WEB CONTENT FILTERING:SOLUZIONI OPEN SOURCE

PER IL CONTROLLO DELLA NAVIGAZIONE

Mario MarcuzziIRES FVG Impresa socialemarcuzzi.m@iresfvg.org

Mi presento...● Mi chiamo Mario Marcuzzi.● Sono laureato in Scienze dell'Informazione.● Ho collaborato con diverse aziende operanti nei settori del

networking e della sicurezza informatica.● Lavoro presso l'ufficio informatico dell'IRES FVG.● Mi interesso di soluzioni che consentano di rendere il web - e più in

generale Internet - un “territorio accogliente” anche per chi non è un esperto informatico (ad esempio i bambini).

Content Filtering● Il Content (information) Filtering si divide in:

● Web Content Filtering● Mail Content Filtering

Web Content Filtering

Le soluzioni hardware/software o i servizi che

permettono di controllare (inibire o consentire) l'accesso a

risorse web si identificano come “Web Content Filtering”.

Perchè il Web Content Filtering● Vantaggi del Web Content Filtering:

● Un consolidamento delle strategie di sicurezza informatica (contro malware che sfrutta la porta 80). 40K nuove minacce/giorno. Esempi: Conficker e Cryptolocker.

● Disciplina di utilizzo della “risorsa Internet” (come accade per altri asset). Monitoraggio dell'utilizzo di Internet all'interno della struttura.

● Prevenzione da accessi a contenuti inopportuni per l'utente Esempio: laboratorio didattico/aula informatica.

Ed inoltre:● Possibiltà di differenziare i livelli di accesso al web (ad

esempio per utente/workstation o per orario).● Possibilità generare report e statistiche sull'utilizzo della

porta 80.

Come funzionano?● I sistemi di Web Content Filtering si basano su una

classificazione dei siti web/indirizzi IP che li etichetta come appartenenti ad un sottoinsieme di categorie predefinite.

● Alcuni sistemi integrano un'analisi euristica e deep-packet-inspection delle pagine web.

Le criticità● Il web si modifica continuamente: allo stato dell'arte non

è immaginabile un web content filtering efficace al 100%.● Alcune soluzioni garantiscono una buona affidabilità, ma

sono costose (subscription fee).● Possibilità di falsi positivi.

Gli approcci● Search-engine filter

● Implementazione a livello di motore di ricerca. Ad es. Google “Safe Search”.● Browser-based filter/client-side filter

● Antimalware● K9 Web Filter (Blue Coat).● Open DNS.● Qustodio.

● Network-based filter● Implementazione a livello perimetrale. ● Proxy e Firewall.

Nel mondo Open Source:● Soluzioni Open Source integrate a proxy o firewall.● Esamineremo alcuni casi:

● Squid con Dansguradian o squidGuard.● IPFire.● IPCop.

I vantaggi dell'Open Source

● La filosofia open source:● Collaborare con la comunità degli sviluppatori.● Essere completamente liberi e indipendenti di operare sullo

strumento. ● Stop ai costi di subscription.● Non vi è la necessità di hardware particolarmente

impegnativo.

Il caso di Squid e squidGuard

Contesto di riferimento: rete locale con accesso ad Internet.

Squid● Proxy Server open source (GPLv2)● Riduce l'utilizzo della banda● Migliora il tempo di risposta attraverso il caching● Access control● Authorization● Logging

squidGuard● Plugin per Squid che permette di attivare un servizio di

Web Content Filtering● URL redirector● Licenza GPLv2● Flessibile ed efficiente● Semplice da installare● Versione attuale: 1.4 (beta 1.5)

Squid

2 3

4

5

squidGuard

Verifica pagina Pagina ammessa

1 Richiesta pagina

Squid

2 3

5

squidGuard

Verifica pagina Pagina non ammessa

1 Richiesta pagina

6

Installare squidGuard

# tar zxvf squidGuard-1.4.tar.gz# ./configure# make# sudo make install

Configurare Squid per squidGuard## vi squid.conf...redirect_program /usr/local/bin/squidGuard -c

/usr/local/squid/squidGuard.conf...# squid -k reconfigure

Configurare squidGuard## CONFIG FILE FOR SQUIDGUARD#

dbhome /usr/local/squidGuard/dblogdir /usr/local/squidGuard/logs

dest adv { domainlist adv/domains urllist adv/urls}dest porn { domainlist porn/domains urllist porn/urls}dest warez { domainlist warez/domains urllist warez/urls}

acl { default { pass !adv !porn !warez all redirect http://localhost/block.html }}

SquidGuard.conf

Blacklist per squidGuard● Le blacklist sono il cuore di ogni sistema di Web Content

Filtering!● E' possibile scegliere tra diverse distribuzioni di blacklist,

commerciali e non, o utilizzare le proprie (oppure una combinazione delle due).

● squidGuard viene fornito con una modesta blacklist, utilizzabile come test.

Blacklist per squidGuard● Shalla's Blacklists: gratuite per utilizzo non commerciale.

● Oltre 1,5 milioni di record; aggiornate regolarmente.● http://www.shallalist.de/

● Blacklist Université Toulouse (UT1)● Diverse categorie mantenute da Fabrice Prigent. Aggiornate

con regolarità. Licenza CC.● http://dsi.ut-capitole.fr/blacklists/index_en.php

Esempio di script che aggiorna le blacklist #!/bin/sh

blacklisturl=ftp://ftp.univ-tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

blacklistfile=blacklists.tar.gz blacklistdir=/var/db

echo "Download from $blacklisturl" fetch -q -o /tmp/$blacklistfile $blacklisturl

if [ -r $gzdir/$rules ]; then echo "Update the database" cd $blacklistdir tar zxvf /tmp/$blacklistfile 2>&1 > /dev/null chown -R www:www blacklists cd - echo "Restart Squid" squid -k reconfigure echo "Done..." exit fi

Ed i report?● SARG – Squid Analysis Report Generator (GPLv2)

Se tutto questo è troppo “macchinoso”...

● IPCop è una distribuzione Linux completa il cui obiettivo è di proteggere le reti in cui è installato.

● E' – prima di tutto – un firewall. Fork di SmoothWall.● Comprende Squid + squidGuard.● Blacklist selezionabili.● Licenza GNU GPL.

Installazione

Gestione di IPCop● Configurazione del network (LAN, WAN, eventuali DMZ).● Una volta installato, si gestisce via Web.● Avvio dei servizi...

Avvio della connessione

Avvio del servizio Proxy

Avvio del Web Content Filtering

Scelta delle liste

Per concludere● Il Web Content Filtering non è un “costo”, ma un

“presidio”.● Non è uno strumento per “impedire”, ma prima di tutto uno

strumento per incrementare la sicurezza dell'infrastruttura e per verificare l'utilizzo della porta 80.

● Diverse soluzioni Open Source disponibili.

Sitografia● http://squid-cache.org● http://squidguard.org● Http://dansguardian.org● http://www.opendns.org● http://dsi.ut-capitole.fr/blacklists/● http://www.shallist.de● http://squidguard.masd.k12.or.us● http://www.ipcop.org● http://www.ipfire.org