Proxy autenticazione accesso rete locale e Internet Print
Friday, 14 September 2007 09:21

Il proxy è un programma che si interpone tra un client ed un server, inoltrando le richieste e le risposte dall'uno all'altro. Il client si collega al proxy invece che al server, e gli invia delle richieste. Il proxy a sua volta si collega al server e inoltra la richiesta del client, riceve la risposta e la inoltra al client.  In altre parole il proxy agisce come mediatore tra un qualunque pc della rete locale e internet.
Tale modo di agire può permettere di tenere traccia di tutte le operazioni effettuate (ad esempio, tutte le pagine web visitate), consentendo statistiche ed osservazioni dell'utilizzo della rete; non bisogna però dimenticarsi di operare in conformità alle norme in vigore riguardanti la privacy.

Specifiche desiderate

  • La gestione dei codici utenti e delle password deve essere centralizzata in modo da consentire agli utenti di cambiare postazione di lavoro.
  • Gli utenti devono poter cambiare la password in autonomia ed in ottemperanza alle norme del codice sulla privacy.
  • L’autenticazione per l’accesso alla rete deve essere la stessa per l’accesso ad internet, ovvero non devono esserci duplicazioni di credenziali di autenticazione.
  • Per motivi di sicurezza è necessario l’utilizzo di un proxy.

Software

  • Qualunque distribuzione Linux (abbiamo utilizzato Debian 3.1).
  • Samba (file server)
  • Squid (proxy)
  • Sarg (controllo dei log)

Hardware

  • Un server per il servizio Samba, considerata la funzione vitale di un file server si consiglia l’impiego di hardware affidabile, con memoria RAM e hard disk (meglio se mirror) di capacità adeguate al numero d’utenti da servire (PIV 512 MB RAM, 100 GB per un ufficio di segreteria).
  • Un computer con funzioni di firewall proxy con memoria RAM e hard disk di capacità adeguate al numero di utenti e al periodo di conservazione dei file di log (PIII, 256 MB RAM e 40 GB HD per un ufficio di segreteria).

Prerequisiti

Le operazioni che seguono richiedono una certa conoscenza del sistema operativo Linux e dei principi di networking.

Installare e configurare Squid (server con indirizzo IP interno 192.168.2.1)

Se Squid non fa parte della distribuzione linux da voi scelta, potete procedere come indicato al seguente URL:
http://squid.visolve.com/squid/sqguide.htm
Con la distribuzione Debian è consigliabile utilizzare con apt-get:

apt-get install squid

E’ necessario attivare l’autenticazione su dominio nel file di configurazione squid.conf, solitamente localizzato in /etc/squid, inserendo la seguente linea nella zona dell’autenticazione:

auth_param ntlm program /usr/lib/squid/ntlm_auth   \
INTEGRA/nome_del_server_samba

dove INTEGRA è il nome del dominio.

Bisogna infine inserire le seguenti linee nella zona delle ACL (Access Control List):

acl autentica proxy_auth REQUIRED
e
http_access allow autentica
http_access deny all

nell’ordine in cui sono indicate

Configurazione firewall (server con indirizzo IP interno 192.168.2.1)

Se avete un firewall dovete impedire che i browser effettuino connessioni dirette ad internet inserendo ad. es. la seguente regola:

/sbin/iptables -A FORWARD -i eth0 –o ppp0 -p tcp -m mport \
--dports 80,443 -j DROP    

dove eth0 è l’adattatore di rete interno e eth1 è quello esterno (in caso contrario –i eth1 –o eth0).
Altre porte da bloccare per l’accesso diretto al web sono:

80,81,443,6588,8000,8080,8181

Configurazione browser

Il browser per la navigazione deve essere configurato per l’utilizzo di un proxy, nel nostro caso indirizzo IP 192.168.2.1 e porta 3128 (quella di default di squid).

Internet Explorer
I parametri si trovano attraverso il menu Strumenti -> Opzioni Internet -> Connessioni -> Impostazioni LAN

Mozilla Firefox
Strumenti -> Opzioni -> Generale -> Impostazioni connessione

Safari
Preferenze  -> Avanzate -> Proxy

Installazione/configurazione Sarg (server con indirizzo IP interno 192.168.2.1)

L’applicazione può essere scaricata dal sito:
http://sarg.sourceforge.net/
e installata seguendo le istruzioni indicate nel file README

tar xvzf sarg-x.y.z.tar.gz
./configure
make
make install

Con la distribuzione Debian è consigliabile utilizzare apt-get:

apt-get install sarg

Il file di configurazione è sarg.conf e in Debian si trova in /etc/squid, in esso bisogna indicare dove si trova il file di log di squid e in quale directory sarà registrato il report, ad esempio:

access_log /var/log/squid/access.log
output_dir /war/www/squid-reports

Per analizzare i log della navigazione è necessario eseguire:
sarg

è opportuno prevederne l’esecuzione automatica, a tal proposito si può utilizzare uno degli script (giornalieri, settimanali, mensili) pubblicati sul sito da cui scaricare sarg.

Per controllare la navigazione è sufficiente connettersi con il browser all’indirizzo:

http://192.168.2.1/squid-reports

Perché due server?

Poiché il file server (samba) deve essere oggetto di protezione, sconsigliamo l’adozione di un solo computer per ospitare tutti i servizi.
Il server che ospita squid ha due adattatori di rete, uno verso il router e l’altro verso lo switch (o hub) della rete locale. Il server che ospita samba ha un solo adattatore di rete collegato allo switch della rete locale.
Esempio di indirizzamento:

  • Server Samba un solo adattatore di rete con indirizzo 192.168.2.2
  • Server proxy un adattatore verso la rete locale con indirizzo 192.168.2.1, un secondo adattatore di rete verso il router (di solito con indirizzo IP 192.168.1.2)

Privacy

Si ricorda che il D.Lgs. 196/03 (Testo unico sulla privacy) ribadisce quanto dettato dall'art. 4 dello Statuto dei Lavoratori, ovvero il”..divieto di utilizzo da parte del datore di lavoro di apparecchiature atte al controllo a distanza dell'attività del lavoratore, salvo che esigenze organizzative, produttive o di sicurezza non abbiano determinato, previo accordo con le rappresentanze sindacali, la lecita introduzione nell'ente (o azienda).

Riferimenti

http://us3.samba.org/samba/
http://www.squid-cache.org/
http://sarg.sourceforge.net/

^top

Last Updated on Monday, 08 October 2007 07:39