Sicheres WLAN auf Android-Geräten

ZERT 20-010

Was Sie wissen müssen

Jeder Google-Android-Benutzer muss in jedem Fall für die WLAN-Netze eduroam und HFU Open das gültige CA-Zertifikat installieren und richtig konfigurieren.

Diese Anleitung wurde mit Smartphones mit den Android-Versionen 6.0 "Marshmallow" und 7.x "Nougat" und Android 10 erstellt und getestet. Andere Versionen und ältere Versionen konnten nicht berücksichtigt werden. Bitte nutzen Sie in diesem Fall vorhandene Anleitungen für ältere Versionen. Die Abbildungen, Menüeinträge und Pfade können je nach Version und Gerät abweichen.

Hinweis: Bitte wählen Sie die Konfigurationsanleitungen gemäß der auf Ihrem Gerät installierten Android-Version.

Voraussetzungen:
- Ein gültiger HFU-Account
- Aufenthalt in Reichweite der WLAN-Netze eduroam bzw. HFU Open der Hochschule Furtwangen
- Android ab Version 6.x oder höher

Achtung:
Geräte mit Versionen unter Android 6 weisen erhebliche Sicherheitslücken und Fehler auf. Bitte machen Sie erst ein Update auf die neueste Android-Version und folgen dann dieser Anleitung.

Diese Anleitung bezieht sich auf die Einbindung des WLAN-Netzes eduroam. Für das WLAN-Netz HFU Open benötigen Sie das Wurzelzertitikat ebenfalls. Die Vorgehensweise ist identisch.

Was Sie tun müssen

  1. Laden Sie das Wurzelzertifikat herunter:

    Scannen Sie den QR-Code (Abbildung 1.1) und laden Sie das Wurzelzertifikat (T-Telesec Global Root Class 2) herunter mit "Verbindung öffnen" (siehe Abbildung 1.2).

     

    • Eine kostenlose QR-Code App finden Sie im Google Play Store.

    • Alternativ können Sie folgenden Link in den Browser Ihres Smartphones eingeben (siehe Abbildung 1.3) und mit der Schaltfläche "herunterladen" das Zertifikat speichern (für den Fall, dass Sie nicht den QR-Code scannen):
      https://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.crt 

       

      Hinweis: Bitte verwenden Sie dabei die App „Google Chrome“ (den Standard-Internet-Browser ab Android 5.0) da dieser das Zertifikat direkt am richtigen Ort im Anmeldeinformationsspeicher auf Ihrem Smartphone/Tablet ablegt!

    • Bitte beachten Sie: Bei Verwendung von Mozilla Firefox wird das Zertifikat ggf. an einem anderen Ort abgespeichert.

    • Das Zertifikat finden Sie nun unter Interner Speicher > Downloads.

  2. Installieren Sie das Wurzelzertifikat:

    Um das Zertifikat zu installieren, navigieren Sie zu Menü → Einstellungen → Sicherheit → Von USB-Speicher installieren.

    Oder: Menü → Einstellungen → Sicherheit → Andere Sicherheitseinstellungen → Von USB-Speicher installieren.

  3. Nach dem Herunterladen werden Sie aufgefordert, einen Zertifikatsnamen anzugeben (im Beispiel „T-Telesec“). Dieser ist frei wählbar. Danach wählen Sie bei Verwendungszweck unbedingt die Einstellung "WLAN" aus und schließen den Vorgang mit „OK“ ab.

  4. Anschließend werden Sie nach einem Passwort oder Muster gefragt, je nach Entsperreinstellung Ihres Smartphones. Geben Sie dieses ein. Falls Sie noch keines angelegt haben, müssen Sie dieses für die Installation und Nutzung von eduroam erstellen. Das ist für die Verwendung von eduroam zwingend notwendig.

    • Bei manchen Android-Geräten (vor allem älteren) ist es nicht möglich, ein Zertifikat an dieser Stelle einzubinden. Eine Verbindung mit dem Netzwerk "eduroam" ist zwar technisch möglich aber höchst riskant. Wir raten dringend davon ab, diese Geräte mit dem Netzwerk „eduroam“ zu verbinden!

  5. Anlegen der eduroam-Verbindung:

    Navigieren Sie auf Ihrem Gerät zu den WLAN-Einstellungen (Menü → Einstellungen → Drahtlose Netzwerke → WLAN-Einstellungen).

    • Falls eduroam an Ihrem Aufenthaltsort verfügbar ist, wird die SSID "eduroam" unter WLAN-Netze aufgelistet. Klicken Sie darauf.

    • Setzen Sie die Einstellungen wie unten im Bild dargestellt. Wählen Sie unbedingt das Zertifikat "T-Telesec" bzw. Ihren abweichenden Zertifikatsnamen.

    • Betätigen Sie nun den Button "Verbinden".

  6. Einstellungen für Android Version ab 6.x:
    (Mit einer Android Version ab 10.x gehen Sie bitte weiter mit Schritt 7).

     

    Geben Sie folgende Daten ein:

    - EAP-Methode PEAP
    - Phase 2- Authentifizierung 'MSCHAPV2' (bei PEAP braucht man nichts auswählen)
    - CA-Zertifikat: Systemzertifikate verwenden ( Installiertes Zertifikat einfügen)
    - Domain: hs-furtwangen.de
    - Identität: <HFU-Benutzername> (keine Leerzeichen vor, hinter oder in der Identität) 
    - Anonyme Identität: <eduroam@hs-furtwangen.de>
    - Passwort: <Ihr WLAN-Passwort>. Wenn Sie im Benutzerportal kein separates WLAN Passwort eingestellt haben ist hier Ihr Hochschul-Passwort einzutragen.
    - Bestätigen Sie mit Verbinden und es wird eine Verbindung zu eduroam hergestellt.

    • Sie können nun problemlos jederzeit sicher an allen Standorten der Hochschule Furtwangen sowie an eduroam-Partneruniversitäten online gehen, ohne sich per Browser authentifizieren zu müssen.

  7. Einstellungen für Android Version ab 10.x:

    Geben Sie folgende Daten ein:

    - EAP-Methode ' PEAP'
    - Identität: <HFU-Benutzername> (keine Leerzeichen vor, hinter oder in der Identität) 
    - Passwort: <Ihr WLAN-Passwort>. Wenn Sie im Benutzerportal kein separates WLAN
    - Passwort eingestellt haben ist hier Ihr Hochschul-Passwort  einzutragen.
    - CA-Zertifikat: Systemzertifikate verwenden ( Installiertes Zertifikat einfügen)

    Bestätigen Sie mit Verbinden und es wird eine Verbindung zu eduroam hergestellt.

  8. Wichtiger Hinweis zum Datenschutz
    Wenn auf Ihrem Android-Endgerät unter "Einstellungen / System / Sicherung" die Option "In Google Drive sichern" ausgewählt ist, werden auch 802.1x-Credentials (z. B. Ihre eduroam Zugangsdaten mit Uni-ID und Passwort) auf Google-Servern gesichert. Da Google keine Aussage über die Art und Weise der Speicherung macht, muss im schlimmsten Fall davon ausgegangen werden, dass diese Daten im Klartext übermittelt und gespeichert werden und somit ein erhöhtes Datenschutzrisiko besteht!

Probleme oder Fragen?

IMZ | IT-Infrastructure Services

Kontaktieren Sie uns unter der Nummer 07723 920 9585 oder schreiben Sie ein Ticket an "Sonstige Dienste und Anfragen" auf servicedesk.hs-furtwangen.de.