[ITNOG] Delibera 09/23/CONS parental control, POC architettura

Massimo Fontanive massimo@progetto8.net
Ven 28 Lug 2023 18:19:35 CEST 

Ciao,

anch'io sto pensando ad una architettura simile, con alcune variazioni.

Ad esempio, una ipotesi è una struttura a 3 livelli su almeno 2 resolver 
dedicati al Parental Control (primario/secondario). Ogni resolver avrà 
questa struttura:

DNS PROXY/CACHE (load balancing sui 2 resolver) ---> DNS RESOLVER LOCALE 
(con gestione Blacklist governative) --> COPPIA DI DNS RESOLVER FILTRATO 
(servizio di terze parti)

In questo modo, ottengo una certa resilienza (coppia di DNS in load 
balancing), sono complaint con le blacklist governative (ADM, AGCOM, 
CNCPO, ecc) e mi svincolo dal problema di dover tenere aggiornate delle 
liste scaricate chissà dove scaricando la responsabilità su un terzo 
(basta dichiarare chi è il fornitore e quali categorie si usano per 
filtrare, come da linee guida)

Inotre, ho un grosso risparmio di costi del fornitore, perchè faccio 
cache locale e passo soltanto le richieste dei clienti che hanno 
Parental Control attivo (quindi meno QPS).

L'unico problema che vedo è la granularità del filtro. C'è un numero 
minimo di categorie che devono essere configurabili dall'utente finale?

Se, come credo, non c'è ma la norma obbliga a rendere configurabili le 
categorie opterei per definire un set minimo (tipo 2/3 macro categorie) 
ed automatizzare questa configurabilità da parte dell'utente. Ma questo 
nella prossima mail ;-)

Massimo


Il 28/07/2023 16:59, Matteo Sgalaberni ha scritto:
> Ciao a tutti,
>
> volevo condividere un'idea di architettura per l'applicazione della 
> 9/23/CONS (Parental control) che allego.
>
> L'ho costruita pensando di fare qualcosa di semplice dal punto di 
> vista architetturale e senza dipendenze.
>
> Se qualcun altro ha identificato soluzioni più semplici e/o robuste e 
> vuole condividere queste informazioni, è il benvenuto.
>
> Circa le liste da cui raccogliere l'elenco dei domini da bloccare 
> rimane un forte dubbio amletico. Io ho provato a contattare anche C** 
> di società di sicurezza che offrono DNS as a service in EU e US, e mi 
> è stato risposto da tutti che non rivendono le loro liste, che non le 
> comprano da nessuno e che se le fanno trovando liste open un po' di 
> qua e un po' di la' senza grande "scienza" dietro...
>
> Un punto per ottemperare alla delibera sarebbe comunicare anche da 
> dove prendiamo le liste... non so se dire "le ho trovate su google e 
> github un po' a caso" sia accettabile ;)
>
> Qualcuno è riuscito a trovare qualche fornitore di liste con cui si 
> possa fare regolare contratto?
>
> Ciao!
>
> Matteo Sgalaberni
>
-- 
---------------------------------------
*Massimo Fontanive*
Network operations


Progetto 8 Srl
Via XXI Aprile 76
29121 Piacenza
Tel. 0523.1885611
Fax 0523.1880303
www.progetto8.net <http://www.progetto8.net>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20230728/d203c4ff/attachment.htm>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        0cuUe9rGYAjHnX5L.png
Tipo:        image/png
Dimensione:  6234 bytes
Descrizione: non disponibile
URL:         <http://lists.itnog.it/pipermail/itnog/attachments/20230728/d203c4ff/attachment.png>

Maggiori informazioni sulla lista itnog