802.1X an der TU Graz

Aktuell kommt 802.1X (WPA2-Enterprise mit RADIUS-Authentifizierung) an der TU Graz nur im Bereich eduroam zum Einsatz.

Für alle Android-Versionen gilt:
Deaktivieren Sie unter „Einstellungen [→ Konten] → Sichern & Zurücksetzen“ unbedingt den Punkt „Meine Daten sichern“, sonst landen Ihre Kennwörter unverschlüsselt bei Google!
Für Windows 10 (Mobile) und Windows Phone 8.1 gilt:
Sie dürfen die Option „Netzwerk für Kontakte freigeben“ für eduroam auf keinen Fall aktivieren, sonst wird Ihr Netzzugangskennwort an Ihre Kontakte übermittelt!

Voraussetzungen:

  • Eine Netzwerkkarte, die 802.1X und WPA2 unterstützt;
    Alle modernen Geräte haben eine solche Netzwerkkarte.
  • Ein 802.1X-Client (Supplicant);
    Ist bei aktuellen Windows-, Android-, Linux- und Apple-Systemen enthalten und für andere Betriebssysteme verfügbar.
  • Ein aktuelles Netzzugangskennwort.

Wann immer sich Ihr Client ändert (neues Smartphone/Tablet, Update des Betriebssystems etc. oder irrtümlich die Einstellungen gelöscht), sollten Sie folgende Schritte durchführen:

Alte 802.1X-Profile löschen

Das sollten Sie auch durchführen, wenn Sie Ihr Kennwort auf einem fremden Rechner eingegeben haben (um es dort wieder zu löschen).

Configuration Assistant Tool (CAT)

Verwenden Sie (wenn möglich) mit jedem Gerät, mit dem Sie ins WLAN einsteigen wollen, unbedingt das CAT (Aufruf am Smartphone leichter über diesen QR-Code)!

Falls Ihr Betriebssystem unterstützt wird, wird Ihnen ein WLAN-Profil zum Download angeboten, das alles für Sie erledigt, Informationen finden Sie auf der Homepage der Uni Wien (Achtung: unsere Nummer lautet 732 und nicht 39).

CAT unterstützt Ihr Betriebssystem nicht

In diesem Fall (und nur dann) gehen Sie vor wie folgt:

  1. Laden Sie sich die Zertifikate AAA, USERTrust RSA und das GEANT OV RSA CA 4 herunter.
  2. Falls die Zertifikate nicht automatisch installiert werden, installieren Sie sie nach dem Download händisch.
    Unter Android z. B. über „Einstellungen → Sicherheit → Von SD-Karte installieren“ das kann aber von Version zu Version variieren.
  3. Wechseln Sie in die WLAN-Einstellungen.
  4. Scannen Sie nach WLANs.
  5. Wählen Sie in Ihren WLAN-Einstellungen die SSID „eduroam“ aus (unter Android z. B. lange auf den Namen drücken) und suchen Sie dann unter Android im Bereich „CA-Zertifikat“ das gerade installierte Root-Zertifikat aus.
    Unter Android 9 gehen Sie dazu im WLAN-Menü ganz rechts oben auf die 3 Punkte → Erweitert → mehr anzeigen → Netzwerkzertifikate installieren → AAA CA auswählen.
  6. Authentifizierungseinstellungen:
    • Netzwerkauthentifizierung: WPA2
    • Datenverschlüsselung: AES
    • EAP-Typ: Geschütztes EAP (PEAP)
    • Authentifizierungsmethode: EAP-MSCHAPv2

Mit und ohne CAT

  1. Für „eduroam“ geben Sie Ihren TU Graz-Benutzernamen gefolgt vom Realm „@tugraz.at“ ein.
  2. Geben Sie das Netzzugangs- und nicht das TU Graz-Kennwort ein.

Sicherheit

Um MITM-Attacken (Ein fremder Server gibt sich als RADIUS-Server [= Authentication Server] der TU Graz aus, Ihr Client [= Supplicant] schickt an diesen Benutzername und Kennwort) zu verhindern, sollten Sie unbedingt überprüfen, mit welchem RADIUS-Server Ihr Client verbunden ist: der RADIUS-Server der TU Graz (also unsere Authentication Server) heißt zar.tugraz.at, das Zertifikat ist von GÉANT ausgestellt. Unter Windows können Sie das automatisch überprüfen, indem Sie im Bereich „Eigenschaften für Drahtlosnetzwerke“ in den erweiterten Einstellungen die Option „Identität des Servers mittels Zertifikatprüfung überprüfen“ aktivieren, für Android ist es oben in Punkt 5 beschrieben.

Sie sollten die 802.1X-Verbindung (SSID eduroam) im Netz der TU Graz einrichten und dann - wenn es Ihr Gerät unterstützt - nur diesem Authentication Server vertrauen oder zumindest die Fingerprints der Zertifikate vergleichen!