroam.cz
Mac OS X		www.eduroam.no
Windows Mobile	suplikant Secure W2	www.eduroam.edu.au
Windows XP	MS konfigurace	PřF UK
	MS konfigurace, též SP1	www.eduroam.cz
	Cisco Aironet Desktop Utility	www.eduroam.cz
	IBM Access Connection (v3.52)	www.eduroam.no
	IBM Access Connection (v4.23)	psik.mff.cuni.cz
Windows Vista	MS konfigurace	www.eduroam.cz
Windows Vista	MS konfigurace + instalace certifikátu	net.zcu.cz
Symbian OS (Nokia 9500)		psik.mff.cuni.cz

Poznámka: Návody je třeba adekvátně interpretovat s ohledem na výše uvedená fakta o konkrétní konfiguraci sítě na Karlíně a ověřovacích serverů na RUK, především šifrovací metody (WPA/TKIP, PEAP/MSCHAPv2), certifikát certifikační autority (viz stránka ÚVT UK) a pod.

Nastavení IP protokolu nechte na DHCP serveru, který připojenému zařízení automaticky přidělí IP adresu z příslušného rozsahu.

Protokol Port/type		Služba
----------------------------------------------------------------
tcp	22	ssh	Zabezpečený terminálový přístup
tcp	25	smtp	Odesílání pošty
tcp	37	time	Nastavení času
tcp	80	http	Webové stránky
tcp	110	pop3	Stahování pošty
tcp	119	nntp	News
tcp	143	imap	Přístup do poštovní schránky
tcp	389	ldap	Adresářová služba
tcp	443	https	Zabezpečené webové stránky
tcp	465	smtps	Zabezpečené odesílání pošty
tcp	563	nntps	News (SSL)
tcp	636	ldaps	Adresářová služba (SSL)
tcp	993	imaps	Zabezpečený přístup do poštovní schránky
tcp	995	pop3s	Zabezpečené stahování pošty
tcp	1194	ovpn	Open VPN
tcp	1352	lotus	Lotus Notes
tcp	2401	cvs	Verzovací systém CVS
tcp	3389	rdp	Připojení ke vzdálené ploše
tcp	3690	svn	Verzovací systém SVN
tcp	4156	avg	AVG TCP server
tcp	5190	icq	Komunikační program ICQ
tcp	5222	jabber	Komunikační protokol Jabber
tcp	5223	jabber	Komunikační protokol Jabber (SSL)
tcp	8080	http	Webové stránky (proxy)
udp	53	domain	Domain Name Server
udp	123	ntp	Nastavení času
udp	1194	vpn	OpenVPN
udp	3690	svn	Verzovací systém SVN
icmp	8	ping	ICMP ping

Komunikace s vnějším světem probíhá ve veřejné síti, počítače dostávají automaticky adresu od DHCP serveru z rozsahu 195.113.26.2 - 195.113.26.126

Ukládání hesla do registrů představuje bezpečnostní riziko hlavně v kombinaci s privilegovaným účtem či účtem bez nutnosti zadávat hesla (jakýmkoliv). Vytvořte si proto běžný uživatelský účet chráněný heslem – po splnění těchto předpokladů ukládání hesla eduroam do registru příliš nezvyšuje bezpečnostní riziko. Pokud sdílí notebook více uživatelů, měl by mít každý svůj vlastní uživatelský účet chráněný heslem.

Je velmi doporučeno nainstalovat si a používat pro ověření autorizačních serverů certifikáty, pro uživatele MFF UK a obecně z UK, kteří jsou ověřováni servery ÚVT UK, platí certifikační autority CESNET, neboť se poté bráníte nebezpečí útoku man-in-the-middle. Nezapomeňte, že některé programy své certifikáty nesdílejí. Proto je potřeba stáhnout a instalovat certifikát vícekrát pro jednotlivé skupiny programů. Např. Internet Explorer používá jiné úložiště certifikátů, než webový prohlížeč Firefox.

Připojením do sítě se počítač stává cílem útoků (a někdy i nevědomky dalším šiřitelem těchto útoků) – použití eduroam tuto stránku bezpečnosti nezvyšuje. Proto je velmi nutné kontrolovat bezpečnost operačního systému a pravidelně ji zlepšovat.

V síti eduroam jsou v souladu s Roamingovou politikou České federace eduroam monitorovány a logovány tyto údaje:

• informace o požadavcích na ověření (802.1x, radius log)
• informace o požadavcích na přidělení IP adresy k MAC adrese (DHCP)
• podezřelý ARPA provoz
• stavové a provozní informace použitých AP

Údaje jsou uchovávány minimálně po dobu 6 měsíců.

V případě potíží či nejasností, které se nepodařilo překonat s použitím této stránky a které se týkají eduroamu na MFF UK na Karlíně, se s důvěrou obraťte na Správu počítačové sítě Karlín.