Arpa: VPN - Virtual Private Network su rete pubblica
L'azienda Regionale Prevenzione e Ambiente dell'Emilia Romagna è nata nel 1996 con lo scopo di vigilare e controllare diversi aspetti della salute pubblica e, come dice il nome, dell'ambiente, accorpando molti dei servizi prestati un tempo dai Presidi Multizonali di Prevenzione delle Aziende U.S.L..
La Regione Emilia Romagna si è dimostrata una delle più solerti nel realizzare quanto disposto dalla legge nazionale e la dirigenza Arpa ha immediatamente visto nel sistema informativo uno strumento per la miglior razionalizzazione dei servizi interni ed esterni. L'incarico dato ad una persona di provata esperienza come la Dr.sa Franca Ferrari, che tra l'altro ha contribuito alla realizzazione del presente articolo, ha permesso la efficace ed efficiente realizzazione del nuovo sistema informativo.
Arpa si presenta con una architettura geograficamente distribuita sul territorio con quattro sedi a Bologna ed una per ogni altro capoluogo di provincia della regione.
Delegate ai responsabili di settore le scelte relative agli applicativi gestionali, la responsabile ha individuato come prioritaria la realizzazione delle reti locali e della rete geografica di connessione delle sedi Arpa. A gennaio 97 Arpa si presentava con un sistema informativo praticamente inesistente, ed alcune sedi non avevano neanche un cablaggio di LAN.
In ragione di ciò il primo passo è stato quello di affidarsi ad una società di consulenza esterna che potesse aiutare il personale Edp nell'analisi progettuale dei cablaggi e dell'infrastruttura di rete da realizzare: detta società è stata rappresentata da Giuseppe Mazzoli. Al link potete vedere lo schema generale della rete.
Dopo aver cablato le sedi ancora non dotate di strutture di rete di livello 1, si è passati alla scelta del sistema operativo di rete: detta scelta doveva tenere conto del fatto che ogni sede ha un suo referente informatico, che l'interscambio di dati fra le varie sedi è minimo, e poteva essere ben assolto dalla posta elettronica, e che alcune sedi avevano già un server di rete. Tenuto conto di tutte questi fattori la scelta del sistema operativo è caduta su Windows NT Server 4.0. Non sono stati attivati particolari meccanismi di trust relationship, se non fra le due sedi di Rimini, e ogni server si occupa quindi di gestire gli utenti della propria LAN.
Un secondo servizio che è partito fin da subito è stato quello relativo all'attivazione della rete geografica: tale servizio è di vitale importanza in quanto permette in primo luogo ad alcuni utenti di accedere ai server gestionali amministrativi e paghe installati nella sede centrale di Bologna Via Po, ed inoltre consente l'attivazione del servizio di interscambio di messaggi di posta elettronica. A questo punto le scelte che si presentavano ad Arpa erano due: contattare un carrier in grado di offrire linee telefoniche adeguate alla costruzione della rete Arpa, o affidarsi alla Regione Emilia Romagna che, grazie alla rete Ernet, permette agli enti pubblici regionali di sfruttare le proprie linee per costruire le proprie reti di comunicazione. Detta scelta presentava anche l'evidente vantaggio di offrire una immediata apertura ad Internet della rete Arpa, per dare così agli utenti tutti quei servizi che sono oggi indispensabili per comunicare con il mondo e per migliorare i livelli di soddisfazione di tutti coloro che hanno a che fare con Arpa medesima.
Acquistati i router per l'attivazione delle connessioni autonomamente, Arpa ha commissionato ad un fornitore di servizi l'installazione dei router Cisco per la realizzazione della Wan con la installazione e configurazione di un DNS primario interno ad Arpa.
Il passo successivo era costituito dalla scelta di un prodotto di posta elettronica che però avesse una spiccata attitudine al groupware, in quanto l'obiettivo di Arpa era quello di sfruttare tale ambiente per gestire vere e proprie applicazioni (la gestione delle delibere per esempio), nonché per codificare dei meccanismi di workflow interni. Il prodotto che offriva ciò al meglio non poteva essere che Lotus Notes. In ragione di ciò si è provveduto ad installare sui server NT di ogni sede un server Domino e ad attivare le certificazioni incrociate fra i vari server che permettono l'interscambio dei messaggi, nonche il gateway SMTP per l'apertura ad Internet.
Il punto critico di tutto il progetto rimaneva comunque l'apertura ad Internet ed il fatto che la rete Ernet è comunque una rete pubblica sulla quale Arpa fa girare dei dati riservati. Si è quindi profilata la necessità di proteggersi da intrusioni indesiderate e di criptare le comunicazioni fra le sezioni provinciali Arpa. Dopo un accurato studio dei prodotti presenti sul mercato si è visto come il prodotto che offriva il miglior rapporto prezzo/prestazioni era il Novell Bordermanager.
BorderManager è una suite di prodotti che offrono tutti i servizi fondamentali per chi si affaccia al mondo Internet basandosi su di una rete Ip (Netware come qui si vede, non è dunque necessario): il primo servizio fondamentale è il servizio firewall che ha come scopo quello di evitare intrusioni indesiderate nella rete aziendale da parte di soggetti non autorizzati.
Il secondo servizio, non meno importante, è quello volto a consentire l'applicazione di una politica di sicurezza aziendale, ovvero definire chi degli utenti interni alla rete Arpa, può fare cosa nel momento in cui esce su Internet.
Il terzo servizio è il proxy, che oltre ad aumentare la sicurezza, è l'unico strumento che permette di migliorare in modo significativo le prestazioni dell'accesso ad Internet degli utenti.
Il quarto servizio, fondamentale per il progetto Arpa, è la possibilità di creare una rete virtuale privata (VPN Virtual Private Network. Una VPN è una rete pubblica che viene utilizzata come se fosse una rete privata. In pratica l'installazione del BorderManager presso ogni sede Arpa ha permesso la creazione di una rete di comunicazione in cui tutto quello che passa su Ernet è criptato. Ciò ha permesso di aumentare notevolmente il livello di sicurezza del sistema informativo Arpa.
Il quinto ed ultimo fondamentale servizio del BordeManager, poco utilizzato in Arpa, è costituito dagli Authetication Services, ovvero dalla possibilità di avere un data base Radius (standard di sicurezza) degli utenti autorizzati ad entrare nelle singole reti LAN passando attraverso un modem o attraverso Internet medesima.
Tutto questo a metà 1999: le possibilità di crescita di questo sistema informativo estremamente innovativo sono enormi. Ad oggi sono state attivate tutte le procedure fondamentali per l'area contabile-amministrativa e per la gestione del personale (pacchetto paghe della ADS). L'architettura disegnata permetterà comunque significativi livelli di crescita per il sistema informativo Arpa.
