Date post: | 07-Dec-2014 |
Category: |
Business |
Upload: | gowireless |
View: | 3,643 times |
Download: | 3 times |
La rete wireless presso l’Università di Siena: Tecnologie e servizi
Giuliano BenelliUniversità di Siena
Il Progetto
UNISI WIRELESS
Obiettivi principali:• Creare una rete capillare per consentire l’accesso ai servizi di rete in
qualunque istante e in qualunque ambiente universitario da parte di:– Personale universitario ( docenti, personale tecnico-
amministrativo)– Studenti– Ospiti delle strutture universitarie
• Sviluppare nuovi servizi per la ricerca, per la didattica e l’amministrazione.
Il Progetto• Il progetto è nato da un bando ministeriale
“PC per un Cappuccino”; Il progetto di UNISI è stato approvato nel 2006 con un finanziamento del Ministero di 40.000 € e prevedeva la copertura di alcune zone riservate a punti di aggregazione per gli studenti.
• Il progetto di copertura wireless è stato successivamente esteso a tutto le strutture di Ateneo con l’idea di modernizzare la rete di Ateneo e di accentuare il processo di introduzione delle nuove tecnologie digitali
• Gara Europea Gennaio 2007, Consegna materiali Maggio- Giugno 2007.
• Site Survey, Installazione apparati, Progettazione politiche di sicurezza, Sistema di Autenticazione e Autorizzazioni e messa in funzione dell’intera rete wireelss.
UNISI WIRELESS
• Tecnologia scelta: Wi-Fi– Consente connessioni fino a velocità di 54 Mbps.– Basso costo.– Basse potenze di trasmissione.– garantisce all’utente sicurezza sia nella fase
d’autenticazione (invio delle credenziali) sia nella fase di connessione mediante l’impiego di chiavi di crittografia
– Consente di realizzare un servizio (connettività) SOLO ad utenti autenticati e autorizzati
UNISI WIRELESS• Gli utenti possono accedere mediante un
qualunque terminale dotato di scheda Wi-Fi– Notebook, PDA, cellulare,…
• L’accesso avviene attraverso la password unica utilizzata per la posta
Scelta della tecnologia
L’infrastruttura wireless realizzata si integra con la preesistente rete wired garantendo l’accesso in mobilitàai servizi di ateneo e al tempo stesso un elevato livello di sicurezza, trasformando la rete in una piattaforma di servizi avanzati e intrinsecamente sicuri
• La progettazione della rete Wireless per l’Università di Siena è stata stata basata sui seguenti requisiti :– Massima affidabilità, scalabilità e mobilità– Installazione e configurazione semplificate – Funzionalità software e driver avanzate per i principali sistemi operativi – Elevata protezione dell'investimento per gli standard futuri – Soluzioni flessibili e basate su standard – Supporto di autenticazioni ad altissimo livello – Implementazioni dei più sofisticati sistemi di crittografia – Compatibilità con i principali sistemi operativi – Gestione integrata per il monitoraggio e la risoluzione dei problemi – Supporto di funzioni di amministrazione web-based e del protocollo
SNMP• La soluzione CISCO ci è sembrata la più idonea e completa e
rispondente per intero a tutte i requisiti elencati.
Soluzione adottata
Cisco Unified Wireless Network
CED
Architettura della rete
InternetCentral Site
Remote Site
Guest Staff
Remote Site
Guest Staff
WAN LINK
WAN LINK
• 22000 enrolled students• 2000 employees
• 6000 existent net points
• 32 remote sites
• 256Kbit/s to 100 Mbit/s WAN Links
Customer Facts
200-2000 students
Radius
Intranet
Internet
WEBSERVERSDMZ
Remote Site
Clean Access ServerWLAN Controller
Core/Distribution(Extreme 8800)
Guest Staff
EoIP Tunnel
Central Site1
1
1
2
2
2
2
Access
multihop L3WAN LINK
Clean Access ServerCentralized
ACLs
Clean Access Manager
WLAN Controllertrunktrunk
trunk
trunk
Virtual GW
Virtual GW
QoSTraffic Shaping
QoSTraffic Shaping
Radius
Intranet
InternetInternet
WEBSERVERSDMZ
Remote Site
Clean Access ServerWLAN Controller
Core/Distribution(Extreme 8800)
Guest Staff
EoIP Tunnel
Central Site1
1
1
2
2
2
2
Access
multihop L3WAN LINK
Clean Access ServerCentralized
ACLs
Clean Access ManagerClean Access Manager
WLAN Controllertrunktrunk
trunk
trunk
Virtual GW
Virtual GW
QoSTraffic Shaping
QoSTraffic Shaping
Architettura della rete
Clean Access Server: Riconosce utenti, i loro device e i loro ruoli, valuta la sicurezza e la vulnerabilitàClean Access Manager: Serve a controllare e gestire i clean access server per impostare i tipi di autorizzazioni, profili, crittografia, antivirus Ethernet over IP (EoIP) Tunneling: crea un tunnel Ethernet tra due router con connessioneIP
ACL=Access Control List
Progettato per la copertura LAN wireless negli uffici; questo Access Point dispone di antenne integrate e di IEEE 802.11a/g dual radio per una copertura affidabile con una capacitàcombinata fino a 108 Mbps. Il prodotto è equipaggiato con tutto l’hardware necessario per un’installazione adatta ad ambienti d’ufficio.
Cisco Aironet 1130AG
Access Point
Cisco Aironet1240 AG Access Point
• La serie Cisco Aironet 1240AG, progettata per le LAN wireless in ambienti particolarmente difficoltosi o per installazioni che richiedono antenne esterne speciali, dispone di connettori per antenne nella banda a 2,4 e a 5 GHZ per garantire un’estensione ed una versatilità di copertura maggiori e opzioni di installazione più flessibili.
• Gli Access Point della serie Cisco Aironet 1240AG uniscono questa versatilità ad una potenza trasmissiva massima, alla sensibilità di ricezione ed all’estensione del ritardo tipiche degli ambienti multipercorso intensivi e garantiscono prestazioni e throughput affidabili in condizioni impegnative.
Cisco Aironet1240AG
Dispositivi di Controllo
• Cisco Wireless LAN Controllers serie 4400• I Cisco Wireless LAN Controller sono
responsabili delle funzionalità di rete, come le policy di sicurezza, l’intrusion prevention, la gestione delle interfacce radio, la QoS e i servizi di mobilità (a partire dal roaming). Di fatto lavorano in combinazione con gli access pointLightweight e con il Cisco Wireless Control System (WCS)
Caratteristiche della soluzione
• supporto wireless 802.11 a/b/g completo• supporto immediato per i servizi avanzati di
telefonia su IP• sistema integrato di IPS (Intrusion Prevention
System)• controllo degli accessi di rete NAC (Network
Admission Control)• gestione dinamica delle frequenze radio• alta flessibilità di gestione delle politiche di
sicurezza (per tipologia di utenza, di rete wireless, di sistema operativo del client, etc.)
Sicurezza• autenticazione e profilazione degli utenti • assegnazione dei relativi diritti• protezione delle comunicazioni radio• logging dell'attività svolta dagli utenti (molto
importante per la sicurezza interna dell'Ateneo e per ulteriori ragioni di tracciabilità)
• controllo sui tentativi di accesso non autorizzati (AP non autorizzati, utenti non autorizzati, attacchi, tentativi di intrusione, etc.)
Requisiti dei client
Scheda di rete wireless 802.11a/b/g
Protocollo Frequenza Velocità
5 GHz
2.4 GHz
2.4 GHz
802.11a 54 Mb/s
802.11b 11 Mb/s
802.11g 54 Mb/s
Configurazione IP
• Non c’è bisogno di richiedere al Qit un indirizzo IP. L’indirizzo viene assegnato e configurato automaticamente (tramite DHCP)
• Anche la configurazione del gateway e dei server DNS avviene in modo automatico
Credenziali di accesso
• Per accedere alla rete wireless ènecessario autenticarsi utilizzando le credenziali unisiPass (password unica)
• Per attivarle è sufficiente seguire la procedura indicata sul sito www.qit.unisi.italla voce “unisiPass”
Aree di CoperturaLa rete wireless è stata implementata in tutte le strutture universitarie:
– 22 sedi (90% di copertura)– 326 access point– oltre 15.000 accessi contemporanei
completa di apparati di gestione, monitoraggio, sicurezza e controllo degli accessi
La rete dell’Università di Siena è per estensione e numero di access point la più grande in ItaliaSono stati realizzati numerosi servizi innovativi per il controllo degli accessi e la sicurezza
Site Survey
In ogni sede è stata effettuata l’ispezione per stabilire le peculiaritàtrasmissive della struttura dell’edificio e l’analisi spettrale di
misure a banda largamisure selettive in frequenza misure di potenza in banda
Analisi preliminare delle performance della reteverifica dello stato dell’ambiente radio per la
valutazione della presenza e dell’entità di eventuali fonti di interferenza RF o altre reti Wireless
studio dell’impatto degli Access Point sulle reti WiFi, Bluetooth, WiMAX
studio della compatibilità di nuovi apparati con dispositivi già esistenti.
– Identificazione delle aree di maggior utilizzo del servizio– Numero di Access Point necessari alla copertura dell’intera area di
interesse– Determinazione preliminare della posizione degli Access Point– Progettazione e verifica della copertura radio on site– Ottimizzazione della copertura– Dimensionamento capacitivo della rete
RettoratoPalazzo Bandini PiccolominiPalazzo Chigi Zondadari
Collegio Santa Chiara
Complesso San Niccolò• Fac. Ingegneria• Fac. Lettere• Dip. Fisica• Dip. Archeologia• Dip. Storia
Palazzo San Galgano
Il Refugio
Fac. GiurisprudenzaFac. Scienze Politiche
Dip. Scienze AmbientaliBiblioteca SMFN
Complesso Didattico del Laterino
Dip. Scienze della Terra
Fac. Economia
Complesso Pendola
Fac SMFN e Dip. Matematica
CGT San Giovanni V.no
(AR)
Polo Grossetano (GR)
Villa Chigi Farnese
Via Fiorentina
Il Pionta ‐ Arezzo
Polo Scientifico Universitario San Miniato
Complesso Didattico Le Scotte
Certosa di Pontignano
La rete wireless silver• Connessione: automatica• Crittografia: nessuna• Utenza: tutta la comunità dell’Ateneo e gli ospiti
(eduroam o temporanei)• PRO: è semplice da configurare; è supportata
da qualsiasi tipo di dispositivo wireless• CONTRO: i dati trasmessi non vengono criptati,
deve farlo l’applicazione che si utilizza
La rete wireless gold• Connessione: tramite autenticazione 802.1X• Crittografia: WPA / WPA2 enterprise• Utenza: il personale docente e tecnico-
amministrativo, i collaboratori ed i dottorandi• PRO: il traffico viene sempre criptato, qualsiasi
applicazione si usi • CONTRO: la configurazione è abbastanza
complessa; alcuni dispositivi non supportano 802.1X o WPA
Come connettersi
• Le istruzioni per configurare il proprio computer sono disponibili sul sito www.qit.unisi.it alla voce “UnisiWireless”
Controllo degli accessi• Client Windows
– Per limitare problemi di sicurezza dovuti a virus o vulnerabilità note di Windows, l’ accesso alla rete wireless richiede l’installazione obbligatoria del software Cisco Clean Access Agent (CCA), un agentche verifica il rispetto dei requisiti minimi di sicurezza (antivirus aggiornato, aggiornamenti automatici di Windows, etc)
• Client MacOS, Linux, etc.– il controllo dei requisiti di sicurezza avviene da
remoto, senza necessità di installare il software CAA sul proprio computer
I certificati GARR• Tutti gli apparati che fanno parte dell’architettura
UnisiWireless dispongono di un certificato emesso da GARR. Questo per evitare di imbattersi in apparati “civetta”, che potrebbero compromettere la sicurezza della rete.
• Un messaggio di errore di certificato non valido indica che è stato emesso da un’autoritàconsiderata non attendibile, quindi l’apparato al quale siamo connessi non è sicuro.
• Esistono una serie di autorità di certificazione che il sistema riconosce automaticamente come attendibili.
Certificato GARR
Attenzione!!
Antivirus attualmente supportati
• Sophos• Symantec/Norton• McAfee• TrendMicro• AVG• Avast• Kaspersky
Eduroam• Eduroam (Education Roaming)
è un'infrastruttura basata su una rete internazionale (Europa e Australia) che ha lo scopo di facilitare il roaming tra gli enti partecipanti.
• Gli utenti roaming che visitano un ente che aderisce all'iniziativa sono in grado di utilizzare la WLAN usando le stesse credenziali (username e password) che userebbero nel loro ente di appartenenza, senza la necessità di ulteriori formalità presso l'istituto ospitante.
Mappe di Copertura in Europa ed Australia
Eurodoam in Germania
Accesso a eduroam• L’Università di Siena aderisce
all’infrastruttura eduroam, una sistema di ‘fiducia reciproca ’ delle credenziali basato su una rete di server Radius
• Realm:– unisi.it– student.unisi.it
• Es.:Username: [email protected]
Password: ********
Sviluppi futuri
Sviluppi futuri• Servizi per gli studenti
– Registrazione on-line degli esami– Accesso in tempo reale a informazioni relative alla didattica (
occupazione aule, variazione di orari di lezioni,…) – UNISI 2.0– Registrazione di lezioni in qualunque ambiente– Sistema di e-learning
• Servizi per l’amministrazione• Servizi per la ricerca• Voce su IP da qualunque ambiente interno all’Università• Supporto ad utenti svantaggiati• ……………………….
Sviluppi futuri
• Siamo di fronte a una nuova epoca nelle tecnologie informatiche e di comunicazione grazie allo sviluppo e all’integrazione di:– Reti wireless– Sensori– Tecnologie di ambient intelligence
Sviluppi futuri
• Controlli di ambienti e laboratori• Controllo consumo energetico