Filtrowanie sieciPraktyka, techniki, produkty

Warstwy filtrowania

IP

DNS

Treść Adres

Co widzi filtr?

•"Lorem ipsum dolor sit amet, consectetur adipisicing elit”Treść

•http://www.lipsum.com/Adres

•www.lipsum.comDNS

Szybkość

Adres DNS IP

Lokalizacja filtraZalety Wady

Komputer lokalny • Wie jaka aplikacja• Wie kto• Widzi ruch w SSL

• Wymaga programu• Można go wyłączyć• Spowalnia komputer

Brama sieciowa • Widzi więcej• Trudno obejść• Nie można wyłączyć

• Kosztuje dużo• Spowalnia sieć• Nie widzi w SSL

Precyzja klasyfikacjiPrecyzja Wydajność

Treść Wysoka – działa ad hoc, ale łatwo o błędy

Niska – czasochłonna analiza treści każdej strony

Adres Wysoka – ale wymaga uprzedniej klasyfikacji

Niska – przeszukiwanie ogromnych baz URL

DNS Średnia – blokuje wszystkie strony w danej domenie

Wysoka

IP Niska – blokuje wszystkie domeny na danym serwerze

Wysoka

Rynek - początki• CyberPatrol (1995), CyberNanny etc• Prymitywna instalacja

• Program lokalny• Przechwytuje połączenia przeglądarek

• U nas - Beniamin (2006), Cenzor (2008)

Prymitywne filtrowanie• Słowa kluczowe (np. „sex”) w

• Treści („Free Sex Video Filmiki Erotyczne”)• Nazwie domeny (sex.wikipedia.org)• Adresie URL (http://wikipedia.org/Sex)• Liczne błędy w klasyfikacji („Sussex”, „Essex”)

• Jedna, zbiorcza czarna lista „stron zakazanych”• Strony porno• Strony konkurencji

• Przypadkowe i niejasne kryteria klasyfikacji

Heurystyka• System punktowy

• Np. jeden punkt za każde brzydkie słowo• Limit powyżej którego strona jest blokowana

• Modyfikacje• Wagi – słowo „pupa” dostaje mniej punktów niż „dupa”

Klasyfikacja adresów URL• „Sklasyfikujmy wszystkie adresy URL na świecie”• Większa precyzja

• http://freehosting.org/sex-site (Porn)• http://freehosting.org/sex-differences (Biology)

• Trudne do zautomatyzowania• Wymaga uczestnictwa człowieka

• Znającego dany język i kulturę

• Konsekwencje• Ogromny, ciągły koszt klasyfikacji• Bazy mają wiele gigabajtów• Cykliczne aktualizacje• Wydajność filtrowania

Rynek – klasa „enterprise”• Wyspecjalizowane urządzenia (np. WebSense, BlueCoat)• Oprogramowanie darmowe (np. DansGuardian)

• TANSTAFL (jak Snort, Nessus)• Bazy płatne (np. SmoothGuardian, CorporateGuardian,

URLBlocklist)• Przechwytywanie SSL

• Niezauważalne, jeśli ufam certyfikatowi filtra• Klasyfikacja

• 50+ kategorii• Np. Sports, News/Media, Social Networks, Porn, Suspicious, Fraud…

• Obsługa reklamacji• „Ta strona jest błędnie sklasyfikowan? Zgłoś to”

Filtrowanie reputacyjne• Publiczne czarne listy

• Listy adresów IP spammerów, hackerów, sieci abonenckich itd.• Poziom IP (np. DNSBL)

• Listy domen dystrybuujących złośliwe oprogramowanie• Poziom DNS (np. malwaredomains.com)

• Listy adresów stron z malware• Poziom URL

• Zasilane zwykle z pułapek• Systemy-przynęty (honeypots), pułapki emailowe

Blokady reputacyjne• Zastosowania

• Po stronie serwerów – „tych państwa nie obsługujemy”• http:BL, DShield, iBlocklist (IP)

• Po stronie klientów• OpenDNS → PhishTank (IP)• Microsoft SmartScreen Filter, Google Safe Browsing (URL)• PeerBlock, PeerGuardian → iBlocklist (IP)

• Ochrona przed firmami antypirackimi, pedofilami (!)

Filtrowanie w skali kraju• Organizacja pozarządowa

• 1996 – ISPA, Metropolitan Police, Home Office, Safety Net Foundation

• Zaufanie ze strony ISPA, mało widoczne dla użytkowników• Działalność

• Zarządzanie listą CleanFeed• Zgłaszanie policji stron hostowanych w UK

• Klasyfikacja stron• Na podstawie zgłoszeń• Wewnętrzne kryteria oceny („four police-trained analysts”)• Bez wyroku sądu• Kilka kontrowersyjnych przypadków

• Wikipedia – Virgin Killer• Odblokowane po 3 dniach

Internet Watch Foundation• Tworzy i udostępnia „czarną listę”

• „Every URL on the list depicts indecent images of children, advertisements for or links to such content, on a publicly available website. The list typically contains 500 - 800 URLs at any one time and is updated twice a day to ensure all entries are still live„ (Internet Watch Foundation)

• Zamknięta dystrybucja listy (brytyjscy ISP)• Baza adresów IP oraz URL• Tzw. CleanFeed

• Opt-in, ale 95% pokrycia• Także Kanada (80%), proponowane w Australii• Stosunkowo niewielka baza

• Bardzo szybka rotacja• Dane starsze niż 1 miesiąc w danym momencie

• Średnio 60, odchylenie standardowe 54 (!)

• Z ok. 43 tys. zgłoszeń rocznie (!)

Jak działa CleanFeed

Klient

•199.181.132.250•Połącz z tym IP

ISP

www.disney.com

•Pokaż stronę Disney

A jeśli jest?

Klient

ISP

IWF

www.disney.com

•Pokaż stronę Disney

Sprytne:• Wydajność – pierwsze filtrowanie po IP• Kontrola URL tylko dla serwerów zawierających zablokowane strony (0,01%?)• Precyzja – blokowanie tylko konkretnych URL

Filtrowanie w skali kraju• Great Firewall of China

• Selektywny routing IP, blokowanie i przekierowanie DNS, filtrowanie URL, filtrowanie pakietów (inne protokoły)

• Arbitralne i niejawne kryteria blokowania• Liczne problemy z wydajnością• Eksport – Kuba, Zimbabwe, Białoruś

Filtrowanie w skali kraju• Rejestr Stron i Usług Niepożądanych (MF)

• Rozmyty i dynamicznie rosnący katalog kryteriów• Ułomna procedura odwoławcza• Absurdalne argumenty ekonomiczne

• Oczekiwane korzyści dla Skarbu Państwa wzięte z sufitu• Nowy urząd klasyfikujący strony – 5 mln zł• Koszt po stronie ISP, wpływ na koszt usług – zignorowany

• "Koszty ponoszone przez przedsiębiorcę telekomunikacyjnego będą ograniczone do stworzenia prostego oprogramowania filtrującego oraz dokonującego aktualizacji blokowania adresów."

• Brak zaufania społecznego do operatora

Wyzwania i problemy• Odpowiedzialność za klasyfikację stron

• Strony niesklasyfikowane• Dlaczego zobaczyłem to czego nie powinienem?

• Błędna klasyfikacja• Dlaczego nie zobaczyłem tego co powinienem?

• Wydajność sieci• Spadek wydajności sieci spowodowany filtrowaniem• Zatory, przekroczenie czasu oczekiwania• Blokady wynikające z błędnej klasyfikacji

• Koszt dostępu do sieci• Infrastruktura filtrująca jest kosztowna

• Koszty przenoszone na abonentów

Filtrowanie a pedofilia

• Raport• Flagging and Co-ordination System (FACS) • Child Exploitation and Online Protection (CEOP)• US Financial Coalition Against Child Pornography

• 14,5 tys. stron pedofilskich pochodzących ze zgłoszeń• 2009-2010 spadek stron w rejestrze o 78%• Po roku działało tylko 0,3% stron

• ~40 stron (!)• Wysoka skuteczność działań policji

• Cykliczne zatrzymania w całej Europie – Interpol, Europol

DansGuardian, Wrocław• Maj 2011, darmowy Internet miejski

• Oficjalny cel blokady? Anegdotyczne wypowiedzi urzędników...

• Zablokowany wywiad na stronie Krytyki Politycznej• Jaki był powód blokady?

• Nie wiadomo („przekroczono limit fraz liczonych wagowo”)• Spekulacje internautów

• W artykule? A może w komentarzach?• →Czy dowolną stronę można zablokować komentarzem z odpowiednimi

słowami?• Np. „akty” plus „kobiety”

• Jakie są możliwości reklamacji?• „Taka opcja ma sens jedynie przy serwisach komercyjnych, zatrudniających do tego

odpowiedni personel. W przypadku bezpłatnego Internetu Miejskiego nie mamy funduszy na zatrudnienie urzędników tylko do rozpatrywania odwołań”