Pravidla pro používání sítě eduroam jsou definovány roamingovou politikou této sítě. Uživatelé mají následující povinnosti:
- Každý uživatel roamingu je povinen se řídit podmínkami roamingu hostující a domácí sítě a dále zásadami přijatelného užití akademické sítě CESNET - viz www.cesnet.cz.
- Každý uživatel roamingu je povinen okamžitě reagovat na výzvy a pokyny správy sítě hostující i domácí sítě a roamingového centra Cesnetu.
- Každý uživatel roamingu je plně odpovědný za zneužití svých osobních údajů (heslo, certifikát, ...), umožňujících mu přístup do sítě.
Pro uživatele z PřF UK se dále na používání služby vztahuje i příkaz děkana: Zásady práce pro provozování a používání výpočetní techniky na PřF UK
Zařízení vybavené bezdrátovou technologií WiFi
– radiová část odpovídá standardu 802.11, zařízení musí dále odpovídat platným zákonům a normám v ČR (viz Všeobecné oprávnění Českého telekomunikačního úřadu), síťová karta/zařízení podporuje WPA2 a autentizační protokol PEAP, v rámci něho pak zašifrování hesla protokolem MSCHAPv2.
Technický způsob řešení:
Zabezpečení bezdrátové sítě eduroam lze rozdělit do čtyř bodů:
- Šifrování přenosu mezi zařízením a přístupovým bodem - v síti eduroam se používá šifrování AES s výměnou klíčů dle standardu WPA2. Při asociaci zařízení/notebooku s přístupovým bodem (AP), si mezi sebou dohodnou klíč pro šifrovanou komunikaci, který se pravidelně (v podstatě s každým přeposlaným paketem) mění. Tím se zabraňuje útoku známému z předchůdce - protokolu WEP, kde se klíč neměnil a kde bylo možné po odchycení relativně malého množství paketů zjistit použitý klíč. Šifrování s výměnou klíčů se používá po celou dobu spojení zařízení/notebooku s přístupovým bodem.
- Do bezdrátové sítě nelze připojit kohokoliv, je potřeba autorizace uživatelů. Ve větších sítích je pro více přístupových bodů (AP) jeden či několik autorizačních serverů, na kterých se ověřují uživatelská jména a hesla (popř. certifikáty). Proto se vytváří šifrovaný tunel mezi zařízením a autorizačním serverem, obvykle na základě protokolu 802.1x, který je založen na protokolu SSL. Uživatel nemusí znát autorizační server - ví o něm obvykle přístupový bod. V rozsáhlých sítích, jako je Eduroam, je více autorizačních serverů, které si mezi sebou předávají autorizační požadavky. Šifrovaný tunel se vytvoří od zařízení k autorizačnímu serveru, který je schopen požadavek vyřídit. Pokud se např. na PřF připojí uživatel z Masarykovy univerzity v Brně (tj. přihlásí se s realmem @muni.cz), vytvoří se příslušný tunel od uživatelova notebooku k autorizačnímu serveru Masarykovy univerzity. Tento způsob vytváření tunelů umožňuje různé způsoby autorizace pro různé organizace zapojené v eduroam - někteří se mohou autorizovat jménem a heslem, jiní certifikátem. Po ukončení autorizace (výsledkem může být jak povolení přístupu, tak zamítnutí přístupu) se tento tunel ruší.
- Údaje posílané v šifrovaném tunelu mohou mít různý formát, nejčastěji se používá protokol PEAP. Existují i různé možnosti, jak v rámci tunelu poslat heslo - nejčastější varianta je EAP-MSCHAP v2.
- V bezdrátové síti může nastat jeden závažný problém - narušitel na vhodné místo umístí svůj přístupový bod (včetně autorizačního serveru), který bude též vysílat SSID eduroam. Uživatelé se k němu zkusí přihlásit, to se sice nepodaří, ale narušitel z pokusu získá uživatelské jméno a heslo. Aby se tomuto zabránilo, provádí se dva kroky:
- uživatelé musí na svém zařízení/notebooku nastavit ručně některé parametry spojení (použítí konkrétních protokolů pro jednotlivé části připojení),
- uživatel by měl kontrolovat, zda autorizační server je pro něho důvěryhodný. Zde se využívají zkušenosti s certifikáty a certifikačními autoritami - při vytvoření šifrovaného 802.1x tunelu mezi zařízením a autorizačním serverem posílá autorizační server zpět svůj certifikát podepsaný certifikační autoritou. V konfiguraci na notebooku lze nastavit, že se při připojení bude důvěřovat pouze autorizačním serverům se certifikátem podepsaným od určené certifikační autority.
Název a logo eduroam jsou registrovanou ochrannou známkou společnosti TERENA