Websidesfilter innan datorn?

Tråden skapades och har fått 4 svar. Det senaste inlägget skrevs .
1

Hej! Det här kan ta en stund att förklara, men om du kan mycket om nätverk (och säkerhet i detsamma) så får du gärna hjälpa till!

Det är så att vi är några killar som på våran gymnasieskola precis har startat en datorförening. Självklart vill vi gärna ha internet till vårat lilla rum, och där håller inte riktigt de som håller i nätverket med. I nuläget så måste man logga in på varje dator (novell-nätverk) för att kunna göra något överhuvudtaget.

Detta vill vi självklart slippa, eftersom vi bland annat ska installera linux via nätet osv...

Beskedet som vi har fått än så länge är att vi får internet på ett villkor, att någon (eventuellt några) står som ansvariga, och tar konsekvenserna för eventuellt missbruk av uppkopplingen. Med andra ord så är det jag som får smisk om nån porrsurfar...

Skämt åsido, jag (som troligtvis kommer att stå som ansvarig) vill gärna att det ska gå att göra så lite "dumt" som möjligt. Med andra ord så ska vi inte kunna:

Porrsurfa
Surfa in på rasistiskt/kränkande/osv...
Piratkopiera (dc, bittorrent, osv..)
Säkert något mer, de är rätt kinkiga...

Så frågan är alltså, hur ska vi kunna hindra det här? Piratkopieringen är ju inte så svårt, det är ju bara att spärra portarna, men hur gör man med resten?

Det får gärna vara avancerat, vi ska ju trots allt lära oss nya saker!

Det ska alltså stoppas innan det ens kommer in i datorn, och det är inte några problem att ha en dator igång hela tiden. Gamla burkar har vi gott om.

Nån idé någon?

  • Medlem
  • Göteborg
  • 2005-12-05 19:40

Insiderhoten är de svåraste...

Den bästa lösningen är nog inte teknisk. Alla tekniska begränsningar går att komma runt. Försök istället att implementera en policy och kanske tom ett avtal. Du får förklara hur det ligger till för alla medlemmar.

Men till det tekniska:
De flesta företag och organisationer manipulerar DNS-sökningar för att förhindra åtkomst till speciella sajter. DNSen är den funktionsom översätter en url till ett ip-nummer. Genom att starta en egen DNS-server kan du själv styra till vilket ip som vilka urlar skall gå till.

Som du kanske förstår är det ett ganska stort jobb att gå igenom världens alla skumma sajter och skriva in dem i sin DNS-tabell så det finns listor för sådant som man kan prenumerera på o liknande, men jag vet inte mer om detta. Är det någon som vet om detta kräver en proxy, eller går det att förhindra att folk använder en annan DNS-server? Borde väl gå att spärra DNS-lookups i brandväggen, eller?

Ett annat alternativ kanske kan vara en mer avancerad brandvägg som kan göra mer än bara spärra portar. Tex kan titta på paketens innehåll och avgöra om de skall släppas igenom eller inte.

Ett tredje alternativ kan nog vara någon form av programvara på varje klient som stänger ute användaren från suspekta sajter mha nyckelord och liknande. Finns det inte något på macen som har med detta att göra, eller är det en tjänst i .mac eller var det i iTools?

Någon annan kan säkert fylla på med fler idéer.

Jag pratade med en av mina lite datornördigare kompisar igår, och han pratade bland annat om att sätta upp en proxyserver. Där skulle man kunna ställa in sidor som helt enkelt inte skulle kunna komma igenom. Problemet är att man då måste ställa in det i varje dator, helst så ska det fungera helt automatiskt (DHCP, osv...).

Jag ser ingen anledning till att man inte skulle kunna spärra dns-sökningar, så det är nog inga större problem.

Att installera någon form utav programvara på klienterna är inte aktuellt. I förlängningen så är tanken att vi ska låta folk ställa dit egna datorer (långt in i framtiden ligger även en trådlös ap, men det är en bra bit kvar till det). Dessutom så kommer det inte dröja många minuter innan de programvarorna är kringgådda, sönderhackade eller helt enkelt borttagna. I nuläget så kör vi win98 på datorerna, så säkerheten är ju inte dunder...

Jo, det är som du säger, det bästa vore om folk helt enkelt inte gjorde "dumma" saker. Frihet under ansvar är ju en (något utopisk) vision. Eftersom föreningen även ska arbeta för spridningen av open source, så känns det lite fel att spärra internetåtkomsten. I nuläget så är det inte så jättemånga som är aktiva i föreningen, men tanken är ju att föreningen ska växa, och därmed så gör ju tyvärr även problemen det...

Tack för tipsen dock!

Du kan ju sätta upp en brandvägg som du kombinerar med en transparant proxy som du kör all www-trafik genom. På så vis behöver man inte ställa in nåt i klienterna och alla blir styrda genom proxyn automatiskt.

Iptables i linux och squid proxy fixar detta galant!

  • Medlem
  • Uppsala
  • 2005-12-06 09:49

Instämmer med föregående talare med tillägget att du skulle kunna använda dansguardian istället för en proxy. Kan vara bra om du behöver mer exakt innehållsfiltrering.
http://dansguardian.org

1
Bevaka tråden