Il progetto realizzato per IFM – Italiana Facility Management
Il Cliente ha manifestato la necessità di potenziare la propria infrastruttura IT attraverso la configurazione di un sistema di autenticazione di rete basato su protocollo RADIUS. L’iniziativa è finalizzata a rafforzare i livelli di sicurezza, migliorare la resilienza dei servizi e garantire la continuità operativa, in linea con una strategia orientata all’innovazione e all’affidabilità infrastrutturale.
L’obiettivo specifico del progetto consiste nell’implementazione di un sistema di autenticazione RADIUS in grado di:
- Autenticare utenti e dispositivi mediante credenziali Active Directory
- Assegnare VLAN dinamiche in base all’appartenenza a gruppi di sicurezza AD
- Centralizzare la gestione degli accessi sia per la rete Wi-Fi sia per la rete cablata (LAN)
AMBITO DI RIFERIMENTO
L’intervento è stato progettato all’interno di un’infrastruttura con le seguenti caratteristiche:
- Dominio Active Directory sincronizzato con il tenant Microsoft 365 tramite Azure AD Connect
- Firewall e switch Fortinet
- Access point Aruba per la gestione della connettività wireless
SOLUZIONE INDIVIDUATA
Per soddisfare i requisiti progettuali, IWS ha proposto l’adozione del servizio Network Policy Server (NPS) di Microsoft, perfettamente integrabile con Active Directory e compatibile con le specifiche tecniche degli apparati in uso. La soluzione prevede:
- Assegnazione dinamica delle VLAN tramite attributi RADIUS
- Autenticazione 802.1X per la rete cablata
- Utilizzo del protocollo WPA2-Enterprise per la rete Wi-Fi
FASI DEL PROGETTO
- Preparazione Active Directory
Configurazione dei gruppi di sicurezza necessari all’assegnazione delle VLAN e alla definizione delle policy di accesso.
- Installazione e Configurazione NPS
Installazione del ruolo NPS sul server designato, registrazione nel dominio AD e configurazione degli apparati di rete come client RADIUS.
- Configurazione Policy NPS e GPO
Creazione delle policy di rete per la gestione dell’autenticazione e della segmentazione VLAN, accompagnata da distribuzione delle relative Group Policy per i client.
- Configurazione Apparati di Rete
Adeguamento della configurazione di switch e access point per il supporto all’autenticazione 802.1X e alla VLAN dinamica, con integrazione al server NPS.
- Test e Rollout Graduale
Verifica funzionale in ambiente controllato, seguita da un rollout progressivo del servizio su tutto l’ambiente produttivo per garantire continuità e ridurre l’impatto operativo.
OBIETTIVI RAGGIUNTI
- Incremento della sicurezza della rete: prevenzione di accessi non autorizzati a livello fisico e logico
- Accesso alla rete basato sull’identità: superamento dell’uso di password statiche, con autenticazione legata all’account utente AD
- Tracciabilità e audit degli accessi: possibilità di monitorare gli eventi di accesso per finalità di controllo e compliance
- Gestione centralizzata e dinamica della rete: l’assegnazione automatica delle VLAN semplifica la configurazione e la manutenzione
- Affidabilità del sistema di autenticazione: grazie alla ridondanza dei servizi RADIUS e all’integrazione con più controller di dominio
- Business Continuity: continuità operativa garantita anche in caso di malfunzionamenti o attività di manutenzione
- Ottimizzazione dei costi e del tempo: minimo impatto infrastrutturale grazie al riutilizzo di componenti esistenti e alla rapidità di implementazione
