Proxying e filtraggio dei contenuti: installazione e configurazione di base su siste mi Debian.

Transcript

1 Proxying e filtraggio dei contenuti: installazione e configurazione di base su siste mi Debian. Saviano Giuseppe Salvatore Fiorillo Nicola Ruberti Davide Savian o, Fiorillo, Ruber ti 1

2 Indice Premessa...3 Generalità s ui servizi proxy...4 Funzione base di u n proxy...7 Su Squid, DansGuardian e ClamAv...9 Installazione di Squid, DansGuardian e ClamAV Configura zione di Squid...11 Avvio di Squid...17 Estensioni di Squid...20 Come opera DansGuardian?...20 Configura zione di DansGuardian...22 La blacklist...28 Avvio di DansGuardian...31 Avvio auto matico dei servizi Configura zione dei client...33 Il caso di proxy tras parente, utiliz zo di iptables...34 Consultazione dei log...35 Conclusioni...39 Savian o, Fiorillo, Ruber ti 2

3 Premessa Questa guida è u n adatta mento del d ocu me nto di Giancarlo Dessì Come gestire e controllare gli accessi al Web dalle reti scolastiche, che al m o mento della stesura si trova p resso h tt p: / / sc uola.linux.it / d ocs /gcdss / s q uid / Copyright (c) Saviano Giusep pe Salvatore, Fiorillo Nicola, Ruberti Davide E' garantito il per messo di copiare, distribuire e / o m o dificare questo docu mento seguen do i ter mini della Licenza per Docu menta zione Libera GNU, Versione 1.2 o ogni versione successiva p ubblicata dalla Free Software Foundation; sen za Sezioni Non Modificabili, nessu n Testo Copertina, e nessu n Testo di Retro Copertina. Una copia della licenza è acclusa in coda a qiesto docu mento, nella sezione intitolata "Licenza per Docu menta zione Libera GNU" Savian o, Fiorillo, Ruber ti 3

4 Generalità sui servizi proxy Un cache p roxy p uò essere definito co me u n servizio di m e moriz za zione locale delle risorse di rete richieste d ai client. Gli scopi p rincipali di q uesto servizio sono i seguenti: Condividere u na con nessione ad Internet fra più host Applicare u na policy con il filtro degli accessi e dei contenuti Decongestionare il traffico di rete ottimiz zan do la banda disponibile Una rete locale p uò essere collegata al Web in d ue differenti m o dalità di connessione: q uella diretta (Figura 2) e quella mediata da u n proxy (Figura 1). Come si p uò osservare, il p roxy server s'interpone fisicamente fra la rete locale e la rete p u bblica facen do da inter me diario delle connessioni. Figura 2: Connessione diretta ad internet Figura 1: Connessione m e diata da un proxy Nell'architettura di u na connessione diretta (Figura 3), il browser e il server Web co m u nicano diretta me nte a livello di ap plicazione sen za alcuna inter me diazione se non q uella rap presentata dai p rotocolli dei livelli sottostanti (Trasporto, Rete e Data Link) dei d ue host e dei livelli di Rete e Fisico dei router. In questa strutt ura di rete è piuttosto improbabile configurare u n siste ma di controllo avan zato del traffico di rete con l'eccezione di u n eventuale firewall che in ogni m o do non rispon de alle esigen ze del contesto trattato in questa guida. Savian o, Fiorillo, Ruber ti 4

5 Il p roxy s'inserisce in questa architettura co me livello di applicazione fra il client e il server sostituen do u no dei d ue host in tutte le transa zioni server che coinvolgono l'altro host (Figura 4). Figura 3: Architettura della connessione senza proxy Figura 4: Architettura della connessione attraverso u n proxy Savian o, Fiorillo, Ruber ti 5

6 Funzione base di un proxy L'algorit mo di fun ziona me nto del p roxy, nelle linee essen ziali, è riassunto nello sche ma della figura 5. Le linee rosse rap presentano il traffico nella rete Internet (fra proxy e server), quelle nere il traffico nella rete locale (fra proxy e client). Le linee grosse rap presentano il traffico di risorse che no n richiedono transa zioni esterne, quelle sottili il traffico di risorse che richiedono u na transa zione fra il p roxy e il server. Figura 5: Flusso dei dati in u na rete m e diata da proxy Essen do fisicamente separato dalla rete p u bblica, il browser Web invia se m pre la richiesta al p roxy (linea nera grossa), il quale verifica se la risorsa richiesta è già me moriz zata nella cache. A questo p u nto sono p ossibili d ue eventi alternativi: 1. La risorsa è presente in me m oria. In q uesto caso la risposta del proxy è im me diata, con l'invio della risorsa al browser (linea nera grossa). L'intera transa zione, svolgendosi all'interno della rete locale, si co m pleta in te m pi quasi istantanei in u na rete Fast Ethernet. 2. La risorsa non è presente in me m oria. In questo caso il proxy d ovrà aprire u na transa zione esterna inviando la richiesta al server (linea rossa sottile). Questi invia la risorsa al p roxy (linea rossa sottile) il q uale provvede a girarla al browser (linea nera sottile). Conte m poranea me nte conserva nella cache la risorsa appena scaricata per ren derla dispo nibile per u na successiva istan za. L'intera transa zione richiede in questo caso u na fase di traffico esterno, perciò i te m pi di co m pleta me nto dell'istan za dipen deranno dalla banda dispo nibile nella connessione esterna. Savian o, Fiorillo, Ruber ti 6

7 Quello descritto è il funziona me nto del servizio nella sua funzionalità base. In realtà la p roced ura dell'istanza p uò cambiare in fun zione delle risorse richieste e della configura zione s pecifica che abbia mo impostato per il servizio, come vedre mo nelle p agine s uccessive. Da u n primo esa me p ossia mo già m ettere in eviden za u n p u n to di forza di questo servizio rispetto alla connessione diretta. Se dieci posta zioni scaricano conte m pora nea mente u na foto di 200 in u na connessione diretta si verifica u na congestione del traffico in u scita. Con u na banda effettiva di 600 ogni utente dovrà atten dere almeno m e z z o min uto prima di visualiz zare co m pleta mente la foto sul m o nitor. Con u n servizio di cache - proxy la p rima istan za di q uella risorsa richiederà u n te m po legger mente inferiore, p resu me n do che la banda esterna disponibile no n sia congestionata da trop pe richieste conte m poranee, m a le istan ze s uccessive avran no te m pi di risposta p ressoché istantanei: se dieci posta zioni richiedono conte m pora nea mente la stessa foto dell'ese m pio p recedente e questa è presente nella cache del p roxy, in u na rete Fast Ethernet ogni utente potrebbe scaricare la foto in d ue decimi di secondo! L'esem pio fatto, anche se riferito ad u n contesto se m plicistico, offre u na prima idea dei gran di vantaggi che p uò offrire q uesto servizio in u na rete scolastica anche nelle s ue fun zionalità di base: non è infrequente che più st u denti facciano richieste conte m pora nee o più o me no differite delle stesse pagine d a differenti posta zioni. Un servizio p roxy cache offre tuttavia altri vantaggi, co me si evince d al confronto fra i d ue sche mi di connessione riassu nto nella tabella 1. Funzionalità Conne ssione diretta Conne ssione via prox y Accessi m ultipli Non se m p re SI Filtro delle u tenze NO SI Filtro dei conten uti NO SI Decongestione del traffico NO SI Controllo del traffico NO SI Table 1: Stru menti offerti da un proxy e da una connessione diretta Riassu me n do, l'installazione di u n proxy per mette u na gestione centraliz zata degli accessi alla rete esterna indipen dente mente dal n u mero di p osta zioni connesse e, adottando le op portune configura zioni, in teoria è possibile: Savian o, Fiorillo, Ruber ti 7

8 Condividere u n'unica connessione fra più u tenze Filtrare le u ten ze Filtrare i contenuti in download Liberare parte della banda di connessione dispo nibile Controllare il traffico in uscita gra zie alla registra zione in u n log Savian o, Fiorillo, Ruber ti 8

9 Su Squid, DansGuardian e ClamAv Squid è il più noto e il più potente cache p roxy nel panora ma del software libero e open source. E' distribuito gratuita mente con licenza GNU General Public License. Esiste u n p orting per siste mi Windows, m a espleta in pieno le sue p oten zialità solo in u n siste ma GNU Linux, so prattutto nell'integra zione con altri servizi di rete. Fra i principali p rotocolli di rete su p porta e. Agisce co me servizio in backgrou n d sia s u u n server sia s u u na workstation. E' di facile configurazione nelle fun zionalità essen ziali. DansGuardian è u n p otente siste ma di content filtering che migliora la policy di accesso di u n proxy verifican do le richieste su u na banca dati p u bblica, la cosidetta blacklist. Se la richiesta non viola i vincoli impostati nella configurazione, DansGuardian la dirotta al p roxy per metten do il d ownload della risorsa. La blacklist p uò essere scaricata da Internet e periodica mente aggiornata con u na p roced ura auto matica op p ure m a n uale. ClamAV è u n antivirus o pensource, del quale è disponibile u na versione anche per Windows. Sarà utilizzato da DansGuardian per individuare i file infetti eventualmente recuperati da Squid. La via più se m plice per reperire le versioni aggiornate di questi software è quella di andare sui siti ufficiali dei rispettivi progetti: Squid è disponibile sul sito http: / / - cache.org DansGuardian è dispo nibile s ul sito h tt p: / / d a n sguar dian.org ClamAV è disponibile sul sito http: / / / Per q uanto riguarda la blacklist, trattan dosi di u na banca dati è possibile fare riferimento a diverse fonti p u rché com patibili con la piattafor ma usata, perciò in Rete sono dispo nibili più blacklist. Consultan do la d ocu menta zione in rete ho fatto riferimento alla banca dati scaricabile dall'indirizzo http: / / u rlblacklist.co m /?sec = d ownload. Si tratta di u na banca dati piuttosto ricca, dal m o mento che l'archivio co m presso è u n file di circa 20MB di di mensione (atten zione, nel m o mento in cui si scrive, la blacklist è scaricabile u na sola volta al giorno per ogni IP). A favore di q uesta blacklist depone anche la presen za di n u merosi siti in italiano, che in genere sono più facilmente raggiungibili interrogando u n m otore di ricerca con p arole chiave in lingua italiana. Difetta invece il filtro basato s ulle espressioni regolari in lingua italiana che, in ogni caso, p uò essere integrato con u na configura zione avan zata. Savian o, Fiorillo, Ruber ti 9

10 Installazione di Squid, DansGuardian e ClamAV L'installazione di Squid in u n siste ma Linux p uò essere fatta con la consueta p rocedura che prevede la co m pilazione dei sorgenti. In questa guida, però ci atterre mo all' installazione su u n siste ma debian based, per cui basterà u n se m plice $ sudo apt get install clamav squid dansguardian avendo cura di aggiungere, eventualmente, i relativi repository. Su Ubuntu 7.10 non è stato necessario. Una nota forse banale: al m o me nto dell' installazione, sul nostro siste ma di riferimento era già presente ClamAV; p robabilmente per questo m otivo, DansGuardian d o po l'installazione, risultava già configurato per u tilizzare l'antivirus. Savian o, Fiorillo, Ruber ti 1 0

11 Configurazione di Squid L'installazione di Squid crea il file di configura zione generico / etc /squid /squid.conf L'essen za della fun zionalità del proxy è in questo file perciò è fon da me ntale dedicarci la d ovuta attenzione per allestire u n efficace stru mento di rete. Gli estimatori delle interfacce grafiche potrebbero storcere il naso alla vista di q uesto file, tuttavia l'apparente difficoltà delle configura zioni basate s u file di testo è a mio parere u n p u nto di forza: i co m menti inseriti nel codice hanno il d u plice scopo di guidare l'am ministratore nella configurazione e nel te m po stesso dare u n s uggerimento s ulla p ossibile impostazione da abilitare o disabilitare. In generale questi file di configura zione sono abbastan za intuitivi, m a dove non basta l'intuito p uò se m pre venire in aiuto la d ocu me nta zione p resente in Rete. Sembrerà strano sono trascorsi d ue an ni prima di capire come dovevo configurare il proxy co m merciale Wingate m algrado la sua se m plice ed elegante interfaccia grafica. Per Squid è bastata u n'ora per docu me ntar mi u na ventina di min uti per configurarlo u san do u n banalissimo editor di testo. In confor mità ad u na p rassi consolidata negli a mbienti UNIX/Linux, la strutt ura di squid.conf è m olto se m plice: il file è u n elenco di direttive o tag arricchito di co m me nti per ren dere leggibile e intuitivo il conten uto. Le righe che iniziano con il carattere # (cancelletto) sono co m menti, pertanto saranno ignorate d al processore del p roxy. Saranno ignorate anche le righe co m pleta me nte vuote e gli s pa zi ripetuti. Inso m ma, più facile di così... La sintassi delle direttive è anch'essa m olto se m plice: direttiva [argo menti] In altre parole, ogni direttiva deve occupare u na riga e iniziare con il no me della direttiva, facen do seguire l'argo mento ossia il valore che s pecifica l'imposta zione. Il file va m o dificato togliendo i co m me nti o co m me ntando le righe non necessarie e m o difican do gli argo menti delle direttive. Il n u mero di direttive da impostare dipen de dal livello di personaliz za zione che s'inten de ap plicare al p roxy. L'installazione crea u n siste ma p reconfigurato perciò gli impa zienti posso no già essere o perativi. Naturalmente le imposta zioni di configura zione di parten za fanno riferimento ad u n contesto generico perciò si tenga presente che dedicare u na o d ue ore di te m po, per d ocu me ntarsi e adattare la configura zione alle esigen ze, per metterà di ottenere u n efficace stru mento di rete. Savian o, Fiorillo, Ruber ti 1 1

12 Quello che segue è u n ese m pio di configura zione. Non è co m pleto perché sono voluta mente o messe imposta zioni avan zate delle q uali si p uò fare a m e no de ma n dan do a Squid il co m pito di ap plicare le imposta zioni pre definite per le direttive o messe. I co m menti descrivono brevemente gli scopi delle direttive che seguono. # Indirizzo IP e porta d'ascolto http_port :3128 o p p ure http_port :3128 transparent # Pagine Web dinamiche da non memorizzare nella cache acl CGI urlpath_regex cgi bin \? acl ASP urlpath_regex asp \? acl PHP urlpath_regex php \? acl JSP urlpath_regex jsp \? no_cache deny CGI ASP PHP JSP # Dimensioni massime e minime delle # risorse da memorizzare in cache maximum object size KB minimum_object_size 10 KB # Identificazione delle reti locali a cui # faranno riferimento le direttive d'accesso acl all src / acl localnet src / acl localnet src / acl localhost src / acl manager proto cache_object # Definizione dei metodi di connessione a cui # faranno riferimento le direttive d'accesso acl CONNECT method CONNECT #connessioni al proxy dall'esterno Savian o, Fiorillo, Ruber ti 1 2

13 # Identificazione delle porte TCP a cui # faranno riferimento le direttive d'accesso acl SSL_por ts port acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_por ts por t acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 # http # ftp # https, snews # gopher # wais # unregistered por ts # http mgmt # gss http # filemaker # multilink http # SWAT # Definizione delle estensioni dei file a cui # faranno riferimento specifiche direttive d'accesso acl banna_mp3 url_regex i acl banna_exe url_regex i \.mp3$ \.exe$ # Identificazione di un file di testo contenente # una lista di espressioni regolari a cui # faranno riferimento le direttive d'accesso acl forbidden url_regex "/usr/local/sq uid/etc/forbidden.txt" # Direttive d'accesso (http_access): # definiscono le regole di accesso al proxy http_access allow manager localhost http_access deny manager http_access deny!safe_ports http_access deny CONNECT!SSL_ports http_access deny banna_mp3 http_access deny banna_exe Savian o, Fiorillo, Ruber ti 1 3

14 http_access deny forbidden http_access allow localnet http_access allow localhost # permette l'accesso dal loopback # Direttiva che vieta l'accesso a tutti i # casi non contemplati # Deve essere l'ultimo tag http_access http_access deny all Come si p uò osservare, gran parte delle direttive p rese in considera zione nell'ese m pio fanno capo a d ue for me: Direttive acl In generale identificano u n contesto, co me ad ese m pio u na ga m ma di indiriz zi di rete, u n'espressione regolare contenuta negli u n tipo di p orta, eccetera. Ogni contesto definito è identificato con u n no me che segue la parola chiave. La strutt ura sintattica di queste direttive pertanto è la seguente: no me espressione Ad ese m pio, la direttiva localnet / identifica con il no me localnet u n'intera sottorete di classe C. Per le posta zioni che ha n no u n indiriz zo di rete che rientra in q uesto contesto sarà s pecificata u na direttiva d'accesso s pecifica. Direttive http_access Impostano le regole d'accesso per ogni contesto definito in p receden za. In altri ter mini sono le direttive d'accesso che indicano al p roxy co me dovrà co m portarsi caso per caso. La struttura sintattica di q ueste direttive è la seguente: h tt p_access a zione no me_, no me_,... L'azione è definita da d ue parole chiave alternative: den y vieta l'accesso ad Internet nel contesto associato alla direttiva, allo w lo per mette. Nella configurazione di ese m pio ho s pecificato dieci direttive d'accesso. Data l'importan za esa minia mole nel dettaglio: 1. allow m a nager localhost. Permette l'accesso a d ue contesti abbinati: m a n ager che definisce l'am ministrazione del p roxy con interfaccia grafica elaborata in e localhost definisce l'indiriz zo di loopback. Questa direttiva pertanto per mette l'accesso all'interfaccia di a m ministra zione dalla posta zione in cui è installato Squid. Savian o, Fiorillo, Ruber ti 1 4

15 2. deny m a nager. Per analogia con il p recedente, q uesta direttiva vieta l'accesso all'interfaccia di a m ministra zione da q ualsiasi posta zione re mota. Per ovvie ragioni legate alla sicurez za si racco man da d'inserire q uesta regola do po q uella precedente. In ogni caso si tenga presente che l'installazione di base di Squid non co m prende alcuna interfaccia grafica d'a m ministra zione, che va installata a parte con u n m o d ulo ap posita mente concepito. 3. deny!safe_ports. Le Safe_ports definiscono le porte attraverso le q uali si p uò stabilire u na connessione per u no s pecifico p rotocollo di rete. Ad ese m pio, la p orta 80 è lo standar d pre definito per il protocollo. La direttiva d'accesso vieta l'uso di qualsiasi porta di n u mero inferiore a 1025 non p revista negli stan dard. Si tratta di u na fon da mentale imposta zione di sicurez za che impe disce che qualche m alintenzionato sfrutti u na falla nella configura zione di Squid per accedere da Internet all'interno del nostro server di con nessione u san do u na delle porte critiche (fino a 1024). 4. deny CONNECT!SSL_ports. Vieta il m eto do CONNECT attraverso p orte diverse da quelle p reviste per la connessione crittografata. In questo m o do m acchine esterne alla rete non p otranno collegarsi al p roxy se non attraverso le porte s u d dette. 5. deny banna_m p3. Vieta lo scaricamento di file. Un'imposta zione di q uesto tipo, che p uò essere estesa ad altri for mati m ultimediali, è sicura mente utile in connessioni a banda stretta per le q uali è fon da mentale prevenire eccessivi assorbimenti di banda. 6. deny banna_exe. Imposta zione analoga a quella precedente. In q uesto caso lo scopo potrebbe essere q uello d'im pe dire lo scarimento di eseguibili che potrebbero essere dannosi per le posta zioni Windows della rete locale. 7. deny forbid den. Questa direttiva vieta lo scaricamento di pagine da indiriz zi che contengono u na o più parole chiave fra quelle elencate nel file di testo identificato dalla forbid den. 8. allow localnet. Questa direttiva per mette l'accesso al proxy solo alle posta zioni che hanno u n indiriz zo di rete che s'identifica in u na delle p recedenti direttive. Imposta zioni di questo tipo sono fon da me ntali per regolamentare gli accessi al proxy impe dendo da u n lato l'accesso da reti esterne e da u n altro l'accesso da specifiche p osta zioni della rete locale. Impostan do altre direttive - non conte m plate in q uesta sede - si p uograve; anche prestabilire u na regolamenta zione basata s ugli orari e sul calen dario. Ad ese m pio possiamo prestabilire che d alle posta zioni delle aule si possa accedere al Web solo dalle 9 alle 12 in deter minati Savian o, Fiorillo, Ruber ti 1 5

16 giorni della settimana. 9. allow localhost. Direttiva analoga alla precedente, m a fa riferimento all'indiriz zo di loopback pertanto per mette l'accesso al Web anche dalla posta zione in cui è installato il proxy. 10.deny all. Questa è u na direttiva d'accesso particolare e di fon da mentale importan za perchè vieta l'accesso in tutti i contesti no n conte m plati - in senso sia per missivo sia proibitivo - d alle direttive p recedenti. Mantenere questa direttiva, per ultima do po tutte le altre _access è alta mente racco man dato se vogliamo evitare di lasciare possibili vie d'accesso al p roxy non previste nella nostra p olicy. Per concludere, si fa presente che negli ese m pi sono stati trattati solo alcuni aspetti della configura zione di Squid. Altre direttive fan no riferimenti a contesti particolari che p otrebbero migliorare la fun zionalità del siste ma, come ad ese m pio il concatena mento con altri proxy. In generale si tratta di direttive che sfrutta no ulterior mente le p oten zialità di Squid m a che rientrano in u na configura zione avan zata, pertanto riman do chi è interessato a docu me nta zioni di ap profondimento più p articolareggiate rispetto a q uesta guida. In ogni m o do, q ua n do non si è sicuri s ull'imposta zione d a ap plicare in u na direttiva conte m plata nel file di configura zione creato dall'installazione, consiglio di m a ntenere l'imposta zione pre definita: è il m o do migliore di avere u no Squid fun zionante e in m o do controllato, anche se no n ottimiz zato nelle sue funzioni. Savian o, Fiorillo, Ruber ti 1 6

17 Avvio di Squid L'avvio del servizio si effettua assu men do i privilegi di a m ministratore e digitan do u n co man do che ha la seguente for ma: # /etc/init.d/squid [opzioni] Un elenco delle o p zioni si ottiene digitando il co man do con l'op zione - h. In q uesta se de concentria mo l'atten zione s ulle seguenti o p zioni: h Stampa sullo scher mo l'elenco delle op zioni dispo nibili e u na breve descrizione. k reconfigure Riavvia Squid facendo rileggere la configura zione, pertanto va eseguito do po ogni m o difica del file squid.conf. k check Verifica il fun ziona me nto di Squid e la correttez za del file di configura zione. D Avvia Squid disabilitan do il controllo iniziale del. Questa op zione p uò essere u tile in caso di p roblemi quan do si avvia Squid per la prima volta: nella s ua configura zione è prevista la verifica del, perciò Squid tenterà di contattare gli indiriz zi di alcuni d o mini. Il fallimento di u na sola di queste chiamate farebbe arrestare il servizio. z E' u n'op zione indispensabile q ua n do si avvia il servizio per la p rima volta perché Squid dovrà costruire l'albero delle directory swap in / u sr /local / squid / var / cache. Per verificare se il servizio è in esecu zione si p uò lanciare il seguente comando: $ ps A grep squid Il co mando sta m pa sullo scher mo la lista di processi di no me sq uid (un p rocesso pa dre e d ue p rocessi figli). Se Squid o i suoi p rocessi figli no n sono in esecu zione, il processo è stato abortito per q ualche errore. La causa dell'errore si accerta consultando i file di registro: 1. Per cons ultare il registro di Squid lanciare il coma n do: $ tail /var/log/squid/cache.log Savian o, Fiorillo, Ruber ti 1 7

18 2. Per cons ultare il registro di siste ma lanciare il coma n do: $ tail /var/log/syslog Ecco alcuni possibili errori che posso no verificarsi al primo avvio di Squid. Errore 1 Nov 7 23:17:37 gian (squid): ipcache_init: DNS name lookup tests failed All'avvio Squid effettua u n test della risolu zione dei no mi di do minio interrogan do il sui no mi elencati nella direttiva d n s_testna mes. Questa opera zione fallisce se il server a cui si ap poggia Squid non riesce a risolvere u no dei no mi op p ure se il server di connessione non è collegato ad Internet. Una delle possibili solu zioni è avviare Squid con l'op zione - D. Se si sta avvian do il servizio per la prima volta è necessario applicare anche l'op zione - z : # /usr/local/squid/sbin/squid zd Errore 2 Nov 7 23:49:56 gian (squid): Cannot open '/usr/local/squid/var/logs/access.log' for writing. The parent directory must be writeable by the user 'nobody', which is the cache_effective_user set in squid.conf. Come imposta zione p redefinita il p rocesso squid è avviato co me utente nobod y e non ha i per messi di scrittura nelle directory di siste ma (nella fattispecie / u s r /local). Squid non p uò pertanto inizializzare il siste ma di cache p roxy creando i file di registro e l'albero delle directory swap. La solu zione più se m plice consiste nell'assegnare la p ro prietà della directory / u s r /local / s q uid /var all'utente nobo dy e riavviare il servizio. Trattan dosi di u na directory di siste ma l'assegna zione della pro prietà deve essere fatta d all'am ministratore: # chown R nobody:nogroup /usr/local/squid/var # /usr/local/squid/sbin/squid zd Errore 3 Nov 8 00:12:16 gian (squid): Failed to verify one of the swap directories. Check cache.log for details. Run 'squid z' to create Savian o, Fiorillo, Ruber ti 1 8

19 swap directories if needed, or if running Squid for the first time. All'avvio Squid verifica l'esistenza dell'albero delle directory swap in / u s r /local / squid /var /cache. Se si avvia Squid per la p rima volta, la cache deve essere inizializ zata con la crea zione delle directory swap. Per risolvere il problema avviare Squid con l'op zione - z: # /usr/local/squid/sbin/squid zd Savian o, Fiorillo, Ruber ti 1 9

20 Estensioni di Squid Squid su p porta di per sé alcune funzionalità in m o do intrinseco, tuttavia tali fun zioni p ossono essere rese efficaci integran do il proxy con altri servizi forniti da terze parti. Fra i più interessanti cito i seguenti, tutti p ro dotti liberi e open source: Autenticazione degli utenti. La configura zione di Squid p uò essere collegata ad u n database in cui so no registrati tutti gli utenti della rete con le rispettive password. In questo m o do è possibile differen ziare le regole degli accessi in fun zione del tipo di uten za. Protezione con antivirus. Integran do il servizio di Squid con DansGuardian è possibile configurare q uest'ultimo per scansionare il m ateriale che si scarica allo scopo di individuare l'eventuale presen za di virus. Questa solu zione è offerta dall'antivirus ClamAv, il cui funziona mento s'integra nel servizio di content filtering svolto da DansGuardian. Lo scopo è naturalmente quello di proteggere le posta zioni Windows nei confronti di virus, cavalli di Troia e wor m. Filtro dei conten uti. Si tratta dell'estensione più interessante, quella che ren de Squid u n ottimo stru me nto per le reti scolastiche in quanto per mette di selezionare le risorse che si scaricano dal Web in fun zione del loro contenuto, bloccan do gli accessi ai contenuti che violano la p olicy. Esistono diversi p ro dotti di ter ze parti, in concorrenza fra loro, m a i più celebri e più usati sono SquidGuard e DansGuardian. Tralascio la tratta zione dell'implementa zione del p roxy con u n servizio di autenticazione e la prote zione con u n antivirus. Chi è interessato all'argo mento p uò fare riferimento alla d ocu me nta zione in Rete. A tal fine consiglio di visitare il sito mistiindipen denti.org nel q uale è p ossibile trovare u na guida che tratta anche gli as petti che in q uesta se de ho trascurato per dare u no spazio adeguato alla te matica del filtro dei contenuti. Come piattafor ma di riferimento ho scelto DansGuardian perché l'ho trovato più se m plice rispetto a SquidGuard e perché è considerato da m olti ad detti ai lavori più aggiornato ed efficiente del s uo "rivale". Come opera DansGuardian? Il funziona me nto di DansGuardian, nelle linee essen ziali, è riassu nto nello sche ma della figura 6. La linea nera rappresenta la richiesta del client, le linee verdi ra p presentano la Savian o, Fiorillo, Ruber ti 2 0

21 transa zione con il p roxy a m messa in caso di esito favorevole, q uella rossa il flusso in risposta da DansGuardian in caso di accesso negato. Figura 6: Algorit mo del servizio di DansGuar dia n Lo sche ma mette in eviden za la posizione inter media di DansGuardian fra il browser Web e Squid, restando in ascolto sulla porta 8080 nell'im postazione pre definita. DansGuardian è a sua volta connesso a Squid, che invece resta in ascolto sulla porta 3128 nella configurazione pre definita. Filtro e p roxy posso no operare s ullo stesso host o su co m p uter differenti. Le richieste dei client non sono indiriz zate diretta mente a Squid, bensì sono ricevute da DansGuardian (linea di flusso nera), il q uale verifica nella banca d ati se la risorsa richiesta è confor me alla policy d'accesso configurata. In caso di esito positivo DansGuardian reindiriz za l'istan za al proxy che provvederà ad espletare la transa zione con il client (linee di flusso verdi). In caso di esito negativo DansGuardian blocca la transa zione e invia al browser u na pagina infor mativa di accesso negato secon do q uanto previsto nella configura zione (linea di flusso rossa). Savian o, Fiorillo, Ruber ti 2 1

22 Configurazione di DansGuardian L'installazione di DansGuardian crea il file di configura zione generico / etc / dansguardian / d a nsguardian.conf Il file va naturalmente m o dificato adattando i valori impostati nelle direttive al contesto in cui si opera. Come già visto per sq uid.conf abbia mo a disposizione u na configura zione p redefinita, tuttavia p uò essere necessario personaliz zare in vario m o do la configura zione di DansGuardian. La sintassi non si discosta da quella di squid.conf ad eccezione dell'inserimento del segno uguale fra il no me della direttiva e il valore attribuito: dire t tiva = [valore] Per il resto valgono le conven zioni larga mente adottate nei file di configura zione: Le righe vuote e gli spa zi ripetuti sono ignorati Le righe che iniziano con il carattere # (cancelletto) sono considerate co m menti pertanto sono ignorate La configura zione di DansGuardian conte m pla u na vasta casistica che non è possibile trattare in q uesta se de. Mi limito pertanto all'esa me di alcune imposta zioni che d ovrebbero essere d'interesse generale e che nel co m plesso no n richiedono u n particolare sfor zo di co m prensione. Nell'ese m pio che segue ho o messo diverse direttive per focaliz zare l'atten zione s u quelle che posso no m aggiormente interessare u n'installazione di p rova. Per ciò che non è conte m plato in q uesto ese m pio racco mando di lasciare invariata la direttiva predefinita impostata dall'installazione di DansGuardian, di fare riferimento ad u na d ocu me nta zione più ap profon dita e di valutare le m o difiche do po aver acquisito u na sufficiente esperien za. # Azione eseguita in caso di accesso negato reportinglevel = 3 # Directory dei file HTML # restituiti in caso di accesso negato languagedir = '/etc/dansguardian/languages' # Lingua utilizzata dalla directory Savian o, Fiorillo, Ruber ti 2 2