Proxy LOG per Scuole e Zyxel Air

[ZERO-1C3]

Buonasera ragazzi,

Per un Istituto (Scuole Medie) abbiamo bisogno di tracciare la navigazione di tutti i ragazzi e di tutti i docenti.

Prima creavamo un IPCOP Firewall, ma ora vorremmo trovare una soluzione gia preconfezionata.

Abbiamo visto che le varie case, come ad esempio la Netgear, offrono i loro Firewall (In questo caso la serie UTM), però questi hanno un costo di licenza annuale.

Abbiamo pensato che, per svincolarci da questo costo, potremmo utilizzare uno Zyxel Air con Syslog Abilitato che rimanda i LOG su un NAS.

Che ne pensate? Può essere una buona idea?

[eaman]

Io se fossi in te' mi informerei bene: in base alle vecchie leggi si poteve/doveva autenticare gli utenti per gli accessi a internet ma tracciare la navigazione mi sembra pura follia. Pensare poi di tracciare dei minori e' devastante: anche se sei sotto l'ombrello del comunqe / provincia tracciare dei minori e' un incubo per le leggi sulla privacy.

Secondo me non vuoi traciarli: magari vuoi solo impedire che abbiano accesso a determinati siti. Al MASSIMO puoi tenere traccia dei log di navigazione ma senza incrociare questi dati con gli utenti.

Detto questo, per gestire alcune scuole e internet point io uso un proxy squid in modalita' trasparente con una cache dns, LDAP per le autenticazione degli utenti. Ma se sei in una struttura in cui la navigazione non e' l'attivita' principale e gli utenti sono 'sempre gli stessi' non hai bisogno neanche dell'autenticazione: gli utenti sono gia registrati sui registri della scuola.

[Alfonso78]

Quote:

Originariamente inviato da eaman

Detto questo, per gestire alcune scuole e internet point io uso un proxy squid in modalita' trasparente con una cache dns, LDAP per le autenticazione degli utenti.

Curiosità: Su macchina dedicata o su server esistente?

[ZERO-1C3]

Quote:

Originariamente inviato da eaman

Io se fossi in te' mi informerei bene: in base alle vecchie leggi si poteve/doveva autenticare gli utenti per gli accessi a internet ma tracciare la navigazione mi sembra pura follia. Pensare poi di tracciare dei minori e' devastante: anche se sei sotto l'ombrello del comunqe / provincia tracciare dei minori e' un incubo per le leggi sulla privacy.

Secondo me non vuoi traciarli: magari vuoi solo impedire che abbiano accesso a determinati siti. Al MASSIMO puoi tenere traccia dei log di navigazione ma senza incrociare questi dati con gli utenti.

Detto questo, per gestire alcune scuole e internet point io uso un proxy squid in modalita' trasparente con una cache dns, LDAP per le autenticazione degli utenti. Ma se sei in una struttura in cui la navigazione non e' l'attivita' principale e gli utenti sono 'sempre gli stessi' non hai bisogno neanche dell'autenticazione: gli utenti sono gia registrati sui registri della scuola.

Ti ringrazio per la risposta...

Effettivamente non ci siamo aggiornati sulle nuove normative, adesso darò bene un'occhiata.

Noi abbiamo due scuole:

1)Una scuola "Elementare"

2)Una scuola "Media"

In relazione alla scuola Elementare abbiamo creato degli utenti sul Firewall con nome e Cognome dei docenti e dei segretari.
Così facendo se, per esempio, il Docente "Rossi" va su un sito porno, e qualcuno se ne rende conto, sono problemacci del docente Rossi che risponderà personalmente.

Per le scuole Medie, dove è presente un grosso laboratorio informatico, chiaramente i docenti non riescono a tenere sotto controllo tutti gli alunni, quindi, oltre ad aver installato il Microsoft Family Safety per bloccare il grosso dei siti hot ci hanno chiesto di creare un'account per ogni singolo alunno.
Loro hanno consegnato le password ai genitori, facendo firmare un foglio che dichiarava che i loro figli, utilizzando tali password nei computer della scuola, acconsentivano ad essere controllati e che avrebbero avuto la responsabilità di dove andavano a cercare le cose.

Così facendo la Scuola si è anche un pò svincolata da alcune responsabilità diciamo...

E questo vogliono farlo anche tutti gli altri Istituti della zona chiaramente!

Attraverso quel foglio che hanno fatto firmare non sono legalmente tutelati?

[eaman]

Quote:

Originariamente inviato da ZERO-1C3

Ti ringrazio per la risposta...

Effettivamente non ci siamo aggiornati sulle nuove normative, adesso darò bene un'occhiata.

Noi abbiamo due scuole:

1)Una scuola "Elementare"

2)Una scuola "Media"

In relazione alla scuola Elementare abbiamo creato degli utenti sul Firewall con nome e Cognome dei docenti e dei segretari.
Così facendo se, per esempio, il Docente "Rossi" va su un sito porno, e qualcuno se ne rende conto, sono problemacci del docente Rossi che risponderà personalmente.

Devi aver pero' fatto _preventivamente_ firmare all'utente un folgio in cui lo informi e in cui lui dichiari di essere consapevole di essere tracciato. Per le norme sindacali non puoi tracciare un dipendente senza preventivi accordi.

Dal punto di vista tecnico io preferisco tenere staff e studenti su due reti (anche solo logiche) separate.

Quote:

Per le scuole Medie, dove è presente un grosso laboratorio informatico, chiaramente i docenti non riescono a tenere sotto controllo tutti gli alunni, quindi, oltre ad aver installato il Microsoft Family Safety per bloccare il grosso dei siti hot ci hanno chiesto di creare un'account per ogni singolo alunno.

La legge urbani non c'e' piu' e non dovrebbe piu' essere richesta l'autenticazione degli utenti. Dico dovrebbe perche' ormai io monto LDAP comunque e a prescindere...

Quote:

Loro hanno consegnato le password ai genitori, facendo firmare un foglio che dichiarava che i loro figli, utilizzando tali password nei computer della scuola, acconsentivano ad essere controllati e che avrebbero avuto la responsabilità di dove andavano a cercare le cose.

Così facendo la Scuola si è anche un pò svincolata da alcune responsabilità diciamo...

E questo vogliono farlo anche tutti gli altri Istituti della zona chiaramente!

Attraverso quel foglio che hanno fatto firmare non sono legalmente tutelati?

Si dovrebbero essere tutelati: ma l'argomento e' moooolto scivoloso. Ad esempio lo storaggio dei logo e chi abbia accesso a questo. Es: i dati sensibili dovrebbero essere su una macchina dietro a una porta chiusa (a volte mi e' stato detto blindata!) in una stanza alla quale nessuno ha accesso. Poi tuttle le balle su i backup...


Io personalmente non sono propenso a tracciare gli utenti, sopratutto gli studenti: serve troppo 'controllo' e troppi interventi di gestione (dal punto di vista umano) che generano troppi attriti inutili.

Meglio usare una black-list dei siti da evitare senza tracciare chi ci va'.

Tanti anni fa quando tiravo su le scuole mettevo una pagina di redirect con sfondo lampeggiante quando gli utenti andavano su un sito vietato: la cosa generava casino confusione e attriti. Meglio vietare determinati url e stop, cercare la collaborazione e MAI avere atteggiamenti punitivi / inquisitori su gli alunni: meglio cercarne la collaborazione.

Io faccio cosi': spiego loro o faccio spiegare che l'accesso a internet serve per le lezioni, la connessione e' unica per tutti e se qualcuno ne abusa per motivi non ineerenti al lavoro didattico compromette la possibilita' degli altri di lavorare. A qual punto se l'operatore (il docente) perde il controllo dell'aula stacca la connessione. Senza analisi di log, identificazioni o dicussioni.

Puoi farlo in due modi:
1. Staccare singolo RJ45 dell'utente: questo causa discussioni e attriti, alla lunga ti si scassano pure i cavi e saltano le connessioni!
2. Staccare l'intero laoratorio: in genere e' meglio perche' si perde meno tempo e si responsabilizza l'aula come insieme.

Tecnicamente a volte mi e' stato chesto di mettere una intefaccia web per squid (il proxy) in modo da isolare all'occorrenza singoli laboratori, ma a volte quando lo switch / hub / patch e' comodo si puo' semplicemente staccare il cavo che va al gateway.

[eaman]

Quote:

Originariamente inviato da Alfonso78

Curiosità: Su macchina dedicata o su server esistente?

Dipende da disponibilita' e necessita'. Una volta ho fatto girare squid su un NAS con instalato linux, un'altra volta ho messo un server LDAP e server web per gestione web su una macchina virtuale con 60MB di ram.

La mia installazione piu' grande e' su un dual xeon SCSII dedicato da un ~15000 euro.

Certo il sistema di autenticazione sarebbe opportuno farlo girare su un host dedicato.

[Alfonso78]

Quote:

Originariamente inviato da eaman

Certo il sistema di autenticazione sarebbe opportuno farlo girare su un host dedicato.

Esatto. Mi trovi pienamente d'accordo.

Personalmente ho sempre utilizzato Ipcop. Adesso vorrei avvicinarmi a Pfsense.

[eaman]

Quote:

Originariamente inviato da Alfonso78

Personalmente ho sempre utilizzato Ipcop. Adesso vorrei avvicinarmi a Pfsense.

+1 per PFSense, lo usano anche in comune da me'.

Per l'autenticazione su host dedicato: non c'e' un interesse a distruggerti / rubarti i dati di autenticazione della rete degli studenti di una scuola inferiore. Piuttosto fai un back up dell'albero LDAP ogni giorno e mandalo su una macchina diversa nel caso di rotture o disastri vari. E non tenere log di navigazione per piu' di 24 ore: quanto basta per le statistiche.

Mi ripeto: ho tenuto il server di LDAP di 4/5 laboratori su un host virtuale UML da ~60MB di ram messo su un mio server in internet...

[ZERO-1C3]

Quote:

Devi aver pero' fatto _preventivamente_ firmare all'utente un folgio in cui lo informi e in cui lui dichiari di essere consapevole di essere tracciato. Per le norme sindacali non puoi tracciare un dipendente senza preventivi accordi.

Ok, lo faremo dove non lo abbiamo fatto, grazie.

Quote:

Si dovrebbero essere tutelati: ma l'argomento e' moooolto scivoloso. Ad esempio lo storaggio dei logo e chi abbia accesso a questo. Es: i dati sensibili dovrebbero essere su una macchina dietro a una porta chiusa (a volte mi e' stato detto blindata!) in una stanza alla quale nessuno ha accesso. Poi tuttle le balle su i backup...

Ok, valuteremo anche questo aspetto...

Quote:

Meglio usare una black-list dei siti da evitare senza tracciare chi ci va'.

Per curiosità, quale sistema usi per bloccare la navigazione dei siti pornografici ecc?

Volendo procedere sulla via del tracciamento degli utenti, reputi che lo Zyxel Air possa essere adibito a questa funzione?? **Perchè IPCOP e PFSENSE sono più complessi da configurare e non ho tempo di studiarmeli. Mentre i Firewall Hardware gia pronti hanno la licenza annuale...

**Per questo avevo aperto il topic....io ho solo il dubbio che non faccia l'autenticazione via LAN, ma che la faccia solo sulla WIFI...ma mi pare strano...

[eaman]

[quote=ZERO-1C3;36314223Per curiosità, quale sistema usi per bloccare la navigazione dei siti pornografici ecc?[/quote]
Lavoro con app sul 4' livello: proxy http squid con squid guard.

Quote:

Volendo procedere sulla via del tracciamento degli utenti, reputi che lo Zyxel Air possa essere adibito a questa funzione?? **Perchè IPCOP e PFSENSE sono più complessi da configurare e non ho tempo di studiarmeli. Mentre i Firewall Hardware gia pronti hanno la licenza annuale...

Non saprei dirti, come detto io uso un server con un proxy, non una soluzione hardware.
- http://www.zeroshell.net/dansguardia...uardian-router
- http://linux.andreagozzi.com/content/squid_howto.php

Un mio collega usa una black-list a pagamento che si chiama "davide qualcosa", qualcuno mi aveva proposto un fortigate; io usando il deterrente "se c'e' casino stacco la rete" non ho tutto questo bisogno di filtri a pagamento (ma ho utenti sopratutto maggiorenni al momento). Per altro dal punto di visto pratico se in un aula c'e' un disgraziato (maggiorenne) puo' essere comodo parcheggiarlo davanti al suo sito schifezza preferito.

Quote:

**Per questo avevo aperto il topic....io ho solo il dubbio che non faccia l'autenticazione via LAN, ma che la faccia solo sulla WIFI...ma mi pare strano...

Io l'autenticazione la faccio al momento del log-in sul sistema operativo, non sul proxy. Cosi' posso avere le cartelle home su server, posta elettronica, forum di discussione...