REL - 08 Modulo Isole Wi-Fi Hot Spot

INTEGRAZIONE ED ESPANSIONE DEL SISTEMA DI
VIDEOSORVEGLIANZA DEL COMUNE DI
CASTELLAMMARE DI STABIA
TITOLO ELABORATO: MODULO ISOLE WI-FI HOT SPOT
INDICE
1. PREMESSA
4
2. ARCHITETTURA RETI MESH
5
3. DISPOSITIVI
6
4. SICUREZZA
7
5. POSIZIONAMENTO ISOLE HOT SPOT
11
1. PREMESSA
Il presente modulo illustra le tecnologie ed i dispositivi per la realizzazione di aree di
copertura wireless all’interno delle quali il personale abilitato ha la possibilità di
collegarsi direttamente alla sala operativa della Polizia Municipale a mezzo di strumenti
portatili e stazioni mobili.
Saranno create isole Wi-Fi hot spot in diversi punti del territorio; le suddette isole
saranno interconnesse mediante rete Mesh.
L’architettura delle reti Wi-Fi basata sulla topologia a stella, nella quale un punto
centrale riceve tutti i dati provenienti dagli apparati remoti, è fonte di un’intrinseca
inaffidabilità; se, infatti, l’unico collegamento radio tra un generico punto periferico ed
il centro stella dovesse venir meno, il dispositivo situato nel punto periferico non
sarebbe più in grado di comunicare con il centro stella e, quindi, risulterebbe escluso dal
sistema.
Una rete mesh è caratterizzata da un’architettura a maglia che si contrappone a quella a
stella tipica delle reti Wi-Fi comuni.
In una rete mesh ogni apparato è un vero e proprio router wireless in grado, allo stesso
tempo, di trasmettere, ricevere ed inoltrare pacchetti dati provenienti anche da altri
apparati in campo.
Le reti mesh si sono rivelate la soluzione ideale per applicazioni quali connettività Hotspot sia perché non richiedono alcun cablaggio fra i dispositivi periferici e quelli
centrali di controllo e gestione sia perché forniscono l’affidabilità necessaria grazie
all’architettura caratterizzata da numerosi percorsi scelti in maniera dinamica.
La rete mesh si adatta, inoltre, particolarmente bene alle tortuosità dei centri storici
italiani, dove il segnale radio deve essere rilanciato da router a router lungo le strade
fino a raggiungere il punto centrale di controllo e gestione.
4
2. ARCHITETTURA RETI MESH
Le soluzioni wireless basate sull’innovativa architettura del mesh networking adottano
dispositivi in grado di trasmettere dati relativi alle periferiche direttamente collegate ad
essi ed, allo stesso tempo, agire da ponti radio e router “intelligenti” capaci di inoltrare i
pacchetti dati ricevuti da altri trasmettitori mesh attraverso il percorso ottimale.
In questo modo, si realizza una rete affidabile e ridondante nella quale ogni flusso dati
dispone di numerosi percorsi alternativi per raggiungere la stazione base; inoltre,
ciascun pacchetto viene inoltrato in tempo reale attraverso il percorso ottimale.
L’assenza di un singolo “point of failure” accresce notevolmente l’affidabilità
dell’impianto rispetto a qualsiasi altra soluzione per la trasmissione dati wireless e via
cavo.
Un secondo aspetto fondamentale dell’architettura mesh risiede nella peculiarità
dell’apparato trasmittente
di
riconoscere
in
maniera
automatica, in
fase
di
trasmissione, sia la tipologia del pacchetto che il protocollo di trasporto, ottimizzando,
così, la trasmissione dei pacchetti in base alle loro caratteristiche.
Inoltre, i pacchetti ad elevata priorità vengono distinti dagli altri ed il loro percorso
viene prioritizzato per ridurre al massimo i ritardi.
A differenza di molte altre soluzioni wireless, i protocolli di trasmissione mesh
supportano la trasmissione in modalità multicast, dimezzando la banda necessaria per la
trasmissione dei dati relativi a ciascuna periferica.
Un avanzato algoritmo di selezione è in grado di valutare in tempo reale le condizioni
del canale; in tal modo, il trasmettitore può sfruttare automaticamente a proprio
vantaggio qualsiasi variazione del traffico e della qualità del segnale.
5
3. DISPOSITIVI
Al fine di realizzare le isole hot spot in oggetto, saranno installati apparati dotati di
doppia radio; di queste, una si occuperà della realizzazione della rete mesh e della
connettività con la centrale mentre l’altra provvederà alla distribuzione della
connettività mediante copertura del territorio individuato dalle isole stesse.
La realizzazione della rete mesh vedrà l’adozione di antenne a 5,4 GHz che irradiano i
segnali nella banda di frequenze ISM (Industrial Scientific and Medical); si tratta di una
banda di frequenze regolarmente assegnata dal piano di ripartizione nazionale (ed
internazionale) ad altro servizio e lasciata di libero impiego solo per le applicazioni che
prevedono potenze EIRP (Massima Potenza Equivalente Irradiata da antenna Isotropica)
estremamente limitate.
Con l'attuale decreto Landolfi, la creazione di reti wireless in generale (anche su banda
ISM) è stata liberalizzata; l’occupazione di tale banda di frequenze non è soggetta a
licenze particolari, ma solamente ad una Autorizzazione Generale che in caso di
aggiudicazione Gara, l’ente gestore, provvederà a chiedere.
Per la realizzazione della copertura hot spot sarà utilizzata la tecnologia Wi-Fi con
protocollo standard “802.11g” a 2,4 GHz., standard de facto nazionale regolarmente
impiegato.
L’utilizzo di queste frequenze è assoggettato alle normative
antinquinamento
elettromagnetico che garantiscono minimo impatto ambientale e controlli rigidi e
frequenti nel tempo.
I limiti attualmente in vigore sono:
•
Per i sistemi Wi-Fi 100 mW (EIRP)
•
Per i sistemi Hiperlan (Antenne a 5,4 GHz) 1W (EIRP)
6
La realizzazione del sistema di connettività Hot-spot prevede:
1) Apparati e sistemi per l’esecuzione dei collegamenti
radio Punto-Punto
utilizzanti la banda 5,47 – 5,725 GHz per la connessione fra le isole e la
centrale
2) Apparati e sistemi per la realizzazione della rete mesh di accesso tramite Access
Point locali per esterno
3) La fornitura di servizi professionali e delle attività correlate;
4. SICUREZZA
Le reti wireless possono essere oggetto di attacchi da parte di hackers capaci di catturare
le sessioni non cifrate e appropriarsi dell’identità delle persone autorizzate.
Ci sono alcuni aspetti di sicurezza nell’ambito delle WLAN che i dispositivi proposti
sono in grado di attuare.
La sicurezza del wireless può essere abilitata da due parti: Autenticazione e Cifratura.
I meccanismi di autenticazione possono essere usati per identificare il Client all’Access
Point e viceversa, mentre la cifratura assicura che non sia possibile intercettare e
decodificare i dati trasmessi.
Autenticazione.
Gli Access Point di rete supportano l’autenticazione MAC dei Clients, cioè viene
accordato il traffico solo dagli indirizzi MAC autorizzati.
7
Un dispositivo determina se un particolare indirizzo MAC è valido inviando una
richiesta ad un server RADIUS, il quale verifica la richiesta all’interno di un database
ed abilita la sessione.
Un’autenticazione basata esclusivamente sugli indirizzi MAC, tuttavia, non è il metodo
di autenticazione più forte, ma fornisce una prima linea di sicurezza.
La rete che si realizzerà prevedrà l’autenticazione basata su RADIUS implementata
tramite EAP, come definito nello standard 802.1x.
Cifratura.
Molta attenzione è stata data all’algoritmo di cifratura.
Esso è stato progettato con l’intento di assicurare un livello di sicurezza equivalente a
quello delle reti Ethernet; lo scopo è raggiunto mediante la cifratura della porzione di
dati di ogni pacchetto scambiato su una rete 802.11 a mezzo di una apposita chiave di
cifratura.
Quando viene abilitata la cifratura tra due dispositivi, entrambi devono avere la
medesima chiave.
Se solo un dispositivo è configurato per utilizzare tale sistema di cifratura, i due
dispositivi non potranno comunicare anche se condividono la stessa chiave.
WPA.
Il WiFi Protected Access (WPA) è uno standard di sicurezza sviluppato da WiFi
Alliance insieme allo Institute of Electrical and Electronics Engineers (IEEE).
L’Access Point supporta lo standard 802.11i (WPA2), che è basato sullo standard di
sicurezza 802.11i.
8
WPA sostituisce il classico sistema di cifratura (WEP) che ha dimostrato avere diverse
vulnerabilità, risolve le debolezze dei sistemi di cifratura e fornisce un ambiente di
sicurezza più forte.
Per migliorare la cifratura dei dati, il WiFi Protected Access usa un protocollo di
integrità temporale di chiave.
Autenticazione mediante 802.1x e EAP.
L’autenticazione degli utenti in WiFi Protected Access è implementata usando lo
standard di sicurezza 802.1x e EAP (Extensible Authentication Protocol).
Usate insieme queste tecnologie forniscono un metodo per l’autenticazione forte.
Questo metodo usa un server di autenticazione centrale, che impiega una mutua
autenticazione in modo che l’utente non acceda accidentalmente ad una rete “rogue”.
Rilevazione di un AP non autorizzato.
Un Access Point non autorizzato può compromettere la sicurezza di una rete wireless
esponendo i propri “asset” al mondo esterno.
Per controbattere questa vulnerabilità, gli amministratori di rete devono prima rivelare
la presenza di un Access Point del genere e poi localizzarlo.
Esso è un qualsiasi Access Point connesso alla rete senza autorizzazione, non è gestito
dall’amministratore di rete e non necessariamente è conforme alle politiche di sicurezza
implementate sulla rete.
Un Access Point non autorizzato consente a chiunque sia dotato di un dispositivo WiFi
di connettersi alla rete, lasciando una porta aperta agli “snooper” casuali o “hacker”
criminali; esso può rappresentare un serio problema.
9
Rilevazione di un Access Point non autorizzato.
Gli Access Point spia sono configurabili dall’amministratore di rete per fornire una
rilevazione degli Access Point non autorizzati proattiva in entrambe le bande.
Tale funzionalità è implementata attraverso uno scanning passivo e attivo nell’area di
copertura.
Gli AP spia effettuano lo scanning in background senza degradare le prestazioni di
traffico.
In definitiva, un Network Manager centralizzato riceve le informazioni degli indirizzi
MAC di tutti i client wireless rilevati dagli Access Point ed interroga tutti gli switch per
capire la porta da cui questi client entrano in rete.
Se essa non corrisponde ad un Access Point valido, la porta dello switch viene bloccata.
QoS.
Gli Access Point supportano un protocollo che rappresenta la soluzione per le
funzionalità QoS basata sulle specifiche IEEE 802.11e.
Esse definiscono le evoluzioni a livello MAC per le applicazioni WLAN con necessità
di Quality of Service, che includono il trasporto della voce e del video.
I miglioramenti apportati sono rappresentati da un cambio del formato della trama
trasmessa, dall’aggiunta di nuovi messaggi specifici e dalla definizione di nuove azioni
nonché meccanismi di
accesso al mezzo ed agli elementi di rete.
E’ supportata la prioritizzazione dei servizi che può essere abilitata per singola
interfaccia wireless.
10
Bilanciamento di carico intelligente.
La soluzione di rete che sarà implementata offre ai clients attivi la possibilità di
usufruire del bilanciamento intelligente del carico.
Durante gli eventi di traffico intenso, come potrebbe accadere durante un’emergenza, i
client vengono dirottati verso un Access Point meno carico, creando una distribuzione
più equa del traffico.
Inoltre, la rete incorpora una tecnologia in grado di modificare automaticamente la
potenza trasmessa su ciascun canale radio.
Per esempio, nel caso si verificasse un guasto su un Access Point, il protocollo
“riparerà” automaticamente la rete, creando nuovi instradamenti; inoltre, provvederà a
minimizzare un eventuale differenza di carico tra gli AP e preverrà la riduzione del
throughput evitando l’utilizzo del medesimo canale da parte di AP adiacenti.
5. POSIZIONAMENTO ISOLE HOT SPOT
Di seguito è riportato l’elenco delle postazioni attorno alle quali saranno realizzate le
isole Wi-Fi Hot Spot.
Postazione nr. Località – Coordinate GPS
Postazione
INCROCIO VIALE EUROPA -
40° 42’01.64’’N
TVCC già
VIA COSENZA
14° 29’22.22’’E
esistente
Postazione
TVCC già
40°
42’06.05’’N
PIAZZA SPARTACO
14° 29’06.27’’E
CORSO ALCIDE DE GASPERI -
40° 43’30.00’’N
(NORD) MARINA DI STABIA
14° 28’27.21’’E
esistente
22
11