[ITNOG] Delibera 09/23/CONS parental control, POC architettura

Massimo Fontanive massimo@progetto8.net
Ven 28 Lug 2023 23:14:54 CEST 

Allego lo schema di come ho pensato l'architettura di base:

https://drive.google.com/file/d/1IFABzkv3zByWJ5U28_F3Z9Ve0VCT8apY/view?usp=sharing


Nella mia idea il fornitore del servizio di filtraggio DNS consente la 
creazione di profili differenti attestati su DNS server con IP differenti.

Quindi sarebbe sufficiente ad esempio create 7 profili con 3 
combinazioni (es. pornografia, giochi_d_azzardo, armi+violenza+altro), 
che fanno capo a 7 coppie di IP del fornitore terzo.

Su Unbound sarà possibile classificare le categorie e i relativi DNS 
forwarder, e applicare le ACL che associano IP sorgente dell'utente con 
la combinazione di categorie desiderata.

Su RADIUS sarà necessario assegnare gli IP delle utenze in base alla 
configurazione "parental control" prescelta che sarà legata a un IP POOL 
specifico.

Ovviamente chi fa CGNAT non avrà grossi problemi, mentre chi assegna IP 
pubblici dinamicamente avrà un notevole spreco di IP.

E' pensabile di assegnare le ACL dinamicamente via Unbound API, 
dettagliando le /32 dei clienti?

Se queste problematiche sono già state affrontate in qualche consesso 
elitario/settario, sarebbe utile alla comunità avere qualche contributo 
costruttivo. Sempre che non si violi una qualche regola massonica ;-)

Grazie.

Massimo


Il 28/07/2023 16:59, Matteo Sgalaberni ha scritto:
> Ciao a tutti,
>
> volevo condividere un'idea di architettura per l'applicazione della 
> 9/23/CONS (Parental control) che allego.
>
> L'ho costruita pensando di fare qualcosa di semplice dal punto di 
> vista architetturale e senza dipendenze.
>
> Se qualcun altro ha identificato soluzioni più semplici e/o robuste e 
> vuole condividere queste informazioni, è il benvenuto.
>
> Circa le liste da cui raccogliere l'elenco dei domini da bloccare 
> rimane un forte dubbio amletico. Io ho provato a contattare anche C** 
> di società di sicurezza che offrono DNS as a service in EU e US, e mi 
> è stato risposto da tutti che non rivendono le loro liste, che non le 
> comprano da nessuno e che se le fanno trovando liste open un po' di 
> qua e un po' di la' senza grande "scienza" dietro...
>
> Un punto per ottemperare alla delibera sarebbe comunicare anche da 
> dove prendiamo le liste... non so se dire "le ho trovate su google e 
> github un po' a caso" sia accettabile ;)
>
> Qualcuno è riuscito a trovare qualche fornitore di liste con cui si 
> possa fare regolare contratto?
>
> Ciao!
>
> Matteo Sgalaberni
>

---------------------------------------
*Massimo Fontanive*
Network operations


Progetto 8 Srl
Via XXI Aprile 76
29121 Piacenza
Tel. 0523.1885611
Fax 0523.1880303
www.progetto8.net <http://www.progetto8.net>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20230728/079683da/attachment.htm>

Maggiori informazioni sulla lista itnog