Public WiFi Liability: perché il Content Filtering è obbligatorio

Questa guida tecnica di riferimento illustra i rischi legali e operativi derivanti dall'offerta di un servizio WiFi pubblico non filtrato, spiegando in dettaglio perché il content filtering rappresenta un requisito di implementazione obbligatorio per i gestori delle location. Fornisce strategie di architettura attuabili, passaggi di implementazione e tattiche di mitigazione del rischio per proteggere le reti da attività illegali, violazioni del copyright e non conformità normativa. I gestori delle location e i CTO troveranno casi di studio concreti, framework decisionali e linee guida di configurazione per implementare un ambiente Guest WiFi difendibile e conforme.

📖 7 minuti di lettura📝 1,605 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al Purple Technical Briefing. Sono il vostro ospite e oggi affrontiamo un tema cruciale per qualsiasi gestore di location, IT manager o CTO che gestisce reti pubbliche: la responsabilità del WiFi pubblico e perché il filtraggio dei contenuti non è più un'opzione, ma un obbligo assoluto.

Se gestite una rete nel settore dell'ospitalità, del retail o in una grande location pubblica, agli occhi della legge siete un Internet Service Provider. E questo significa che vi assumete dei rischi. Oggi andremo dritti al punto per discutere i rischi legali del WiFi pubblico non filtrato — dalla pirateria ai contenuti illegali — e vedremo esattamente come progettare una soluzione per mitigarli.

[SEGMENTO 1: IL CONTESTO E IL RISCHIO]

Partiamo dalla realtà dei fatti. Quando implementate un Guest WiFi, state aprendo un canale verso internet. Se quel canale non è filtrato, il vostro indirizzo IP è quello associato a ogni singolo elemento di traffico generato dai vostri ospiti.

Parliamo di violazione del copyright, torrenting, accesso a materiale pedopornografico e diffusione di malware. Se un ospite scarica un film piratato sulla vostra rete, la lettera di diffida del titolare del copyright arriva a voi. Se un ospite accede a materiale illegale, le forze dell'ordine bussano alla vostra porta.

Il quadro giuridico nella maggior parte delle giurisdizioni prevede tutele di safe harbour per gli ISP, ma solo se si adottano misure ragionevoli per prevenire gli abusi e si è in grado di identificare l'utente. Senza una traccia di controllo e un filtraggio attivo, si perde tale protezione. È semplicissimo.

[SEGMENTO 2: APPROFONDIMENTO TECNICO]

Quindi, come risolviamo questo problema dal punto di vista tecnico? È necessario un approccio stratificato. Non ci si può limitare a fare affidamento sul filtraggio DNS a livello perimetrale.

In primo luogo, occorre una solida autenticazione. È qui che entra in gioco il vostro Captive Portal. Consigliamo vivamente di implementare lo standard 802.1X ove possibile o, come minimo, un captive portal che richieda credenziali verificabili — autenticazione SMS, social login o integrazione con un database di fidelizzazione. È necessario associare un indirizzo MAC e un lease IP a un'identità verificata. Questa è la vostra traccia di controllo.

Il passo successivo è il motore di filtraggio dei contenuti. Questo deve essere posizionato in linea, in genere integrato con il gateway o il firewall, oppure erogato tramite un servizio di filtraggio DNS basato su cloud che si integra con la vostra piattaforma di WiFi analytics.

Il filtro deve categorizzare il traffico in modo dinamico. Sono necessarie policy che blocchino i domini dannosi noti, i protocolli di condivisione file peer-to-peer come BitTorrent e le categorie di contenuti per adulti o illegali.

Parliamo di crittografia. Con la diffusione del DNS over HTTPS, gli ospiti possono aggirare i filtri DNS standard. La vostra architettura deve tenere conto di questo aspetto. È necessario bloccare i risolutori DNS over HTTPS noti a livello di firewall per forzare il traffico a tornare al vostro DNS gestito, oppure implementare la deep packet inspection se l'hardware la supporta, sebbene la deep packet inspection introduca un sovraccarico sulla velocità di trasmissione.

Per le grandi installazioni — ad esempio uno stadio o una grande catena di negozi — la velocità di trasmissione è fondamentale. Non si può introdurre latenza. Il filtraggio DNS basato su cloud, combinato con la memorizzazione nella cache locale, è solitamente l'approccio più scalabile. Verifica la richiesta di dominio rispetto a un database di minacce in tempo reale prima di risolvere l'IP. Se è bloccato, l'utente visualizza una pagina di reindirizzamento che spiega la policy.

[SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI]

Passiamo all'implementazione. La trappola più grande che riscontriamo è la mentalità del "configura e dimentica". I database di threat intelligence si aggiornano costantemente; le vostre policy devono essere dinamiche.

Un altro errore comune è il filtraggio eccessivo. Se bloccate applicazioni aziendali legittime, inonderete il vostro helpdesk di ticket. Avete bisogno di una policy granulare. Bloccate il P2P, bloccate il malware, bloccate i contenuti illegali. Ma assicuratevi di inserire in whitelist i servizi essenziali.

In caso di implementazione su più siti, la gestione centralizzata non è negoziabile. Avete bisogno di un unico pannello di controllo per distribuire gli aggiornamenti delle policy a tutti gli access point e gateway contemporaneamente. È qui che una piattaforma come il WiFi Analytics di Purple diventa preziosa: unisce l'identità, la posizione e la policy.

Inoltre, assicuratevi che la registrazione dei log sia conforme alle normative locali, come il GDPR. Dovete conservare i log di connessione — chi si è connesso, quando e quale IP gli è stato assegnato — ma dovete farlo in modo sicuro e solo per il periodo di conservazione obbligatorio per legge.

[SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE]

Rispondiamo ad alcune domande comuni.

Domanda uno: il filtraggio dei contenuti rallenta la rete?

Se progettato correttamente utilizzando il filtraggio DNS cloud, la latenza è trascurabile — solitamente inferiore a 20 millisecondi. La deep packet inspection rallenterà le cose, quindi usatela in modo selettivo.

Domanda due: gli utenti non possono semplicemente usare una VPN?

Sì, possono farlo. E potete scegliere di bloccare le porte VPN note, se lo desiderate. Tuttavia, se un utente utilizza una VPN, il traffico è crittografato ed esce dall'IP del provider VPN, non dal vostro. La responsabilità si trasferisce al provider VPN.

Domanda tre: la randomizzazione del MAC è un problema?

Sì, iOS e Android randomizzano gli indirizzi MAC. Questo è il motivo per cui l'autenticazione basata sulla sessione tramite il captive portal è fondamentale. Si autentica la sessione, non solo l'hardware.

[SEGMENTO 5: SINTESI E PROSSIMI PASSI]

Per concludere: il WiFi pubblico non filtrato rappresenta un rischio enorme e non gestito. È necessario implementare il filtraggio dei contenuti e una solida autenticazione per proteggere la vostra location, mantenere lo stato di safe harbour e garantire un ambiente sicuro per tutti gli ospiti.

I vostri prossimi passi? Verificate la vostra attuale implementazione. State registrando le sessioni in modo adeguato? State bloccando il P2P e i contenuti illegali? In caso contrario, è il momento di aggiornare la vostra architettura.

Grazie per aver seguito questo briefing tecnico. Rimanete al sicuro e alla prossima.

Punti chiave

✓Fornire un servizio WiFi pubblico non filtrato rende i gestori delle location legalmente responsabili del traffico illegale in quanto ISP di fatto; le tutele del safe harbour sono subordinate all'adozione di misure tecniche ragionevoli.
✓Il filtraggio attivo dei contenuti e l'autenticazione obbligatoria degli utenti non sono negoziabili per mantenere lo stato di safe harbour e dimostrare la conformità normativa.
✓Un captive portal è essenziale per creare una traccia di controllo che colleghi ogni sessione di rete a un'identità utente verificata; l'accesso anonimo è legalmente indifendibile.
✓Il filtraggio DNS basato su cloud è l'approccio più scalabile e a bassa latenza per ambienti ad alto rendimento; la DPI dovrebbe essere utilizzata in modo selettivo a causa del sovraccarico di elaborazione.
✓I firewall devono essere configurati per bloccare i protocolli P2P a livello applicativo e per bloccare i tentativi di bypass tramite DNS over HTTPS (DoH); il solo filtraggio DNS non è sufficiente.
✓La randomizzazione del MAC nei dispositivi moderni implica che l'autenticazione basata sulla sessione, e non il tracciamento dell'hardware, debba essere la base della traccia di controllo.
✓Un corretto filtraggio dei contenuti migliora le prestazioni complessive della rete eliminando il traffico P2P e delle botnet che consuma molta banda, offrendo un ROI misurabile che va oltre la mitigazione del rischio.

Executive Summary

For IT managers, network architects, and CTOs overseeing public venues, deploying Guest WiFi is a baseline operational requirement. However, providing an open pipe to the internet without robust content filtering exposes the venue to severe legal, financial, and reputational risks. When you provide public internet access, your organisation assumes the role of an Internet Service Provider (ISP). If malicious or illegal traffic — such as copyright infringement, peer-to-peer (P2P) piracy, or Child Sexual Abuse Material (CSAM) — originates from your public IP addresses, the liability often falls on the venue operator.

This guide provides a definitive technical framework for implementing mandatory content filtering. We explore the architecture required to maintain safe harbour protections, ensure regulatory compliance (including GDPR and PCI DSS), and maintain network performance. By integrating robust filtering with WiFi Analytics , venues in Retail , Hospitality , Healthcare , and Transport sectors can mitigate risk while maintaining a seamless guest experience.

Technical Deep-Dive

The Legal Landscape and Safe Harbour

The primary driver for content filtering is public WiFi legal liability. In most jurisdictions, ISPs and public WiFi providers are protected by "safe harbour" provisions — for example, the Digital Millennium Copyright Act (DMCA) in the US, or the E-Commerce Directive and its successor frameworks in the EU. However, these protections are explicitly conditional. To qualify, providers must demonstrate they have taken reasonable technical steps to prevent illegal activity and can assist law enforcement when required.

Without an audit trail and active filtering, a venue cannot prove it took reasonable steps, which nullifies safe harbour protections entirely. This is particularly critical for public sector deployments, where accountability requirements are even more stringent. For context on how public sector digital infrastructure is evolving, see Purple Appoints Iain Fox as VP Growth – Public Sector to Drive Digital Inclusion and Smart City Innovation .

The three primary legal risk vectors for unfiltered networks are:

Risk Vector	Legal Exposure	Example Consequence
Copyright Infringement (P2P)	Civil liability, cease and desist orders	Rights holder sues the venue for facilitating infringement
CSAM Distribution	Criminal prosecution	Police investigation, licence revocation
GDPR Non-Compliance	Regulatory fines up to 4% of global turnover	ICO enforcement action for inadequate logging

Architecture of a Filtered Network

Effective content filtering requires a multi-layered architecture. No single control is sufficient. The following layers must work in concert:

Layer 1 — Authentication (Captive Portal): Before network access is granted, users must authenticate. This ties a device (MAC address) and an IP lease to a verified identity via SMS, email, or social login. This is the foundation of your audit trail. For more on why this record-keeping is critical, see Explain what is audit trail for IT Security in 2026 .

Layer 2 — DNS Filtering Engine: The most scalable approach for high-throughput environments is cloud-based DNS filtering. When a user requests a domain, the DNS resolver checks the request against a real-time threat intelligence database. If the domain is categorized as malicious or illegal — malware, adult content, piracy trackers — the resolution is blocked and the user is redirected to a policy-compliant block page.

Layer 3 — Application Layer Gateway (Firewall): DNS filtering alone is insufficient. Users can bypass DNS filters using direct IP connections or encrypted DNS (DNS over HTTPS — DoH). The network gateway must block known DoH resolvers and restrict specific protocols, particularly P2P protocols like BitTorrent, which are the primary vector for copyright infringement on public networks.

Layer 4 — Logging and Audit Trail: All session data — authenticated identity, MAC address, assigned IP, timestamps, and session duration — must be logged securely and retained for the legally mandated period. This data must be accessible to law enforcement on request without compromising other users' data under GDPR principles.

Addressing the DoH Problem

DNS over HTTPS (DoH) is the single biggest technical challenge for content filtering in 2025 and beyond. Modern browsers — including Chrome, Firefox, and Edge — can be configured to use DoH by default, routing DNS queries over HTTPS to resolvers like Cloudflare (1.1.1.1) or Google (8.8.8.8). This completely bypasses your managed DNS filtering layer.

The mitigation strategy has two components:

Blocklist known DoH resolver IPs at the firewall level. Maintain an updated list of known DoH endpoints and block outbound HTTPS traffic to those specific IPs.
Intercept and redirect all port 53 traffic to your managed DNS resolver using firewall NAT rules, preventing manual DNS override by guests.

Implementation Guide

Deploying a robust filtering solution requires careful planning to balance security with user experience. The following steps apply to venues of all scales, from a single-site hotel to a multi-location Retail chain.

Step 1: Define the Acceptable Use Policy

Establish a clear Acceptable Use Policy (AUP) that guests must accept at the captive portal. The technical filtering policy must mirror the AUP. At a minimum, block: known malware and phishing domains; CSAM (integrate with databases such as the Internet Watch Foundation blocklist); P2P file-sharing protocols; and adult content for family-appropriate venues.

Step 2: Configure the Captive Portal and Authentication

Ensure the captive portal mandates authentication. Anonymous access is the enemy of the audit trail. Implement session limits and ensure DHCP lease times are optimised for high-turnover environments. For Hospitality deployments, integrate with the Property Management System (PMS) to authenticate guests against their booking reference.

Step 3: Deploy DNS Filtering and Gateway Rules

Integrate a cloud DNS filtering service. Configure the network gateway to intercept all outbound DNS requests on port 53 and force them through the approved filtering service. Implement firewall rules to block known DoH endpoints. Configure application-layer rules to drop P2P protocol traffic.

Step 4: Whitelist Critical Services

Ensure critical venue services are whitelisted before go-live. If your venue uses location services or navigation tools — for example, Purple Launches Offline Maps Mode for Seamless, Secure Navigation to WiFi Hotspots — ensure the relevant endpoints are accessible. Also prepare support teams for common post-deployment issues; filtering can occasionally cause connectivity anomalies, as discussed in Solving the Connected but No Internet Error on Guest WiFi .

Step 5: Test and Validate

Before going live, conduct a structured test: attempt to access known blocked categories from a guest device, verify the block page is displayed, verify the audit log captures the session, and confirm legitimate traffic is unaffected.

Best Practices

Dynamic Threat Intelligence: Static blocklists are obsolete within hours of publication. Ensure your filtering engine uses real-time, continuously updated threat intelligence to categorize new domains as they emerge. Threat actors register new domains daily specifically to evade static lists.

Granular Policy Control: Avoid blanket bans that disrupt legitimate business. Blocking all video streaming may be appropriate for a corporate office network but would be entirely inappropriate for a hotel. Define policies per SSID, per venue type, or per time of day where the platform supports it.

Encrypted Traffic Management: As TLS 1.3 and DoH become standard, relying solely on DNS is insufficient. Evaluate hardware capable of Server Name Indication (SNI) inspection as a middle ground between full DPI and DNS-only filtering. SNI inspection reads the unencrypted server name in the TLS handshake without decrypting the payload, offering category-level blocking with minimal throughput impact.

Compliance Logging: Maintain connection logs — MAC address, assigned IP, timestamp, authenticated identity — in compliance with local data retention laws. Under GDPR, do not log full browsing history; log only connection metadata. Ensure logs are encrypted at rest and access-controlled.

Troubleshooting & Risk Mitigation

Common Failure Modes

The DoH Bypass: Guests using modern browsers configured to use DNS over HTTPS will bypass standard DNS filters. Mitigation: Maintain an updated blocklist of DoH provider IPs at the firewall level and redirect all port 53 traffic via NAT.

MAC Randomization: Modern iOS and Android devices randomize MAC addresses per SSID, breaking traditional device tracking. Mitigation: Rely on session-based authentication tied to the captive portal login, rather than persistent MAC tracking. The session ID, not the MAC, becomes the audit key.

Over-Filtering and False Positives: Aggressive filtering blocks legitimate traffic, generating helpdesk tickets and degrading the guest experience. Mitigation: Implement a rapid whitelist review process. Monitor blocked domain logs weekly and whitelist confirmed false positives within 24 hours.

Policy Drift Across Sites: In multi-site deployments, manually managed policies diverge over time. Site A may have an outdated blocklist while Site B is current. Mitigation: Enforce centralised, cloud-managed policy distribution with version control. All sites must pull from the same policy baseline.

ROI & Business Impact

The Return on Investment (ROI) for content filtering is primarily measured in risk avoidance. A single copyright infringement lawsuit or ICO enforcement action can cost tens of thousands of pounds — far exceeding the annual cost of a filtering solution. The table below illustrates the cost differential:

Cost Item	Unfiltered Network	Filtered Network
Annual filtering solution cost	£0	£2,000–£15,000 (scale-dependent)
Copyright infringement settlement	£10,000–£100,000+	£0 (mitigated)
GDPR fine (inadequate logging)	Up to 4% global turnover	£0 (compliant)
Reputational damage / brand impact	Significant	Minimal
Network performance (P2P removed)	Degraded	Improved

Furthermore, filtering improves overall network performance. By blocking bandwidth-heavy P2P traffic and malware botnets, you preserve throughput for legitimate guests, improving the user experience and reducing infrastructure strain. When combined with a robust WiFi Analytics platform, the network transforms from an unmanaged liability into a secure, data-generating asset that drives measurable business outcomes.

Definizioni chiave

Safe Harbour

Disposizioni legali che proteggono gli ISP e gli operatori di rete dalla responsabilità per le azioni dei loro utenti, a condizione che adottino misure tecniche ragionevoli per prevenire gli abusi e possano assistere le forze dell'ordine.

Lo scudo legale principale per i gestori delle location. Il filtraggio dei contenuti e la registrazione dei log di controllo sono le condizioni tecniche che mantengono lo stato di safe harbour.

Captive Portal

Una pagina web che gli utenti devono visualizzare e con cui devono interagire prima che venga concesso l'accesso a una rete pubblica, utilizzata per l'autenticazione, l'accettazione delle AUP (condizioni d'uso) e l'avvio della sessione.

Il meccanismo principale per stabilire l'identità dell'utente e creare una traccia di controllo. Senza di esso, l'accesso anonimo rende indifendibile il safe harbour.

DNS Filtering

Il processo di blocco dell'accesso a determinati siti web o indirizzi IP intercettando e valutando le richieste del Domain Name System (DNS) rispetto a un database di threat intelligence prima di risolvere l'indirizzo IP.

Il metodo più efficiente e a bassa latenza per bloccare contenuti dannosi o inappropriati su larga scala. Adatto per ambienti ad alto rendimento senza richiedere hardware DPI.

Audit Trail

Un registro cronologico e a prova di manomissione degli eventi di rete, inclusi l'autenticazione dell'utente, le assegnazioni dei lease IP, gli orari di inizio/fine sessione e l'identità autenticata.

Necessario per rispondere alle richieste delle forze dell'ordine, dimostrare la conformità normativa e provare che sono state adottate misure ragionevoli per prevenire attività illegali.

Deep Packet Inspection (DPI)

Filtraggio avanzato dei pacchetti di rete che esamina il payload dei dati di un pacchetto mentre passa attraverso un punto di ispezione, consentendo l'identificazione e il controllo a livello di applicazione.

Fornisce il controllo più granulare ma richiede una notevole potenza di elaborazione e può ridurre la velocità di trasmissione della rete. Da utilizzare in modo selettivo per il rilevamento di protocolli ad alto rischio.

DNS over HTTPS (DoH)

Un protocollo per eseguire la risoluzione DNS remota tramite il protocollo HTTPS, crittografando la query DNS per impedire l'intercettazione o la manipolazione da parte degli operatori di rete.

Il principale meccanismo di bypass che vanifica il filtraggio basato solo su DNS. Deve essere bloccato a livello di firewall mantenendo una blocklist di IP di risolutori DoH noti.

Peer-to-Peer (P2P)

Un modello di comunicazione decentralizzato in cui ogni nodo partecipante ha capacità equivalenti, comunemente utilizzato per la condivisione di file tramite protocolli come BitTorrent.

Il vettore principale per la violazione del copyright sulle reti pubbliche. Deve essere bloccato sia a livello DNS che a livello applicativo (regole di porta/protocollo del firewall) per una mitigazione efficace.

MAC Randomization

Una funzionalità di privacy nei moderni sistemi operativi (iOS 14+, Android 10+) che utilizza un indirizzo MAC casuale durante la connessione alle reti WiFi, impedendo il tracciamento persistente del dispositivo.

Invalida il tracciamento tradizionale dei dispositivi basato su MAC, costringendo gli operatori di rete a fare affidamento sull'autenticazione basata sulla sessione tramite il captive portal come identificatore principale per i controlli.

Server Name Indication (SNI)

Un'estensione del protocollo TLS che consente al client di indicare a quale hostname si sta connettendo durante l'handshake TLS, prima che venga stabilita la sessione crittografata.

Consente il blocco dei contenuti a livello di categoria sul traffico HTTPS senza la decrittografia completa del payload, offrendo una via di mezzo tra il filtraggio solo DNS e la DPI completa.

Esempi pratici

Un hotel da 200 camere riceve notifiche automatiche di violazione del copyright dal proprio ISP perché gli ospiti utilizzano torrent per scaricare film tramite il Guest WiFi aperto. Attualmente l'hotel utilizza una rete WPA2-PSK di base senza captive portal e senza content filtering.

Passo 1: Rimuovere la PSK condivisa e sostituirla con un SSID aperto preceduto da un Captive Portal. Passo 2: Richiedere agli ospiti di autenticarsi utilizzando il numero di camera e il cognome tramite integrazione PMS, oppure tramite verifica via SMS/e-mail. Passo 3: Distribuire un servizio di filtraggio DNS basato su cloud integrato con il gateway di rete, abilitando le categorie di blocco 'P2P/File Sharing' e 'Malware'. Passo 4: Configurare il firewall del gateway per bloccare tutto il traffico in uscita sulle porte BitTorrent standard (6881–6889 TCP/UDP) e bloccare i domini noti di tracker torrent tramite il filtro DNS. Passo 5: Implementare regole NAT per intercettare tutto il traffico sulla porta 53 e reindirizzarlo al risolutore DNS gestito. Passo 6: Abilitare la registrazione delle sessioni per acquisire l'indirizzo MAC, l'IP assegnato, l'identità autenticata e i timestamp per tutte le sessioni.

Commento dell'esaminatore: Questo approccio stabilisce immediatamente una traccia di controllo (audit trail) collegando ogni sessione di rete a un'identità verificata dell'ospite. Il blocco del P2P sia a livello DNS che di porta fornisce una difesa approfondita contro la pirateria, rispondendo direttamente alle notifiche dell'ISP e ripristinando la protezione del safe harbour. L'integrazione PMS è fondamentale nel settore dell'ospitalità: elimina l'accesso anonimo senza aggiungere attriti per gli ospiti legittimi.

Una grande catena di vendita al dettaglio sta implementando il Guest WiFi in 500 negozi. Devono garantire la conformità con le politiche per famiglie e prevenire la diffusione di malware, ma non possono permettersi hardware DPI ad alta latenza in ogni filiale. Hanno inoltre bisogno di un'applicazione coerente delle policy in tutti i siti.

Passo 1: Distribuire un'architettura WiFi cloud gestita centralmente con un controller cloud che gestisce tutti i 500 access point delle filiali. Passo 2: Implementare una soluzione di filtraggio DNS basata su cloud applicata a livello di SSID, configurata centralmente e distribuita simultaneamente su tutti i siti. Passo 3: Configurare la policy centralmente per bloccare le categorie 'Adult', 'Malware', 'Phishing' e 'P2P'. Passo 4: Utilizzare il controller cloud per applicare regole NAT che reindirizzano tutto il traffico della porta 53 al risolutore DNS gestito in ogni sito. Passo 5: Configurare un aggregatore di log centralizzato per raccogliere i log di sessione da tutti i 500 siti in un'unica piattaforma SIEM o di gestione dei log per i report di conformità.

Commento dell'esaminatore: Per ambienti di vendita al dettaglio altamente distribuiti, il filtraggio DNS cloud centralizzato è l'unica soluzione scalabile. Introduce una latenza trascurabile — in genere inferiore a 20 ms — il che è fondamentale per i contesti retail in cui l'esperienza dell'ospite è di primaria importanza. La gestione centralizzata delle policy elimina le discrepanze tra i vari siti e garantisce un'unica postura di conformità. L'assenza di hardware DPI on-premise in ciascuna filiale riduce significativamente sia le spese in conto capitale sia i costi di manutenzione continua.

Domande di esercitazione

Q1. La tua location sta aggiornando il suo Guest WiFi. L'architetto di rete propone di rimuovere il captive portal per creare un'esperienza utente più fluida, affidandosi esclusivamente a un filtro DNS cloud per bloccare i contenuti inappropriati. Qual è il principale rischio legale di questo approccio e cosa consiglieresti invece?

Suggerimento: Considera cosa succede se le forze dell'ordine richiedono informazioni su uno specifico indirizzo IP utilizzato in un momento preciso.

Visualizza risposta modello

La rimozione del captive portal elimina il livello di autenticazione, il che significa che non esiste una traccia di controllo che colleghi una sessione di rete a una specifica identità utente. Sebbene il filtro DNS blocchi i siti dannosi noti, se un utente lo aggira o commette un atto illegale non rilevato dal filtro, la location non può identificare l'utente. Ciò annulla le tutele del safe harbour, lasciando la location pienamente responsabile. La raccomandazione è di mantenere il captive portal con autenticazione obbligatoria e utilizzare il filtro DNS come livello complementare, non come sostituto della verifica dell'identità.

Q2. Un utente lamenta l'impossibilità di accedere a una VPN aziendale legittima mentre è connesso al tuo Guest WiFi filtrato. Controlli i log e noti che la connessione viene interrotta a livello di gateway, non a livello di DNS. Quali sono le due cause più probabili e come risolveresti ciascuna di esse?

Suggerimento: Pensa a come i firewall gestiscono il traffico crittografato e le porte non standard, e a come funzionano i protocolli VPN.

Visualizza risposta modello

Causa 1: Il firewall ha una policy in uscita eccessivamente restrittiva che blocca le porte specifiche utilizzate dal protocollo VPN, ad esempio UDP 500 e UDP 4500 per IKEv2/IPsec, o TCP/UDP 1194 for OpenVPN. Risoluzione: Inserire le porte VPN standard in whitelist per il traffico in uscita, monitorando al contempo eventuali abusi. Causa 2: Un motore DPI sta interrompendo il traffico del tunnel crittografato perché non può ispezionare il payload ed è configurato per bloccare le sessioni crittografate non riconosciute. Risoluzione: Creare un'eccezione a livello applicativo per i protocolli VPN noti o disabilitare la DPI per il traffico sulle porte VPN standard.

Q3. Hai implementato una solida soluzione di filtraggio DNS cloud sulla rete della tua location, ma la dashboard di analisi WiFi mostra un consumo di banda significativo coerente con il traffico BitTorrent. Com'è possibile se il filtraggio DNS è attivo e quali controlli aggiuntivi devi implementare?

Suggerimento: Il DNS risolve solo i nomi in indirizzi IP. Considera come i software P2P scoprono e si connettono ai peer dopo il contatto iniziale con il tracker.

Visualizza risposta modello

BitTorrent e altri protocolli P2P utilizzano il DNS solo per la scoperta iniziale del tracker. Una volta individuati i peer, il client si connette direttamente a essi tramite indirizzo IP, bypassando completamente il DNS. Il solo filtraggio DNS non può interrompere il trasferimento di dati peer-to-peer una volta stabilita la connessione iniziale. Per risolvere questo problema, è necessario configurare il firewall del gateway di rete per bloccare i protocolli P2P utilizzando il filtraggio a livello applicativo o bloccando gli intervalli di porte BitTorrent noti (6881–6889 TCP/UDP) e il protocollo DHT (UDP 6881). Inoltre, considera di abilitare la limitazione della larghezza di banda per l'eventuale traffico P2P residuo che utilizza porte non standard.

Continua a leggere questa serie

DNS Over HTTPS (DoH): implicazioni per il filtraggio del WiFi pubblico

Questa guida di riferimento tecnico spiega come il DNS over HTTPS (DoH) aggiri il tradizionale filtraggio dei contenuti sulla porta 53 nelle reti WiFi pubbliche. Fornisce strategie di mitigazione pratiche e indipendenti dai fornitori per consentire ad architetti di rete e responsabili IT di ripristinare la visibilità, garantire la conformità e proteggere l'accesso degli ospiti negli ambienti aziendali.

Bloccare malware e phishing all'edge della rete

Questa guida di riferimento tecnico illustra l'architettura, l'implementazione e l'impatto aziendale dell'adozione di una protezione dalle minacce a livello di rete per proteggere i dispositivi IoT e guest non gestiti all'edge della rete. Fornisce indicazioni pratiche per i responsabili IT per bloccare in modo proattivo malware e phishing.

Conformità IWF per le reti WiFi pubbliche nel Regno Unito

Questa guida autorevole descrive in dettaglio i requisiti tecnici, l'architettura e le strategie di implementazione per le reti WiFi pubbliche conformi a IWF nelle sedi del Regno Unito. Fornisce ai responsabili IT framework operativi per mitigare i rischi legali mantenendo al contempo un accesso alla rete ad alte prestazioni.