Intervento presso l'Ordine degli Ingegneri di Pordenone il 4 dicembre 2015

1. I SISTEMI DI
WEB CONTENT FILTERING
Pordenone, 4 dicembre 2015
Mario Marcuzzi
marcuzzi.m@iresfvg.org

2. Content Filtering
 Il Content (information) Filtering si divide in:
 Web Content Filtering
 Mail Content Filtering

3. Definizione
Le soluzioni hardware/software o i servizi che permettono di
controllare (inibire o consentire) l'accesso a risorse web si
identificano come “Web Content Filtering”.

4. Come funzionano?
 I sistemi di Web Content Filtering si basano su una
classificazione dei siti web/indirizzi IP che li etichetta
come appartenenti ad un sottoinsieme di categorie
predefinite.

7. Azienda
Filtro
Famiglia
Ci sono due tipi di approcci:
Web Content Filtering
a livello di dispositivo.
Web Content Filtering
a livello di rete locale.

8. Web Content Filtering a livello di dispositivo
(filtro famiglia)
Filtro
Famiglia

9. Premessa: soluzioni
per rendere più sicura la navigazione
 Search-engine filter
 Implementazione a livello di motore di ricerca. Ad es. Google
“Safe Search”
 Browser-based filter
 Add-on
 Client-side filter
 Microsoft Family (Windows 10)
 K9 Web Filter (Blue Coat)
 Qustodio.

10. Impostazioni
Search-engine filter Google SafeSearch

11. Search-engine filter:
modalità con restrizioni di YouTube

12.  Accedere a Yahoo
 Nella casella di ricerca, inserire un termine da cercare e
cliccare su Cerca
 Nella pagina dei risultati della ricerca, cliccare su
Impostazioni
 Cliccare su Preferenze
Search-engine filter:
Ricerca sicura di Yahoo

13. Browser-based filter

14. Filtro Famiglia : soluzioni software
 Prevenzione da accessi a contenuti inopportuni.
 Prevenzione da malware.
 Logging e Reporting.
 Parental Control.
 Soluzioni gratuite/a pagamento.
 Soluzioni con management locale o in cloud.

15. Come funziona un Filtro Famiglia?
2 - Luca cerca di collegarsi, ad esempio,
a http://www.facebook.com
3 – La richiesta di Luca viene rielaborata dal Server
del "Filtro Famiglia" che "decide" se Luca ha
Richiesto un sito legittimo!
1 – Sul PC di Luca è stato installato
un software "Filtro Famiglia"
4.1 – Se il sito è stato
impostato come
"Legittimo", Luca si
collega
4.2 – Sito bloccato

16. Microsoft presenta: Microsoft Family!
 Windows 10 ha re-ingegnerizzato la tecnologia "Family
Safety" presente nelle precedenti versioni di Windows e
l'ha chiamata "Microsoft Family".
 Compresa nella licenza di Windows 10.
 Management in cloud.

17. Microsoft Family

18. Accedere con le credenziali "genitore" a
https://login.live.com

19. Invitare il bambino

20. Notifica di invio dell'invito

21. Il bambino riceve una mail

22. Il bambino accetta l'invito

23. Il bambino entra a far parte della famiglia

24. È gestibile dall'account "genitore"

25. È possibile verificare le attività recenti

26. È possibile limitare l'accesso web

27. È possibile limitare l'accesso alle App

28. È possibile impostare
il tempo di permanenza al PC

29. È possibile permettergli di effettuare acquisti

30. È possibile geolocalizzarlo (Windows 10 mobile)

31. PC del bambino

32. Sito web non autorizzato

33. Richiesta di autorizzazione

34. Altre soluzioni software per il Filtro
Famiglia/Parental Control

35. Blue Coat presenta: K9 Web Protection
 K9 Web Protection è un software realizzato da Blue Coat
Systems, Inc.
 Si tratta di un filtro web gratuito con funzioni di Parental
Control.
 Management locale.
 Disponibile per Windows per Mac OS. Download da:
www.k9webprotection.com.

36. Vantaggi di K9 Web Protection
 Blue Coat gestisce un database con oltre 55 categorie.
 Se un utente si collega ad un sito web corrispondente ad
una categoria inibita, il sistema lo blocca attraverso una
pagina di avviso.
 Se ci si collega ad un sito che il database non ha "visto
prima", il sistema effettua una rilevazione in tempo reale
della pagina (DRTR - Dynamic Real-Time Rating) e decide
se ammettere la richiesta.

37. Caratteristiche di K9 Web Protection
 Permette di forzare il SafeSearch nei maggiori motori di
ricerca.
 Permette di impostare restrizioni in base all'orario.
 Consente di configurare white e black list personalizzate.
 Genera report per monitorare e controllare l'attività web.
 Categorizzazione real-time.

38. http://127.0.0.1:2372
Gestione di K9 Web Protection

40. Report generati da K9 Web Protection

41. Filtro Famiglia: Qustodio
 www.qustodio.com
 La sua qualità maggiore è la disponibilità gratuita su tutti
i sistemi operativi, anche mobili (Windows, iOS, Kindle,
Mac OS X, Android).
 E' gratuito per le funzioni fondamentali.
 Management in cloud.

42. Panoramica attività

43. Navigazione

44. Impostazioni – Regole Web

45. Impostazioni – SMS

46. Web Content Filtering a livello di rete locale
(scenario aziendale)
Azienda

47. Vantaggi del Web Content Filtering in azienda
 Un consolidamento delle strategie di sicurezza
informatica (contro malware che sfrutta la porta 80). 40K
nuove minacce/giorno. Esempi: Conficker e Cryptolocker.
 Disciplina di utilizzo della “risorsa Internet” (come accade
per altri asset). Monitoraggio dell'utilizzo di Internet
all'interno della struttura.
 Prevenzione da accessi a contenuti inopportuni per
l'utente Esempio: laboratorio didattico/aula informatica.

48. Le criticità
 Il web si modifica continuamente: allo stato dell'arte non
è immaginabile un web content filtering efficace al 100%.
 Alcune soluzioni garantiscono una buona affidabilità, ma
sono costose (subscription fee).
 Possibilità di falsi positivi.

49. L'approccio basato sulla gestione del DNS
 DNS = Domain Name System
 È l'elenco telefonico di Internet
 Gli utenti utilizzano nomi. La rete comprende indirizzi.
 I DNS "traducono" i nomi in indirizzi.

50. Come funziona un DNS?

52. Utilizzare DNS diversi da quelli assegnati…
 DNS di Google:
 8.8.8.8
 8.8.4.4
 DNS di OpenDNS Family Shield:
 208.67.222.123
 208.67.220.123
 DNS di OpenDNS Home:
 208.67.222.222
 208.67.220.220

53. OpenDNS
 14 datacenter nel mondo
 Mezzo milione di query al secondo!

54. Perché OpenDNS?
 Rendere la connessione più veloce ed affidabile.
 Realizzare un sistema di Web Content Filtering.
 Proteggere gli utenti da siti web contraffatti.
 Proteggere qualsiasi dispositivo (basta modificare i
DNS).
 www.opendns.com

55. OpenDNS: le soluzioni

57. OpenDNS Family Shield

58. OpenDNS Family Shield

59. OpenDNS Family Shield

60. Protezione da malware

61. OpenDNS Home
 I DNS da utilizzare sono diversi da quelli della versione
Family Shield!
 Rispetto alla versione Family Shield viene richiesta una
registrazione on-line.
 Una volta registrati, è possibile personalizzare le
impostazioni di Web Content Filtering (vedi slide seguenti).
 Inoltre è possibile ottenere reportistica di utilizzo (vedi
slide seguenti).

62. OpenDNS Home

66. Content Filtering integrati in Firewall perimetrali

68. Firewall perimetrali
 Diverse soluzioni presenti sul mercato.
 La soluzione si compone di una parte hardware (firewall
appliance) e di un servizio soggetto ad un costo annuale.
 Le richieste web vengono esaminate dal firewall – che si
interfaccia ad un database mantenuto dal fornitore o da
terze parti – ed accolte o rifiutate.
 Le politiche sono configurate a livello di firewall.
 E' da valutare: i costi, l'affidabilità e la granularità di
configurazione.

69. Soluzioni di Web Content Filtering integrate in
firewall

70. Pagina web di configurazione (1)

71. Pagina web di configurazione (2)

72. Politiche configurabili

73. Per intervalli di giornata

74. Utenti che bypassano il filtro

75. Web Content Filtering
Soluzioni Open Source

76. Il caso di Squid e squidGuard
Contesto di riferimento: rete locale con accesso ad Internet.

77. Squid
 Proxy Server open source (GPLv2)
 Riduce l'utilizzo della banda
 Migliora il tempo di risposta attraverso il caching
 Access control
 Authorization
 Logging

78. squidGuard
 Plugin per Squid che permette di attivare un servizio di
Web Content Filtering
 URL redirector
 Licenza GPLv2
 Flessibile ed efficiente
 Semplice da installare
 Versione attuale: 1.4 (beta 1.5)

79. Squid
2 3
4
5
squidGuard
Verifica pagina Pagina ammessa
1 Richiesta pagina
Squid
2
3
5
squidGuard
Verifica pagina Pagina non ammessa
1 Richiesta pagina
6

80. Installare squidGuard
# tar zxvf squidGuard-1.4.tar.gz
# ./configure
# make
# sudo make install

81. Configurare Squid per squidGuard
## vi squid.conf
...
redirect_program /usr/local/bin/squidGuard -c
/usr/local/squid/squidGuard.conf
...
# squid -k reconfigure

82. Configurare squidGuard
#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/logs
dest adv {
domainlist adv/domains
urllist adv/urls
}
dest porn {
domainlist porn/domains
urllist porn/urls
}
dest warez {
domainlist warez/domains
urllist warez/urls
}
acl {
default {
pass !adv !porn !warez all
redirect http://localhost/block.html
}
}
SquidGuard.conf

83. Blacklist per squidGuard
 Le blacklist sono il cuore di ogni sistema di Web Content
Filtering!
 E' possibile scegliere tra diverse distribuzioni di blacklist,
commerciali e non, o utilizzare le proprie (oppure una
combinazione delle due).
 squidGuard viene fornito con una modesta blacklist,
utilizzabile come test.

84. Blacklist per squidGuard
 Shalla's Blacklists: gratuite per utilizzo non commerciale.
 Oltre 1,5 milioni di record; aggiornate regolarmente.
 http://www.shallalist.de/
 Blacklist Université Toulouse (UT1)
 Diverse categorie mantenute da Fabrice Prigent. Aggiornate con
regolarità. Licenza CC.
 http://dsi.ut-capitole.fr/blacklists/index_en.php

85. Esempio di script che aggiorna le blacklist
#!/bin/sh
blacklisturl=ftp://ftp.univ-tlse1.fr/pub/reseau/cache/
squidguard_contrib/blacklists.tar.gz
blacklistfile=blacklists.tar.gz
blacklistdir=/var/db
echo "Download from $blacklisturl"
fetch -q -o /tmp/$blacklistfile $blacklisturl
if [ -r $gzdir/$rules ]; then
echo "Update the database"
cd $blacklistdir
tar zxvf /tmp/$blacklistfile 2>&1 > /dev/null
chown -R www:www blacklists
cd -
echo "Restart Squid"
squid -k reconfigure
echo "Done..."
exit
fi

86. Ed i report?
 SARG – Squid Analysis Report Generator (GPLv2)

87. Se tutto questo è
troppo “macchinoso”...

88.  IPCop è una distribuzione Linux completa il cui obiettivo è
di proteggere le reti in cui è installato.
 E' – prima di tutto – un firewall. Fork di SmoothWall.
 Comprende Squid + squidGuard.
 Blacklist selezionabili.
 Licenza GNU GPL.

89. Installazione

90. Gestione di IPCop
 Configurazione del network (LAN, WAN, eventuali DMZ).
 Una volta installato, si gestisce via Web.
 Avvio dei servizi...

91. Avvio della connessione

92. Avvio del servizio Proxy

93. Avvio del Web Content Filtering

94. Scelta delle liste

95. Per concludere
 Il Web Content Filtering non è un “costo”, ma un “presidio”.
 Non è uno strumento per “impedire”, ma prima di tutto uno
strumento per incrementare la sicurezza dell'infrastruttura
e per verificare l'utilizzo della porta 80.
 Diverse soluzioni Open Source disponibili.

96. Sitografia
 http://squid-cache.org
 http://squidguard.org
 Http://dansguardian.org
 http://www.opendns.org
 http://dsi.ut-capitole.fr/blacklists/
 http://www.shallist.de
 http://squidguard.masd.k12.or.us
 http://www.ipcop.org
 http://www.ipfire.org

97. Sitografia
 http://www.ilfiltro.it
 http://www.sonicwall.com
 http://www.bluecoat.com