Accesso alla rete locale

Overview

La rete locale di Sezione è stata oggetto di numerosi interventi atti da un lato a garantire la connettività a tutti i client autorizzati e dall’altro a creare un ambiente  con i requisiti di sicurezza che lo stato attuale della trasmissione dati richiede.

La nuova struttura mette tutti i client, wireless e cablati, su rete nascosta.  Sono ammesse eccezioni per macchine con funzioni server.

Si è ovviato quindi alla carenza di indirizzi pubblici (mancanza di connettività nelle ore di punta) configurando una rete nascosta in classe b che non presenta limitazioni sul numero dei possibili client configurabili. Questo stesso intervento fornisce anche la dovuta sicurezza nascondendo gli host dietro indirizzi non individuabili dalla rete estesa.     

La rete locale di Sezione è stata inoltre modificata allo scopo di rispettare le  indicazioni del progetto INFN sulla fruibilità dei servizi di connettività wireless da parte di associati o dipendenti INFN, conosciuto con il nome TRIP (The Roaming INFN Physicist).

Per l’accesso alle reti wifi, e a quella cablata, non è necessaria nessuna richiesta di abilitazione, l’ accesso avviene sempre e per tutti i device usando un meccanismo di autenticazione descritto in seguito. 

Connessione Wireless: sono le reti utilizzate da tutti i dispositivi mobili (notebook e smartphone)

Connessione Wired: sono le reti utilizzate dai dispositivi fissi (desktop, stampanti, sistemi di acquisizione e altri strumenti presenti nei laboratori).

 

Chi può e come usufruire dell’accesso

 

Utenza	Chi	Modalità di accesso	Registrazione	Rete wireless
Utenti locali	dipendenti, associati, personale di Sezione	Wireless o Cablato	Non è necessaria alcuna registrazione, occorre però configurare il computer come descritto in seguito poi l’accesso alla rete viene garantito autenticandosi con le proprie credenziali AAI	INFN-dot1x INFN-web eduroam
Utenti INFN di altre sezioni	dipendenti, associati, personale  INFN di altre Sezioni	Wireless o Cablato	Non è necessaria alcuna registrazione locale. Si usano le reti wifi con la stessa configurazione che si usa nella propria sede.    Si può usare la rete Cablata impostando l’ autenticazione 802.1X come descritto in seguito.	INFN-dot1x INFN-web eduroam
Ospiti	persone invitate a convegni o che utilizzano le strutture della Sezione per brevi periodi, che non sono utenti INFN	wireless con password fornita dal servizio	Non è necessaria alcuna registrazione, l’accesso alla rete viene garantito autenticandosi con le proprie credenziali AAI	INFN-web

Configurazione della rete

Guide per l’ accesso alla rete cablata INFN-wired con autenticazione 802.1X:

• Windows 10
• Windows 11 
• Linux
• Macosx

Guide per l’accesso alla reti wireless INFN-dot1x ed eduroam:

• Windows 10
• Windows 11
• Macosx. File di configurazione per INFN-dot1x e eduroam
• Linux

PROFILO DI SICUREZZA PER LE RETI INFN-dot1x E EDUROAM

• Crittografia: WPA2 Enterprise
• Tipo: EAP-TTLS (Tunneled TLS)
• Autenticazione: PAP Identity: username@PG.INFN.IT
• login: username@PG.INFN.IT
• password: XXXX (quella di INFN-AAI)
• Certificati: non è indispensabile l’uso dei certificati

sarà necessario usare sempre il login nella forma username seguito dal dominio e, come detto sopra, le credenziali di riferimento saranno quelle di INFN-AAI per tutte le reti.

Nel caso in cui in fase di autenticazione venga visualizzato un messaggio di warning  relativo al certificato del server, nel proprio sistema si devono aggiungere queste autorità di certificazione:

• Comodo
• USERTrust
• GEANT
• Sectigo

Configurazione ospiti (rete INFN-web)

Sistemi Windows:

• aprire l’elenco di reti wireless disponibili facendo doppio click sull’icona della connessione wireless in basso a destra dello schermo

• scegliere INFN-web (eventualmente premere Connetti)

• seguire la procedura comune di autenticazione descritta di seguito

Sistemi GNU/Linux :

• tramite ambiente grafico: selezionare l’icona della rete wifi in alto a destra, visualizzare l’ elenco delle reti e scegliere INFN-web

• da linea comando: digitare i comandi (supponendo che  eth1 è il nome della scheda wireless utilizzata):

>iwconfig eth1 essid INFN-web

>dhclient eth1 (Possono essere necessarie le credenziali di root).

• seguire la procedura comune di autenticazione descritta di seguito

 

Procedura comune di autenticazione per INFN-web

Aprire il proprio browser; se si usa il certificato digitale, occorre utilizzare un browser con installato il certificato X.509 dell’utilizzatore.

Al primo tentativo, si viene indirizzati alla pagina del Captive Portal

 

dopo aver effettuato il “Login” si viene rediretti nella pagina di autenticazione di INFN-AAI

a questo punto si possono usare le credenziali già comunicate dal Servizio di Calcolo oppure si può accedere tramite certificato X509.

Qualora richiesto si dovrà accettare il certificato della pagina, altrimenti non sarà possibile procedere.

Per ulteriori informazioni contattare il Servizio di Calcolo e Reti