{"id":317,"date":"2013-01-21T17:13:02","date_gmt":"2013-01-21T16:13:02","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=317"},"modified":"2013-06-27T10:44:10","modified_gmt":"2013-06-27T08:44:10","slug":"proxy-parent","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=317","title":{"rendered":"Proxy parent ovvero come creare una catena di proxy che facciano ognuno un lavoro diverso"},"content":{"rendered":"

Che cos’\u00e8 un proxy<\/a> e perch\u00e8 usarlo?
\nRiporto integralmente la definizione di proxy “Un proxy \u00e8 un programma che si interpone tra un client ed un server, vagliando e decidendo se\u00a0 inoltrare le richieste e le risposte dall’uno all’altro o se reindirizzarle da qualche altra parte. Il client si collega al proxy invece che al server, e gli invia delle richieste. Il proxy a sua volta si collega al server e inoltra la richiesta del client, riceve la risposta e la inoltra al client”.
\nAlla domanda perch\u00e8 usarlo ci possono essere risposte diverse, tutte altrettanto valide e che possono essere usate singolarmente oppure no\u00a0 e cio\u00e8:
\na) per fare caching cio\u00e8 per\u00a0 immagazzinare per un certo tempo i risultati delle richieste diun utente, e se un altro utente effettua le stesse richieste rispondere senza dover consultare il server originale permettendo\u00a0 un miglioramento delle prestazioni ed una riduzione del consumo di ampiezza di banda.
\nb) per fare monitoraggio cio\u00e8\u00a0 un proxy pu\u00f2 permettere di tenere traccia di tutte le operazioni\u00a0\u00a0\u00a0 effettuate (ad esempio,tutte le pagine web visitate), consentendo statistiche ed osservazioni dell’utilizzo della rete.
\nc) per fare controllo cio\u00e8 un proxy pu\u00f2 applicare regole definite dal SysAdmin per determinare quali richieste inoltrare e quali rifiutare, oppure limitare l’ampiezza di banda utilizzata dai client, oppure filtrare le pagine Web in transito, ad esempio bloccando quelle il cui contenuto \u00e8 ritenuto offensivo in base a determinate regole.
\nd) per mantenere la privacy un proxy pu\u00f2 garantire un maggiore livello di privacy mascherando il vero indirizzo IP del client in modo che il server non venga a conoscenza di chi ha effettuato la richiesta.<\/p>\n

Squid \u00e8 senza dubbio uno dei piu’ famosi e usati proxy server, nel caso in oggetto funziona da cache proxy\u00a0 e come autenticatore della connessione per l’utenza.
\nUn ottimo anche se un p\u00f2 datato\u00a0 tutorial su squid lo si puo’ trovare a questo indirizzo\u00a0 squid-book oltre le FAQ
\n<\/a>I proxy possono lavorare da soli o in serie (parent), normalmente\u00a0 nelle\u00a0 realta’ aziendali lavorano in parent in modo tale che ogni proxy svolga un determinato compito sequenziale sino all’ottenimento del risultato finale.
\nTipicamente oltre al discorso caching nella lan aziendali c’e’ una componente di filtraggio dei contenuti che la policy interna definisce, e altro aspetto da non trascurare e’ quello della protezione dai virus che si possono trovare sul web, se e’ vero che ogni client windows in lan deve avere\u00a0 il suo antivirus aggiornato, e’ altrettanto vero che se si puo’ bloccare il pericolo prima che entri\u00a0 il vantaggio\u00a0 e’ evidente.
\nAltro aspetto importante e’ l’autenticazione un proxy puo’ essere con o senza autenticazione dell’utente, e se prevede autenticazione ce ne sono di diversi tipi, l’autenticazione che ha senso (ovviamente) solo in determinati contesti e’ in primo luogo assunzione di responsabilita’, in secondo luogo puo’ essere la discriminante per i permessi di navigazione, a puro titolo d’esempio:
\nl’utente clark ha pieno accesso alla navigazione
\nl’utente tucker puo’ navigare solo per quanto concesso dalle norme\u00a0 generali
\nl’utente maceo non puo’ navigare.
\nLa mia realizazione aziendale prevede una “catena” di proxy che contempla nell’ordine squid3 –> Dansguardian–> Squid.<\/p>\n

Molto spesso nelle aziende si ricorre ai proxy per ottemperare\u00a0 alle linee\u00a0 guida\u00a0 del garante per la privacy.
\nIn linea di massima si puo’ dire che i mezzi aziendali non devono essere usati per scopi personali o comunque per scopi non strettamente attinenti al raggiungimento degli obbiettivi aziendali.
\nDato che purtroppo siamo in un paese dove \u00e8 assolutamnte necessario cautelarsi e dato che il SysAdmin e’ il responsabile all’interno dell’azienda \u00e8 una cosa buona predisporre un sitema di filtraggio molto stretto che poi si va ad aprire man mano che serve.
\nPurtroppo non esiste un solo proxy che faccia tutto quello che normalmente serve, quindi nasce il concetto di proxy in parent o in catena\/cascata.
\nI proxy possono essere con o senza autenticazione, tipicamente per un uso “casalingo” l’autenticazione e’ del tutto inutile viceversa in un contesto aziendale specie in caso di contestazioni o peggio di richiesta dei log da parte delle forze dell’ordine (c’\u00e8 capitato anche questo per un brutto ceffo che girava qui). il sapre chi ha fatto cosa e quando puo’ essere molto importante da qui l’autenticazione.
\nNella realizzazione che ho adottato in azienda ho usato Squid e Dansguardian o meglio per la precisione squid3+dansguardian+squid come rappresantato nell’immagine sotto.<\/p>\n

\"\"<\/a><\/p>\n

Squid<\/a> \u00e8 il piu’ usato e il piu’ performante proxy che ci sia in circolazione, pu\u00f2 anche in minima parte fare da filtro ma per i contenuti il top e’ Danguardian.
\nIl terzo squid \u00e8 li solo come appoggio, infatti Dansguardian non pu\u00f2 essere l’ultimo di una catena.
\nQuesto giro\u00a0 decisamente complesso, si rende necessario per una cosa molto semplice, vale a dire sfruttare l’autenticazione di ogni singolo utente quando accede alla rete, senza dover ripetere le proprie credenziali per poter navigare.
\nSulla macchina che fa da proxy bisogner\u00e0 pertanto installare squid squid3 dansguardian e samba per l’autenticazione ntlm presa dal samba PDC aziendale.di\u00a0 seguito le configurazioni.
\nsamba<\/a>
\nsquid<\/a>
\ndansguardian<\/a>
\nsquid3<\/a>
\nsarg
\nmalware<\/a><\/p>\n

Da notarsi una cosa tutte queste configurazioni vanno spostate nella directory \/jumper\/etc\/\u00a0 che ho creato quando ho configurato la macchina<\/a> e che corrisponde al device r0 del DRBD\u00a0 e quindi si\u00a0 creano\u00a0 dei\u00a0 link simbolici ad \/etc, altra cosa “furba”\u00a0 da fare e’ di togliere i servizi\u00a0 da init.d con update-rc.d -f nome del servizio remove in modo che partano solo quando sar\u00e0 heartbeat a chiamarli nel giusto ordine.
\nPosso capire che appaia strano clusterizzare un proxy o meglio una serie di proxy, la spiegazione \u00e8 in realt\u00e0 abbastanza semplice, storicamente da noi il gateway address \u00e8 l’indirizzo del proxy e con l’andare degli anni si \u00e8 reso sempre pi\u00f9 vitale avere un gateway che funzioni sempre, da qui una linea di riserva e tutto il giro di cambio del gateway.<\/p>\n","protected":false},"excerpt":{"rendered":"

Che cos’\u00e8 un proxy e perch\u00e8 usarlo? Riporto integralmente la definizione di proxy “Un proxy \u00e8 un programma che si interpone tra un client ed un server, vagliando e decidendo se\u00a0 inoltrare le richieste e le risposte dall’uno all’altro o se reindirizzarle da qualche altra parte. Il client si collega al proxy invece che al […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,13,6],"tags":[],"class_list":["post-317","post","type-post","status-publish","format-standard","hentry","category-linux","category-proxy","category-work"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=317"}],"version-history":[{"count":23,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/317\/revisions"}],"predecessor-version":[{"id":711,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/317\/revisions\/711"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=317"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}