Filtro DNS e filtro web: qual è la differenza?

Entrambe le policy di filtro dei contenuti mirano di fatto a raggiungere lo stesso obiettivo di cybersecurity, ovvero proteggere l'utente (e il suo sistema) dai contenuti di siti web dannosi o di altri malintenzionati. Ogni forma di controllo degli accessi è costruita in modo diverso per svolgere funzioni correlate ma separate.

Il filtro DNS si basa sul domain name system (DNS) e il suo obiettivo è quello di intercettare siti web potenzialmente pericolosi prima che sia possibile accedervi. Il filtro web implica misure di sicurezza più complete che rilevano i siti pericolosi analizzandone i metodi. 

Prima di procedere ulteriormente, prendiamo in esame quali tipi di contenuti web vengono ricercati attivamente per l'esclusione da entrambi i tipi di filtri.

In passato, il termine "contenuto inappropriato" significava "contenuto per adulti", termine tradizionalmente utilizzato per indicare contenuti esplicitamente sessuali. Le tendenze recenti hanno visto questo termine generico espandersi fino a coprire una gamma più ampia di materiale potenzialmente offensivo, compresi i siti che trattano di incitamento all'odio o ideologie violente.

Inoltre, in parte a causa dell'esplosione dell'uso delle fotocamere dei cellulari e dell'ascesa senza precedenti dei social media, ora c'è una preponderanza online di riprese video acquisite dagli utenti. Questo tipo di contenuti include tutto ciò che è degno di nota, alcuni dei quali descrivono dettagliatamente immagini esplicite e illegali. Tutti questi contenuti possono essere considerati inappropriati, sebbene questo termine soggettivo rimanga aperto ad alcune interpretazioni.

Passiamo ora ai contenuti più puramente pericolosi. Potrebbero contenere o non contenere immagini offensive, ma probabilmente no, perché è più efficace che appaiano perfettamente normali, come il leggendario cavallo di Troia. In questo modo, molto probabilmente gli utenti non sospettano che contenga qualcosa oltre ai normali contenuti.

Tuttavia, questa fuorviante normalità può nascondere una vasta gamma di attacchi informatici, inclusa l'introduzione di malware in un sistema per tentare di compromettere la  sicurezza della rete. Questo tipo di minaccia assume la massima urgenza quando prevede l'uso di ransomware progettato per tenere in ostaggio i sistemi degli utenti fino a quando non viene estorta una qualche forma di pagamento. I contenuti dannosi possono anche nascondere attacchi di phishing che cercano di ottenere dati riservati.

La terza categoria di contenuti web che richiede il filtraggio riguarda contenuti che non siano osceni o infiammatori, né probabilmente dannosi per la soluzione di sicurezza di un'organizzazione. Si tratta di contenuti che potrebbe essere indesiderati per diverse ragioni.

Sebbene il termine "indesiderato" si possa applicare anche a contenuti inappropriati e dannosi, qui parliamo di siti che presentano contenuti non produttivi. I siti di social media e le chat room non moderate rientrano in questa categoria, così come i siti di streaming video. Questa categoria include anche siti web specifici che utilizzano i reindirizzamenti per indirizzare l'utente verso altri siti web, oppure siti che bombardano gli utenti con sequenze infinite di messaggi pubblicitari. 

Il filtraggio DNS funziona rilevando le richieste DNS potenzialmente pericolose prima che possano essere eseguite e abbinate agli indirizzi IP. La sequenza è la seguente: 

1. Un utente avvia il processo richiedendo l'accesso a un determinato sito web.
2. In risposta a tali query DNS, il sistema dell'utente invia una richiesta DNS per convertire il nome di dominio più ampio (esempio: ibm.com) in un indirizzo IP.
3. Qui entrano in scena i servizi di filtraggio DNS. Un filtro DNS confronta il dominio richiesto con una "blocklist" di siti web potenzialmente pericolosi.
4. Se il dominio richiesto non è contrassegnato nella blocklist selezionata, la richiesta viene onorata e il sistema procede all'accesso al sito web in questione.
5. In alternativa, se il sito web richiesto è presente nella blocklist, il filtro DNS blocca l'accesso a quel sito e impedisce che l'indirizzo IP venga utilizzato dai server DNS.

Vale la pena notare che, quando un dominio viene bloccato dalle soluzioni di filtraggio DNS, questo blocco riguarda tutte le pagine web all'interno di quel dominio e non solo alcune pagine potenzialmente pericolose. Dal punto di vista della sicurezza, il filtro DNS aiuta a prevenire l'infiltrazione di siti web di phishing e di domini pericolosi.

Il processo di filtraggio web funziona in modo leggermente diverso rispetto al filtro DNS. È uno strumento più preciso del filtraggio DNS e ha una maggiore profondità analitica. Tuttavia, manca della tempistica preventiva del filtro DNS, e questa è una distinzione fondamentale tra i due. I passaggi per filtrare il Web sono relativamente semplici: 

1. I filtri web esaminano il traffico web effettivo che sta già arrivando al browser del sistema e che è in fase di caricamento.
2. I filtri web consentono all'utente di bloccare URL specifici, porzioni di siti web specifiche o persino intere categorie di siti web.
3. Gli amministratori della rete utilizzano il controllo preciso e granulare offerto dal filtro web per personalizzarne l'accesso. Questo metodo copre tutto, dai criteri di blocco delle pagine fino alla selezione delle singole parti di un sito che possono essere caricate. 

Una parte fondamentale del processo del filtro web è gestita da Secure Sockets Layer (SSL), una soluzione di sicurezza che crea un collegamento crittografato sicuro tra un server web e un browser web. 

Esistono alcuni importanti punti in comune tra il filtro DNS e il filtro web:

• Sia la metodologia di filtraggio web che le soluzioni di filtraggio DNS utilizzano i firewall, anche se in modi diversi. Il filtro web utilizza firewall di nuova generazione (NGFW) per valutare il traffico web a livello di applicazione e bloccare siti inappropriati o dannosi. Al contrario, il filtro DNS utilizza un particolare tipo di firewall DNS che funziona con altre misure di sicurezza che operano a livello DNS.

• In termini di protezione antivirus, non esiste una protezione antivirus dominante nel filtro DNS. Le aziende tendono invece a optare per uno dei tanti servizi di filtraggio DNS specializzati e personalizzati, come Cloudflare Gateway, Cisco Umbrella e Control D. Allo stesso modo, esistono molte soluzioni antivirus e di sicurezza degli endpoint progettate espressamente per il filtraggio web, come Microsoft Defender, Norton e McAfee.

• Sia il filtraggio DNS che il filtraggio web utilizzano una soluzione di sicurezza denominata Secure Web Gateway (SWG). Nel filtraggio DNS, l'SWG funziona come un livello protettivo. Una caratteristica comune di SWG è il filtro degli URL, che consente agli amministratori di esaminare e valutare gli indirizzi completi. Gli SWG eseguono un filtraggio web completo, controllando attentamente tutto il traffico Internet e installando i blocchi di pagina, se necessario.

• Le reti private virtuali (VPN) funzionano con i sistemi di filtraggio web, fornendo una connessione crittografata in grado di aggirare le restrizioni che regolano le reti locali. Il filtro DNS in genere funziona impedendo l'accesso a siti web specifici a livello DNS. Sebbene le VPN di solito bypassino il filtro DNS, numerosi provider di VPN offrono i propri schemi di filtro DNS, integrati in tali servizi.