- Responsabili
-
Sartori Andrea
- Data inizio
- 01/01/14
- Durata (mesi)
- 12
Descrizione
Il servizio Wi-Fi consente di collegarsi alla rete di Ateneo con i propri dispositivi mobili: notebook, netbook, smartphone, tablet ecc. purché dotati di scheda Wi-Fi 802.11a\b\g\n. L'accesso al servizio avviene a seguito di autenticazione, ovvero l'utente dovrà fornire le proprie credenziali di accesso (username e password) assegnate secondo il sistema GIA Nelle aree di copertura vengono annunciate due reti wireless: UNIVAIR-OPEN e UNIVAIR-WPA2: la prima viene utilizzata per il metodo di autenticazione Web, la seconda per il metodo di autenticazione WPA2.
L'autenticazione Web è il metodo più intuitivo e semplice da utilizzare, ma non fornisce alcun meccanismo di sicurezza per il traffico trasmesso da o verso il proprio dispositivo portatile, ad eccezione delle proprie credenziali di accesso. Sarà cura dell'utente prestare la massima attenzione ai siti web visitati (nello specifico: verificare che il sito che si sta visitando sia protetto con il protocollo HTTPS prima di fornire informazioni sensibili). L'autenticazione Web inoltre è l'unico meccanismo di accesso alla rete UNIVAIR-OPEN per tutti quei dispositivi più datati o non sufficientemente potenti che non supportano lo standard WPA2.
L'autenticazione WPA2 è il metodo più complesso ma che al contempo fornisce maggiore sicurezza rispetto al metodo di autenticazione Web, poiché tutto il traffico trasmesso da o verso il proprio dispositivo portatile è cifrato. Nella rete wireless UNIVAIR sono presenti meccanismi di sicurezza che consentono agli amministratori di rete di individuare e localizzare fisicamente eventuali infrazioni al corretto utilizzo della rete senza fili. Tali infrazioni saranno comunicate alle autorità competenti e perseguite.
L'infrastruttura di rete wireless è distribuita in tutte le sedi di Ateneo, comprese quelle collegate mediante connessioni geografiche, oltre che in alcune strutture di ESU, in cui l’Ateneo gestisce ed amministra tutti gli aspetti del servizio ad eccezione della mera connettività in alcune sedi, a carico di ESU oltre che presso i dispositivi gestiti dall’Azienda Ospedaliera Universitaria Integrata, mediante apposite connessioni geografiche o linee di peer dedicate.
L'architettura è composta da un sistema per il controllo centralizzato e la gestione automatica degli access point, composto di due schede hardware in alta affidabilità in modalità active standby situato presso la sala server del polo di Veronetta. Gli ap (access point), una volta connessi alla rete, ottengono dal servizio DHCP o dal servizio DNS le impostazioni necessarie per contattare tale sistema ed instaurano con esso un canale cifrato su cui viaggiano le informazioni relative alla configurazione dell'ap e successivamente i dati trasmessi dai client. Il sistema di gestione veicola le richieste di autenticazione in modalità cifrata ad un server di AAA, il quale a seconda dei parametri che riceve verifica le credenziali dell'utente interrogando l'albero corretto della forest Active Directory, popolata dal sistema di identity management (GIA).
Evoluzione prevista
In seguito alla necessità di contenere la progressiva espansione del traffico dati utilizzata presso le sedi dotate di una capacità di banda limitata è in previsione l’introduzione di apparati dedicati alla terminazione del tunnel di cifratura CAPWAP e di gestione dei dispositivi access point presso ogni singola sede in modo tale da controllare con più facilità l’utilizzo della dorsale di collegamento e, in caso di necessità poter applicare delle regole di quality of service (QoS) che tutelino le comunicazioni necessarie allo svolgimento delle pratiche amministrative.
Nel prossimo triennio, in concomitanza con l’esecuzione dei lavori di ristrutturazione dei locali tecnici, è prevista una estensione delle aree di copertura del segnale wireless ed un adeguamento dei dispositivi al più recente standard di trasmissione 802.11ac.
Sarà inoltre necessario rivedere, di comune accordo con l’Ente Studentesco Universitario ESU, le modalità di erogazione del servizio wireless sia presso i dormitori, sia presso gli spazi comuni quali le mense universitarie, oltre ai nuovi edifici in fase di realizzazione.
Nel corso dell’anno 2014 sarà necessario inoltre ridefinire i protocollo relativi alle fasi di AAA a causa del passaggio alla nuova piattaforma di AAA Cisco ISE, in quanto il sistema attualmente in uso, Cisco ACS 5.5, a partire dall’anno prossimo non sarà più supportato.
L’introduzione di più sistemi di gestione dei dispositivi wireless Catalyst 3850 nelle sedi periferiche che si andranno ad affiancare alle schede di controllo WISM2 imporrà inoltre una valutazione sull’opportunità di utilizzare la piattaforma di gestione Cisco Prime Infrastructure, già in uso presso l’Ateneo, per gestire direttamente in modo unificato le configurazione e la sincronizzazione dei diversi controller.