Wireless o wired, reti in sicurezza

Data di pubblicazione: 2006

Le esigenzeTop

Uniformità e solidità di piattaforma come fattori di innovazione
SEAT Pagine Gialle continua sulla strada dell’innovazione tecnologica e dell’efficienza operativa. Dopo il consolidamento della piattaforma collaborativa e dei sistemi client, l’infrastruttura Microsoft realizzata con i prodotti di ultima generazione ha aperto nuove opportunità per l’evoluzione dei servizi applicativi e di networking. Occorreva eliminare i vincoli infrastrutturali e geografici nell’accesso alle risorse informative per offrire al management e alla forza vendita strumenti più efficaci, mentre l’esigenza di mobilità interna con la massima semplicità di connessione in rete richiedeva una soluzione per accesso wireless alla LAN della sede centrale di Torino. Gli imperativi di sicurezza richiesti ai sistemi di connessione e al software di autenticazione hanno spinto i responsabili IT di SEAT Pagine Gialle verso l’utilizzo dei più avanzati componenti Microsoft per la protezione dell’infrastruttura di rete. La piattaforma Microsoft Windows Server 2003 e la gestione con Active Directory dei profili utente costituivano gli elementi abilitanti del progetto di connettività wireless.
“L’uniformità dei client sulle tecnologie più aggiornate e la solidità della nostra piattaforma server costituivano le premesse indispensabili per rispondere rapidamente all’esigenza di connettività wireless”, premette Umberto Casalone, responsabile Progetti, Architetture, EAI e Sicurezza Tecnologica di SEAT Pagine Gialle. “I massimi livelli di sicurezza, la solidità dei meccanismi di autenticazione e le funzioni di roaming automatico costituivano le sfide principali di questo progetto”.

La soluzioneTop

Accesso wireless senza complessità di implementazione, gestione e utilizzo
La piattaforma Microsoft Windows Server 2003 ha permesso di evolvere rapidamente la rete locale verso soluzioni di accesso complementari fra loro, wireless o cablate che fossero, mentre il client Microsoft Windows XP SP2 è in grado di passare automaticamente da rete cablata a wireless. Un meccanismo di autenticazione automatizzato garantisce la massima sicurezza delle risorse senza impatti operativi sugli utenti o sul personale che gestisce i sistemi IT.
Sfruttando le caratteristiche intrinseche della piattaforma Microsoft Windows Server 2003 e dei client Microsoft Windows XP SP2, SEAT Pagine Gialle ha quindi realizzato una soluzione wireless sicura, flessibile e a basso costo di esercizio.
“Abbiamo adottato gli standard più recenti all’interno dell’infrastruttura di sicurezza Microsoft e usufruito di un importante supporto da parte del partner tecnologico”, afferma Casalone. “L’allineamento dei client su Microsoft Windows XP SP2 ha notevolmente semplificato l’implementazione del servizio wireless, mentre sul lato server la funzione di enrollment automatico dei certificati offerta dalla piattaforma Microsoft ha reso il servizio completamente trasparente per gli utenti. Infine, il protocollo utilizzato, con aggiornamento della chiave ogni dieci minuti rende impossibile l’intercettazione dei contenuti dall’esterno”.

I beneficiTop

Funzioni di sicurezza migliorate senza costi aggiuntivi
“La gestione della sicurezza sui diversi livelli dell’infrastruttura comporta generalmente un innalzamento dei costi di gestione. In questo caso, l’introduzione dell’accesso wireless non ha comportato alcun impatto sull’infrastruttura sistemistica esistente, ma anzi ha introdotto in modo trasparente un ulteriore elemento di protezione. Le nuove politiche di autenticazione contribuiscono infatti alla sicurezza complessiva sia nell’accesso wireless, sia sulla rete cablata”, afferma Casalone. “I nuovi standard tecnologici e l’integrazione di piattaforma abilitano policy di accesso rigorose ma di semplice gestibilità, realizzando così un rapporto molto favorevole fra livello di sicurezza e costi operativi”.

La soddisfazione dei primi utenti abilitati
I punti di accesso wireless sono stati distribuiti in modo mirato su diversi spazi di lavoro della direzione centrale di Seat Pagine Gialle, e la valutazione funzionale data dai primi 100 utenti abilitati al servizio è stata molto positiva. Il certificato digitale utilizzato costituisce un oggetto intangibile che evita i problemi di smarrimento tipici delle smart card e presenta costi di esercizio inferiori. Infine, la rete wireless offre la possibilità di eliminare prese di rete che costituiscono punti di possibile accesso non autorizzato, e quindi di vulnerabilità.

Massima sicurezza e minima complessità di gestione
Con questo progetto, SEAT Pagine Gialle ha rapidamente implementato servizi di accesso wireless alla propria rete, mantenendo i punti fermi della massima sicurezza e minima complessità di gestione. Le caratteristiche della nuova piattaforma Microsoft lato client e lato server sono state sperimentate a fondo per garantire in caso di bisogno un’immediata scalabilità del servizio verso migliaia di utenti.
“La semplificazione del deployment e della gestione del servizio wireless resa possibili dalla coerenza della nostra architettura ci ha permesso di mantenere una bassa complessità infrastrutturale e quindi dei bassi costi di gestione”, conclude Umberto Casalone. “Grazie a questo progetto siamo oggi in grado di confrontare con precisione la convenienza funzionale ed economica dei progetti di connettività wired o wireless, e in base alle specifiche esigenze di business possiamo gestire l’espansione dei servizi di networking utilizzando in modo complementare entrambe le tecnologie”.

Public Key Infrastructure e architettura Radius
La rete wireless costruita da SEAT Pagine Gialle si basa sull’integrazione con i servizi di Identity Management messi a disposizione da Active Directory e da una Public Key Infrastructure sviluppata all’interno di Microsoft Windows Server 2003. Per far fronte ai requisiti di massima sicurezza negli accessi wireless è stato scelto un sistema di autenticazione basato su user-id, password e certificato digitale. L’utente riceve il proprio certificato senza alcuna azione manuale poiché i certificati vengono invocati in automatico all’interno della Private Key Infrastructure che ne gestisce emissione, verifica, rinnovo e revoca.
Per la realizzazione del certificato individuale SEAT Pagine Gialle utilizza il servizio IAS (Servizio di Autenticazione Internet) Radius (Remote Authentication Dial-in User Service) di Microsoft Windows Server 2003 definendo un’architettura di Single Sign On su Active Directory, con Microsoft Certificate Services per la gestione dei certificati digitali all’interno di Microsoft Windows Server 2003. Come server Radius, il servizio IAS esegue operazioni centralizzate di autenticazione, autorizzazione e accounting delle connessioni. In questo modo, l’inserimento di account utente e account macchina in un gruppo all’interno di Active Directory abilita il certificato digitale e l’autorizzazione al servizio Wi-Fi, evitando di creare un nuovo database degli utenti della rete wireless. Dopo il logon sul dominio Windows, l’utente riceve il proprio certificato senza alcuna azione manuale poiché i certificati vengono invocati in automatico all’interno della Private Key Infrastructure che ne gestisce emissione, verifica, rinnovo e revoca. Lo standard Wireless Protected Access è stato implementato nella sua modalità più “solida”, definita da protocolli per l’autenticazione e la cifratura delle trasmissioni fra access point e dispositivi client.
Il deployment della soluzione wireless è stato semplificato dagli standard funzionali di Microsoft Windows XP SP2, come l’auto-enrollment dei certificati, mentre la possibilità di utilizzare un’unica piattaforma integrata client e server ha permesso di autenticare con le stesse modalità gli utenti che accedono in remoto attraverso soluzioni di network diverse dal wireless, come Virtual Private Network e RAS.


Case History in breve