Proxy autenticazione accesso rete locale e Internet

Il proxy è un programma che si interpone tra un client ed un server, inoltrando le richieste e le risposte dall'uno all'altro. Il client si collega al proxy invece che al server, e gli invia delle richieste. Il proxy a sua volta si collega al server e inoltra la richiesta del client, riceve la risposta e la inoltra al client.  In altre parole il proxy agisce come mediatore tra un qualunque pc della rete locale e internet.
Tale modo di agire può permettere di tenere traccia di tutte le operazioni effettuate (ad esempio, tutte le pagine web visitate), consentendo statistiche ed osservazioni dell'utilizzo della rete; non bisogna però dimenticarsi di operare in conformità alle norme in vigore riguardanti la privacy.

Specifiche desiderate

• La gestione dei codici utenti e delle password deve essere centralizzata in modo da consentire agli utenti di cambiare postazione di lavoro.
• Gli utenti devono poter cambiare la password in autonomia ed in ottemperanza alle norme del codice sulla privacy.
• L’autenticazione per l’accesso alla rete deve essere la stessa per l’accesso ad internet, ovvero non devono esserci duplicazioni di credenziali di autenticazione.
• Per motivi di sicurezza è necessario l’utilizzo di un proxy.

Software

• Qualunque distribuzione Linux (abbiamo utilizzato Debian 3.1).
• Samba (file server)
• Squid (proxy)
• Sarg (controllo dei log)

Hardware

• Un server per il servizio Samba, considerata la funzione vitale di un file server si consiglia l’impiego di hardware affidabile, con memoria RAM e hard disk (meglio se mirror) di capacità adeguate al numero d’utenti da servire (PIV 512 MB RAM, 100 GB per un ufficio di segreteria).
• Un computer con funzioni di firewall proxy con memoria RAM e hard disk di capacità adeguate al numero di utenti e al periodo di conservazione dei file di log (PIII, 256 MB RAM e 40 GB HD per un ufficio di segreteria).

Prerequisiti

Le operazioni che seguono richiedono una certa conoscenza del sistema operativo Linux e dei principi di networking.

Installare e configurare Squid (server con indirizzo IP interno 192.168.2.1)

Se Squid non fa parte della distribuzione linux da voi scelta, potete procedere come indicato al seguente URL:
http://squid.visolve.com/squid/sqguide.htm
Con la distribuzione Debian è consigliabile utilizzare con apt-get:

apt-get install squid

E’ necessario attivare l’autenticazione su dominio nel file di configurazione squid.conf, solitamente localizzato in /etc/squid, inserendo la seguente linea nella zona dell’autenticazione:

auth_param ntlm program /usr/lib/squid/ntlm_auth   \
INTEGRA/nome_del_server_samba

dove INTEGRA è il nome del dominio.

Bisogna infine inserire le seguenti linee nella zona delle ACL (Access Control List):

acl autentica proxy_auth REQUIRED
e
http_access allow autentica
http_access deny all

nell’ordine in cui sono indicate

Configurazione firewall (server con indirizzo IP interno 192.168.2.1)

Se avete un firewall dovete impedire che i browser effettuino connessioni dirette ad internet inserendo ad. es. la seguente regola:

/sbin/iptables -A FORWARD -i eth0 –o ppp0 -p tcp -m mport \
--dports 80,443 -j DROP    

dove eth0 è l’adattatore di rete interno e eth1 è quello esterno (in caso contrario –i eth1 –o eth0).
Altre porte da bloccare per l’accesso diretto al web sono: