Un proxy è un programma che si interpone tra un client ed un server inoltrando le richieste e le risposte dall’uno all’altro. Il funzionamento è semplice: il client che esegue una richiesta si collega al proxy invece che al server e gli invia delle richieste; il proxy si collega al server e inoltra le richieste del client, riceve le risposte e le inoltra al client.

In ambito aziendale i proxy possono essere sfruttati in vari modi: possono filtrare i contenuti che transitano sulla rete dei dipendenti, possono bloccare determinate connessioni, possono analizzare le informazioni che provengono dalla rete per, ad esempio, mettere in pratica soluzioni di Data loss prevention (DLP). Ecco perché dedicheremo ai proxy due articoli in modo da introdurre il lettore ad alcune soluzioni open source più utilizzate.

Tipi di proxy

Possiamo inizialmente suddividere tali programmi in proxy di livello applicativo, che si occupano di inoltrare solamente i dati inerenti un particolare protocollo (HTTP, FTP, …) e proxy di tipo SOCKS, che inoltrano le connessioni TCP/UDP (le quali, ricordo, formano un "involucro" per i protocolli superiori) in toto, senza entrare nel merito appunto dei protocolli di livello più alto al loro interno trasportati. Questi ultimi tipi di proxy risultano applicabili quindi a più protocolli applicativi anziché esser costruiti specificatamente per uno solo tra essi, ma risultano poco malleabili e poco adattabili alle caratteristiche peculiari degli stessi. Per tali motivazioni vengono spesso "relegati", certamente con ottimi risultati, alla protezione della privacy degli utenti.

Nel presente articolo tratteremo i proxy di livello applicativo HTTP, cioè atti alla navigazione Web. In tale tipo di proxy, il client viene ad identificarsi con il browser ed il server con il web server. Tutti i browser della LAN dovranno essere configurati per uscire sull’Internet per mezzo del proxy – tramite impostazioni dello stesso browser, del sistema operativo, tramite topologie di rete ad hoc oppure anche tramite l’inusitato protocollo WPAD. Delle due tipologie possibili di proxy appplicativi HTTP ci occuperemo dei forward proxy, che, contrapponendosi ai reverse proxy, fungono da "gateway" per la navigazione Web.

Un (forward) server proxy HTTP può essere impiegato principalmente per i seguenti scopi:

• cache: un caching proxy mantiene copia locale delle risorse Web precedentemente richieste da altri client, in modo da portare, se usato in una rete, ad effettivi risparmi di banda, servendo le risorse in memoria in luogo delle risorse remote per le successive richieste. Il protocollo HTTP prevede header appositi per la gestione ottimale della cache, tuttavia opportuni accorgimenti devono esser attuati affinché la copia locale non sia desincronizzata rispetto a quella remota (talvolta ciò crea problemi);
• filtraggio dei contenuti: un content filtering proxy viene spesso utilizzato in scuole ed organizzazioni al fine di impedire l’accesso a contenuti ritenuti non conformi alle politiche aziendali (contenuti per adulti, contenuti considerati non attinenti al lavoro svolto, file troppo grandi, file potenzialmente pericolosi e/o possibile veicolo di malware, e via discorrendo). Il filtraggio si attua generalmente tramite analisi dell’URL, del dominio, del formato di file delle risorse Web e del loro contenuto testuale; per quest’ultimo controllo viene solitamente usata la corrispondenza dello stesso a determinati pattern/stringhe. È possibile reperire sulla Rete ed utilizzare delle blacklist di URL, domini e pattern da filtrare;
• logging: è possibile che un proxy venga utilizzato come sistema di logging delle connessioni Web dei client dell’organizzazione. Al fine di controllo (leggi vigenti permettendo) o per semplice reportistica;
• privacy: un server proxy può esser utilizzato per mascherare la vera sorgente (indirizzo IP – con ovvietà se su rete diversa – e browser) del traffico Web. Dipendentemente dalla qualità dell’anonimato fornito, queste tipologie di proxy vengono suddivisi in anonimi ed altamente anonimi. I proxy altamente anonimi nascondono gli indirizzi IP, non aggiungono header HTTP che possano palesarne la presenza, nascondono le tracce del browser utilizzato e, molto importante, non devono mantenere informazioni di log sulle connessioni effettuate, cioè informazioni su quali client ad esso si connettono e quando.

Come già accennato, l’intento del presente articolo è quello di presentare alcuni tra i più utilizzati programmi di proxying HTTP, open source, con particolare occhio rivolto alla compatibilità per sistemi Unix-derivati, che fanno della stabilità, dell’alta configurabilità e del costo nullo le loro eccellenti – e vincenti – bandiere di guerra. Cominciamo con Apache.