Rete informatica nella PA: come progettarla

Immaginiamo di voler progettare una rete informatica per un’Ente della PA (ad esempio una scuola).

Quali sono i requisiti richiesti?

  • sicurezza
  • affidabilità
  • espandibilità orizzontale/verticale
  • facilità di gestione
  • efficenza

 

Schema di Rete PA

schema di rete

Lo schema semplifica il progetto di una rete telematica per un istituto superiore con 800 alunni, 40 classi, diversi laboratori (informatica, fisica, scienze, aree comuni, ecc..).

Analisi delle necessità

Si vuole realizzare una rete LAN strutturata che deve:

  • offrire connettività alle 40 aule tutte dotate di postazione multimediale (LIM, proiettore e notebook) attraverso connettività wireless;
  • collegare tutti i laboratori (informatica, scienze, fisica), le aule speciali utilizzate per i disabili/DSA, le aree comuni (aula magna, biblioteca, palestra);
  • garantire l’accesso alle risorse WAN (internet)/LAN per la segreteria amministrativa e gli uffici di direzione;
  • consentire la fruizione della rete internet agli studenti, docenti, formatori esterni;
  • condividere risorse quali stampanti, NAS, server dedicati alla didattica e alla gestione amministrativa della scuola.

La principale necessità è quella di offrire un servizio che abbatta eventuali situazioni di DOS (denial of service) o assenza di servizio, riferito alla connettività alla rete internet, facilitando nel contempo la condivisione di risorse comuni (stampanti, server, NAS) e garantendo la totale sicurezza che segmenti le aree specifiche (didattica, laboratori, amministrazione).

A garanzia delle richieste formulate si possono ipotizzare soluzioni ad alto livello di efficacia, di servizio e di sicurezza, con totale controllo da parte dell’amministratore della rete al fine di monitorare con efficacia il funzionamento e l’utilizzo della risorsa LAN e WAN.

Connettività alla rete internet (WAN)

  • linea ADSL con un primo gestore: 20 Mbps;
  • linea ADSL con un secondo gestore: 20 Mbps.

La scelta di utilizzare due differenti canali di accesso alla rete internet, con due gestori distinti garantisce in caso di assenza del servizio, continuità di accesso e di servizio. Scegliere un unico gestore porterebbe ad un elevato rischio di interruzione di servizio che comprometterebbe le funzioni di connettività alla rete internet.

Sicurezza informatica e gestione della connettività internet.

  • Firewall di livello “enterprise” con funzionalità di:
    • antintrusione;
    • webfiltering (monitoraggio/blocco di accesso alle risorse internet quali i social network, file sharing, siti web inidonei o potenzialmente pericolosi);
    • antivirus e antispamming;
    • balancing delle risorse di connettività (gestione dei canali ADSL in base a specifiche richiesti di banda minima garantita);
    • monitoraggio e gestione dei log.
Gestione della sicurezza - Firewall

Gestione della sicurezza – Firewall

Segmentazione della connettività alla rete LAN (wired e wireless)

Importantissimo è segmentare la rete interna dell’istituto. Questa azione permette di gestire VLAN (Virtual Local Area Network) che separano logicamente e fisicamente le reti interne, garantendo livelli di sicurezza ottimali. Nello specifico si ipotizza di separare le reti delle aule (wireless) con le reti dei laboratori e delle aree comuni nonché la rete amministrativa (segreteria e direzione generale).

Pertanto fondamentale configurare uno switch (switch principale) di livello “enterprise” a valle del firewall dove configurare un numero congruo di VLAN (VLAN 1 – segreteria e Direzione Generale, VLAN 2 aule didattiche wifi – VLAN3 laboratori – VLAN 4 aule comuni – VLAN 5 wifi outdoor per connettere le aree esterne dell’istituto e la palestra, VLAN 6 per la gestione delle printer network).

Ogni segmento della rete logica sarà quindi gestito da switch di livello medio che comunque dovranno essi stessi gestire delle VLAN specifiche.

Ad esempio le VLAN per la gestione della rete WIFI e delle risorse condivise per la didattica (NAS, Application Server per la gestione di CMS-DMS interno per scopi didattici) potranno essere prese in carico dallo stesso switch; necessario valutare le conseguenze di un eventuale DOS dovuto al malfunzionamento dell’apparato.

Strategica è la gestione delle stampanti di rete, in carico ad uno switch specifico; all’interno di questo si dovrà valutare quali dispositivi possano essere utilizzati anche attraverso differenti classi di indirizzamento privato del tipo 192.168.xxx.yyy specifici per ogni area operativa.

Access Point Wireless

Particolare attenzione nella realizzazione della rete wireless.

Le necessità sono di garantire, all’interno dell’intero edificio e nelle aree adiacenti, connettività wifi con caratteristiche di sicurezza elevate.

Si dovranno configurare un numero congruo di accesso point, rigorosamente certificati secondo le specifiche europee in termini di inquinamento elettromagnetico; su un edificio che si sviluppa su 4 piani si possono ipotizzare 4 accesso point per ogni piano per un totale di 16 unità wireless, garantendo in tal modo la completa copertura e la stabilità della connettività anche durante gli spostamenti interni di device abilitati, ad esempio nell’ipotesi di una scelta BYOD (uso di dispositivi personali dei docenti/alunni nelle attività didattiche).

Gli access point devono poter gestire diversi profili di accesso quali:

  • profilo per la gestione e manutenzione rete (amministratore), con sicurezza garantita attraverso key assegnata dall’amministratore con password di 32 caratteri alfanumerici;
  • profilo per la gestione dei notebook d’aula; l’accesso alla rete wifi assegnata e configurata dall’amministratore di rete con password di 32 caratteri alfanumerici non modificabili/visualizzabile dall’utilizzatore del dispositivo (docente) dotato di accesso con livelli di gestione standard.
  • profilo HotSpot, senza protezione con password. A questo profilo accederanno i device personali dei docenti e degli studenti (tablet, smartphone) in base a politiche decise da appositi regolamenti. Questo profilo non dovrà avere nessuna visibilità della rete LAN d’istituto. L’accesso alla rete WAN (internet) dovrà essere gestita interamente attraverso autenticazione del firewall con verifica dei permessi attraverso la gestione di autorizzazioni identificabili con il MAC-ADDRESS di ogni singolo dispositivo che associa il device all’utilizzatore in modo univoco.
Monitoraggio Access Point WIFI

Monitoraggio Access Point WIFI

Fondamentale è la scelta di dispositivi wifi che possano monitorare e gestire ogni singolo access point anche attraverso politiche di accesso e sicurezza. Ad esempio nel caso in cui si manifestasse un eccessivo traffico da parte di uno o più device di studenti, questa informazione dovrà essere immediatamente disponibile all’amministratore di rete anche con sistemi automatici di allert (e-mail, sms, query facilmente integrabile all’interno della dashboard di amministrazione, ecc..).

Progettare una rete per una scuola è estremamente complesso; è necessario valutare tutte le possibili situazioni di rischio (siamo in presenza di minori quindi una attenzione maggiore è dovuta anche in termini di legge); una figura professionale con competenze adeguate non sempre è presente nella scuola e quindi si dovranno considerare anche le difficoltà legate alla semplificazione (non banalizzazione) di gestione, sopratutto delle autorizzazioni.

Affidarsi ad un esperto è la soluzione migliore sia in fase di progettazione/realizzazione sia durante l’utilizzo; una consulenza a supporto della figura interna che dovrà/potrà essere formata adeguatamente e che rappresenta la prima interfaccia nella gestione e nel mantenimento di un sistema di networking oggi indispensabile.

Per ogni necessità potete scrivermi all’indirizzo ict@gianfrancobordoni.eu

 

Un commento

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *