Resource Provider

Un Resource Provider è un ente che partecipa alla federazione eduroam fornendo gli apparati e l’infrastruttura di rete che permette agli utenti di accedere alla rete.

Possono aderire come Resource Provider anche gli enti, istituti o organizzazioni che non sono collegati alla rete GARR come indicato in Chi può aderire ad eduroam.

Requisiti

I requisiti per essere un Resource Provider sono:

  • Avere un'infrastruttura wifi che supporti 802.1X e WPA2/AES

  • Diffondere un SSID denominato eduroam

  • Un RADIUS server correttamente configurato

Obblighi

Come stabilito dal Regolamento Italiano della Federazione eduroam un Resource Provider deve:

  • fornire accesso ad almeno le seguenti porte e protocolli:

    • IPSec VPN: protocolli IP 50 (ESP) e 51 (AH) (entrata e uscita) e UDP/500 (IKE) (uscita)

    • OpenVPN 2.0: UDP/1194 (entrata e uscita)

    • IPv6 Tunnel Broker service: protocollo IP 41 (entrata e uscita)

    • IPsec NAT-Traversal: UDP/4500 (entrata e uscita)

    • Cisco IPSec VPN over TCP: TCP/10000 (uscita)

    • PPTP VPN: protocollo IP 47 (GRE) (entrata e uscita) e TCP/1723 (uscita)

    • SSH: TCP/22 (uscita)

    • HTTP e HTTPS: TCP/80, TCP/443, TCP/3128, TCP/8080 (uscita)

    • IMAP4 e IMAPS: TCP/143 e TCP/993 (uscita)

    • POP3 e POP3S: TCP/110 e TCP/995 (uscita)

    • (S)FTP passivo: TCP/21 (uscita)

    • SMTPS: TCP/465 (uscita)

    • SMTP submission via STARTTLS: TCP/587 (uscita).

  • le porte a cui hanno accesso i visitatori non dovrebbe essere ristretto (ossia consentire, oltre a quelle indicate nel punto precedente, il traffico in uscita senza filtri). Ove ciò non sia possibile, il numero di porte filtrate dovrebbe essere il minore possibile.

  • offrire almeno servizi wireless LAN IEEE 802.11b, mentre è consigliato IEEE 802.11g e possono essere forniti anche IEEE 802.11a e successive implementazioni

  • utilizzare e annunciare il SSID eduroam: nel caso di conflitti con reti vicine, PUO' utilizzare un SSID del tipo eduroam-xxxxxx con xxxxxx una stringa che suggerisca il nome dell'ente che lo propaga

  • inviare, all'interndo del datagramma RADIUS, il valore del Calling-Station-Id che deve essere valorizzato con il MAC Address del dispositivo che si sta collegando ad eduroam.

  • supportare IEEE 802.1X

  • supportare WPA2/AES (WPA2/TKIP PUO' essere supportato)

  • nominare almeno una persona responsabile del servizio, comunicandone al GARR il nominativo, l'indirizzo email e il numero di telefono. Eventuali variazioni di contatti tecnici e delle relative informazioni devono essere comunicate al GARR

  • assicurarsi che i sistemi utilizzati dagli utenti roaming siano configurati e mantenuti secondo i correnti standard di sicurezza, in modo da non mettere in pericolo la sicurezza propria e delle altre Organizzazioni

  • predisporre una pagina web che contenga la propria AUP e le informazioni necessarie per la connessione.

  • collaborare con l’Organizzazione a cui appartengono gli utenti del servizio roaming per risolvere eventuali problemi

  • collaborare con il GARR per la risoluzione di eventuali incidenti di sicurezza

  • conservare, per un periodo minimo di sei mesi o maggiore se prescritto dalla legislazione vigente, le informazioni relative agli accessi ed in particolare:

    • data e ora della richiesta

    • il valore dell'User-Name della richiesta (outer-identity)

    • il Calling-Station-Id nelle richieste di autenticazione

    • l’accoppiamento tra l'indirizzo hardware dell’apparato usato dall’utente e l’indirizzo IP assegnato

    • se presente, il valore del Chargeable-User-Identity

    • il risultato dell’autenticazione restituito dall’authentication server

    • i valori di Accounting Session Id e Accounting status type per le richieste di Accounting

  • assegnare un indirizzo IPv4 attraverso un DHCP

Inoltre un Resource Provider dovrebbe:

  • oltre alle porte e ai protocolli sopra indicati, consentire tutte le connessioni in uscita

  • evitare l'uso del NAT: ove presente deve essere possibile identificare il mapping tra l'indirizzo pubblico e quello privato

  • fornire connettività IPV6

E' inoltre raccomandato:

  • l'invio dell'attributo Operator-Name

  • richiedere il Chargeable-User-Identity

  • installare un server RADIUS secondario

Infine un Resource Provider non dovrebbe:

  • utilizzare un proxy. Nel caso sia presente un proxy, esse non deve essere utilizzato per acquisita informazioni personali dell'utente prima dell'accesso ad Internet e l'utilizzo deve essere reso noto sul proprio sito web eduroam.

  • inviare le richieste di Accounting ai server del GARR

Identity Provider
Procedura