Potrzebuję wykonać sprytną analizę ruchu sieciowego w sieci domowej. Mianowicie odciąć dzieci od porno i innego shitu. Nie jestem w stanie dodać wszystkich storn na routerze więc muszę zebrać ten ruch i na tej podstawie wykluczać. Nie da się zainstalować żadnego oprogramowania na kompie i smartfonie bo dzieciaki za kumate. W tym celu chciałbym włączyć jakiś monitoring najpierw pomiędzy komputer, a router.
Pytanie jak to zrobić? Ktoś mi podpowiada wpiąć komputer z 2 kartami i filtrować ruch wiresharkiem, ktoś inny, że jakieś proxy albo dnsy zmienić. Czy ktoś mógby podać jakieś rozwiązanie jak to zrobić?
Jaki masz router?
Jeżeli dzieci kumate, to blokowanie na bazie DNS/Proxy na routerze raczej nie wytrzyma długo. Trzeba blokować zarówno wspomniane strony jak i usługi VPN
Jak to zrobić? Router z Linux oraz iptables filtrujacym po zawartości pakietu ( dokładnie certyfikatu SSL), gdzie znajduje się nazwa domeny, która idzie czystym tekstem, jeszcze przed zestawieniem szyfrowanego połączenia SSL.
Spiąć iptables z listami, których poszukiwania można zacząć tutaj - to akurat blokowanie po DNS ale jest to jakiś start do poszukiwań
Jednym słowem całkiem spory projekt, wymaga sporej wiedzy i sporej ilości czasu, żeby służył a nie straszył. Najlepszym wyjściem byłoby skorzystanie z czegoś gotowego.
- Kupienie routera, który potrafi takie rzeczy fabrycznie, listy są regularnie aktualizowane przez producenta. Myślę że tu koledzy pomogą bo nie siedzę w sprzęcie.
- Wykorzystanie jakiejś dystrybucji Linux typu router, która takie rzeczy robi, ma ładny panel - nie wiem czy takowe są.
A i tak to można obejść…
Punktem wyjścia do blokowania ruchu może być projekt Pi-hole, pierwotnie służył do blokowania reklam, do porno też się nada. Tyle że jak zablokujesz wszystko w sieci domowej, to za pomocą komórki można ściągać przez dane mobile.
Przypadkiem Pi-hole nie blokuje na bazie DNS? Wystarczy włączyć w przeglądarce DNS over HTTPS i po blokadzie mi się wydaje. Natomiast Pi-hole może być dobrym źródłem blacklist z domenami do wykorzystania we własnym projekcie.
Czyli nie chcesz skorzystać z gotowych (i niekompletnych list) na rzecz wyszpiegowanych przez Ciebie konkretnych domen? Teoretycznie ma to sens, ale w praktyce to walka z wiatrakami. Jest wiele stron, które serwują niby inne treści, ale są tam tolerowane również porno (np. gałąź anime zwana hentai, eroge etc.) (np. cda.pl, jbzd, strony z modelkami etc.). Jeśli dziecko jest zdeterminowane i kumate to zawsze to ominie. Z tym rakiem nie da się wygrać samą technologią, tutaj potrzeba pedagogiki. Miałem kiedyś takie zlecenie i poległem, tyle tego syfu jest, że ta lista się nie kończy.
Dawno temu był pomysł aby strony z szeroko rozumianą pornografią mogłyby być rejestrowane tylko z domeną .sex, ale to niestety padło (szkoda bo by znacząco ułatwiło pracę rodzicom i producentom routerów). Ale niestety są też prywatne gniazda cyfrowego bezeceństwa gdzie znajomi znajomym dają namiary na adres.
To daje do myślenia na temat tego jak zbudowany jest Internet. Wszystkie blokady można obejść. Liczą się jedynie chęci. Większość osób tych chęci nie będzie miała, nie będzie to dla nich ważne, ale pewna grupa osób zawsze. Nie mówię tylko o porno stronach ale ogólnie o Internecie.
Żeby blokować tych, którym się nie chce, dobrym rozwiązaniem jest takie oprogramowanie jak korporacyjny McAfee Web Gateway | McAfee Products - jest coś takiego ale open source?
Oczywiście zawsze można sobie udostępnić sieć ze smartfona i po blokadzie
A po co odcinać dzieci od porno? Nie bardzo rozumiem. Skoro są tym zainteresowane, to po prostu znajdą inne sposoby, zresztą samo minie z czasem. Lepsze porno niż jakaś czateria czy Tinder.
A jak chcesz mieć kontrolę, to po prostu router mikrotika, odpalony moduł dziecięcy i tam są limity czasu, prędkości, jakie strony dozwolone, monitorowanie itd.
RouterOS można postawić na starym PC jak prądu nie żal.
No chyba, że i mikrotik wymięka z blokadą do 100% dla połączeń VPN i proxy.
W teorii może Wasabi by te ograniczenia rozwiał (że da się zablokować proxy/vpn i weryfikować SSL na zasadzie MITM).
Być może tak długo pisałem, że wstawił aż opis funkcji „moduł dziecięcy” i pewnie dedykowany sprzęt jest mniej prądożerny w skali miesiąca/roku.
MITM wymagałoby dodania naszego certyfikatu w przeglądarkach użytkowników sieci domowej.
To działa tak, że po połączeniu z routerem mamy login i hasło, dzieci mają swoje konta i aby działał Internet, muszą nie na nie zalogować. Hasło Mikrotik Kid-control i można poczytać co jest możliwe do uzyskania.
TP LINK AX 1500 WIFI 6 - taki standardowy do domowego użytku
Dzięki. A czy możesz podać przykłady takich routerów? A czy mógłbyś podpowiedzieć jak zacząć od DNS / Proxy?
A także już idąc dalej podać konkretne routery które mają takie funkcje? Pewnie, że wszystko da się obejść, ale trzeba podnieść poprzeczkę.
Mały limit na GSM. Za dużo nie obejrzą. jaki koszt takiego PI-hole? Jak to działa? Gdzie się tym wpinam?
Może zacznij od OpenDNS FamilyShield: 208.67.220.123 oraz 208.67.222.123.
Po prostu wpisujesz w routerze DNSY na stałe i filtrują porno.
Chodzi o to aby możliwie utrudnić. Mam pewien sprytny sposób na odpędzenie ich od tego, ale najpierw muszę wiedzieć co za strony odwiedzają.
A możesz podać konkretne modele które pozwalają śledzić odwiedzone strony, najlepiej z konkretnego urządzenia / IP.
Ok, a konkretne rozwiązania?
Nawet myślałem, żeby przed router wstawić komputer z oprogramowaniem WIRESHARK i filtrować w ten sposób, ale mi odradzili, że to zasobożerne i logi zapchają dysk. Męczę temat już tydzień i praktycznego rozwiązania szukam.
Wszystkie mikrotiki.