• Non ci sono risultati.

Una rete Wi-Fi federata tra le Università pubbliche romane

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Una rete Wi-Fi federata tra le Università pubbliche romane"

Copied!
3
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 3 pagine )

Testo completo

(1)

Dott. M. Goretti@, dott. D. Guerri@2 e Ing. A. Togni@3. Gruppo Reti ed Infrastrutture. CASPUR

Una rete Wi-Fi federata tra le Università

pubbliche romane

alla rete, limitando nel contempo le username e password necessarie, CASPUR ha realizzato un modello di rete Wi-Fi che federa le quattro Università pubbliche romane: Sapien-za, Tor Vergata, RomaTre e I.U.S.M. Con la rete federata, queste Università offrono ai propri dipendenti e studenti l’accesso Wi-Fi tramite una unica struttura centralizzata, basata sui sistemi “captive portal3” delle singole università e su ESSID multipli.

La rete federata proposta da CASPUR permette alle singole Università di rendere visibile il proprio ESSID e raggiungere il proprio portale di autenticazione, anche tramite le reti wireless delle altre, consentendo così agli utenti di accedere ad Internet utilizzando la stessa configurazione e le medesi-me credenziali, indipendentemedesi-mente dalla localizzazione. La progettazione della rete federata Wi-Fi Universitaria ha richiesto il rispetto di alcuni vincoli relativi all’economicità e flessibilità della federazione ed al rispetto delle leggi in materia di privacy e di antiterrorismo.

Per il progetto sono stati utilizzati gli standard alla base del Wi-Fi permettendo la coesistenza di apparati di diversi produttori, conferendo flessibilità alla federazione e consen-tendo significativi risparmi dovuti al riutilizzo di quelli già installati.

È stata utilizzata una tecnologia relativamente nuova per l’autenticazione in roaming. Normalmente viene utilizzato un meccanismo di autenticazione indiretta che consente ad un federato di utilizzare la rete Wi-Fi di un altro, reindiriz-zando la richiesta di autenticazione dal Captive Portal3 del-l’ospitante al server di autenticazione dell’ospitato (Proxy Radius). Però, con tale meccanismo le credenziali relative ad una organizzazione federata transitano anche nelle altre, aumentando così il rischio di un tracciamento. Per ovviare a questo problema, si sono adottati criteri di separazione tra rete ospitante ed utente ospite che permettono il transito sicuro delle informazioni personali.

Infine, il modello di rete realizzato consente di semplificare considerevolmente gli obblighi legati al rispetto delle leggi Il Wi-Fi1, presente sul mercato delle telecomunicazioni ormai

da molti anni, sta vivendo una nuova giovinezza. In attesa che il tanto annunciato Wimax2 giunga finalmente sul merca-to, il mondo Internet ha preso atto del fatto che Wi-Fi è una tecnologia economica, è presente sulla maggior parte dei nostri laptop e su un numero sempre crescente di dispositivi portatili (Smart-phone, Palmari, Console, Ipod) ed è suffi-cientemente affidabile e facile da usare. È sempre più facile imbattersi in reti Wi-Fi, da quelle di casa usate per accedere ad ADSL, a quelle delle varie organizzazioni, fino a quelle dei WIreless Service Provider (WISP) presenti negli aeroporti e negli hotel.

Molti di noi hanno la possibilità di accedere a più reti Wi-Fi; tipicamente il nostro laptop è configurato per collegarsi alla rete del posto di lavoro, a quella di casa, oppure alla rete della struttura presso la quale ci troviamo ospiti. Per passare da una rete ad un’altra, è spesso necessario auten-ticarsi tramite username e password diverse per ogni rete. Anche se è possibile memorizzare sul proprio dispositivo le credenziali di accesso per evitare di ripeterle, tale prassi è sconsigliata, principalmente per motivi di sicurezza: sarebbe perciò molto utile poter accedere alle varie reti, utilizzando le stesse modalità e credenziali.

Il progetto

Lo standard tecnico alla base del Wi-Fi, IEEE 802.11, preve-de che una rete wireless sia ipreve-dentificata dal suo Extenpreve-ded Service Set IDentifier (ESSID), il nome annunciato dagli Access Point (AP), i dispositivi costituenti l’infrastruttura di rete. Tipicamente, gli utenti si collegano alla rete selezio-nando l’ESSID che la identifica. Molti AP di recente genera-zione, implementano la tecnologia degli ESSID multipli, per cui possono annunciare più ESSID contemporaneamente (es. Sapienza Wi-Fi, RM3 Wi-Fi, RM2 Wi-Fi, IUSM Wi-Fi), libera-mente selezionabili dagli utenti.

Partendo dall’idea di estendere la possibilità di accesso

1 Il termine Wi-Fi (Wireless Fidelity) indica dispositivi di rete wireless compatibili con gli standard IEEE 802.11

2 Wimax (Worldwide Interoperability for Microwave Access) è una tecnologia wireless in grado di erogare connettività a banda larga (fino a 74 Mbit/s)

verso gli utenti, fino a distanze di circa 50 chilometri

3 Il captive portal è un sistema di autenticazione per l’accesso alla rete utilizzato spesso in ambienti come aeroporti ed hotel. Le connessioni web degli

utenti non autenticati vengono redirette ad un sito dove è possibile inserire le proprie credenziali per ottenere accesso ad Internet

13

(2)

vigenti in materia di Antiterrorismo, aumentandone allo stesso tempo l’efficacia. L’obbligo di tracciamento degli utenti non deve, come nel caso di federazione con autenti-cazione indiretta, tradursi in complicate gestioni di archivi di accesso di enti diversi, ma può essere gestita unicamente dalla singola organizzazione.

La soluzione.

Oltre all’utilizzo degli ESSID multipli e dei captive portal, la soluzione prevede che i dati siano trasportati, attraverso specifiche VLAN4 (standard IEEE 802.1Q) associate ai sin-goli ESSID, verso rete locale a cui l’AP è collegato. Il singolo AP si comporterà quindi come tanti AP virtuali quante sono le reti Wi-Fi delle università federate e scambierà dati con la rispettiva Rete cablata (PIR Wi-Fi), attraverso una specifica VLAN ed un Punto di Interconnessione.

Il trasporto delle VLAN verso il PIR Wi-Fi può essere effet-tuato mediante collegamento diretto dell’università al PIR (tipicamente su fibra ottica), mediante una rete MPLS5, o utilizzando tecniche di tunnelling su VPN6. Le tre modalità assicurano differenti livelli di prestazioni a fronte di altret-tanto significative differenze nelle attività di installazione e/o configurazione: per garantire la più ampia flessibilità agli atenei partecipanti al progetto, si è deciso di adottare tutte e tre le soluzioni.

Il PIR Wi-Fi.

Per implementare correttamente la soluzione, indipenden-temente dalla scelta degli AP compatibili, è stato necessario collegare le singole reti delle Università al PIR Wi-Fi collocato presso la sala CED del CASPUR.

Il PIR Wi-Fi è responsabile del corretto funzionamento dell’infrastruttura di interconnessione e della qualità del traffico. Tra i suoi compiti c’è la gestione di un registro degli ESSID per evitare sovrapposizioni da omonimia da parte delle università afferenti.

Un analogo registro interno assegna gli identificativi di VLAN (VLAN ID) ai vari afferenti in modo da poterli utilizzare per lo scambio di reti Wi-Fi sullo Switch del punto di scambio.

Il PIR Wi-Fi è stato progettato in modo da consentire flessibilità al singolo afferente rispetto alle diverse possibi-lità di collegamento alla rete federata, ovvero tramite: • circuito dedicato: l’afferente collega la sua rete Wi-Fi allo Switch del PIR, un apparato che ha il compito di raccogliere le reti locali dei singoli afferenti e di distribuirle agli altri tramite VLAN.

• tunnel: l’afferente connette la sua rete tramite una VPN terminata sul Concentratore VPN del PIR Wi-Fi. Il Concentratore collega la rete agli altri afferenti caratterizzandola con uno specifico identificativo di rete (VLAN ID) e distribuendola tramite lo Switch del PIR.

• proxy radius: anche se tale modalità viene sconsigliata, è stato messo a disposizione degli afferenti un proxy Radius da utilizzare soprattutto in situazioni temporanee e dove non sia possibile utilizzare uno dei metodi precedentemente specificati.

Stato attuale del progetto.

La rete Wi-Fi federata delle Università Romane è oggi una delle reti Wi-Fi italiane più estese in ambito metropolitano, contando circa 100 Access Point e servendo giornalmente una media di 2000 utenti.

L’approccio “federato” della rete ne ha consentito l’esten-sione ad altre iniziative di notevole interesse sociale, quale quella del Ministero dei Beni Culturali, sulle Biblioteche Nazionali presenti nel Comune di Roma, denominata “Bi-blioteche senza Filo”.

4 Lo standard delle Virtual LAN (VLAN) fa riferimento alla possibilità di avere reti logicamente disaccoppiate all’interno della stessa LAN fisica. Il concetto

di VLAN si estende anche a reti metropolitane (MAN) o estese (WAN).

5 Il Multi-Protocol-Label-Switching è uno standard adottato all’interno di reti MAN o WAN multiprotocollo.

6 Si tratta di una tecnica che permette di far transitare in maniera sicura, mediante cifratura dei dati, pacchetti di rete attraverso reti pubbliche o esterne

alla propria.

(3)

Con le Biblioteche Comunali di Roma è stato sottoscritto un accordo che ha portato all’annuncio delle reti Wi-Fi Universi-tarie presso le 36 sedi bibliotecarie della Capitale. L’accordo consente inoltre agli studenti delle Università di Roma una più agevole presenza nelle Biblioteche di quartiere, ed ha

fa-vorito il consolidamento di un protocollo sperimentale per il prestito librario interbibliotecario.

Un ulteriore accordo significativo riguarda la rete Roma Wireless, la rete Wi-Fi patrocinata dal Comune di Roma che conta attualmente circa 50 AP in-stallati. Si sottolinea l’importanza degli ultimi due accordi in quanto uniscono le due realtà pubbliche locali di maggior rilevanza, quella Universitaria e quella del Comune di Roma.

Nella figura a fianco è possibile vedere la dislocazione degli AP federati nella città.

Conclusioni.

Il progetto di rete Wi-Fi federata è stato un progetto ambizioso e di piena soddisfazione per il CASPUR, sia per i riscontri positivi che sta avendo nella comunità degli utenti universitari, sia perché il CASPUR ha riaffermato la propria vocazione ad essere un centro di sperimentazione e compe-tenza tecnologica al servizio della realtà scientifica e, più in generale, dell’intera collettività.

Access Point personalizzati

Il progetto di rete federata prevede il riutilizzo degli apparati Wi-Fi già esistenti. In alcuni casi, però, gli AP non presentavano le caratteristiche necessarie e si è dovuto installarne di nuovi, in aggiunta a quelli necessari a coprire le aree che ne erano sprovviste.

In commercio si trovano moltissimi AP a basso costo ed in grado di supportare le funzionalità di ESSID multipli e VLAN 802.1Q, ma non ne esistono dotati anche di funzionalità di tunneling del-le VLAN. Così, per avere AP dai costi contenuti, dotati di tutte le caratteristiche richieste e suscettibili di essere ulteriormente personalizzati per future esigenze, il gruppo di lavoro del CA-SPUR ha valutato la possibilità di utilizzare sugli AP il sistema operativo Linux. Infatti, Linux può essere installato sia su AP commerciali in sostituzione del sistema operativo originale, sia su hardware specifico per la realizzazione di sistemi altamente personalizzabili (mini-motherboard). Esistono diverse distribu-zioni Linux ideate per essere installate ed utilizzate in contesti simili. La scelta è caduta sulla distribuzione che si è rivelata la più adatta a questo specifico contesto di rete. E’ stato comun-que necessario un importante lavoro di personalizzazione sui diversi tipi di hardware utilizzati, oltre che all’individuazione e risoluzione dei bug, successivamente condivisi con comunità di sviluppatori.

Sono state sperimentate numerose piattaforme hardware, sia mini-motherboard, sia AP commerciali, in prevalenza basati su chipset della serie Atheros, adatto alla personalizzazione del sistema operativo. La sperimentazione ha prodotto infine una lista di apparati compatibili con la soluzione e con la pre-esisten-te dotazione di AP delle Università. Per inciso, l’installazione di Linux su AP commerciali si è rivelata conveniente nei casi in cui se ne sia già in possesso ed abbiano un HW compatibile, mentre le mini-motherboard si sono rivelate come la soluzione più flessibile.

Durante i test è stato utilizzato un NETGEAR WG302v1, basato sull’architettura IxP4xx (ARM) e dotato di una scheda Wireless Atheros AR5212 mini-PCI. Ta le varie mini-motherboard testa-te, sono state selezionate le seguenti:

• PCEngines WRAP.2E (WRAP = Wireless Router Application Platform): Minimotherboard basate su AMD Geode SC110 a 233Mhz con 128MB di RAM dotate di slot per Compact Flash (le CF, di fatto, sostituiscono la memoria di massa). • PCEngines ALiX (ALiX viene dal modello di processore: ALXC700): Minimotherboard basate su AMD Geode LX700 a 433 MHz con 128MB di RAM (DDR, Double Data Rate). Il processore possiede un acceleratore crittografico per AES-CBC-128.

• Microtik RouterBooard 532: Minimotherboard basate su MIPS 32 4Kc @ 400MHz

Le mini-motherboard state dotate di schede radio mini-PCI Atheros CM9 AR5213A della Winstron.

Nelle figure seguenti vengono riportati i risultati dei test sulla capacità di trasferimento del bus PCI.

Riferimenti

Scarica adesso ( PDF - 3 pagine - 3.95 MB )

Documenti correlati

INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DEI SERVIZI DI AUTENTICAZIONE FEDERATA (IDEM – GARR)

13-14 del Regolamento Generale sulla Protezione dei Dati Personali (Reg. 2016/679 o GDPR), con riferimento al trattamento dei dati personali nell’ambito dei servizi di

COME RENDERE VISIBILE L INVISIBILE

È inoltre di particolare rilevanza il fatto che l’Analisi sia basata sull’esperienza diretta di circa 20 ragazze e giovani donne che sono o erano minori straniere non accompagnate

Progettazione di un Servizio Wi-Fi per i punti vendita della rete Eni

Dia uno spunto a chi paga outdoor ad entrare all’interno del locale “non oil” (enicafè) L’oggetto del lavoro di tesi è consistito dunque, nella ricerca delle

Come scoprire se qualcuno si connette alla tua rete Wi-Fi

Un’applicazione che consente anche di visualizzarne per ciascuno il MAC Address (indirizzo univoco dal quale è possibile determinare il produttore della scheda di rete), di assegnare

X5S (Wi-Fi) Videoregistratore di rete (NVR) di rete wireless con uscita HDMI e VGA. Funzioni principali

L'NVR wireless X5S è dotato della tecnologia di compressione video avanzata H.265 e supporta fino a 4 o 8 telecamere Wi-Fi da 5 Megapixel..

Verso il Sit della Campania: interoperabilità e struttura federata

Vediamo, riesaminando ad uno ad uno le voci del primo comma dell’art. 17 della LR 16/2004, quali potrebbero essere, almeno da un punto di vista normativo, i contenuti e le azioni

OpenS tac k La regione federata del

Laddove le istituzioni dell’UE intendessero utilizzare prodotti e servizi Microsoft che non utilizzavano già (come i servizi cloud Microsoft Office 365 o Microsoft Azure),

0 Prerequisiti: rete Wi-Fi e credenziali FedERa Istruzioni per la navigazione WiFi sulla rete Lepida attraversoFedERa e l’access point WispER

Se non possiedi credenziali FedERa e vuoi poter accedere temporaneamente (max 24 ore) alla rete WispER senza creare un’utenza che potrai riutilizzare in seguito,