Speaker
Description
L’accesso sicuro a risorse protette richiede l’utilizzo di server VPN affidabili e semplici da usare. EduVPN[1] si propone proprio come soluzione open-source, user‑friendly, integrabile facilmente con sistemi di Single Sign‑On e capace di gestire in modo trasparente certificati e chiavi crittografiche. Il client, disponibile per le principali piattaforme desktop e mobile, svolge due funzioni: comunica con il portale per ottenere le configurazioni e interagisce con i nodi per instaurare le connessioni protette.
Grazie all’esperienza maturata in Sezione a Pisa e alla chiara separazione architetturale tra il portale web (vpn-user-portal) e i nodi che erogano i tunnel cifrati, il NetGroup ha realizzato un testbed VPN a livello nazionale. Il portale è stato installato sui sistemi di business continuity, con il supporto dei Servizi Nazionali, e collegato a vari nodi situati nelle sedi dell’Istituto che hanno partecipato alla fase di test. Dopo il login, l’utente visualizza la lista dei profili a cui ha diritto di accesso e può selezionare quello desiderato (ad esempio uno split tunnel). La scelta genera in modo dinamico una configurazione personalizzata che include il materiale crittografico, il nodo di connessione, il protocollo e tutti i parametri necessari alla creazione del tunnel. L’autenticazione multifattore è realizzata attraverso INFN‑AAI e sfrutta gli attributi SAML per definire le ACL. L’intera procedura è completamente automatizzata dal client EduVPN.
WireGuard è il protocollo preferenziale; tuttavia, in caso di filtraggi delle porte, i client possono utilizzare ProxyGuard, che sfrutta HTTPS e consente generalmente di aggirare tali limitazioni.
È stato inoltre verificato con successo lo scenario multi‑nodo per uno stesso profilo, utile per garantire alta affidabilità, bilanciamento del carico e manutenzione con impatto minimo sul servizio.
Per semplificare il deploy dei nodi e rendere riproducibile in tempi rapidi il setup dell'intera infrastruttura il gruppo di lavoro ha anche prodotto dei playbook ansible.
In base ai risultati ottenuti, la piattaforma si conferma una soluzione promettente per offrire un servizio VPN all’intera comunità INFN.
[1] https://www.eduvpn.org/