- Responsabili
-
Sartori Andrea
- Data inizio
- 01/01/14
- Durata (mesi)
- 12
Descrizione
Grazie ai vantaggi che offre riguardo la sicurezza, il protocollo di autenticazione 802.1X è stato ampiamente implementato nell’ambiente wireless per molti anni: supporta gli amministratori di rete nel mantenere la sicurezza garantendo o negando l’accesso ai servizi di rete in base alle credenziali inserite nel client. Poiché l’esigenza di sicurezza è aumentata anche sulle reti cablate, in quanto le normative vigenti impongono di controllare e registrare ogni accesso effettuato alla rete, l’adozione di tecnologie basate sullo standard IEEE 802.1X in tali tipologie di rete è in progressivo aumento.
La configurazione dei dispositivi di rete necessaria ad implementare un livello di sicurezza per l’accesso alla rete non è di poco conto: 802.1X richiede che i tutti i dispositivi siano opportunamente configurati e inviino le informazioni di autenticazione a un server RADIUS tramite un “richiedente” (supplicant) con credenziali appropriate per poter accedere alla rete.
Il servizio di autenticazione su rete cablata, basato sullo standard IEEE 802.X, non definisce un metodo preciso ma uno schema architetturale nel quale possono essere usate varie metodologie, principalmente EAPOL (Extensible Authentication Protocol Over LAN) per fornire autenticazione, autorizzazione e accounting alle diverse periferiche collegate alle porte LAN.
Il primo scoglio da affrontare è relativo alla differenze di comportamento che hanno i diversi client dei differenti sistemi operativi in relazione ad eventi come la sospensione energetica od il riavvio del dispositivo, azioni che di fatto portano ad un reset delle impostazioni di connessione e la perdita di autenticazione, ed alla predisposizione di workaround che possano di fatto gestire o porre rimedio a tali eventi.
Il percorso che ha portato all’individuazione ed alla determinazione degli elementi che compongono tale soluzione ha preso avvio da studi approfonditi e laboratori di test, indispensabili per verificare il reale comportamento delle soluzioni disponibili sul mercato, ed è giunto, attraverso ad una scelta ponderata ed equilibrata, all’individuazione di una soluzione che, pur presentando tutte le caratteristiche richieste, è in continua evoluzione per rimanere al passo con i cambiamenti apportati dalle nuove versioni dei sistemi operativi.
Il servizio di autenticazione, attivo un quasi tutti gli edifici del polo didattico di Veronetta, è in fase di progressiva estensione anche alle sedi rimanenti. Ogni singolo apparato di rete deve essere configurato adeguatamente per poter dialogare con il server AAA, al fine di effettuare l’autenticazione e di procedere con l’autorizzazione e l’accounting in base dell’autenticazione effettuata, al momento effettuata utilizzando il protocollo PEAP-MSCHAPv2; è in fase di testing la possibilità di introdurre l’autenticazione mediante il più sicuro protocollo EAP-TTLS.
Evoluzione prevista
E’ in corso la progressiva estensione del servizio presso tutte le sedi dell’Ateneo: i tempi di implementazione dipendono in gran parte dalla configurazione delle postazioni da parte dei tecnici informatici delle aree coinvolte.
Nel corso dell’anno 2014 sarà necessario inoltre ridefinire i protocollo relativi alle fasi di AAA a causa del passaggio alla nuova piattaforma di AAA Cisco ISE, in quanto il sistema attualmente in uso, Cisco ACS 5.5, a partire dall’anno prossimo non sarà più supportato.