Infrastruttura per Smart Working e Videosorveglianza in Studio Associato

Infrastruttura per Smart Working e Videosorveglianza in Studio Associato

Tipologia: Un modem/router Linux e un server Linux per gestire un sistema di Videosorveglianza e permettere a tre professionisti di accedere da remoto alla rete del proprio ufficio

OS: Debian Linux, OpenWrt

Piattaforme: Nextcloud, OpenVPN, Zoneminder, Asterisk

GDPR Compliance

Il sistema è completamente GDPR Compliant, i dati sono archiviati sui server privati che sono protetti da avanzate misure di sicurezze che annullano quasi totalmente il rischio di Data Breach

Un Modem/Router DGA4132 con accesso root, tre semplici switch e un Miniserver ARM con CPU octa-core da 2 GHz e 3 GB di RAM DDR3

L'infrastruttura è stata progettata per uno Studio Associato con un unico abbonamento internet in cui lavorano tre diversi professionisti ognuno col proprio ufficio: un ingegnere, un architetto ed un commercialista.

Le necessità dello Studio Associato erano:

  • un centralino VoIP
  • un sistema di videosorveglianza
  • tre reti locali completamente separate, una per ogni professionista
  • permettere ai professionisti di lavorare da remoto in totale sicurezza e rispettando il GDPR

Le necessità dei tre professionisti erano inoltre diverse tra di loro:

  • l'ingegnere e l'architetto avevano ognuno nel proprio ufficio un proprio computer e necessitavano di accedere ai propri documenti da remoto
  • il commercialista aveva nel proprio ufficio due computer ed un server con dati e gestionale e necessitava di collegarsi da remoto al server per accedere al gestionale ed ai dati

Si è quindi deciso di creare quattro reti locali completamente separate, una per servire l'intero studio e le altre tre per i professionisti.

Per creare le quattro reti locali separate si è deciso di utilizzare un modem/router DGA4132, col quale sono state create quattro diverse vlan separando fisicamente le porte dello switch interno, e per permettere ai tre professionisti di accedere da remoto alla propria rete locale è stata creata una nuova connessione pppoe per ognuna delle quattro vlan. In questo modo ogni professionista utilizza in totale sicurezza una propria rete locale, con una propria connessione internet e con un proprio indirizzo IP pubblico e ognuno di essi può accedere da remoto alla propria rete locale.

Per permettere ai tre professionisti di collegare alla propria rete locale più dispositivi si sono utilizzati tre semplici ed economici switch gigabit, uno per ogni ufficio.

Per soddisfare infine le specifiche esigenze dei tre professionisti sono stati utilizzati due differenti approcci.

L'ingegnere e l'architetto necessitavano di accedere da remoto ai propri documenti, si è quindi deciso di installare nello studio un Miniserver ARM con CPU octa-core da 2 GHz e con 3 GB di RAM DDR3 con Sistema Operativo Debian e piattaforma Nextcloud sincronizzata in locale con i computer per erogare un Cloud Privato accessibile da qualsiasi parte del mondo. In questo modo i due professionisti possono accedere ai propri dati archiviati sul proprio Cloud Privato tramite un qualsiasi browser, tramite Esplora Risorse di Windows o con una semplice app da smartphone. Ogni professionista ha il proprio account, i dati sono completamente privati.

Il commercialista invece necessitava di potersi collegare da remoto al proprio server Linux per accedere ai dati su di esso archiviati e per poter lavorare col gestionale su di esso installato. Si è quindi deciso di installare sul server una VPN con OpenVPN configurato in modalità TAP Bridge con profilo client splitted. In questo modo il professionista può accedere al server remoto tramite la VPN continuando però ad utilizzare la connessione locale per navigare in internet senza quindi dover subire i rallentamenti che si avrebbero utilizzando la vpn anche per la navigazione internet.

Il sistema di Videosorveglianza è stato realizzato installando sul Miniserver ARM la piattaforma Zoneminder, che se armato controlla 4 telecamere IP analizzando in tempo reale il flusso video delle telecamere per effettuare la rilevazione del movimento ed inviare le eventuali notifiche push sui telefoni dei professionisti che possono visionare le telecamere da remoto con una semplice app sul proprio smartphone.

Lo stesso Miniserver ARM si occupa quindi sia di erogare la piattaforma NextCloud per i due ingegneri che la piattaforma Zoneminder per tutti e tre i professionisti.

Il centralino VoIP è stato realizzato installando la piattaforma Asterisk sul modem/router dello studio e come telefoni VoIP vengono utilizzati gli smartphones collegati via wifi al router. Il modem/router inoltre protegge l'intera rete con un firewall iptables e blocca siti malevoli e pubblicità con adblock.

I server sono installati in rete in modalità headless, senza monitor e tastiera e sono totalmente GDPR Compliant.

La sicurezza dei server è garantita da diversi livelli di firewall (iptables, modsec, fail2ban) e da diversi certificati (ssl, ssh, openvpn). Nessuna persona non autorizzata può accedere ai server, ogni accesso non autorizzato viene bloccato e l'ip sorgente viene bannato.

I server sono configurati con un sistema di Monitoring/Alerting che controlla in tempo reale che tutto l'hardware ed il software funzionino correttamente ed invia un email al proprietario in caso di malfunzionamenti.

I server sono protetti da un UPS e sono in grado di rilevarne il livello di carica in modo da spegnersi correttamente in caso di mancanza prolungata della corrente.

La connessione è fornita da una Fibra Infostrada che offre una velocità di Download pari a 171.08 Mbit/s ed una velocità di Upload pari a 16.85 Mbit/s.