REL - 08 Modulo Isole Wi-Fi Hot Spot
Transcript
REL - 08 Modulo Isole Wi-Fi Hot Spot
INTEGRAZIONE ED ESPANSIONE DEL SISTEMA DI VIDEOSORVEGLIANZA DEL COMUNE DI CASTELLAMMARE DI STABIA TITOLO ELABORATO: MODULO ISOLE WI-FI HOT SPOT INDICE 1. PREMESSA 4 2. ARCHITETTURA RETI MESH 5 3. DISPOSITIVI 6 4. SICUREZZA 7 5. POSIZIONAMENTO ISOLE HOT SPOT 11 1. PREMESSA Il presente modulo illustra le tecnologie ed i dispositivi per la realizzazione di aree di copertura wireless all’interno delle quali il personale abilitato ha la possibilità di collegarsi direttamente alla sala operativa della Polizia Municipale a mezzo di strumenti portatili e stazioni mobili. Saranno create isole Wi-Fi hot spot in diversi punti del territorio; le suddette isole saranno interconnesse mediante rete Mesh. L’architettura delle reti Wi-Fi basata sulla topologia a stella, nella quale un punto centrale riceve tutti i dati provenienti dagli apparati remoti, è fonte di un’intrinseca inaffidabilità; se, infatti, l’unico collegamento radio tra un generico punto periferico ed il centro stella dovesse venir meno, il dispositivo situato nel punto periferico non sarebbe più in grado di comunicare con il centro stella e, quindi, risulterebbe escluso dal sistema. Una rete mesh è caratterizzata da un’architettura a maglia che si contrappone a quella a stella tipica delle reti Wi-Fi comuni. In una rete mesh ogni apparato è un vero e proprio router wireless in grado, allo stesso tempo, di trasmettere, ricevere ed inoltrare pacchetti dati provenienti anche da altri apparati in campo. Le reti mesh si sono rivelate la soluzione ideale per applicazioni quali connettività Hotspot sia perché non richiedono alcun cablaggio fra i dispositivi periferici e quelli centrali di controllo e gestione sia perché forniscono l’affidabilità necessaria grazie all’architettura caratterizzata da numerosi percorsi scelti in maniera dinamica. La rete mesh si adatta, inoltre, particolarmente bene alle tortuosità dei centri storici italiani, dove il segnale radio deve essere rilanciato da router a router lungo le strade fino a raggiungere il punto centrale di controllo e gestione. 4 2. ARCHITETTURA RETI MESH Le soluzioni wireless basate sull’innovativa architettura del mesh networking adottano dispositivi in grado di trasmettere dati relativi alle periferiche direttamente collegate ad essi ed, allo stesso tempo, agire da ponti radio e router “intelligenti” capaci di inoltrare i pacchetti dati ricevuti da altri trasmettitori mesh attraverso il percorso ottimale. In questo modo, si realizza una rete affidabile e ridondante nella quale ogni flusso dati dispone di numerosi percorsi alternativi per raggiungere la stazione base; inoltre, ciascun pacchetto viene inoltrato in tempo reale attraverso il percorso ottimale. L’assenza di un singolo “point of failure” accresce notevolmente l’affidabilità dell’impianto rispetto a qualsiasi altra soluzione per la trasmissione dati wireless e via cavo. Un secondo aspetto fondamentale dell’architettura mesh risiede nella peculiarità dell’apparato trasmittente di riconoscere in maniera automatica, in fase di trasmissione, sia la tipologia del pacchetto che il protocollo di trasporto, ottimizzando, così, la trasmissione dei pacchetti in base alle loro caratteristiche. Inoltre, i pacchetti ad elevata priorità vengono distinti dagli altri ed il loro percorso viene prioritizzato per ridurre al massimo i ritardi. A differenza di molte altre soluzioni wireless, i protocolli di trasmissione mesh supportano la trasmissione in modalità multicast, dimezzando la banda necessaria per la trasmissione dei dati relativi a ciascuna periferica. Un avanzato algoritmo di selezione è in grado di valutare in tempo reale le condizioni del canale; in tal modo, il trasmettitore può sfruttare automaticamente a proprio vantaggio qualsiasi variazione del traffico e della qualità del segnale. 5 3. DISPOSITIVI Al fine di realizzare le isole hot spot in oggetto, saranno installati apparati dotati di doppia radio; di queste, una si occuperà della realizzazione della rete mesh e della connettività con la centrale mentre l’altra provvederà alla distribuzione della connettività mediante copertura del territorio individuato dalle isole stesse. La realizzazione della rete mesh vedrà l’adozione di antenne a 5,4 GHz che irradiano i segnali nella banda di frequenze ISM (Industrial Scientific and Medical); si tratta di una banda di frequenze regolarmente assegnata dal piano di ripartizione nazionale (ed internazionale) ad altro servizio e lasciata di libero impiego solo per le applicazioni che prevedono potenze EIRP (Massima Potenza Equivalente Irradiata da antenna Isotropica) estremamente limitate. Con l'attuale decreto Landolfi, la creazione di reti wireless in generale (anche su banda ISM) è stata liberalizzata; l’occupazione di tale banda di frequenze non è soggetta a licenze particolari, ma solamente ad una Autorizzazione Generale che in caso di aggiudicazione Gara, l’ente gestore, provvederà a chiedere. Per la realizzazione della copertura hot spot sarà utilizzata la tecnologia Wi-Fi con protocollo standard “802.11g” a 2,4 GHz., standard de facto nazionale regolarmente impiegato. L’utilizzo di queste frequenze è assoggettato alle normative antinquinamento elettromagnetico che garantiscono minimo impatto ambientale e controlli rigidi e frequenti nel tempo. I limiti attualmente in vigore sono: • Per i sistemi Wi-Fi 100 mW (EIRP) • Per i sistemi Hiperlan (Antenne a 5,4 GHz) 1W (EIRP) 6 La realizzazione del sistema di connettività Hot-spot prevede: 1) Apparati e sistemi per l’esecuzione dei collegamenti radio Punto-Punto utilizzanti la banda 5,47 – 5,725 GHz per la connessione fra le isole e la centrale 2) Apparati e sistemi per la realizzazione della rete mesh di accesso tramite Access Point locali per esterno 3) La fornitura di servizi professionali e delle attività correlate; 4. SICUREZZA Le reti wireless possono essere oggetto di attacchi da parte di hackers capaci di catturare le sessioni non cifrate e appropriarsi dell’identità delle persone autorizzate. Ci sono alcuni aspetti di sicurezza nell’ambito delle WLAN che i dispositivi proposti sono in grado di attuare. La sicurezza del wireless può essere abilitata da due parti: Autenticazione e Cifratura. I meccanismi di autenticazione possono essere usati per identificare il Client all’Access Point e viceversa, mentre la cifratura assicura che non sia possibile intercettare e decodificare i dati trasmessi. Autenticazione. Gli Access Point di rete supportano l’autenticazione MAC dei Clients, cioè viene accordato il traffico solo dagli indirizzi MAC autorizzati. 7 Un dispositivo determina se un particolare indirizzo MAC è valido inviando una richiesta ad un server RADIUS, il quale verifica la richiesta all’interno di un database ed abilita la sessione. Un’autenticazione basata esclusivamente sugli indirizzi MAC, tuttavia, non è il metodo di autenticazione più forte, ma fornisce una prima linea di sicurezza. La rete che si realizzerà prevedrà l’autenticazione basata su RADIUS implementata tramite EAP, come definito nello standard 802.1x. Cifratura. Molta attenzione è stata data all’algoritmo di cifratura. Esso è stato progettato con l’intento di assicurare un livello di sicurezza equivalente a quello delle reti Ethernet; lo scopo è raggiunto mediante la cifratura della porzione di dati di ogni pacchetto scambiato su una rete 802.11 a mezzo di una apposita chiave di cifratura. Quando viene abilitata la cifratura tra due dispositivi, entrambi devono avere la medesima chiave. Se solo un dispositivo è configurato per utilizzare tale sistema di cifratura, i due dispositivi non potranno comunicare anche se condividono la stessa chiave. WPA. Il WiFi Protected Access (WPA) è uno standard di sicurezza sviluppato da WiFi Alliance insieme allo Institute of Electrical and Electronics Engineers (IEEE). L’Access Point supporta lo standard 802.11i (WPA2), che è basato sullo standard di sicurezza 802.11i. 8 WPA sostituisce il classico sistema di cifratura (WEP) che ha dimostrato avere diverse vulnerabilità, risolve le debolezze dei sistemi di cifratura e fornisce un ambiente di sicurezza più forte. Per migliorare la cifratura dei dati, il WiFi Protected Access usa un protocollo di integrità temporale di chiave. Autenticazione mediante 802.1x e EAP. L’autenticazione degli utenti in WiFi Protected Access è implementata usando lo standard di sicurezza 802.1x e EAP (Extensible Authentication Protocol). Usate insieme queste tecnologie forniscono un metodo per l’autenticazione forte. Questo metodo usa un server di autenticazione centrale, che impiega una mutua autenticazione in modo che l’utente non acceda accidentalmente ad una rete “rogue”. Rilevazione di un AP non autorizzato. Un Access Point non autorizzato può compromettere la sicurezza di una rete wireless esponendo i propri “asset” al mondo esterno. Per controbattere questa vulnerabilità, gli amministratori di rete devono prima rivelare la presenza di un Access Point del genere e poi localizzarlo. Esso è un qualsiasi Access Point connesso alla rete senza autorizzazione, non è gestito dall’amministratore di rete e non necessariamente è conforme alle politiche di sicurezza implementate sulla rete. Un Access Point non autorizzato consente a chiunque sia dotato di un dispositivo WiFi di connettersi alla rete, lasciando una porta aperta agli “snooper” casuali o “hacker” criminali; esso può rappresentare un serio problema. 9 Rilevazione di un Access Point non autorizzato. Gli Access Point spia sono configurabili dall’amministratore di rete per fornire una rilevazione degli Access Point non autorizzati proattiva in entrambe le bande. Tale funzionalità è implementata attraverso uno scanning passivo e attivo nell’area di copertura. Gli AP spia effettuano lo scanning in background senza degradare le prestazioni di traffico. In definitiva, un Network Manager centralizzato riceve le informazioni degli indirizzi MAC di tutti i client wireless rilevati dagli Access Point ed interroga tutti gli switch per capire la porta da cui questi client entrano in rete. Se essa non corrisponde ad un Access Point valido, la porta dello switch viene bloccata. QoS. Gli Access Point supportano un protocollo che rappresenta la soluzione per le funzionalità QoS basata sulle specifiche IEEE 802.11e. Esse definiscono le evoluzioni a livello MAC per le applicazioni WLAN con necessità di Quality of Service, che includono il trasporto della voce e del video. I miglioramenti apportati sono rappresentati da un cambio del formato della trama trasmessa, dall’aggiunta di nuovi messaggi specifici e dalla definizione di nuove azioni nonché meccanismi di accesso al mezzo ed agli elementi di rete. E’ supportata la prioritizzazione dei servizi che può essere abilitata per singola interfaccia wireless. 10 Bilanciamento di carico intelligente. La soluzione di rete che sarà implementata offre ai clients attivi la possibilità di usufruire del bilanciamento intelligente del carico. Durante gli eventi di traffico intenso, come potrebbe accadere durante un’emergenza, i client vengono dirottati verso un Access Point meno carico, creando una distribuzione più equa del traffico. Inoltre, la rete incorpora una tecnologia in grado di modificare automaticamente la potenza trasmessa su ciascun canale radio. Per esempio, nel caso si verificasse un guasto su un Access Point, il protocollo “riparerà” automaticamente la rete, creando nuovi instradamenti; inoltre, provvederà a minimizzare un eventuale differenza di carico tra gli AP e preverrà la riduzione del throughput evitando l’utilizzo del medesimo canale da parte di AP adiacenti. 5. POSIZIONAMENTO ISOLE HOT SPOT Di seguito è riportato l’elenco delle postazioni attorno alle quali saranno realizzate le isole Wi-Fi Hot Spot. Postazione nr. Località – Coordinate GPS Postazione INCROCIO VIALE EUROPA - 40° 42’01.64’’N TVCC già VIA COSENZA 14° 29’22.22’’E esistente Postazione TVCC già 40° 42’06.05’’N PIAZZA SPARTACO 14° 29’06.27’’E CORSO ALCIDE DE GASPERI - 40° 43’30.00’’N (NORD) MARINA DI STABIA 14° 28’27.21’’E esistente 22 11