• Home
• Software didattico
• Screencast & Tutorial
• Presentazioni
• Materiali didattici
• Materiali tecnici
• bisceglia.eu

Il Content Filtering a livello di proxy

Se la connessione ad Internet della LAN d'Istituto avviene tramite un proxy, è possibile utilizzare lo stesso ed eventualmente un tool dedicato per attivare un efficace Content Filtering.

Come si vede dallo schema, è necessaria una macchina dedicata che svolga le funzioni di proxy. Tale funzione può essere svolta da un server Windows 2003 (o Windows 2000) nel quale sia installato ISA Server 2004 (o ISA Server 2000).

E', ovviamente, possibile utilizzare un proxy su piattaforma Linux, come ad esempio Squid ed i relativi tool di filtrazione, ovvero un sistema integrato, sempre su piattaforma Linux ridotta, come Censornet.

Ambiente Windows

Internet and Acceleration Server, ISA per l'appunto, è il proxy server di Microsoft ed è, quasi certamente, il più completo e robusto disponibile per piattaforme Windows. L'unico problema di ISA è una certa complessità nell'installazione e nella gestione ed il fatto che necessita di una macchina decisamente ben dimensionata in particolare per quanto riguarda la memoria RAM ed il sottosistema dischi.

Nelle sue diverse configurazioni ISA 2004 consente anche un filtraggio HTTP attraverso la definizione di policy. Interessante, in questo ambito, la possibilità di definire le estensioni dei file dei quali è bloccato il download:

Ugualmente efficace è la gestione dei logs, attraverso i quali è possibile avere un quadro dei siti visitati:

Per attivare una accurata filtrazione di contenuti nasce, però, un problema: a differenza di ISA 2004 che ha un costo abbastanza ridotto nel listino educational, i software di Content Filtering hanno dei costi molto elevati, essendo prevalentemente destinati al mercato enterprise.

La maggior parte di questi software associano il filtraggio dinamico con ricerche euristiche a database autoaggiornabili, previa sottoscrizione. Le altre feature importanti sono il blocco di codici pericolosi, cookies, spyware e virus la possibilità di stabilire orari di utilizzo per determinati siti, la creazione di logs dettagliati delle violazioni e quella di collegarsi direttamente alla ACL per la gestione degli utenti.

I software disponibili sono diversi, tra questi interessante sembra Policy Patrol Web di Red Earth Software che associa al filtro di contenuti su database aggiornabile, la filtrazione di parole o frasi,  funzioni di file-checking, antivirus, antispyware, limitazioni di banda, logs accurati e blocco di contenuti attivi.

Il software ha, purtroppo, un costo elevato: 3000 $ per una licenza per utenti illimitati.

Un sistema estremamente funzionale, basato sulla "Artificial Content Recognition" è Puresight. Puresight esiste anche come prodotto stand alone, ma sembra molto più interessante nelle versioni per proxy. Basandosi su un motore ad intelligenza artificiale, non necessita di un database di indirizzi da bloccare e, quindi, evita dover sottoscrivere onerosi abbonamenti.

Puresight consente di definire diverse policy, diversi tipi di utenti e limitazioni temporali. Oltre che per ISA 2000/2004 il software è disponibile anche per il proxy Wingate.

Ambiente Linux

Come è noto il sistema operativo Linux propone diverse soluzioni di proxy, tra le quali emerge, senza dubbio, Squid.

Squid è un potente proxy per il quale esistono diversi add-ons per il filtraggio dei contenuti, quali ad esempio SmartFilter di Secure Computing a pagamento, e, per altro, esistente anche per ISA 2004, Squidguard che, però, risulta aggiornato al 2001, mentre la black list è della fine del 2005, gratuito anche se con minori funzioni, ma che sembra essere del tutto inadeguato al filtraggio di siti italiani.

Il programma che sembra avere caratteristiche adeguate ad un uso in ambiente scolastico è Dansguardian. si tratta di un add-on di Squid installabile in ogni distribuzione Linux, e che basa il suo lavoro di riconoscimento sia su un database di siti, sia sul confronto di parole e frasi, sia sulle classificazioni dei siti. Il progetto è aggiornato e la release attuale è la 2.9.6.2. L'installazione non è semplice e prevede una buona conoscenza sia di Linux che di Squid.

Anche per l'ambiente Linux/Squid è disponibile Puresight.

Restando nell'ambito del pinguino, un prodotto che sembra interessante è Censornet. Censornet viene rilasciato gratuitamente come immagine ISO dalla quale creare un CDrom autoinstallante. Su una macchina anche non potente ma dotata di due schede di rete, viene installata una mini-distribuzione basata su Debian, ed al termine risulterà installato il proxy Squid, il firewall IPtables, il webserver Apache ed il modulo di filtering.

Al primo accesso è disponibile un modulo di setup in ambiente testuale con il quale è necessario far riconoscere le schede di rete, indicare gli indirizzi IP lato LAN e lato WAN, le informazioni di DNS e gateway e settare correttamente il firewall con le eventuali indicazioni di NAT, PAT, port forwarding, web caching.

E' anche possibile far riconoscere le macchine di rete che possono accedere al proxy, riconoscendole attraverso una scansione dei MAC address o degli indirizzi IP.

Altra importante opzione è quella di attivare un server DHCP, qualora non ve ne sia altro installato in rete.

La configurazione prevede una buona conoscenza dell''ambiente Linux e del networking in generale.

 Se tutto sarà andato a buon fine, dal browser di una macchina collegata sarà possibile accedere all'interfaccia di configurazione.

Questa è costituita da diversi moduli con i quali è possibile recuperare gli utenti da Active Directory di un dominio Windows 2000/2003, creare dei gruppi, inserire e togliere computer, creare gruppi di computer, assegnare diversi permessi e tempo a utenti e computer, gestire il filtraggio dei contenuti, creare white e black list, e gestire gli accuratissimi logs che il sistema prepara.

Questa parte è davvero interessante, in quanto consente di mantenere un database dei siti visitati, delle violazioni, dei siti più visitati in generale e per ciascun utente.

Il sistema di filtraggio si basa sia su un database di indirizzi, sia su confronto di parole, sia, cosa molto interessante, sulla dimensione, quantità e tipo di immagini del sito controllato. Il database dei siti è, però, attivabile solo su sottoscrizione, anche se è possibile importare un elenco di siti proibiti da un file in formato CSV.

Censornet è gratuito, a parte la sottoscrizione, anche se è possibile acquistare un appliance con installato l'intero sistema.

Sostanzialmente, se si riesce a settarlo correttamente (operazione non certo facile) può rivelarsi un interessante prodotto per le reti scolastiche.

Cliccando sull'immagine sotto si visualizza uno slideshow delle schermate principali di Censornet.

Cliccare

Precedente | Seguente