Pokud ještě nestuduje, musí počkat, až studovat začne a musí studovat na instituci, která je členem federace.
Pokud už nestuduje, stačí aby byl zaměstnancem nějaké společnosti, případně její části, která splňuje Access Policy. Taková organizace pak může nabídnout svou síť do federace a odměnou získat právo používat sítě ostatních členů. Nemusí tedy nutně jít jen o univerzitu.
Ano, některé střední školy jsou připojeny také, zdaleka ne jen v kraji Vysočina. V tomto kraji je ale připojen třeba i Krajský úřad. Celý seznam je na stránkách české federace.
Tak jednoduché by to být nemělo, ostatně jak praví webové stránky knihovny:
Registrovaní uživatelé MZK splňující podmínky sítě CESNET (studenti a učitelé vysokých škol, badatelé a výzkumníci z akademických institucí) použijí jako jméno číslo průkazky (včetně počátečních nul) doplněné na konci o "@mzk.cz". (např. 00123123123123@mzk.cz) a heslo, které používají do online katalogu.
Muzu potvrdit, ze problem s fake AP je realny. Byl jsem ted v lete na University of Oulu ve Finsku, a tam presne tohle nekdo taky delal. Nastesti to byl (alespon v urcitych ohledech) amater a svuj fake router nespojil s internetem, takze se lidi divili, proc pres eduroam nemuzou na net... A tak se ho podarilo vystopovat.
Myslim, ze jedna z velkych prekazek k tomu, aby lidi RADIUS servery meli nastavene, je to, ze v Linuxu to nejde do Network Manageru "graficky" nastavit. Diky za odkaz na system CAT, to jsem neznal (mozna i proto, ze veleslavny FEL CVUT tam proste nedodal sve informace). Nebo i jen to, ze na eduroam.feld.cvut.cz clovek jmeno spravneho radius serveru nezjisti. Admini maji jeste mezery...
Omlouvam se, jmena RADIUS serveru jsem ted na webu FELu nasel, tak jsem jen spatne hledal... Nicmene na strance ( http://www.fel.cvut.cz/cz/user-info/eduroam/eduroam.html ) chybi odkaz na certifikat autority, nebo i jen jeji jmeno.
Pokud by někoho zajímaly detaily problematických míst, tj. možnosti napadení WPA2 enterprise (802.1x), (tedy i toho co je použito pro eduroam) mohu odkázat na serii 4 článků. Dneska jsem vydal první část na:
https://www.linkedin.com/pulse/can-wpa2-enterprise-8021x-cracked-minutes-jan-nejman
V první části je spíše jen teoretický úvod, který je nutný k pochopení problematické části implementace
a je tam už začátek praktického dekódování uživatelského hesla. V druhé části bude dokončení možností získání hesla. Třetí část se bude zaobírat kódem a systémem pro dekódování. A poslední část pak ochranou uživatele s analýzou kolika uživatelů se tento problém týká, předem mohu prozradit, že bohužel se týka hodně uživatelů ;-(
To snáď už neplatí. v navodí ch to stále je
http://wifi.stuba.sk/sk/ubuntu.shtml
Najskôr ten certifikát prestal platiť a platil https certifikát AIS.
Potom ho začal posielať pri pripojení (keďže máme certifikačnú autoritu tak self-signed) Teraz je aspoň podpísaný autoritou default prítomnou v Ubuntu...
Heslá máme generované pi prihlásení sa do AIS a sú iné ako do AIS. ale zobrazuje ich po stlačení generátora aj v http, aj našťastie používam len https..
Tak, jak je návod na stránkách, tak to není rozhodně dostatečné. Důležité je nejen ověřovat certifikát radius serveru, ale i jméno radius serveru! V případě, že jako klient ověřujete pouze certifikát, tak jakýkoliv jiný radius server, (který bude mít taktéž instalovaný certifikát podepsaný stejným CA) bude váš klient akceptovat... Tedy chybí tam doplnit jména radius serverů.
Nynější situace je ještě horší, než jak píšete kdysi, protože nyní věříte všem serverům co se prokáží certifikátem od nějaké CA, která má svůj root certifikát v běžné distribuci. Tedy požadavek na ověření jména radius serveru je o to nutnější!!!
Právě z důvodu, že ověření jména RADIUS serveru je problematické, je doporučováno raději používat privátní CA, která vydá certifikát pouze pro RADIUS server dané organizace. Problém je, že uživatelé Windows se pak nepřipojí bez pokročilé konfigurace (tu za ně ale ochotně udělá CAT).
Dalším negativním vedlejším účinkem je, že spousta OS takovou privátní autoritu vnímá jako absolutně důvěryhodnou a to i pro autentizaci webových stránek. Její držitel tak teoreticky může provádět MitM útoky na šifrovaná spojení.
Captive portál teoreticky vůbec nemusí s DNS nic dělat. A podpora DNSSEC by pak záležela na zařízení, na kterém captive portál běží.
Ještě bych měl takový OT dotaz. Kdy budou videa z LinuxDays? Nestihl některé streamy ze soboty a na youtube se dají přehrát už jenom streamy z neděle.
„V praxi máte na výběr buď už před lety prolomený protokol EAP-MSCHAPv2, nebo protokol EAP-PAP, na kterém ani není co lámat.“
V texte je malá chybička v názvosloví. Prefix "EAP-" v tej vete správne nemá byť.
Samotná EAP-PEAP metóda používa iba MSCHAPv2 (nie zabalenú opäť EAP protokolom do EAP-MSCHAPv2), PAP v nej dostupný nie je. EAP-TTLS na vnútornú autentikáciu používa PAP alebo MSCHAPv2, ale zvláda použiť aj EAP protokol. Takže ide tam dať aj EAP zabalený EAP-MSCHAPv2. EAP metóda EAP-PAP
neexistuje (aspoň som nič také ešte nevidel implementované).
Medzi EAP-TTLS+MSCHAPv2 a EAP-TTLS+EAP-MSCHAPv2 je rozdiel (a Win8+ zvláda oboje)! A keď si to užívateľ zle nastaví, tak môže pekne dlho hľadať chybu prečo sa k sieti nemôže pripojiť.
"Není možné snadno odposlouchávat síť, i když znáte heslo, které uživatel použil pro připojení"
Není pravda. Stačí při znalosti hesla odposlouchávat síť v moment, kdy se stanice připojuje a vyměňují se klíče. Následně lze dešifrovat všechnu komunikaci této stanice. Vizte https://wiki.wireshark.org/HowToDecrypt802.11
Je to tedy naopak triviální.
Presne tak. A naviac súčasťou aircrack-ng balíka je program airdecap-ng ktorý priamo pcap súbory rozšifruje.
http://www.aircrack-ng.org/doku.php?id=airdecap-ng
Tiež by som povedal, že je to až príliš jednoduché.