SlideShare a Scribd company logo

Web Content Filtering

M
mmarcuzzi

Le soluzioni Open Source di Web Content Filtering

Internet
1 of 34
Download to read offline
WEB CONTENT FILTERING: SOLUZIONI OPEN SOURCE PER IL CONTROLLO DELLA NAVIGAZIONE Mario Marcuzzi IRES FVG Impresa sociale marcuzzi.m@iresfvg.org
Mi presento... ● Mi chiamo Mario Marcuzzi. ● Sono laureato in Scienze dell'Informazione. ● Ho collaborato con diverse aziende operanti nei settori del networking e della sicurezza informatica. ● Lavoro presso l'ufficio informatico dell'IRES FVG. ● Mi interesso di soluzioni che consentano di rendere il web - e più in generale Internet - un “territorio accogliente” anche per chi non è un esperto informatico (ad esempio i bambini).
Content Filtering ● Il Content (information) Filtering si divide in: ● Web Content Filtering ● Mail Content Filtering
Web Content Filtering Le soluzioni hardware/software o i servizi che permettono di controllare (inibire o consentire) l'accesso a risorse web si identificano come “Web Content Filtering”.
Perchè il Web Content Filtering ● Vantaggi del Web Content Filtering: ● Un consolidamento delle strategie di sicurezza informatica (contro malware che sfrutta la porta 80). 40K nuove minacce/giorno. Esempi: Conficker e Cryptolocker. ● Disciplina di utilizzo della “risorsa Internet” (come accade per altri asset). Monitoraggio dell'utilizzo di Internet all'interno della struttura. ● Prevenzione da accessi a contenuti inopportuni per l'utente Esempio: laboratorio didattico/aula informatica.
Ed inoltre: ● Possibiltà di differenziare i livelli di accesso al web (ad esempio per utente/workstation o per orario). ● Possibilità generare report e statistiche sull'utilizzo della porta 80.
Come funzionano? ● I sistemi di Web Content Filtering si basano su una classificazione dei siti web/indirizzi IP che li etichetta come appartenenti ad un sottoinsieme di categorie predefinite. ● Alcuni sistemi integrano un'analisi euristica e deep- packet-inspection delle pagine web.
Le criticità ● Il web si modifica continuamente: allo stato dell'arte non è immaginabile un web content filtering efficace al 100%. ● Alcune soluzioni garantiscono una buona affidabilità, ma sono costose (subscription fee). ● Possibilità di falsi positivi.
Gli approcci ● Search-engine filter ● Implementazione a livello di motore di ricerca. Ad es. Google “Safe Search”. ● Browser-based filter/client-side filter ● Antimalware ● K9 Web Filter (Blue Coat). ● Open DNS. ● Qustodio. ● Network-based filter ● Implementazione a livello perimetrale. ● Proxy e Firewall.
Nel mondo Open Source: ● Soluzioni Open Source integrate a proxy o firewall. ● Esamineremo alcuni casi: ● Squid con Dansguradian o squidGuard. ● IPFire. ● IPCop.
I vantaggi dell'Open Source ● La filosofia open source: ● Collaborare con la comunità degli sviluppatori. ● Essere completamente liberi e indipendenti di operare sullo strumento. ● Stop ai costi di subscription. ● Non vi è la necessità di hardware particolarmente impegnativo.
Il caso di Squid e squidGuard Contesto di riferimento: rete locale con accesso ad Internet.
Squid ● Proxy Server open source (GPLv2) ● Riduce l'utilizzo della banda ● Migliora il tempo di risposta attraverso il caching ● Access control ● Authorization ● Logging
squidGuard ● Plugin per Squid che permette di attivare un servizio di Web Content Filtering ● URL redirector ● Licenza GPLv2 ● Flessibile ed efficiente ● Semplice da installare ● Versione attuale: 1.4 (beta 1.5)
Squid 2 3 4 5 squidGuard Verifica pagina Pagina ammessa 1 Richiesta pagina Squid 2 3 5 squidGuard Verifica pagina Pagina non ammessa 1 Richiesta pagina 6
Installare squidGuard # tar zxvf squidGuard-1.4.tar.gz # ./configure # make # sudo make install
Configurare Squid per squidGuard ## vi squid.conf ... redirect_program /usr/local/bin/squidGuard -c /usr/local/squid/squidGuard.conf ... # squid -k reconfigure
Configurare squidGuard # # CONFIG FILE FOR SQUIDGUARD # dbhome /usr/local/squidGuard/db logdir /usr/local/squidGuard/logs dest adv { domainlist adv/domains urllist adv/urls } dest porn { domainlist porn/domains urllist porn/urls } dest warez { domainlist warez/domains urllist warez/urls } acl { default { pass !adv !porn !warez all redirect http://localhost/block.html } } SquidGuard.conf
Blacklist per squidGuard ● Le blacklist sono il cuore di ogni sistema di Web Content Filtering! ● E' possibile scegliere tra diverse distribuzioni di blacklist, commerciali e non, o utilizzare le proprie (oppure una combinazione delle due). ● squidGuard viene fornito con una modesta blacklist, utilizzabile come test.
Blacklist per squidGuard ● Shalla's Blacklists: gratuite per utilizzo non commerciale. ● Oltre 1,5 milioni di record; aggiornate regolarmente. ● http://www.shallalist.de/ ● Blacklist Université Toulouse (UT1) ● Diverse categorie mantenute da Fabrice Prigent. Aggiornate con regolarità. Licenza CC. ● http://dsi.ut-capitole.fr/blacklists/index_en.php
Esempio di script che aggiorna le blacklist #!/bin/sh blacklisturl=ftp://ftp.univ-tlse1.fr/pub/reseau/cache/ squidguard_contrib/blacklists.tar.gz blacklistfile=blacklists.tar.gz blacklistdir=/var/db echo "Download from $blacklisturl" fetch -q -o /tmp/$blacklistfile $blacklisturl if [ -r $gzdir/$rules ]; then echo "Update the database" cd $blacklistdir tar zxvf /tmp/$blacklistfile 2>&1 > /dev/null chown -R www:www blacklists cd - echo "Restart Squid" squid -k reconfigure echo "Done..." exit fi
Ed i report? ● SARG – Squid Analysis Report Generator (GPLv2)
Se tutto questo è troppo “macchinoso”...
● IPCop è una distribuzione Linux completa il cui obiettivo è di proteggere le reti in cui è installato. ● E' – prima di tutto – un firewall. Fork di SmoothWall. ● Comprende Squid + squidGuard. ● Blacklist selezionabili. ● Licenza GNU GPL.
Installazione
Gestione di IPCop ● Configurazione del network (LAN, WAN, eventuali DMZ). ● Una volta installato, si gestisce via Web. ● Avvio dei servizi...
Avvio della connessione
Avvio del servizio Proxy
Avvio del Web Content Filtering
Scelta delle liste
Per concludere ● Il Web Content Filtering non è un “costo”, ma un “presidio”. ● Non è uno strumento per “impedire”, ma prima di tutto uno strumento per incrementare la sicurezza dell'infrastruttura e per verificare l'utilizzo della porta 80. ● Diverse soluzioni Open Source disponibili.
Sitografia ● http://squid-cache.org ● http://squidguard.org ● Http://dansguardian.org ● http://www.opendns.org ● http://dsi.ut-capitole.fr/blacklists/ ● http://www.shallist.de ● http://squidguard.masd.k12.or.us ● http://www.ipcop.org ● http://www.ipfire.org

Recommended

Southampton City Council Renewable Heat Incentive Pilot
Southampton City Council Renewable Heat Incentive PilotSouthampton City Council Renewable Heat Incentive Pilot
Southampton City Council Renewable Heat Incentive Pilot
Ian Davies
 
Rekhila
RekhilaRekhila
Rekhila
THANVAS
 
NH Medical Society 12.8.06 FINAL
NH Medical Society 12.8.06 FINALNH Medical Society 12.8.06 FINAL
NH Medical Society 12.8.06 FINAL
Carol Gray, MHA
 
ciclo del azufre
ciclo del azufre ciclo del azufre
ciclo del azufre
ernestoperezgonzalez
 
GIR
GIRGIR
GIR
Kateryna_Kukoba
 
8 Хто що де коли
8 Хто що де коли8 Хто що де коли
8 Хто що де коли
Сергій Ільчишин
 
Short Sea Shipping
Short Sea ShippingShort Sea Shipping
Short Sea Shipping
Connected Islands
 
Media coursework – market research
Media coursework – market researchMedia coursework – market research
Media coursework – market research
elrichards18
 

Recommended

Southampton City Council Renewable Heat Incentive Pilot
Southampton City Council Renewable Heat Incentive PilotSouthampton City Council Renewable Heat Incentive Pilot
Southampton City Council Renewable Heat Incentive Pilot
Ian Davies
 
Rekhila
RekhilaRekhila
Rekhila
THANVAS
 
NH Medical Society 12.8.06 FINAL
NH Medical Society 12.8.06 FINALNH Medical Society 12.8.06 FINAL
NH Medical Society 12.8.06 FINAL
Carol Gray, MHA
 
ciclo del azufre
ciclo del azufre ciclo del azufre
ciclo del azufre
ernestoperezgonzalez
 
GIR
GIRGIR
GIR
Kateryna_Kukoba
 
8 Хто що де коли
8 Хто що де коли8 Хто що де коли
8 Хто що де коли
Сергій Ільчишин
 
Short Sea Shipping
Short Sea ShippingShort Sea Shipping
Short Sea Shipping
Connected Islands
 
Media coursework – market research
Media coursework – market researchMedia coursework – market research
Media coursework – market research
elrichards18
 
HT16 - DA156A - Ramverk och bibliotek
HT16 - DA156A - Ramverk och bibliotekHT16 - DA156A - Ramverk och bibliotek
HT16 - DA156A - Ramverk och bibliotek
Anton Tibblin
 
Proyecto de-informatica grupo 4
Proyecto de-informatica grupo 4Proyecto de-informatica grupo 4
Proyecto de-informatica grupo 4
Eripam26
 
Merchant banking
Merchant bankingMerchant banking
Merchant banking
KUN CAPITAL, ASHOK LEYLAND AS A INTERN
 
Tarea 4 – uso de cinahl
Tarea 4 – uso de cinahlTarea 4 – uso de cinahl
Tarea 4 – uso de cinahl
Bea Panini
 
Spartireklama Prezentacija
Spartireklama PrezentacijaSpartireklama Prezentacija
Spartireklama PrezentacijaRytis Fedaravicius
 
WatchOS 2 Opportunity for native apps
WatchOS 2 Opportunity for native appsWatchOS 2 Opportunity for native apps
WatchOS 2 Opportunity for native apps
Владимир Згоник
 
โคลเบิร์ก
โคลเบิร์กโคลเบิร์ก
โคลเบิร์ก
fateemeenorm
 
WorldPlus2026ThePitchSemifinal
WorldPlus2026ThePitchSemifinalWorldPlus2026ThePitchSemifinal
WorldPlus2026ThePitchSemifinal
Aboubacar Okeke-Diagne
 
MCC Services Presentation A. Rescoe
MCC Services Presentation A. RescoeMCC Services Presentation A. Rescoe
MCC Services Presentation A. Rescoe
Anne Mariotto-Rescoe
 
I tsavvy ppt_introduction_internet_20150702
I tsavvy ppt_introduction_internet_20150702I tsavvy ppt_introduction_internet_20150702
I tsavvy ppt_introduction_internet_20150702
Patrick Epps
 
Palmer v. 3M Corp. Legal Issues Research Memo
Palmer v. 3M Corp. Legal Issues Research MemoPalmer v. 3M Corp. Legal Issues Research Memo
Palmer v. 3M Corp. Legal Issues Research Memo
Christie L. Thompson
 
Stephen Sandeman cv7
Stephen Sandeman cv7Stephen Sandeman cv7
Stephen Sandeman cv7
stephen sandeman PGCert
 
Human rights
Human rightsHuman rights
Human rights
Deekshith Kumar N
 
New Orleans culture
New Orleans cultureNew Orleans culture
New Orleans culture
MaryRivasG
 
I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filtering
mmarcuzzi
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
Andrea Draghetti
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
raffaele_forte
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
HelpRansomware
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
raffaele_forte
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
Gianluca Vaglio
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Register.it
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
Caffeina
 

More Related Content

Viewers also liked

HT16 - DA156A - Ramverk och bibliotek
HT16 - DA156A - Ramverk och bibliotekHT16 - DA156A - Ramverk och bibliotek
HT16 - DA156A - Ramverk och bibliotek
Anton Tibblin
 
Proyecto de-informatica grupo 4
Proyecto de-informatica grupo 4Proyecto de-informatica grupo 4
Proyecto de-informatica grupo 4
Eripam26
 
Merchant banking
Merchant bankingMerchant banking
Merchant banking
KUN CAPITAL, ASHOK LEYLAND AS A INTERN
 
Tarea 4 – uso de cinahl
Tarea 4 – uso de cinahlTarea 4 – uso de cinahl
Tarea 4 – uso de cinahl
Bea Panini
 
WatchOS 2 Opportunity for native apps
WatchOS 2 Opportunity for native appsWatchOS 2 Opportunity for native apps
WatchOS 2 Opportunity for native apps
Владимир Згоник
 
โคลเบิร์ก
โคลเบิร์กโคลเบิร์ก
โคลเบิร์ก
fateemeenorm
 
WorldPlus2026ThePitchSemifinal
WorldPlus2026ThePitchSemifinalWorldPlus2026ThePitchSemifinal
WorldPlus2026ThePitchSemifinal
Aboubacar Okeke-Diagne
 
MCC Services Presentation A. Rescoe
MCC Services Presentation A. RescoeMCC Services Presentation A. Rescoe
MCC Services Presentation A. Rescoe
Anne Mariotto-Rescoe
 
I tsavvy ppt_introduction_internet_20150702
I tsavvy ppt_introduction_internet_20150702I tsavvy ppt_introduction_internet_20150702
I tsavvy ppt_introduction_internet_20150702
Patrick Epps
 
Palmer v. 3M Corp. Legal Issues Research Memo
Palmer v. 3M Corp. Legal Issues Research MemoPalmer v. 3M Corp. Legal Issues Research Memo
Palmer v. 3M Corp. Legal Issues Research Memo
Christie L. Thompson
 
Stephen Sandeman cv7
Stephen Sandeman cv7Stephen Sandeman cv7
Stephen Sandeman cv7
stephen sandeman PGCert
 
Human rights
Human rightsHuman rights
Human rights
Deekshith Kumar N
 
New Orleans culture
New Orleans cultureNew Orleans culture
New Orleans culture
MaryRivasG
 

Viewers also liked (14)

HT16 - DA156A - Ramverk och bibliotek
HT16 - DA156A - Ramverk och bibliotekHT16 - DA156A - Ramverk och bibliotek
HT16 - DA156A - Ramverk och bibliotek
 
Proyecto de-informatica grupo 4
Proyecto de-informatica grupo 4Proyecto de-informatica grupo 4
Proyecto de-informatica grupo 4
 
Merchant banking
Merchant bankingMerchant banking
Merchant banking
 
Tarea 4 – uso de cinahl
Tarea 4 – uso de cinahlTarea 4 – uso de cinahl
Tarea 4 – uso de cinahl
 
Spartireklama Prezentacija
Spartireklama PrezentacijaSpartireklama Prezentacija
Spartireklama Prezentacija
 
WatchOS 2 Opportunity for native apps
WatchOS 2 Opportunity for native appsWatchOS 2 Opportunity for native apps
WatchOS 2 Opportunity for native apps
 
โคลเบิร์ก
โคลเบิร์กโคลเบิร์ก
โคลเบิร์ก
 
WorldPlus2026ThePitchSemifinal
WorldPlus2026ThePitchSemifinalWorldPlus2026ThePitchSemifinal
WorldPlus2026ThePitchSemifinal
 
MCC Services Presentation A. Rescoe
MCC Services Presentation A. RescoeMCC Services Presentation A. Rescoe
MCC Services Presentation A. Rescoe
 
I tsavvy ppt_introduction_internet_20150702
I tsavvy ppt_introduction_internet_20150702I tsavvy ppt_introduction_internet_20150702
I tsavvy ppt_introduction_internet_20150702
 
Palmer v. 3M Corp. Legal Issues Research Memo
Palmer v. 3M Corp. Legal Issues Research MemoPalmer v. 3M Corp. Legal Issues Research Memo
Palmer v. 3M Corp. Legal Issues Research Memo
 
Stephen Sandeman cv7
Stephen Sandeman cv7Stephen Sandeman cv7
Stephen Sandeman cv7
 
Human rights
Human rightsHuman rights
Human rights
 
New Orleans culture
New Orleans cultureNew Orleans culture
New Orleans culture
 

Similar to Web Content Filtering

I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filtering
mmarcuzzi
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
Andrea Draghetti
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
raffaele_forte
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
HelpRansomware
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
raffaele_forte
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
Gianluca Vaglio
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Register.it
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
Caffeina
 
Analisi del Ransomware WannaCry
Analisi del Ransomware WannaCryAnalisi del Ransomware WannaCry
Analisi del Ransomware WannaCry
Raffaele D'Arco
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Marco Ferrigno
 
Hardening
HardeningHardening
Hardening
NaLUG
 
Linux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglinoLinux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglino
vincenzo buglino
 
Personal Cloud
Personal CloudPersonal Cloud
Personal Cloud
NaLUG
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMwareSistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Claudio Cardinali
 
Software libero e open source a costo zero per la grafica
Software libero e open source a costo zero per la graficaSoftware libero e open source a costo zero per la grafica
Software libero e open source a costo zero per la grafica
ACSG Associazione Culturale Studi Grafici
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
Alessandro Selli
 
Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007
jekil
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 

Similar to Web Content Filtering (20)

I sistemi di Web Content Filtering
I sistemi di Web Content FilteringI sistemi di Web Content Filtering
I sistemi di Web Content Filtering
 
BackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTFBackBox Linux: Simulazione di un Penetration Test e CTF
BackBox Linux: Simulazione di un Penetration Test e CTF
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
 
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdfTutto Quello Che Devi Sapere Su Cryptolocker.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
 
Difendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open sourceDifendersi dai cryptolocker con open source
Difendersi dai cryptolocker con open source
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sito
 
Data Analysis & Machine Learning
Data Analysis & Machine LearningData Analysis & Machine Learning
Data Analysis & Machine Learning
 
Analisi del Ransomware WannaCry
Analisi del Ransomware WannaCryAnalisi del Ransomware WannaCry
Analisi del Ransomware WannaCry
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
 
Hardening
HardeningHardening
Hardening
 
Linux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglinoLinux day 2016 Partanna: qualità del software - vincenzo buglino
Linux day 2016 Partanna: qualità del software - vincenzo buglino
 
Personal Cloud
Personal CloudPersonal Cloud
Personal Cloud
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMwareSistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
Sistemi di Virtualizzazione con Gnu/Linux Xen vs VMware
 
Software libero e open source a costo zero per la grafica
Software libero e open source a costo zero per la graficaSoftware libero e open source a costo zero per la grafica
Software libero e open source a costo zero per la grafica
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
 

Web Content Filtering

  • 1. WEB CONTENT FILTERING: SOLUZIONI OPEN SOURCE PER IL CONTROLLO DELLA NAVIGAZIONE Mario Marcuzzi IRES FVG Impresa sociale marcuzzi.m@iresfvg.org
  • 2. Mi presento... ● Mi chiamo Mario Marcuzzi. ● Sono laureato in Scienze dell'Informazione. ● Ho collaborato con diverse aziende operanti nei settori del networking e della sicurezza informatica. ● Lavoro presso l'ufficio informatico dell'IRES FVG. ● Mi interesso di soluzioni che consentano di rendere il web - e più in generale Internet - un “territorio accogliente” anche per chi non è un esperto informatico (ad esempio i bambini).
  • 3. Content Filtering ● Il Content (information) Filtering si divide in: ● Web Content Filtering ● Mail Content Filtering
  • 4. Web Content Filtering Le soluzioni hardware/software o i servizi che permettono di controllare (inibire o consentire) l'accesso a risorse web si identificano come “Web Content Filtering”.
  • 5.
  • 6. Perchè il Web Content Filtering ● Vantaggi del Web Content Filtering: ● Un consolidamento delle strategie di sicurezza informatica (contro malware che sfrutta la porta 80). 40K nuove minacce/giorno. Esempi: Conficker e Cryptolocker. ● Disciplina di utilizzo della “risorsa Internet” (come accade per altri asset). Monitoraggio dell'utilizzo di Internet all'interno della struttura. ● Prevenzione da accessi a contenuti inopportuni per l'utente Esempio: laboratorio didattico/aula informatica.
  • 7. Ed inoltre: ● Possibiltà di differenziare i livelli di accesso al web (ad esempio per utente/workstation o per orario). ● Possibilità generare report e statistiche sull'utilizzo della porta 80.
  • 8. Come funzionano? ● I sistemi di Web Content Filtering si basano su una classificazione dei siti web/indirizzi IP che li etichetta come appartenenti ad un sottoinsieme di categorie predefinite. ● Alcuni sistemi integrano un'analisi euristica e deep- packet-inspection delle pagine web.
  • 9.
  • 10. Le criticità ● Il web si modifica continuamente: allo stato dell'arte non è immaginabile un web content filtering efficace al 100%. ● Alcune soluzioni garantiscono una buona affidabilità, ma sono costose (subscription fee). ● Possibilità di falsi positivi.
  • 11. Gli approcci ● Search-engine filter ● Implementazione a livello di motore di ricerca. Ad es. Google “Safe Search”. ● Browser-based filter/client-side filter ● Antimalware ● K9 Web Filter (Blue Coat). ● Open DNS. ● Qustodio. ● Network-based filter ● Implementazione a livello perimetrale. ● Proxy e Firewall.
  • 12. Nel mondo Open Source: ● Soluzioni Open Source integrate a proxy o firewall. ● Esamineremo alcuni casi: ● Squid con Dansguradian o squidGuard. ● IPFire. ● IPCop.
  • 13. I vantaggi dell'Open Source ● La filosofia open source: ● Collaborare con la comunità degli sviluppatori. ● Essere completamente liberi e indipendenti di operare sullo strumento. ● Stop ai costi di subscription. ● Non vi è la necessità di hardware particolarmente impegnativo.
  • 14. Il caso di Squid e squidGuard Contesto di riferimento: rete locale con accesso ad Internet.
  • 15. Squid ● Proxy Server open source (GPLv2) ● Riduce l'utilizzo della banda ● Migliora il tempo di risposta attraverso il caching ● Access control ● Authorization ● Logging
  • 16. squidGuard ● Plugin per Squid che permette di attivare un servizio di Web Content Filtering ● URL redirector ● Licenza GPLv2 ● Flessibile ed efficiente ● Semplice da installare ● Versione attuale: 1.4 (beta 1.5)
  • 17. Squid 2 3 4 5 squidGuard Verifica pagina Pagina ammessa 1 Richiesta pagina Squid 2 3 5 squidGuard Verifica pagina Pagina non ammessa 1 Richiesta pagina 6
  • 18. Installare squidGuard # tar zxvf squidGuard-1.4.tar.gz # ./configure # make # sudo make install
  • 19. Configurare Squid per squidGuard ## vi squid.conf ... redirect_program /usr/local/bin/squidGuard -c /usr/local/squid/squidGuard.conf ... # squid -k reconfigure
  • 20. Configurare squidGuard # # CONFIG FILE FOR SQUIDGUARD # dbhome /usr/local/squidGuard/db logdir /usr/local/squidGuard/logs dest adv { domainlist adv/domains urllist adv/urls } dest porn { domainlist porn/domains urllist porn/urls } dest warez { domainlist warez/domains urllist warez/urls } acl { default { pass !adv !porn !warez all redirect http://localhost/block.html } } SquidGuard.conf
  • 21. Blacklist per squidGuard ● Le blacklist sono il cuore di ogni sistema di Web Content Filtering! ● E' possibile scegliere tra diverse distribuzioni di blacklist, commerciali e non, o utilizzare le proprie (oppure una combinazione delle due). ● squidGuard viene fornito con una modesta blacklist, utilizzabile come test.
  • 22. Blacklist per squidGuard ● Shalla's Blacklists: gratuite per utilizzo non commerciale. ● Oltre 1,5 milioni di record; aggiornate regolarmente. ● http://www.shallalist.de/ ● Blacklist Université Toulouse (UT1) ● Diverse categorie mantenute da Fabrice Prigent. Aggiornate con regolarità. Licenza CC. ● http://dsi.ut-capitole.fr/blacklists/index_en.php
  • 23. Esempio di script che aggiorna le blacklist #!/bin/sh blacklisturl=ftp://ftp.univ-tlse1.fr/pub/reseau/cache/ squidguard_contrib/blacklists.tar.gz blacklistfile=blacklists.tar.gz blacklistdir=/var/db echo "Download from $blacklisturl" fetch -q -o /tmp/$blacklistfile $blacklisturl if [ -r $gzdir/$rules ]; then echo "Update the database" cd $blacklistdir tar zxvf /tmp/$blacklistfile 2>&1 > /dev/null chown -R www:www blacklists cd - echo "Restart Squid" squid -k reconfigure echo "Done..." exit fi
  • 24. Ed i report? ● SARG – Squid Analysis Report Generator (GPLv2)
  • 25. Se tutto questo è troppo “macchinoso”...
  • 26. ● IPCop è una distribuzione Linux completa il cui obiettivo è di proteggere le reti in cui è installato. ● E' – prima di tutto – un firewall. Fork di SmoothWall. ● Comprende Squid + squidGuard. ● Blacklist selezionabili. ● Licenza GNU GPL.
  • 28. Gestione di IPCop ● Configurazione del network (LAN, WAN, eventuali DMZ). ● Una volta installato, si gestisce via Web. ● Avvio dei servizi...
  • 31. Avvio del Web Content Filtering
  • 33. Per concludere ● Il Web Content Filtering non è un “costo”, ma un “presidio”. ● Non è uno strumento per “impedire”, ma prima di tutto uno strumento per incrementare la sicurezza dell'infrastruttura e per verificare l'utilizzo della porta 80. ● Diverse soluzioni Open Source disponibili.
  • 34. Sitografia ● http://squid-cache.org ● http://squidguard.org ● Http://dansguardian.org ● http://www.opendns.org ● http://dsi.ut-capitole.fr/blacklists/ ● http://www.shallist.de ● http://squidguard.masd.k12.or.us ● http://www.ipcop.org ● http://www.ipfire.org