i sistemi di web content filtering
Transcript
i sistemi di web content filtering
I SISTEMI DI WEB CONTENT FILTERING Pordenone, 4 dicembre 2015 Mario Marcuzzi [email protected] Content Filtering Il Content (information) Filtering si divide in: Web Content Filtering Mail Content Filtering Definizione Le soluzioni hardware/software o i servizi che permettono di controllare (inibire o consentire) l'accesso a risorse web si identificano come “Web Content Filtering”. Come funzionano? I sistemi di Web Content Filtering si basano su una classificazione dei siti web/indirizzi IP che li etichetta come appartenenti ad un sottoinsieme di categorie predefinite. Ci sono due tipi di approcci: Web Content Filtering a livello di dispositivo. Web Content Filtering a livello di rete locale. Filtro Famiglia Azienda Web Content Filtering a livello di dispositivo (filtro famiglia) Filtro Famiglia Premessa: soluzioni per rendere più sicura la navigazione Search-engine filter Browser-based filter Implementazione a livello di motore di ricerca. Ad es. Google “Safe Search” Add-on Client-side filter Microsoft Family (Windows 10) K9 Web Filter (Blue Coat) Qustodio. Search-engine filter Google SafeSearch Impostazioni Search-engine filter: modalità con restrizioni di YouTube Search-engine filter: Ricerca sicura di Yahoo Accedere a Yahoo Nella casella di ricerca, inserire un termine da cercare e cliccare su Cerca Nella pagina dei risultati della ricerca, cliccare su Impostazioni Cliccare su Preferenze Browser-based filter Filtro Famiglia : soluzioni software Prevenzione da accessi a contenuti inopportuni. Prevenzione da malware. Logging e Reporting. Parental Control. Soluzioni gratuite/a pagamento. Soluzioni con management locale o in cloud. Come funziona un Filtro Famiglia? 3 – La richiesta di Luca viene rielaborata dal Server del "Filtro Famiglia" che "decide" se Luca ha Richiesto un sito legittimo! 1 – Sul PC di Luca è stato installato un software "Filtro Famiglia" 2 - Luca cerca di collegarsi, ad esempio, a http://www.facebook.com 4.1 – Se il sito è stato impostato come "Legittimo", Luca si collega 4.2 – Sito bloccato Microsoft presenta: Microsoft Family! Windows 10 ha re-ingegnerizzato la tecnologia "Family Safety" presente nelle precedenti versioni di Windows e l'ha chiamata "Microsoft Family". Compresa nella licenza di Windows 10. Management in cloud. Microsoft Family Accedere con le credenziali "genitore" a https://login.live.com Invitare il bambino Notifica di invio dell'invito Il bambino riceve una mail Il bambino accetta l'invito Il bambino entra a far parte della famiglia È gestibile dall'account "genitore" È possibile verificare le attività recenti È possibile limitare l'accesso web È possibile limitare l'accesso alle App È possibile impostare il tempo di permanenza al PC È possibile permettergli di effettuare acquisti È possibile geolocalizzarlo (Windows 10 mobile) PC del bambino Sito web non autorizzato Richiesta di autorizzazione Altre soluzioni software per il Filtro Famiglia/Parental Control Blue Coat presenta: K9 Web Protection K9 Web Protection è un software realizzato da Blue Coat Systems, Inc. Si tratta di un filtro web gratuito con funzioni di Parental Control. Management locale. Disponibile per Windows per Mac OS. Download da: www.k9webprotection.com. Vantaggi di K9 Web Protection Blue Coat gestisce un database con oltre 55 categorie. Se un utente si collega ad un sito web corrispondente ad una categoria inibita, il sistema lo blocca attraverso una pagina di avviso. Se ci si collega ad un sito che il database non ha "visto prima", il sistema effettua una rilevazione in tempo reale della pagina (DRTR - Dynamic Real-Time Rating) e decide se ammettere la richiesta. Caratteristiche di K9 Web Protection Permette di forzare il SafeSearch nei maggiori motori di ricerca. Permette di impostare restrizioni in base all'orario. Consente di configurare white e black list personalizzate. Genera report per monitorare e controllare l'attività web. Categorizzazione real-time. Gestione di K9 Web Protection http://127.0.0.1:2372 Report generati da K9 Web Protection Filtro Famiglia: Qustodio www.qustodio.com La sua qualità maggiore è la disponibilità gratuita su tutti i sistemi operativi, anche mobili (Windows, iOS, Kindle, Mac OS X, Android). E' gratuito per le funzioni fondamentali. Management in cloud. Panoramica attività Navigazione Impostazioni – Regole Web Impostazioni – SMS Web Content Filtering a livello di rete locale (scenario aziendale) Azienda Vantaggi del Web Content Filtering in azienda Un consolidamento delle strategie di sicurezza informatica (contro malware che sfrutta la porta 80). 40K nuove minacce/giorno. Esempi: Conficker e Cryptolocker. Disciplina di utilizzo della “risorsa Internet” (come accade per altri asset). Monitoraggio dell'utilizzo di Internet all'interno della struttura. Prevenzione da accessi a contenuti inopportuni per l'utente Esempio: laboratorio didattico/aula informatica. Le criticità Il web si modifica continuamente: allo stato dell'arte non è immaginabile un web content filtering efficace al 100%. Alcune soluzioni garantiscono una buona affidabilità, ma sono costose (subscription fee). Possibilità di falsi positivi. L'approccio basato sulla gestione del DNS DNS = Domain Name System È l'elenco telefonico di Internet Gli utenti utilizzano nomi. La rete comprende indirizzi. I DNS "traducono" i nomi in indirizzi. Come funziona un DNS? Utilizzare DNS diversi da quelli assegnati… DNS di Google: DNS di OpenDNS Family Shield: 8.8.8.8 8.8.4.4 208.67.222.123 208.67.220.123 DNS di OpenDNS Home: 208.67.222.222 208.67.220.220 OpenDNS 14 datacenter nel mondo Mezzo milione di query al secondo! Perché OpenDNS? Rendere la connessione più veloce ed affidabile. Realizzare un sistema di Web Content Filtering. Proteggere gli utenti da siti web contraffatti. Proteggere qualsiasi dispositivo (basta modificare i DNS). www.opendns.com OpenDNS: le soluzioni OpenDNS Family Shield OpenDNS Family Shield OpenDNS Family Shield Protezione da malware OpenDNS Home I DNS da utilizzare sono diversi da quelli della versione Family Shield! Rispetto alla versione Family Shield viene richiesta una registrazione on-line. Una volta registrati, è possibile personalizzare le impostazioni di Web Content Filtering (vedi slide seguenti). Inoltre è possibile ottenere reportistica di utilizzo (vedi slide seguenti). OpenDNS Home Content Filtering integrati in Firewall perimetrali Firewall perimetrali Diverse soluzioni presenti sul mercato. La soluzione si compone di una parte hardware (firewall appliance) e di un servizio soggetto ad un costo annuale. Le richieste web vengono esaminate dal firewall – che si interfaccia ad un database mantenuto dal fornitore o da terze parti – ed accolte o rifiutate. Le politiche sono configurate a livello di firewall. E' da valutare: i costi, l'affidabilità e la granularità di configurazione. Soluzioni di Web Content Filtering integrate in firewall Pagina web di configurazione (1) Pagina web di configurazione (2) Politiche configurabili Per intervalli di giornata Utenti che bypassano il filtro Web Content Filtering Soluzioni Open Source Il caso di Squid e squidGuard Contesto di riferimento: rete locale con accesso ad Internet. Squid Proxy Server open source (GPLv2) Riduce l'utilizzo della banda Migliora il tempo di risposta attraverso il caching Access control Authorization Logging squidGuard Plugin per Squid che permette di attivare un servizio di Web Content Filtering URL redirector Licenza GPLv2 Flessibile ed efficiente Semplice da installare Versione attuale: 1.4 (beta 1.5) Squid 1 Richiesta pagina 4 5 6 2 Verifica pagina 3 Pagina ammessa squidGuard Squid 1 Richiesta pagina 5 2 Verifica pagina 3 Pagina non ammessa squidGuard Installare squidGuard # # # # tar zxvf squidGuard-1.4.tar.gz ./configure make sudo make install Configurare Squid per squidGuard ## vi squid.conf ... redirect_program /usr/local/bin/squidGuard -c /usr/local/squid/squidGuard.conf ... # squid -k reconfigure Configurare squidGuard SquidGuard.conf # # CONFIG FILE FOR SQUIDGUARD # dbhome /usr/local/squidGuard/db logdir /usr/local/squidGuard/logs dest adv { domainlist urllist } dest porn { domainlist urllist } dest warez { domainlist urllist } acl { } adv/domains adv/urls porn/domains porn/urls warez/domains warez/urls default { pass !adv !porn !warez all redirect http://localhost/block.html } Blacklist per squidGuard Le blacklist sono il cuore di ogni sistema di Web Content Filtering! E' possibile scegliere tra diverse distribuzioni di blacklist, commerciali e non, o utilizzare le proprie (oppure una combinazione delle due). squidGuard viene fornito con una modesta blacklist, utilizzabile come test. Blacklist per squidGuard Shalla's Blacklists: gratuite per utilizzo non commerciale. Oltre 1,5 milioni di record; aggiornate regolarmente. http://www.shallalist.de/ Blacklist Université Toulouse (UT1) Diverse categorie mantenute da Fabrice Prigent. Aggiornate con regolarità. Licenza CC. http://dsi.ut-capitole.fr/blacklists/index_en.php Esempio di script che aggiorna le blacklist #!/bin/sh blacklisturl=ftp://ftp.univ-tlse1.fr/pub/reseau/cache/ squidguard_contrib/blacklists.tar.gz blacklistfile=blacklists.tar.gz blacklistdir=/var/db echo "Download from $blacklisturl" fetch -q -o /tmp/$blacklistfile $blacklisturl if [ -r $gzdir/$rules ]; then echo "Update the database" cd $blacklistdir tar zxvf /tmp/$blacklistfile 2>&1 > /dev/null chown -R www:www blacklists cd echo "Restart Squid" squid -k reconfigure echo "Done..." exit fi Ed i report? SARG – Squid Analysis Report Generator (GPLv2) Se tutto questo è troppo “macchinoso”... IPCop è una distribuzione Linux completa il cui obiettivo è di proteggere le reti in cui è installato. E' – prima di tutto – un firewall. Fork di SmoothWall. Comprende Squid + squidGuard. Blacklist selezionabili. Licenza GNU GPL. Installazione Gestione di IPCop Configurazione del network (LAN, WAN, eventuali DMZ). Una volta installato, si gestisce via Web. Avvio dei servizi... Avvio della connessione Avvio del servizio Proxy Avvio del Web Content Filtering Scelta delle liste Per concludere Il Web Content Filtering non è un “costo”, ma un “presidio”. Non è uno strumento per “impedire”, ma prima di tutto uno strumento per incrementare la sicurezza dell'infrastruttura e per verificare l'utilizzo della porta 80. Diverse soluzioni Open Source disponibili. Sitografia http://squid-cache.org http://squidguard.org Http://dansguardian.org http://www.opendns.org http://dsi.ut-capitole.fr/blacklists/ http://www.shallist.de http://squidguard.masd.k12.or.us http://www.ipcop.org http://www.ipfire.org Sitografia http://www.ilfiltro.it http://www.sonicwall.com http://www.bluecoat.com