3. UNISI WIRELESS
Obiettivi principali:
• Creare una rete capillare per consentire l’accesso ai servizi di rete in
qualunque istante e in qualunque ambiente universitario da parte di:
– Personale universitario ( docenti, personale tecnico-
amministrativo)
– Studenti
– Ospiti delle strutture universitarie
• Sviluppare nuovi servizi per la ricerca, per la didattica e
l’amministrazione.
4. Il Progetto
• Il progetto è nato da un bando ministeriale
“PC per un Cappuccino”; Il progetto di UNISI
è stato approvato nel 2006 con un
finanziamento del Ministero di 40.000 € e
prevedeva la copertura di alcune zone
riservate a punti di aggregazione per gli
studenti.
• Il progetto di copertura wireless è stato
successivamente esteso a tutto le strutture
di Ateneo con l’idea di modernizzare la rete
di Ateneo e di accentuare il processo di
introduzione delle nuove tecnologie digitali
• Gara Europea Gennaio 2007, Consegna
materiali Maggio- Giugno 2007.
• Site Survey, Installazione apparati,
Progettazione politiche di sicurezza, Sistema
di Autenticazione e Autorizzazioni e messa
in funzione dell’intera rete wireelss.
5. UNISI WIRELESS
• Tecnologia scelta: Wi-Fi
– Consente connessioni fino a velocità di 54 Mbps.
– Basso costo.
– Basse potenze di trasmissione.
– garantisce all’utente sicurezza sia nella fase
d’autenticazione (invio delle credenziali) sia nella
fase di connessione mediante l’impiego di chiavi di
crittografia
– Consente di realizzare un servizio (connettività)
SOLO ad utenti autenticati e autorizzati
6. UNISI WIRELESS
• Gli utenti possono accedere mediante un
qualunque terminale dotato di scheda Wi-Fi
– Notebook, PDA, cellulare,…
• L’accesso avviene attraverso la password unica
utilizzata per la posta
8. L’infrastruttura wireless realizzata si integra con la
preesistente rete wired garantendo l’accesso in mobilità
ai servizi di ateneo e al tempo stesso un elevato livello
di sicurezza, trasformando la rete in una piattaforma di
servizi avanzati e intrinsecamente sicuri
9. • La progettazione della rete Wireless per l’Università di Siena è stata
stata basata sui seguenti requisiti :
– Massima affidabilità, scalabilità e mobilità
– Installazione e configurazione semplificate
– Funzionalità software e driver avanzate per i principali sistemi operativi
– Elevata protezione dell'investimento per gli standard futuri
– Soluzioni flessibili e basate su standard
– Supporto di autenticazioni ad altissimo livello
– Implementazioni dei più sofisticati sistemi di crittografia
– Compatibilità con i principali sistemi operativi
– Gestione integrata per il monitoraggio e la risoluzione dei problemi
– Supporto di funzioni di amministrazione web-based e del protocollo
SNMP
• La soluzione CISCO ci è sembrata la più idonea e completa e
rispondente per intero a tutte i requisiti elencati.
12. Architettura della rete
Internet
Remote Site
Central Site
WAN LINK CED
Guest Staff
WAN LINK
Customer Facts
Remote Site
• 22000 enrolled students
• 2000 employees
• 6000 existent net points
• 32 remote sites
Guest Staff
• 256Kbit/s to 100 Mbit/s WAN Links
200-2000 students
13. Architettura della rete
Remote Site Clean Access Server
Centralized
Virtual GW WEB
Clean Access Server DMZ
WLAN Controller SERVERS
trunk
Virtual GW
QoS
Traffic Shaping
trunk
1 2
QoS
trunk WLAN Controller
Traffic Shaping trunk ACLs
Core/Distribution EoIP Tunnel
(Extreme 8800)
Internet
multihop L3
WAN LINK
Access
1 2
Intranet
2 ACL=Access Control List
Clean Access Manager Radius
Guest Staff
1 2 Central Site
Clean Access Server: Riconosce utenti, i loro device e i loro ruoli, valuta la sicurezza e la
vulnerabilità
Clean Access Manager: Serve a controllare e gestire i clean access server per impostare i
tipi di autorizzazioni, profili, crittografia, antivirus
Ethernet over IP (EoIP) Tunneling: crea un tunnel Ethernet tra due router con connessione
IP
14. Access Point
Progettato per la copertura LAN
wireless negli uffici; questo Access
Point dispone di antenne integrate e di
IEEE 802.11a/g dual radio per una
copertura affidabile con una capacità
combinata fino a 108 Mbps. Il prodotto
è equipaggiato con tutto l’hardware
necessario per un’installazione adatta
ad ambienti d’ufficio.
Cisco Aironet 1130AG
15. Cisco Aironet Cisco Aironet
1240 AG Access Point 1240AG
• La serie Cisco Aironet 1240AG, progettata per le LAN
wireless in ambienti particolarmente difficoltosi o per
installazioni che richiedono antenne esterne speciali, dispone
di connettori per antenne nella banda a 2,4 e a 5 GHZ per
garantire un’estensione ed una versatilità di copertura maggiori
e opzioni di installazione più flessibili.
• Gli Access Point della serie Cisco Aironet 1240AG uniscono
questa versatilità ad una potenza trasmissiva massima, alla
sensibilità di ricezione ed all’estensione del ritardo tipiche
degli ambienti multipercorso intensivi e garantiscono
prestazioni e throughput affidabili in condizioni impegnative.
16. Dispositivi di Controllo
• Cisco Wireless LAN Controllers serie 4400
• I Cisco Wireless LAN Controller sono
responsabili delle funzionalità di rete, come le
policy di sicurezza, l’intrusion prevention, la
gestione delle interfacce radio, la QoS e i servizi
di mobilità (a partire dal roaming). Di fatto
lavorano in combinazione con gli access point
Lightweight e con il Cisco Wireless Control
System (WCS)
17. Caratteristiche della soluzione
• supporto wireless 802.11 a/b/g completo
• supporto immediato per i servizi avanzati di
telefonia su IP
• sistema integrato di IPS (Intrusion Prevention
System)
• controllo degli accessi di rete NAC (Network
Admission Control)
• gestione dinamica delle frequenze radio
• alta flessibilità di gestione delle politiche di
sicurezza (per tipologia di utenza, di rete
wireless, di sistema operativo del client, etc.)
18. Sicurezza
• autenticazione e profilazione degli utenti
• assegnazione dei relativi diritti
• protezione delle comunicazioni radio
• logging dell'attività svolta dagli utenti (molto
importante per la sicurezza interna dell'Ateneo e
per ulteriori ragioni di tracciabilità)
• controllo sui tentativi di accesso non autorizzati
(AP non autorizzati, utenti non autorizzati,
attacchi, tentativi di intrusione, etc.)
19. Requisiti dei client
Scheda di rete wireless 802.11a/b/g
Protocollo Frequenza Velocità
802.11a 5 GHz 54 Mb/s
802.11b 2.4 GHz 11 Mb/s
802.11g 2.4 GHz 54 Mb/s
20. Configurazione IP
• Non c’è bisogno di richiedere al Qit un
indirizzo IP. L’indirizzo viene assegnato e
configurato automaticamente (tramite
DHCP)
• Anche la configurazione del gateway e dei
server DNS avviene in modo automatico
21. Credenziali di accesso
• Per accedere alla rete wireless è
necessario autenticarsi utilizzando le
credenziali unisiPass (password unica)
• Per attivarle è sufficiente seguire la
procedura indicata sul sito www.qit.unisi.it
alla voce “unisiPass”
22. Aree di Copertura
La rete wireless è stata implementata in tutte le strutture
universitarie:
– 22 sedi (90% di copertura)
– 326 access point
– oltre 15.000 accessi contemporanei
completa di apparati di gestione, monitoraggio, sicurezza e
controllo degli accessi
La rete dell’Università di Siena è per estensione e
numero di access point la più grande in Italia
Sono stati realizzati numerosi servizi innovativi per il
controllo degli accessi e la sicurezza
24. In ogni sede è stata effettuata l’ispezione per stabilire le peculiarità
trasmissive della struttura dell’edificio e l’analisi spettrale di
misure a banda larga
misure selettive in frequenza
misure di potenza in banda
25. – Identificazione delle aree di maggior utilizzo del servizio
– Numero di Access Point necessari alla copertura dell’intera area di
interesse
– Determinazione preliminare della posizione degli Access Point
– Progettazione e verifica della copertura radio on site
– Ottimizzazione della copertura
– Dimensionamento capacitivo della rete
Analisi preliminare delle performance della rete
verifica dello stato dell’ambiente radio per la
valutazione della presenza e dell’entità di
eventuali fonti di interferenza RF o altre reti
Wireless
studio dell’impatto degli Access Point sulle
reti WiFi, Bluetooth, WiMAX
studio della compatibilità di nuovi apparati
con dispositivi già esistenti.
26.
27. Polo Scientifico
Complesso Didattico Universitario
Le Scotte San Miniato
Il Pionta ‐ Arezzo
Certosa di Pontignano
Via Fiorentina
CGT
San Giovanni V.no
Fac. Economia (AR)
Villa Chigi Farnese
Palazzo Chigi Zondadari Palazzo Bandini Piccolomini
Rettorato
Il Refugio
Collegio Palazzo San Galgano
Santa Chiara
Complesso Didattico del Laterino Complesso Pendola
Complesso San Niccolò
Dip. Scienze della Terra Biblioteca SMFN
• Fac. Ingegneria
Dip. Scienze Ambientali • Fac. Lettere
Fac SMFN e Dip. Matematica
• Dip. Fisica
Fac. Giurisprudenza • Dip. Archeologia
Fac. Scienze Politiche • Dip. Storia
Polo Grossetano (GR)
28. La rete wireless silver
• Connessione: automatica
• Crittografia: nessuna
• Utenza: tutta la comunità dell’Ateneo e gli ospiti
(eduroam o temporanei)
• PRO: è semplice da configurare; è supportata
da qualsiasi tipo di dispositivo wireless
• CONTRO: i dati trasmessi non vengono criptati,
deve farlo l’applicazione che si utilizza
29. La rete wireless gold
• Connessione: tramite autenticazione 802.1X
• Crittografia: WPA / WPA2 enterprise
• Utenza: il personale docente e tecnico-
amministrativo, i collaboratori ed i dottorandi
• PRO: il traffico viene sempre criptato, qualsiasi
applicazione si usi
• CONTRO: la configurazione è abbastanza
complessa; alcuni dispositivi non supportano
802.1X o WPA
30. Come connettersi
• Le istruzioni per configurare il proprio
computer sono disponibili sul sito
www.qit.unisi.it alla voce “UnisiWireless”
31. Controllo degli accessi
• Client Windows
– Per limitare problemi di sicurezza dovuti a virus o
vulnerabilità note di Windows, l’ accesso alla rete
wireless richiede l’installazione obbligatoria del
software Cisco Clean Access Agent (CCA), un agent
che verifica il rispetto dei requisiti minimi di sicurezza
(antivirus aggiornato, aggiornamenti automatici di
Windows, etc)
• Client MacOS, Linux, etc.
– il controllo dei requisiti di sicurezza avviene da
remoto, senza necessità di installare il software CAA
sul proprio computer
32. I certificati GARR
• Tutti gli apparati che fanno parte dell’architettura
UnisiWireless dispongono di un certificato
emesso da GARR. Questo per evitare di
imbattersi in apparati “civetta”, che potrebbero
compromettere la sicurezza della rete.
• Un messaggio di errore di certificato non valido
indica che è stato emesso da un’autorità
considerata non attendibile, quindi l’apparato al
quale siamo connessi non è sicuro.
• Esistono una serie di autorità di certificazione
che il sistema riconosce automaticamente come
attendibili.
37. Eduroam
• Eduroam (Education Roaming)
è un'infrastruttura basata su
una rete internazionale (Europa
e Australia) che ha lo scopo di
facilitare il roaming tra gli enti
partecipanti.
• Gli utenti roaming che visitano
un ente che aderisce
all'iniziativa sono in grado di
utilizzare la WLAN usando le
stesse credenziali (username e
password) che userebbero nel
loro ente di appartenenza,
senza la necessità di ulteriori
formalità presso l'istituto
ospitante.
40. Accesso a eduroam
• L’Università di Siena aderisce
all’infrastruttura eduroam, una sistema di
‘fiducia reciproca ’ delle credenziali basato
su una rete di server Radius
• Realm:
– unisi.it
– student.unisi.it
• Es.:
Username: rossi@unisi.it
Password: ********
42. Sviluppi futuri
• Servizi per gli studenti
– Registrazione on-line degli esami
– Accesso in tempo reale a informazioni relative alla didattica (
occupazione aule, variazione di orari di lezioni,…) – UNISI 2.0
– Registrazione di lezioni in qualunque ambiente
– Sistema di e-learning
• Servizi per l’amministrazione
• Servizi per la ricerca
• Voce su IP da qualunque ambiente interno all’Università
• Supporto ad utenti svantaggiati
• ……………………….
43. Sviluppi futuri
• Siamo di fronte a una nuova epoca nelle
tecnologie informatiche e di comunicazione
grazie allo sviluppo e all’integrazione di:
– Reti wireless
– Sensori
– Tecnologie di ambient intelligence