Asso Dschola è stato per almeno un decennio il firewall open source preferito dalle scuole: grazie alla blacklist dell’Università di Tolosa bloccava i siti per adulti, zeppi di virus, e più in generale tutti quelli non adatti ai minori.
Ora però sono cambiate moltissime cose: la navigazione a “prova di privacy” dell’https ha reso obsoleti i sistemi di filtraggio basati su proxy come Asso Dschola; mentre il GDPR ci invita a mettere al sicuro i nostri profili online, i nostri messaggini social-privati e a difendere con tutte le forze la privacy dei video virali di gattini e tutorial.
Tutta questa giusta attenzione alla privacy, purtroppo, ha distolto l’attenzione dalla navigazione sicura e protetta, che è indispensabile, oggi più che mai, sia a casa sia a scuola. Sul web non ci sono soltanto social network e piattaforme – dotati di codici di autoregolamentazione su cui proprio in questi giorni ferve il dibattito – ma anche siti non adatti ai minori, violenti, infetti e perfino fuori legge.
Le iniziative per tutelare i minori in rete sono per fortuna numerose e il 9 febbraio 2021 si celebrerà il nuovo Safer Internet Day. Purtroppo l’approccio non scende mai sul tecnico: media education, workshop, stories, poesie…: saper usare un filtro no?
Trovarsi in classe con un sito vietato, aperto per errore, sui tablet dei ragazzi o sulla LIM può essere davvero pericoloso! Meglio avere un buon filtro in tutti i plessi o parlarne solo al Safer Internet day? che ne dite?
Ecco allora le indicazioni Dschola per fare un gesto concreto da presentare al Safer Internet Day: avere la navigazione protetta in tutti i plessi!
OpenDNS Family Shield
Utilizzeremo un sistema di filtro che si basa sui DNS in questo momento più efficace delle BlackList e – ovviamente per noi della scuola – GRATUITO!
Tra le varie soluzioni disponibili troviamo OpenDNS. che è un servizio di risoluzione di nomi in indirizzi Internet (DNS) che, nelle intenzioni del suo fondatore, l’hacker David Ulevitch non è controllato da governi o enti militari ed è quindi – almeno in teoria – libero da vincoli e da controlli su traffico internet e contenuti. Nel 2015 OpenDNS è stato acquisito da Cisco, ma lo spirito del servizio sembra rimasto per ora inalterato.
OpenDNS offre diversi tipi di filtraggio, e fornisce varie categorie già pronte di siti che possono essere bloccati, tra cui anche quelli infetti da Malware o sospettati di Phishing e di Typosquatting (errori di digitazione che portano a siti malevoli – possibilità in sè molto probabile a scuola!)
I DNS disponibili sono quattro: due tradizionali e due con l’opzione Family Shield, che prevede appunto il filtro dei contenuti. Noi useremo ovviamente i DNS Family Shield: 208.67.222.123 e 208.67.220.123
Il filtro dei siti web è disponibile in diverse versioni gratuite e a pagamento. Per le scuole la versione più semplice è il Family Shield Home: basta usare i DNS 208.67.222.123 e 208.67.220.123 per avere bloccato tutto ciò che è vietato ai minorenni; il servizio così com’è blocca più o meno tutto, risultando semplice ed efficace. Registrandosi online si possono di gestire le categorie di flitraggio e aggiungere siti da bloccare/sbloccare, ma le modalità preconfezionate funzionano già molto bene e a scuola in realtà non ci serve altro.
All’origine, questo filtro è pensato per le famiglie ed è quindi da consigliare anche ai genitori, per mettere in sicurezza le proprie connessioni domestiche.
Uleriori informazioni su www.opendns.com e su it.wikipedia.org/wiki/OpenDNS
Requisiti
Non è più indispensabile usare un PC dedicato: anche un PC di recupero ci può certamente garantire il massimo delle funzionalità e delle prestazioni; anche un router o un firewall hardware possono per altro offrirci un filtro dei contenuti adatto alle scuole:
- PC con due o più schede di rete Gigabit e un Firewall Open Source (Endian community, PFsense o similari). Può ovviamente essere un PC di recupero, purché adatto a stare acceso h24 (ventole e alimentatore efficienti);
- Firewall Hardware Gigabit con più WAN, spesso utile per aggregare insieme più linee ADSL/Fibra, purché in grado di garantire una velocità (throughput) non inferiore alla somma delle linee internet;
- Router dell’operatore telefonico abilitato alla configurazione dell’utente e con un minimo di firewall (non tutti i router consentono modifiche alla configurazione).
a. PC dedicato al filtro
Il PC deve essere dotato di almeno due schede di rete: una scheda si collegherà al router internet e l’altra scheda andrà collegata alla rete locale della scuola.
Va scaricata una distribuzione Firewall Open Source: le istruzioni qui sotto sono per Endian, da cui deriva Asso Dschola, ma vanno bene per qualsiasi altro software equivalente. Potete usare anche una vecchia installazione di Endian Firewall o di Asso Dschola, ma dovrete prima disattivare il proxy server e il filtro contenuti.
- Endian Community www.endian.com/community/download
- PF Sense www.pfsense.org/download
- Scaricare l’immagine ISO, preparare un DVD o un pennino USB avviabile (mediante utility Rufus);
- Collegare il PC al router internet e a un PC portatile da utilizzare per la prima configurazione usando le due schede di rete;
- Impostare nel BIOS l’accensione automatica del PC in caso di mancata alimentazione e disattivare gli errori in caso di tastiera assente, avviare quindi il PC da USB/DVD (evitare modalità UEFI);
- Installare rispondendo SI alla richiesta di cancellazione totale del disco rigido;
- La rete rossa va lasciata con indirizzamento automatico così come impostato dal router della linea (tipicamente una classe C 192.168.X.0/24);
- La rete verde va impostata con una classe di indirizzi diversa dalla rossa e con un range di indirizzi abbastanza ampio per gestire numerosi dispositivi (A 10.0.0.0/8 oppure B 172.16.0.0/12). Il nostro IP per l’interfaccia verde sarà quindi 10.0.0.1 e la maschera 255.0.0.0 ulteriori info: it.wikipedia.org/wiki/Classi_di_indirizzi_IP;
- Una volta installato il sistema si riavvia, sullo schermo del firewall vengono visualizzate le schede e gli indirizzi, per aggiornare premere invio,
da questo momento la configurazione si fa mediante un browser collegato alla linea verde, per scoprire quale delle due schede di rete è quella verde basta provare, trovata quella verde collegare la rossa Internet all’altra scheda; - Avviare la configurazione inserendo nel browser l’indirizzo del filtro (10.0.0.1) , scegliere la lingua, inserire una password, non aggiungere reti orange/blue, confermare il DHCP, saltare la registrazione, in pratica andare avanti quanto basta per arrivare alla fatidica domanda del DNS (manuale/automatico) dove diremo che lo impostiamo manualmente:
- Impostare OpenDns Family Shield come unici DNS del sistema:
208.67.222.123 e 208.67.220.123 – Ulteriori info: support.opendns.com/hc/en-us/articles/228006487-FamilyShield-Router-Configuration-Instructions - Finita la configurazione il firewall si riavvia e bisogna attendere qualche minuto, a riavvio completato la rete è già funzionante e protetta, possiamo già navigare e ci possiamo collegare ancora con il browser al firewall per le rifiniture e per vedere se tutto funziona;
- Il il servizio DHCP per la rete verde è già attivo ed assegna tutti gli indirizzi disponibili consentendovi di collegare in rete diverse migliaia di dispositivi. Se siete esperti e volete avere un blocco di indirizzi liberi per stampanti, server e altri dispositivi cambiate l’indirizzo di partenza o finale (es al posto di 10.0.0.2 mettere 10.0.1.1) in modo da liberare indirizzi che assegnerete staticamente;
- Nelle impostazioni del DHCP controllare che, come DNS, ci sia solamente l’indirizzo del firewall 10.0.0.1 o in alternativa per usi particolari gli indirizzi di Open DNS (208.67.222.123 – 208.67.222.123);
- FIREWALL per impedire agli utenti di scavalcare il filtro utilizzando DNS diversi da quelli protetti, conviene bloccare tutte le richieste DNS ad eccezione dell’indirizzo del firewall e degli Open DNS Family Shield, per farlo basta modificare la regola già esistente indicando come destinazione i soli due indirizzi 208.67.222.123 e 208.67.222.123;
- Per i più tecnici: Endian Firewall, come ulteriore protezione, blocca di serie il traffico su tutte le porte non standard, di solito non serve fare altro e siete già super protetti, se qualche servizio dovesse risultare bloccato (es. ECDL, Screen Share, streaming, …) basterà aprire le porte mancanti.
- Tutti i dispositivi della rete locale ora sono protetti, ovviamente devono avere le impostazioni di rete automatiche e non devono usare altri DNS.
b. Firewall Hardware
- Se si dispone di più linee Internet, configurare i diversi router su indirizzi e classi diverse (es: linea a 192.168.0.1, linea b 192.168.1.1, linea c 192.168.2.1, e così via);
- Collegare le porte WAN del Firewall ai singoli router e collegare la porta LAN del firewall a un PC portatile per la configurazione;
- Impostare le diverse connessioni WAN con indirizzamento automatico, impostare il bilanciamento del carico in modo da consentire al firewall di aggregare la banda disponibile (es in caso di 4 linee da 20 Mbit avrete 80 Mbit complessivi). Se disponete di una sola Wan;
- Impostare la rete LAN con una classe di indirizzi abbastanza ampia per gestire numerosi dispositivi (A 10.0.0.0/8 oppure B 172.16.0.0/12). Assegnare al firewall l’indirizzo iniziale della classe (es. 10.0.0.1);
- Impostare OpenDns Family Shield come unici DNS del sistema:
- 208.67.222.123
- 208.67.220.123
- Ulteriori info: support.opendns.com/hc/en-us/articles/228006487-FamilyShield-Router-Configuration-Instructions
- Eventuali indirizzi statici si possono usare al di fuori di questo Range (es 10.0.0.2-254);
- Nella sezione Firewall impedire agli utenti di scavalcare il filtro utilizzando DNS diversi da quelli protetti: bloccare tutte le richieste DNS , ad eccezione dell’indirizzo del firewall (es. 10.0.0.1) e degli Open DNS Family Shield (208.67.222.123 e 208.67.220.123): qualsiasi altra richiesta ad altri DNS deve essere bloccata!
- Tutti i dispositivi della rete locale ora navigheranno solamente utilizzando i DNS filtrati: ovviamente devono avere le impostazioni di rete automatiche e non devono usare altri DNS;
- Sempre nel firewall, potreste eventualmente bloccare in uscita tutte le porte ed i servizi ad eccezione di quelli noti e utili per la navigazione. Per far questo, sono richieste un minimo di competenze specifiche – ma il tecnico o fornitore della scuola saprà sicuramente come muoversi:
- HTTP 80 e 443
- Posta elettronica 25,465,587,110,143,993,995
- FTP e SSH 21,22
- ECDL
- Screen Share sulle LIM 443, 3478, 8080
- NTP 123 – ora internet
- Altre porte a seconda dei dispositivi che usate a scuola
Ricordiamoci che il filtro è gratuito e non filtra comunque tutto: i social network non sono vietati ai minori e quindi passano. Occorre poi prestare particolare attenzione anche nelle ricerche, soprattutto per immagini. Prima di ogni ricerca con Google attivare sempre il Safe Search. Con alcuni firewall e sul PC che fa da firewall possiamo impostare il DNS locale per forzare la ricerca sicura su Google: in questo caso bisogna impostare come unico DNS raggiungibile il nostro firewall, che provvederà a indirizzare tutte le richieste a google su forcesafesearch.google.com.
c. Router dell’operatore
I router degli operatori sono apparati semplificati che consentono un minimo di configurazione. Se tra le opzioni disponibili c’è la possibilità di cambiare il DNS, allora possiamo impostare la protezione direttamente sulla linea senza ulteriori dispositivi. Questo tipo di protezione è però aggirabile da un utente esperto. in grado di cambiare sul proprio dispositivo l’indirizzo del DNS. Per i plessi dell’infanzia e delle primarie è comunque una configurazione sicura. A casa un fratello maggiore potrebbe facilmente aggirare il filtro cambiando il DNS o usando il proprio Smartphone senza collegarsi al Wi-Fi.
Impostare i DNS di Family Shield come unici DNS da usare (non funziona con tutti gli operatori), eventualmente seguendo le istruzioni ufficiali: support.opendns.com/hc/en-us/articles/228006487-FamilyShield-Router-Configuration-Instructions
Disattivare il protocollo IPV6: alcuni operatori mettono a disposizione DNS su IPv6 che scavalcano i nostri DNS protetti.
A scuola, se il router dispone anche di un menu firewall, provare a bloccare tutti gli accessi DNS, ad eccezione dei soli DNS consentiti (indirizzo del router e 208.67.222.123 e 208.67.220.12): in questo modo possiamo proteggerci dagli utenti che si cambiano il DNS.
Ulteriori info su www.associazionedschola.it/info