Ciao Vittorio
Il 10/06/24 08:37, Mario Vittorio Guenzi ha scritto:
Buongiorno a tutti,
dopo taaaanti anni mi trovo a dover riprendere in mano un proxy squid
che sta' lavorando senza problemi, il proxy funziona con
l'autenticazione da AD.
La necessita' e' quella di renderlo trasparente perche' per industria
4.0 mi trovo con un po di macchine nei reparti che non voglio vadano a
navigarein internet, quindi se io le faccio navigare solo in LAN (che
e' quello che devono fare) sono a posto.
La parte di NFTABLES mi e' abbastanza chiara cosi' come almeno in linea
di principio la configurazione dello squid stesso si tratta di fare 4
test per aggiustare il tiro ma niente di che.
Quello che pero' mi domando e':
ha ancora senso usare un proxy come squid che fa sostanzialmente cache
se oggi come oggi e' passato tutto in HTTPS e come e noto squid non fa
cache di pagine sicure?
Oggi come oggi userei squid non come cache anche perchè di statico è
rimasto poco (per quello che vedo io) e la connettività offerta alle
aziende (e anche lato consumer) rendono la cache di contenuti statici
poco utile (forse lo è ancora in aziende molto grandi), alla fine il
cachine dei contenuti statici era quello di risparmiare banda ma oggi?
Come detto forse qualche azienda gigante con banda "limitata" e molte
richieste potrebbe aiutare un po di caching.
Oggi lo userei piu che altro per filtrare (sia per i client o in reverse
proxy) ma c'è un ma....
Come hai detto squid non fa il caching di connessioni DIRECT ma può
intercettare il traffico SSL con ssl_bump per effettuare il filtraggio
ma cosi si rompe la "catena" della confidenzialità. Inoltre la modalità
ssl_bump fa un MITM in piena regola. Poi ci sta da considerare la
questione legale dell'intercettazione delle connessioni cifrate che non
è legale (se non ricordo male). E poi ci sta la sicurezza, immagina un
proxy che con ssl_bump bucato da user malevoli...è finità
Il problema è che oggi è tutto su HTTPS quindi per filtrare il contenuto
(URL, testo, file ecc) devi prima decifrare il contenuto e considerato
quanto detto sopra squid ha meno motivo di essere utilizzato.
Io in casa avevo uno squid su una VM..alla fine l'host spenta perche non
filtrava più per via del traffico in https. Usavo squidguard e
squidclamav ma ho notato che piano piano non ricevono più aggiornamenti
(anche HAVP mi sa che è morto) e non so dansguardian che fine ha fatto.
Sarebbe interessante sentire se c'è qualcuno in lista che lo utilizza in
ambito aziendale, in quale modalità viene usato e per quale scopo.
Nota: in passato volevo filtrare un lan con oltre 100 client, il mio
capo mi diede "un calcio in culo" per via della privacy e della parte
legale.
My 2 cents
Saluti,
Alessandro.
