Responsabilidade do WiFi Público: Porque a Filtragem de Conteúdo é Obrigatória

Este guia de referência técnica descreve os riscos legais e operacionais de fornecer WiFi público não filtrado, detalhando porque a filtragem de conteúdo é um requisito de implementação obrigatório para os operadores de espaços. Fornece estratégias de arquitetura acionáveis, passos de implementação e táticas de mitigação de risco para proteger as redes de atividades ilegais, infração de direitos de autor e não conformidade regulamentar. Operadores de espaços e CTOs encontrarão estudos de caso concretos, estruturas de decisão e orientação de configuração para implementar um ambiente de Guest WiFi defensável e em conformidade.

📖 7 min de leitura📝 1,605 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Welcome back to the Purple Technical Briefing. I'm your host, and today we're tackling a critical issue for any venue operator, IT manager, or CTO managing public networks: Public WiFi Liability and why content filtering is no longer optional, but absolutely mandatory.

If you operate a network in hospitality, retail, or a large public venue, you are an Internet Service Provider in the eyes of the law. And that means you carry risk. Today, we're cutting through the noise to discuss the legal risks of unfiltered public WiFi — from piracy to illegal content — and exactly how you architect a solution to mitigate them.

[SEGMENT 1: THE CONTEXT AND THE RISK]

Let's start with the reality on the ground. When you deploy Guest WiFi, you are opening a pipe to the internet. If that pipe is unfiltered, your IP address is the one attached to every piece of traffic generated by your guests.

We're talking about copyright infringement, torrenting, accessing Child Sexual Abuse Material, and malware distribution. If a guest downloads a pirated movie over your network, the copyright holder's cease and desist letter comes to you. If a guest accesses illegal material, law enforcement knocks on your door.

The legal framework in most jurisdictions provides safe harbour protections for ISPs, but only if you take reasonable steps to prevent abuse and can identify the user. Without an audit trail and active filtering, you lose that protection. It's that simple.

[SEGMENT 2: TECHNICAL DEEP-DIVE]

So, how do we solve this technically? It requires a layered approach. You can't just rely on DNS filtering at the edge and call it a day.

First, you need robust authentication. This is where your Captive Portal comes in. We strongly recommend implementing 802.1X where possible, or at minimum, a captive portal that requires verifiable credentials — SMS authentication, social login, or integration with a loyalty database. You must tie a MAC address and an IP lease to a verified identity. This is your audit trail.

Next is the Content Filter Engine. This needs to sit inline, typically integrated with your gateway or firewall, or delivered via a cloud-based DNS filtering service that integrates with your WiFi analytics platform.

The filter must categorize traffic dynamically. You need policies that block known malicious domains, peer-to-peer file sharing protocols like BitTorrent, and adult or illegal content categories.

Let's talk about encryption. With the rise of DNS over HTTPS, guests can bypass standard DNS filters. Your architecture must account for this. You need to block known DNS over HTTPS resolvers at the firewall level to force traffic back to your managed DNS, or implement deep packet inspection if your hardware supports it, though deep packet inspection introduces throughput overhead.

For large deployments — say a stadium or a major retail chain — throughput is critical. You cannot introduce latency. Cloud-based DNS filtering, combined with local caching, is usually the most scalable approach. It checks the domain request against a real-time threat database before resolving the IP. If it's blocked, the user gets a redirect page explaining the policy.

[SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS]

Let's move to implementation. The biggest pitfall we see is the set and forget mentality. Threat intelligence databases update constantly; your policies must be dynamic.

Another common mistake is over-filtering. If you block legitimate business applications, you'll drown your helpdesk in tickets. You need a granular policy. Block P2P, block malware, block illegal content. But ensure you whitelist essential services.

When deploying across multiple sites, centralised management is non-negotiable. You need a single pane of glass to push policy updates to all access points and gateways simultaneously. This is where a platform like Purple's WiFi Analytics becomes invaluable — it ties the identity, the location, and the policy together.

Also, ensure your logging complies with local regulations, like GDPR. You must retain connection logs — who connected, when, and what IP they were assigned — but you must do so securely and only for the legally mandated retention period.

[SEGMENT 4: RAPID-FIRE Q&A]

Let's hit a few common questions.

Question one: Does content filtering slow down the network?

If architected correctly using cloud DNS filtering, the latency is negligible — usually under 20 milliseconds. Deep packet inspection will slow things down, so use it selectively.

Question two: Can't users just use a VPN?

Yes, they can. And you can choose to block known VPN ports if you wish. However, if a user is on a VPN, the traffic is encrypted and exits from the VPN provider's IP, not yours. The liability shifts to the VPN provider.

Question three: Is MAC randomisation a problem?

Yes, iOS and Android randomise MAC addresses. This is why session-based authentication via the captive portal is critical. You authenticate the session, not just the hardware.

[SEGMENT 5: SUMMARY AND NEXT STEPS]

To wrap up: Unfiltered public WiFi is a massive, unmanaged risk. You must implement content filtering and robust authentication to protect your venue, maintain your safe harbour status, and ensure a safe environment for all guests.

Your next steps? Audit your current deployment. Are you logging sessions adequately? Are you blocking P2P and illegal content? If not, it's time to upgrade your architecture.

Thanks for joining this technical briefing. Stay secure, and we'll see you next time.

Principais Conclusões

✓Providing unfiltered public WiFi makes venue operators legally liable for illegal traffic as a de facto ISP — safe harbour protections are conditional on taking reasonable technical steps.
✓Active content filtering and mandatory user authentication are non-negotiable to maintain safe harbour and demonstrate regulatory compliance.
✓A captive portal is essential to create an audit trail linking every network session to a verified user identity — anonymous access is legally indefensible.
✓Cloud-based DNS filtering is the most scalable, low-latency approach for high-throughput environments; DPI should be used selectively due to throughput overhead.
✓Firewalls must be configured to block P2P protocols at the application layer and to block DNS over HTTPS (DoH) bypass attempts — DNS filtering alone is insufficient.
✓MAC randomization in modern devices means session-based authentication, not hardware tracking, must be the foundation of the audit trail.
✓Proper content filtering improves overall network performance by eliminating bandwidth-heavy P2P and botnet traffic, delivering measurable ROI beyond risk mitigation.

Resumo Executivo

Para gestores de TI, arquitetos de rede e CTOs que supervisionam espaços públicos, a implementação de Guest WiFi é um requisito operacional básico. No entanto, fornecer um acesso aberto à internet sem uma filtragem de conteúdo robusta expõe o espaço a riscos legais, financeiros e reputacionais graves. Ao fornecer acesso público à internet, a sua organização assume o papel de um Fornecedor de Serviços de Internet (ISP). Se tráfego malicioso ou ilegal — como infração de direitos de autor, pirataria peer-to-peer (P2P), ou Material de Abuso Sexual Infantil (CSAM) — tiver origem nos seus endereços IP públicos, a responsabilidade recai frequentemente sobre o operador do espaço.

Este guia fornece uma estrutura técnica definitiva para implementar a filtragem de conteúdo obrigatória. Exploramos a arquitetura necessária para manter as proteções de porto seguro, garantir a conformidade regulamentar (incluindo GDPR e PCI DSS) e manter o desempenho da rede. Ao integrar uma filtragem robusta com WiFi Analytics , espaços nos setores de Retalho , Hotelaria , Saúde e Transportes podem mitigar riscos, mantendo uma experiência de convidado contínua.

Análise Técnica Detalhada

O Cenário Legal e o Porto Seguro

O principal impulsionador para a filtragem de conteúdo é a responsabilidade legal do WiFi público. Na maioria das jurisdições, os ISPs e os fornecedores de WiFi público são protegidos por disposições de "porto seguro" — por exemplo, o Digital Millennium Copyright Act (DMCA) nos EUA, ou a Diretiva de Comércio Eletrónico e as suas estruturas sucessoras na UE. No entanto, estas proteções são explicitamente condicionais. Para se qualificarem, os fornecedores devem demonstrar que tomaram medidas técnicas razoáveis para prevenir atividades ilegais e podem auxiliar as autoridades policiais quando necessário.

Sem um registo de auditoria e filtragem ativa, um espaço não pode provar que tomou medidas razoáveis, o que anula completamente as proteções de porto seguro. Isto é particularmente crítico para implementações no setor público, onde os requisitos de responsabilização são ainda mais rigorosos. Para contexto sobre como a infraestrutura digital do setor público está a evoluir, veja Purple Nomeia Iain Fox como VP de Crescimento – Setor Público para Impulsionar a Inclusão Digital e a Inovação em Cidades Inteligentes .

Os três principais vetores de risco legal para redes não filtradas são:

Vetor de Risco	Exposição Legal	Consequência Exemplo
Infração de Direitos de Autor (P2P)	Responsabilidade civil, ordens de cessação e desistência	O titular dos direitos processa o espaço por facilitar a infração
Distribuição de CSAM	Processo criminal	Investigação policial, revogação de licença
Não Conformidade com o GDPR	Multas regulamentares até 4% do volume de negócios global	Ação de fiscalização da ICO por registo inadequado

Arquitetura de uma Rede Filtrada

A filtragem de conteúdo eficaz requer uma arquitetura multi-camadas. Nenhum controlo único é suficiente. As seguintes camadas devem funcionar em conjunto:

Camada 1 — Autenticação (Captive Portal): Antes de o acesso à rede ser concedido, os utilizadores devem autenticar-se. Isto associa um dispositivo (endereço MAC) e um aluguer de IP a uma identidade verificada via SMS, e-mail ou login social. Esta é a base do seu registo de auditoria. Para mais informações sobre a importância desta manutenção de registos, veja Explicar o que é um registo de auditoria para Segurança de TI em 2026 .

Camada 2 — Motor de Filtragem DNS: A abordagem mais escalável para ambientes de alto débito é a filtragem DNS baseada na nuvem. Quando um utilizador solicita um domínio, o resolvedor DNS verifica o pedido contra uma base de dados de inteligência de ameaças em tempo real. Se o domínio for categorizado como malicioso ou ilegal — malware, conteúdo adulto, rastreadores de pirataria — a resolução é bloqueada e o utilizador é redirecionado para uma página de bloqueio em conformidade com a política.

Camada 3 — Gateway da Camada de Aplicação (Firewall): A filtragem DNS por si só é insuficiente. Os utilizadores podem contornar os filtros DNS usando ligações IP diretas ou DNS encriptado (DNS over HTTPS — DoH). O gateway de rede deve bloquear resolvedores DoH conhecidos e restringir protocolos específicos, particularmente protocolos P2P como BitTorrent, que são o principal vetor para infração de direitos de autor em redes públicas.

Camada 4 — Registo e Rasto de Auditoria: Todos os dados da sessão — identidade autenticada, endereço MAC, IP atribuído, carimbos de data/hora e duração da sessão — devem ser registados de forma segura e retidos pelo período legalmente exigido. Estes dados devem ser acessíveis às autoridades policiais mediante pedido, sem comprometer os dados de outros utilizadores, de acordo com os princípios do GDPR.

Abordar o Problema do DoH

DNS over HTTPS (DoH) é o maior desafio técnico para a filtragem de conteúdo em 2025 e além. Navegadores modernos — incluindo Chrome, Firefox e Edge — podem ser configurados para usar DoH por predefinição, encaminhando consultas DNS sobre HTTPS para resolvedores como Cloudflare (1.1.1.1) ou Google (8.8.8.8). Isto contorna completamente a sua camada de filtragem DNS gerida.

A estratégia de mitigação tem dois componentes:

Bloquear IPs de resolvedores DoH conhecidos ao nível da firewall. Mantenha uma lista atualizada de endpoints DoH conhecidos e bloqueie o tráfego HTTPS de saída para esses IPs específicos.
Intercetar e redirecionar todo o tráfego da porta 53 para o seu resolvedor DNS gerido usando regras NAT da firewall, impedindo a substituição manual de DNS pelos convidados.

Guia de Implementação

A implementação de uma solução de filtragem robusta requer um planeamento cuidadoso para equilibrarsegurança com a experiência do utilizador. Os seguintes passos aplicam-se a locais de todas as dimensões, desde um hotel de um único local a uma cadeia de Retalho com várias localizações.

Passo 1: Definir a Política de Utilização Aceitável

Estabeleça uma Política de Utilização Aceitável (AUP) clara que os hóspedes devem aceitar no captive portal. A política de filtragem técnica deve espelhar a AUP. No mínimo, bloqueie: malware conhecido e domínios de phishing; CSAM (integre com bases de dados como a blocklist da Internet Watch Foundation); protocolos de partilha de ficheiros P2P; e conteúdo adulto para locais apropriados para famílias.

Passo 2: Configurar o Captive Portal e a Autenticação

Certifique-se de que o captive portal exige autenticação. O acesso anónimo é o inimigo do registo de auditoria. Implemente limites de sessão e garanta que os tempos de concessão DHCP são otimizados para ambientes de alta rotatividade. Para implementações de Hotelaria , integre com o Sistema de Gestão de Propriedades (PMS) para autenticar os hóspedes com base na sua referência de reserva.

Passo 3: Implementar Filtragem DNS e Regras de Gateway

Integre um serviço de filtragem DNS na cloud. Configure o gateway de rede para intercetar todos os pedidos DNS de saída na porta 53 e forçá-los através do serviço de filtragem aprovado. Implemente regras de firewall para bloquear endpoints DoH conhecidos. Configure regras de camada de aplicação para descartar tráfego de protocolo P2P.

Passo 4: Colocar Serviços Críticos na Whitelist

Certifique-se de que os serviços críticos do local são colocados na whitelist antes do lançamento. Se o seu local utiliza serviços de localização ou ferramentas de navegação — por exemplo, Purple Lança Modo de Mapas Offline para Navegação Contínua e Segura para Hotspots WiFi — garanta que os endpoints relevantes estão acessíveis. Prepare também as equipas de suporte para problemas comuns pós-implementação; a filtragem pode ocasionalmente causar anomalias de conectividade, como discutido em Resolver o Erro de Conectado mas Sem Internet no WiFi de Hóspedes .

Passo 5: Testar e Validar

Antes de entrar em funcionamento, realize um teste estruturado: tente aceder a categorias bloqueadas conhecidas a partir de um dispositivo de hóspede, verifique se a página de bloqueio é exibida, verifique se o registo de auditoria captura a sessão e confirme que o tráfego legítimo não é afetado.

Melhores Práticas

Inteligência Dinâmica de Ameaças: Blocklists estáticas ficam obsoletas horas após a publicação. Garanta que o seu motor de filtragem utiliza inteligência de ameaças em tempo real, continuamente atualizada, para categorizar novos domínios à medida que surgem. Atores de ameaças registam novos domínios diariamente especificamente para evadir listas estáticas.

Controlo Granular de Políticas: Evite proibições generalizadas que perturbam negócios legítimos. Bloquear todo o streaming de vídeo pode ser apropriado para uma rede de escritório corporativo, mas seria totalmente inapropriado para um hotel. Defina políticas por SSID, por tipo de local ou por hora do dia onde a plataforma o suporte.

Gestão de Tráfego Encriptado: À medida que TLS 1.3 e DoH se tornam padrão, depender apenas de DNS é insuficiente. Avalie hardware capaz de inspeção Server Name Indication (SNI) como um meio-termo entre DPI completo e filtragem apenas por DNS. A inspeção SNI lê o nome do servidor não encriptado no handshake TLS sem desencriptar o payload, oferecendo bloqueio ao nível da categoria com impacto mínimo na taxa de transferência.

Registo de Conformidade: Mantenha registos de conexão — endereço MAC, IP atribuído, carimbo de data/hora, identidade autenticada — em conformidade com as leis locais de retenção de dados. Sob o GDPR, não registe o histórico completo de navegação; registe apenas metadados de conexão. Garanta que os registos são encriptados em repouso e com acesso controlado.

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns

O Bypass DoH: Hóspedes que utilizam navegadores modernos configurados para usar DNS over HTTPS irão contornar os filtros DNS padrão. Mitigação: Mantenha uma blocklist atualizada de IPs de provedores DoH ao nível da firewall e redirecione todo o tráfego da porta 53 via NAT.

Aleatorização de MAC: Dispositivos iOS e Android modernos aleatorizam endereços MAC por SSID, quebrando o rastreamento tradicional de dispositivos. Mitigação: Confie na autenticação baseada em sessão ligada ao login do captive portal, em vez do rastreamento persistente de MAC. O ID da sessão, e não o MAC, torna-se a chave de auditoria.

Sobre-filtragem e Falsos Positivos: A filtragem agressiva bloqueia tráfego legítimo, gerando tickets de helpdesk e degradando a experiência do hóspede. Mitigação: Implemente um processo rápido de revisão da whitelist. Monitorize os registos de domínios bloqueados semanalmente e coloque na whitelist falsos positivos confirmados dentro de 24 horas.

Desvio de Políticas entre Locais: Em implementações multi-site, as políticas geridas manualmente divergem ao longo do tempo. O Local A pode ter uma blocklist desatualizada enquanto o Local B está atualizado. Mitigação: Imponha uma distribuição de políticas centralizada e gerida na cloud com controlo de versão. Todos os locais devem usar a mesma base de políticas.

ROI e Impacto no Negócio

O Retorno do Investimento (ROI) para a filtragem de conteúdo é medido principalmente na evitação de riscos. Um único processo por infração de direitos de autor ou uma ação de fiscalização da ICO pode custar dezenas de milhares de libras — excedendo em muito o custo anual de uma solução de filtragem. A tabela abaixo ilustra a diferença de custos:

Item de Custo	Rede Não Filtrada	Rede Filtrada
Custo anual da solução de filtragem	£0	£2,000–£15,000 (dependente da escala)
Acordo por infração de direitos de autor	£10,000–£100,000+	£0 (mitigado)
Multa GDPR (registo inadequado)	Até 4% do volume de negócios global	£0 (em conformidade)
Dano reputacional / impacto na marca	Significativo	Mínimo
Desempenho da rede (P2P removido)	Degradado	Melhorado

Além disso, a filtragem melhora o desempenho geral da rede. Ao bloquear o tráfego P2P de alto consumo de largura de banda e as botnets de malware, preserva a taxa de transferência para hóspedes legítimos, melhorando a experiência do utilizador e reduzindo a sobrecarga da infraestrutura. Quando combinado com um robusto WiFi Analytics plataforma, a rede transforma-se de um passivo não gerido num ativo seguro e gerador de dados que impulsiona resultados de negócio mensuráveis.

Definições Principais

Safe Harbour

Legal provisions that protect ISPs and network operators from liability for the actions of their users, provided they take reasonable technical steps to prevent abuse and can assist law enforcement.

The primary legal shield for venue operators. Content filtering and audit logging are the technical conditions that maintain safe harbour status.

Captive Portal

A web page that users must view and interact with before access is granted to a public network, used for authentication, AUP acceptance, and session initiation.

The primary mechanism for establishing user identity and creating an audit trail. Without it, anonymous access makes safe harbour untenable.

DNS Filtering

The process of blocking access to certain websites or IP addresses by intercepting and evaluating Domain Name System (DNS) requests against a threat intelligence database before resolving the IP address.

The most efficient, low-latency method for blocking malicious or inappropriate content at scale. Suitable for high-throughput environments without requiring DPI hardware.

Audit Trail

A chronological, tamper-evident record of network events, including user authentication, IP lease assignments, session start/end times, and authenticated identity.

Required to respond to law enforcement requests, demonstrate regulatory compliance, and prove that reasonable steps were taken to prevent illegal activity.

Deep Packet Inspection (DPI)

Advanced network packet filtering that examines the data payload of a packet as it passes an inspection point, enabling application-level identification and control.

Provides the most granular control but requires significant processing power and can reduce network throughput. Best used selectively for high-risk protocol detection.

DNS over HTTPS (DoH)

A protocol for performing remote DNS resolution via the HTTPS protocol, encrypting the DNS query to prevent interception or manipulation by network operators.

The primary bypass mechanism that undermines DNS-only filtering. Must be blocked at the firewall level by maintaining a blocklist of known DoH resolver IPs.

Peer-to-Peer (P2P)

A decentralised communications model where each participating node has equivalent capabilities, commonly used for file sharing via protocols such as BitTorrent.

The primary vector for copyright infringement on public networks. Must be blocked at both the DNS and application layer (firewall port/protocol rules) for effective mitigation.

MAC Randomization

A privacy feature in modern operating systems (iOS 14+, Android 10+) that uses a randomised MAC address when connecting to WiFi networks, preventing persistent device tracking.

Breaks traditional MAC-based device tracking, forcing network operators to rely on session-based authentication via the captive portal as the primary audit identifier.

Server Name Indication (SNI)

An extension to the TLS protocol that allows the client to indicate which hostname it is connecting to during the TLS handshake, before the encrypted session is established.

Enables category-level content blocking on HTTPS traffic without full payload decryption, offering a middle ground between DNS-only filtering and full DPI.

Exemplos Práticos

A 200-room hotel is receiving automated copyright infringement notices from their ISP because guests are torrenting movies over the open Guest WiFi. The hotel currently uses a basic WPA2-PSK network with no captive portal and no content filtering.

Step 1: Remove the shared PSK and replace with an open SSID fronted by a Captive Portal. Step 2: Require guests to authenticate using their room number and last name via PMS integration, or via SMS/email verification. Step 3: Deploy a cloud-based DNS filtering service integrated with the network gateway, enabling the 'P2P/File Sharing' and 'Malware' blocking categories. Step 4: Configure the gateway firewall to block all outbound traffic on standard BitTorrent ports (6881–6889 TCP/UDP) and block known torrent tracker domains via the DNS filter. Step 5: Implement NAT rules to intercept all port 53 traffic and redirect to the managed DNS resolver. Step 6: Enable session logging to capture MAC address, assigned IP, authenticated identity, and timestamps for all sessions.

Comentário do Examinador: This approach immediately establishes an audit trail by tying every network session to a verified guest identity. Blocking P2P at both the DNS and port level provides defence-in-depth against piracy, directly addressing the ISP notices and restoring safe harbour protection. The PMS integration is critical in hospitality — it eliminates anonymous access without adding friction for legitimate guests.

A large retail chain is deploying Guest WiFi across 500 stores. They need to ensure compliance with family-friendly policies and prevent malware distribution, but they cannot afford high-latency DPI hardware at every branch. They also need consistent policy enforcement across all sites.

Step 1: Deploy a centrally managed cloud WiFi architecture with a cloud controller managing all 500 branch access points. Step 2: Implement a cloud-based DNS filtering solution applied at the SSID level, configured centrally and pushed to all sites simultaneously. Step 3: Configure the policy centrally to block the 'Adult', 'Malware', 'Phishing', and 'P2P' categories. Step 4: Use the cloud controller to enforce NAT rules redirecting all port 53 traffic to the managed DNS resolver at every site. Step 5: Configure a centralised logging aggregator to collect session logs from all 500 sites into a single SIEM or log management platform for compliance reporting.

Comentário do Examinador: For highly distributed retail environments, centralised cloud DNS filtering is the only scalable solution. It introduces negligible latency — typically under 20ms — which is critical for retail environments where guest experience is paramount. Centralised policy management eliminates policy drift across sites and ensures a single compliance posture. The absence of on-premise DPI hardware at each branch significantly reduces both capital expenditure and ongoing maintenance overhead.

Perguntas de Prática

Q1. Your venue is upgrading its Guest WiFi. The network architect proposes removing the captive portal to create a smoother user experience, relying solely on a cloud DNS filter to block bad content. What is the primary legal risk of this approach, and what would you recommend instead?

Dica: Consider what happens if law enforcement requests information about a specific IP address used at a specific time.

Ver resposta modelo

Removing the captive portal eliminates the authentication layer, meaning there is no audit trail tying a network session to a specific user identity. While the DNS filter will block known bad sites, if a user bypasses it or commits an illegal act not caught by the filter, the venue cannot identify the user. This nullifies safe harbour protections, leaving the venue fully liable. The recommendation is to retain the captive portal with mandatory authentication, and use the DNS filter as a complementary layer — not a replacement for identity verification.

Q2. A user complains they cannot access a legitimate corporate VPN while connected to your filtered Guest WiFi. You check the logs and see the connection is being dropped at the gateway, not the DNS level. What are the two most likely causes, and how would you resolve each?

Dica: Think about how firewalls handle encrypted traffic and non-standard ports, and how VPN protocols operate.

Ver resposta modelo

Cause 1: The firewall has an overly restrictive outbound policy blocking the specific ports used by the VPN protocol — for example, UDP 500 and UDP 4500 for IKEv2/IPsec, or TCP/UDP 1194 for OpenVPN. Resolution: Whitelist standard VPN ports for outbound traffic while monitoring for abuse. Cause 2: A DPI engine is dropping the encrypted tunnel traffic because it cannot inspect the payload and is configured to block unrecognised encrypted sessions. Resolution: Create an application-layer exception for known VPN protocols, or disable DPI for traffic on standard VPN ports.

Q3. You have deployed a robust cloud DNS filtering solution across your venue network, but your WiFi analytics dashboard shows significant bandwidth consumption consistent with BitTorrent traffic. How is this possible if DNS filtering is active, and what additional controls do you need to implement?

Dica: DNS only resolves names to IP addresses. Consider how P2P software discovers and connects to peers after initial tracker contact.

Ver resposta modelo

BitTorrent and other P2P protocols use DNS only for initial tracker discovery. Once peers are discovered, the client connects to them directly via IP address, completely bypassing DNS. DNS filtering alone cannot stop peer-to-peer data transfer once the initial connection is established. To resolve this, you must configure the network gateway firewall to block P2P protocols using application-layer filtering or by blocking the known BitTorrent port ranges (6881–6889 TCP/UDP) and the DHT protocol (UDP 6881). Additionally, consider enabling bandwidth throttling for any remaining P2P traffic that uses non-standard ports.