# 7 / 2018
02.05.2018

No ai blocchi di rete e all'isolamento digitale

Struttura e funzionamento dei blocchi di rete

Funzionamento di internet

Internet è un vasto insieme di reti di computer o di terminali con possibilità di collegamento. Esso garantisce l'interconnessione di queste reti e permette dunque di sfruttare servizi e applicazioni come World Wide Web, e-mail, app e molto altro. Di principio, ogni terminale può collegarsi con qualsiasi altro apparecchio. Lo scambio di dati tra i terminali collegati a internet avviene attraverso protocolli internet standard.

Internet è un vasto insieme di reti indipendenti. Di principio, ogni terminale con connessione internet può collegarsi con qualsiasi altro apparecchio.

Costruzione affidabile

Di principio internet è concepito in modo affidabile. Per questo motivo nella rete vi sono sempre più vie che portano all'obiettivo: se non è possibile optare per una di queste vie, basta adottarne un'altra. I blocchi di rete rendono però internet più rischioso e meno sicuro dal punto di vista dell'utilizzo.

Internet quale rete decentralizzata

Internet è composto da reti di diversa gestione amministrativa reciprocamente interconnesse. Si tratta principalmente di reti dei fornitori di servizi internet (reti di provider) a cui sono collegati i terminali degli utenti finali di un internet service provider (ISP).

Nei punti di interscambio vengono collegati tra di loro molti dorsali di rete tramite connessioni e apparecchi (router e switch) ad alta prestazione. Qui viene organizzato lo scambio di informazioni di accessibilità tra due reti dal punto di vista contrattuale e tecnico come peering, dunque sulla base di reciprocità, e viene dunque reso possibile lo scambio di dati.

La rete principale di internet, Arpanet, era stata concepita come rete decentralizzata in un’ottica di massima affidabilità. Di conseguenza, nella pianificazione non era stato previsto alcun dispositivo centrale in cui far confluire tutte le connessioni. La struttura a rete di internet contribuisce così fino a oggi ad avere un'elevata affidabilità. Per la comunicazione tra due utenti esistono perciò sempre più vie possibili tramite router con diversi sistemi operativi. In questo modo, il guasto di una connessione fisica nel settore chiave di internet non ha di regola gravi ripercussioni.

Il protocollo in cui viene determinato e usato l'indirizzo che identifica univocamente a livello mondiale i dispositivi connessi si chiama protocollo internet (IP). Per potersi collegare a un determinato terminale, il protocollo internet lo identifica con un indirizzo IP univoco. Questi indirizzi funzionano alla stregua di numeri di telefono e contengono anche un identificatore specifico dei paesi che permette il geotargeting. In termini più semplici, l'indirizzo IP può essere considerato l'identità di un utente finale in internet.

Il Domain Name System (DNS) funge da «elenco telefonico» automatico e rappresenta una parte importante dell'infrastruttura di internet. Questa banca dati internazionale mette a disposizione un meccanismo di traduzione che trasforma un indirizzo IP (ad esempio 86.125.22.1) in un nome di dominio più semplice da ricordare (ad esempio «economiesuisse.ch»). Questo avviene senza che l'utente se ne accorga ogni volta che in un browser web clicca su un nuovo hyperlink oppure digita direttamente un indirizzo web. Attraverso un pacchetto IP il browser chiede dapprima a un server DNS a lui noto l'indirizzo IP del nome sconosciuto e si scambia in seguito pacchetti IP con questo indirizzo per richiamare i contenuti dei servizi offerti, ad esempio siti web.

Tipi e funzionamento di blocchi di rete

Con i blocchi di rete si mira a bloccare l'accesso di utenti finali a determinati siti web e ai relativi contenuti. Al centro vi sono contenuti indesiderati che minacciano la quiete pubblica. I blocchi di rete possono ad esempio essere impiegati per proteggere gli utenti finali da offerte dal chiaro contenuto illegale come ad esempio pornografia hard core, contenuti terroristici o estremistici.

Ogni dispositivo collegato a internet dispone di (almeno) un indirizzo IP univoco (ad es. 86.125.22.1). Poiché questi indirizzi non sono di semplice lettura per le persone e sono anche difficili da ricordare, agli indirizzi IP meramente numerici viene assegnato un nome di dominio (ad es. www.swico.ch) in base al cosiddetto Domain Name System (DNS). Questo nome di dominio viene tradotto in modo standard in indirizzi IP dai server DNS dei fornitori di servizi internet (cosiddetta risoluzione dei nomi). Con un indirizzo IP è possibile accedere a siti web di diversi fornitori di servizi che offrono contenuti differenti con il rispettivo nome di dominio.
Oggi per i blocchi di rete sono in primo luogo tre le opzioni a disposizione.

1a variante: «blocchi di IP»

Con il blocco degli indirizzi IP i fornitori di servizi internet filtrano le ricerche dei propri clienti verso indirizzi IP specifici e salvati su una lista di blocco. Essi li bloccano oppure li reindirizzano su un sito web in cui il cliente viene informato che l'IP cercato è bloccato. Il blocco concerne tutti i contenuti – legali e illegali – consultabili all'indirizzo IP bloccato (vedi in seguito «overblocking»).

Il blocco di IP impedisce di accedere a indirizzi di computer in internet. Tali richieste vengono di regola reindirizzate su una pagina di avviso.

2a variante: «blocchi DNS»

Con blocchi DNS viene evitata la risoluzione del nome da parte del server DNS oppure le ricerche vengono reindirizzate dal fornitore di servizi internet su un sito di avviso che informa il cliente di aver tentato di accedere a un sito web bloccato. Il blocco DNS interessa tutti i contenuti del dominio bloccato. Non vengono per contro rilevati altri contenuti consultabili con lo stesso indirizzo IP (ma con un altro dominio).

Nel caso di blocchi DNS l'«elenco telefonico» viene bloccato per determinati indirizzi IP. In questo modo è possibile accedere ai siti solo se si conosce l'indirizzo IP esatto.

3a variante: «filtro applicazione»

Con i filtri applicazione i fornitori di servizi internet e gli operatori applicano dei filtri sul traffico internet scambiato. Simili strumenti tecnici noti comunemente come filtri d’applicazione (application filter in inglese) permettono tra l'altro anche di riconoscere contenuti dannosi dal punto di vista tecnico (come ad es. worm, virus o malware) in datagrammi IP trasportati. Una forma di questo filtro può essere realizzata anche attraverso Deep Packet Inspection (DPI). DPI mette a disposizione in particolare la possibilità di filtri di pacchetti dettagliati che dopo un'analisi dei dati di utilizzo di un datagramma IP e ad esempio la verifica del contenuto per quanto riguarda la presenza di determinate parole chiave può procedere a un'azione rilevante per questa interazione. DPI può essere applicata solo su dati di protocollo trasmessi in modo non criptato, comprende però anche interrogazioni di motori di ricerca.