Re: [ml] intercettazione - filtraggio

Un sistema come quello del tuo schema può funzionare solo se le macchine
hanno configurato i loro browser con l'utilizzo del proxy, in condizioni
normali ( quindi devi modificare le configurazioni lato client e saresti
comunque invasivo...).
C'è una soluzione teorica alternativa pensandoci (mai provata e che mi
sembra davvero sporca), cioè... immagina che i client abbiano un arp statico
assegnato con l'ip del router e il mac address del Proxy Linux (puoi far
caricare il comando con lo script di logon, oppure che il proxy faccia arp
poisoning). Sotto un Hub le richieste raggiungono sia il Router che il Proxy
Linux, ma il router le scarta visto che non hanno il suo mac address, mentre
configuri linux per accettare queste richieste e tramite il mangle del
pacchetto le rimandi sulla stessa porta 80.(dovrai abilitare il proxy arp...
fare in modo che il mangle del pacchetto sia rigirato sull'IP corretto del
Proxy)...

Un problema come questo comunque io lo affronterei con un linux con due
schede di rete proxy configurato in modalità trasparente mangle dei
pacchetti diretti verso la porta 80 ecc. questo ovviamente comporta anche la
modifica dell'Ip sul router (devi cambiargli la classe), ma ti evita di
toccare qualunque tipo di configurazione sui client...
Ciao.
Paolo




----- Original Message ----- 
From: "Vittore Zen" <drzen@xxxxxxxxxxx>
To: <destinatari-ignoti:>
Sent: Monday, August 23, 2004 10:35 AM
Subject: [ml] intercettazione - filtraggio


> Salve a tutti,
>
> sto cercando informazioni per la realizzazione di un progetto di
> filtraggio delle informazioni web. Per intenderci si tratta di un server
> "proxy" che filtra le informazioni in base ad alcune regole. La
> richiesta viene da alcune realtà "educational".
> Lo so che ci sono una marea di prodotti commerciali e non che fanno
> quello che serve ma in questo caso mi viene chiesta una "granularità" e
> una "personalizzazione" tali da pensare ad una soluzione ad-hoc (gruppi
> di utenti, gruppi di ip, orari di filtraggio, blacklist/whitelist
> condivise tra server...).
>
> Il tassello del puzzle che mi manca non è relativo al filtraggio o al
> sistema proxy (pensavo di partire da squid-ICAP + POESIA e dansguardian
> ma ogni indicazione è la benvenuta)  bensì al sistema di
> intercettazione. Mi spiego meglio.
> La soluzione che vorrei implementare vuole essere la meno invasiva nei
> confronti della rete del cliente. Non voglio cambiare configurazioni di
> router o inserire apparati con due schede di rete, una verso il router e
> una verso la lan.... mi ricordo che a suo tempo avevo visto una
> soluzione commerciale in cui il sistema veniva posizionato prima del
> router mediante un hub, intercettava il traffico web, filtrava e poi
> restituiva il tutto al client "spacciandosi" per il router.
>
> client --- Hub --- router
>             |
>             |
>     sistema di filtraggio
>
> Qualche idea? Qualche consiglio?
>
> Grazie fin d'ora.
> v.
>


----------------------------------------------------------------------------
----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List