Re: [riminilug-general] Impedire di bypassare proxy

[Daniele Palumbo <daniele@xxxxxxxxxxxx>]

On 13/12/2012 07:52, Stefano Bianchi wrote:
> Ciao a tutti.
> Sebbene le ultime modifiche per bloccare vari siti in primis facebook
> cominciavano ad essere efficaci, ora i ragazzi un po' più "sgamati"
> scaricano dei programmini per bypassare il proxy e tornano ad usare
> facebook.
>
> Si riesce a difendersi da questi software? Anche perchè alcuni di
> questi non necessitano nemmeno di installazione.
> Per funzionare cambiano IP e DNS del PC o fanno altro?

Come ti dicevo qualche settimana fa, il problema è nell'https.

tu stai usando il transparent proxy, che con HTTPS teoricamente non 
funziona.
http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https
(link a caso)

Teoria:
tu stai collegando il sito https://www.facebook.com.
Ok, facciamo redirect della porta 443 sul proxy.
Mettiamo un certificato sul proxy (perché essendo transparent crede di 
collegare https).
Il certificato lo facciamo per www.facebook.com.

primo problema:
il certificato sarà self-signed (di certo anche pagando non te ne 
rilasciano uno per www.facebook.com no? :D), quindi dovrai importare la 
CA con cui hai generato il certificato su tutti i pc.

secondo problema:
mi collego a https://www.google.com.
Il proxy mi risponderà sempre con il certificato di www.facebook.com, 
perché ne possiamo inserire solamente uno nel proxy.
Anche con la CA importata, darà errore perché avvertità che il 
certificato non è stato rilasciato per www.google.com.

divertiti a leggere il link di cui sopra, magari c'è una qualche 
soluzione a cui non ho pensato.

Possibile soluzione:
Si può pensare di usare pac/wpad:
http://agix.com.au/blog/?p=912
prerequisiti: dhcp
possibili problmi: un pc non prende correttamente il file pac e non 
naviga. vanno "certificati" i browser, anche se oramai funzionano tutti.

In questo modo viene passato ai client automaticamente il fatto che è 
necessario utilizzare un proxy, e come usarlo.

ciò detto, potresti verificare la classe di ip da cui si collegano, e 
fare in modo (blindando ad esempio con mac address) il fatto che i 
client dei ragazzi utilizzo un certo lease di ip, con un certo file pac, 
mentre altri (segretarie, ...) ne utilizzo un altro "più permissivo".

Possibile soluzione 2:
utilizzare opendns (rigorosamente free :D)
http://www.opendns.com/home-solutions/parental-controls/
Opendns ragiona a livello nome/ip, quindi (in base ai server utilizzati) 
quando viene risolto ad esempio www.facebook.com viene risposto con un 
indirizzo che *non* è facebook.com.
facendo così, risolvi il problema alla radice, ma anche qui o dividi le 
subnet, oppure non tutti usano tutto.

al momento altre idee non mi vengono :)

bye
d.

---------------------------------------------------------------------
Per cancellarsi, scrivi a: riminilug-general-unsubscribe@xxxxxxxxxxxx
Se vuoi conoscere altri comandi, scrivi a: riminilug-general-help@xxxxxxxxxxxx