Proxying e filtraggio dei contenuti: installazione e configurazione di

Transcript

Un sis te m a di p r oxying e filtraggio d ei co n te n u ti b a sa t o s u tec n ologie o p e n so u rce
Proxying e filtraggio d ei co n te n u ti: in s t alla zio n e e
co nfigur a zio ne di b a se s u sis te mi Debia n.
Savian o Gius e pp e Salvatore
Fiorillo Nicola
Ruberti Da vid e
Savian o, Fiorillo, Ruber ti
1
Indice
Pre m e s s a .................................................................................................................................. 3
Gener alità s ui s ervi zi p r oxy............................................................................................... 4
Fu n zio ne ba s e di u n p r oxy.................................................................................................7
Su Squid, Da n sG uar dia n e Cla mAv..................................................................................9
Ins talla zio ne di Squi d, Da n sGuar dia n e Cla mAV..................................................... 1 0
Co nfig ura zio ne di Squid...................................................................................................1 1
Avvio di Squid......................................................................................................................1 7
Este n sio ni di Squid.............................................................................................................2 0
Co me o p er a Da n sGua r dia n?............................................................................................2 0
Co nfig ura zio ne di Dan sGua r dia n.................................................................................. 2 2
La blacklist............................................................................................................................2 8
Avvio di Dan sGuar dia n ..................................................................................................... 3 1
Avvio a u t o m a tico d ei s ervi zi.......................................................................................... 3 2
Co nfig ura zio ne d ei clien t.................................................................................................3 3
Il cas o di p r oxy t r a s p a re n t e, u tiliz z o di ipta bles......................................................3 4
Co n s ulta zio ne d ei log........................................................................................................3 5
Co nclu sio ni........................................................................................................................... 3 9
2
Premessa
Que s t a gui da è u n a d a t t a m e n t o d el d oc u m e n t o di Giancarlo Des sì Co me ges tire e
co n t r ollare gli acce s si al Web d alle re ti scolas tic he , c he al m o m e n t o d ella s te s u r a si t r ova
p r e s s o h t t p: / / s c u ola.lin ux.it / d oc s / gc d s s / s q ui d /
Copyright (c) 20 0 7 - 2 0 0 8 Savia no Giuse p p e Salvat o re, Fiorillo Nicola, Rube r ti Davide
E' gara n tito il p e r m e s s o di co piare, dis t rib uire e / o m o dificare q u e s t o d oc u m e n t o
s eg u e n d o i te r mi ni d ella Licen z a p e r Docu m e n t a zio ne Libera GNU, Versione 1.2 o
og ni ver sio ne s ucces siva p u b blicata d alla Free Software Fou n d a tio n ; s e n z a Sezio ni
No n Modificabili, n e s s u n Tes to Co per tina, e n e s s u n Tes t o di Retro Cope r ti na.
Una co pia d ella licen z a è acclu s a in co d a a qies t o d oc u m e n t o, n ella s e zio ne
in titola ta "Licen z a p e r Docu m e n t a zio ne Libera GNU"
3
Generalità sui servizi proxy
Un cac he p r oxy p u ò e s se re d efinito co m e u n servizio di m e m o ri z z a zio ne locale delle
risorse di rete richieste d ai client.
Gli sco pi p ri nci pali di q ue s t o s e rvi zio s o n o i s eg u e n ti:
•
Con divider e u n a con ne s sio ne a d Inte r n e t fra pi ù h o s t
•
Ap plicare u n a policy co n il filtro d egli acces si e d ei co n te n u ti
•
Deco nges tio n a re il t r affico di re te o t ti mi z z a n d o la b a n d a di s p o nibile
Una re te locale p u ò e s s e re collega t a al Web in d u e differe n ti m o d alità di co n n e s sio n e:
q u ella diret t a (Figura 2) e q u ella m e dia t a d a u n p r oxy (Figur a 1). Co me si p u ò o s s e rva re, il
p r oxy se rve r s'inte r p o ne fisica m e n te fra la re te locale e la re te p u b blica face n d o d a
inte r m e diario d elle co n ne s sio ni.
Figura 2 : Con nessione
diretta a d inter net
Figura 1 : Con nessione
m e diata d a u n proxy
Nell'arc hite t t u r a di u n a co n ne s sio ne dire t ta (Figu ra 3), il b r ow se r e il s e rver Web
co m u nica no dire t t a m e n te a livello di a p plica zio n e s e n z a alc u n a in te r m e dia zio n e s e n o n
q u ella r a p p r e se n t a t a d ai p r o t oc olli d ei livelli s o t t o s t a n ti (Tra s p o r t o, Rete e Data Link) d ei
d u e h o s t e d ei livelli di Rete e Fisico d ei r o u t e r . In q u e s t a s t r u t t u r a di r e te è pi u t t o s t o
i m p r o b a bile co nfigur a re u n sis te m a di co n t r ollo ava n z a t o d el t r affico di re te co n
l'ecce zio ne di u n eve n t u ale firewall c he in og ni m o d o n o n ris p o n d e alle esige n z e d el
co n te s t o t r a t t a t o in q u e s t a gui da.
4
Figura 3 : A rc hitettur a della con nessione
sen z a proxy
Il p r oxy s'in se risce in q u e s t a a rc hitet t u r a co m e livello di a p plica zio n e fra il clien t e il
s e rver s o s tit ue n d o u n o d ei d u e h o s t in t u t t e le t r a n s a zio ni s e rver che coinvolgo n o l'altr o
h o s t (Figur a 4).
Figura 4 : A rchitett ur a della con nessione
attraverso u n proxy
5
Funzione base di un proxy
L'algorit m o di f u n zio n a m e n t o d el p r oxy, n elle linee e s s e n ziali, è ria s s u n t o n ello sc h e m a
d ella figur a 5. Le linee r o s s e r a p p r e se n t a n o il t r affico n ella re te Inte r n e t (fra p r oxy e
s e rver), q u elle n e re il t r affico nella re te locale (fra p r oxy e clien t ). Le linee gro s s e
r a p p r e se n t a n o il t r affico di risor se c he n o n richie d o n o t r a n s a zio ni es te r n e, q u elle s o t tili il
t r affico di ris or s e c he ric hie do n o u n a t r a n s a zio n e fra il p r oxy e il s e rver.
Figura 5 : Flusso dei d ati in u n a rete
m e diata d a proxy
Esse n d o fisica m e n t e s e p a r a t o d alla re te p u b blica, il b r ow se r Web invia s e m p r e la ric hies t a
al p r oxy (linea n e ra gro s s a), il q u ale verifica s e la riso r s a ric hie s ta è già m e m o ri z z a t a n ella
cac he. A q u e s t o p u n t o s o n o p o s sibili d u e eve n ti alter n a tivi:
1. La riso r s a è p r e se n t e in m e m o ria. In q u e s t o cas o la ris p o s t a d el p r oxy è im m e diat a,
co n l'invio d ella risor s a al b r ow se r (linea n e ra gro s s a). L'inter a t r a n s a zio n e,
svolge n d o si all'inter n o d ella re te locale, si co m ple ta in te m pi q u a si ista n t a n ei in
u n a re te Fast Ether ne t .
2. La riso r s a n o n è p r e se n te in m e m o ria. In q u e s t o ca s o il p r oxy d ovr à a p rire u n a
t r a n s a zio ne es te r n a invia n d o la richies ta al se rve r (linea r o s s a s o t tile). Ques ti invia
la risor s a al p r oxy (linea r o s s a s o t tile) il q u ale p r ovve de a gira rla al b r ow se r (linea
n e r a s o t tile). Con te m p o r a ne a m e n te co n s e rva n ella cac h e la riso r s a a p p e n a
sc aricat a p e r re n d e rla dis p o nibile p e r u n a s ucce s siva ista n z a. L'inter a t r a n s a zio n e
ric hie de in q u e s t o ca s o u n a fa se di t r affico e s te r n o, p e rciò i t e m pi di
co m ple ta m e n t o d ell'ist a n z a di p e n d e r a n n o d alla b a n d a dis p o nibile n ella
co n ne s sio ne e s te r na.
6
Quello d e scrit t o è il f u n zio n a m e n t o d el s e rvizio n ella s u a f u n zio n alità b a se. In realtà la
p r oce d u r a d ell'ista n z a p u ò ca m bia re in fu n zio n e d elle ris o r s e ric hie s te e d ella
co nfigur a zio ne s pecifica c he a b bia m o im p o s t a t o p e r il s e rvi zio, co m e ve d re m o n elle
p agine s ucce s sive.
Da u n p ri m o e s a m e p o s sia m o già m e t t e re in evide n z a u n p u n t o di fo r z a di q u e s t o
s e rvizio ris pe t t o alla co n n e s sio ne dire t t a. Se dieci p o s t a zio ni sca rica n o
co n te m p o r a ne a m e n t e u n a fot o di 2 0 0 in u n a co n n e s sio ne dire t t a si verifica u n a
co nge s tio ne d el t r affico in u scita. Con u n a b a n d a effe t tiva di 6 0 0 og ni u t e n te d ov rà
a t t e n d e re al m e n o m e z z o mi n u t o p ri m a di vis u aliz z a r e co m ple t a m e n te la fo t o s ul
m o nit or. Con u n s ervi zio di cac he - p r oxy la p ri m a ist a n z a di q u ella riso r s a ric hie d e r à u n
t e m p o legger m e n t e inferiore, p r e s u m e n d o che la b a n d a e s t er n a di s p o nibile n o n sia
co nge s tio n a t a d a t r o p p e ric hies te co n te m p o r a n e e, m a le ista n z e s ucce s sive avra n n o
t e m pi di ris p o s t a p r e s s oc hé ist a n t a nei: s e dieci p o s t a zio ni ric hie d o n o
co n te m p o r a ne a m e n t e la s te s s a fot o d ell'ese m pio p r ece de n te e q u e s t a è p r e se n te n ella
cac he d el p r oxy, in u n a r e te Fast Ether n e t og ni u t e n te p o t r e b be sca ricare la fo to in d u e
d eci mi di seco n d o!
L'ese m pio fa t t o, a nc he s e riferito a d u n co n t e s t o s e m plicistico, offre u n a p ri m a idea d ei
gra n di van t aggi che p u ò offrire q ue s t o s e rvi zio in u n a r e te scolas tica a nc h e n elle s u e
f u n zio n alità di b a s e: n o n è infre q ue n t e che pi ù s t u d e n ti faccia n o ric hies te co n te m p o r a n ee
o pi ù o m e n o diffe rite d elle s t e s s e p a gi ne d a differe n ti p o s t a zio ni.
Un s e rvizio p r oxy cac he offre t u t t avia altri va n t aggi, co m e si evince d al co nfr o n t o fra i
d u e sc he mi di co n n e s sio ne ria s s u n t o n ella t a b ella 1 .
Fun zionalità
Acces si m ul ti pli
Filtro d elle u t e n z e
Filtro d ei co n te n u ti
Deco nge s tio ne d el t r affico
Cont r ollo d el t r affico
Conne s sio n e diretta
No n s e m p r e
NO
NO
NO
NO
Conne s sio n e v ia pro x y
SI
SI
SI
SI
SI
T a ble 1 : Str u m e nti offerti d a u n proxy e d a u n a con nessione diretta
Rias s u m e n d o, l'ins t alla zio ne di u n p r oxy p e r m e t t e u n a ges tio n e ce n t r ali z z a t a d egli
acces si alla re te e s te r n a in di pe n d e n t e m e n t e d al n u m e r o di p o s t a zio ni co n n e s s e e,
a d o t t a n d o le o p p o r t u n e co nfigu ra zio ni, in te o ria è p o s sibile:
7
•
Con divider e u n' u nica co n ne s sio ne fra pi ù u t e n z e
•
Filtra re le u te n z e
•
Filtra re i co n te n u ti in d ow nloa d
•
Libera re p a r t e d ella b a n d a di co n n e s sio n e dis p o nibile
•
Con t r ollare il t r affico in u scita gra zie alla regis t r a zio n e in u n log
8
Su Squid, DansGuardian e ClamAv
Squid è il pi ù n o t o e il pi ù p o t e n t e cac h e p r oxy n el p a n o r a m a d el s of twa re liber o e o p e n
s o u rce. E' dis t rib uito gra t uita m e n t e co n lice n z a GNU Gener al Public Licen se . Esiste u n
p o r ting p e r sis te mi Win dow s , m a e s plet a in pie n o le s u e p o t e n zialità s olo in u n si s te m a
GNU Linux, s o p r a t t u t t o n ell'integra zio n e co n alt ri se rvizi di re te. Fra i p ri nci p ali p r o t ocolli
di re te s u p p o r t a e . Agisce co m e se rvi zio in b ackgr o u n d sia s u u n s e rver sia s u u n a
work s t a tio n . E' di facile co nfigur a zio n e n elle f u n zio n alità e s se n ziali.
Da n sGua r dia n è u n p o te n te sis te m a di conte nt filtering che migliora la p olicy di acces s o
di u n p r oxy verifica n d o le richies te s u u n a b a nca d a ti p u b blica, la co si de t t a blacklist . Se la
ric hies t a n o n viola i vincoli im p o s t a ti n ella co nfig u r a zio n e, Da n sGu a r dia n la di ro t t a al
p r oxy p e r m e t t e n d o il d ow nloa d d ella riso r s a. La blacklis t p u ò es se re sca rica ta d a Inter n e t
e p e rio dica m e n t e aggior n a t a co n u n a p r oce d u r a a u t o m a tica o p p u r e m a n u ale.
Cla mAV è u n a n tivir u s o pe n s o u rce, d el q u ale è di s p o nibile u n a versio n e a nc h e p e r
Win dow s. Sarà u tiliz z a t o d a Da n sGua r dia n p e r in divid u a re i file infe t ti eve n t u al m e n t e
rec u p e r a ti d a Squi d.
La via pi ù s e m plice p e r re p e rire le versio ni aggior n a t e di q u e s ti s oftwa re è q u ella di
a n d a r e s ui siti ufficiali d ei ris pe t tivi p r oget ti:
•
Squi d è dis p o nibile s ul sito h t t p: / / w ww.sq ui d - cac he.o rg
•
Da n sGua r dia n è di s p o nibile s ul sit o h t t p: / / d a n sg u a r dia n.org
•
Cla mAV è dis p o nibile s ul sito h t t p: / / w ww.cla m av.ne t /
Per q u a n t o rigua r d a la blacklis t, t r a t t a n d o si di u n a b a nca d a ti è p o s sibile fa re riferi m e n t o
a divers e fo n ti p u rc hé co m p a tibili co n la piat t af o r m a u s a t a, p e rciò in Rete s o n o
dis p o nibili pi ù blacklis t. Con s ult a n d o la d oc u m e n t a zio n e in re te h o fat t o riferi me n t o alla
b a nc a d a ti sc aricabile d all'in diri z z o h t t p: / / u rlblacklist.co m / ? s ec = d o w nloa d . Si t r a t t a di
u n a ba nc a d a ti pi u t t o s t o ricca, d al m o m e n t o che l'arc hivio co m p r e s s o è u n file di circa
2 0MB di di m e n sio ne (at te n zio ne, nel m o m e n t o in c ui si sc rive, la blacklist è sca rica bile
u n a s ola volta al gior n o p e r og ni IP).
A favore di q ue s t a blacklist d e p o ne a nc he la p r e s e n z a di n u m e r o si siti in italia n o, che in
ge ne re s o n o pi ù facil me n te raggiu ngibili in te r r oga n d o u n m o t o r e di ricerca co n p a r ole
c hiave in lingua italia na. Difet t a invece il filtro b a s a t o s ulle e s p r e s sio ni regola ri in ling u a
italia na che, in og ni cas o, p u ò es s er e integra t o co n u n a co nfig u r a zio n e ava n z a t a.
9
Installazione di Squid, DansGuardian e ClamAV
L'ins t alla zio ne di Squid in u n sis te m a Linux p u ò es se re fa t t a co n la co n s u e ta p r oce d u r a
c he p r eve de la co m pila zio ne d ei s o rge n ti. In q u e s t a g ui d a, p e r ò ci a t te r re m o all'
ins talla zio ne s u u n sis te m a d e bia n b a s e d, p e r c ui b a s t e r à u n s e m plice
$ sudo aptget install clamav squid dansguardian
ave n d o c ur a di aggiu nge re, eve n t u al m e n t e, i relativi re p o sito ry. Su Ubu n t u 7.1 0 n o n è
s t a t o n ece s s a rio.
Una n o t a for se ba n ale: al m o m e n t o d ell' in s t alla zio n e, s ul n o s t r o sis te m a di riferi m e n t o
er a già p r e se n t e Cla mAV; p r o b a bil me n te p e r q u e s t o m o tivo, Da n sGu a r dia n d o p o
l'ins talla zio ne, ris ult ava già co nfigu ra t o p e r u tiliz z a re l'a n tivir u s.
10
Configurazione di Squid
L'ins t alla zio ne di Squid crea il file di co nfig u ra zio n e ge n e rico
/ e tc / s q uid / s q uid.conf
L'es se n z a d ella fu n zio nalità d el p r oxy è in q u e s t o file p e rciò è fo n d a m e n t ale d e dicarci la
d ov u t a a t te n zio ne p e r alles tire u n efficace s t r u m e n t o di re te. Gli e s ti m a t o ri d elle
inte rfacce grafic he p o t re b ber o s t orce re il n a s o alla vista di q u e s t o file, t u t t avia
l'a p p a r e n t e difficoltà d elle co nfigur a zio ni b a s a te s u file di te s t o è a mio p a re re u n p u n t o
di for z a: i co m m e n ti inseriti n el co dice h a n n o il d u plice sco p o di g ui d a re l'a m mi nis t r a t o re
n ella co nfigur a zio ne e n el t e m p o s t e s s o d a re u n s uggeri me n t o s ulla p o s sibile
i m p o s t a zio ne d a a bilitare o di sa bilita re. In ge n e rale q u e s ti file di co nfig u r a zio n e s o n o
a b b a s t a n z a int uitivi, m a d ove n o n ba s t a l'in t uito p u ò se m p r e ve nire in aiu t o la
d oc u m e n t a zio ne p r e se n t e in Rete. Se m b re r à s t r a n o s o n o t r a sco r si d u e a n ni p ri m a di
ca pire co m e d ovevo co nfigur a re il p r oxy co m m e rciale Winga te m algra d o la s u a se m plice
e d elega n t e inte rfaccia grafica. Per Squid è b a s t a t a u n ' o ra p e r d o c u m e n t a r mi u n a ve n tin a
di mi n u ti p e r co nfigur a rlo u s a n d o u n b a n alissi m o e dit o r di te s t o.
In co nf or mit à a d u n a p r a s si co n s olida t a n egli a m bie n ti UNIX /Lin ux, la s t r u t t u r a di
s q ui d.co nf è m ol t o se m plice: il file è u n ele nco di diretti v e o tag a r ricchit o di co m m e n ti
p e r r e n de re leggibile e int uitivo il co n t e n u t o. Le rig he che inizia n o co n il car a t t e re #
(cancellet t o) s o n o co m m e n ti, p e r t a n t o s a r a n n o ign o ra te d al p r oces s o re d el p r oxy. Sara n n o
ignor a t e a nc he le righe co m ple ta m e n te vu o t e e gli s p a zi ri p e t u ti. Ins o m m a, pi ù facile di
così... La sin t a s si d elle dire t tive è a nc h'e s s a m olt o s e m plice:
dire t tiva [argo m e nti]
In altre p a r ole, og ni dire t tiva d eve occ u p a r e u n a riga e inizia re co n il n o m e d ella dire t tiva,
face n d o seg uire l'argo m e n t o o s sia il valore ch e s p ecifica l'i m p o s t a zio n e.
Il file va m o difica to t oglien d o i co m m e n ti o co m m e n t a n d o le rig he n o n n ece s sa rie e
m o difica n d o gli a rgo m e n ti d elle dire t tive. Il n u m e r o di dire t tive d a im p o s t a r e di p e n d e d al
livello di p e r s o n ali z z a zio ne c he s'in te n d e a p plica re al p r oxy. L'ins t alla zio ne crea u n
sis te m a p r eco nfigur a t o p e rciò gli i m p a zie n ti p o s s o n o già es se re o p e r a tivi. Nat u r al me n te
le im p o s t a zio ni di configur a zio ne di p a r t e n z a fa n n o riferi me n t o a d u n co n t e s t o ge n e rico
p e rciò si te nga p r e s e n te che d e dicare u n a o d u e o re di te m p o, p e r d oc u m e n t a r si e
a d a t t a re la co nfigu ra zio ne alle e sige n z e, p e r m e t te rà di o t t e n e re u n efficace s t r u m e n t o di
re t e.
11
Quello c he seg ue è u n e se m pio di co nfig u ra zio n e. No n è co m ple t o p e rc h é s o n o
volu ta m e n t e o m e s s e im p o s t a zio ni ava n z a t e d elle q u ali si p u ò fa re a m e n o d e m a n d a n d o a
Squid il co m pit o di a p plica re le im p o s t a zio ni p r e d efinite p e r le dire t tive o m e s se. I
co m m e n ti d e scrivo no b reve m e n t e gli sco pi d elle dire t tive ch e s eg u o n o.
# Indirizzo IP e porta d'ascolto
http_port 192.168.10.1:3128
opp ure http_port 192.168.10.1:3128 transparent
# Pagine Web dinamiche da non memorizzare nella cache
acl CGI urlpath_regex cgibin \?
acl ASP urlpath_regex asp \?
acl PHP urlpath_regex php \?
acl JSP urlpath_regex jsp \?
no_cache deny CGI ASP PHP JSP
# Dimensioni massime e minime delle
# risorse da memorizzare in cache
maximum object size 10240 KB
minimum_object_size 10 KB
# Identificazione delle reti locali a cui
# faranno riferimento le direttive d'accesso
acl all src 0.0.0.0/0.0.0.0
acl localnet src 192.168.10.0/255.255.255.0
acl localnet src 192.168.11.1192.168.11.20/255.255.255.255
acl localhost src 127.0.0.1/255.255.255.255
acl manager proto cache_object
# Definizione dei metodi di connessione a cui
acl CONNECT method CONNECT
#connessioni al proxy dall'esterno
12
# Identificazione delle porte TCP a cui
acl SSL_por ts port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 102565535 # unregistered por ts
acl Safe_ports port 280 # httpmgmt
acl Safe_ports port 488 # gsshttp
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multilink http
acl Safe_ports port 901 # SWAT
# Definizione delle estensioni dei file a cui
# faranno riferimento specifiche direttive d'accesso
acl banna_mp3 url_regex i \.m p3$ acl banna_exe url_regex i \.exe$
# Identificazione di un file di testo contenente
# una lista di espressioni regolari a cui # faranno riferimento le direttive d'accesso
acl forbidden url_regex "/usr/local/sq uid/etc/forbidden.txt"
# Direttive d'accesso (http_access):
# definiscono le regole di accesso al proxy
http_access allow manager localhost
http_access deny manager http_access deny !Safe_ports
http_access deny CONNECT !SSL_por ts http_access deny banna_mp3 http_access deny banna_exe
13
http_access deny forbidden http_access allow localnet
http_access allow localhost
# permette l'accesso dal loopback
# Direttiva che vieta l'accesso a tutti i
# casi non contemplati # Deve essere l'ultimo tag http_access
http_access deny all
Co me si p u ò o s s e rva re, gra n p a r t e d elle dire t tive p r e se in co n si de ra zio n e n ell'ese m pio
fa n n o ca p o a d u e for m e:
●
Diretti v e a cl
In ge ne r ale ide n tifica n o u n co n t e s t o, co m e a d es e m pio u n a ga m m a di in diri z zi di
re t e, u n'e s p re s sio ne regola re co n te n u t a n egli u n ti p o di p o r t a, ecceter a. Og ni
co n te s t o d efinito è ide n tificat o co n u n n o m e c he s eg u e la p a r ola chiave . La
s t r u t t u r a si n t a t tica di q u e s t e dire t tive p e r t a n t o è la s eg u e n te: n o m e e s p r e s sio ne
Ad e se m pio, la di re t tiva localnet 192.168.10.0/255.255.255.0 ide n tifica co n il
n o m e localne t u n'in te r a s o t t o r e te di clas s e C. Per le p o s t a zio ni che h a n n o u n
in diri z z o di re te c he rie n t ra in q u e s t o co n te s t o s a rà s p ecificata u n a dire t tiva
d' acce s s o s p ecifica.
●
Diretti v e htt p _access
Im p o s t a n o le regole d' acces s o p e r og ni co n te s t o d efinito in p r ece d e n z a. In altri
t e r mi ni s o n o le dire t tive d'acces s o c he in dica n o al p r oxy co m e d ov rà co m p o r t a r si
ca so p e r ca so. La s t r u t t u r a si nt a t tica di q u e s t e di re t tive è la s eg u e n te: h t t p_acces s
a zio ne n o m e_, n o m e_, ...
L'a zio ne è d efinita d a d u e p a r ole c hiave alter n a tive: de n y viet a l'acces s o a d Inte r n e t n el
co n te s t o a s s ocia to alla dire t tiva, allo w lo p e r m e t t e. Nella co nfig u r a zio n e di e se m pio h o
s p ecificat o dieci dire t tive d'acce s s o. Dat a l'i m p o r t a n z a e s a mi nia m ole n el d e t t aglio:
1. allow m a n age r localho s t . Per m e t te l'acce s s o a d u e co n t e s ti a b bi n a ti: m a n a ger che
d efi nisce l'a m mi nist r a zio ne d el p r oxy co n in terfaccia grafica ela b o r a t a in e
localhost d efi nisce l'in diri z z o di loo p b ack. Que s t a di re t tiva p e r t a n t o p e r m e t t e
l'acce s s o all'inte rfaccia di a m mi nis t r a zio n e d alla p o s t a zio n e in c ui è in s t allat o
Squi d.
14
2. d e ny m a n a ger . Per a n alogia co n il p r ece d e n te, q u e s t a dire t tiva vieta l'acces s o
all'inte rfaccia di a m mi nis t r a zio n e d a q u alsiasi p o s t a zio n e re m o t a. Per ovvie r agio ni
lega te alla sic u re z z a si r acco m a n d a d 'in se rire q u e s t a regola d o p o q u ella
p r ece d e n t e. In og ni ca s o si t e ng a p r e se n te c he l'in s t alla zio n e di b a s e di Squi d n o n
co m p r e n d e alc u na inte rfaccia grafica d ' a m mi nis t r a zio n e, c he va in s t alla ta a p a r t e
co n u n m o d ulo a p p o sita m e n t e co nce pito.
3. d e ny !Safe_por t s . Le Safe_por t s d efinisco n o le p o r te a t t r ave r s o le q u ali si p u ò
s t a bilire u n a co n ne s sio ne p e r u n o s p ecifico p r o t oc ollo di re te. Ad e se m pio, la p o r t a
8 0 è lo s t a n d a r d p r e definito p e r il p r o t ocollo . La dire t tiva d ' acces s o vieta l'u s o di
q u alsia si p o r t a di n u m e r o infe riore a 1 0 2 5 n o n p r evis ta n egli s t a n d a r d. Si t r a t t a di
u n a fo n d a m e n t ale im p o s t a zio n e di sicu re z z a che im p e disce c he q u alc h e
m alinte n zio na t o sfr u t ti u n a falla n ella co nfig u ra zio n e di Squid p e r acce d e re d a
Inter ne t all'inte r n o d el n o s t r o s e rver di co n n e s sio n e u s a n d o u n a d elle p o r te
critiche (fino a 1 02 4).
4. d e ny CONNECT !SSL_por t s . Vieta il m e t o d o CONNECT a t t r aver s o p o r t e diver s e d a
q u elle p r evis te p e r la co n ne s sio ne crit togr afa ta. In q u e s t o m o d o m a cc hi ne e s te r n e
alla re te n o n p o t r a n n o collegar si al p r oxy se n o n a t t r aver s o le p o r t e s u d d e t te.
5. d e ny b a n n a_ m p 3 . Vieta lo sca rica m e n t o di file . Un'i m p o s t a zio n e di q u e s t o ti p o,
che p u ò e s s er e es te s a a d altri fo r m a ti m ul ti me diali, è sicu r a m e n t e u tile in
co n ne s sio ni a b a n d a s t re t t a p e r le q u ali è fo n d a m e n t ale p r eve nire ecces sivi
a s s or bi m e n ti di b a n d a.
6. d e ny b a n n a_exe. Im p o s t a zio ne a n aloga a q u ella p r ece d e n t e. In q u e s t o ca s o lo
sc o p o p o t re b be es se re q uello d 'i m p e dire lo sc a ri me n t o di e seg uibili che p o t r e b be ro
es se re d a n n o si p e r le p o s t a zio ni Win d ow s d ella re te locale.
7. d e ny for bi d de n . Que s t a di re t tiva vieta lo sc arica m e n t o di p a gine d a in diri z zi che
co n te ngo n o u n a o pi ù p a r ole chiave fra q u elle ele nca te n el file di t e s t o ide n tificat o
d alla for bi d de n .
8. allow localne t . Que s t a dire t tiva p e r m e t t e l'acces s o al p r oxy s olo alle p o s t a zio ni c he
h a n n o u n in diri z z o di r et e che s'i de n tifica in u n a d elle p r ece d e n ti dire t tive .
Im po s t a zio ni di q u e s t o ti p o s o n o fo n d a m e n t ali p e r regola m e n t a re gli acces si al
p r oxy i m pe de n d o d a u n lato l'acces s o d a re ti es te r n e e d a u n alt ro l'acces s o d a
s p ecific he p o s t a zio ni d ella re t e locale. Im p o s t a n d o altre di re t tive - n o n
co n te m pla te in q ue s t a s e de - si p u og r ave; a nc h e p r e s t a bilire u n a r egola m e n t a zio n e
ba s a t a s ugli or a ri e s ul cale n d a rio. Ad e se m pio p o s sia m o p r e s t a bilire che d alle
p o s t a zio ni d elle a ule si p o s s a acce d e re al Web s olo d alle 9 alle 1 2 in d e t e r mi n a ti
15
gior ni d ella se t ti m a n a.
9. allow localhos t . Diret tiva a n aloga alla p r ece d e n t e, m a fa riferi m e n t o all'in diri z z o di
loo p b ack p e r t a n t o p e r m e t t e l'acce s s o al Web a nc he d alla p o s t a zio n e in c ui è
ins t allato il p r oxy.
1 0. d e ny all. Que s t a è u n a dire t tiva d ' acces s o p a r ticolare e di fo n d a m e n t ale
im p o r t a n z a p e rc hè vieta l'acce s s o in t u t ti i co n te s ti n o n co n t e m pla ti - in se n s o sia
p e r mis sivo sia p r oibitivo - d alle di re t tive p r ece de n ti. Man te n e re q u e s t a dire t tiva,
p e r ulti m a d o p o t u t t e le alt re _access è alta m e n te r acco m a n d a t o s e voglia m o
evitare di lasciare p o s sibili vie d 'acces s o al p r oxy n o n p r evis te n ella n o s t r a p olicy.
Per co nclu d e re, si fa p r e se n te c he negli e se m pi s o n o s t a ti t r a t t a ti s olo alcu ni a s p e t ti d ella
co nfigur a zio ne di Squid . Altre dire t tive fa n n o riferi me n ti a co n te s ti p a r ticola ri ch e
p o t re b be r o migliora re la fu n zio nalità d el sis te m a, co m e a d e se m pio il co nca te n a m e n t o
co n alt ri p r oxy. In ge ne rale si t r a t t a di dire t tive c he sfr u t t a n o ulte rio r m e n t e le
p o te n zialità di Squid m a che rie n t r a n o in u n a co nfig u r a zio n e ava n z a t a, p e r t a n t o ri m a n d o
c hi è inte re s s a t o a d oc u m e n t a zio ni di a p p r ofo n di m e n t o pi ù p a r ticolareggiate ris p e t t o a
q u e s t a gui da. In og ni m o d o, q u a n d o n o n si è sic u ri s ull'i m p o s t a zio n e d a a p plica re in u n a
dire t tiva co n t e m pla t a n el file di co nfig u ra zio n e crea t o d all'in s t alla zio n e, co n siglio di
m a n t e ne re l'i m p o s t a zio ne p r e definita: è il m o d o migliore di avere u n o Squi d fu n zio n a n t e
e in m o d o co n t r olla to, a nc he s e n o n o t ti mi z z a t o n elle s u e f u n zio ni.
16
Avvio di Squid
L'avvio d el s e rvi zio si effet t u a a s s u m e n d o i p rivilegi di a m mi nis t r a t o re e digita n d o u n
co m a n d o c he h a la s eg ue n te for m a:
# /etc/init.d/squid [opzioni]
Un ele nco d elle o p zio ni si o t tie ne digita n d o il co m a n d o co n l'o p zio n e - h. In q u e s t a se d e
co nce n t ria m o l'at te n zio ne s ulle s eg ue n ti o p zio ni:
h
Sta m p a s ullo sc he r m o l'ele nc o d elle o p zio ni di s p o nibili e u n a b reve d e sc ri zio n e.
k reconfigure
Riavvia Squi d face n d o rileggere la co nfig u r a zio n e, p e r t a n t o va eseg uito d o p o og ni
m o difica d el file squid.conf.
k check
Verifica il f u n zio n a m e n t o di Squid e la cor re t te z z a d el file di co nfig u ra zio n e.
D
Avvia Squi d dis a bilita n d o il co n t r ollo ini ziale d el . Ques t a o p zio n e p u ò e s se re u tile
in ca s o di p r o ble mi q u a n d o si avvia Squid p e r la p ri m a volta: n ella s u a
co nfigu ra zio ne è p r evist a la verifica d el , p e rciò Squid t e n t e rà di co n t a t t a re gli
in diri z zi di alcu ni d o mi ni. Il falli me n t o di u n a s ola di q u e s t e chia m a te fa re b b e
a r re s t a re il s ervi zio.
z
E' u n' o p zio ne in dis pe n s a bile q u a n d o si avvia il se rvi zio p e r la p ri m a volta p e rc h é
Squi d d ovrà cos t r uire l'albe ro d elle directo ry sw a p in / u sr / l o cal / s q uid / v ar / ca ch e .
Per verificare se il s ervi zio è in e sec u zio n e si p u ò la nciare il s eg u e n te co m a n d o:
$ ps A | grep squid
Il co m a n d o s t a m p a s ullo sc he r m o la lis ta di p r oces si di n o m e s q ui d (un p r oce s s o p a d re e
d u e p r oce s si figli).
Se Squi d o i s u oi p r oce s si figli n o n s o n o in e sec u zio n e, il p r oce s s o è s t a t o a b o r tito p e r
q u alc he er r o re. La ca u s a d ell'err or e si accer t a co n s ulta n d o i file di regist ro:
1. Per co n s ult a re il regis t ro di Squid la nciare il co m a n d o:
$ tail /var/log/squid/cache.log
17
2. Per co n s ult a re il regis t ro di sis te m a la nciare il co m a n d o:
$ tail /var/log/syslog
Ecco alc u ni p o s sibili er r o ri c he p o s s o n o verifica rsi al p ri m o avvio di Squi d.
■
Errore 1
Nov 7 23:17:37 gian (squid): ipcache_init: DNS name lookup tests failed All'avvio Squi d effet t u a u n t e s t d ella risolu zio n e d ei n o mi di d o mi nio in te r r og a n d o
il s ui n o mi ele nca ti n ella dire t tiva d n s_te s t n a m e s . Que s t a o p e ra zio n e fallisce s e il
s e rver a c ui si a p p oggia Squid n o n rie sce a risolvere u n o d ei n o mi o p p u r e s e il
s e rver di co n n e s sio ne n o n è collega t o a d Inter n e t.
Una d elle p o s sibili s ol u zio ni è avviare Squid co n l'o p zio n e - D. Se si s t a avvia n d o il
s e rvizio p e r la p ri m a volta è n ece s s a rio a p plicare a nc h e l'o p zio n e - z :
# /usr/local/squid/sbin/squid zD
■
Errore 2
Nov 7 23:49:56 gian (squid): Cannot open '/usr/local/squid/var/logs/access.log' for writing. The parent directory must be writeable by the user 'nobody', which is the cache_effective_user set in squid.conf. Co me im p o s t a zio ne p r e d efinita il p r oce s s o sq uid è avviat o co m e u t e n t e n o bo d y e
n o n h a i p e r m e s si di sc ritt u r a n elle directo ry di sis te m a (nella fa t tis p ecie
/ u s r / l oc al). Squi d n o n p u ò p e r t a n t o ini ziali z z a re il si s te m a di cac h e p r oxy crea n d o
i file di regis t r o e l'alber o d elle direct o ry swa p .
La s ol u zio ne pi ù s e m plice co n sis te n ell'as seg n a re la p r o p riet à d ella
directo ry / u s r / l ocal / s q ui d / v a r all'u te n te n o b o dy e riavviare il s e rvi zio. Tra t t a n d o si
di u n a direct ory di sis te m a l'as seg n a zio n e d ella p r o p riet à d eve es se re fa t t a
d all'a m mi nis t r a t o re:
# chown R nobody:nogroup /usr/local/squid/var
■
Errore 3
Nov 8 00:12:16 gian (squid): Failed to verify one of the swap directories. Check cache.log for details. Run 'squid z' to create Savian o, Fiorillo, Ruber ti
18
swap directories if needed, or if running Squid for the first time. All'avvio Squi d verifica l'esis te n z a d ell'alber o d elle direct o ry swa p in
/ u s r / l oc al / s q ui d / v a r / c ac he . Se si avvia Squi d p e r la p ri m a volta, la cac h e d eve
e s se re ini zializ z a t a co n la crea zio n e d elle directo ry swa p . Per risolvere il p r o ble m a
avviare Squi d co n l'o p zio ne - z:
19
Estensioni di Squid
Squid s u p p o r t a di p e r s é alc u ne f u n zio n alità in m o d o in tri n seco, t u t t avia t ali fu n zio ni
p o s s o n o es se re re se efficaci integra n d o il p r oxy co n alt ri se rvizi fo r niti d a te r z e p a r ti. Fra
i pi ù inte re s s a n ti cito i s eg ue n ti, t u t ti p r o d o t ti liberi e o p e n s o u rce:
•
Aute n tica zio ne d egli u t e n ti. La co nfig u r a zio n e di Squi d p u ò es se re collega ta a d u n
d a t a ba s e in c ui s o n o regis t r a ti t u t ti gli u t e n ti d ella re te co n le ris p e t tive p a s sw o r d .
In q u e s t o m o d o è p o s sibile differe n zia re le regole d egli acces si in fu n zio n e d el ti p o
di u t e n z a.
•
Prote zio ne con a n tivir u s. Integra n d o il s e rvizio di Squi d co n Da n sGua r dia n è
p o s sibile co nfigur a re q ue s t' ulti m o p e r sca n sio n a re il m a t e riale che si sc a rica allo
sc o p o di in divid ua re l'eve n t u ale p r e se n z a di vir u s. Que s t a s olu zio n e è offe r ta
d all'a n tivir u s Cla mAv, il c ui f u n zio n a m e n t o s'in teg ra n el s e rvi zio di conte nt
filtering svolto d a Da n sGua r dia n . Lo sco p o è n a t u r al m e n t e q u ello di p r o teggere le
p o s t a zio ni Win dow s n ei co nfr o n ti di vir u s, cavalli di Troia e wo r m .
•
Filtro d ei co n te n u ti. Si t r a t t a d ell'e s te n sio n e pi ù in te re s s a n t e, q u ella che re n d e
Squi d u n o t ti m o s t r u m e n t o p e r le re ti scola s tic he in q u a n t o p e r m e t t e di
sele zio na re le riso r s e che si sc arica n o d al Web in fu n zio n e d el lor o co n te n u t o,
blocca n d o gli acce s si ai co n te n u ti che viola n o la p olicy. Esisto n o diver si p r o d o t ti di
te r z e p a r ti, in co ncor re n z a fra loro, m a i pi ù celeb ri e pi ù u s a ti s o n o Squi dGua r d e
Da n sGua r dia n .
Trala scio la t r a t t a zio ne d ell'i m ple m e n t a zio n e d el p r oxy co n u n se rvi zio di a u t e n tica zio n e
e la p r o te zio ne co n u n a n tivir u s. Chi è inte re s s a t o all'argo m e n t o p u ò fare riferi me n t o alla
d oc u m e n t a zio ne in Rete. A t al fine co n siglio di visitar e il sito
www.sis te mi s tiin di pe n d e n ti.org n el q u ale è p o s sibile t r ovare u n a g ui d a c he t r a t t a a nc h e
gli a s pe t ti c he in q u e s t a se de h o t r a sc u r a t o p e r d a re u n o s p a zio a d eg u a t o alla te m a tica
d el filtr o d ei co n te n u ti.
Co me pia t t afor m a di riferi m e n t o h o scelto Da n sGu a r dia n p e rc hé l'h o t r ova t o pi ù s e m plice
ris p e t t o a Squi dGua r d e p e rc hé è co n si de r a t o d a m olti a d d e t ti ai lavori pi ù aggior n a t o e d
efficie nt e d el s u o "rivale".
Come opera DansGuardian?
Il f u n zio n a m e n t o di Da n sGua r dia n , n elle linee e s s e n ziali, è ria s s u n t o n ello sc h e m a d ella
figur a 6. La linea n e r a r a p p r e s e n t a la richies t a d el clien t , le linee ver di ra p p r e s e n t a n o la
20
t r a n s a zio ne co n il p r oxy a m m e s s a in ca s o di e sito favorevole, q u ella r o s s a il flu s s o in
ris p o s t a d a Da n sGua r dia n in ca s o di acces s o n eg a t o.
Figura 6 : Algorit mo del servi zio di
DansGuar dia n
Lo sc he m a m e t te in evide n z a la p o si zio n e inte r m e dia di Da n sGua r dia n fra il b r ow se r Web
e Squid , r e s t a n d o in a scolto s ulla p o r t a 8 0 8 0 n ell'i m p o s t a zio ne p r e d efinita.
Da n sGua r dia n è a s u a volta co n n e s s o a Squi d, che invece re s t a in a scolto s ulla p o r t a 3 1 2 8
n ella co nfigur a zio ne p r e definita. Filtro e p r oxy p o s s o n o o p e r a r e s ullo s te s s o h o s t o s u
co m p u t e r diffe re n ti.
Le ric hies te d ei clien t n o n s o n o in diri z z a t e dire t t a m e n t e a Squi d, b e n sì s o n o ricev u te d a
Da n sGua r dia n (linea di flus s o n e ra), il q u ale verifica n ella b a nca d a ti s e la ris o r s a ric hie s t a
è co nfor m e alla p olicy d' acce s s o co nfig u ra t a.
•
In ca s o di e sito p o sitivo Da n sGua r dia n rei n diri z z a l'is ta n z a al p r oxy c he
p r ovve de rà a d es ple ta re la t r a n s a zio n e co n il clien t (linee di flu s s o ver di).
•
In ca s o di e sito nega tivo Da n sGu a r dia n blocca la t r a n s a zio n e e invia al b r ow se r u n a
p agina infor m a tiva di acces s o n ega t o s eco n d o q u a n t o p r evis to n ella
co nfigu ra zio ne (linea di flu s s o r o s s a).
21
Configurazione di DansGuardian
L'ins t alla zio ne di Da n sGua r dia n crea il file di co nfig u r a zio n e ge ne rico
/ e tc / d a nsg u ar dia n / d a nsg u ar dia n.con f
Il file va n a t u r al me n t e m o dificat o a d a t t a n d o i valori im p o s t a ti n elle dire t tive al co n t e s t o
in c ui si o pe ra. Co m e già vis to p e r s q ui d.co nf a b bia m o a dis p o si zio n e u n a co nfig u r a zio ne
p r e d efi nita, t u t t avia p u ò es se re n ece s s a rio p e r s o n aliz z a re in vario m o d o la
co nfigur a zio ne di Da n sGua r dia n .
La si n t a s si n o n si di scos t a d a q u ella di s q ui d.co nf a d ecce zio n e d ell'in s eri m e n t o d el s eg n o
u g u ale fr a il n o m e d ella dire t tiva e il valore a t t rib uito:
dire t tiva = [valore]
Per il re s t o valgo no le co nve n zio ni larga m e n t e a d o t t a t e n ei file di co nfig u r a zio n e:
•
Le righe vuo te e gli s p a zi ri pe t u ti s o n o ign o r a ti
•
Le righe c he inizia n o co n il cara t t e re # (ca ncellet to) s o n o co n si de r a te co m m e n ti
p e r t a n t o s o n o ignor a te
La co nfigu ra zio ne di Da n sGua r dia n co n te m pla u n a vas t a ca sis tica c he n o n è p o s sibile
t r a t t a re in q u e s t a se de. Mi li mito p e r t a n t o all'esa m e di alcu n e im p o s t a zio ni che
d ovre bbe r o es se re d'i nte re s s e ge ne rale e c he n el co m ple s s o n o n richie d o n o u n p a r ticola re
sfor z o di co m p r e n sio ne. Nell'ese m pio c he seg ue h o o m e s s o diver se dire t tive p e r
focaliz z a r e l'a t te n zio ne s u q u elle c he p o s s o n o m a ggio r m e n t e inte re s s a re u n 'in s t alla zio n e
di p r ova. Per ciò c he n o n è co n t e m pla t o in q u e s t o e se m pio r acco m a n d o di lasciare
invariat a la diret tiva p r e definita i m p o s t a t a d all'in s t alla zio ne di Da n sGua r dia n , di fa re
rife ri me n t o a d u n a d oc u m e n t a zio ne pi ù a p p r ofo n dit a e di valu t a r e le m o difiche d o p o
ave r ac q ui sito u n a s ufficie nte e s p e rie n z a.
# Azione eseguita in caso di accesso negato reportinglevel = 3 # Directory dei file HTML # restituiti in caso di accesso negato
languagedir = '/etc/dansguardian/languages'
# Lingua utilizzata dalla directory Savian o, Fiorillo, Ruber ti
22
# languagedir (default: ukenglish)
language = 'italian' # localizzato maluccio...
# Formato del file di registro
# L'opzione 3 imposta lo stesso formato # del file access.log di Squid
logfilefor mat = 1
# Percorso del file di registro
loglocation = '/var/log/dansguardian/access.log'
# Indirizzo di rete di DansGuardian filterip = 192.168.10.1 # Porta di ascolto
filter port = 8080
# Indirizzo di rete del server proxy
# E' predefinito l'indirizzo di loopback # ipotizzando che proxy e filtro dei contenuti
# siano installati sullo stesso host
proxyip = 127.0.0.1
# Porta di ascolto del proxy
proxyport = 3128
# URL di reindirizzamento se l'accesso negato reindirizza ad un CGI
# Lasciare l'impostazione predefinita se si usa il template statico
accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgibin/dansguardian.pl'
# Metodo di ponderazione delle pagine # il valore predefinito 2 fa sì che una Savian o, Fiorillo, Ruber ti
23
# frase sia conteggiata una sola volta # se riscontrata nella pagina
weightedphrasemode = 2
# Creazione di una cache dei file e # degli indirizzi negati. L'impostazione
# predefinita (on) permette di triplicare # la velocità del processo di scansione, # pertanto è raccomandata se il sistema # è in esecuzione su un # computer lento createlistcachefiles = on Co me h o già d e t t o, diver se dire t tive s o n o s t a t e o m e s se. In ge ne r ale va n n o u s a t e p e r
o t ti mi z z a r e il fu n zio n a m e n t o di Da n sGu a r dia n a d a t t a n d olo a d u n o s p ecifico co n te s t o (ad
e se m pio, differe n zia zio ne d egli eve nti in u n sis te m a b a s a t o s ull'a u t e n tica zio n e d egli
u t e n ti). E' co n sigliabile lasciare le im p o s t a zio ni p r e d efinite, s o p r a t t u t t o s e n o n si h a
cogni zio ne di ca u s a, e ri m a n d a r e a d u n seco n d o te m p o u n miglior a m e n t o d ella
co nfigur a zio ne d o p o aver ac q uisito u n ' a d eg u a t a e s p e rie n z a. Infa t ti, d o p o aver im p o s t a t o
le diret tive e s se n ziali (quali a d e se m pio gli in diri z zi di re te e le p o r t e di co m u nica zio n e),
Da n sGua r dia n è in gra d o di o pe ra re efficace m e n t e a nc h e co n le im p o s t a zio ni p r e d efinite
n ella m a ggior p a r t e d ei co n te s ti.
Vedia m o invece nel d e t t aglio il significa to d elle dire t tive m o s t r a te n ell'ese m pio.
re p o r tinglevel = 3
Im p o s t a il fee d back di Da n sGua r dia n in ca s o di acces s o n eg a t o. Sono p o s sibili i s eg u e n ti
valori:
•
- 1 : si limita a regis t r a re l'eve nt o s e n z a bloccare l'acces s o. L'ute n te è igna r o che il
sis te m a s t a regis t ra n d o u n a viola zio ne d ella p olicy;
•
0 : invia u n a secca e s e m plice ris p o s t a d el ge n e re "Access o n eg a t o" s e n z a s piega r n e
i m o tivi;
•
1 : s piega il m o tivo d ell'acce s s o n eg at o m a s e n z a e n t r a re n ei d e t t agli. In q u e s t o
m o d o l'ute n te ignor a i fa t t o ri h a n n o p o r t a t o al blocco, evita n d o ch e p o s s a a d o t t a re
d egli accorgi me n ti corre t tivi p e r aggirare il filtr o;
•
2 : invia all'ute n te u n ra p p o r t o co m ple t o s ull'eve n t o. In q u e s t o m o d o l'u te n t e
24
p o t re b be in divid ua r e d ei p o s sibili acco rgi m e n ti p e r aggirare il filtr o;
•
3 : è l'i m p o s t a zio ne p r e d efinita. Il si s te m a invia u n r a p p o r t o in fo r m a t o u s a n d o u n
te m pla te p r e definito.
la ng u age dir = ' / e tc / d a n s g u a r dia n / la n g u age s'
Specifica la direct ory co n te ne n te i t e m pla te u s a ti p e r inviare u n a ris p o s t a di acce s s o
n ega to. Il valore ri p or t a t o n ell'ese m pio è q u ello p r e d efinito. Que s ta dire t tiva e q u ella
s ucce s siva s a r a n n o p r e s e in co n si de r a zio n e s olo s e la dire t tiva p r ece d e n t e è im p o s t a t a
s ul valore 3.
la ng u age = 'italia n'
Im p o s t a la ling ua u tiliz z a t a n ell'invio d ei r a p p o r ti. Co me ling u a p r e d efinita è im p o s t a t o
l'inglese, m a in alter n a tiva p o s s o n o e s se re im p o s t a te altre 2 1 ling ue.
logfilefor m a t = 1
Specifica il for m a t o c he d eve ave re il file di regist r o. Sono p o s sibili q u a t t r o valori (da 1 a
4), di cui il p r e d efinito è 1, relativo al fo r m a t o di Da n sGu a r dia n acces sibile co n u n e dito r
di te s t o.
logloca tio n = 'var / l og / d a n sg ua r dia n / acce s s.log'
Specifica il p e rco r s o d el file di log. Il valore p r e d efinito è q u ello d e riva to
d all'ins t alla zio ne.
filte ri p = 1 9 2.16 8.10.1
Specifica l'in diri z z o d ell'inte rfaccia di re te a t t r aver s o la q u ale il filtr o acce t t a le ric hie s te
d ei clien t . In a s s e n z a di u n valore Da n sGua r dia n re s t a in a scolto s u t u t ti gli in diri z zi di
re t e che h a la p o s t a zio ne in c ui è ins t allat o. Per ragio ni di sic u re z z a è co n sigliabile
s p ecificare l'in diri z z o di re te p rivat o in m o d o d a evita re eve n t u ali acces si d all'e st er n o
q u alor a il filtr o fos s e ins t allato s u u n h o s t co n n e s s o dire t t a m e n te a d Inte r n e t.
filte r p o r t = 8 0 8 0
E' la p o r t a a t t r ave r s o la q u ale avve ngo n o le t r a n s a zio ni fra i clien t e Da n sGua r dia n . In
ge ne re n o n ci s o n o m o tivi p a r ticolari p e r m o dificare il valo re p r e d efinit o (808 0).
p r oxyip = 1 2 7.0.0.1
Specifica l'in diri z z o d el p r oxy. Co m e valore p r e d efinito è i m p o s t a t o l'in diri z z o di
loo p back in q u a n t o si d a p e r a s s u n t o che Da n sGu a r dia n e Squid sia n o ins t alla ti s ulla
s t e s s a p o s t a zio ne. Se invece risie d o n o s u p o s t a zio ni differe n ti d eve e s s er e s p ecificat o
l'in diri z z o di re te d el s e rver di co n ne s sio n e.
p r oxyp or t = 3 1 2 8
25
E' la p o r t a a t t r ave r s o la q u ale avve ngo n o le t r a n s a zio ni fra Squi d e i clien t (co m p re s o
Da n sGua r dia n ). Il valore p r e d efinito è n a t u r al m e n t e la p o r t a im p o s t a t a di d efa ult n ella
co nfigur a zio ne di Squid (3128).
acces s de nie da d d r e s s = ...
Specifica l'URI di u n'a p plica zio ne c he elab o ra u n a p agin a di n a mica di ris p o s t a in ca s o di
acces s o n ega t o. Que s t o in diri z z o ide n tifica u n s erver Web p r e s e n te s ulla re te p u b blica o
in q uella locale s ul q u ale a b bia m o co pia to lo sc ri p t di elab o ra zio n e (in ling u aggio PERL).
La s ol u zio ne pi ù s e m plice (e con sigliat a) è t u t t avia q u ella di u s a r e il t e m pla t e s t a tico. In
q u e s t o ul ti m o ca s o e vitate di m o dificare il v alore prede finito della diretti va
acc e s s d e nie daddre s s oppure di sabilitate la diretti va ins erendo il carattere di
c o m m e nto a ini zio riga. A mi o p a r er e l'abilita zio n e p r e d efinita è u n p u n t o d e b ole di
Da n sGua r dia n p e rc hé p o t re b be e s se re facil me n te ca u s a di u n b a n alis si m o er r o re di
co nfigur a zio ne.
weigh te d p h r a s e m o d e = 2
Per ca pire il significat o di q u e s t a dire t tiva d o b bia m o s a p e r n e di pi ù s ulle f u n zio n alità
s u p p o r t a te d a Da n sGua r dia n . Qua n d o il d o mi nio o l'in diri z z o ric hie s t o n o n s o n o
regist r a ti n ella blacklist il filtro effe t t u a u n a sc a n sio n e d el t e s t o d elle p a gine richies te p e r
in divid u a re es p r e s sio ni r egola ri o p a r ole c hiave s p ecificate n ella blacklist o n ella
co nfigur a zio ne acce s s o ria e n e effet t u a u n co n teggio. Raggiu n t o il limite di sic u re z z a (ad
e se m pio, 5 0 p a r ole t r ova te) il filtro blocca l'acces s o p e rc h é la p a gin a ric hies t a viola
p r o b a bil me n t e la p olicy.
Op p o r t u n a m e n te co nfigu ra t a è u n'i m p o r t a n t e fu n zio n alità p e rc h é fo r nisce al filtro la
p o s sibilità di blocca re p a gine n o n co n s e n tite a nc h e s e il loro in diri z z o o il loro d o mi nio
n o n s o n o regis t r a ti n ella blacklis t, avvicina n d o q u e s t o s t r u m e n t o ai co n te n t filtering
b a s a ti s ull'intellinge n z a ar tificiale. Nat u r al m e n t e è p o s sibile co nfig u r a re il gra d o di
p o n d e r a zio ne d elle p a gi ne s eco n d o il co n te s t o. Ad e se m pio, in u n a sc u ola ele m e n t a re si
p u ò valut a re l'o p p o r t u nità, di u n a s oglia b a s s a (ad e se m pio 3 0 p a r ole t r ova te) p e r
a u m e n t a re il livello di sic ure z z a d el filtro risc hia n d o di blocca re a nc h e p agine che p u r
ave n d o co n t e n u ti accet t a bili fa n n o u n u s o ecces sivo di d e t e r mi n a t e p a r ole. In u n a sc u ola
m e dia s u p e riore p o t re b be e s se re pi ù o p p o r t u n a u n a s oglia alta (ad e se m pio 1 0 0 p a r ole
t r ova te) in m o d o d a n o n avere u n filtro ecce s siva m e n te rigido. In q u e s t o m o d o evitia m o
a d e se m pio il blocco di u n a p agina di Biologia che u s a in m o d o ri d o n d a n te le p a r ole
s e s s u ale, se s s o co n alt re che co m bi na te in u n u nico co n t e s t o s o n o fu o rvia n ti
inte r p re t a n d o u n d oc u m e n t o s ull'a na t o mia d egli a p p a r a ti se s s u ali co m e u n a p agin a a
26
co n te n u t o e ro tico.
Ritor n a n d o alla dire t tiva in q u e s tio ne (w eig hted p hr ase m o de), p o s sia m o a t t rib uire t re
valori alter n a tivi:
•
0 : il co n teggio d elle p a r ole critiche è di sa bilitat o;
•
1 : la p a r ola è co n t eggiata a d og ni occor re n z a n ella p agin a;
•
2 : la p a r ola è co n t eggiata s olo alla p ri m a occo r re n z a n ella p agin a (valore
p r e definito).
Co me si p u ò ve de re, l'i m p o s t a zio ne 1 re n d e m ol to pi ù s ele t tivo il filtr o p r e n d e n d o in
co n si de ra zio ne il n u m e r o co m ples sivo d elle p a r ole o d elle fra si n o n a m m e s s e, m e n t r e la
s eco n d a (quella p r e d efinita) p r e n d e in co n si d er a zio n e s o p r a t t u t t o le co m bi n a zio ni di
p a r ole o fra si n o n a m m e s s e.
La scelta d ella co nfigur a zio ne pi ù o p p o r t u n a n ella sca n sio n e d el co n t e n u t o d eve e s s er e
valut a t a a t te n t a m e n t e s eco n d o il co n te s t o: u n gra d o eleva to di sic u re z z a e affid a bilità d el
filtr o si ri perc uo te s ulla s u a elas ticità e p o r t a t o all'es t re m o re n d e t r o p p o rigid a la p olicy.
Per q u e s t o m o tivo la co nfigu ra zio ne p r e d efinita u s a u n a p p r occio m o r bi d o. Sta
all'a m mi nis t r a t or e p o n d e ra re il livello di co m p r o m e s s o fra sic u r e z z a e d elas ticità m a g a ri
b a s a n d o le scelte s ulle e s pe rie n z e m a t u r a te n el co r s o di u n p e rio d o di te s t s ulle differe n ti
s ol u zio ni.
createlistcache file s = o n
Que s t a di re t tiva, im p o s t a t a s ul valore on p e r m e t t e di migliora re la velocità d el s ervizio
a bilita n d o u n a cac he d elle risor se n ega te fino a t ri plicar n e la velocità d el p r oce s s o di
sca n sio ne cita t o n el p u n t o p r ece de n t e. E' ovvio che l'i m p o s t a zio n e è di gra n d e u tilità s e il
s e rvizio è elabor a t o d a u n p r oce s s o re le n t o.
Riba disco c he alt re dire t tive n o n t r a t t a te in q u e s t a s e d e s o n o di fo n d a m e n t ale
i m p o r t a n z a n el m igliora re la f u n zio nalità e l'affid a bilità d el sist e m a di filtr o d ei
co n te n u ti, m a u n a t r a t t a zio ne co m ple ta p o t re b be rivelar si t e dio sa e p r e m a t u r a p e r
u n'in s t alla zio ne di p r ova. D'altra p a r t e i co m m e n ti in se riti n ella co nfig u r a zio ne
p r e d efi nita s o n o a bb a s t a n z a es a u s tivi e in t uitivi p e r ca pire co s a fare o m e n o n el
m o m e n t o in c ui m e t tia m o m a n o alla co nfig u r a zio ne.
27
La blacklist
La blacklist è il fulcro d ei se rvizi di filteri ng, che u s a n o vere e p r o p rie b a nc h e d a ti in cui
s o n o ri p or t a ti d o mi ni, in diri z zi , e d es p re s sio ni regolari. Molte di q u e s te b a n c he d a ti s o n o
aggior n a t e co n fre q ue n z a s e t ti m a n ale a d a t t a n d o la loro f u n zio n e al di n a mi s m o d ella re te
Inte r ne t.
Con u n m o t o re di ricerca p o s sia m o re p e rire differe n ti blacklis t gra t uite o co m m e rciali. La
scelta p u ò di pe n de re d a vari fa t t ori: l'es p e rie n z a d el sis te mis t a, l'affid a bilità e il gra d o di
co m plete z z a d ella blacklist , la fre q ue n z a di aggior n a m e n t o, il co s t o d el s e rvi zio.
Un o t ti m o t u t o rial s u Siste mi s tiin di pe n d e n ti.org co n siglia u n a s p ecifica blacklis t, che
olt re a d e s se re u n a cor p o s a b a nc a d a ti, h a il va n t aggio di inclu d e re u n n u m e r o eleva to di
siti italia ni, c he in ge ne rale s o n o pi ù facil me n t e r aggiu ngibili d alle n o s t re re ti scolas tic h e.
h t t p: / / u rlblacklist.co m / ? s ec = d ow nloa d
Per l'ins t alla zio ne sca ric hia m o l'arc hivio co m p r e s s o n ella direct o ry / e t c / d a n s g u a r dia n e
sco m p a t tia m olo co n il co m a n d o tar. L'in te ra o p e ra zio n e d eve e s s e re fat t a d o p o aver
ac q uisito i p e r m e s si d el s u p e r u t e n t e:
# tar xzvf bigblacklist.tar.gz
L'ope ra zio ne crea u n a directo ry co n te n e n t e gli a rc hivi s o t t o for m a di file di te s t o (u rls e
d o m ai n s ) di s t rib uiti in varie s o t t o direct o ry seco n d o la ca tego ria.
La lis ta n e ra d ella b a nc a d a ti si aggiu nge alla f u n zio n e di ricerca e seg uita d a
Da n sGua r dia n , n elle p agine ric hies te, d elle fra si sig nificative in b a s e alla co nfig u r a zio ne
d elle e s p r e s sio ni ri p or t a t e nei file d ella directo ry / e t c / d a n sg u a r dia n / p h r a s elist s . In
q u e s t o m o d o alles tia m o u n sis te m a di filte ring in gra d o di blocca re u n altis si m o n u m e r o
di p agi ne n o n a d a t t e a d u n a re te sc ola s tica.
Per fr uire d ella blacklist è n eces s a rio co nfig u r a re Da n sGua r dia n s p ecifica n d o p e r q u ali
ca tegorie d ella blacklis t d eve e s s e re a t tivat o il filtro.
L'abilita zio ne d elle ca tegorie si effe t t u a co nfig u r a n d o alcu ni file co n te n u ti n ella
directo ry / e t c / d a n sg u a r dia n , in p a r ticolare i file banne d sitelist (rela tivo ai d o mi ni) e
bann e dulrllist (rela tivo s pecifici file o p e rc o r si). Que s ti file s o n o p r e dis p o s ti p e r
l'inclu sio ne di t u t te le categorie. Per a t tivare il filtro s u u n a s p ecifica catego ria è
s ufficien te ri m u overe il cara t te re di co m m e n t o # (cancellet t o).
28
Ad e se m pio, t oglie n d o il co m m e n t o alla seg u e n t e di re t tiva (ripo r t a t a in b a n n e d sitelist ),
Da n sGua r dia n blocc he r à t u t ti i d o mi ni ele nca ti n el file do m ai ns co n te n u t o in
/ e t c / d a n sg u a r dia n / blacklis t s / w a r e z :
.Include</etc/dansguardian/blacklists/warez/domains> E' p o s sibile aggiu ngere nei s u d d e t ti file di co nfig u ra zio n e alt ri in diri z zi e alt ri d o mi ni n o n
co n te m pla ti nella blacklist , in dica n d o e sclu siva m e n t e il d o mi nio s e n z a le s t ri ng h e e . Ad
e se m pio, p e r blocca re il d o mi nio h t t p: / / w ww.pip p o.it si aggiu nge in b a n n e d si telist u n a
riga co n la dire t tiva
pippo.it
Una t r a t t a zio ne a p p r ofo n dita s ulla co nfig u ra zio n e di Da n sGua r dia n n o n p u ò es se re fa t t a
in q ue s t a se d e: q u e s t o sis te m a si a d a t t a a d u n a m pio s p e t t r o di sit u a zio ni p e r m e t t e n d o
vari livelli di p e r s o n aliz z a zio ne. Per re n d e rci co n t o d elle p o t e n ziali co nfig u ra zio ni c he
Da n sGua r dia n p r eve de è s ufficien te leggere il co n te n u t o d ei file di co nfig u r a zio n e
co n te n u ti n ella directo ry / e t c / d a n sg u a r dia n . Le im p o s t a zio ni di q u e s ti file s o n o a p plicate
a ca scat a co m e e s te n sio ni d el file di co nfig u r a zio n e p ri nci pale, d a n sg u a r dia n.co nf.
La m o difica d elle i m p o s t a zio ni p u ò e s se re fa t t a agevol me n t e ri m u ove n d o o a p plica n d o i
cara t t e ri di co m m e n t o alle dire t tive già p r e dis p o s te o p p u r e m o difica n d o il loro valore in
f u n zio ne d elle e sige n z e s pecific he. Co n u n p o' di e s p e rie n z a si p o t r à im ple m e n t a re il
sis te m a di filte ring co n u n a co nfigu ra zio n e p e r s o n ali z z a t a in gra d o di far d o r mire fra d u e
g ua nciali sia l'a m mi nis t r a t or e di r e te sia il dirige n t e scolas tico.
In c hi u s u r a vorrei a ncor a s o t t olinea re u n co ncet t o d a t e n e re p r e se n te: in ge ne r ale i s e rvizi
di re te va n n o co nfigur a ti in ba s e alle esige n z e s p ecifiche e Da n sGua r dia n n o n viene m e n o
a q u e s t a r egola. Mi affido a d u n e se m pio p e r m o s t r a re che n o n e sis te u n a co nfig u ra zio n e
ideale: la p olicy a d a t t a a d u n a sc uola p e r l'infa n zia d eve n ece s s a ria m e n te differire d a
q u ella a d o t t a t a in u n istit u t o di sc u ola m e dia s u p e riore.
Nel p ri m o ca s o avre m o u n occ hio di rig u a r d o vers o co n t e n u ti c he t r a t t a n o di p o r n og r afia,
p e d ofilia, viole n z a, d ovre m o c hiu d e re le p o s sibilità di acce s s o a s p a zi di co m u nica zio n e
q u ali i for u m o le cha t inse re n d o eve n t u al m e n te n ella co nfig u ra zio n e le ecce zio ni che
p e r m e t t o n o l'acces s o a s p a zi di co m u nica zio n e inte ra t tivi co nce piti p e r i b a m bi ni. In
q u e s t o co n t e s t o è fo n d a m e n t ale p rivilegiare il gra d o di sic u r e z z a sf r u t t a n d o la sc a n sio n e
d ei co n t e n u ti te s t u ali co n u n a ba s s a s oglia di t ollera n z a. Dovre m o a nc h e p r e occ u p a rci di
aggior n a re cos t a n t e m e n t e la blacklis t p e r far fro n te al di n a mis m o d el Web e c u r a re la
29
co nfigur a zio ne che regola le inte r r oga zio ni d ei m o t o ri di ricerca.
Nel s eco n d o cas o d ovre m o p r e occ u p a rci m a ggior m e n t e d ella t u tela d ella legalità, p e rciò
avre m o u n occ hio di rigua r d o n ei co nf ro n ti d el ware z , d ella pir a te ria info r m a tica, d ella
viola zio ne d el dirit t o d'a u t o re, d ella sic u r e z z a inte r n a n ella re te locale. Dovre m o a d
e se m pio c hiu d e re le p o s sibilità di acce s s o a s e rver p r oxy c he for nisco n o l'a n o ni m a t o, ai
siti che p u b blica no crack e s eriali, d ov re m o a nc he c u ra re a t t e n t a m e n te la co nfig u ra zio n e
rela tiva ai for m a ti MIME. Per co n t r o è n ece s s a rio ga ra n tire u n a b u o n a ela s ticità alla
f u n zio n alità di sca n sio ne d el t e s t o di s a t tiva n d ola o im p o s t a n d o u n 'alta s oglia di
t ollera n z a p e r n o n li mitar e co n regole t r o p p o rigide l'acq uisi zio n e di d oc u m e n t a zio n e e
infor m a zio ne.
30
Avvio di DansGuardian
Per avviare il se rvizio si m a n d a in e sec u zio n e il bin a rio dan s g uardian, c he
n ell'ins t alla zio ne p r e definita è p o si zio n a t o n ella directo ry / u s r / s bi n . Dal m o m e n t o che i
p e r m e s si di esec u zio ne in q u e s t a directo ry s p e t t a n o all'a m mi nis t r a t o re, s a r à n ece s s a rio
a s s u m e r ne i p rivilegi:
# /usr/sbin/dansguardian A q u e s t o p u n t o, d o p o aver co nfigur a t o il b r ow se r Web p e r l'acces s o al p r oxy a t t r aver s o
Da n sGua r dia n (vedi p agine s ucce s sive) si p u ò te s t a re il f u n zio n a m e n t o d el si s te m a
p r ova n d o l'acces s o a q u alc he sit o vieta t o. Se Da n sGua r dia n è in e sec u zio n e e d è
corr et t a m e n te co nfigu ra t o il filtr o re s tit uisce u n a p a gi na di acce s s o n ega t o n ella ling u a
i m p o s t a t a (Figura 7).
Figura 7 : Pagina di accesso n egato restituita
d a DansGuar dia n
31
Avvio automatico dei servizi
Co me p e r t u t ti i se rvi zi di re t e che o p e r a n o in b ackg ro u n d è co n sigliabile avviare Squid e
Da n sGua r dia n co m e d e m o ni all'avvio d el sis te m a, s p ecie n ei casi in c ui il s e rver di
co n ne s sio ne vie ne riavviato og ni gior n o.
Do po aver verificat o c he i s e rvi zi sia n o cor re t t a m e n t e in s t allati e co nfig u ra ti e che
f u n zio ni no regolar m e n t e, è o p p o r t u n o co s t r uire gli sc ri p t di avvio e in se rirli n ella
directo ry di ini zializ z a zio ne che s eco n d o la di s t rib u zio n e u s a t a è / e t c /i nit.d, / e tc / r c.d
o p p u r e / e t c / r c. d /i nit. d
Nel n o s t r o ca s o, il sis te m a h a p r ovve d u t a a u t o m a tica m e n te a d in se rire gli sc ri p t
/etc/init.d/squid e /etc/init.d/dansguardian.
I p a r a m e t ri c he e n t r a m bi gli sc ri p t acce t t a n o s o n o stop e restart, la cui fu n zio ne si
co m m e n t a d a s ola.
32
Configurazione dei client
Sui client si d ovrà im p o s t a re la co n ne s sio n e al p r oxy. Que s t a o p e ra zio n e di n o r m a si
e seg ue s ulle im p o s t a zio ni d el b r ow se r , p e rciò si ri m a n d a alla g ui d a d el b r ow se r u tiliz z a t o
s ulla p r oce d u r a d a seg uire, che in og ni cas o è s e m plicissi m a.
Per r agio ni di sic ure z z a è o p p o r t u n o che sia p r eve n u t a la p o s sibilità c he c hiu n q u e p o s s a
i m p o s t a re il b r ow se r p e r acce de re dire t ta m e n t e a Squi d aggira n d o il filtr o d ei co n te n u ti.
Que s t a eve n t u alità è p o s sibile se p e r q u alc he r agio n e la co nfig u ra zio n e di Squid p r eve d e
l'acces s o d ai clien t d ella re te locale, olt re c he d al loo p b ack, e n o n si sia p r e dis p o s t o u n
sis te m a di a u t e n tica zio ne d egli u t e n ti.
In q ue s t o ca so n o n s a re b be u n a ca t tiva idea im p o s t a re u n a p o r t a d ' a scolto di Squi d
differe n te d a q u ella p r e definita e m a n t e n e rla s egre t a. In og ni m o d o se n o n è p r evist o u n
sis te m a di a u t e n tica zio ne d egli u t e n ti le i m p o t a zio ni d ella co nfig u r a zio n e di Squid n o n
d evo n o co n se n tire l'acce s s o d a gli in diri z zi di r et e d elle p o s t a zio ni p e r le q u ali è p r evist o
il filtro d ei co n t e n u ti.
33
Il caso di proxy trasparente, utilizzo di iptables.
Pot re b be es se re sco m o d o co nfigur a re i b r ow se r di t u t ti i clien t d ella re te co m e d e sc rit t o
n ella s e zio ne p r ece de n t e.
In q ue s ti ca si si p r efe risce il cosi d de t t o t r a n s p a r e n t p r oxying.
La m a cc hina s u c ui è ins t allato s q ui d fu n ge d a ga teway p e r gli h o s t, e t u t t e le ric hies te
c he giu ngo n o a d u n a d e te r mi na t a p o r t a, s a r a n n o re dire t te s ulla p o r t a 8 0 8 0
(Dan sg u a r dia n) o la 3 1 2 8 (Squid).
Per fa re ciò, oltre a d aver im p o s t a t o la p a r ola c hiave transparent, co m e d e sc rit t o n ella
s e zio ne Configur a zio ne di Squi d ci vie ne inco n t r o ip ta bles, il firewall di lin ux.
In q ue s t a se d e ci limite re m o a d e sc rivere u n a s e m plice reg ola di ip t a bles ch e fa al ca s o
n o s t r o, co n s a pevoli che u n firewall è q u alco s a di m ol to pi ù co m ple s s o, c he a n d re b b e
t r a t t a t o a p a r t e.
$ iptables A PREROUTING t nat i eth0 p tcp dport 80 j DNAT to squidbox:8080
$ iptables A INPUT i lo j ACCEPT
$ iptables A OUTPUT o lo j ACCEPT
Con q ue s t e righe ve ngo n o ris pe t tiva m e n t e:
●
re dire t te t u t t e le ric he s te d alla p o r t a 8 0 alla p o r t a 8 0 8 0 (sq ui d b ox è l'ip d ella
m acc hi na s u cui gira s q ui d)
●
co n s e n titi i p acc he t ti in e n t r a t a s ull'in te rfaccia diloo p b ack
●
co n s e n titi i p acc he t ti in u scita d all'in terfaccia di loo p b ack
34
Consultazione dei log
A p r e scin de r e d a co n si de ra zio ni rela tive alla p rivacy, che in og ni ca so va n n o p r e se co n
riserva n ell'a m bito di u n a re te scola s tica, l'a m mi nis t r a t o re di sis te m a co scie n zio s o
co n s ulta se m p r e i log p e r verificare s e u n se rvi zio di re te fu n zio n a cor re t t a m e n t e, p e r
accert ar e le eve n t u ali viola zio ni d ella p olicy, p e r acce rt a r e l'esis te n z a di falle relative alla
sic ure z z a. Per Da n sGua r dia n e Squi d l'es a m e d ei log è fo n d a m e n t ale p e r vari m o tivi e
s o p r a t t u t t o n el p ri m o p e rio d o di p r ova.
Nel ca so p a r ticola re di Da n sGua r dia n , es se n d o u n sis t e m a di filteri ng alq u a n t o s ofis ticat o
e vers a tile, la co nfigur a zio ne d eve es se re a d a t t a t a gior n o d o p o gior n o p r o p rio s ulla b a se
d ei ris ulta ti o t te n u ti d ai log n ei p ri mi t e m pi. L'a m mi nis t r a t o re p o t r à p e rciò valu t a r e la
n ece s sità di p o t e n zia re i vincoli d ella p olicy aggiu nge n d o catego rie o in diri z zi n o n
co m p r e si n ella blacklist o, al co n t r a rio, re t tifica n d o le im p o s t a zio ni c he p e r q u alc he
m o tivo blocca n o l'acces s o a risor se u tili.
Il file di registro di Dan sGuardian
Nell'ins t alla zio ne p r e definita, il regis tr o d egli acces si di Da n sGu a r dia n è il file
/ v ar / l o g / dan s guardian / a c c e s s.log . Il regis t r o p u ò e s s e re lett o d a u n a co n s ole co n il
co m a n d o tail u s a n d o l'o p zio ne - x p e r s p ecificare il n u m e r o di eve n ti d a m o s t r a re s ullo
sc her m o (se n o n si s p ecifica l'o p zio ne tail vis u aliz z a s olo le ulti m e dieci rig he). Un
e se m pio di o u t p u t è ri po r t a t o q ui di s eg uito:
gian@gian:˜$ tail 4 /var/log/dansguardian/access.log
2005.11.13 23:36:44 192.168.100.201 http://gian GET 1788
2005.11.13 23:36:44 192.168.100.201 http://gian/favicon.ico GET 285
2005.11.13 23:36:46 192.168.100.201 http://www.playboy.com *DENIED* Sito vietato: playboy.com GET 0
2005.11.13 23:36:56 192.168.100.201 http://www.playboy.com/favicon.ico *DENIED* Sito vietato: playboy.com GET 0
gian@gian:˜$ Co me si p u ò n o t a re d all'e se m pio, il si s te m a regis t r a la d a t a e l'or a d ell'acce s s o, l'in diri z z o
di re te d ella p o s t a zio ne client , la risor s a ric hie s t a e gli e s t re mi di co n n e s sio n e. In cas o di
acces s o n ega t o regis t r a la p a r ola chiave DENIED, r acc hiu s a fr a d u e a s t e risc hi, e il m o tivo
35
d el rifiut o (nell'ese m pio si t r a t t a di u n sito s eg n ala t o n ella blacklist ). In d efinitiva, co n la
co nfigur a zio ne p r e definita, il filtro m a n tie n e t r accia di t u t ti gli eve n ti offre n d o
all'a m mi nis t r a t or e t u t t e le infor m a zio ni n ece s s a rie p e r p o te r a p p o r t a re eve n t u ali
m o dific he alla co nfigur a zio ne.
In re te s o n o in og ni ca so di s p o nibili s t r u m e n ti di a m mi nis t ra zio n e che p o s s o n o e s s e re
u tiliz z a ti p e r la let t u r a e l'a n alisi d el log in m o d o pi ù agevole ris p e t t o al co m a n d o tail. In
alte r n a tiva si p u ò a p rire il file di regis t r o a nc h e co n u n e dit o r di te s t o d ell'in te rfaccia
grafica co m e a d e se m pio Kwrite o Ge dit.
Il file di registro di Squid
Il regis t r o d egli acce s si di Squid , n ell'in s t alla zio n e p r e d efinita, è invece il file
/ u sr / l o cal / s q uid / v ar / l og s / a c c e s s.log . Anc he in q u e s t o ca so si p u ò rico rr er e al co m a n d o
tail p e r la let t u r a d egli eve n ti.
gian@gian:˜$ tail /usr/local/squid/var/logs/access.log
1131825601.183 4 127.0.0.1 TCP_SWAPFAIL_MISS/304 320 GET http://gian/ DIRECT/192.168.100.201 1131825601.392 0 127.0.0.1 TCP_NEGATIVE_IT/404 508 GET http://gian/favicon.ico NONE/ text/html 1131825852.344 239710 127.0.0.1 TCP_MISS/504 1338 GET http:www.cettolini.it/ NONE/ text/html
1131829274.034 119915 127.0.0.1 TCP_MISS/000 0 CONNECT update.mozilla.org:
443 NONE/
443 NONE/
443 NONE/
443 DIRECT/
1131921404.672 91 127.0.0.1 TCP_SWAPFAIL_MISS/200 2268 GET http://gian/ DIRECT/192.168.100.201 text/html 1131921405.680 21 127.0.0.1 TCP_SWAPFAIL_MISS/200 2611 GET http://gian/apache_pb.gif DIRECT/192.168.100.201 image/gif 1131921406.121 1 127.0.0.1 TCP_MISS/404 500 GET Savian o, Fiorillo, Ruber ti
36
http://gian/favicon.ico DIRECT/192.168.100.201 text/html
gian@gian:˜$ Co me si p u ò o s s e rva re, il for m a t o d el log d egli acces si di Squi d è t ale d a n o n r e n d e re
agevole la let t u r a i m m e dia ta. Inna n zit u t t o, c hi d e si de r a u n a migliore im p agina zio n e co pi
e incolli l'ese m pio in u n e dito r di te s t o: a nc h e vis u ali z z a n d o q u e s t a p a gin a s u u n ' u nica
colo n n a alc u ne righe s a r a n n o sic ur a m e n te ri m a n d a t e a ca p o a m e n o ch e n o n si ri d uca la
di m e n sio ne d ei cara t t e ri.
In og ni cas o, og ni eve n t o regis tr a t o d a Squid è co m p o s t o di d u e p a r ti. A si nis t r a ci s o n o
gli e s t r e mi d ella con n e s sio ne d al clien t : d a t a e o r a di acce s s o, di m e n sio ni d ella
t r a n s a zio ne e in diri z z o di r e te d el clien t . A d e s t r a s o n o regis t ra ti gli e s t re mi r ela tivi
all'a zio ne e seguit a d al p r oxy, a d e se m pio il p r elievo d alla cac he o la co n n e s sio n e al s e rver
Web, il m e t o d o di t r a n s a zio ne, l'in diri z z o di re te d el se rve r. Limitia m oci a d e s a mi n a re gli
e s t re mi relativi alla t r a n s a zio ne co n il clien t .
Inna n zit u t t o si o s s ervi c he le ric hies t e p r ove ng o n o t u t t e d all'in te rf accia di loo p b ack
(in diri z z o 1 27.0.0.1). E' q u a n t o d ovre m o a t t e n d e rci d al m o m e n t o che le ric hies te al p r oxy
p r ove ngo n o t u t t e d a Da n sGua r dia n n el ca s o sia in s t allat o s ullo s t e s s o h o s t . In effet ti, ai
fini d ella ges tio ne d ella p olicy il log d egli acce s si di Squi d dive n t a di s eco n d a ria
i m p o r t a n z a s e u sia m o Da n sGua r dia n e ci li mite re m o a co n s ulta rlo s olo p e r diag n o s tica re
eve n t u ali p r o ble mi n el s e rvi zio effe t tivo di cac he p r oxy.
Una p ec uliarità d el log d egli acces si di Squid è il for m a t o co difica to d ella d a t a e d ell'or a
rela tive all'eve n t o. Se voglia m o s a pe r n e di pi ù è n eces s a rio rico r re re a d u n a n aliz z a t o re di
log p e r o t t e n er e la d a t a e l'ora in u n fo r m a t o leggibile.
Analisi d ei log c on Sarg
Sarg è u n p r o d o t t o liber o e o p e n s o u rce sca rica bile d al sito h t t p: / / s a rg.so u rcefo rge.ne t .
Que s t o p r ogr a m m a, conce pito p e r gli a m mi nis t r a t o ri di u n p r oxy se rve r b a s a t o s u Squi d,
p u ò e s se re u s a t o p e r a nali z z a re i log sia di Squi d sia d el co n te n t filte ring in teg ra t o
(SquidGua r d e Da n sGua r dia n ). Il p r egio di q u e s t o p r og r a m m a è c he p o s sia m o u tiliz z a rlo
p e r a nali z z a re i log a t t r aver s o u n b r ow se r Web s e n el sis te m a a b bia m o in s t allat o a nc he il
s e rver Web Apac he.
In q ue s t a gui da mi limito p e r ò s olo a m e n zio n a r e q u e s t a p o s sibilità: p e r s o n al m e n t e
rite ngo p oco u tile e s o p r a t t u t t o sc o n sigliabile, p e r r agio ni di sicu re z z a, m a n t e n e re in
e sec u zio ne s ul se rve r di co n ne s sio ne a nc h e u n Web s e rve r s olo p e r leggere co m o d a m e n te
u n regis t r o d egli acces si, q u a n d o p o s sia m o farlo dire t t a m e n te co n l'in te rfaccia a ca ra t t eri.
37
In effe t ti Sarg p u ò es se re la nciat o a nc h e co n u n s e m plice co m a n d o d alla co n s ole
p e r m e t t e n d oci co m u n q u e di leggere il log d egli acces si di Squid co n la co nver sio ne d ella
d a t a in u n for m a t o acces sibile:
gian@gian:˜$ sarg d 13/11/2005 convert
11/13/2005 23:36:44 91 127.0.0.1 TCP_SWAPFAIL_MISS/200 2268 GET http://gian/ DIRECT/192.168.100.201 text/html 11/13/2005 23:36:45 21 127.0.0.1 TCP_SWAPFAIL_MISS/200 2611 GET http://gian/apache_pb.gif DIRECT/192.168.100.201 image/gif 11/13/2005 23:36:46 1 127.0.0.1 TCP_MISS/404 500 GET http://gian/favicon.ico DIRECT/192.168.100.201 text/html
gian@gian:˜$ Co me si p u ò o s s e rva re, è p o s sibile es a mi n a re gli eve n ti a p a r tire d a u n d e te r mi n a t o
m o m e n t o, a s s ocia n d o al co m a n d o sarg l'o p zio ne - d giorno / m e s e / a n n o e o t t e n e re la
d a t a e l'or a in u n for m a t o leggibile, u s a n d o l'o p zio n e - c o n v ert.
38
Conclusioni
Sulla ba se di q u a n t o h o sc rit to n elle p agine p r ece d e n ti la co m bi n a zio n e GNU Linux co n
Squid e Da n sGua r dia n offre u n n o n t r a sc u r a bile valore aggiu n t o p e r la d o t a zio n e
t ec n ologica di u n a sc uola, a nc he in co n si d e r a zio n e d elle m o d e s te fin a n z e s ulle q u ali
p o s s o n o co n t a re m olti istit u ti. Que s t a pia t t afo r m a, a p r e scin d e re d all'ob bligo m o r ale di
u n s o s teg no eco n o mico p e r i p r oge t ti liberi e o p e n s o u rce citati, h a infat ti u n co s t o
virt ual m e n te n ullo.
Dal lato d el s oftwa re p r o p rie ta rio e co m m e rciale le alte r n a tive n o n s o n o di facile
p r o p o si zio ne. Alcu ni p r oxy gra t uiti p e r u s o p e r s o n ale s o n o co nce piti p e r co n dividere la
co n ne s sio ne di d u e o t re p o s t a zio ni in u n a re te d o m e s tica p e rciò n o n s o n o a d a t ti al
co n te s t o di u n a re te locale scola s tica. Altri p r o d o t ti co m m e rciali s o n o d e s ti n a ti a d u n o
sco p o p r ofe s sio n ale e si p r o p o ngo n o p e rciò co m e co nco r r e n ti n ei co nfr o n ti d ella
pia t t afor m a t r a t t a t a in q u e s t a gui da. Que s ti p r o d o t ti, al m e n o q u elli c he co n o sc o, n o n
reggo n o a m io p a r e re il co nfr o n t o. Mi li mito a cita re le d u e s olu zio ni alter n a tive c he
co n o sco.
La p ri m a è r a p p r e se n t a t a d a Winga te . Si t r a t t a di u n a pia t t afo r m a d al co s t o acce s sibile
al m e n o p e r u n n u m e r o li mita t o di u t e n z e clien t . Co n inves ti m e n ti aggiu n tivi p u ò e s se re
integra t o co n altri s e rvi zi, firewall e co n te n t filte ring. Nella n o s t r a s e d e di Villacid r o
l'abbia m o u s a t o p e r circa d u e a n ni e d all'alto d ella mi a e s p e rie n z a p o s s o affer m a r e c he si
t r a t t a di u n p e s si m o p r o d o t t o: è facile d a in s t allare e avviare, t u t t avia dive n ta u n o s t acolo
a r d u o d a s u p e r a re n el m o m e n t o in c ui ci si accinge a co nfig u r a rlo a d eg u a t a m e n te p e r
q u a n t o co ncer ne gli a s p e t ti rela tivi alla sic u r e z z a. Que s t o p r oxy è infat ti t ris te m e n t e
fa m o s o p e r e s se re ricerca t o d ai cracker che d e si de r a n o ac q uisire l'a n o ni m a t o s ulla re te e
svolgere la loro o pe r a d elete ria. Anc h e il n o s t r o se rve r di co n n e s sio ne h a d ov u t o s u bire
q u a si q u o ti dia n a m e n te acces si d all'es t er n o a ca u s a di u n 'in t rin seca difficoltà di
co nfigur a re a deg ua t a m e n te il s e rvi zio, a di s p e t t o d ella s u a facile in te rfaccia grafica.
La seco n d a è r a p p re s e n t a t a d a ISA Server il c ui se rvi zio, cre d o, si d e b b a n ece s sa ria m e n t e
integra re in u n d o mi nio Micros of t ges tito d a u n se rve r Win d ow s 2 0 0 3 o 2 0 0 0. Ho s e n tit o
p a rlare be ne di q ue s t o p r oxy s o p r a t t u t t o p e r q u a n t o co ncer n e il filtro d ei co n te n u ti,
b a s a t o s ull'intelligen z a ar tificiale e, q ui n di, in gra d o di s u p e r a re i li miti in t ri n s eci di u n
s e rvizio a n alogo b a s a t o s u u n a b a nca d a ti. Gli sva n t aggi di q u e s t a pia t t afo r m a risie d o n o
p e r lo pi ù n ell'a s pe t t o eco no mico, ave n d o u n cos t o p r o b a bil me n t e alto e c he
n a t u r al m e n t e va a s o m m a r si al cos t o di in s t alla zio ne di u n a r et e b a s a t a s u u n d o mi nio
39
Micros of t . A q u e s t o sva n t aggio si s o m m a a nc h e la sca r s a p o r t a bilità d ella pia t t afo r m a s e
p r e n dia m o in co n si de r a zio ne la p o s sibilità, n o n cer t o re m o t a, c he u n a r et e scolas tica
dis p o nga di u n cer to n u m e r o di p o s t a zio ni co n Win d ows 9 8 o ME o, a m a ggio r r agio ne,
co n sis te mi o p e r a tivi n o n Micros of t .
Aggiu ngo inoltre c he ISA Server n o n d eve e s s e re u n o s t r u m e n t o di facile co nfig u ra zio n e.
Mi è ca pit a t o di o s s e rvare u n collega i m p eg n a t o n el t e n t a tivo di a t tivare q u e s t o p r oxy e
n o n mi è s e m b r a t o di facile a p p r occio, d al m o m e n t o che l'o pe r a zio n e si è p r o t r a t t a p e r
alc u ni gior ni. La s t e s s a int r a ne t region ale d el p r oget t o MARTE, u n a gra n d e re te locale c he
coinvolge circa 60 0 a ule m ul ti me diali in Sar d eg n a, h a i s u oi p r o ble mi ni co n ISA Server.
Que s t o p r oxy infa t ti ges tisce gli acce s si d alla Intra n e t al Web e in t e o ria d ovre b b e far
valere la s u a p o t e n ziale ca p acità di filtra re i co n t e n u ti. Ebbe ne, h o s e n tito colleg hi di
diver se sc u ole la me n t a r si d el fat t o che s p e s s o d alle p o s t a zio ni MARTE gli s t u d e n ti s o n o
ri usciti a d acce de re co n gr a n de facilità a siti p e r a d ulti.
Per co nclu d e re, alla luce di q ue s t e e s p e rie n z e pi ù o m e n o dire t te, mi s e m b r a che Squi d
integra t o d a Da n sGua r dia n n o n t e m a alc u n co nf ro n t o:
•
Ha u n cos t o è p r e s s oc hé n ullo.
•
E' facile d a ins t allare, co nfigur a r e e ges tire a nc h e li mita n d oci alle inte rfacce
s p a r t a ne m a sic u ra m e n te u s a bili d ella s h ell Unix.
•
E' scalabile se p e n sia m o c he p u ò ges tire u n a r e te co n clien t b a s a ti s u differe n ti
sis te mi o p e r a tivi.
•
E' p o t e n t e n elle p r e s t a zio ni e n ella s u a f u n zio n alità.
Se aggiu ngia m o che t u t t o q u e s t o si p u ò alles tire in p oc h e o re di lavor o, all'in t er n o di u n a
m a t ti na t a, il gioco è fa t t o. Prova re p e r cre d e re.
Conclu d o q ui ringra zia n d o p e r l'at te n zio n e e p e r eve n t u ali s eg n ala zio ni rela tive a d
e s p e rie n z e, s ugge ri me n ti, cor re zio ni in rela zio n e ai co n te n u ti t r a t t a ti.
40
Licen za p er Doc u m e nta zion e Libera GNU
Ques t o d oc u m e n t o è la t ra d u zio n e in italian o d ella GNU Free Doc u m e n t a tio n Licen se e n o n h a valo re legale. Il s u o sco p o è
q u ello di aiu ta re a ca pire a fo n d o i co n t e n u ti d ella GNU FDL alle p e r s o n e di ling u a italian a.
Per e s p ri me re i te r mi ni di dis t rib u zio n e d elle o p e re sogget te alla GNU FDL ha v alore legale s olo la v er sio n e originale in
Ingle s e , il cui te s t o è di s p o nibile p r e s s o h t t p: / / w ww.g n u.o rg / lice n ses / f dl.tx t.
Licen z a p e r Docu m e n t a zio n e Libera GNU
Versio ne 1.1, Mar z o 2 0 0 0
Copyrigh t (C) 20 0 0 Free Softwar e Fou n d a tio n, Inc. 5 9 Te m ple Place, Suite 3 3 0, Bosto n, MA 0 2 1 1 1 - 1 3 0 7 USA
Chiu n q u e p u ò co piare e dis t rib uire co pie lette r ali di q u e s t o d oc u m e n t o di lice n z a, m a n o n n e è p e r m e s s a la m o difica.
0. PREAMBOLO
Lo sco p o di q ue s t a lice n z a è di r e n d e re u n m a n u ale, u n te s t o o altri d oc u m e n ti scritti "liberi" n el se n s o di a ssicu ra re a t u t ti
la liber tà effet tiva di co pia rli e re dist rib uirli, co n o se n z a m o difich e, a fini di lucro o n o. In s eco n d o lu og o q u e s t a licen z a
p r eve de p e r a u t o ri e d e dito ri il m o d o p e r o t te n e re il giu st o rico n o sci m e n to d el p r o p rio lavor o, p r e serva n d oli d all'es sere
co n sider a ti re s p o n sa bili p e r m o difiche a p p o r t a te d a altri.
Ques t a licen z a è u n "co pyleft": ciò vu ol dire ch e i lavori c he d e riva n o d al d oc u m e n t o o riginale d ev o n o es se re u g u al me n t e
liberi. E' il co m ple m e n t o d ella Licen z a Pub blica Gener ale GNU, ch e è u n a lice n z a di tip o "co pyleft" p e n s a t a p e r il s of twa re
liber o.
Abbia m o p r oget t a t o q u e s t a lice n z a al fine di a p plicarla alla d oc u m e n t a zio n e d el so ftware libero, p e rc h é il so ftware libero
h a bisog no di d oc u m e n t a zio n e liber a: u n p r og r a m m a liber o d ov reb be acco m p ag n a r si a m a n u ali ch e for nisca n o la s te s sa
liber tà d el software . Ma q u e s ta licen z a n o n è li mita ta alla d oc u m e n t a zio n e d el s of twa re; p u ò e sse re u tiliz z a ta p e r og ni t e s to
c he t r a t ti u n q u alsiasi a rg o m e n t o e al di là d ell'avven u t a p u b blica zio n e cart acea. Racco m a n dia m o p rincip al me n t e q u e st a
lice n z a p e r o pe re ch e a b bia n o fini di d a t tici o p e r m a n u ali di co n s ul ta zio n e.
1. APPLICABILITA' E DEFINIZIONI
Ques t a licen z a si a p plica a q u alsiasi m a n u ale o altr a o p er a che co n te ng a u n a n o t a m e s sa d al d e te n t o r e d el co py rig h t che
dica che si p u ò dis t rib uire n ei ter mi ni di q u e s t a lice n z a. Co n "Docu m e n t o", in seg uito ci si riferisce a q u alsiasi m a n u ale o
o pe r a. Ogni fr uitore è u n d e s tin a t a rio d ella lice n z a e vien e in dicat o co n "voi".
Una "ver sio ne m o dificat a" di u n d oc u m e n t o è og ni o p e r a co n t e n e n t e il d oc u m e n t o s te s so o p a r te di e ss o, sia rip r o d o t t o alla
letter a che con m o difich e, o p p u r e t r a d u zio ni in u n'alt ra ling u a.
Una "se zio ne sec o n d a ria" è u n 'a p p e n dice c ui si fa riferi me n t o o u n a p r e m e s s a d el d o c u m e n t o e rig u a r d a e sclu siva m e n te il
r a p p o r t o d ell'e dito re o d ell'a u to re d el d o c u m e n t o co n l'argo me n t o ge n er ale d el d o c u m e n t o s t e s so (o a rg o m e n ti affini) e
n o n con tie ne n ulla ch e p o s sa e sse re co m p r e s o n ell'argo m e n t o p rincip ale. (Per ese m pio, se il d oc u m e n t o è in p a r t e u n
m a n u ale di m a t e m a tica, u n a se zio n e seco n d a ria n o n p u ò co n te n e re s piega zio ni di m a t e m a tica). Il r a p p o r t o co n l'arg o m e n t o
p u ò es sere u n te m a collega to s t o rica me n te co n il s ogge tt o p ri ncip ale o co n s ogge tti affini, o e sse re co stit uito d a
a rgo m e n t a zio ni legali, co m m e rciali, filosofich e, e tic he o p olitic he p e r tin e n ti.
Le "se zio ni n o n m o dificabili" s o n o alcu n e se zio ni seco n d a rie i cui titoli s o n o es plicita me n t e dic hiara ti e sse re se zio ni n o n
m o dificabili, nella n o t a che in dica che il d oc u m e n t o è re ali z z a t o s o t t o q u e s ta lice n z a.
I "testi co pe r tina" s o n o d ei b revi b ra ni di te s t o ch e s o n o ele nca ti n ella n o t a c he in dica che il d o c u m e n t o è realiz z a t o s ot to
q u e s t a licen z a.
Una co pia "tras p a r e n t e" d el d o c u m e n t o in dica u n a co pia leggibile d a u n calcolato re, co dificata in u n for m a to le cui
s p ecifiche so n o dis p o nibili p u b blica m e n te, i cui co n t e n u ti p o s s o n o e sse re visti e m o difica ti diret t a m e n te, o r a e in f u t u r o,
co n ge nerici e ditor di te s ti o (per i m m agini co m p o s te d a pixel) co n ge n erici e dit o r di im m agi ni o (per i diseg ni) co n q u alc he
e ditor di disegni a m pia m e n t e diff u s o, e la co pia d eve e sse re a d a t t a al t r a t ta m e n t o p e r la fo r m a t t a zio n e o p e r la co nver sione
in u n a varietà di for m a ti a t ti alla s ucces siva fo r m a t t a zio n e. Una co pia fa tt a in u n altr o fo r m a t o di file t r a s p a re n t e il cui
m a r k u p s ta t o p r oge t ta t o p e r int r alciare o sco r aggiare m o difiche f u t u r e d a p a r te d ei lett o ri n o n è t r a s p a r e n te. Una co pia che
n o n è t r a s p a r e n te è "o paca".
Ese m pi di for m a ti a d a t ti p e r co pie t r a s p a re n ti s o n o l'ASCII p u r o se n z a m a r k u p , il fo r m a t o di in p u t p e r Texinfo, il fo r m a t o
di in p u t p e r LaTex, o acco p pia ti a d u n a p u b blica e dis p o nibile, e se m plice co nfo r m e agli s t a n d a r d e p r o ge tt a t o p e r es ser e
m o dificat o m a n u al m e n te. For m a ti o p ac hi s o n o PostScri p t , , fo r m a ti p r o p rieta ri ch e p o s s o n o e s se re letti e m o dificati solo
co n wor d p r oce ss o r p r o p rie tari, o p e r cui n o n è in ge n er e dis p o nibile la o gli s t r u m e n ti p e r il t r a t t a m e n t o, e ge ne ra t o
a u t o m a tica m e n te d a q u alch e wo r d p r oce ss o r p e r il s olo o u t p u t .
La "pagina d el titolo" di u n libr o s ta m p a t o in dica la p agin a d el titolo s te s s a, pi ù q u alc he p agin a seg u e n te p e r q u a n t o
n eces sa rio a co n te n e re in m o d o leggibile, il m a t e riale che la lice n z a p r eve d e ch e co m p aia n ella p agin a d el titolo. Per o pe re
in for m a ti in c ui n o n sia co n te m pla ta es plicita m e n t e la p agin a d el titolo, co n "pagin a d el titolo" si in te n d e il t e s to p r o s si m o
al titolo d ell'o per a, p r ece d e n te l'inizio d el cor p o d el te s t o.
2. COPIE LETTERALI
Si p u ò co pia re e dis trib uire il d oc u m e n t o co n l'a u silio di q u alsiasi m e z z o, p e r fini di lucr o e n o n, fo r n e n d o p e r t u t te le
41
co pie q ue st a lice n z a, le n o te s ul co py rig h t e l'avviso ch e q u e s ta lice n z a si a p plica al d o c u m e n t o, e ch e n o n si aggiu n go n o
alt re co n di zioni al di f u o ri di q u elle d ella licen z a s te s s a. No n si p o s s o n o u s a r e mi s u re t ec nich e p e r im p e dire o co n t r ollare la
lett u r a o la p r o d u zio n e di co pie s u cces sive alle co pie che si p r o d u co n o o dis trib uisco n o. Per si p o s s o n o ricavare co m p e n si
p e r le co pie for nite. Se si dis trib uisco n o u n n u m e r o s u fficie n te di co pie si d evo n o seg uire a nc h e le co n di zio ni d ella se zio ne
3.
Si p o s s o n o a nc he p r e s t a re co pie e co n le s te s se co n di zio ni s o p r a m e n zio n a te p o s s o n o es sere u tiliz z a te in p u b blico.
3. COPIARE IN NOTEVOLI QUANTITA'
Se si p u b blica no a m e z z o s t a m p a pi ù di 1 0 0 co pie d el d o c u m e n t o, e la n o t a d ella lice n z a in dica che esis to n o u n o o pi ù te s ti
co pe r tina, si d evo n o inclu d e re n elle co pie, in m o d o c hiar o e leggibile, t u t ti i te s ti co p e r ti n a in dicati: il te st o d ella p ri m a di
co pe r tina in p ri m a di co p er tin a e il t e st o di q u a r t a di co p e r tin a in q u a r ta di co p e r tin a. A mbe d u e d evo n o ide n tificare
l'e dito re c he p u b blica il d oc u m e n t o. La p ri m a di co p e r tin a d eve p r e se n t a re il titolo co m pleto co n t u t t e le p a r ole ch e lo
co m p o ngo no eg ual me n t e visibili e d evide n ti. Si p u ò aggiu nge re altr o m a te riale alle co p e r tine. Il co piare co n m o difich e
limita te alle s ole co p er ti ne, p u rc h é si p r e se rvin o il titolo e le alt re co n di zio ni viste in p r ece d e n z a, è co n si d er a t o alla s t r egu a
di co piare alla let te r a.
Se il t e st o ric hie st o p e r le co p er ti ne è t r o p p o volu mi n o so p e r es ser e ri p r o d o t t o in m o d o leggibile, se n e p u ò m e t te r e u n a
p ri m a p a r t e p e r q u a n t o r agio nevol me n te p u ò s t a re in co p e r ti n a, e co n ti n u a re n elle p agine im m e dia ta m e n te seg u e n ti.
Se si p u b blica no o di st rib uisco n o co pie o p ac h e d el d o c u m e n t o in n u m e r o s u p e rio re a 1 0 0, si d eve a n c h e inclu d e re u n a
co pia t r a s p a r e n t e leggibile d a u n calcolato re p e r og ni co pia o m e n zio n a re p e r og ni co pia o p aca u n in diri z z o di u n a re te di
calcolatori p u b blica m e n te accessibile in cui vi sia u n a co pia tr a s p a r e n t e co m pleta d el d o c u m e n t o, s p o gliato di m a t e riale
aggiu n tivo, e a cui si p o s sa acce d e re a n o ni m a m e n t e e gra t uita m e n t e p e r sca ricare il d oc u m e n t o u sa n d o i p r o t ocolli
s t a n d a r d e p u b blici ge n e ral me n te u s a ti. Se si a d o t t a l'ulti m a o p zio n e, si d eve p re s t a re la giu st a a tt e n zio n e, n el m o m e n t o in
c ui si ini zia la dis t rib u zio n e in q u a n tità eleva ta di co pie o p ac h e, a d a s sicu ra r si c he la co pia t r a s p a r e n te ri ma n g a acces sibile
all'in diriz z o s t a bilito fin o a d al m e n o u n a n n o di dis ta n z a d all'ulti m a di st rib u zio n e (diret ta m e n t e o a t t r aver so rive n dit ori) di
q u ell'e di zione al p u b blico.
E' cal da m e n t e con sigliato, b e n c h é n o n o b bligat o rio, co n t a t t a re l'a u t o re d el d oc u m e n t o p ri m a di dis t rib uir n e u n n u m e r o
co n sider evole di co pie, p e r m e t te rlo in gr a d o di fo r nire u n a ver sio n e aggior n a t a d el d o c u m e n t o.
4. MODIFICHE
Si p o s s o n o co piare e di st rib uire versio ni m o dificate d el d o c u m e n t o ris p e t t a n d o le co n di zio ni d elle p r ece d e n ti se zio ni 2 e 3,
p u rc hé la ver sione m o dificata sia re aliz z a ta seg u e n d o scr u p olo sa m e n te q u e s t a s te s s a licen z a, co n la ver sio ne m o dificata
c he svolga il r u olo d el "doc u m e n t o", co sì d a es te n d e r e la lice n z a s ulla dis trib u zio n e e la m o difica a chiu n q u e n e p o s sie da
u n a co pia. Inoltr e n elle versio ni m o dificate si d eve:
•
A. Usare n ella p agin a d el titolo (e n elle co p er tin e se ce n e so n o) u n titolo diver so d a q u ello d el d oc u m e n t o, e d a
q uelli di ver sio ni p r ece d e n ti (che d evo n o es ser e elencati n ella se zio n e s t o ria d el d oc u m e n t o ove p r e se n ti). Si p u ò
u s a re lo s te s s o titolo di u n a ver sio n e p r ece d e n te se l'e dito re di q u ella ver sio n e o riginale n e h a d a to il p e r m e s s o.
•
B. Elenca re n ella p agi na d el titolo, co m e a u to ri, u n a o pi p e r s o n e o gr u p pi re s p o n s a bili in q u alità di a u to ri d elle
m o difiche n ella ver sio n e m o dificata, in sie me a d al m e n o cin q u e fra i p ri nci p ali a u t o ri d el d o c u m e n t o (tu t ti gli
a u to ri p ri ncip ali se s o n o m e n o di cin q u e).
•
C. Dichiara re n ella p agin a d el titolo il n o m e d ell'e dito re d ella ver sio n e m o dificat a in q u alità di e dito r e.
•
D. Con se rvare t u t t e le n o te s ul co py rig h t d el d o c u m e n t o o rigin ale.
•
E. Aggiu nge re u n' a p p r o p ria ta lice n z a p e r le m o difich e di seg uito alle alt re licen z e s ui co pyrig h t .
•
F. Inclu der e im m e diata m e n t e d o p o la n o ta di co pyrig h t , u n avviso di lice n z a ch e dia p u b blica me n t e il p e r m e s s o di
u s a re la ver sio n e m o difica ta n ei te r mi ni di q u e s t a licen z a, n ella fo r m a m o s t r a t a n ell'a d d e n d u m alla fine di q u e s t o
te s t o.
•
G. Preservare in q u e s t o avviso di lice n z a l'in te ra lista di se zio ni n o n m o dificabili e te s ti co p e r tin a richie ste co me
p r evisto d alla licen z a d el d o c u m e n t o.
•
H. Inclu der e u n a co pia n o n m o dificata di q u e st a lice n z a.
•
I. Conse rva re la se zio n e in titolata "Storia", e il s u o titolo, e aggiu n gere a q u e s t a u n ele me n t o ch e rip o r ti al m i ni m o
il titolo, l'a n n o, i n u ovi a u t o ri, e gli e dit o ri d ella versio n e m o dificata co m e figu r a n o n ella p agin a d el titolo. Se n o n
ci s o n o se zio ni in titola te "Storia" n el d oc u m e n t o, crea te n e u n a c he ri p o r ti il titolo, gli a u to ri, gli e dito ri d el
d oc u m e n t o co m e figu ra n o n ella p agin a d el titolo, q uin di aggiu nge te u n ele me n t o che d e scriva la ver sio n e
m o dificata co me d e t to in p r ece d e n z a.
•
J. Conse rva re l'in diri z z o in r ete ri p o r ta t o n el d o c u m e n t o, se c'è al fine d el p u b blico acces so a d u n a co pia
t r a s p a r e n te, e p o s sibil me n te l'in diri z z o in re te p e r le p r ece d e n ti versio ni s u cui ci si è b a s a ti. Qu es ti p o s s o n o
es sere collocati n ella se zio n e "Storia". Si p u ò o m e t te re u n in diriz z o di re te p e r u n 'o p e r a p u b blicat a al me n o q u a t t r o
a n ni p ri m a d el d o c u m e n t o s t e s so, o se l'origina rio e dito re d ella ver sio n e cui ci si riferisce n e d à il p e r m e s so.
•
K. In ogni s e zio n e di "Ringra zia me n ti" o "Dedich e", si co n se rvin o il tit olo, il se n s o, il to n o d ella se zio n e s te s s a.
•
L. Si co n servin o inalter a te le se zio ni n o n m o dificabili d el d o c u m e n t o, n ei p r o p ri te s ti e n ei p r o p ri titoli. I n u m e ri
42
d ella se zio n e o e q uivalen ti n o n s o n o co n si d er a ti p a r te d el tit olo d ella se zio n e.
•
M. Si ca ncelli og ni se zio n e in titolat a "Rico n o sci me n ti". Solo q u e s ta se zio n e p u ò n o n e sse re inclu sa n ella versio ne
m o dificata.
•
N. Non si m o difichi il titolo di se zio ni esiste n ti co m e "miglioria" o p e r creare co nf u sio ne co n i titoli di se zio ni n o n
m o dificabili.
Se la versione m o dificata co m p r e n d e n u ove se zio ni di p ri m a ria im p o r t a n z a o a p p e n dici ch e rica d o n o in "se zio ni
seco n d a rie", e n o n co n t e n g o n o m a t e riale co pia to d al d o c u m e n t o, si h a facoltà di re n d e r e n o n m o dificabili q u a n t e se zio ni si
voglia. Per fa re ci si aggiu ng a il loro titolo alla lista d elle se zio ni im m u t a bili n ella n o t a di co pyrig h t d ella ver sio n e
m o dificata. Ques ti titoli d evo n o e sse re diver si d ai titoli di og ni altr a se zio n e.
Si p u ò aggiu ngere u n a se zio n e in titola ta "Rico n o sci me n ti", a p a t t o che n o n co n te ng a altr o ch e le a p p r ova zio ni alla ver sione
m o dificata p r o d o t te d a vari so gget ti - - p e r e se m pio, affer m a zio ni di revisio n e o c he il t e st o è s t a t o a p p r ovat o d a u n a
o rga ni z z a zio ne co m e la d efinizio n e n o r m a tiva di u n o s t a n d a r d.
Si p u ò aggiu ngere u n b ra n o fino a cin q u e p a r ole co m e Tes to Co p er tin a, e u n b r a n o fino a 2 5 p a r ole co m e Testo di Retr o
Cope r tina, alla fine d ell'elenco d ei Testi Co p er tin a n ella ver sio n e m o dificata. Sola me n te u n b r a n o d el Testo Co pe r tin a e u n o
d el Testo di Retr o Co pe r tin a p o s so n o e sse re aggiu n ti (anc he co n a d a t t a m e n ti) d a ciasc u n a p e r so n a o o rg a ni z z a zio n e. Se il
d oc u m e n t o inclu de già u n te s to co p er ti n a p e r la s te s s a co p e r tin a, p r ece d e n te m e n te aggiu n to o a d a t ta t o d a voi o d alla
s te s sa orga ni z z a zio n e n el n o m e d ella q u ale si agisce, n o n se n e p u aggiu nger e u n altr o, m a si p u ò ri m pia z z a r e il vecc hio
o t te ne n d o l'es plicita a u t o ri z z a zio n e d all'e dito re p r ece d e n te c he aveva aggiu n to il te s t o co p er ti n a.
L'auto re /i e l'edito re /i d el "doc u m e n t o" n o n o tt e n g o n o d a q u e s ta licen z a il p e r m e s so di u s a re i p r o p ri n o mi p e r
p u b bliciz z a r e la ver sio n e m o dificata o riven dica re l'a p p r ova zio n e di og ni ver sio n e m o dificat a.
5. UNIONE DI DOCUMENTI
Si p u ò u nire il d oc u m e n t o co n altri realiz z a ti s o t t o q u e st a lice n z a, seg u e n d o i te r mi ni d efiniti n ella p r ece d e n te se zio ne 4
p e r le ver sioni m o dificate, a p a t t o ch e si inclu d a l'in sie m e di t u t te le Sezio ni Invaria n ti di t u t ti i d oc u m e n ti o rigin ali, se n z a
m o difiche, e si elenc hin o t u t t e co me Sezio ni Invaria n ti d ella sin te si di d o c u m e n ti n ella lice n z a d ella s te s s a.
Nella si n te si è nece ss a ria u n a sola co pia di q u e s ta lice n z a, e m u ltiple se zio ni invaria n ti p o s s o n o es ser e ri m pia z z a te d a u n a
singola co pia se ide n tic he. Se ci so n o m u l tiple Sezio ni Invaria n ti co n lo s t e s so n o m e m a co n te n u ti differe n ti, si re n d a u nico
il titolo di ciasc u na se zio n e aggiu nge n d ovi alla fine e fra p a r e n te si, il n o m e d ell'a u t o r e o e dito re d ella se zio n e, se n o ti, o
alt ri me n ti u n n u m e r o dis tin tivo. Si faccia n o gli s te s si aggiu s ta m e n ti ai titoli d elle se zio ni n ell'elenco d elle Sezio ni Invaria n ti
n ella n o ta di co pyrig h t d ella sin t e si.
Nella si n te si si d ev o n o u nire le varie se zio ni intitolate "sto ria" n ei vari d oc u m e n ti o rigin ali di p a r te n z a p e r for m a r e u n a
u nica se zio ne intitolata "sto ria"; allo s te s s o m o d o si u nisca og ni se zio n e in titolata "Ringr a zia m e n ti", e og ni se zio n e
in titolata "Dediche". Si d evo n o eli mi n a re t u t te le se zio ni in titolate "Rico n o sci m e n ti".
6. RACCOLTE DI DOCUMENTI
Si p u ò p r o d u r r e u n a raccolta che co n sista d el d o c u m e n t o e di altri realiz z a ti so t t o q u e s t a licen z a; e ri m pia z z a re le singole
co pie di q ue s ta licen z a n ei vari d o c u m e n ti co n u n a s ola inclu sa n ella r accolta, s ola me n t e se si seg u o n o le regole fissa te d a
q u e s t a licen z a p e r le co pie alla let te ra co m e se si a p plicas se r o a ciasc u n d oc u m e n t o.
Si p u ò es t r a rr e u n sing olo d oc u m e n t o d a u n a r accolta e dis t rib uirlo in divid u al me n t e s o t t o q u e s t a lice n z a, solo se si
in serisce u n a co pia di q u e s t a licen z a n el d oc u m e n t o es t ra tt o e se si seg u o n o t u t t e le altre regole fissa te d a q u e s t a licen z a
p e r le co pie alla letter a d el d o c u m e n t o.
7. RACCOGLIERE INSIEME A LAVORI INDIPENDENTI
Una r accolta d el d o c u m e n t o o s u e d e riva zio ni co n altri d oc u m e n ti o lavo ri se p a r a ti o in dip e n d e n ti, all'in te r n o di o a
for m a re u n a rc hivio o u n s u p p o r to p e r la dis t rib u zio n e, n o n è u n a "versio n e m o dificata" d el d o c u m e n t o n ella s u a in te re z z a,
se n o n ci s o n o co pyrig h t p e r l'in te ra r accolta. Ciasc u n a r accolta si chia m a allo ra "aggrega to" e q u e s t a licen z a n o n si a p plica
agli alt ri lavori con te n u ti in es sa che n e so n o p a r te, p e r il s olo fat to di e sse re raccolti insie m e, q u alo ra n o n sia n o p e r loro
s te s si lavori d e rivati d al d oc u m e n t o.
Se le e sige n z e d el Test o Co p er tin a d ella se zio n e 3 so n o a p plicabili a q u e s te co pie d el d o c u m e n t o allo ra, se il d o c u m e n t o è
inferiore a d u n q u a r to d ell'in ter o aggrega to i Tes ti Co pe r tin a d el d oc u m e n t o p o s s o n o es ser e pia z z a ti in co p e r tine ch e
d eli mita no solo il d o c u m e n t o all'in te r n o d ell'aggrega to. Altri me n ti d evo n o a p p a rire n ella co p e r tin a d ell'in te ro agg rega to.
8. TRADUZIONI
La t r a d u zio ne è co n si de r a ta u n ti p o di m o difica, e di co n seg u e n z a si p o s s o n o dist rib uire t r a d u zio ni d el d oc u m e n t o
segue n d o i te r mi ni d ella se zio n e 4. Rim pia z z a r e se zio ni n o n m o dificabili co n t r a d u zio ni ric hie d e u n p a r ticolare p e r m e s so
d a p a r te d ei d e te n t o ri d el dirit to d 'a u t o r e, m a si p o s s o n o inclu d e re t r a d u zio ni di u n a o pi ù se zio ni n o n m o dificabili in
aggiu n t a alle versio ni o rigin ali di q u e s te se zio ni im m u t a bili. Si p u ò fo r nire u n a t r a d u zio n e d ella p re se n t e licen z a a p a t t o
c he si inclu da a nc h e l'originale ver sio n e inglese di q u e s ta lice n z a. In caso di di sco r d a n z a fra la t r a d u zio n e e l'originale
inglese di q ue s ta licen z a la versio n e o rigin ale inglese p r evale se m p r e.
9. TERMINI
Non si p u ò a p plicare u n 'alt ra licen z a al d o c u m e n t o, co pia rlo, m o dificarlo, o dis t rib uirlo al di fu o ri d ei te r mini
e s p re s s a m e n t e p r evisti d a q u e s t a lice n z a. Og ni altr o te n t a tivo di a p plicare u n' altr a lice n z a al d oc u m e n t o, co pia rlo,
m o dificarlo, o di st rib uirlo è d e p r eca to e p o n e fine a u t o m a tica m e n te ai diritti p r evisti d a q u e s t a lice n z a. Co m u n q u e, p e r
43
q u a n ti ab bia n o ricev u t o co pie o a b bia n o diritti co p e r ti d a q u e s t a lice n z a, e s si n o n n e cessa n o se si ri ma n e p e rfet t a m e n te
coere n ti con q u a n t o p r evisto d alla s te s s a.
1 0. REVISIONI FUTURE DI QUESTA LICENZA
La Free softwar e Fou n d a tio n p u ò p u b blicare n u ove, rive d u te ver sio ni d ella Licen z a p e r Docu m e n t a zio n e Libera GNU volta
p e r volta. Qualche n u ov a ver sio n e p o t re b b e es ser e si mile n ello s pirito alla ver sio n e a t t u ale m a differire in d e t t agli p e r
affr o n t a re n u ovi p r o ble mi e co nce tti. Si ve d a h t t p: / / w ww.g n u.o rg / c o pyleft.
Ad og ni ver sio ne d ella licen z a vien e d a t o u n n u m e r o ch e disting u e la ver sio n e s t e s sa. Se il d o c u m e n t o s p ecifica ch e si
riferisce a d u n a versio n e p a r ticolare d ella lice n z a co n t r a d dis ti n t a d al n u m e r o o "ogni ver sio n e s u cces siva", si h a la
p o s sibilità di seg uire te r mi ni e co n di zio ni sia d ella versio n e s p ecificata ch e di og ni ver sio n e s u cces siva p u b blicata (non
co m e bo z z a) d alla Free so ftwar e Fou n d a tio n . Se il d oc u m e n t o n o n s p ecifica u n n u m e r o di ver sio ne p a r ticolare di q u e s t a
lice n z a, si p u ò scegliere og ni ver sio n e p u b blicata (no n co m e b o z z a) d alla Free s of twa re Fou n d a tio n .
Co me u s a re q ue s ta lice n z a p e r i vo st ri d oc u m e n ti
Per a p plicare q ue st a lice n z a a d u n d o c u m e n t o ch e si è scrit to, si inclu d a u n a co pia d ella lice n z a n el d oc u m e n t o e si
in serisca il seg ue n te avviso s u bito d o p o la p agin a d el titolo:
Copyrigh t (c) ANNO VOSTRO NOME.
E' gara n tito il p e r m e s s o di co piare, dist rib uire e / o m o dificare
q u e s t o d oc u m e n t o seg u e n d o i te r mi ni d ella Licen z a p e r
Doc u m e n t a zio n e Libera GNU, Versio ne 1.1 o og ni versio n e
s ucces siva p u b blicata d alla Free s of twa re Fou n d a tio n; co n le
Se zioni Non Modificabili ELENCARNE I TITOLI, co n i Testi
Cope r tina ELENCO, e co n i Testi di Retro Co p er tin a ELENCO. Una
co pia d ella lice n z a è acclu sa n ella se zio n e intitola ta "Licen z a
p e r Docu m e n ta zio n e Liber a GNU".
Se n o n ci so n o Sezio ni n o n Modificabili, si sc riva "se n z a Sezio ni n o n Modificabili" invece di dire q u ali so n o n o n m o dificabili.
Se n o n c'è Testo Co pe r tin a, si scriva "ness u n Tes to Co p er tin a" invece di "il te s t o Co pe r tin a è ELENCO"; e allo s t e s so m o d o si
o pe ri p e r il Tes to di Retr o Co pe r tin a.
Se il vost r o d oc u m e n t o co n tie ne ese m pi n o n b a n ali di p r og r a m m a in co dice so rge n te si racco m a n d a di realiz z a re gli ese m pi
co n te m p o r a ne a m e n te a p plica n d ovi a n c h e u n a licen z a di so ftware libero di vos t ra scelta, co m e a d ese m pio la Licen z a
Pubblica Gener ale GNU, al fine di p e r m e t te r n e l'u so co me so ftware libero.
44

Proxying e filtraggio dei contenuti: installazione e configurazione di

Transcript

Documenti analoghi

92 Del resto lo sappiamo bene: le parole dei

© Luis Royo - Altervista

programma di sala

L`evoluzione della comunicazione giovanile.

- 1 - FEDE, CULTURA E SOCIETÀ Budapest, Università Corvinus 6

e fiori, lumache figlie delle lumache che ho salutato

convenzione di seneca falls (1848)

Torquato Tasso

Kafana l`anima di Belgrado