Discussione:
Bloccare siti...
Cherubini Enrico
2006-02-20 22:58:38 UTC
Permalink
Ciao,
dovendo bloccare dei siti di giochi online usando server linux/openbsd, come
fareste ? Io avrei pensato ad una semplice regola che filtri gli IP e basta,
ma cio' comporterebbe il dover bloccare completamente i server e quindi
anche ulteriori siti "leciti" ivi ospitati...l'altra soluzione che ho
pensato e' un transparent proxy, ma mi sembra a) troppo invadente la privacy
degli utenti (che sono anche terze persone, non solo aziendali), b) troppo
onerosa nella gestione dei log, c) poco applicabile a causa di un sacco di
programmi che magari escono sulla 80 e non amano il proxy, d) il fatto che
escano poi tutti con lo stesso IP. Altre idee che stiano nel mezzo non me ne
vengono...suggerimenti ?
--
Bye Enrico

You two ought to be more careful--your love could drag on for years and years.
Lombardo Federico
2006-02-21 11:26:38 UTC
Permalink
Ciao,
Post by Cherubini Enrico
dovendo bloccare dei siti di giochi online usando server linux/openbsd,
squid + dansguardian oppure squid + squidguard.

Rimane comunque che, amenochè tu non voglia appoggiarti a servizi a pagamento, devi comunque crearti/cercare una blacklist, qualcosa puoi trovare qui, ma è meglio che cerchi su gugol

http://www.sa-blacklist.stearns.org/sa-blacklist/


Federico


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco d'Itri
2006-02-21 13:21:56 UTC
Permalink
Post by Cherubini Enrico
dovendo bloccare dei siti di giochi online usando server linux/openbsd, come
fareste ? Io avrei pensato ad una semplice regola che filtri gli IP e basta,
Nei giorni scorsi ho discusso della cosa i con colleghi che se ne
occupano per alcune delle principali reti di accesso italiane, e
l'orientamento generale è di bloccare i domini sui name server di
caching usati dai clienti.
Questo è realizzabile banalmente creando con uno script zone vuote per
ciascun hostname (*non* dominio...) della lista.

Non ho avuto modo di verificarlo, ma mi è stato detto che la stessa
Amministrazione dei monopoli consiglia di usare questo metodo e che
preparerà un sito a cui reindirizzare gli utenti.

Il punto cruciale da tenere sempre a mente è che il meccanismo non deve
essere "sicuro", ma semplicemente "a norma di legge". :-)
È inutile prendersi in giro cercando di inventare il filtro
inaggirabile, tanto qui sappiamo benissimo tutti che anche per gli
utenti più sprovveduti ci sono 1001 modi per aggirare qualsiasi
censura simile.
--
ciao,
Marco
Cherubini Enrico
2006-02-21 13:36:34 UTC
Permalink
Ciao,
Post by Marco d'Itri
Questo è realizzabile banalmente creando con uno script zone vuote per
ciascun hostname (*non* dominio...) della lista.
alla fine abbiamo usato un principio simile, creando delle zone in cui
l'host punta a noi stessi e che faremo puntare alle pagine dell'aams quando
disponibili. Che differenza c'e' tra quello che proponi tu ?
Post by Marco d'Itri
Il punto cruciale da tenere sempre a mente è che il meccanismo non deve
essere "sicuro", ma semplicemente "a norma di legge". :-)
pero' da quello che ho capito e' una cosa "tollerata" in attesa che il
fornitore di accesso migliori la cosa...
--
Bye Enrico

Finito questo, l'alta corte santa
risono per le spere un 'Dio laudamo'
ne la melode che là su si canta.
-- Paradiso, Canto XXIV, vv.112-114
Marco d'Itri
2006-02-21 14:23:12 UTC
Permalink
Post by Cherubini Enrico
alla fine abbiamo usato un principio simile, creando delle zone in cui
l'host punta a noi stessi e che faremo puntare alle pagine dell'aams quando
disponibili. Che differenza c'e' tra quello che proponi tu ?
zone "www.007bets.com" { type master; file "zona-vuota.db"; };

In questo modo non si blocca nulla più di quanto è stato chiesto e
anche la posta continua a funzionare.
Post by Cherubini Enrico
pero' da quello che ho capito e' una cosa "tollerata" in attesa che il
fornitore di accesso migliori la cosa...
E come sei arrivato a questa conclusione?
--
ciao,
Marco
Skull
2006-02-21 14:41:21 UTC
Permalink
Post by Marco d'Itri
Post by Cherubini Enrico
pero' da quello che ho capito e' una cosa "tollerata" in attesa che il
fornitore di accesso migliori la cosa...
E come sei arrivato a questa conclusione?
Anche perchè vorrei vedere come.
Nullrouting degli open proxy?
E chi indica quali sono gli open proxy?
Una lista di macchine abusate/abili di Stato?
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Cherubini Enrico
2006-02-21 19:50:57 UTC
Permalink
Ciao,
Post by Marco d'Itri
Post by Cherubini Enrico
pero' da quello che ho capito e' una cosa "tollerata" in attesa che il
fornitore di accesso migliori la cosa...
E come sei arrivato a questa conclusione?
no, mi correggo poiche' questa e' la soluzione indicata da amms.
--
Bye Enrico

You will be successful in your work.
Marco Bizzantino
2006-02-21 13:33:11 UTC
Permalink
Post by Cherubini Enrico
Ciao,
dovendo bloccare dei siti di giochi online usando server linux/openbsd, come
fareste ?
Rimando quotando selvaggiamente :)

Una cosa come questa
http://www.snortattack.net/files/info/download/rules/italian-law/snortattack-italian-law.rules
potrebbe andare bene?

Sono delle regole per snort create per la recente legge italiana (che
ha creato polemiche in sede europea e magari verra' anche
rivista/abrogata) per impedire l'accesso ai casino' online che non
sono in regola con i monopoli di stato.

Magari prendi spunto da li'.

Ciao
bizza
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Fabio Panigatti
2006-02-22 10:53:52 UTC
Permalink
Post by Marco Bizzantino
Rimando quotando selvaggiamente :)
Una cosa come questa
http://www.snortattack.net/files/info/download/rules/italian-law/snortattack-italian-law.rules
potrebbe andare bene?
Dai un'occhiata a quanti di quei siti e' accessibile via https e chiediti quanto
il content filtering sia una pratica efficace ;-) Con questo non voglio dire che
altre soluzioni non siano aggirabili ma, almeno, richiedono maggiore fantasia da
parte dell'utente :-)


Fabio
Marco Bizzantino
2006-02-24 12:06:27 UTC
Permalink
Post by Fabio Panigatti
Dai un'occhiata a quanti di quei siti e' accessibile via https e chiediti quanto
il content filtering sia una pratica efficace ;-) Con questo non voglio dire che
altre soluzioni non siano aggirabili ma, almeno, richiedono maggiore fantasia da
parte dell'utente :-)
beh, non ho mai detto che sia il metodo migliore, ho solo dato un input :)
Si puo' discutere quanto si vuole sul content filtering, di sicuro non
e' la cura di tutti i mali, in quanto "statico" ha anche dei difetti,
ma se impostato bene e costantemente affinato (non si puo' lasciare in
balia di se' stesso, ha bisogno di un costante tuning) direi che e'
molto efficace.
Poi la variabile $http_ports dovrebbe suggerire imho che non parliamo
della sola porta 80, e in ogni caso e' una modifica da 1 minuto.

Ciao
bizza
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Fabio Panigatti
2006-03-08 19:08:25 UTC
Permalink
Post by Marco Bizzantino
Post by Fabio Panigatti
Dai un'occhiata a quanti di quei siti e' accessibile via https e chiediti
Evviva l'italiano :-( [1]
Post by Marco Bizzantino
beh, non ho mai detto che sia il metodo migliore, ho solo dato un input :)
Si puo' discutere quanto si vuole sul content filtering, di sicuro non
e' la cura di tutti i mali, in quanto "statico" ha anche dei difetti,
ma se impostato bene e costantemente affinato (non si puo' lasciare in
balia di se' stesso, ha bisogno di un costante tuning) direi che e'
molto efficace.
Ritengo che dovrebbe essere coadiuvato da altri strumenti, a copertura
dei "buchi" citati (https). Il fatto e' che questi altri strumenti che
sarebbe necessario dispiegare (es: proxy http) potrebbero coprire gia'
da soli anche i casi coperti dalle regole snort citate. Snort sarebbe,
quindi, uno spreco di risorse e un... generatore di falsi positivi :-)
L'approccio snort-inline potrebbe essere, forse, un palliativo qualora
non fosse possibile fare altro e si fosse interessati piu' a contenere
un fenomeno, che a dispiegare un blocco efficace. In questa ottica non
sarebbe uno strumento da trascurare.

Magari mi sfugge qualche implicazione ma, in linea di massima, la vedo
cosi', in un caso come quello di cui si parla.
Post by Marco Bizzantino
Poi la variabile $http_ports dovrebbe suggerire imho che non parliamo
della sola porta 80, e in ogni caso e' una modifica da 1 minuto.
Certo, ma dubito seriamente che sia sufficiente mettere la 443/tcp in
$HTTP_PORTS per far funzionare quelle rules su httpS :-) Al limite le
puoi usare alla rovescia, cercando il match sull'url nel certificato.


Fabio

[1] (... scribble... scribble...) ricordarsi di rileggere i post [2];
[2] *prima* di spedirli.

e***@netrs.com
2006-02-21 13:29:51 UTC
Permalink
Post by Cherubini Enrico
Ciao,
dovendo bloccare dei siti di giochi online usando server
linux/openbsd, come
fareste ? Io avrei pensato ad una semplice regola che filtri gli IP e
basta,
ma cio' comporterebbe il dover bloccare completamente i server e
quindi
anche ulteriori siti "leciti" ivi ospitati...
direi che dipende da come è fatta la tua rete e da che tipo di giochi
online stiamo parlando.
alcuni possibili scenari che mi vengono in mente: i giochi online in
questione probabilmente utilizzeranno determinate porte e protocolli:
invece di bloccare in toto l'ip del server puoi bloccare solo il
traffico per determinateporte/protocolli; se invece si tratta di
giochini in flash o simili che viaggiano sulla 80 potresti inibire ai
tuoi clients l'installazione utilizzo di determinati plugin del
browser.

enrico 'nau' viola

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Mailing List Manager
2006-02-22 11:03:29 UTC
Permalink
----- Forwarded message from Massimiliano Randazzo <massimiliano.randazzo(at)gmail.com> -----

From: Massimiliano Randazzo <massimiliano.randazzo(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] Bloccare siti...

Ciao,

io in questi casi attiverei un proxy Server tipo Squid al quale ? possibile
mettere delle regole indicando i Siti che intendiamo bloccare e configurerei
tutti i client che in modo da utilizzare lo squid per andare sui web, e di
conseguenza per evitare che la genete baipassi lo suid ? necessario
configurare i il Firewall in modo che faccia uscire sulla porta 80 e 445
soltanto lo squid.

Bye Massimiliano

[..]
----- End forwarded message -----
Massimo Coletti
2006-02-23 13:40:33 UTC
Permalink
Con riferimento al problema segnalato da Enrico, vorrei richiamare
l'attenzione sul recente provvedimento del Garante, che - in un caso
specifico - ha dichiarato inammissibile la registrazione (su log,
cookies e file temporanei internet) dei siti su cui un dipendente ha
navigato in modo continuativo. Nel testo del provvedimento
(http://www.garanteprivacy.it/garante/doc.jsp?ID=1230017) troverete
senz'altro osservazioni piu' precise di quelle che posso fare io,
tuttavia il messaggio che mi sembra importante e' che i log di un server
proxy, qualora consentano, insieme ad altri dati di log, di associare un
utente ai contenuti da lui visionati, costituiscono "dato sensibile"; da
tali log si possono infatti ottenere informazioni su interessi,
convinzioni religiose, appartenenza ad organizzazioni politiche o
sindacali e preferenze sessuali.

Credo che questo provvedimento, giusto nella forma, imponga nuovi
"obblighi", o almeno attenzioni, per gli amministratori di rete.

Massimo Coletti
Post by Cherubini Enrico
Ciao,
dovendo bloccare dei siti di giochi online usando server linux/openbsd, come
fareste ? Io avrei pensato ad una semplice regola che filtri gli IP e basta,
ma cio' comporterebbe il dover bloccare completamente i server e quindi
anche ulteriori siti "leciti" ivi ospitati...l'altra soluzione che ho
pensato e' un transparent proxy, ma mi sembra a) troppo invadente la privacy
degli utenti (che sono anche terze persone, non solo aziendali), b) troppo
onerosa nella gestione dei log, c) poco applicabile a causa di un sacco di
programmi che magari escono sulla 80 e non amano il proxy, d) il fatto che
escano poi tutti con lo stesso IP. Altre idee che stiano nel mezzo non me ne
vengono...suggerimenti ?
------------------------------------------------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continua a leggere su narkive:
Loading...