Il presente documento descrive la progettazione, l'implementazione e la configurazione di un proxy HTTP/HTTPS centralizzato basato su Squid 6 installato su una distribuzione GNU/Linux Debian-based. Nella configurazione attuale dell’architettura di rete dell’ambiente analizzato, il firewall perimetrale consente le connessioni in uscita verso Internet da un numero elevato di server interni. Questa postura, definita default-allow, espone l’ambiente analizzato a rischi significativi: esfiltrazione di dati, comunicazioni non autorizzate verso l'esterno e assenza di visibilità sul traffico generato dall'infrastruttura. L'obiettivo strategico è invertire questa postura adottando una politica default-deny sul firewall perimetrale, in cui tutto il traffico in uscita è bloccato per impostazione predefinita. L'introduzione del proxy centralizzato è il passo necessario e propedeutico a questo obiettivo: prima di poter chiudere il traffico in uscita è indispensabile disporre di un punto di transito unico e controllato attraverso cui i server interni possano continuare a raggiungere i servizi Internet di cui necessitano operativamente quali, ad esempio aggiornamenti di sistema operativo, aggiornamenti firmware di apparati di gestione remota dei server, download da registry di container, pull di repository software. L'implementazione include misure di hardening del sistema operativo, una politica di accesso basata su whitelist delle sole destinazioni autorizzate, la raccolta dei log di accesso e il loro inoltro verso un sistema centralizzato di raccolta e analisi, garantendo piena visibilità e tracciabilità su tutto il traffico in uscita dall'infrastruttura.
Implementazione di un punto di uscita unico per il traffico web: architettura e hardening
luca vasarelliPrimo
;stefano rubertiSecondo
2026
Abstract
Il presente documento descrive la progettazione, l'implementazione e la configurazione di un proxy HTTP/HTTPS centralizzato basato su Squid 6 installato su una distribuzione GNU/Linux Debian-based. Nella configurazione attuale dell’architettura di rete dell’ambiente analizzato, il firewall perimetrale consente le connessioni in uscita verso Internet da un numero elevato di server interni. Questa postura, definita default-allow, espone l’ambiente analizzato a rischi significativi: esfiltrazione di dati, comunicazioni non autorizzate verso l'esterno e assenza di visibilità sul traffico generato dall'infrastruttura. L'obiettivo strategico è invertire questa postura adottando una politica default-deny sul firewall perimetrale, in cui tutto il traffico in uscita è bloccato per impostazione predefinita. L'introduzione del proxy centralizzato è il passo necessario e propedeutico a questo obiettivo: prima di poter chiudere il traffico in uscita è indispensabile disporre di un punto di transito unico e controllato attraverso cui i server interni possano continuare a raggiungere i servizi Internet di cui necessitano operativamente quali, ad esempio aggiornamenti di sistema operativo, aggiornamenti firmware di apparati di gestione remota dei server, download da registry di container, pull di repository software. L'implementazione include misure di hardening del sistema operativo, una politica di accesso basata su whitelist delle sole destinazioni autorizzate, la raccolta dei log di accesso e il loro inoltro verso un sistema centralizzato di raccolta e analisi, garantendo piena visibilità e tracciabilità su tutto il traffico in uscita dall'infrastruttura.| File | Dimensione | Formato | |
|---|---|---|---|
|
b4-02-2026.pdf
solo utenti autorizzati
Descrizione: Implementazione di un punto di uscita unico per il traffico web: architettura e hardening
Licenza:
NON PUBBLICO - Accesso privato/ristretto
Dimensione
675.77 kB
Formato
Adobe PDF
|
675.77 kB | Adobe PDF | Visualizza/Apri Richiedi una copia |
I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
