Il comune di Terni – direzione Ict in ha concluso con successo il progetto di realizzazione di una piattaforma Utm (Unified Threat Management) in risposta al bando del centro di competenza sull'Open Source (Ccos) della Regione dell'Umbria – progetti Floss 2010. Il Progetto presentato al Bando del CCOS ha consentito di dotare il Comune di un sistema unificato di sicurezza che consente un elevato grado di protezione su più fronti e ha permesso al personale dei servizi informativi comunali di formarsi e sperimentare soluzioni informatiche tipiche dell’open source.
La questione fondamentale è che l’applicazione in conformità con quanto previsto dal codice dell’amministrazione digitale sarà resa disponibile per il riutilizzo gratuito a qualunque pa che la richiedesse. La durata del progetto è stata di poco più di un anno (aprile 2011 .- maggio 2012), con un finanziamento di 13.127euro.
Il progetto
Il sistema comunale oltre ai i sistemi in rete locale, consta di quattro principali accessi ad internet per la navigazione e per i servizi + 2 accessi dedicati alle VPN di interconnessioni con alcune periferie + 2 sistemi di DataWan riservati al collegamento di rete con le periferie, sistemi di pubblicazione web generici ed altri dedicati alle applicazioni verticali, intranet ed extranet, sistemi di gestione posta elettronica , servizi di interconnessione attraverso porte applicative e gateway istituzionali.
La complessità dell’infrastruttura induce alla costituzione di un sistema integrato di sicurezza, che consenta di diminuire sostanzialmente sia i rischi sia l’attuale mole di lavoro dedicata al controllo diversificato di tutti i sistemi di sicurezza.
Il progetto presentato al Bando 2009 del CCOS, ha due scopi fondamentali per l’Ente e per i Servizi informativi comunali, il primo è quello di dotarsi di un sistema unificato di sicurezza e l’altro è essenzialmente didattico e finalizzato alla formazione interna.
Infatti non si acquista un prodotto già realizzato e funzionante, ma bensì si imposta il lavoro di realizzazione all’interno di una modalità di processo formativo che culmina con la realizzazione dell’oggetto, integrato precisamente, con l’infrastruttura tecnologica dell’Ente. L’opportunità del Bando 2009, da la possibilità al personale dei S.I., formati esclusivamente e verticalmente su prodotti commerciali, di cimentarsi con mondi e soluzioni tipiche dell’Open Source.
Il valore che può scaturire da questa esperienza è sicuramente quello di dotare di una nuova e approfondita consapevolezza al personale interno dei S.I. sui prodotti O.S. e sulle loro funzionalità, consapevolezza che poi, può sfociare, in un atteggiamento più cosciente nelle scelte future.
Le specifiche tecniche
Per la realizzazione dell’UTM (Unified Threat Management) saranno utilizzati i seguenti sistemi e software: Sistema Operativo Linux CentOS; Vpn OpenVPN; Firewall IPtables; Ids / Ips Snort; Proxy Squid; Clamav antivirus; Spamassassin service; Mail Server Postfix; Scanner e-mail Amavis
L'obiettivo e' quello di integrare queste diverse tecnologie allo scopo di offrire un ottimo grado di protezione su più fronti.
Nello specifico l'utilizzo di postfix+amavis+clamav permette di avere un controllo completo su tutte le email in entrata sia per quanto riguarda lo spam (spamassasin e' il miglior mail filter opensource in circolazione, che grazie alla sua rete neurale che si autoevolve riduce drasticamente il numero di falsi positivi) e insieme a clamav come antivirus offre un ottima protezione anche contro i malware. Fondamentale e' anche il ruolo di postfix, che impostato come front end rispetto al vero server di posta lo esonera dai carichi di lavoro di filtraggio più importanti.
L’integrazione Squid+clamav oltre a consentire di effettuare web filtering con delle policy statiche, ovvero di decidere quali sono i siti visitabili e quali no, anche con la possibilità di utilizzare database di categorizzazione esterni, permette di controllare la presenza di virus su ogni pagina web visitata da parte degli utenti della rete.
Iptables infine oltre a bloccare staticamente il traffico in base a dei filtri sui protocolli di rete, combinato con Snort consente di gestire ed eliminare traffico malformato e di individuare e bloccare tentativi di intrusione dall'esterno.
Le modalità operative
Dato il carattere particolare di progettazione e di esecuzione della realizzazione informatica, che vede la forte sinergia tra ditta esterna e personale interno, la realizzazione si svolgerà con tempistiche dilatate, che possano consentire al personale interno all’Ente di seguire compiutamente il progetto e nel contempo portare avanti correttamente gli altri impegni lavorativi; si prevede un arco temporale massimo di 6 mesi. Scelta la ditta esterna con provate esperienze sia nel campo dell’oggetto sicurezza informatica e System Integration, il lavoro procede suddiviso in sette macro fasi di lavoro: analisi del contesto e dei requisiti tecnici;
progettazione esecutiva; acquisizione risorse hardware; implementazione del sistema; test funzionale e messa in produzione; formazione del personale.
I protagonisti
ll Comune di Terni da sempre gestisce in proprio i sistemi informativi dell’Ente: dapprima attraverso l’ausilio di sistemi centralizzati, dai sistemi a schede perforate fino ai sistemi mainframe enterprise; poi nel 1999 il Comune di Terni ha dato avvio ad una profonda rivoluzione informatica iniziata con la costruzione del Sito Web Istituzionale che aveva l’intenzione di avviare un colloquio con i cittadini e le imprese anche attraverso canali moderni e innovativi e l’implementazione di nuovi servizi interni basati su server dipartimentali su rete ethernet.
Questa fase è stata curata completamente dal personale interno del Ced. La trasformazione profonda ha portato l’ente alla sostituzione dei mainframe con diversi server dipartimentali (ora circa 30), alle nuove esigenze di interazione tra le applicazioni e il mondo esterno, sono stati inoltre sostituiti i software applicativi verticali, in un’ottica di integrazione e cooperazione applicativa, al fine di snellire il lavoro del comune e, soprattutto, di rendere più veloce gli allora lenti procedimenti amministrativi; è stata creata una rete per il collegamento di tutti i personal computer dell’ente inclusi i principali siti istituzionali quali circoscrizioni e delegazioni. Questa trasformazione ha permesso inoltre al sistema informativo comunale di erogare molti nuovi servizi ed ha predisposto la macchina comunale verso la grande sfida dell’E-Government. Oggi la rete comunale conta del collegamento in varie modalità a tutti gli uffici, più di 1000 personal computer.