Controllo dei contenuti Stampa
Venerdì 14 Settembre 2007 09:24
There are no translations available.

Nel contesto educativo è necessario distinguere per fasce di età, nel caso della scuola primaria e della scuola secondaria di primo grado (medie) non ha senso imporre  sistemi di autenticazione basati su credenziali individuali, serve piuttosto un ausilio tecnologico per controllare la fruizione dei contenuti attraverso internet.
Nel caso della scuola secondaria di secondo grado (superiore), può essere utile responsabilizzare gli studenti e proporre le credenziali di autenticazione individuali, come indicato nella sezione precedente relativa al proxy.
Per le scuole superiori un approccio più efficace può prevedere laboratori diversi per fasce di età (p. es. biennio e triennio) e l’adozione di entrambe le soluzioni.

Specifiche desiderate

  • Filtrare in base al contenuto delle pagine web visitate.
  • Filtrare in base alla classificazione PICS(Platform fo Internet Control Selection).
  • Filtrare in base agli URL.
  • Offrire flessibilità in modo da adattarsi a utenti di diverse età.

Software

  • Qualunque distribuzione Linux (abbiamo utilizzato Debian “Sarge”).
  • Squid (proxy)
  • Dansguardian

Hardware

  • Un personal computer con caratteristiche analoghe a quelle indicate per il proxy

Installare e configurare Dansguardian

Scaricare la versione stabile del software presso il sito ufficiale:

http://dansguardian.org/

Scompattare il file scaricato e installare come indicato nella documentazione reperibile al seguente URL:

http://sourceforge.net/docman/index.php?id=131757

Nel caso della distribuzione da noi utilizzata (Debian Sarge) è stato sufficiente digitare il comando:

apt-get install dansguardian

Il file principale di configurazione è /etc/dansguardian/dansguardian.conf, in questo file deve essere impostata la lingua, ad esempio:

language = ‘italian’

La configurazione di base è adatta a utenti minori, i file che permettono di modificare il livello di filtro si trovano nella directory /etc/dansguardian:

  • i file che cominciano per banned si riferiscono all’azione “negare l’accesso”
  • i file che iniziano per exception si riferiscono all’azione“consentire l’accesso”

L’ordine in cui i file sono esaminati è il seguente:

  • exceptioniplist - contiene l’elenco degli indirizzi IP che devono saltare il controllo dei contenuti (ad.es. gli indirizzi dei PC degli amministratori).
  • exceptionuserlist – contiene l’elenco degli utenti che saltano il controllo di dansgardian (ad. es. gli amministratori).
  • exceptionsitelist – contiene la parte terminale dei domini le cui pagine non saranno filtrate (ad. es. linux.org).
  • exceptionurllist – contiene l’indirizzo di pagine di siti che non sono filtrate (ad. es. http://www.osservatoriotecnologico.net/reti/howto.htm)
  • blanket block - permette lo sblocco totale o parziale dei siti che sono indicati nei file greysitelist e greyurllist, a differenza dei file exception* il filtro è applicato.
  • bannediplist – indirizzi IP dei PC che non devono avere accesso al web.
  • banneduserlist – nomi degli utenti che non devono avere accesso al web.
  • bannedregexpurllist- elenco delle espressioni regolari negli URL a cui negare l’accesso (l’utilizzo delle espressioni regolari può essere approfondito al seguente URL http://www.opengroup.org/onlinepubs/007908799/xbd/re.html)
  • bannedurllist – indirizzi di pagine web a cui non deve essere consentito l’accesso (serve per non bloccare un sito intero, ma solo parti di esso).
  • blanket ip block – consente il blocco degli URL basati su IP.
  • bannedsitelist – contiene la lista dei siti (domini) a cui non è consentito l’accesso (ad. es. sex.com).
  • postupload – blocco o limite delle operazioni di upload (vedere /etc/dansguardian/dansguardian.conf).
  • bannedmimetypelist – contiene la lista dei tipi MIME che saranno bloccati (è un modo eccellente per bloccare certi tipi di filmati).
  • bannedextensionlist – contiene la lista delle estensioni di file da bloccare, può essere utilizzato per impedire lo scaricamente di certi “screen saver” e “hacking tools”.
  • exceptionphraselist – se in una pagina compare una frase indicata in questo file l’accesso è consentito (prudenza nell’utilizzare questa opzione).
  • bannedphraselist – contiene la lista delle frasi negate, se in una pagina è presente una di queste frasi l’accesso è negato.
  • weightedphraselist – a ogni frase è assegnato un valore positivo o negativo, nell’analisi di una pagina i valori sono sommati. Frasi che hanno a che vedere con “buoni argomenti” avranno valori negativi, con “cattivi argomenti” valori positivi. Se la somma raggiunge il naughtynesslimit (vedere il file di configurazione /etc/dansguardian/dansguardian.conf) l’accesso alla pagina è negato. In generale 50 è per i bambini, 100 i primi anni dell’adolescenza, 160 per i giovani adulti; i valori indicati possono servire da punto di riferimento, la sperimentazione fornirà quelli più indicati allo specifico caso.

Per mezzo del file bannedextensionlist è possibile bloccare lo scaricamento di file eseguibili (ad es. exe) e con il filebannedmimetypelist è possibile bloccare filmati indesiderati ad esempio video/mpeg). La sperimentazione con i file sopra elencati permette di comprendere a fondo il meccanismo di funzionamento di dansguardian; per rendere attive eventuali modifiche è necessario riavviare il servizio

/etc/init.d/dansguardian restart

o, più in generale,

dansguardian -r

Dansguardian ascolta sulla porta 8080 e si appoggia al proxy per la navigazione internet.

Configurazione browser

Il browser deve essere configurato per l’utilizzo del proxy sulla porta 8080

Configurazione squid

Per evitare la connessione diretta al proxy è possibile operare a livello di firewall ad esempio inserendo la seguente regola:

iptables -A INPUT -m tcp -p tcp -s !127.0.0.1 --dport 3128 -j DROP

dove si assume il proxy in ascolto sulla porta 3128.

In alternativa si può operare a livello di configurazione delle ACL (access control list) del proxy inserendo le seguenti linee nel file di configurazione /etc/squid/squid.conf (nella zona delle ACL):

#acl localnet src 192.168.2.0/255.255.255.0
#http_access allow localnet
http_access allow localhost
http_access deny all

in cui le linee che si riferiscono agli indirizzi IP della rete locale sono state commentate e la connessione al proxy è possibile solo da localhost, ovvero attraverso dansguardian.

Nel caso in cui sia necessaria l’autenticazione degli utenti suggeriamo le seguenti modifiche al file /etc/squid/squid.conf

# Connessione dalla rete locale (auth, no cache) [ACL: FRONT]
http_port XXX.XXX.XXX.XXX:8080

# Feed back by DansGuardian (no auth, cache) [ACL: BACK]
http_port 127.0.0.1:8081
authenticate_program /usr/bin/smb_auth -W DOMAIN -U 192.168.2.2

DOMAIN è il nome del dominio windows e 192.168.2.2 è l'indirizzo IP del sever samba che agisce come PDC (Primary domain controller).

acl domainusers proxy_auth REQUIRED
acl linuxserver src 192.168.2.10/255.255.255.255
acl ntserver src 192.168.2.20/255.255.255.255
acl FRONT myport 8080
acl BACK myport 8081

# passa le richieste a DansGuardian
cache_peer 127.0.0.1 parent 3128 0 proxy-only no-query
cache_peer_access 127.0.0.1 allow FRONT
cache_peer_access 127.0.0.1 deny all
http_access allow linuxserver
http_access allow ntserver
no_cache deny FRONT
http_access allow BACK
http_access allow domaiusers FRONT
http_access allow CONNECT SSL_ports
http_access deny all
in cui si consente il libero accesso ad internet a due ipotetici server (linuxserver e ntserver); gli utenti dei PC invece devono autenticarsi da dominio e utilizzare il proxy sulla porta 8080.

Bisogna anche modificare il file /etc/dansguardian/dansguardian.conf

# Network Settings
filterip = 127.0.0.1
filterport = 3128
proxyip = 127.0.0.1
proxyport = 8081

Riferimenti

http://dansguardian.org

http://linsec.ca/bin/view/Main/DansGuardian

http://sourceforge.net/docman/index.php?id=131757

http://www.squid-cache.org/

http://www.w3.org/PICS/

^top

Ultimo aggiornamento Martedì 09 Ottobre 2007 06:58