(AGCOM) Parental Control obbligatorio per ISP e WISP
1. Requisiti minimi richiesti
Il CEO Francesco Collini di FlashStart spiega che la Direttiva 9/23/CONS di AGCOM e le linee guida collegate spiegano in modo chiaro i requisiti minimi ai quali un Operatore ISP deve ottemperare per essere a norma.
Il parental control per gli utenti di tipo privato deve essere:
» totalmente gratuito
» preattivato di default
» disattivabile su richiesta dell’intestatario della linea
Il filtro di tipo “DNS“, menzionato più volte nelle linee guida, è una delle soluzioni più diffuse e semplici da mettere in campo per un ISP.
Nei requisiti minimi, si richiede che vengano bloccate tramite un set di policy preimpostate una serie di categorie di siti contenenti materiale relativo a:
» adulti
» gioco d’azzardo
» armi
» violenza
» odio e discriminazione
» siti che possono danneggiare la salute
» anonymizer/proxy anonimi
» sette
E’ sufficiente, quindi, preimpostare un set di policy in pochissimi click e redirigere il traffico DNS sui server filtrati sicuri di FlashStart.
La redirezione delle richieste DNS, solitamente, è attuabile con un semplice comando su Router centrale dell’operatore ISP.
Questo scenario non richiede, inoltre, alcun intervento sulla rete, sugli apparati lato Cliente e sui dispositivi.
Ci sono pervenute alcune richieste da parte di Operatori ISP circa la possibilità eventuale di lasciare agli utenti la scelta delle categorie di siti da bloccare.
Questo scenario, assolutamente non richiesto dal Legislatore è opzionale. FlashStart lo supporta pienamente grazie alla formula “multi-tenant” (tipica dell’offerta MSP/Reseller).
Tuttavia, in uno scenario ISP questa configurazione è fortemente sconsigliata in quanto presuppone di fornire un IP pubblico ad ogni Cliente ed impostare la configurazione del filtro su ogni Router.
Inoltre, è necessario formare e supportare gli utenti che, essendo di tipo “residenziale”, hanno scarse competenze tecniche.
2. Delibera AGCOM 9/23/CONS
La delibera AGCOM 9/23/CONS del 25 gennaio 2023 definisce le linee guida definitive in materia di attuazione, dopo aver mediato le richieste di associazioni e consigli di categoria. Tutto ciò in ottemperanza della legge del 25 giugno 2020 n.70 che ratificava l’entrata in vigore del Decreto legge n.28 del 30 aprile 2020 (articolo 7-BIS), imponendo il dialogo e l’individuazione di indicazioni operative.
La delibera implica le seguenti conclusioni.
Obblighi per i Provider:
» integrare almeno un sistema di parental control basato su filtro DNS o su altro filtro di rete, oppure su App scaricabile dal consumatore.
» Fornire un’interfaccia semplice e intuitiva ed informazioni chiare per l’attivazione, la disattivazione e la configurazione dell’utente.
» Includere nel prezzo del servizio offerto la funzionalità minima di blocco dei contenuti vietati ai minori, efficace e aggiornato
» Adeguarsi alle disposizioni e comunicare il partner tecnologico entro 9 mesi dalla pubblicazione della delibera (25-10-2023).
» Rimborsare entro 60 giorni le somme addebitate agli utenti in caso di protezione non idonea e violazioni degli obblighi.
Possibilità per i provider:
» Scegliere fra le soluzioni di protezione internet offerte dal mercato, senza vincoli tecnologici o di dimensione, purché sia garantito il controllo minimo dei contenuti vietati per legge.
» Aggiungere eventuali servizi a pagamento nella massima trasparenza dei costi, ad esempio:
» sblocco per un tempo configurabile previa autorizzazione del titolare del contratto
» programmazione per fasce orarie e memorizzazione dei siti visitati
» personalizzazione di contenuti aggiuntivi rispetto a quelli minimi (malware, distrazioni, altri indesiderati).
La soluzione di FlashStart è a vantaggio non solo dei minori ma anche dei loro assistenti e Operatori di rete che ne sono legalmente responsabili.
Il suo filtro DNS con Intelligenza Artificiale previene la navigazione in pagine infette o inappropriate, evitando anche la compromissione degli IP Pubblici e la conseguente lamentela degli utenti per disservizi dovuti alla caduta in blacklist.
Opera con una rete Anycast ultra performante in 155 paesi ed è attualmente certificato come Resolver DNS numero uno al mondo in qualità e fra i primi 5 in velocità e stabilità secondo dnsperf.com.
Il filtro DNS di FlashStart è ottimale per efficacia sempre aggiornata da AI, interfaccia semplice, massima personalizzazione con 85 categorie e 5 profili di filtraggio, possibilità di aggiungere servizi extra a pagamento, convenienza di prezzo, report in tempo reale e supporto di professionisti in Italiano
Il video sopra mostra l’intervento dell’Avv. Andrea monti co-autore di Spaghetti hacker e Docente universitario. Durante il Webinar illustra le potenzialità per gli Operatori del Filtro internet italiano FlashStart® grazie anche alla partecipazione di CTO di due rispettive aziende italiane che già oggi utilizzano con successo il filtro.
La soluzione di FlashStart è a vantaggio non solo dei minori ma anche dei loro assistenti e Operatori di rete che ne sono legalmente responsabili.
>> Delibera 16-22-CONS – Documento – AGCOM
3. Cos’è un filtro DNS
Un filtro DNS è un sistema che permette di filtrare i contenuti Internet basandosi sul DNS, ossia sul Domain Name System, di un determinato sito web.
DNS è l’abbreviazione di «sistema dei nomi di dominio», è il protocollo che permette di risolvere nomi comprensibili come gli URL di un sito nei corrispondenti indirizzi IP per visualizzare una pagina web cercata.
Il filtraggio DNS permette di bloccare specifici contenuti Internet per impedirne direttamente l’accesso ma anche per far sì che non compaiano nei risultati di ricerca o possano essere scaricati.
Il filtro DNS può essere facilmente impostato dagli Internet provider al fine di bloccare i contenuti espliciti per adulti ma anche i social media in ambiti non appropriati e soprattutto prevenire le minacce della navigazione.
Un buon filtro DNS è molto importante perché infatti permette di bloccare fino al 35% degli attacchi hacker intervenendo al livello primario della navigazione ossia la ricerca originale effettuata dall’utente.
L’efficacia nella sicurezza rende i filtri DNS una soluzione ideale non solo per i minori ma anche per proteggere aziende e organizzazioni in generale, rendendoli uno strumento prezioso per gli amministratori di rete e i provider di servizi internet.
>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
4. La precedente delibera 16/22/CONS dell’AGCOM
Abbiamo annunciato da subito che la delibera 9/23/CONS del 25 gennaio 2023 sancisce le linee operative nate da mesi di consultazioni fra consigli e associazioni di categoria. Vediamo ora un piccolo excursus storico sugli argomenti trattati e relativa evoluzione.
Nella delibera 16/22/CONS, AGCOM iniziava l’iter di consultazioni per l’adozione di linee guida finalizzate all’attuazione dell’articolo 7-BIS del decreto legge 30 aprile 2020 n.28 in materia di “Sistemi di protezione dei minori dai rischi del cyberspazio”.
Le autorità pretendevano che i contratti di fornitura nei servizi di comunicazione elettronica prevedessero sistemi di controllo parentale, ovvero filtri di contenuti per proteggere i minori dai rischi connessi al Cyberspazio, facendo soprattutto riferimento ai seguenti aspetti:
» classificazione dei contenuti da filtrare e/o bloccare;
» installazione da parte dell’utente finale di una applicazione messa a disposizione dell’operatore su PC o smartphone;
» filtraggio del contenuto sulla Rete a livello di trasporto o applicativo, impostazione di un servizio DNS per il filtraggio degli indirizzi;
» individuazione di aree di accesso con PIN o predisposizione di servizi di controllo parentale.
L’utente, in aggiunta, avrebbe potuto richiedere un PIN di sblocco affidandogli la possibilità di disattivare la funzione di controllo parentale tramite la digitazione di questo specifico codice segreto.
La precedente direttiva cercava inoltre di fissare limiti di dimensione e di tecnologia che poi non sono stati imposti per difficoltà di fare chiarezza sulle varie casistiche dal punto di vista legale.
E’ stato lasciato un margine di scelta ai provider, come evidenziato sopra, a condizione che il servizio erogato sia funzionale, efficace e trasparente in eventuali costi per protezioni extra. Il deterrente a comportamenti non allineati da parte degli ISP è dato soprattutto dall’obbligo di risarcimento in caso di lamentela motivata per servizi non conformi alla normativa.
Una collaborazione tra chi diffonde il servizio e gli ISP è infatti molto importante per proteggere i minori.
5. Il filtro DNS di FlashStart
La soluzione di filtro web DNS proposta da FlashStart è oggi la scelta ottimale di aziende, organizzazioni e istituzioni in tutto il mondo. La forza di FlashStart è rappresentata da: velocità, aggiornamento continuo, applicabilità e flessibilità.
Il filtro DNS è distribuito a livello globale tramite una Rete Anycast di datacenter presenti nei diversi continenti e che permettono collegamenti istantanei garantendo una latenza minima.
Utilizza un mix di intelligenza umana e artificiale per scannerizzare costantemente il web al fine di evidenziare nuove minacce e nuove versioni di minacce conosciute.
I DNS ritenuti pericolosi vengono poi aggiunti alle liste presenti nel cloud e così gli utenti beneficiano direttamente della protezione aggiornata, senza sottoporre il sistema ad alcun avvio.
Il filtro web DNS di FlashStart può essere applicato su qualsiasi dispositivo. All’interno della rete aziendale, di una organizzazione e di istituti scolastici di ogni ordine e grado; è compatibile con ogni tipo di Router, WiFi Hotspot, Firewall, Gateway e supporta l’IP statico e dinamico.
Fuori dalla rete di lavoro o studio, FlashStart garantisce la protezione tramite ClientShield, l’end-point application scaricabile su qualsiasi dispositivo per filtrare il traffico Internet.
Gli Amministratori di Rete possono impostare FlashStart secondo i propri bisogni.
La piattaforma blocca in modo automatico i contenuti pericolosi, come malware e tentativi di phishing, e i contenuti per adulti, come siti pornografici e gioco d’azzardo. L’applicativo permette però di autorizzare ciò che è bloccato o decidere di filtrare anche i contenuti che causano distrazione, come i social network o i siti di shopping online, e di creare liste con siti specifici ai quali si vuole impedire l’accesso.
Infine, le impostazioni sul Cloud permettono di agire con granularità: si possono infatti applicare questi blocchi a gruppi di utenti diversi e/o in diverse fasce orarie, al fine di garantire la concentrazione durante l’orario di lavoro, oppure distinguere le possibilità di accesso a seconda dei reparti e aumentare quindi l’efficienza dei propri dipendenti.
>> FlashStart è cresciuta negli anni grazie alla sua competenza e affidabilità ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
5.1 FlashStart per Navigo
“Grazie al team preparato e competente di FlashStart siamo riusciti a configurare in velocità la protezione sulla rete arginando immediatamente le minacce malware.”
Daniel Zilio / CTO Navigo
L’azienda Navigo garantisce una fornitura ed installazione di accessi internet a banda larga ed ultra larga via PONTE RADIO grazie alla tecnologia proprietaria FTTA (Fiber To The Air) e FIBRA OTTICA in grado di erogare collegamenti fino a 1 Gigabit.
Offrono inoltre servizi e soluzioni per la realizzazione di reti Wireless Indoor e Outdoor professionali per gestione magazzino e Mobile Device, servizi di Data Center su Server Farm di proprietà: hosting, housing, ambienti virtuali e soluzioni di virtualizzazione e soluzioni dedicate per il traffico voce in tecnologia IP, servizi di telefonia fissa per la Tua azienda, che permettono di diminuire le spese telefoniche.
Con FlashStart sono riusciti a soddisfare la necessità di controllare i contenuti e mitigare il malware. I continui attacchi possono inficiare l’infrastruttura richiedendo più controllo e manutenzione.
“Ci siamo riusciti in maniera facile e veloce. Grazie al filtro web FlashStart questi attacchi vengono neutralizzati sul nascere proteggendo tutte le connessioni dei nostri clienti.”
Daniel Zilio / CTO Navigo
FlashStart ha applicato la protezione malware a tutti i clienti (circa 2.000) grazie alla cache DNS. Il prossimo passo sarà quello di proporre la protezione dei contenuti ai clienti che ne faranno richiesta, ampliando l’offerta di servizi rivolti ad aziende e privati.
“Era giunto il momento di ricorrere a un filtro web data la continua espansione del nostro network e del nostro parco clienti. Fra i tanti filtri abbiamo scelto FlashStart perchè ad un ottimo prezzo corrisponde un ottimo servizio. L’assistenza è senza dubbio un punto di forza del prodotto in quanto i tecnici, gentili e preparati, sono sempre a disposizione per aiutarti nelle configurazioni e nel risolvere i problemi dei clienti. Allo stesso tempo il filtro è semplice da usare e molto efficace! Sin da subito abbiamo riscontrato un miglioramento delle prestazioni grazie all’inibizione del malware.”
Daniel Zilio / CTO Navigo
Ecco un estratto dell’incontro tra FlashStart e il CTO Daniel Zilio di Navigo Pro che ci racconta la sua esperienza con il filtro:
>> FlashStart è il filtro web che blocca ogni giorno 80 milioni di siti Internet indesiderati ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
5.2 FlashStart per E-Mind
E-Mind nasce nel 1997 come ISP (Internet Service Provider), uno tra i primi in Italia. In breve tempo, integra le competenze tecnico sistemistiche con quelle di grafica e comunicazione, con l’obiettivo di fornire soluzioni integrate di comunicazione on line, web marketing ed e-commerce, attraverso l’utilizzo delle più moderne tecnologie.
Il CTO di E-Mind di Bologna Matteo Falconi ci racconta la loro esperienza con il filtro FlashStart:
>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
6. L’esperienza FlashStart
Una veloce ricerca su Internet ci mostra che oggi possiamo scegliere tra varie soluzioni di filtro DNS .
FlashStart possiede gli indicatori necessari per fornire un accurato filtro DNS :
» Protezione a livello globale grazie ad una forte Rete Anycast distribuita in diversi Paesi del mondo;
» Latenza: oggigiorno la velocità è essenziale. FlashStart garantisce una latenza quasi a zero, e si trova quindi al passo con le altre soluzioni avanzate di filtro DNS disponibili in rete;
» Servizio: blocchi improvvisi, malfunzionamenti, disconnessioni di servizio…sono tutti piccoli problemi che richiedono un servizio veloce e puntuale. FlashStart si interfaccia costantemente con i propri clienti e dispone di un servizio di assistenza attivo 24/7 in italiano, inglese e spagnolo.
In relazione alla delibera 16/22/CONS in cui l’AGCOM inizia l’iter di consultazioni per l’adozione di linee guida con l’obiettivo di attivare sistemi di protezione dai rischi nel Cyberspazio, FlashStart consiglia a tutti gli ISP/WISP di attivare fin da ora una free trial per i propri utenti, per verificare con strumenti analitici i contenuti pericolosi e le minacce filtrate.
Il testo riportato successivamente è la trascrizione testuale delle principali parti del webinar “Parliamo del decreto 28/2020 dedicato alla protezione ISP & WISP ” svolto il 26/05/2021; ha partecipato: Andrea Monti
L’obbligo del Parental Control per ISP e WISP
» Andrea:
Le responsabilità, talvolta esagerate, sulle spalle degli internet provider
L’argomento di oggi tratta di un onere organizzativo che viene imposto sulle spalle degli Internet Provider. Come sapete, facendo questo lavoro, il tema della responsabilità per i contenuti fatti circolare sulle reti o messi a disposizione dagli utenti è storicamente sempre stato affrontato cercando di colpevolizzare gli Internet provider, perché in proporzione sono pur sempre aziende che esistono e che hanno qualcosa da perdere.
Per questo sono immediatamente raggiungibili e obbligati a fare cose che altrimenti il singolo utente, cioè il vero responsabile della grande maggioranza dei comportamenti illeciti che accadono online, non sarebbe mai condannato a fare.
» Andrea:
La lunga lista di obblighi da parte degli internet provider e la relazione con il principio di non responsabilità
Per ragioni di immagine nessuno se la vuole prendere con chi condivide contenuti illeciti o con chi partecipa ad attività discutibili anche se non illegali. Molto più comodo imporre limitazioni agli internet provider, soprattutto costringendoli a sopportare i costi di queste attività senza nessun tipo di indennizzi o ristori.
Anche se la direttiva del Vietti (ovvero la famosa direttiva e-commerce), prevede che l’internet provider non sia automaticamente responsabile di quello che fanno i suoi utenti se si limita a fare meno trasporto oppure hosting passivo, la realtà è che nei fatti le cose stanno cambiando: se è vero che da un lato rimane questo principio di non responsabilità, dall’altro lato, a partire dal caso The Pirate Bay, in Italia si è ampliata la lista delle attività che gli internet provider sono obbligati a fare.
» Andrea:
La limitazione dei dati di traffico e il necessario intervento dei social network
Ad esempio la conservazione dei dati di traffico, quelli che di voi sono operatori autorizzati dal Mise sono appunto obbligati a conservare per 72 mesi i dati di traffico telematico generati dagli utenti, c’è chi si limita a conservare i dati di autenticazione del Radius e chi invece, in particolare per quanto riguarda il VoIP, si spinge molto più avanti, non c’è una regola definita.
In realtà il tema della limitazione del controllo sui contenuti interessa molto di più le istituzioni specie quelle comunitarie di quanto interessino invece altri aspetti ben più rilevanti, come appunto la cooperazione con l’autorità giudiziaria.
Come oramai saprete il tema delle fake news e delle shit-storm, che di routine si organizzano attraverso i social network, hanno raggiunto un livello tale di importanza da richiedere una qualche forma di intervento. Purtroppo però è evidente la mancanza di abbastanza poliziotti e magistrati per indagare e mettere in atto processi relativi ad ogni abuso verbale che si gira sulle varie piattaforme di social networking .
» Andrea:
L’articolo 7 bis e l’ulteriore responsabilità caricata sui service provider
La soluzione più semplice adottata a livello comunitario e in Italia, è stata quella di dire: “Sapete che c’è di nuovo? Visto che i provider già ci devono dare una serie di cose e devono conservare i dati di traffico, mettiamogli sulle spalle anche il compito di mettere le mutande sui router”.
La norma, che è l’articolo 7 bis di questo decreto legge, dice: tutti gli operatori autorizzati devono offrire di default alla propria utenza residenziale il servizio pre attivato di filtraggio. Servizio che deve essere da un lato gratuito e dall’altro disattivabile solo su richiesta espressa dell’utente.
» Andrea:
Quante responsabilità può sopportare l’internet service provider?
Già su questo primo punto incontriamo qualche problematica, perché è passato il concetto che io posso caricare come l’Internet provider ogni volta che c’è qualcosa da fare scaricando su di lui tutti quanti i costi di questo adempimento.
Bisogna fare attenzione, perché se il carico diventa troppo pesante anche il “mulo” più forte crolla.
» Andrea:
Ulteriori doveri dei Service Provider
Purtroppo è passato il concetto, confermato con il discorso dell’oscuramento dei siti, che si può aggiungere degli oneri aggiuntivi: ovvero quello della attivazione ed erogazione del servizio e della pre-attivazione gratuita.
Questo ci dimostra come si continuino a caricare i provider di obblighi ai quali non dovrebbero essere sottoposti, perché nei fatti non spetta al provider decidere cosa una persona può o non può fare mediante un accesso alla rete.
» Andrea:
Le carenze e i limiti dell’articolo 7 bis
Il problema concreto ed operativo di questo articolo 7 bis è indicato dal fatto che da un lato tutti utilizziamo filtri antispam e filtri antivirus per cercare di arginare l’immondizia che gira on-line, e facciamo tutto questo su base sostanzialmente volontaria: con l’articolo 7 bis del decreto legge tutto, soprattutto i filtri, diventa un obbligo legale.
La norma non fa riferimento a contenuti illeciti ma dice esplicitamente che, questi sistemi di controllo parentale, dovrebbero bloccare contenuti inappropriati per i minori e contenuti vietati ai minori.
Non stiamo parlando di contenuti illeciti, materiale osceno, violazione del diritto d’autore e via discorrendo. Quelli sono già tutelati dalla legge penale e ci pensano le Procure della Repubblica ad occuparsene.
» Andrea:
Dubbi e possibili miglioramenti all’articolo 7 bis
L’articolo 7 bis fa riferimento alle scelte morali ed individuali vincolando l’utente ad esse, senza tenere in considerazione che sul mercato ci sono già delle piattaforme che consentono di selezionare le tipologie di blacklist. In altri termini sarebbe molto più corretto che ciascuno, a seconda delle proprie convinzioni filosofiche e politiche, decidesse se utilizzare una blacklist di un tipo piuttosto che di un altro invece di sottostare a ciò che impone la legge.
Capite bene che questo è un obbligo sostanzialmente impossibile da rispettare, già solo tra i minori c’è molta differenza tra quello che ha 10 anni e quello che ne ha 17. Ci si dovrebbe rapportare in modo diverso in funzione del tipo di minore col quale si ha a che fare.
La prima difficoltà che c’è quindi nell’applicare questo articolo 7 bis sta proprio nel fatto che i contenuti inappropriati per i minori sono una categoria estremamente labile da definire.
» Andrea:
L’incoerenza degli accessi/non accessi riservati ai minorenni
L’altro problema è quello dell’accesso ai contenuti riservati ai maggiorenni: quali sono i contenuti riservati ai maggiorenni. Non solo e non tanto quelli di tipo sessuale ma anche per esempio quelli legati all’alcol, al fumo o al gioco ad esempio.
Alcol e fumo non possono essere pubblicizzati, però ciò non toglie che ci possano essere dei contenuti che possano parlare di questo tipo di prodotti.
» Andrea:
L’incoerenza delle direttive verso le possibilità degli Internet Service Provider
Attenzione la norma non si applica ai contenuti illegali. Stiamo parlando di contenuti illeciti ma inappropriati per i minorenni o di contenuti leciti ma riservati solo ai maggiorenni.
Nei fatti, da un punto di vista pratico, applicare questa norma significherebbe violare appunto quello che la direttiva e-commerce ha stabilito già nel 2000 e nel 2003, ovvero che gli Internet provider non può sorvegliare preventivamente i propri utenti.
» Andrea:
L’impossibilità nell’applicare la norma del 2000 e del 2003
Per applicare questa norma io dovrei andare letteralmente a sbirciare nella vita individuale di ciascuno e decidere cosa è accessibile e cosa no.
E’ chiaro che diventa estremamente difficile applicare questa norma, anche perché chi l’ha scritta, molto probabilmente, aveva in testa solamente l’HTTP, ma nel momento in cui si parla genericamente di servizi di comunicazione elettronica non ci si limita certo solamente alla componente web, ci possono essere anche altri protocolli, anche se meno usati da più come FTP, a cui la norma si applica in modo trasversale.
» Andrea:
La difficoltà nell’applicare questa norma e la conseguente “non entrata” in vigore di questa
Questa norma così com’è scritta non è mai entrata veramente in vigore, le motivazioni risiedono proprio nei problemi legati alla individuazione delle blacklist, cioè proprio alla individuazione dell’elenco di ciò che rappresenta un contenuto inappropriato o appropriato per un minorenne.
Nel concreto è estremamente difficile bloccare qualsiasi tipo di file: com’è possibile entrare nel merito di quello che viene pubblicato su un profilo di un social network o dei commenti presenti in un sito?
» Andrea:
Le sanzioni della norma e la conseguente poca chiarezza delle varie situazioni
Quindi la domanda viene da sé, cosa si può fare? L’attivazione gratuita di questi servizi, almeno in questo momento, non è possibile perché non è prevista o stabilita da nessuno in quali di questi contenuti si dovrebbe intervenire.
La norma poi è scritta male anche sul lato sanzioni: infatti la legge afferma che se il provider non rispetta gli obblighi che vengono imposti dall’articolo, allora dovrà restituire al cliente la quota di servizio che non gli ha erogato.
Certo è però che se, io provider, non gli dò il servizio e nel mio abbonamento non è compreso il parental control, allora non vi è rimborso da poter restituire.
» Andrea:
Conclusioni e possibili “tamponamenti” a questi problemi
In conclusione, quello che ha senso fare, è cercare di continuare a utilizzare sistemi standard di filtraggio a livello perimetrale, come si fa già come con l’antispam, con gli antivirus o con le varie forme di content blocking che sono disponibili.
Tutto ciò in attesa di quello che a tutti gli effetti, se arriverà mai, sarà un atto di censura del governo che deciderà appunto la dimensione e la taglia delle limitazioni da imporre sui router dell’utenza residenziale.
“Il testo riportato successivamente è la trascrizione testuale delle principali parti del webinar “Case study | ISP & WISP | Navigo Pro” svolto il 26/05/2021; hanno partecipato: Daniel Zilio, Francesco Collini.”
Case Study | ISP & WISP | Navigo Pro
» Daniel:
Navigo e la collaborazione con FlashStart
Io sono Daniel Zilio, responsabile tecnico. Sviluppo rete della ditta Navigo, siamo un piccolo operatore che lavora nel Veneto, principalmente con una rete proprietaria via wireless, ma anche con tutti i servizi connessi via cavo.
Abbiamo implementato da poco la soluzione FlashStart nella nostra rete, per filtrare la navigazione soprattutto da attacchi malware, lo step successivo sarebbe quello di andare a filtrare i contenuti secondo le leggi nonostante la poca chiarezza di quest’ultima.
» Daniel:
In quale modo Navigo utilizza il sistema di filtraggio FlashStart
Noi l’abbiamo implementato in modo un po’ diverso rispetto ai colleghi di E-Mind, ovvero abbiamo preferito utilizzare un sistema di cash DNS, quindi sfruttando i nostri DNS interni, perché tutte le CPE clienti già puntano ai nostri due DNS, ed è stato più semplice implementarlo con una rotazione automatica di tutto il traffico.
Sin dalle prime settimane abbiamo notato un incremento del filtraggio dei malware. Inizialmente avevamo tentato di abilitare i filtri in base ai contenuti non appropriati per gli adulti, però non è stato semplice perchè pensavamo di fare una cosa “carina” dal punto di vista familiare, per cercare di proteggere i bambini, ma non è recepito proprio nel modo corretto.
» Daniel:
La sicurezza aziendale attraverso il filtraggio
Quindi abbiamo dovuto fare un passo indietro e limitarci al filtro dei malware.
Nei mesi di utilizzo si nota un filtraggio drastico, chiaramente in termini di banda non si può notare questa miglioria, l’esigenza dell’azienda era quella di imporre un certo grado di filtraggio della navigazione, per dare già un primo step più sicuro ed affidabile per tutta la nostra l’utenza.
» Daniel:
L’esperienza con FlashStart e la comodità di quest’ultimo
Ci è piaciuto il mondo collegato a FlashStart: le personalizzazioni, il collegamento dell’active directory, i Client Shield e quant’altro.
È quindi una nostra volontà portare avanti una proposta ai clienti aziendali, non dal punto di vista residenziale, però abbiamo visto una piattaforma abbastanza flessibile e soprattutto un team dinamico che risponde subito anche quando si trovano delle difficoltà di domini bloccati in modo errato.
» Daniel:
Le prestazioni del filtro
Lavorando con due Cloud Box, perchè avendo due server DNS su due Data Center diversi la latenza è bassissima, non si è vista nessuna differenza dal punto di vista prestazionale da parte dei clienti se non chiaramente il filtraggio della navigazione e i blocchi dei siti indesiderati.
Il testo riportato successivamente è la trascrizione testuale delle principali parti del webinar “Case Study | ISP & WISP | E-Mind” svolto il26/05/2021; hanno partecipato: Matteo Falconi, Francesco Collini.
Case Study | ISP & WISP | E-Mind
» Matteo:
E-mind e la collaborazione con FlashStart
E-Mind è un piccolo operatore che nasce nel 97, con i vecchi modem, che si è evoluta nel tempo su quella che è la Wireline Telecom, piuttosto che Open Fiber con connettività su vari media.
Flashstart entra in gioco per quello che concerne la fornitura dei servizi di filtraggio contenuti ai nostri utenti. Veniva attivato direttamente sulla CPE del cliente e quindi impostato con l’ausilio di un tecnico in base alle esigenze del cliente.
» Matteo:
La configurazione attraverso il DNS FlashStart
Con l’avvento della nuova normativa l’abbiamo esteso a quello che è invece tutto il nostro aggregato di indirizzi IP, per cui sostanzialmente nel giro di pochi minuti abbiamo configurato il RADIUS per le classi di servizio domestico, in modo da passare i DNS di Flashstart su un profilo generico che attualmente non assolve agli obblighi relativi al filtraggio dei contenuti per minori ma che, con pochissimo sforzo tecnico, abbiamo già configurato per le categorie di malware e quant’altro.
» Matteo:
Le segnalazioni di Bit ninja e i conseguenti cali con il filtro FlashStart
Facendo una breve digressione su questo aspetto: il carico che noi subiamo di connettività difficilmente viene impattato da quelle che sono tematiche di accessi non voluti di malware che sono presenti sulle reti dei clienti, l’aspetto banda non è quindi sostanziale molte volte.
Quello che è sostanziale sono le famose segnalazioni di Bit ninja ed affini, tali per cui ti segnalano la CPE del cliente che ha fatto quella cosa, quel giorno e a quell’ora.
Da quando abbiamo attivato questo filtro, le segnalazioni sono calate perché il classico malware viene filtrato dal filtro malware che abbiamo inserito di default sugli abbonamenti residenziali.
» Francesco:
Domanda su altri filtri DNS
Come avete fatto per evitare che gli utenti cambino Dns, magari mettendo google o altri DNS free, che scavalcano i filtri cloud?
» Matteo:
Come evitare che gli utenti usino altri filtri che rischino di “scavalcare” FlashStart
Noi come policy diamo agli utenti business solamente indirizzi IP statici, quindi per me è stato semplice fare un redirect della porta 53 in uscita UDP verso i DNS di Flashstart.
Quindi, anche se sul router dell’utente viene passato il DNS di FlashStart, il quale a sua volta inoltra o proxa, quelle richieste sul DNS che viene passato da me, se imposta invece Google sul telefono non segui più l’applicativo.
Questa problematica, appunto, l’abbiamo risolta mettendo un’ulteriore regola sul border gateway con un redirect della porta 53 verso l’IP del DNS di FlashStart.
» Matteo:
Le regole sul DNS e le loro conseguenze sul traffico
Quindi in quel caso la classe di IP dinamici subisce questa ulteriore regola di Nat, che va a forzare il traffico sui DNS del servizio cloud.
In questo modo ha il 100% di copertura.
Questo tipo di approccio è un pelino peggiorativo rispetto all’ impostare i DNS; impostandolo come DNS sulla CPE, segui la dinamico primario – secondario: quindi nel caso in cui ci sia un problema tecnico o un tempo di risposta troppo alto, si bilancia il traffico delle query invece il NAT, purtroppo, ti dà la possibilità di “colpire” una volta sola e quindi hai sempre il carico sul primo DNS che ti che ti hanno fornito e che subirà tutto il traffico degli utenti che passano su quella regola lì.
Per un tecnico non è uno sforzo impossibile l’applicazione di queste regole. In compenso il vantaggio è tanto perché è possibile andare, un domani, con un clic ad attivare il filtro per i contenuti non adatti ai minori.
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.