DANS GUARDIAN (DG)
Dans Guardian (DG) è un filtro di contenuti, ciò significa che la pagina richiesta dall´utente, prima di essere visualizzata viene analizzata e all´occorrenza scartata e sostituita con un messaggio di ACCESSO NEGATO.
DG è straordinariamente efficace, di facile configurazione e in grado di riconoscere e di impedire lo scaricamento anche di file con estensione ritenuta pericolosa. Si tratta di una applicazione open source che può essere liberamente usata a scopi non commerciali.
In una rete implementata secondo il modello ISI,
DG è installato sul firewall insieme a squid, il funzionamento è semplice:
- il browser dell´utente è configurato in modo da utilizzare un servizio proxy all´indirizzo (IP) del firewall, porta 8080.
- DansGuardian riceve la richiesta dell´utente e la gira a Squid sulla porta 3128.
- Squid recupera la pagina (importante: tutti i meccanismi gestiti via acl o via redirect, esempio SquidGuard, restano in funzione) e la invia a chi gliel´ha chiesta, cioè a DG.
- DG ne analizza il contenuta e la invia all´utente o la blocca sostituendola con una pagina di errore.
Se è stata attivata l´autenticazione dell´utente via proxy, l´utente viene riconosciuto e i log di
DG e Squid conterranno anche il nome dell´utente oltre all´ip da cui è avvenuto il tentativo di accesso. Il monitoraggio della navigazione è perchiò completo.
Gli utenti Argo o Debian possono scaricare il pacchetto
dansguardian per woody dalla fonte apt
deb http://lan.saraceno.org/reteisi/debian woody main isi
A differenza del pacchetto ufficiale Debian, disponibile solo sul ramo testing, abbiamo incluso nella versione ricompilata per woody anche il generatore di report raggiungibile via web all´indirizzo
http://url_o_ip_del_firewall/cgi-bin/dglog.pl
Si consiglia di sostituire il file dglog.pl con un link simbolico e di mettere lo script in una directory protetta da password.
Riassumendo, per attivare
DG occorre
- aggiungere al file /etc/apt/sources.list la fonte apt sopra indicata
- # apt-get update
- # apt-get install dansguardian
- apportare le dovute modifiche al file di configurazione */etc/dansguardian/dansguardian.conf *
- personalizzare eventualmente il file /etc/dansguardian/languages/italian/templape.html che costituisce la pagina in cui viene anunciato all´utente l´impossibilità di accedere alla pagina richiesta
- configurare i browser in modo che utilizzino il proxy alla porta 8080 (questo può essere fatto modificando opportunamente il file logon.bat)
- configurare il firewall in modo da impedire sia il bypass di squid che quello di DG (per quanto riguarda il firewall di Argo la cosa è spiegata alla pagina IsiFirewall).
Le modifiche necessarie al file di configurazione sono le seguenti
.........
#UNCONFIGURED
.........
language = 'italian'
.........
filterport = 8128 # il default è 8080 ma ciò complica la configurazione del firewall
.........
proxyip = 127.0.0.1 # così di default
.........
proxyport = 3128 # così di default
.........
accessdeniedaddress = 'http://localhost/cgi-bin/dansguardian.pl'
Dopo di che non resterà che provare per capire se ulteriormente rafforzare oppure alleggerire le condizioni di filtro che sono state installate.