Mecarelli

492 views
441 views

Published on

Published in: Economy & Finance, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
492
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Mecarelli

    1. 1. Alessandro Mecarelli Ufficio Servizi Informatici d’Ateneo Libera Università San PIO V Alessandro Mecarelli
    2. 2. Chi Siamo Nata nel 1996, la Luspio è l’unica Università del centro e sud Italia ad avere una Facoltà specializzata nella formazione di mediatori linguistici, interpreti di conferenza e traduttori che ha contemporaneamente, oltre al Corso di Laurea Triennale, sia un Corso di Laurea Specialistica in Traduzione sia in Interpretazione. E’ stata ammessa a far parte della CIUTI l’organismo internazionale che riunisce le migliori facoltà del mondo che preparano i futuri interpreti e i futuri traduttori. <ul><li>Le attività dell’Ateneo: </li></ul><ul><li>Facoltà di Interpretariato e Traduzione </li></ul><ul><li>Facoltà di Scienze Politiche </li></ul><ul><li>Facoltà di Economia </li></ul><ul><li>Master </li></ul><ul><li>Convegni </li></ul><ul><li>L’ Ateneo in cifre: </li></ul><ul><li>Studenti: circa 1600 </li></ul><ul><li>Docenti: circa 250 </li></ul><ul><li>Personale TA: 40 </li></ul>Alessandro Mecarelli
    3. 3. Esigenze <ul><li>La finalità principale della presente progetto è quella di consentire alla popolazione universitaria (studenti, docenti, personale TA, ospiti) un accesso, ai servizi informatici pubblici dell’Ateneo ed ad Internet </li></ul><ul><li>Facile da usare </li></ul><ul><li>• Sicuro </li></ul><ul><li>• Massimizzando la mobilità </li></ul><ul><li>• Rispettando le vigenti normative sulla privacy </li></ul>Alessandro Mecarelli
    4. 4. Logistica dell’Ateneo <ul><li>L’Ateneo è ospitato in un edificio strutturato in 5 piani (4 rialzati ed uno semi interrato) cosi organizzati: </li></ul><ul><li>Piano Terra (PT): Atrio di ingresso, Segreterie di facoltà </li></ul><ul><li>Piano Primo (P1): Uffici amministrativi , CdA, Sala Docenti </li></ul><ul><li>Piano Secondo (P2): Aule didattiche, Aula Magna (AM) </li></ul><ul><li>Piano Terzo (P3): Aule didattiche, Aula Magna (AM) </li></ul><ul><li>Piano Quarto (P4): Stanze Docenti </li></ul><ul><li>Piano Semi-interrato (PS): Laboratori, Biblioteca </li></ul>La copertura e il numero di Access Point è riassunta nella seguente tabella: Alessandro Mecarelli Luogo Numero di access point Piano Terra (PT) 1 Piano Primo (P1) 1 Piano Secondo (P2) 0 Aula Magna (AM) 0 Piano Terzo (P3) 1 Piano Quarto (P4) 0 Piano Semi-interrato (PS) 2 TOTALE 5
    5. 5. Principali servizi richiesti/1 <ul><li>  Classificazione degli utenti in base a 4 categorie (studenti, personale, docenti e ospiti) con conseguente regolamentazione discriminatoria dell’accesso alle risorse. </li></ul><ul><li>Accesso e autenticazione alla struttura wireless tramite Captive Portal (per tutti gli utenti tranne che per il personale TA). </li></ul><ul><li>Copertura wireless dei piani P1, P2, P3, P4 e PS (consentendo lo sviluppo dell’infrastruttura) e del locale Aula Magna (AM) con possibilità all’interno dell’Università di roaming delle sessioni utente per client wireless nomadici. </li></ul><ul><li>Ammissibilità di una sola sessione per ciascun utente. </li></ul><ul><li>Conformità alla legislazione italiana per quanto concerne il tracciamento delle sessioni utente (tempo di connessione, tempo di disconnessione, durata della sessione, IP Address, MAC address dell’utenza) mantenendone l’anonimato. </li></ul>Alessandro Mecarelli
    6. 6. Principali servizi richiesti/2 <ul><li>Rispetto della privacy dell’utente mantenendo anonimi i messaggi di log (non registrando la reale identità dell’utente) e fornendo al contempo la possibilità di stabilire responsabilità personali (identità) in caso di abusi. </li></ul><ul><li>Autenticazione unificata dell’utente (stessa username e password usate per i servizi dell’Università) nell’accesso wireless. </li></ul><ul><li>Connetività di rete IPv4 affidabile nell’arco temporale [08:00, 20:00] in cui si svolgono le attività dell’Ateneo. </li></ul><ul><li>Separazione dei flussi di traffico degli utenti appartenenti a tipologie diverse (studenti, personale, docenti, ospiti). </li></ul><ul><li>Popolare l’ ambiente in modo uniforme, massimizzando le prestazioni dell’intero sistema configurando i singoli Access Point (AP) su frequenze differenti , senza sovrapposizione. </li></ul><ul><ul><li>Gestione centralizzata dell’infrastruttura. </li></ul></ul>Alessandro Mecarelli
    7. 7. Scelta tecnica <ul><li>WIRELESS  </li></ul><ul><ul><li>Utilizzo di apparati D-LINK appartenenti alla famiglia DWL-3000 poiché supportano, tra le altre funzionalità, la Gestione centralizzata degli AP , Management dei client ed un’ampia gamma di opzioni trasmissive come le la gestione automatizzata delle frequenze radio in tecnologia singola o dual-mode. In particolare: </li></ul></ul><ul><li>n° 1 Wireless Switch DWS-3024 </li></ul><ul><li>n° 5 Access Point DWL-3500 </li></ul><ul><li>SICUREZZA E ROUTING </li></ul><ul><li>Utilizzo degli apparati di sicurezza D-LINK. In particolare: </li></ul><ul><li>n°1 firewall DFL-1600 (WAN Failover, IPS e IDS, VPN, blocco delle applicazioni peer-to-peer e &quot;instant messaging&quot;, la protezione DoS) </li></ul><ul><li>INFRASTRUTTURA </li></ul><ul><li>Per soddisfare al meglio le esigenze dell’edificio accademico, sono stati utilizzati switch D-Link sostituendo apparati già esistenti con prodotti di ultima generazione come il DGS-3048 Layer 2, e ponendo come nuovo centro stella l’apparato D-Link DXS-3350R : un Layer 3 con Uplink a 10 GBE, che grazie alla sue alte prestazioni diventa il nuovo fulcro della rete. </li></ul>Alessandro Mecarelli
    8. 8. Topologia logica della rete/1 <ul><li>All’interno della rete coesistono simultaneamente utenti con profili di utilizzo differenti (studenti, personale, amministratori di sistema, docenti e ospiti). </li></ul><ul><li>Per separare tali traffici sono stati creati gruppi distinti, assegnando a ciascuno di essi una proprietà di accesso discriminante sulle risorse informatiche dell’Ateneo. </li></ul><ul><li>  </li></ul><ul><li>Modalità differenziata d’accesso (logica e fisica), mantenendo separate le connessioni a partire dagli SSID delle WLAN, alle seguenti categorie di utenza: </li></ul><ul><li>studenti (autenticazione sul dominio AD già esistente dei Laboratori) </li></ul><ul><li>docenti (autenticazione sul dominio AD già esistente dei Docenti) </li></ul><ul><li>personale tecnico-amministrativo </li></ul><ul><li>ospiti </li></ul>Alessandro Mecarelli
    9. 9. Topologia logica della rete/2 Nell’ottica di stabilire una gestione centralizzata della sicurezza, assicurare l’ubiquità dell’accesso, favorire l’efficienza e la qualità della connessione, la distribuzione degli indirizzi IP ai client avviene attraverso assegnazione dinamica da parte di un server DHCP (integrato nel Wireless Switch DWS-3024). Ogni categoria di utenza ha associata una classe C di indirizzamento IP.   Il Wireless Switch DWS-3024 consente di mappare il traffico proveniente da un SSID su una specifica wired VLAN (dominio di broadcast di livello2). Le VLAN sono instradate dal firewall DFL-1600 (routing) verso le linee dati dell’Ateneo (in modalità fail-over); gli apparati sono impostati per realizzare il seguente mapping:  WLAN ↔ SSID ↔ VLAN ↔ Subnet IP di classe C Alessandro Mecarelli
    10. 10. Schema della rete Alessandro Mecarelli
    11. 11. Schema funzionamento/1 2 7 8 8 9 9 10 I piano 3 6 4 5 11 III piano Dominio DOCENTI Dominio LABORATORI Radius PROXY Alessandro Mecarelli 7 4 1 associazione autenticazione
    12. 12. <ul><li>La procedura d’accesso è la seguente: </li></ul><ul><li>L’utente associa il suo dispositivo alla WLAN di competenza e digita la chiave di rete WPA2-PSK in suo possesso </li></ul><ul><li>L’AP passa la richiesta di associazione al DWS-3024 (WS). </li></ul><ul><li>Il WS assegna l’indirizzo IP (e VLAN) all’utente in base al profilo d’accesso </li></ul><ul><li>L’utente apre il browser e il WS ridirige l’accesso ad una schermata personalizzata (Captive Portal) </li></ul><ul><li>L’utente inserisce le proprie credenziali (del dominio AD di appartenenza per docenti e studenti o quelle fornite dai servizi informatici per gli ospiti) e preme il tasto “Connect” </li></ul>Schema funzionamento/2 Alessandro Mecarelli
    13. 13. <ul><li>Il WS riceve le credenziali dell’utente </li></ul><ul><li>Il WS controlla le credenziali utente nel suo DB locale (per gli ospiti) o invia la richiesta via RADIUS al RADIUS-PROXY (RP) </li></ul><ul><li>RP inoltra la richiesta al dominio Active Directory dell’utente (LABORATORI o DOCENTI) </li></ul><ul><li>Il RP riceve la risposta relativa alla richiesta di accesso dell’utente </li></ul><ul><li>Il RP inoltra la risposta al WS </li></ul><ul><li>Se le credenziali sono corrette, l’utente è abilitato alla navigazione </li></ul><ul><li>L’utente non perde la connessione spostandosi nell’Ateneo; il WS mantiene la sessione utente e il ROAMING tra gli access point avviene senza riassegnare l’indirizzo IP e senza una nuova autenticazione per mantenere la connessione aperta . </li></ul>Schema funzionamento/3 Alessandro Mecarelli
    14. 14. Management Alessandro Mecarelli Logging: Il WS dispone di svariate funzionalità di logging (informazioni quali stato dell’AP, scansione radio frequenze, client associati) disponibili tramite interfaccia Web, tramite SNMP o syslog. Client: Il WS permette di visualizzare informazioni relative allo stato delle connessioni dei client, su quale access point e dove sono connessi
    15. 15. Sicurezza Alessandro Mecarelli Gli AP rilevati dal WS, non presenti nel database, saranno catalogati come rogue AP. L’amministratore di rete può incrementare il controllo dell’ambiente di radio comunicazione attraverso la conoscenza delle informazioni relative ai rogue AP presenti (MAC, SSID, Canale, etc). Vengono visualizzate e fornite informazioni sui client connessi all’infrastruttura wireless Access Point dell’Ateneo Access Point Rogue Client Access Point dell’Ateneo Gestione Frequenze
    16. 16. Sviluppi Alessandro Mecarelli <ul><li>Si intende sviluppare l’infrastruttura per ottenere i seguenti obiettivi: </li></ul><ul><li>Utilizzo del WS per autenticazione con Captive Portal anche per i client connessi alla rete cablata. </li></ul><ul><li>Copertura wireless totale dell’Ateneo con l’installazione di 2 nuovi AP (attualmente solo l’80% ). </li></ul><ul><li>Wireless N </li></ul><ul><li>Adesione al progetto EduROAM. </li></ul><ul><li>Fornitura di servizi a valore aggiunto. </li></ul>
    17. 17. Conclusioni Alessandro Mecarelli Alessandro Mecarelli [email_address] GRAZIE PER L’ATTENZIONE

    ×