[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Re: [riminilug-general] Impedire di bypassare proxy

To: <riminilug-general@xxxxxxxxxxxx>
Subject: Re: Re: [riminilug-general] Impedire di bypassare proxy
From: Antonino <antonino.cardillo@xxxxxxxxxxxx>
Date: Thu, 13 Dec 2012 12:43:53 +0100 (CET)
Delivered-to: battarsa@xxxxxxxxxxxx
Delivered-to: mailing list riminilug-general@xxxxxxxxxxxx
List-help: <mailto:riminilug-general-help@riminilug.it>
List-post: <mailto:riminilug-general@riminilug.it>
List-subscribe: <mailto:riminilug-general-subscribe@riminilug.it>
List-unsubscribe: <mailto:riminilug-general-unsubscribe@riminilug.it>
Mailing-list: contact riminilug-general-help@xxxxxxxxxxxx; run by ezmlm
Reply-to: riminilug-general@xxxxxxxxxxxx

Di certo quello che ha spiegato Daniele va molto  ma molto sopra le mie 
competenze e quindi per me è vangelo, ma nel mio piccolo ho trovato una pagina 
dedicata a degli add-on che si possono aggiungere nello specifico ad EFW  per 
un menù aggiuntivo nella GUI appunto per castomizzare le ACLs. Il link è il 
seguente: http://alumnus.caltech.edu/~igormt/endian/extras.html

Poi giusto per dare una lettura in generale su un esempio di applicazione e 
configurazione di squid, ti posto anche questo link rigorosamente in italiano 
per i comuni mortali come me che già l'italiano è la seconda lingua. 
http://www.ilsoftware.it/articoli.asp?tag=Come-bloccare-la-consultazione-di-
siti-web-come-Facebook--C-in-ufficio-con-Ubuntu-e-Squid_7464&pag=0

>----Messaggio originale----
>Da: daniele@xxxxxxxxxxxx
>Data: 13/12/2012 9.56
>A: <riminilug-general@xxxxxxxxxxxx>
>Ogg: Re: [riminilug-general] Impedire di bypassare proxy
>
>On 13/12/2012 07:52, Stefano Bianchi wrote:
>> Ciao a tutti.
>> Sebbene le ultime modifiche per bloccare vari siti in primis facebook
>> cominciavano ad essere efficaci, ora i ragazzi un po' più "sgamati"
>> scaricano dei programmini per bypassare il proxy e tornano ad usare
>> facebook.
>>
>> Si riesce a difendersi da questi software? Anche perchè alcuni di
>> questi non necessitano nemmeno di installazione.
>> Per funzionare cambiano IP e DNS del PC o fanno altro?
>
>Come ti dicevo qualche settimana fa, il problema è nell'https.
>
>tu stai usando il transparent proxy, che con HTTPS teoricamente non 
>funziona.
>http://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https
>(link a caso)
>
>Teoria:
>tu stai collegando il sito https://www.facebook.com.
>Ok, facciamo redirect della porta 443 sul proxy.
>Mettiamo un certificato sul proxy (perché essendo transparent crede di 
>collegare https).
>Il certificato lo facciamo per www.facebook.com.
>
>primo problema:
>il certificato sarà self-signed (di certo anche pagando non te ne 
>rilasciano uno per www.facebook.com no? :D), quindi dovrai importare la 
>CA con cui hai generato il certificato su tutti i pc.
>
>secondo problema:
>mi collego a https://www.google.com.
>Il proxy mi risponderà sempre con il certificato di www.facebook.com, 
>perché ne possiamo inserire solamente uno nel proxy.
>Anche con la CA importata, darà errore perché avvertità che il 
>certificato non è stato rilasciato per www.google.com.
>
>divertiti a leggere il link di cui sopra, magari c'è una qualche 
>soluzione a cui non ho pensato.
>
>Possibile soluzione:
>Si può pensare di usare pac/wpad:
>http://agix.com.au/blog/?p=912
>prerequisiti: dhcp
>possibili problmi: un pc non prende correttamente il file pac e non 
>naviga. vanno "certificati" i browser, anche se oramai funzionano tutti.
>
>In questo modo viene passato ai client automaticamente il fatto che è 
>necessario utilizzare un proxy, e come usarlo.
>
>ciò detto, potresti verificare la classe di ip da cui si collegano, e 
>fare in modo (blindando ad esempio con mac address) il fatto che i 
>client dei ragazzi utilizzo un certo lease di ip, con un certo file pac, 
>mentre altri (segretarie, ...) ne utilizzo un altro "più permissivo".
>
>Possibile soluzione 2:
>utilizzare opendns (rigorosamente free :D)
>http://www.opendns.com/home-solutions/parental-controls/
>Opendns ragiona a livello nome/ip, quindi (in base ai server utilizzati) 
>quando viene risolto ad esempio www.facebook.com viene risposto con un 
>indirizzo che *non* è facebook.com.
>facendo così, risolvi il problema alla radice, ma anche qui o dividi le 
>subnet, oppure non tutti usano tutto.
>
>al momento altre idee non mi vengono :)
>
>bye
>d.
>
>---------------------------------------------------------------------
>Per cancellarsi, scrivi a: riminilug-general-unsubscribe@xxxxxxxxxxxx
>Se vuoi conoscere altri comandi, scrivi a: riminilug-general-help@riminilug.
it
>
>



---------------------------------------------------------------------
Per cancellarsi, scrivi a: riminilug-general-unsubscribe@xxxxxxxxxxxx
Se vuoi conoscere altri comandi, scrivi a: riminilug-general-help@xxxxxxxxxxxx

Follow-Ups:
- Re: [riminilug-general] Impedire di bypassare proxy
  - From: Daniele Palumbo
- Re: [riminilug-general] Impedire di bypassare proxy
  - From: Christian Zoffoli

Prev by Date: Re: Re: [riminilug-general] Impedire di bypassare proxy
Next by Date: Re: [riminilug-general] Impedire di bypassare proxy
Previous by thread: Re: [riminilug-general] Impedire di bypassare proxy
Next by thread: Re: [riminilug-general] Impedire di bypassare proxy
Index(es):
- Date
- Thread