Sicherheit im WLAN eduroam

Die Weitergabe von RZ Account und RZ Passwort ist nicht gestattet (siehe Benutzungsrichtlinien für Informations-Verarbeitungs-Systeme der Universität Regensburg, 5.),
daher darf das Passwort auch nicht in der Cloud gespeichert werden.
Bei Android und bei Windows 10 ist eine Synchronisationsfunktion standardmäßig aktiviert, bitte deaktivieren Sie entsprechende Funktionen vor der eduroam-Konfiguration.

Für die sichere Konfiguration Ihrer Geräte verwenden Sie bitte die von uns bereitgestellten Profile.

Achtung: Es wird keine Software installiert, sondern nur ein WLAN-Profil eingerichtet und, falls nötig, das Zertifikat T-Telesec Global Root Class 2 installiert.

Windows 'SmartScreen' oder 'Internet Explorer' warnen mich davor, dass das Installationsprogramm nicht oft heruntergeladen wurde und möglicherweise eine Gefahr darstellt. Sollte ich mir Sorgen machen?

Entgegen der Behauptung im Produktnamen ist 'SmartScreen' nicht sehr smart. Die Warnung bedeutet lediglich, dass die Datei noch nicht von genug Nutzern heruntergeladen wurde, um als etabliert zu gelten; Microsoft schließt aus der Anzahl von Herunterladevorgängen, dass das Programm dann wohl auch sicher ist. Diese Nachricht alleine ist also kein Grund, sich Sorgen zu machen.

Bitte beachten Sie, dass für die Benutzung von eduroam auf Campus und Klinikgelände für unsere Benutzer (alle mit RZ Account) zusätzlich eine Geräteregistrierung notwendig ist (unter https://register.uni-regensburg.de), Gäste benötigen KEINE Registrierung.

Leider sind nicht alle Geräte für eduroam geeignet, zum Teil auch deswegen weil keine sichere Konfiguration möglich ist.

Wir raten dringend davon ab, ein Gerät zu benutzen, dass keine sichere Konfiguration erlaubt, da Sie sonst Gefahr laufen, dass Ihr RZ Account und Ihr RZ Passwort ausgespäht werden!

Für ältere Android-Versionen z.B. (vor 4.3), Jolla (Sailfish OS) und andere gibt es KEIN installierbares WLAN-Profil.
Auch von Hand ist eine sichere Konfiguration mit Android (egal welcher Version) grundsätzlich nicht möglich, da der CN (Common Name) des Radiusservers nicht konfiguriert werden kann!
Wir raten Ihnen dringend, Android auf eine neuere Version zu bringen bzw. sich ein neues Gerät zu beschaffen, wenn dies nicht mehr möglich ist!

Bitte verwenden Sie die Installer und Profile für eduroam CAT nur von folgenden Downloadorten, um sicherzugehen, dass Sie keine gefälschten Profile erhalten:

• https://eduroam.uni-regensburg.de, https://eduroam.uni-r.de, https://eduroam.ur.de
• https://cat.eduroam.de/?idp=267
• https://cat.eduroam.org/?idp=5267

Alle diese Orte sind sichere Seiten, die mit HTTPS abgesichert sind und gütige Zertifikate für Ihre Webserver verwenden.
Wie Sie eine sichere Seite erkennen, finden Sie im Dokument Digitale Zertifikate beschrieben.

1. Die WLAN-Verschlüsselung der SSID eduroam muss WPA2 sein.
2. Für die sichere Authentifizierung muss das Stammzertifikat (bei uns T-TeleSec Global Root Class 2 , siehe auch https://pki.uni-regensburg.de/zertifikate) für die Verbindung festgelegt und beim Verbindungsaufbau überprüft werden.
3. der Name (d.h. der CN im SSL-Zertifikat) des erlaubten Radius-Servers muss überprüft werden (bei uns radius.uni-regensburg.de).
   Im Idealfall wird bei einem falschen Radius-Server keine Warnung ausgegeben, die man ignorieren kann, sondern die Verbindung gar nicht aufgebaut!

Bei manueller Konfiguration von einigen Betriebssystemen ist dieses Verhalten nur schwer zu erreichen (v.a. Android-Systeme).

Ein "echtes" WLAN eduroam leitet Ihren Anmeldeversuch unbesehen an die/den jeweiligen zuständigen Server Ihrer Heimatorganisation weiter.

Ein "gefälschtes" WLAN eduroam leitet Ihren Anmeldeversuch NICHT an die zuständigen Server Ihrer Heimatorganisation weiter und fängt somit Ihren RZ Account und Ihr RZ Passwort ab.

Eine unsichere Konfiguration erlaubt eine Verbindung mit einem "gefälschten" WLAN eduroam.

Die sichere Konfiguration verhindert, dass Ihr RZ Account und Ihr RZ Passwort an solche Angreifer übertragen werden, da zuerst verifiziert wird, ob tatsächlich mit dem die/den jeweiligen zuständigen Server(n) Ihrer Heimatorganisation kommuniziert wird.

Kann von Betriebsystem zu Betriebssystem variieren.

• Funknetzname / WLAN-Name / SSID:eduroam
• Sicherheitstyp 802.1X (Windows):WPA2-Enterprise
• Verschlüsselungstyp (Windows): AES
• Authentifzierungsmodus angeben (Windows): Benutzerauthentifizierung
• PMK-Zwischenspeicherung (Windows): Aktivieren
• Zertifkatsprüfung: Immer aktivieren
• CA Certificate / Vertrauenswürdige Stammzertifizierungsstellen: T-Telesec Global Root Class 2 (Bezug: https://pki.uni-regensburg.de)
• Verbindung mit diesen Servern herstellen (nur Windows): Aktivieren UND Server eintragen radius.uni-regensburg.de
• EAP-Methode / Authentication: PEAP (auch "geschütztes EAP" genannt) ODER EAP-TTLS
• äußere Identität (unter Windows: Identitätsschutz aktivieren): anonymous@ur.de
• Authentifizierungsmethode / Inner Authentication: MSCHAPv2 (bei PEAP) ODER PAP (bei EAP-TTLS)
• Benutzername / Innere Identität: [IhrRZAccount]@ur.de
• Passwort: Ihr RZ Passwort
• Fingerprints unser RADIUS-Server zum überprüfen:
  • radius.uni-regensburg.de:
    SHA1=D3:20:0B:82:39:D2:20:6B:FF:DB:56:F1:EA:E1:11:BD:F7:36:1F:B8
SHA256=44:CC:92:03:47:52:ED:91:D6:19:B9:51:BA:2E:6F:CB:0A:DE:5A:C7:AE:
2B:D1:AC:02:71:6F:84:DD:F4:DD:64