Zu Hauptinhalt springen
Gewählte Sprache ist Deutsch Select language
Startseite UR

Sicherheit im WLAN eduroam

There is an english version of this content available This text on english 


Passwortsynchronisation deaktivieren

Die Weitergabe von RZ Account und RZ Passwort ist nicht gestattet (siehe Benutzungsrichtlinien für Informations-Verarbeitungs-Systeme der Universität Regensburg, 5.),
daher darf das Passwort auch nicht in der Cloud gespeichert werden.
Bei Android und bei Windows 10 ist eine Synchronisationsfunktion standardmäßig aktiviert, bitte deaktivieren Sie entsprechende Funktionen vor der eduroam-Konfiguration.

Eduroam-CAT-Installer

Für die sichere Konfiguration Ihrer Geräte verwenden Sie bitte die von uns bereitgestellten Profile.

Achtung: Es wird keine Software installiert, sondern nur ein WLAN-Profil eingerichtet und, falls nötig, die Zertifikate T-Telesec Global Root Class 2 und das Deutsche Telekom Root CA 2 installiert.

Windows 'SmartScreen' oder 'Internet Explorer' warnen mich davor, dass das Installationsprogramm nicht oft heruntergeladen wurde und möglicherweise eine Gefahr darstellt. Sollte ich mir Sorgen machen?

Entgegen der Behauptung im Produktnamen ist 'SmartScreen' nicht sehr smart. Die Warnung bedeutet lediglich, dass die Datei noch nicht von genug Nutzern heruntergeladen wurde, um als etabliert zu gelten; Microsoft schließt aus der Anzahl von Herunterladevorgängen, dass das Programm dann wohl auch sicher ist. Diese Nachricht alleine ist also kein Grund, sich Sorgen zu machen.

Geeignete Geräte

Bitte beachten Sie, dass für die Benutzung von eduroam auf Campus und Klinikgelände für unsere Benutzer (alle mit RZ Account) zusätzlich eine Geräteregistrierung notwendig ist (unter https://register.uni-regensburg.de), Gäste benötigen KEINE Registrierung.

Leider sind nicht alle Geräte für eduroam geeignet, zum Teil auch deswegen weil keine sichere Konfiguration möglich ist.

Wir raten dringend davon ab, ein Gerät zu benutzen, dass keine sichere Konfiguration erlaubt, da Sie sonst Gefahr laufen, dass Ihr RZ Account und Ihr RZ Passwort ausgespäht werden!

Für ältere Android-Versionen z.B. (vor 4.3), Jolla (Sailfish OS) und andere gibt es KEIN installierbares WLAN-Profil.
Auch von Hand ist eine sichere Konfiguration mit Android (egal welcher Version) grundsätzlich nicht möglich, da der CN (Common Name) des Radiusservers nicht konfiguriert werden kann!
Wir raten Ihnen dringend, Android auf eine neuere Version zu bringen bzw. sich ein neues Gerät zu beschaffen, wenn dies nicht mehr möglich ist!

Sichere Downloadorte der Profile & Installer

Bitte verwenden Sie die Installer und Profile für eduroam CAT nur von folgenden Downloadorten, um sicherzugehen, dass Sie keine gefäschten Profile erhalten:

  • https://eduroam.uni-regensburg.de, https://eduroam.uni-r.de, https://eduroam.ur.de
  • https://cat.eduroam.de/?idp=267
  • https://cat.eduroam.org/
Alle diese Orte sind sichere Seiten, die mit HTTPS abgesichert sind und gütige Zertifikate für Ihre Webserver verwenden.
Wie Sie eine sichere Seite erkennen, finden Sie im Dokument Digitale Zertifikate beschrieben.

Was ist eine sichere Konfiguration?

  1. Die WLAN-Verschlüsselung der SSID eduroam muss WPA2 sein.
  2. Für die sichere Authentifizierung muss das Stammzertifikat (bei uns Deutsche Telekom Root CA 2, siehe auch https://pki.uni-regensburg.de/zertifikate.py) für die Verbindung festgelegt und beim Verbindungsaufbau überprüft werden.
  3. der Name (d.h. der CN im SSL-Zertifikat) des erlaubten Radius-Servers muss überprüft werden (bei uns radius1.uni-regensburg.de und radius2.uni-regensburg.de).
    Im Idealfall wird bei einem falschen Radius-Server keine Warnung ausgegeben, die man ignorieren kann, sondern die Verbindung gar nicht aufgebaut!

Bei manueller Konfiguration von einigen Betriebssystemen ist dieses Verhalten nur schwer zu erreichen (v.a. Android-Systeme).

Was passiert mit einer unsicheren Konfiguration?

Ein "echtes" WLAN eduroam leitet Ihren Anmeldeversuch unbesehen an die/den jeweiligen zuständigen Server Ihrer Heimatorganisation weiter.

Ein "gefälschtes" WLAN eduroam leitet Ihren Anmeldeversuch NICHT an die zuständigen Server Ihrer Heimatorganisation weiter und fängt somit Ihren RZ Account und Ihr RZ Passwort ab.

Eine unsichere Konfiguration erlaubt eine Verbindung mit einem "gefälschten" WLAN eduroam.

Die sichere Konfiguration verhindert, dass Ihr RZ Account und Ihr RZ Passwort an solche Angreifer übertragen werden, da zuerst verifiziert wird, ob tatsächlich mit dem die/den jeweiligen zuständigen Server(n) Ihrer Heimatorganisation kommuniziert wird.

Konfigurationsparameter für eduroam im Überblick

Kann von Betriebsystem zu Betriebssystem variieren.

  • Funknetzname / WLAN-Name / SSID:eduroam
  • Sicherheitstyp 802.1X (Windows):WPA2-Enterprise
  • Verschlüsselungstyp (Windows): AES
  • Authentifzierungsmodus angeben (Windows): Benutzerauthentifizierung
  • PMK-Zwischenspeicherung (Windows): Aktivieren
  • Zertifkatsprüfung: Immer aktivieren
  • CA Certificate / Vertrauenswürdige Stammzertifizierungsstellen: Deutsche Telekom Root CA 2 (Bezug: https://pki.uni-regensburg.de)
  • Verbindung mit diesen Servern herstellen (nur Windows): Aktivieren UND Server eintragen radius1.uni-regensburg.de und radius2.uni-regensburg.de
  • EAP-Methode / Authentication: PEAP (auch "geschütztes EAP" genannt) ODER EAP-TTLS
  • Äußere Identität (unter Windows: Identitätsschutz aktivieren): anonymous@ur.de
  • Authentifizierungsmethode / Inner Authentication: MSCHAPv2 (bei PEAP) ODER PAP (bei EAP-TTLS)
  • Benutzername / Innere Identität: [IhrRZAccount]@ur.de
  • Passwort: Ihr RZ Passwort
  • Fingerprints unser RADIUS-Server zum Überprüfen:
    • radius1.uni-regensburg.de:
      SHA1=17:82:DF:0A:59:5A:37:F3:45:95:75:67:3D:34:5C:4A:C8:8A:82:CF
      SHA256=99:4C:58:0F:83:C4:1B:84:50:5F:72:17:F1:AB:11:36:D0:89:74:48:35:E9:AE:B4:13:91:50:74:EB:2F:DB:7D
    • radius2.uni-regensburg.de:
      SHA1=02:4F:9B:69:58:BB:43:CD:CD:05:A3:EC:9C:D2:7F:14:77:EE:F8:87
      SHA256=BD:61:4F:64:F0:5F:FA:BF:C8:21:65:00:5F:57:48:33:E2:94:3B:CF:94:85:E7:70:FC:54:71:A5:A2:80:80:00
  1. Universität

Rechenzentrum

... überall auf der Welt
eduroam

Support für Studierende

Telefon +49 941 943 4444

E-Mail: support@rz.uni-regensburg.de