Rzeczą normalną jest, że w sieci krąży mnóstwo śmieci typu adware instalujących się w przeglądarkach.
Czy ktoś tutaj przepracował temat konfiguracji firewalla i uzyskał dobry efekt filtrowania tego typu śmieci? A może dla linuksa rozwija się jakaś paczka wspomagająca iptables pod kątem adware?
Kojarzycie coś takiego?
Jeśli tak, z góry dzięki za info lub podzielenie się Waszymi doświadczeniami.
W linuxie nie rozwija się podobnych paczek (W każdy bąć razie ja o takich nie słyszałem). powód jest prosty, na linuxa nie ma reklamiarzy.
Często na linuksie oparty jest router obsługujący sieć, w której znajdziemy klientów tak linuksowych jak i windowsowych.
Co do drugiej części: "na linuxa nie ma reklamiarzy" nie jestem pewien.
Jeśli ad awareowy dodatek ładuje się do chroma na Windowsie, to wcale nie byłbym taki pewien, czy nie załaduje się do chromium na Linuksie.
A ja jestem pewien. Bo jeśli mówimy o wątpliwych dodatkach do przeglądarki to zazwyczaj instalują się przy okazji instalowania innego oprogramowania. Np ask bar przy instalacji 7-zip. I w większości przypadków za instalacją takiego oprogramowania stoi użytkownik; schemat( coś się pyta to mu enter). Na to nie pomoże żaden firewall.
Złośliwe oprogramowanie które ładuje się bezpośrednio ze strony internetowej bez wiedzy użytkownika instaluje się w specyficznych miejscach windowsa(katalogi i rejestr), takie miejsca nie występują w linuxie. Co więcej taki plik, ściągnięty mimochodem nie będzie miał uprawnień do manipulacji innymi procesami, więc nie dotknie przeglądarki ani innego miejsca w systemie operacyjnym. Innymi słowy architektura linuxa nie pozwala na działanie takich programów.
Cytat:
Często na linuksie oparty jest router obsługujący sieć, w której znajdziemy klientów tak linuksowych jak i windowsowych.
Korzystam z takich router'ów. W firmach które obsługuję kupuję takie router'y które obsługują openwrt, i standardowo wymieniam soft. Głównie ze względów bezpieczeństwa i żeby rozszerzyć możliwości. Żeby się zabezpieczyć przed reklamiarzami w windzie najlepsza metoda to:
a- Antywirus
b- odebranie użytkownikom uprawnień administratora
c- filtrowanie na poziomie sieciowym stron z takim syfem np. Strony pornograficzne, torrenty, cracki itp.
No to lipa. A już myślałem, że wykorzystam router (Ubuntu Server) do przetrzebienia tego syfu (choćby przez dopisywanie blokowania wykrytej w sieci aktywności serwerów typu exoclick itd).
Ale dałbym głowę, że coś gdzieś kiedyś czytałem o puszczaniu ruchu sieciowego przez proxy, na którym działa coś co usuwa m. in. wszystkie reklamy, wyskakujące okna itp. Może to nie to samo, co adware, ale dobre i to. Kurcze tylko nie pamiętam, gdzie to widziałem.
Hmm a jakby tak spróbować postawić proxy z ClamAV-em. O tym chyba też coś gdzieś kiedyś czytałem. Taki antywirus z blokadą szkodliwych plików w locie.
Jest Untangle. Ale jest to kompletna dystrybucja (w formie .iso) już z Linuksem (Debian), nie da się więc tego raczej dołożyć do już istniejącego Linuksa.
Jest w wersji darmowej i płatnej. Warto choć spróbować, bo jest to ciekawe i proste w obsłudze rozwiązanie.
https://www.untangle.com/store/ngfw-free.html https://www.untangle.com/software-packages http://wiki.untangle.com/index.php/Main_Page https://www.untangle.com/store/ad-blocker.html Demo interfejsu administratora:
http://demo.untangle.com/auth/login?url=/setup/welcome.do&realm=Administrator Przez rok używaliśmy tego w firmie, działał bardzo dobrze i stabilnie. To nie jest nowa zabawka, ale profesjonalne, rozwijane już od 8 lat, rozwiązanie, choć lekko ograniczone w wersji Free.
Na początek można podłączyć w trybie "transparent bridge", czyli bez firewalla, NAT i routingu (nie trzeba wtedy ruszać już istniejącego routera), a uruchomić tylko antywirus, antyspam, web filter, raportowanie.
http://wiki.untangle.com/index.php/Installation Wadą jest amerykańskie pochodzenie - bazy wszelkiego świństwa są raczej z tamtych stron. Ale to i tak lepiej, niż nic. Trzeba samemu przetestować, co jest, a co nie jest filtrowane.
Wydaje mi się jednak, że na dodatki, które są zaszyte w instalacji jakichś programów, co robi choćby Java czy Adobe, to raczej nie pomoże. Jedynie czujność instalującego.
Rzeczywiście - wcześniej słyszałem o privoxy. Teraz mi się przypomniało.
jprzedworski napisał:
Jest Untangle. Ale jest to kompletna dystrybucja (w formie .iso) już z Linuksem (Debian), nie da się więc tego raczej dołożyć do już istniejącego Linuksa.
To wygląda fajnie. Zgaduję, że ma to funkcjonalność pełnego routera (możliwość skonfigurowania interfejsu wanowego i lanowych), mógłbym pójść w stronę wymiany obecnego routera.
Po wejściu w panel demo, widzę, że jest tu m. in. funkcjonalność:
- zarządzania pasmem (ciekawe czy dynamiczny, czyli z ograniczeniem "do" w zależności od wykorzystania łącza) - jeśli tak zastąpiłby Niceshapera
- filtrowania treści (zastąpiłby Dansguardiana), ciekawe czy podobnie jak wykorzystuje system wagowo kontekstowy
- antywirus (niby Dansguardian korzysta z ClamAV-a ale nie wiem nawet czy u mnie to działa).
- kontrola aplikacji (nie wiem na czym polega)
- firewall (oczywiste)
- Ad Blocker - to wygląda ciekawie i zachęcająco.
I jeszcze kilka innych funkcjonalności.
Ciekawe czy jest w Untangle rysowanie wykresów dobowego wykorzystania łącza. Mi rysuje Munin, ale dla poszczególnych interface-ów (a więc zbiorczo), nie umiem / nie wiem, czy jes możliwość w Munun skonfigurować wykresy dla poszczególnych maszyn (bez instalowania klientów na tych maszynach).
W sumie mam wolny terminal T5540 (ciekawe jakie są wymagania Untangle, ale jeśli to Debian z "ficzerami", to powinno działać wystarczająco dobrze).
Mogę więc spróbować postawić Untangle i ewentualnie zastąpić obecny router. Ciekawe na ile dotkliwe są ograniczenia wersji free.
Postanowiłem postawić Untangle i jestem w trakcie.
Utknąłem jednak na tym kroku:
Zdaje się, że po włożeniu kabla z internetem do jednej z kart sieciowych, interfejs powinien zostać wykryty. Niestety nic takiego się nie dzieje. Może Untangle nie rozpoznał kart sieciowych? Coś nie wierzę...
Dodano po 2 [godziny] 13 [minuty]:
Dobra, nie wiem, albo ten krok nie jest najszczęśliwszym rozwiązaniem autorów, albo coś nie zadziałało z ich przewidywaniami. W każdym razie sprawdziłem przez ifconfig, i wszystko było ok. W dajszym kroku wyłączyłem nat-a, i ustawiłem drugi interface na zbridgeowany. Dokonałem wstępnej konfiguracji działa. Jest transparentne. Ustawił sobie IP na 192.168.1.30 (nie wiem czemu takie, na pewno nie przyznał mu takiego DHCP mojego serwera, ale nie wnikam, niech będzie. Dziwne trochę, bo mój DHCP przyznaje temu MACowi adresy 192.168.1.113. Komputer podłączony do eth2 uzyskał poprawne ip od mojego serwera, więc Untangle jest transparentne i nie robi problemów.
Pobrałem i załadowałem z ciekawości polski język. Działa.
Teraz wystarczy zapewne zainstalować wybrane moduły.
Jako opcja lite (pełna wersja płatna) są moduły:
- web filter
- virus blocker
- spam blocker
- application control
Pozostałe wersji lite nie mają, a są to:
- phish blocker
- web cache
- bandwidth control
- https inspector
- captive portal
- firewall
- intrusion prevention
- ad blocker
- reports
- policy manager
- directory connector
- wan failower
- wan balancer
- ipces VPN
- open VPN
- configuration backup
- branding manager
- live support
Czas się pobawić, i zobaczyć co to potrafi.
Na koniec dodam, że panel sterowania robi wrażenie mułowatego (nie grzeszy płynnością) na sprzęcie 1GHz CPU, 1 GB DDR2.
Efekt podobny jak przy Dansguardianie. Strona na protokole http:// (wp.pl) zablokowana wyśmienicie.
Strona na protokole https:// (youtube.com) nie pozwala się zablokować.
Zakładka Blokuj Kategorie również działa świetnie. Po kliknięciu w games bardzo skutecznie blokuje strony z grami, czy to polskie, czy anglojęzyczne.
Pytanie tylko, czy ten Firewall umożliwia zablokowanie stron po frazie, np niech blokuje wyłączenie wszystko związane z grą GTA.
Niestety nie widzę możliwości edycji fraz do blokowania.
Przydałaby się również możliwość zdefiniowania godzin, w których będą zablokowane gry, np od godz. 8.00 do godz. 17.00.
Przy dansguardianie zawsze można sobie cronem podmieniać listy fraz / stron adresów i restartować dansguardiana. Problem w tym, że ja mam bardzo złe doświadczenia z dansguardianem. Działa dobrze momentami, zazwyczaj zamula cały ruch, i co najgorsza Niceshaper ubija ruch idący przez proxy dansguardiana.
Strona na protokole https:// (youtube.com) nie pozwala się zablokować.
To normalne, komunikacja jest zaszyfrowana pomiędzy serwerem a przeglądarką i router 'po drodze' nie ma możliwości odszyfrowania tej transmisji aby zobaczyć jakie dane są przesyłane.
Raport wygenerowany przez Untangle za wczorajszy dzień.
Wygląda na to, że działa.
Szkoda, że w całości darmowe nie jest.
Ale komfort na prawdę duży. Pierwszy raz miałem do czynienia z systemem, który zainstalował się absolutnie sam od początku do końca. Po restarcie prosta, jednorazowa konfiguracja. Robi wrażenie.
Untangle scanned 0.29 GB i 52025 sessions
Web Filter przeskanował 9071 wykrytych kliknięć na strony www 50 naruszeń, z których 50 były blokowane
Virus Blocker przeskanowano 9071 dokumenty wykryte i zablokowane 0 wirusów
Virus Blocker Lite przeskanowano 9071 dokumenty wykryte i zablokowane 0 wirusów
Spam Blocker scanned 0 messages and detected and processed 0 spam messages
Phish Blocker scanned 0 messages and detected and processed 0 phish messages
Web Cache handled 0.00 MB of traffic, of which 0.00 MB were obtained directly from the cache
Bandwidth Control analyzed 292.16 MB
Application Control identified 0 of 20850 sessions of which 0 were flagged and 0
were blocked
Application Control Lite scanned 20850 sessions and detected 0 protocols of which 0 were blocked
Captive Portal processed 0 user login events
Firewall zeskanowane 20850 sesje i blokady 0 zgodnie z zasadami
Intrusion Prevention scanned 20850 sessions and detected 0 attacks of which 0 were blocked
Ad Blocker skanowane 9071 odsłon stron internetowych i zablokowanych 255 ads and 479 cookies
Policy Manager mapped 20850 sessions across 1 racks
Directory Connector processed 0 AD events
WAN Failover detected 0 WAN failures and saved the network from 0.0 seconds of downtime
WAN Balancer spread 20850 sessions over 1 interfaces
OpenVPN securely passed 0 MB of traffic and processed 0 remote logins
Firewall aplikacyjny. Warstwa 7. Bardzo przydatne.
Np. Przychodzi szef i mówi: Za godzinę ma nie być dostępu do Skype'a i komunikatorów, korzystać można tylko z Internet Explorera, tylko Kowalski i Nowak mogą mieć Youtube ale tylko 2 Mb/s i w godzinach 10:00 - 13:30. I to się daje zrobić przy pełnej funkcjonalności w kilka minut. Nie trzeba kombinować, czy jakieś porty blokować. Firewall analizuje ruch i z sygnatur rozpoznaje, co przepuszcza i co z tym ma zrobić.
Na pewno Untangle w wersji płatnej to jakoś ma, nie wiem, na ile zaawansowane (każdy producent robi to różnie). Nie mogłem sprawdzić, bo w wersji darmowej trzeba samemu dziergać sygnatury aplikacji, albo szukać u hobbystów w necie.
A tak w ogóle, to używałem wersję chyba 6 (jakieś zmiany nastąpiły) kilka lat temu i mało pamiętam. Staram się coś przypomnieć, ale wiedza mi się tu kończy
Generalnie fajna zabawka. Aż szkoda, że nie ma darmowego odpowiednika. Są dziesiątki przeróżnych dystrybucji linuxa, a w pełni funkcjonalnych, gotowych routerów, firewalli brak. Szkoda. Ktoś powie, że można zrobić samemu. Pewnie, że można tylko nie zawsze wszystko działa, i nie koniecznie mamy na tyle życia, by przebrnąć przez wszystko.
Tak na szybko z ciekawszych rzeczy (obchodzę wersję płatną):
Pod tym względem lepszy byłby dansguardian, gdyby... działał. W internecie pełno jest narzekań, że na otwarcie strony trzeba czekać od kilku do kilkudziesięciu sekund. Potwierdzam, u mnie jest tak samo. Czasem to działa, czasem nie. I nikt do końca nie wie dlaczego...
Jak dla mnie jednak średnio użyteczny, niewiele dla mnie z niego wynika. Samo proxy na porcie 3128 śmiga jak ta lala. Ale kiedy odwołujesz się do Dansguardian proxy na porcie 8080 wszystko prędkość siada totalnie... Nawet jeśli wyłączam skanowanie zawartości ClamAV-em...
Ale nie ćwiczyłem tego, wiem tylko, że są. Zwłaszcza m0n0wall jest dość znany.
Ale Untangle ma jednak więcej funkcji.
Była jeszcze Vyatta, ale produkt przeszedł do firmy Brocade i chyba już się go nie da ściągnąć za darmo.
