Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
SquidGuard baypassato da invisible proxy et al.
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Fri May 29, 2009 8:38 pm    Post subject: SquidGuard baypassato da invisible proxy et al. Reply with quote

Ho impostato su un server Squid+Squidguard.
Il problema è che mi sono accorto che utilizzando programmini tipo Invisible Proxy o simili, squidguard è come se non ci fosse.

Qualcuno mi può dire per favore, come poter ovviare a questo problema?

Grazie
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jun 01, 2009 8:41 am    Post subject: Reply with quote

Sai che non ho nemmeno idea di cosa sia "Invisible Proxy" ?

Se puoi fornirmi più informazioni forse posso aiutarti.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 8:48 am    Post subject: Reply with quote

Ad esempio questo. Se ad esempio squidguard blocca il sito di facebook, tu puoi andare su quel sito e navigare dentro facebook tramite di esso.
Ovviamente ho bloccato tutta una serie di siti come quelli, grazie a delle blacklist abbastanza lunghe.
Però considera che esistono anche dei programmi (sempre su winzozz) che installati sui propri pc fanno da proxy e usano altre porte per navigare. Essendo abilitato il NAT, come puoi immaginare, non passano per squid.

Però per questo secondo problema penso di aver trovato una soluzione. Dando i privilegi ridotti agli utenti winzozz, non potrebbero installare nulla, e quindi nemmeno questi programmi. Il problema ci sarebbe qualora ci fossero programmetti del genere standalone, o fatti in java, avviabili tramite jar.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jun 01, 2009 8:57 am    Post subject: Reply with quote

ok, secondo me devi fermarti un attimo e cercare di capire quale risultato vuoi raggiungere e che limite di tolleranza hai.

Se uno ha una macchina esterna alla rete non ci mette niente a crearsi un tunnel per fare quello che vuole e basta un ip dinamico per renderti praticamente impossibile bloccarla.

O metti delle whitelist o accetti il fatto che le tue blacklist servono a poco/niente.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 9:04 am    Post subject: Reply with quote

Ma infatti il discorso è che queste regole vanno bene per il 90-98% dei dipendenti di una azienda non informatica.
Personale come segratari, impiegati, in genere non hanno competenze e conoscenze tali da baypassare le restrizioni che ho impostato io.
Il problema si pone quando c'è qualcuno che magari smanetta un po' anche con i PC. E' chiaro che persone profane non sappiano nemmeno cosa sia un proxy, figuriamoci se sanno come aggirarlo.
L'unica alternativa sarebbe impostare il NAT e ip_forward, ma come policy di iptables bisognerebbe impostare il blocco totale. Poi abilitare solo il traffico sulla porta 80, quello sulla 110 e così via, in base a quello che serve. Però così mi sembra troppo restrittivo.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jun 01, 2009 9:16 am    Post subject: Reply with quote

Non cambierebbe molto, come dicevo prima, se hai una macchina fuori dalla rete puoi metterla in ascolto sulla porta 80 o sulla 443 (https) o ancora più banalmente via ssh ti puoi fare un tunnel criptato per fare il cavolo che ti pare e personalmente non avrei idea di come poterlo bloccare (questo non significa che non sia possibile ma che se esiste un modo io non lo conosco ne ci sono mai incappato :lol: )
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 9:23 am    Post subject: Reply with quote

Bloccare siti al 100% è impossibile si sa! Però cerco di rendergli la vita difficile! :D
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Mon Jun 01, 2009 9:30 am    Post subject: Reply with quote

fbcyborg wrote:
Bloccare siti al 100% è impossibile si sa! Però cerco di rendergli la vita difficile! :D

il modo più facile di rendere la vita difficile è creare una whitelist ma dipende solo dalla quantità di destinazioni che devi rendere raggiungibili ... se hai una lista smisurata e in continua crescita diventa controproducente per te ...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 9:34 am    Post subject: Reply with quote

No ma infatti.. Credo che alla fine allora si debba scendere ad un compromesso! :)
E bastonare sul posto il dipendente nullafacente colto in flagrante!!!! :D hihi!!
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
devilheart
l33t
l33t


Joined: 17 Mar 2005
Posts: 832
Location: Villach, Austria

PostPosted: Mon Jun 01, 2009 10:41 am    Post subject: Reply with quote

forse te l'avevo già detto... leva il NAT!!!
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 10:45 am    Post subject: Reply with quote

Sì sì, me l'avevi detto!
:)

Solo che poi ho paura di diventare pazzo per quanto riguarda la singola autorizzazione di POP3, ecc..
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
devilheart
l33t
l33t


Joined: 17 Mar 2005
Posts: 832
Location: Villach, Austria

PostPosted: Mon Jun 01, 2009 1:21 pm    Post subject: Reply with quote

fbcyborg wrote:
Solo che poi ho paura di diventare pazzo per quanto riguarda la singola autorizzazione di POP3, ecc..
prego?
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 1:23 pm    Post subject: Reply with quote

Ho poca esperienza.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
devilheart
l33t
l33t


Joined: 17 Mar 2005
Posts: 832
Location: Villach, Austria

PostPosted: Mon Jun 01, 2009 3:58 pm    Post subject: Reply with quote

no aspetta, cosa intendi per "singola autorizzazione di POP3, ecc.."?
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 4:02 pm    Post subject: Reply with quote

Semplicemente che se la policy di default è bloccare tutto, poi mi devo preoccupare di abilitare il traffico singolarmente per ogni esigenza (pop3, smtp, programmi tipo l'antivirus che richiedono la connessione per gli aggiornamenti, ecc..). Non vivrei più praticamente, se ogni volta sono costretto ad abilitare il traffico per tutto.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
devilheart
l33t
l33t


Joined: 17 Mar 2005
Posts: 832
Location: Villach, Austria

PostPosted: Mon Jun 01, 2009 4:52 pm    Post subject: Reply with quote

ogni volta...
lo devi fare una volta sola
Back to top
View user's profile Send private message
Peach
Advocate
Advocate


Joined: 08 Mar 2003
Posts: 3686
Location: London, UK

PostPosted: Mon Jun 01, 2009 4:58 pm    Post subject: Reply with quote

devilheart wrote:
ogni volta...
lo devi fare una volta sola

quoto
in più se proprio vuoi impedire il collegamento ai dipendenti secondo me dovresti lavorare a livello di topologia di rete, cioé sistemarli in una "no-fly-zone" e permettergli l'accesso alla posta da un server interno in DMZ che faccia scaricamento/relay della posta.
giusto così per dire, eh. poi magari nel concreto non è nemmeno così semplice ristrutturare una rete, chiaramente.
_________________
Gentoo user since 2004.
"It's all fun and games, until someone loses an eye" - mom
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Mon Jun 01, 2009 5:59 pm    Post subject: Reply with quote

devilheart wrote:
ogni volta...
lo devi fare una volta sola

Ho detto ogni volta, perché magari ogni volta che viene installato un nuovo programma che richiede accesso a Internet bisogna autorizzarlo, e per me che non ho tantissima esperienza con iptables (vorrei averla, ve lo giuro!) potrebbe essere un po' un casino. Il problema è che il server è in esercizio ora, e mettermi a fare le prove, rischiando di bloccare qualcosa per periodi relativamente lunghi, non sarebbe il massimo.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
devilheart
l33t
l33t


Joined: 17 Mar 2005
Posts: 832
Location: Villach, Austria

PostPosted: Mon Jun 01, 2009 8:14 pm    Post subject: Reply with quote

e ti lamenti? questa è una occasione perfetta per fare pratica. del resto ha già maneggiato parecchio con quel server. l'unica cosa che devi fare e salvare le impostazioni importanti prima di fare esperimenti
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3056
Location: ROMA

PostPosted: Tue Jun 02, 2009 6:26 am    Post subject: Reply with quote

Anche tu hai ragione.

Ora appena ho l'occasione di ritornare in ditta cerco di fare qualcosa.
Da remoto ovviamente non mi metto a fare prove.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3652

PostPosted: Tue Jun 02, 2009 9:34 am    Post subject: Reply with quote

fbcyborg wrote:
Anche tu hai ragione.

Ora appena ho l'occasione di ritornare in ditta cerco di fare qualcosa.
Da remoto ovviamente non mi metto a fare prove.

Vedi, hai già imparato qualcosa di saggio ...
tu non hai idea di quanta gente si tagli fuori da una macchina remota cercando di sistemare il firewall :lol:
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum