i sistemi di web content filtering

I SISTEMI DI
WEB CONTENT FILTERING
Pordenone, 4 dicembre 2015
Mario Marcuzzi
[email protected]
Content Filtering

Il Content (information) Filtering si divide in:


Web Content Filtering
Mail Content Filtering
Definizione
Le soluzioni hardware/software o i servizi che permettono di
controllare (inibire o consentire) l'accesso a risorse web si
identificano come “Web Content Filtering”.
Come funzionano?

I sistemi di Web Content Filtering si basano su una
classificazione dei siti web/indirizzi IP che li etichetta
come appartenenti ad un sottoinsieme di categorie
predefinite.
Ci sono due tipi di approcci:
Web Content Filtering
a livello di dispositivo.
Web Content Filtering
a livello di rete locale.
Filtro
Famiglia
Azienda
Web Content Filtering a livello di dispositivo
(filtro famiglia)
Filtro
Famiglia
Premessa: soluzioni
per rendere più sicura la navigazione

Search-engine filter


Browser-based filter


Implementazione a livello di motore di ricerca. Ad es. Google
“Safe Search”
Add-on
Client-side filter



Microsoft Family (Windows 10)
K9 Web Filter (Blue Coat)
Qustodio.
Search-engine filter Google SafeSearch
Impostazioni
Search-engine filter:
modalità con restrizioni di YouTube
Search-engine filter:
Ricerca sicura di Yahoo




Accedere a Yahoo
Nella casella di ricerca, inserire un termine da cercare e
cliccare su Cerca
Nella pagina dei risultati della ricerca, cliccare su
Impostazioni
Cliccare su Preferenze
Browser-based filter
Filtro Famiglia : soluzioni software






Prevenzione da accessi a contenuti inopportuni.
Prevenzione da malware.
Logging e Reporting.
Parental Control.
Soluzioni gratuite/a pagamento.
Soluzioni con management locale o in cloud.
Come funziona un Filtro Famiglia?
3 – La richiesta di Luca viene rielaborata dal Server
del "Filtro Famiglia" che "decide" se Luca ha
Richiesto un sito legittimo!
1 – Sul PC di Luca è stato installato
un software "Filtro Famiglia"
2 - Luca cerca di collegarsi, ad esempio,
a http://www.facebook.com
4.1 – Se il sito è stato
impostato come
"Legittimo", Luca si
collega
4.2 – Sito bloccato
Microsoft presenta: Microsoft Family!



Windows 10 ha re-ingegnerizzato la tecnologia "Family
Safety" presente nelle precedenti versioni di Windows e
l'ha chiamata "Microsoft Family".
Compresa nella licenza di Windows 10.
Management in cloud.
Microsoft Family
Accedere con le credenziali "genitore" a
https://login.live.com
Invitare il bambino
Notifica di invio dell'invito
Il bambino riceve una mail
Il bambino accetta l'invito
Il bambino entra a far parte della famiglia
È gestibile dall'account "genitore"
È possibile verificare le attività recenti
È possibile limitare l'accesso web
È possibile limitare l'accesso alle App
È possibile impostare
il tempo di permanenza al PC
È possibile permettergli di effettuare acquisti
È possibile geolocalizzarlo (Windows 10 mobile)
PC del bambino
Sito web non autorizzato
Richiesta di autorizzazione
Altre soluzioni software per il Filtro
Famiglia/Parental Control
Blue Coat presenta: K9 Web Protection




K9 Web Protection è un software realizzato da Blue Coat
Systems, Inc.
Si tratta di un filtro web gratuito con funzioni di Parental
Control.
Management locale.
Disponibile per Windows per Mac OS. Download da:
www.k9webprotection.com.
Vantaggi di K9 Web Protection



Blue Coat gestisce un database con oltre 55 categorie.
Se un utente si collega ad un sito web corrispondente ad
una categoria inibita, il sistema lo blocca attraverso una
pagina di avviso.
Se ci si collega ad un sito che il database non ha "visto
prima", il sistema effettua una rilevazione in tempo reale
della pagina (DRTR - Dynamic Real-Time Rating) e decide
se ammettere la richiesta.
Caratteristiche di K9 Web Protection





Permette di forzare il SafeSearch nei maggiori motori di
ricerca.
Permette di impostare restrizioni in base all'orario.
Consente di configurare white e black list personalizzate.
Genera report per monitorare e controllare l'attività web.
Categorizzazione real-time.
Gestione di K9 Web Protection
http://127.0.0.1:2372
Report generati da K9 Web Protection
Filtro Famiglia: Qustodio




www.qustodio.com
La sua qualità maggiore è la disponibilità gratuita su tutti
i sistemi operativi, anche mobili (Windows, iOS, Kindle,
Mac OS X, Android).
E' gratuito per le funzioni fondamentali.
Management in cloud.
Panoramica attività
Navigazione
Impostazioni – Regole Web
Impostazioni – SMS
Web Content Filtering a livello di rete locale
(scenario aziendale)
Azienda
Vantaggi del Web Content Filtering in azienda



Un consolidamento delle strategie di sicurezza
informatica (contro malware che sfrutta la porta 80). 40K
nuove minacce/giorno. Esempi: Conficker e Cryptolocker.
Disciplina di utilizzo della “risorsa Internet” (come accade
per altri asset). Monitoraggio dell'utilizzo di Internet
all'interno della struttura.
Prevenzione da accessi a contenuti inopportuni per
l'utente Esempio: laboratorio didattico/aula informatica.
Le criticità



Il web si modifica continuamente: allo stato dell'arte non
è immaginabile un web content filtering efficace al 100%.
Alcune soluzioni garantiscono una buona affidabilità, ma
sono costose (subscription fee).
Possibilità di falsi positivi.
L'approccio basato sulla gestione del DNS




DNS = Domain Name System
È l'elenco telefonico di Internet
Gli utenti utilizzano nomi. La rete comprende indirizzi.
I DNS "traducono" i nomi in indirizzi.
Come funziona un DNS?
Utilizzare DNS diversi da quelli assegnati…

DNS di Google:



DNS di OpenDNS Family Shield:



8.8.8.8
8.8.4.4
208.67.222.123
208.67.220.123
DNS di OpenDNS Home:


208.67.222.222
208.67.220.220
OpenDNS


14 datacenter nel mondo
Mezzo milione di query al secondo!
Perché OpenDNS?





Rendere la connessione più veloce ed affidabile.
Realizzare un sistema di Web Content Filtering.
Proteggere gli utenti da siti web contraffatti.
Proteggere qualsiasi dispositivo (basta modificare i
DNS).
www.opendns.com
OpenDNS: le soluzioni
OpenDNS Family Shield
OpenDNS Family Shield
OpenDNS Family Shield
Protezione da malware
OpenDNS Home




I DNS da utilizzare sono diversi da quelli della versione
Family Shield!
Rispetto alla versione Family Shield viene richiesta una
registrazione on-line.
Una volta registrati, è possibile personalizzare le
impostazioni di Web Content Filtering (vedi slide seguenti).
Inoltre è possibile ottenere reportistica di utilizzo (vedi
slide seguenti).
OpenDNS Home
Content Filtering integrati in Firewall perimetrali
Firewall perimetrali





Diverse soluzioni presenti sul mercato.
La soluzione si compone di una parte hardware (firewall
appliance) e di un servizio soggetto ad un costo annuale.
Le richieste web vengono esaminate dal firewall – che si
interfaccia ad un database mantenuto dal fornitore o da
terze parti – ed accolte o rifiutate.
Le politiche sono configurate a livello di firewall.
E' da valutare: i costi, l'affidabilità e la granularità di
configurazione.
Soluzioni di Web Content Filtering integrate in
firewall
Pagina web di configurazione (1)
Pagina web di configurazione (2)
Politiche configurabili
Per intervalli di giornata
Utenti che bypassano il filtro
Web Content Filtering
Soluzioni Open Source
Il caso di Squid e squidGuard
Contesto di riferimento: rete locale con accesso ad Internet.
Squid






Proxy Server open source (GPLv2)
Riduce l'utilizzo della banda
Migliora il tempo di risposta attraverso il caching
Access control
Authorization
Logging
squidGuard






Plugin per Squid che permette di attivare un servizio di
Web Content Filtering
URL redirector
Licenza GPLv2
Flessibile ed efficiente
Semplice da installare
Versione attuale: 1.4 (beta 1.5)
Squid
1 Richiesta pagina
4
5
6
2 Verifica pagina
3 Pagina ammessa
squidGuard
Squid
1 Richiesta pagina
5
2 Verifica pagina
3 Pagina non ammessa
squidGuard
Installare squidGuard
#
#
#
#
tar zxvf squidGuard-1.4.tar.gz
./configure
make
sudo make install
Configurare Squid per squidGuard
## vi squid.conf
...
redirect_program /usr/local/bin/squidGuard -c
/usr/local/squid/squidGuard.conf
...
# squid -k reconfigure
Configurare squidGuard
SquidGuard.conf
#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/logs
dest adv {
domainlist
urllist
}
dest porn {
domainlist
urllist
}
dest warez {
domainlist
urllist
}
acl {
}
adv/domains
adv/urls
porn/domains
porn/urls
warez/domains
warez/urls
default {
pass
!adv !porn !warez all
redirect http://localhost/block.html
}
Blacklist per squidGuard



Le blacklist sono il cuore di ogni sistema di Web Content
Filtering!
E' possibile scegliere tra diverse distribuzioni di blacklist,
commerciali e non, o utilizzare le proprie (oppure una
combinazione delle due).
squidGuard viene fornito con una modesta blacklist,
utilizzabile come test.
Blacklist per squidGuard

Shalla's Blacklists: gratuite per utilizzo non commerciale.



Oltre 1,5 milioni di record; aggiornate regolarmente.
http://www.shallalist.de/
Blacklist Université Toulouse (UT1)


Diverse categorie mantenute da Fabrice Prigent. Aggiornate con
regolarità. Licenza CC.
http://dsi.ut-capitole.fr/blacklists/index_en.php
Esempio di script che aggiorna le blacklist
#!/bin/sh
blacklisturl=ftp://ftp.univ-tlse1.fr/pub/reseau/cache/
squidguard_contrib/blacklists.tar.gz
blacklistfile=blacklists.tar.gz
blacklistdir=/var/db
echo "Download from $blacklisturl"
fetch -q -o /tmp/$blacklistfile $blacklisturl
if [ -r $gzdir/$rules ]; then
echo "Update the database"
cd $blacklistdir
tar zxvf /tmp/$blacklistfile 2>&1 > /dev/null
chown -R www:www blacklists
cd echo "Restart Squid"
squid -k reconfigure
echo "Done..."
exit
fi
Ed i report?

SARG – Squid Analysis Report Generator (GPLv2)
Se tutto questo è
troppo “macchinoso”...

IPCop è una distribuzione Linux completa il cui obiettivo è
di proteggere le reti in cui è installato.

E' – prima di tutto – un firewall. Fork di SmoothWall.

Comprende Squid + squidGuard.

Blacklist selezionabili.

Licenza GNU GPL.
Installazione
Gestione di IPCop



Configurazione del network (LAN, WAN, eventuali DMZ).
Una volta installato, si gestisce via Web.
Avvio dei servizi...
Avvio della connessione
Avvio del servizio Proxy
Avvio del Web Content Filtering
Scelta delle liste
Per concludere



Il Web Content Filtering non è un “costo”, ma un “presidio”.
Non è uno strumento per “impedire”, ma prima di tutto uno
strumento per incrementare la sicurezza dell'infrastruttura
e per verificare l'utilizzo della porta 80.
Diverse soluzioni Open Source disponibili.
Sitografia









http://squid-cache.org
http://squidguard.org
Http://dansguardian.org
http://www.opendns.org
http://dsi.ut-capitole.fr/blacklists/
http://www.shallist.de
http://squidguard.masd.k12.or.us
http://www.ipcop.org
http://www.ipfire.org
Sitografia



http://www.ilfiltro.it
http://www.sonicwall.com
http://www.bluecoat.com