Mecarelli

Alessandro MecarelliUfficio Servizi Informatici d’Ateneo

Libera Università San PIO V

Alessandro Mecarelli

Chi Siamo

Nata nel 1996, la Luspio è l’unica Università del centro e sud Italia ad avere una Facoltà specializzata nella formazione di mediatori linguistici, interpreti di conferenza e traduttori che ha contemporaneamente, oltre al Corso di Laurea Triennale, sia un Corso di Laurea Specialistica in Traduzione sia in Interpretazione. E’ stata ammessa a far parte della CIUTI l’organismo internazionale che riunisce le migliori facoltà del mondo che preparano i futuri interpreti e i futuri traduttori.

Le attività dell’Ateneo:

• Facoltà di Interpretariato e Traduzione• Facoltà di Scienze Politiche• Facoltà di Economia• Master• Convegni

L’ Ateneo in cifre:

• Studenti: circa 1600• Docenti: circa 250• Personale TA: 40


Esigenze

La finalità principale della presente progetto è quella di consentire alla popolazione universitaria (studenti, docenti, personale TA, ospiti) un accesso, ai servizi informatici pubblici dell’Ateneo ed ad Internet

• Facile da usare

• Sicuro

• Massimizzando la mobilità

• Rispettando le vigenti normative sulla privacy


Logistica dell’Ateneo

L’Ateneo è ospitato in un edificio strutturato in 5 piani (4 rialzati ed uno semi interrato) cosi organizzati:

• Piano Terra (PT): Atrio di ingresso, Segreterie di facoltà• Piano Primo (P1): Uffici amministrativi , CdA, Sala Docenti• Piano Secondo (P2): Aule didattiche, Aula Magna (AM)• Piano Terzo (P3): Aule didattiche, Aula Magna (AM) • Piano Quarto (P4): Stanze Docenti• Piano Semi-interrato (PS): Laboratori, Biblioteca

Luogo Numero di access point

Piano Terra (PT) 1

Piano Primo (P1) 1

Piano Secondo (P2) 0

Aula Magna (AM) 0

Piano Terzo (P3) 1

Piano Quarto (P4) 0

Piano Semi-interrato (PS) 2

TOTALE 5

La copertura e il numero di Access Point è riassunta nella seguente tabella:


Principali servizi richiesti/1

• Classificazione degli utenti in base a 4 categorie (studenti, personale, docenti e ospiti) con conseguente regolamentazione discriminatoria dell’accesso alle risorse.

• Accesso e autenticazione alla struttura wireless tramite Captive Portal (per tutti gli utenti tranne che per il personale TA).

• Copertura wireless dei piani P1, P2, P3, P4 e PS (consentendo lo sviluppo dell’infrastruttura) e del locale Aula Magna (AM) con possibilità all’interno dell’Università di roaming delle sessioni utente per client wireless nomadici.

• Ammissibilità di una sola sessione per ciascun utente.

• Conformità alla legislazione italiana per quanto concerne il tracciamento delle sessioni utente (tempo di connessione, tempo di disconnessione, durata della sessione, IP Address, MAC address dell’utenza) mantenendone l’anonimato.


Principali servizi richiesti/2

• Rispetto della privacy dell’utente mantenendo anonimi i messaggi di log (non registrando la reale identità dell’utente) e fornendo al contempo la possibilità di stabilire responsabilità personali (identità) in caso di abusi.

• Autenticazione unificata dell’utente (stessa username e password usate per i servizi dell’Università) nell’accesso wireless.

• Connetività di rete IPv4 affidabile nell’arco temporale [08:00, 20:00] in cui si svolgono le attività dell’Ateneo.

• Separazione dei flussi di traffico degli utenti appartenenti a tipologie diverse (studenti, personale, docenti, ospiti).

• Popolare l’ ambiente in modo uniforme, massimizzando le prestazioni dell’intero sistema configurando i singoli Access Point (AP) su frequenze differenti, senza sovrapposizione.

• Gestione centralizzata dell’infrastruttura.


Scelta tecnicaWIRELESS

Utilizzo di apparati D-LINK appartenenti alla famiglia DWL-3000 poiché supportano, tra le altre funzionalità, la Gestione centralizzata degli AP , Management dei client ed un’ampia gamma di opzioni trasmissive come le la gestione automatizzata delle frequenze radio in tecnologia singola o dual-mode. In particolare:

• n° 1 Wireless Switch DWS-3024• n° 5 Access Point DWL-3500

SICUREZZA E ROUTING

Utilizzo degli apparati di sicurezza D-LINK. In particolare:

• n°1 firewall DFL-1600 (WAN Failover, IPS e IDS, VPN, blocco delle applicazioni peer-to-peer e "instant messaging", la protezione DoS)

INFRASTRUTTURA

Per soddisfare al meglio le esigenze dell’edificio accademico, sono stati utilizzati switch D-Link sostituendo apparati già esistenti con prodotti di ultima generazione come il DGS-3048 Layer 2, e ponendo come nuovo centro stella l’apparato D-Link DXS-3350R: un Layer 3 con Uplink a 10 GBE, che grazie alla sue alte prestazioni diventa il nuovo fulcro della rete.


Topologia logica della rete/1All’interno della rete coesistono simultaneamente utenti con profili di utilizzo

differenti (studenti, personale, amministratori di sistema, docenti e ospiti).

Per separare tali traffici sono stati creati gruppi distinti, assegnando a ciascuno di essi una proprietà di accesso discriminante sulle risorse informatiche dell’Ateneo. Modalità differenziata d’accesso (logica e fisica), mantenendo separate le connessioni a partire dagli SSID delle WLAN, alle seguenti categorie di utenza: • studenti (autenticazione sul dominio AD già esistente dei Laboratori)• docenti (autenticazione sul dominio AD già esistente dei Docenti)• personale tecnico-amministrativo• ospiti


Topologia logica della rete/2

Nell’ottica di stabilire una gestione centralizzata della sicurezza, assicurare l’ubiquità dell’accesso, favorire l’efficienza e la qualità della connessione, la distribuzione degli indirizzi IP ai client avviene attraverso assegnazione dinamica da parte di un server DHCP (integrato nel Wireless Switch DWS-3024).

Ogni categoria di utenza ha associata una classe C di indirizzamento IP. Il Wireless Switch DWS-3024 consente di mappare il traffico proveniente da un SSID su una specifica wired VLAN (dominio di broadcast di livello2).

Le VLAN sono instradate dal firewall DFL-1600 (routing) verso le linee dati dell’Ateneo (in modalità fail-over);

gli apparati sono impostati per realizzare il seguente mapping:

WLAN ↔ SSID ↔ VLAN ↔ Subnet IP di classe C


Schema della rete


Schema funzionamento/1

1

2

7

8

8

9

associazione

autenticazione

9

10

I piano

3

64

5

11

III piano

Dominio DOCENTI

Dominio LABORATORI

Radius PROXY


7

4

La procedura d’accesso è la seguente:

1. L’utente associa il suo dispositivo alla WLAN di competenza e digita la chiave di rete WPA2-PSK in suo possesso2.L’AP passa la richiesta di associazione al DWS-3024 (WS).3.Il WS assegna l’indirizzo IP (e VLAN) all’utente in base al profilo d’accesso4.L’utente apre il browser e il WS ridirige l’accesso ad una schermata personalizzata (Captive Portal)5.L’utente inserisce le proprie credenziali (del dominio AD di appartenenza per docenti e studenti o quelle fornite dai servizi informatici per gli ospiti) e preme il tasto “Connect”



6. Il WS riceve le credenziali dell’utente7. Il WS controlla le credenziali utente nel suo DB locale (per gli ospiti) o invia

la richiesta via RADIUS al RADIUS-PROXY (RP)8. RP inoltra la richiesta al dominio Active Directory dell’utente (LABORATORI

o DOCENTI) 9. Il RP riceve la risposta relativa alla richiesta di accesso dell’utente10. Il RP inoltra la risposta al WS11. Se le credenziali sono corrette, l’utente è abilitato alla navigazione12. L’utente non perde la connessione spostandosi nell’Ateneo; il WS mantiene

la sessione utente e il ROAMING tra gli access point avviene senza riassegnare l’indirizzo IP e senza una nuova autenticazione per mantenere la connessione aperta.



Management


Logging:

Il WS dispone di svariate funzionalità di logging (informazioni quali stato dell’AP, scansione radio frequenze, client associati) disponibili tramite interfaccia Web, tramite SNMP o

syslog.

Client:

Il WS permette di visualizzare informazioni relative allo stato delle connessioni dei client, su quale access point e dove sono connessi

Sicurezza


Access Point dell’Ateneo

Access Point RogueClient

Access Point dell’Ateneo

Gestione Frequenze

Gli AP rilevati dal WS, non presenti nel database, saranno catalogati come rogue AP. L’amministratore di rete può incrementare il controllo dell’ambiente di radio comunicazione attraverso la conoscenza delle informazioni relative ai rogue AP presenti (MAC, SSID, Canale, etc).

Vengono visualizzate e fornite informazioni sui client connessi all’infrastruttura wireless

Sviluppi


Si intende sviluppare l’infrastruttura per ottenere i seguenti obiettivi:

• Utilizzo del WS per autenticazione con Captive Portal anche per i client connessi alla rete cablata.

• Copertura wireless totale dell’Ateneo con l’installazione di 2 nuovi AP (attualmente solo l’80% ).

• Wireless N

• Adesione al progetto EduROAM.

• Fornitura di servizi a valore aggiunto.

Conclusioni


Alessandro [email protected]

GRAZIE PER L’ATTENZIONEGRAZIE PER L’ATTENZIONE

Mecarelli

Economy & Finance

Transcript of Mecarelli