Infrastruttura per Smart Working e Videosorveglianza in Studio Associato
Tipologia: Un modem/router Linux e un server Linux per gestire un sistema di Videosorveglianza e permettere a tre professionisti di accedere da remoto alla rete del proprio ufficio
OS: Debian Linux, OpenWrt
Piattaforme: Nextcloud, OpenVPN, Zoneminder, Asterisk, Voipblock
Cliente
Studio Associato
Tipologia: Professionisti
Luogo: San Giorgio del Sannio (Benevento)
Un Modem/Router DGA4132 con accesso root, tre semplici switch e un Miniserver ARM con CPU octa-core da 2 GHz e 3 GB di RAM DDR3
L'infrastruttura è stata progettata per uno Studio Associato con un unico abbonamento internet in cui lavorano tre diversi professionisti ognuno col proprio ufficio: un ingegnere, un architetto ed un commercialista.
Le necessità dello Studio Associato erano:
- un centralino VoIP con risponditore automatico (IVR)
- un sistema di videosorveglianza
- tre reti locali completamente separate, una per ogni professionista
- permettere ai professionisti di lavorare da remoto in totale sicurezza e rispettando il GDPR
Le necessità dei tre professionisti erano inoltre diverse tra di loro:
- l'ingegnere e l'architetto avevano ognuno nel proprio ufficio un proprio computer e necessitavano di accedere ai propri documenti da remoto
- il commercialista aveva nel proprio ufficio due computer ed un server con dati e gestionale e necessitava di collegarsi da remoto al server per accedere al gestionale ed ai dati
Si è quindi deciso di creare quattro reti locali completamente separate, una per servire l'intero studio e le altre tre per i professionisti.
Per creare le quattro reti locali separate si è deciso di utilizzare un modem/router DGA4132, col quale sono state create quattro diverse vlan separando fisicamente le porte dello switch interno, e per permettere ai tre professionisti di accedere da remoto alla propria rete locale è stata creata una nuova connessione pppoe per ognuna delle quattro vlan. In questo modo ogni professionista utilizza in totale sicurezza una propria rete locale, con una propria connessione internet e con un proprio indirizzo IP pubblico e ognuno di essi può accedere da remoto alla propria rete locale.
Per permettere ai tre professionisti di collegare alla propria rete locale più dispositivi si sono utilizzati tre semplici ed economici switch gigabit, uno per ogni ufficio.
Per soddisfare infine le specifiche esigenze dei tre professionisti sono stati utilizzati due differenti approcci.
L'ingegnere e l'architetto necessitavano di accedere da remoto ai propri documenti, si è quindi deciso di installare nello studio un Miniserver ARM con CPU octa-core da 2 GHz e con 3 GB di RAM DDR3 con Sistema Operativo Debian e piattaforma Nextcloud sincronizzata in locale con i computer per erogare un Cloud Privato accessibile da qualsiasi parte del mondo. In questo modo i due professionisti possono accedere ai propri dati archiviati sul proprio Cloud Privato tramite un qualsiasi browser, tramite Esplora Risorse di Windows o con una semplice app da smartphone. Ogni professionista ha il proprio account, i dati sono completamente privati.
Il commercialista invece necessitava di potersi collegare da remoto al proprio server Linux per accedere ai dati su di esso archiviati e per poter lavorare col gestionale su di esso installato. Si è quindi deciso di installare sul server una VPN con OpenVPN configurato in modalità TAP Bridge con profilo client splitted. In questo modo il professionista può accedere al server remoto tramite la VPN continuando però ad utilizzare la connessione locale per navigare in internet senza quindi dover subire i rallentamenti che si avrebbero utilizzando la vpn anche per la navigazione internet.
Il sistema di Videosorveglianza è stato realizzato installando sul Miniserver ARM la piattaforma Zoneminder, che se armato controlla 4 telecamere IP analizzando in tempo reale il flusso video delle telecamere per effettuare la rilevazione del movimento ed inviare le eventuali notifiche push sui telefoni dei professionisti che possono visionare le telecamere da remoto con una semplice app sul proprio smartphone.
Lo stesso Miniserver ARM si occupa quindi sia di erogare la piattaforma NextCloud per i due ingegneri che la piattaforma Zoneminder per tutti e tre i professionisti.
Il centralino VoIP è stato realizzato installando la piattaforma Asterisk sul modem/router dello studio e come telefoni VoIP vengono utilizzati gli smartphones collegati via wifi al router. Su Asterisk è stato programmato il Risponditore Automatico, una voce registrata risponde in automatico alle chiamate in ingresso ed indica l'interno da digitare per parlare con uno dei tre professionisti, se avviene una chiamata al di fuori dell'orario d'ufficio la voce registrata indica di richiamare riportando i giorni e gli orari in cui gli uffici sono aperti.
Il modem/router inoltre protegge l'intera rete con un firewall iptables, aggiorna ogni notte una lista di oltre 300.000 ip malevoli che banna con ipset, blocca siti malevoli e pubblicità con adblock, blocca le chiamate dai call center con Voipblock e gestisce l'UPS di rete con NUT.
ll modem/router aggiorna quotidianamente la blacklist di indirizzi IP malevoli da bannare con ipset scaricando dai nostri sistemi la lista aggiornata con i nuovi indirizzi che sono continuamente catturati dalla nostra rete di honeypot sparsi sul territorio italiano.
I server sono installati in rete in modalità headless, senza monitor e tastiera e sono totalmente GDPR Compliant.
La sicurezza dei server è garantita da diversi livelli di firewall (iptables, modsec, fail2ban) e da diversi certificati (ssl, ssh, openvpn). Nessuna persona non autorizzata può accedere ai server, ogni accesso non autorizzato viene bloccato e l'ip sorgente viene bannato.
I server sono configurati con un sistema di Monitoring/Alerting che controlla in tempo reale che tutto l'hardware ed il software funzionino correttamente ed invia un email al proprietario in caso di malfunzionamenti.
I server sono protetti dall'UPS di rete e sono in grado di rilevarne il livello di carica della batteria in modo da spegnersi correttamente in caso di mancanza prolungata della corrente.
La connessione è fornita da una Fibra Infostrada che offre una velocità di Download pari a 171.08 Mbit/s ed una velocità di Upload pari a 16.85 Mbit/s.
Il sistema è completamente GDPR Compliant, i dati sono archiviati sui server privati che sono protetti da avanzate misure di sicurezze che annullano quasi totalmente il rischio di Data Breach.



