Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Dyskusje o wszystkim co służy ochronie systemu i danych przed nieautoryzowanym dostępem.
Awatar użytkownika
gilban
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 135
Rejestracja: 03 lip 2007, 22:43
Płeć: Mężczyzna
Wersja Ubuntu: 18.04
Środowisko graficzne: GNOME
Architektura: x86_64

Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Post autor: gilban » 14 lis 2016, 11:49

Dzień dobry!

Na wstępie do admina - jeżeli wybrałem zły dział to proszę o przeniesienie, ponieważ nie wiem gdzie to umieścić.

Wiem, że są gotowe urządzenia (takie jakby routery) filtrujące min. dostęp do stron pornograficznych, ale nie tylko. Ale są bardzo drogie jak na polskie warunki.

Więc chciałbym się zapytać czy na Linuksie da się coś takiego zrobić i jak?

Komputery uczniowskie są obecnie z Windows 10, a serwer to Windows 2008 R2 i właśnie myślałem, żeby coś wpiąć między serwer, a router. Dopowiem, że część maszyn jest słaba i instalacja Kaspersky Security for Endpoint na stacjach roboczych oraz na serwerze Kaspersky Security Center powoduje że te słabsze komputery mulić się zaczynają i nie da się na nich pracować. Jedak przy wbudowanym w Windows 10 Windows Defender, jakoś to jeszcze działa.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3878
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Post autor: jacekalex » 14 lis 2016, 17:57

Wystarczy zablokować DNSy, zostawiając dostęp tylko do takich

Kod: Zaznacz cały

208.67.222.123
208.67.220.123
i ustawić je w serwerze DHCP, żeby komputery ich używały.
Wiem, że są gotowe urządzenia (takie jakby routery) filtrujące min. dostęp do stron pornograficznych, ale nie tylko. Ale są bardzo drogie jak na polskie warunki.
Cena jest problemem sprzedawcy, jak ktoś chce płacić za własną głupotę kupę kasy, to mu wolno... :twisted:

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
gilban
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 135
Rejestracja: 03 lip 2007, 22:43
Płeć: Mężczyzna
Wersja Ubuntu: 18.04
Środowisko graficzne: GNOME
Architektura: x86_64

Re: Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Post autor: gilban » 20 lis 2016, 23:51

Dzięki wielkie.

To nawet widzę że w routerze jako domyślne te porty można ustawić i będzie problem z głowy.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3878
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Post autor: jacekalex » 21 lis 2016, 00:26

Zapomniałeś o innej możliwości, strona do wyświetlania innych stron, wchodzi ktoś sobie na niewinną stronkę, tam jest okienko do wpisania adresu, i przeglądania innych stron.
Ochrona DNS przed tym nie chroni, bo taka strona będzie hostowana na innym serwerze, używającym własnych DNSów, do tego często używa szyfrowania SSL/TLS, także żaden filtr rodzinny na routerze jej nie sprawdzi.
Antywirusy typu Kaspersky czy Eset też są wobec takich stron bezradne.

Tu masz listę stron tego typu:
http://prx.centrump2p.com/

A tu przykład takiego http-proxy:
https://server8.kproxy.com/index.jsp

Zazwyczaj można w takich wypadkach używać SQUID+Dansguardian, wraz z filtrowaniem ruchu szyfrowanego.
W takim przypadku serwer proxy nawiązuje szyfrowane połączenie, filtruje odszyfrowane dane, a do użyszkodnika ruch szyfruje swoim certyfikatem.
Tu masz podstawową konfigurację Squid+Dansguardian:
https://lazowski.wordpress.com/2009/09/ ... sguardian/

Kwestię filtrowania ruchu szyfrowanego trzeba by dopiero rozpracować, wykonalne jest na 99%, ale nigdy tego nie robiłem jeszcze.

W samym Squidzie wygląda to tak:
https://www.howtoforge.com/filtering-ht ... with-squid

I pomódl się grzecznie, żeby uczniowie nie trafili na ten wątek. :)

PS:
Moim zdaniem to i tak walka z wiatrakami, wystarczy sprawdzić, ile dzieciaków ma smartfony i tablety z internetem 3G lub LTE,
na 5 calowym wyświetlaczu smartfona też można porntuby oglądać, a nad tym aspektem szkoła nie ma praktycznie żadnej kontroli,
chyba że całą szkołę zamknięcie w klatce Faradaya... ;-)

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
gilban
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 135
Rejestracja: 03 lip 2007, 22:43
Płeć: Mężczyzna
Wersja Ubuntu: 18.04
Środowisko graficzne: GNOME
Architektura: x86_64

Re: Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Post autor: gilban » 21 lis 2016, 08:28

Ja wiem że mają smartfony - jednak to jest szkoła społeczna i mają wyraźny zakaz używania w szkole smartfona. Zarówno podstawowa jak i gimnazjum. Poza tym wiadomo, że jak ktoś będzie chciał wejść na stronę dla dorosłych to wejdzie. Ale przy takim filtrowaniu nie wejdzie przypadkowo. Np szukając czegoś w Internecie czasem się zdarza że nawet nie chcąc można na stronę dla dorosłych trafić.
Ale co do adresów proxy to jest to walka z wiatrakami.
Kiedyś tak w zwykłej szkole ponadgimnazjalnej na serwerze szkolnym (sbs 2003) miałem ustawioną blok listę różnych stron. M.in Facebook i kilka innych stron i też to była walka z wiatrakami. Wchodzili właśnie przez adresy proxy, których było na pęczki.

Inna sprawa z tym DansGuardianem. Czy da się na routerze z OpenWrt lub Gargoyle zainstalować Dansguardian i to skonfigurować do działania?
Awatar użytkownika
valdi74
Wytworny Kaczor
Wytworny Kaczor
Posty: 441
Rejestracja: 01 maja 2007, 12:58
Płeć: Mężczyzna
Wersja Ubuntu: 18.04
Środowisko graficzne: KDE Plasma
Architektura: x86_64
Lokalizacja: Poznań

Re: Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Post autor: valdi74 » 21 lis 2016, 09:43

gilban pisze:Czy da się na routerze z OpenWrt lub Gargoyle zainstalować Dansguardian i to skonfigurować do działania?
Wygląda ma to, że się da:
http://eko.one.pl/?p=openwrt-dansguardian
Gdyby był z tym jakiś problem, to ta strona ma niezłe forum na którym można uzyskać pomoc.
Qui vit sans folie, n'est pas si sage qu'on croit
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3878
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: Firewall sprzętowy do zabezpieczenia przed treściami pornograficznymi

Post autor: jacekalex » 23 lis 2016, 05:03

Router z OpenWRT ma zazwyczaj trochę za słabą moc obliczeniową, żeby uciągnąć 20 komputerów przez proxy typu SQUID+DansGuardian, tutaj trzeba pełnowymiarowej maszyny, jak bym radził 4 rdzeniowy procek typu np "zabytkowy" Intel Q9450 - na Allegro za około 180 zł,
do tego 4GB RAM DDR2 (używane, płaciłem niedawno 90 zł) i gigabitowe interfejsy sieciowe oczywiście, powinno wystarczyć w zupełności.

Razem za około 600 -700 zł można postawić całkiem znośny sprzęt z przeznaczeniem na router z proxy.

Nowy sprzęt do takich zadań to minimum jakieś 1500 - 5000, zależy od flaków (z mocnym Xeonem może być i więcej).
Można też jakiś istniejący komputer zaadaptować do takich zadań.
Jeżeli coś sprawnie uciągnęło Windows Vista 64bit, to też powinno wystarczyć

Jeżeli proxy miałby także filtrować ruch szyfrowany, czyli odszyfrowywał, filtrował i ponownie szyfrował transmisję, to już by trzeba procek z modułem AES-NI czy podobny, co oznacza w Intelu min Sandy Bridge, i podraża koszt składanego kompa z używanych części o jakieś 400-600zł do poziomu min 900 - a prędzej 1200 zł.
Ja wiem że mają smartfony - jednak to jest szkoła społeczna i mają wyraźny zakaz używania w szkole smartfona
Oooo, robicie może lewatywy przy wejściu? :twisted:

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
ODPOWIEDZ

Wróć do „Bezpieczeństwo Ubuntu”