Analiza odwiedzanych stron www - walka z porno

Ze sprzętu nie doradzam, bo raczej nie moja działka. Jednak przychylę się do propozycji @wasabi1084 , że najwięcej i najniższym kosztem wyciśniesz z Mikrotików (tam jest system operacyjny Router OS)

Możesz wykorzystać wspomniany powyżej przez @GreenB Pi-hole. Taka nazwa, ponieważ jedną z metod jest uruchomianie na płytce Raspberry Pi (chwilowo nie do kupienia w normalnej cenie, przerwane łańcuchy dostaw).

Musiałbyś na Pi-hole skonfigurować serwer DHCP, który będzie w sieci rozdawał adresy IP i przydzielał DNS działajacy na Pi-hole. Z tym, że to kiepskie rozwiązanie do monitoringu, ponieważ w logach Pi-hole będziesz mieć tylko pierwszą prośbę o daną domenę. Potem Windows/Android zapamięta sobie IP przez dłuższy czas ponownie się nie zapyta. No i jak ktoś wpisze własny DNS albo włączy sobie DNS over HTTPS to każde rozwiązanie oparte na DNS wylatuje.

Chyba czas na zapoznanie się z Router OS. Potrafi robić log z odwiedzanych domen po HTTPS czy tylko zapytania DNS?

Dzięki za pomoc. Czyli mikrotik się nie nada. Pi nie do kupienia. A w zasadzie za tę kasę to można kupić porządnego kompa. Są też na serwisie aukcyjnym do kupienia za niedużą kasę terminale HP czy DELL. Czy może takie coś kupić do tego drugą kartę sieciową i przepuszczać przez to cały ruch sieciowy. Pytanie tylko co tam zainstalować. Jedni mówią, że serwer proxy, inni, że PFSENSE, a inni, że wtedy MIDM pozwoli wiresharkiem czytać wszystkie zapytania również ten HTTPS - czyli wyfiltrować domeny.

Mikrotik się nada, jeżeli potrafi śledzić ruch HTTPS i robić z niego log z domenami. Jest to możliwe, bo przed zestawieniem szyfrowania SSL, domena wysyłana jest czystym tekstem w nagłówku certyfikautu. Pytanie do @wasabi1084 czy Router OS robić takie logi.

Pi-hole możesz zainstalować również na zwykłym PC z dwoma kartami sieciowymi i Linux Prerequisites - Pi-hole documentation ale po DNS będziesz miał kiepskie śledzenie, tak jak napisałem.

Ok, czyli dowolny router Mikrotik pozwoli wiązać adres IP urządzenia z odwiedzanymi stronami przez użytkownika?

Nie wiem, pytanie skierowałem do wasabi.

PFSENSE nie znam zbytnio, musiałbyś poświęcić trochę czasu na eksperymentowanie. Co do Wiresharka, tak można postawić PC’ta i wyfiltrować nazwy domen z pakietów HTTPS, to w sumie jest dobry pomysł na samo obserwowanie ruchu.

Tu opisane jak dodać kolumnę z tzw „Server name” które jest do odczytania z pakietu Malware-Traffic-Analysis.net - Adding HTTPS server names to the column display in Wireshark

Generalnie jak zaczniesz drążyć w takich DiY rozwiązaniach to temat się tylko rozwija, no bo przecież za takim PC z Wiresharkiem nie powinien stać kolejny router, tylko sam PC powinien robić za punkt dostępowy WiFi.

A dlaczego nie powinien stać router? to coś uniemozliwi?

Jeżeli zrobisz tak: [PC z Wireshark] → [Router z Wifi] → [urządzenia wpięte po LAN i po Wifi] to na PC z Wiresharkiem będą widoczne połączenia z IP tego routera a nie z IP poszczególnych komputerów stojących już za routerem.

Trzeba by było coś z Bridge kombinować, ale to temat wymagający przemyślenia

Możesz monitorować jaki adres ip lub lepiej MAC address. Zresztą wystarczy wpisać hasło i będzie dostępne w internecie.

https są szyfrowane. Ale jeśli niema szyfrowania to tak.

Widzę tylko taki problem, że aby wszystko ogarnąć, trzeba będzie poświęcić sporo czas na naukę, albo skorzystać z pomocy innych osób, i może to sporo czasu zająć. Dlatego sugeruję zacząć od wpisania w router DNSów FamilyShield może to załatwi sprawę.

Tak ale podczas tzw handshake idzie czystym tekstem „Server Name” z certyfikatu, który odpowiada nazwie domeny. Dopiero potem zestawianie jest połączenie SSL. Można sobie to podejrzeć Wiresharkiem i pewnie na RouterOS też jakoś wyciągnąć się da.

Ale może być tak:
Internet - router - komp z wireshark / pfesense itp. - urzadzenie do monitorowania?

Tak, to można. Ale po zestawieniu połączenia już nie.

Może.

no tak dokładnie, tylko do tego kompa z Wireshark musisz wpiąć wszystkie urządzenia korzystające z Internetu, czyli zrobić na nim punkt dostępowy WiFi oraz hub do podłączenia urządzeń wpinanych po kablu. W routerze wyłączyć punkt dostępowy WiFi. Tak jak pisałem, w przypadku rozwiązań „Zrób to sam” temat się tylko rozwija.

Wystarczy dać za nim router, a w kompie włączyć translacje adresów, czyli udostępnianie Internetu. Wystarczą dwa porty LAN.

Zgadza się ale wtedy komp będzie widział połączenia z IP routera (bo zakładam, że router też robi translację NAT) a nie połączenia z poszczególnych IP urządzeń stojących za routerem. A chcemy przecież wiedzieć kto jakie połączenie wykonuje. No chyba że ja coś przestałem ogarniać… :slight_smile:

Translacje już będzie miał na kompie, w routerze niema potrzeby ponownie tworzyć kolejnej podsieci. Nawet serwer DHCP z widnowsa będzie, więc też może tak działać, jak ktoś chce.

Router jako swich i AP po prostu będzie robił. Zwykle wystarczy wyłączyć DHCP, ustawić adres routera z puli przydzielonej przez windows i wpiąć w LAN zamiast WAN.

No właśnie myślałem o Access Point ale coś mi się ubzdurało, że AP robi też translację.

Często AP są wyposażone w inne opcje, mają serwery DHCP, możliwość działania jako router, co nie znaczy, że trzeba z tego koniecznie korzystać.

Przydaje się, gdy chcesz udostępnić Internet sąsiadowi, tworzysz sobie wtedy np. odrębną podsieć, żeby ci sąsiad nie drukował pornosów na twojej drukarce sieciowej. (kiedyś w pewnej sieci osiedlowej po wejściu do Internetu okazało się, że ludzie ci są w jednej podsieci :grin: :grin: trochę tego wydrukowaliśmy komuś).

Znałem to z wpięciem się do LAN i wykorzystaniem routrea jako zwykły switch, ale zeby jeszcze wykorzystać Wifi - muszę kiedyś taką konfigurację przetrenować.

Jedna duża podsieć ze wszystkim to świetna zabawa :rofl:

A czy może być taka konf, zakładając, że najpierw chce zbadać urządzenia po sieci ethernet kontrolowac pojedynczo. Czyli układ taki
Internet - router - komp z wireshark - docelowy badany komp
a pozostałe akurat niebadane kompy będą się łączyć z routerem bezpośrednio?
Przy okazji pytanie - jak mocny komp musi być Windows lub Linux z wireshark aby filtrowac ruch z 1 kompa (https i https) w takiej konfiguracji?

Pewnie dlatego że jest szkodliwe… Wykrzywia pojęcie seksu i dereguluje mechanizm dopamina-nagroda. W skrajnych przypadkach wpędza w seksoholizm, kompleksy itd. Przy braku autorytetów moralnych, prowadzi do współżycia wcześniej niż natura przewidziała, ciąż, prostytucji.

Faktycznie, po co… To przecież normalne, nie? :expressionless:

Lepsze porno niż jakaś czateria czy Tinder.

Lepsza dżuma niż cholera?