La rete wireless presso l’Università di Siena: Tecnologie e servizi

Giuliano BenelliUniversità di Siena

Il Progetto

UNISI WIRELESS

Obiettivi principali:• Creare una rete capillare per consentire l’accesso ai servizi di rete in

qualunque istante e in qualunque ambiente universitario da parte di:– Personale universitario ( docenti, personale tecnico-

amministrativo)– Studenti– Ospiti delle strutture universitarie

• Sviluppare nuovi servizi per la ricerca, per la didattica e l’amministrazione.

Il Progetto• Il progetto è nato da un bando ministeriale

“PC per un Cappuccino”; Il progetto di UNISI è stato approvato nel 2006 con un finanziamento del Ministero di 40.000 € e prevedeva la copertura di alcune zone riservate a punti di aggregazione per gli studenti.

• Il progetto di copertura wireless è stato successivamente esteso a tutto le strutture di Ateneo con l’idea di modernizzare la rete di Ateneo e di accentuare il processo di introduzione delle nuove tecnologie digitali

• Gara Europea Gennaio 2007, Consegna materiali Maggio- Giugno 2007.

• Site Survey, Installazione apparati, Progettazione politiche di sicurezza, Sistema di Autenticazione e Autorizzazioni e messa in funzione dell’intera rete wireelss.

UNISI WIRELESS

• Tecnologia scelta: Wi-Fi– Consente connessioni fino a velocità di 54 Mbps.– Basso costo.– Basse potenze di trasmissione.– garantisce all’utente sicurezza sia nella fase

d’autenticazione (invio delle credenziali) sia nella fase di connessione mediante l’impiego di chiavi di crittografia

– Consente di realizzare un servizio (connettività) SOLO ad utenti autenticati e autorizzati

UNISI WIRELESS• Gli utenti possono accedere mediante un

qualunque terminale dotato di scheda Wi-Fi– Notebook, PDA, cellulare,…

• L’accesso avviene attraverso la password unica utilizzata per la posta

Scelta della tecnologia

L’infrastruttura wireless realizzata si integra con la preesistente rete wired garantendo l’accesso in mobilitàai servizi di ateneo e al tempo stesso un elevato livello di sicurezza, trasformando la rete in una piattaforma di servizi avanzati e intrinsecamente sicuri

• La progettazione della rete Wireless per l’Università di Siena è stata stata basata sui seguenti requisiti :– Massima affidabilità, scalabilità e mobilità– Installazione e configurazione semplificate – Funzionalità software e driver avanzate per i principali sistemi operativi – Elevata protezione dell'investimento per gli standard futuri – Soluzioni flessibili e basate su standard – Supporto di autenticazioni ad altissimo livello – Implementazioni dei più sofisticati sistemi di crittografia – Compatibilità con i principali sistemi operativi – Gestione integrata per il monitoraggio e la risoluzione dei problemi – Supporto di funzioni di amministrazione web-based e del protocollo

SNMP• La soluzione CISCO ci è sembrata la più idonea e completa e

rispondente per intero a tutte i requisiti elencati.

Soluzione adottata

Cisco Unified Wireless Network

http://www.qit.unisi.it/index.php

CED

Architettura della rete

InternetCentral Site

Remote Site

Guest Staff

Remote Site

Guest Staff

WAN LINK

WAN LINK

• 22000 enrolled students• 2000 employees

• 6000 existent net points

• 32 remote sites

• 256Kbit/s to 100 Mbit/s WAN Links

Customer Facts

200-2000 students

Radius

Intranet

Internet

WEBSERVERSDMZ

Remote Site

Clean Access ServerWLAN Controller

Core/Distribution(Extreme 8800)

Guest Staff

EoIP Tunnel

Central Site1

1

1

2

2

2

2

Access

multihop L3WAN LINK

Clean Access ServerCentralized

ACLs

Clean Access Manager

WLAN Controllertrunktrunk

trunk

trunk

Virtual GW

Virtual GW

QoSTraffic Shaping

QoSTraffic Shaping

Radius

Intranet

InternetInternet

WEBSERVERSDMZ

Remote Site

Clean Access ServerWLAN Controller

Core/Distribution(Extreme 8800)

Guest Staff

EoIP Tunnel

Central Site1

1

1

2

2

2

2

Access

multihop L3WAN LINK

Clean Access ServerCentralized

ACLs

Clean Access ManagerClean Access Manager

WLAN Controllertrunktrunk

trunk

trunk

Virtual GW

Virtual GW

QoSTraffic Shaping

QoSTraffic Shaping

Architettura della rete

Clean Access Server: Riconosce utenti, i loro device e i loro ruoli, valuta la sicurezza e la vulnerabilitàClean Access Manager: Serve a controllare e gestire i clean access server per impostare i tipi di autorizzazioni, profili, crittografia, antivirus Ethernet over IP (EoIP) Tunneling: crea un tunnel Ethernet tra due router con connessioneIP

ACL=Access Control List

Progettato per la copertura LAN wireless negli uffici; questo Access Point dispone di antenne integrate e di IEEE 802.11a/g dual radio per una copertura affidabile con una capacitàcombinata fino a 108 Mbps. Il prodotto è equipaggiato con tutto l’hardware necessario per un’installazione adatta ad ambienti d’ufficio.

Cisco Aironet 1130AG

Access Point

Cisco Aironet1240 AG Access Point

• La serie Cisco Aironet 1240AG, progettata per le LAN wireless in ambienti particolarmente difficoltosi o per installazioni che richiedono antenne esterne speciali, dispone di connettori per antenne nella banda a 2,4 e a 5 GHZ per garantire un’estensione ed una versatilità di copertura maggiori e opzioni di installazione più flessibili.

• Gli Access Point della serie Cisco Aironet 1240AG uniscono questa versatilità ad una potenza trasmissiva massima, alla sensibilità di ricezione ed all’estensione del ritardo tipiche degli ambienti multipercorso intensivi e garantiscono prestazioni e throughput affidabili in condizioni impegnative.

Cisco Aironet1240AG

Dispositivi di Controllo

• Cisco Wireless LAN Controllers serie 4400• I Cisco Wireless LAN Controller sono

responsabili delle funzionalità di rete, come le policy di sicurezza, l’intrusion prevention, la gestione delle interfacce radio, la QoS e i servizi di mobilità (a partire dal roaming). Di fatto lavorano in combinazione con gli access pointLightweight e con il Cisco Wireless Control System (WCS)

Caratteristiche della soluzione

• supporto wireless 802.11 a/b/g completo• supporto immediato per i servizi avanzati di

telefonia su IP• sistema integrato di IPS (Intrusion Prevention

System)• controllo degli accessi di rete NAC (Network

Admission Control)• gestione dinamica delle frequenze radio• alta flessibilità di gestione delle politiche di

sicurezza (per tipologia di utenza, di rete wireless, di sistema operativo del client, etc.)

Sicurezza• autenticazione e profilazione degli utenti • assegnazione dei relativi diritti• protezione delle comunicazioni radio• logging dell'attività svolta dagli utenti (molto

importante per la sicurezza interna dell'Ateneo e per ulteriori ragioni di tracciabilità)

• controllo sui tentativi di accesso non autorizzati (AP non autorizzati, utenti non autorizzati, attacchi, tentativi di intrusione, etc.)

Requisiti dei client

Scheda di rete wireless 802.11a/b/g

Protocollo Frequenza Velocità

5 GHz

2.4 GHz

2.4 GHz

802.11a 54 Mb/s

802.11b 11 Mb/s

802.11g 54 Mb/s

Configurazione IP

• Non c’è bisogno di richiedere al Qit un indirizzo IP. L’indirizzo viene assegnato e configurato automaticamente (tramite DHCP)

• Anche la configurazione del gateway e dei server DNS avviene in modo automatico

Credenziali di accesso

• Per accedere alla rete wireless ènecessario autenticarsi utilizzando le credenziali unisiPass (password unica)

• Per attivarle è sufficiente seguire la procedura indicata sul sito www.qit.unisi.italla voce “unisiPass”

Aree di CoperturaLa rete wireless è stata implementata in tutte le strutture universitarie:

– 22 sedi (90% di copertura)– 326 access point– oltre 15.000 accessi contemporanei

completa di apparati di gestione, monitoraggio, sicurezza e controllo degli accessi

La rete dell’Università di Siena è per estensione e numero di access point la più grande in ItaliaSono stati realizzati numerosi servizi innovativi per il controllo degli accessi e la sicurezza

Site Survey

In ogni sede è stata effettuata l’ispezione per stabilire le peculiaritàtrasmissive della struttura dell’edificio e l’analisi spettrale di

misure a banda largamisure selettive in frequenza misure di potenza in banda

Analisi preliminare delle performance della reteverifica dello stato dell’ambiente radio per la

valutazione della presenza e dell’entità di eventuali fonti di interferenza RF o altre reti Wireless

studio dell’impatto degli Access Point sulle reti WiFi, Bluetooth, WiMAX

studio della compatibilità di nuovi apparati con dispositivi già esistenti.

– Identificazione delle aree di maggior utilizzo del servizio– Numero di Access Point necessari alla copertura dell’intera area di

interesse– Determinazione preliminare della posizione degli Access Point– Progettazione e verifica della copertura radio on site– Ottimizzazione della copertura– Dimensionamento capacitivo della rete

RettoratoPalazzo Bandini PiccolominiPalazzo Chigi Zondadari

Collegio Santa Chiara

Complesso San Niccolò• Fac. Ingegneria• Fac. Lettere• Dip. Fisica• Dip. Archeologia• Dip. Storia

Palazzo San Galgano

Il Refugio

Fac. GiurisprudenzaFac. Scienze Politiche

Dip. Scienze AmbientaliBiblioteca SMFN

Complesso Didattico del Laterino

Dip. Scienze della Terra

Fac. Economia

Complesso Pendola

Fac SMFN e Dip. Matematica

CGT San Giovanni V.no

(AR)

Polo Grossetano (GR)

Villa Chigi Farnese

Via Fiorentina

Il Pionta ‐ Arezzo

Polo Scientifico Universitario San Miniato

Complesso Didattico Le Scotte

Certosa di Pontignano

La rete wireless silver• Connessione: automatica• Crittografia: nessuna• Utenza: tutta la comunità dell’Ateneo e gli ospiti

(eduroam o temporanei)• PRO: è semplice da configurare; è supportata

da qualsiasi tipo di dispositivo wireless• CONTRO: i dati trasmessi non vengono criptati,

deve farlo l’applicazione che si utilizza

La rete wireless gold• Connessione: tramite autenticazione 802.1X• Crittografia: WPA / WPA2 enterprise• Utenza: il personale docente e tecnico-

amministrativo, i collaboratori ed i dottorandi• PRO: il traffico viene sempre criptato, qualsiasi

applicazione si usi • CONTRO: la configurazione è abbastanza

complessa; alcuni dispositivi non supportano 802.1X o WPA

Come connettersi

• Le istruzioni per configurare il proprio computer sono disponibili sul sito www.qit.unisi.it alla voce “UnisiWireless”

Controllo degli accessi• Client Windows

– Per limitare problemi di sicurezza dovuti a virus o vulnerabilità note di Windows, l’ accesso alla rete wireless richiede l’installazione obbligatoria del software Cisco Clean Access Agent (CCA), un agentche verifica il rispetto dei requisiti minimi di sicurezza (antivirus aggiornato, aggiornamenti automatici di Windows, etc)

• Client MacOS, Linux, etc.– il controllo dei requisiti di sicurezza avviene da

remoto, senza necessità di installare il software CAA sul proprio computer

I certificati GARR• Tutti gli apparati che fanno parte dell’architettura

UnisiWireless dispongono di un certificato emesso da GARR. Questo per evitare di imbattersi in apparati “civetta”, che potrebbero compromettere la sicurezza della rete.

• Un messaggio di errore di certificato non valido indica che è stato emesso da un’autoritàconsiderata non attendibile, quindi l’apparato al quale siamo connessi non è sicuro.

• Esistono una serie di autorità di certificazione che il sistema riconosce automaticamente come attendibili.

Certificato GARR

Attenzione!!

Antivirus attualmente supportati

• Sophos• Symantec/Norton• McAfee• TrendMicro• AVG• Avast• Kaspersky

Eduroam• Eduroam (Education Roaming)

è un'infrastruttura basata su una rete internazionale (Europa e Australia) che ha lo scopo di facilitare il roaming tra gli enti partecipanti.

• Gli utenti roaming che visitano un ente che aderisce all'iniziativa sono in grado di utilizzare la WLAN usando le stesse credenziali (username e password) che userebbero nel loro ente di appartenenza, senza la necessità di ulteriori formalità presso l'istituto ospitante.

Mappe di Copertura in Europa ed Australia

Eurodoam in Germania

Accesso a eduroam• L’Università di Siena aderisce

all’infrastruttura eduroam, una sistema di ‘fiducia reciproca ’ delle credenziali basato su una rete di server Radius

• Realm:– unisi.it– student.unisi.it

• Es.:Username: rossi@unisi.it

Password: ********

Sviluppi futuri

Sviluppi futuri• Servizi per gli studenti

– Registrazione on-line degli esami– Accesso in tempo reale a informazioni relative alla didattica (

occupazione aule, variazione di orari di lezioni,…) – UNISI 2.0– Registrazione di lezioni in qualunque ambiente– Sistema di e-learning

• Servizi per l’amministrazione• Servizi per la ricerca• Voce su IP da qualunque ambiente interno all’Università• Supporto ad utenti svantaggiati• ……………………….

Sviluppi futuri

• Siamo di fronte a una nuova epoca nelle tecnologie informatiche e di comunicazione grazie allo sviluppo e all’integrazione di:– Reti wireless– Sensori– Tecnologie di ambient intelligence

Sviluppi futuri

• Controlli di ambienti e laboratori• Controllo consumo energetico