Een gebruiker van UvAdraadloos moet zorgdragen voor minimale beveiliging van zijn laptop.
Zorg er daarom voor dat uw laptop voorzien is van:
Wanneer u een beveiligingsincident veroorzaakt, wordt u afgesloten van UvAdraadloos. Dit kan op twee manieren, via Quarantainenet en door intrekking van de UvAdraadloos-rechten behorend bij UvAnetID.
Vaak wordt een incident veroorzaakt door een virus. SURFnet heeft goede informatie over het voorkomen en verwijderen van virussen.
Het is mogelijk dat de gebruiker in het Quarantainenet (Qnet) wordt geplaatst. Vanuit het Qnet heeft de gebruiker alleen toegang tot websites die op de white list staan van het Qnet-systeem (bijvoorbeeld www.mcafee.com, www.microsoft.com, www.symantec.com).
Benaderen van andere websites levert consequent de webpagina van Qnet op. Hier kunt u lezen wat u moet doen om weer volledig toegang te krijgen. Dit kan zonder tussenkomst van een helpdesk.
Normaal gesproken heeft u als UvAnetIDgebruiker voldoende rechten om gebruik te maken van UvAdraadloos. Bij een incident worden de UvAnetID-rechten voor UvAdraadloos ingetrokken. u wordt hierover via e-mail op de hoogte gesteld en gevraagd contact op te nemen.
Als UvAdraadloos-gebruiker moet u zich ook houden aan de ICT-gedragsregels en het Reglement UvAnet.
Tijdens het gebruik van UvAdraadloos zou niet om acceptatie van het servercertificaat gevraagd moeten worden. Wanneer toch een certificaat-pop-upwindow verschijnt, kan het gaan om een niet-bonafide authenticatieserver. Neem dan contact op met de Servicedesk ICTS via telefoonnummer +31 (0)20- 525 2200.
Wanneer er geen servercertificaat aanwezig is op uw laptop, vraagt het systeem u bij het eerste authenticatieverzoek voor UvAdraadloos, het servercertificaat te verifiëren en te installeren. Vanaf dit moment beschouwt de laptop het certificaat als afkomstig van de UvA-authenticatieserver.
Bij een volgend authenticatieverzoek vergelijkt het systeem het aangeboden certificaat met het opgeslagen certificaat. Zijn de certificaten identiek, dan vertrouwt het systeem de authenticatieserver en begint het authenticatieproces. Zijn de certificaten niet identiek, dan vraagt het systeem u het certificaat te verifiëren.
Het authenticatieverzoek kan dus afkomstig zijn van een niet-bonafide authenticatieserver en het certificaat moet niet geaccepteerd worden. Het servercertificaat van de UvA-authenticatieserver kan ook veranderd zijn.
Het beoordelen van een certificaat is lastig. Ook het eerste authenticatieverzoek hoeft niet afkomstig te zijn van de UvAserver. In dat geval accepteert u een certificaat van een niet-bonafide server en loopt u het risico vertrouwelijke gegevens (gebruikersnaam, wachtwoord) beschikbaar te stellen aan kwaadwillenden.
Om zeker te zijn van het juiste servercertificaat en de juiste authenticatieserver, wijst het systeem tijdens de installatie van de UvA-SecureW2-software het juiste servercertificaat toe.
Installeer de laatste versie van UvA-SecureW2 (Windows) om te voorkomen dat u het servercertificaat handmatig moet verifiëren.
Niet Windows-gebruikers kunnen het rootcertificaat via onderstaande link downloaden.
UvAdraadloos is gebaseerd op het beveiligingsprotocol 802.1x (TTLS). Dit protocol biedt authenticatie en encryptie. Authenticatie zorgt ervoor dat gebruik alleen wordt toegestaan aan de juiste gebruikersgroep.
Binnen het eduroam draadloos netwerk van de UvA, wordt gebruik gemaakt van WPA2 als 'network Authentication' en AES als data encryption. Encryptie van data is bedoeld om oneigenlijk gebruik en manipulatie van data te voorkomen.
|
SSID |
Security type |
Encryption type |
802.11a/n (5 Ghz) |
802.11g (2,4 Ghz) |
802.11b* (2,4 Ghz) |
|
uva |
WPA2- Enterprise |
AES |
x |
||
|
eduroam |
WPA2- |
AES |
x |
x |
|
|
UvA Open Wi-Fi |
open |
geen |
|
x |
|
|
|
In plaats van SecureW2, kunt u in sommige gevallen gebruikmaken van al aanwezige 802.1x-software, die het vereiste beveiligingsprotocol ondersteunt. Meegeleverde software van een aantal wireless ethernet cards (zoals Intel PRO/ Wireless) ondersteunt bijvoorbeeld het vereiste beveiligingsprotocol.
| SSID | uva |
| Network authenticatie / encryptie | WPA2 / AES |
| Beveiligingsprotocol 1 | 802.1x TTLS/PAP |
| Beveiligingsprotocol 2 | 802.1x PEAP/Mschapv2 |
| Username | @uva.nl |
| Password | uw eigen wachtwoord |
| Domain | uva.nl |
|
Outer identity |
anonymous@uva.nl |
| SSID | eduroam |
| Network authenticatie / encryptie | WPA2 / AES |
| Beveiligingsprotocol 1 | 802.1x TTLS/PAP |
| Beveiligingsprotocol 2 | 802.1x PEAP/Mschapv2 |
| Username | @uva.nl |
| Password | uw eigen wachtwoord |
| Domain | uva.nl |
|
Outer identity |
anonymous@uva.nl |
UvAdraadloos-netwerken zijn achter de UvA-firewall geplaatst. Die laat alle verkeer toe zolang het is geïnitieerd vanuit de UvAdraadloos-laptop. Webbrowsers en mail client applicaties ondervinden geen belemmeringen. Server-applicaties die zijn opgestart op een apparaat (bijvoorbeeld een webserver), zijn van buiten UvAdraadloos niet bereikbaar. De firewall blokkeert in veel gevallen ook P2P-applicaties, waaronder VoIP. De applicatie Skype ondervindt geen hinder van de firewall. De firewall blokkeert wel op SIP gebaseerde VoIP-applicaties.