|
 
Indice di navigazione:
Content-Filtering su Proxy e Passivi
I Network Layer Content-Control System sono, a loro volta, suddivisi ulteriomente in altre 2 sottocategorie: Proxy Based e Passivi.
Proxy Based = sono delle soluzioni implementate nei Proxy Server e si distinguono da tutte le altre per il rapporto prezzo-performance-semplicità. Grazie alle peculiarità base dei Proxy (principio d'interruzione della continuità End-to-End), le attività di analisi dei contenuti avvengono prima dell'erogazione dei risultati all'Host nella Intranet, garantendo un ispezione approfondita. In questi casi, tuttavia, occorre effettuare i dovuti investimenti economici al fine di dotare tutta la potenza hardware necessaria al fine di assicurare un adeguato livello di QoS in termini di precisione nelle analisi operate (Proxy con capacità di calcolo inadeguate, spesso, costringono gli amministratori in una cernita delle funzionalità di filtraggio, non che, spessore della Blacklist, aumentando i rischi di aggiramento e riducendo l'efficacia del sistema di difesa) e performance di rete (se la potenza di processing è ridotta, oppure, non sufficiente alla gestione del traffico di rete, specie durante i periodi di maggior carico, possono manifestarsi delle latenze casuali parassite, di difficile prevedibilità).
Passivi = soluzioni basate, in maggior misura, sul monitoraggio con ridotta invasività nel principio di continuità End-to-End tra nodi finali. Questo tipologia di sistemi, garantisce una capacità di bloccaggio tramite il forging di pacchetti di Protocol-Reset diretti alla sorgente interna alla LAN, non appena venga identificato del traffico considerato vietato. Questa particolarità evita l'introduzione dei limiti tipicamente conseguenti dalla non-totale continuità di comunicazione tra host, presente nei proxy, garantendo il funzionamento di software particolari (ove, ad esempio, non è presente una funzionalità built-in specifica adeguata) ed evitando casi di anomalie derivanti dall'erronea trattazione dei protocolli di rete, da parte dei middlebox. Inoltre, richiedono dei requisiti di sistema ridotti, garantendo un buon livello di performance, a costi economici contenuti.
Principali metodologie per il blocco dei contenuti
I metodi più comunemente utilizzati per effettuare il blocco delle comunicazioni sono:
- Blocco dell'IP: impedisce la comunicazione diretta con l'host corrispondente all'indirizzo citato. Nel caso di condivisione dello stesso IP, con più nodi (es. NAT o similari), il divieto viene esteso a tutti gli host. Se nella rete remota è presente un Ident Service configurato adeguatamente, è possibile impiegare i dati forniti da quest'ultimo in modo da impostare blocchi più mirati.
- Filtraggio e Reindirizzamento via DNS: impedisce il reverse dei domain-name, oppure, nelle risposte fornite, viene riportato un indirizzo numerico diverso da quello reale. E' impiegato presso terminali ove l'utente ha poche conoscenze riguardanti l'ambito dei DNS, oppure, non possa effettuare certe configurazioni (come, ad esempio, modificare il puntamento ai server DNS predefiniti o il file Hosts, impiegati dall'OS per le procedure di reversing).
- Filtraggio URL: tramite la scansione della stringa URL, alla ricerca di parole considerate vietate. E' principalmente limitato ai soli protocolli trattati dai Web-Browser (es. HTTP) Scan the requested URL string for target keywords regardless of the domain name specified in the URL. This affects the HTTP protocol.
- Filtraggio Pacchetti: principalmente presente nei Content-Blocking System passivi. Implica l'invio di pacchetti di Protocol-Reset qualora vengano identificate delle parole o attività vietate.
- Filtraggio Feed: inerenti a servizi RSS, FEED, BLOG e similari.
- Sorveglianza a ritroso: identificatore del committente delle attività considerate vietate, al fine di permettere agli amministratori o ai gestori di poter provvedere con altri mezzi.
Principali metodologie di aggiramento dei filtri
- Siti di Proxy e navigazione anonima: impiegati, in quanto, presenti presso host remoti tipicamente non inclusi nelle Blacklist. Possono essere pubblici o privati e, in taluni casi, permettono la cifratura delle URL invocate dall'utente, forma anch'essa efficace di aggiramento delle scansioni operate dai Content-Blockers.
- Impiego di connessioni cifrate: protocolli quali HTTPS vengono impiegati in siti dal contenuto principalmente innocuo. Inoltre, i datagrammi inclusi nei pacchetti inviati in tale modalità, sono cifrati, rendendo ogni forma di analisi, su di essi, inutile.
- Uso delle VPN: tramite l'incapsulamento del traffico generato, è possibile aggirare ogni forma di analisi e blocco, sia dei datagrammi, che degli URL.
- Uso degli indirizzi in annotazione Dot-Decimal: spesso, certe forme di restrizione sono fornite, in forma banale, tramite il poisoning dei risultati forniti dai server di Name-Resolution (DNS). Impiegando dei server di reversing alternativi, oppure, specificando nei software di navigazione, gli indirizzi IP in formato Dot-Decimal, questa forma di filtraggio può essere aggirata.
- Bloccare i Protocol-Reset: fermando l'elaborazione dei pacchetti di Protocol-Reset, inviati dai Content-Control System passivi, agli host, in modo da impedire il reset della connessione in corso
- Uso di protocolli alternativi: come FTP o Telnet, spesso non considerati pericolosi, specie nelle reti malconfigurate
- Ricerche effettuate in lingue alternative: spesso, per ragioni di performance, gli amministratori includono solo i controlli per i linguaggi più utilizzati nella nazione ove si trovano. Impiegando parole in altre lingue è possibile aggirare i filtri
- Terminando forzatamente i processi degli Agent: nelle versioni più datate dei software di Content-Control, è possibile bloccare il funzionamento di questi filtri, invocando la terminazione forzata del processo base
   
|
I Content-Control System (2ª Parte)