Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Linux - konfiguracja firewalla pod kątem blokowania adware

MES Mariusz 23 Sty 2015 13:05 2568 25
  • #1 23 Sty 2015 13:05
    MES Mariusz
    Poziom 36  

    Witam.

    Rzeczą normalną jest, że w sieci krąży mnóstwo śmieci typu adware instalujących się w przeglądarkach.

    Czy ktoś tutaj przepracował temat konfiguracji firewalla i uzyskał dobry efekt filtrowania tego typu śmieci? A może dla linuksa rozwija się jakaś paczka wspomagająca iptables pod kątem adware?

    Kojarzycie coś takiego?

    Jeśli tak, z góry dzięki za info lub podzielenie się Waszymi doświadczeniami.

    Dzięki piękne!

    0 25
  • #2 23 Sty 2015 13:48
    mbo
    VIP Zasłużony dla elektroda

    Raczej nie w tej warstwie się z Ad-Aware walczy.

    Nie słyszałem aby ktoś na poziomie firewalla blokował.

    0
  • #4 23 Sty 2015 14:54
    mbo
    VIP Zasłużony dla elektroda

    Pewnie w jakimś stopniu zadziała, tylko wizja szukania i ręcznego wklepywania używanych adresów URL nie napawa optymizmem i skutecznością.

    0
  • #5 23 Sty 2015 15:55
    MES Mariusz
    Poziom 36  

    Dlatego zacząłem się zastanawiać, czy nie istnieje / nie jest rozwijany jakiś podobny projekt. Ale może nie jest.

    0
  • #6 24 Sty 2015 07:26
    broda79
    Poziom 16  

    W linuxie nie rozwija się podobnych paczek (W każdy bąć razie ja o takich nie słyszałem). powód jest prosty, na linuxa nie ma reklamiarzy.

    0
  • #7 24 Sty 2015 08:43
    MES Mariusz
    Poziom 36  

    broda79 napisał:
    W linuxie nie rozwija się podobnych paczek (W każdy bąć razie ja o takich nie słyszałem). powód jest prosty, na linuxa nie ma reklamiarzy.

    Często na linuksie oparty jest router obsługujący sieć, w której znajdziemy klientów tak linuksowych jak i windowsowych.

    Co do drugiej części: "na linuxa nie ma reklamiarzy" nie jestem pewien.
    Jeśli ad awareowy dodatek ładuje się do chroma na Windowsie, to wcale nie byłbym taki pewien, czy nie załaduje się do chromium na Linuksie.

    0
  • #8 24 Sty 2015 09:24
    broda79
    Poziom 16  

    A ja jestem pewien. Bo jeśli mówimy o wątpliwych dodatkach do przeglądarki to zazwyczaj instalują się przy okazji instalowania innego oprogramowania. Np ask bar przy instalacji 7-zip. I w większości przypadków za instalacją takiego oprogramowania stoi użytkownik; schemat( coś się pyta to mu enter). Na to nie pomoże żaden firewall.
    Złośliwe oprogramowanie które ładuje się bezpośrednio ze strony internetowej bez wiedzy użytkownika instaluje się w specyficznych miejscach windowsa(katalogi i rejestr), takie miejsca nie występują w linuxie. Co więcej taki plik, ściągnięty mimochodem nie będzie miał uprawnień do manipulacji innymi procesami, więc nie dotknie przeglądarki ani innego miejsca w systemie operacyjnym. Innymi słowy architektura linuxa nie pozwala na działanie takich programów.

    Cytat:
    Często na linuksie oparty jest router obsługujący sieć, w której znajdziemy klientów tak linuksowych jak i windowsowych.

    Korzystam z takich router'ów. W firmach które obsługuję kupuję takie router'y które obsługują openwrt, i standardowo wymieniam soft. Głównie ze względów bezpieczeństwa i żeby rozszerzyć możliwości. Żeby się zabezpieczyć przed reklamiarzami w windzie najlepsza metoda to:
    a- Antywirus
    b- odebranie użytkownikom uprawnień administratora
    c- filtrowanie na poziomie sieciowym stron z takim syfem np. Strony pornograficzne, torrenty, cracki itp.

    0
  • #9 24 Sty 2015 09:41
    MES Mariusz
    Poziom 36  

    No to lipa. A już myślałem, że wykorzystam router (Ubuntu Server) do przetrzebienia tego syfu (choćby przez dopisywanie blokowania wykrytej w sieci aktywności serwerów typu exoclick itd).

    Ale dałbym głowę, że coś gdzieś kiedyś czytałem o puszczaniu ruchu sieciowego przez proxy, na którym działa coś co usuwa m. in. wszystkie reklamy, wyskakujące okna itp. Może to nie to samo, co adware, ale dobre i to. Kurcze tylko nie pamiętam, gdzie to widziałem.

    Hmm a jakby tak spróbować postawić proxy z ClamAV-em. O tym chyba też coś gdzieś kiedyś czytałem. Taki antywirus z blokadą szkodliwych plików w locie.

    0
  • Pomocny post
    #12 24 Sty 2015 10:49
    jprzedworski
    Specjalista Sieci, Internet

    Jest Untangle. Ale jest to kompletna dystrybucja (w formie .iso) już z Linuksem (Debian), nie da się więc tego raczej dołożyć do już istniejącego Linuksa.
    Jest w wersji darmowej i płatnej. Warto choć spróbować, bo jest to ciekawe i proste w obsłudze rozwiązanie.
    https://www.untangle.com/store/ngfw-free.html
    https://www.untangle.com/software-packages
    http://wiki.untangle.com/index.php/Main_Page
    https://www.untangle.com/store/ad-blocker.html
    Demo interfejsu administratora:
    http://demo.untangle.com/auth/login?url=/setup/welcome.do&realm=Administrator
    Przez rok używaliśmy tego w firmie, działał bardzo dobrze i stabilnie. To nie jest nowa zabawka, ale profesjonalne, rozwijane już od 8 lat, rozwiązanie, choć lekko ograniczone w wersji Free.
    Na początek można podłączyć w trybie "transparent bridge", czyli bez firewalla, NAT i routingu (nie trzeba wtedy ruszać już istniejącego routera), a uruchomić tylko antywirus, antyspam, web filter, raportowanie.
    http://wiki.untangle.com/index.php/Installation
    Wadą jest amerykańskie pochodzenie - bazy wszelkiego świństwa są raczej z tamtych stron. Ale to i tak lepiej, niż nic. Trzeba samemu przetestować, co jest, a co nie jest filtrowane.
    Wydaje mi się jednak, że na dodatki, które są zaszyte w instalacji jakichś programów, co robi choćby Java czy Adobe, to raczej nie pomoże. Jedynie czujność instalującego.

    0
  • #13 24 Sty 2015 12:40
    MES Mariusz
    Poziom 36  

    Rzeczywiście - wcześniej słyszałem o privoxy. Teraz mi się przypomniało.

    jprzedworski napisał:
    Jest Untangle. Ale jest to kompletna dystrybucja (w formie .iso) już z Linuksem (Debian), nie da się więc tego raczej dołożyć do już istniejącego Linuksa.


    To wygląda fajnie. Zgaduję, że ma to funkcjonalność pełnego routera (możliwość skonfigurowania interfejsu wanowego i lanowych), mógłbym pójść w stronę wymiany obecnego routera.

    Po wejściu w panel demo, widzę, że jest tu m. in. funkcjonalność:

    - zarządzania pasmem (ciekawe czy dynamiczny, czyli z ograniczeniem "do" w zależności od wykorzystania łącza) - jeśli tak zastąpiłby Niceshapera

    - filtrowania treści (zastąpiłby Dansguardiana), ciekawe czy podobnie jak wykorzystuje system wagowo kontekstowy

    - antywirus (niby Dansguardian korzysta z ClamAV-a ale nie wiem nawet czy u mnie to działa).

    - kontrola aplikacji (nie wiem na czym polega)

    - firewall (oczywiste)

    - Ad Blocker - to wygląda ciekawie i zachęcająco.

    I jeszcze kilka innych funkcjonalności.

    Ciekawe czy jest w Untangle rysowanie wykresów dobowego wykorzystania łącza. Mi rysuje Munin, ale dla poszczególnych interface-ów (a więc zbiorczo), nie umiem / nie wiem, czy jes możliwość w Munun skonfigurować wykresy dla poszczególnych maszyn (bez instalowania klientów na tych maszynach).

    W sumie mam wolny terminal T5540 (ciekawe jakie są wymagania Untangle, ale jeśli to Debian z "ficzerami", to powinno działać wystarczająco dobrze).

    Mogę więc spróbować postawić Untangle i ewentualnie zastąpić obecny router. Ciekawe na ile dotkliwe są ograniczenia wersji free.

    0
  • Pomocny post
    #14 24 Sty 2015 13:12
    jprzedworski
    Specjalista Sieci, Internet

    Nie wszystkie funkcje w wersji darmowej działają. W tym zarządzanie pasmem. Dałem link do porównania wersji, ale jeszcze powtórzę:
    https://www.untangle.com/software-packages
    Wymagania sprzętowe i ogólne informacje są tu:
    http://wiki.untangle.com/images/8/82/Untangle_Quickstart_Guide.pdf
    Napiszę więcej wieczorem, bo teraz nie mam czasu. Syn ma urodziny. :-)

    1
  • #15 24 Sty 2015 20:54
    MES Mariusz
    Poziom 36  

    Postanowiłem postawić Untangle i jestem w trakcie.

    Utknąłem jednak na tym kroku:

    Linux - konfiguracja firewalla pod kątem blokowania adware

    Zdaje się, że po włożeniu kabla z internetem do jednej z kart sieciowych, interfejs powinien zostać wykryty. Niestety nic takiego się nie dzieje. Może Untangle nie rozpoznał kart sieciowych? Coś nie wierzę...

    Dodano po 2 [godziny] 13 [minuty]:

    Dobra, nie wiem, albo ten krok nie jest najszczęśliwszym rozwiązaniem autorów, albo coś nie zadziałało z ich przewidywaniami. W każdym razie sprawdziłem przez ifconfig, i wszystko było ok. W dajszym kroku wyłączyłem nat-a, i ustawiłem drugi interface na zbridgeowany. Dokonałem wstępnej konfiguracji działa. Jest transparentne. Ustawił sobie IP na 192.168.1.30 (nie wiem czemu takie, na pewno nie przyznał mu takiego DHCP mojego serwera, ale nie wnikam, niech będzie. Dziwne trochę, bo mój DHCP przyznaje temu MACowi adresy 192.168.1.113. Komputer podłączony do eth2 uzyskał poprawne ip od mojego serwera, więc Untangle jest transparentne i nie robi problemów.

    Pobrałem i załadowałem z ciekawości polski język. Działa.

    Teraz wystarczy zapewne zainstalować wybrane moduły.

    Jako opcja lite (pełna wersja płatna) są moduły:

    - web filter
    - virus blocker
    - spam blocker
    - application control


    Pozostałe wersji lite nie mają, a są to:

    - phish blocker
    - web cache
    - bandwidth control
    - https inspector
    - captive portal
    - firewall
    - intrusion prevention
    - ad blocker
    - reports
    - policy manager
    - directory connector
    - wan failower
    - wan balancer
    - ipces VPN
    - open VPN
    - configuration backup
    - branding manager
    - live support

    Czas się pobawić, i zobaczyć co to potrafi.


    Na koniec dodam, że panel sterowania robi wrażenie mułowatego (nie grzeszy płynnością) na sprzęcie 1GHz CPU, 1 GB DDR2.

    0
  • #16 25 Sty 2015 10:02
    MES Mariusz
    Poziom 36  

    Testuję Web Filter firewalla Untangle:

    Linux - konfiguracja firewalla pod kątem blokowania adware

    Linux - konfiguracja firewalla pod kątem blokowania adware

    Efekt podobny jak przy Dansguardianie. Strona na protokole http:// (wp.pl) zablokowana wyśmienicie.

    Linux - konfiguracja firewalla pod kątem blokowania adware

    Strona na protokole https:// (youtube.com) nie pozwala się zablokować.


    Zakładka Blokuj Kategorie również działa świetnie. Po kliknięciu w games bardzo skutecznie blokuje strony z grami, czy to polskie, czy anglojęzyczne.

    Linux - konfiguracja firewalla pod kątem blokowania adware


    Pytanie tylko, czy ten Firewall umożliwia zablokowanie stron po frazie, np niech blokuje wyłączenie wszystko związane z grą GTA.

    Niestety nie widzę możliwości edycji fraz do blokowania.

    Przydałaby się również możliwość zdefiniowania godzin, w których będą zablokowane gry, np od godz. 8.00 do godz. 17.00.

    Przy dansguardianie zawsze można sobie cronem podmieniać listy fraz / stron adresów i restartować dansguardiana. Problem w tym, że ja mam bardzo złe doświadczenia z dansguardianem. Działa dobrze momentami, zazwyczaj zamula cały ruch, i co najgorsza Niceshaper ubija ruch idący przez proxy dansguardiana.

    0
  • #17 25 Sty 2015 10:25
    szwagros
    Poziom 31  

    MES Mariusz napisał:
    Strona na protokole https:// (youtube.com) nie pozwala się zablokować.
    To normalne, komunikacja jest zaszyfrowana pomiędzy serwerem a przeglądarką i router 'po drodze' nie ma możliwości odszyfrowania tej transmisji aby zobaczyć jakie dane są przesyłane.

    0
  • #18 25 Sty 2015 17:59
    MES Mariusz
    Poziom 36  

    Kurcze, nie mogę wbić na ssh NG Firewall. Odrzuca mi połączenia.

    0
  • #19 26 Sty 2015 06:20
    MES Mariusz
    Poziom 36  

    Raport wygenerowany przez Untangle za wczorajszy dzień.
    Wygląda na to, że działa.
    Szkoda, że w całości darmowe nie jest.

    Ale komfort na prawdę duży. Pierwszy raz miałem do czynienia z systemem, który zainstalował się absolutnie sam od początku do końca. Po restarcie prosta, jednorazowa konfiguracja. Robi wrażenie.


    Untangle scanned 0.29 GB i 52025 sessions

    Web Filter przeskanował 9071 wykrytych kliknięć na strony www 50 naruszeń, z których 50 były blokowane

    Virus Blocker przeskanowano 9071 dokumenty wykryte i zablokowane 0 wirusów

    Virus Blocker Lite przeskanowano 9071 dokumenty wykryte i zablokowane 0 wirusów

    Spam Blocker scanned 0 messages and detected and processed 0 spam messages

    Phish Blocker scanned 0 messages and detected and processed 0 phish messages

    Web Cache handled 0.00 MB of traffic, of which 0.00 MB were obtained directly from the cache

    Bandwidth Control analyzed 292.16 MB

    Application Control identified 0 of 20850 sessions of which 0 were flagged and 0
    were blocked

    Application Control Lite scanned 20850 sessions and detected 0 protocols of which 0 were blocked

    Captive Portal processed 0 user login events

    Firewall zeskanowane 20850 sesje i blokady 0 zgodnie z zasadami

    Intrusion Prevention scanned 20850 sessions and detected 0 attacks of which 0 were blocked

    Ad Blocker skanowane 9071 odsłon stron internetowych i zablokowanych 255 ads and 479 cookies

    Policy Manager mapped 20850 sessions across 1 racks

    Directory Connector processed 0 AD events

    WAN Failover detected 0 WAN failures and saved the network from 0.0 seconds of downtime

    WAN Balancer spread 20850 sessions over 1 interfaces

    OpenVPN securely passed 0 MB of traffic and processed 0 remote logins

    Configuration Backup Ustawienia kopii zapasowej 1 czasy


    Linux - konfiguracja firewalla pod kątem blokowania adware


    PS. Z "szafy" zniknął mi Web Filter lite. Nie wiem, gdzie się podział. Mam nadzieję, że wróci na swoje miejsce, gdy wersja 14 dniowa się skończy.

    PS. demo panelu, gdyby ktoś chciał zobaczyć jak to wygląda:

    http://demo.untangle.com/auth/login?url=/setup/welcome.do&realm=Administrator

    0
  • Pomocny post
    #20 26 Sty 2015 15:16
    jprzedworski
    Specjalista Sieci, Internet

    MES Mariusz napisał:
    Kurcze, nie mogę wbić na ssh NG Firewall. Odrzuca mi połączenia.
    Uruchomienie SSH:
    http://wiki.untangle.com/index.php/Enable_SSH
    MES Mariusz napisał:
    kontrola aplikacji (nie wiem na czym polega)

    Firewall aplikacyjny. Warstwa 7. Bardzo przydatne.
    Np. Przychodzi szef i mówi: Za godzinę ma nie być dostępu do Skype'a i komunikatorów, korzystać można tylko z Internet Explorera, tylko Kowalski i Nowak mogą mieć Youtube ale tylko 2 Mb/s i w godzinach 10:00 - 13:30. I to się daje zrobić przy pełnej funkcjonalności w kilka minut. Nie trzeba kombinować, czy jakieś porty blokować. Firewall analizuje ruch i z sygnatur rozpoznaje, co przepuszcza i co z tym ma zrobić.
    Na pewno Untangle w wersji płatnej to jakoś ma, nie wiem, na ile zaawansowane (każdy producent robi to różnie). Nie mogłem sprawdzić, bo w wersji darmowej trzeba samemu dziergać sygnatury aplikacji, albo szukać u hobbystów w necie.
    A tak w ogóle, to używałem wersję chyba 6 (jakieś zmiany nastąpiły) kilka lat temu i mało pamiętam. Staram się coś przypomnieć, ale wiedza mi się tu kończy

    1
  • #21 26 Sty 2015 17:42
    MES Mariusz
    Poziom 36  

    Generalnie fajna zabawka. Aż szkoda, że nie ma darmowego odpowiednika. Są dziesiątki przeróżnych dystrybucji linuxa, a w pełni funkcjonalnych, gotowych routerów, firewalli brak. Szkoda. Ktoś powie, że można zrobić samemu. Pewnie, że można tylko nie zawsze wszystko działa, i nie koniecznie mamy na tyle życia, by przebrnąć przez wszystko.

    Tak na szybko z ciekawszych rzeczy (obchodzę wersję płatną):


    - Odblokowanie SSH

    http://forums.untangle.com/networking/35127-s...ntangle-blocked-default-how-unblock-them.html


    - Możliwość uruchamiania firewalla na konkretny przedział godzinowy:

    http://forums.untangle.com/networking/35128-h...nable-disable-aplication-via-console-ssh.html


    - Zmiana dafaultowego adresu IP

    http://forums.untangle.com/networking/35129-default-ip-address-untangle.html


    - Różne reguły do różnych hostów - możliwe tylko w wersji płatnej:

    http://forums.untangle.com/networking/35131-w...settings-different-hosts-possible-how-do.html


    - Bożliwość zdefiniowania własnego filtru kontekstowego (zawartość stron) uwaga... nie jest możliwa (nawet w wersji płatnej)

    http://forums.untangle.com/networking/35130-web-filter-customization-block-categories.html

    Pod tym względem lepszy byłby dansguardian, gdyby... działał. W internecie pełno jest narzekań, że na otwarcie strony trzeba czekać od kilku do kilkudziesięciu sekund. Potwierdzam, u mnie jest tak samo. Czasem to działa, czasem nie. I nikt do końca nie wie dlaczego...

    http://dansguardian.org/?page=dgflow


    Powstał nawet dokument:

    http://contentfilter.futuragts.com/wiki/doku.php?id=performance_tuning

    Jak dla mnie jednak średnio użyteczny, niewiele dla mnie z niego wynika. Samo proxy na porcie 3128 śmiga jak ta lala. Ale kiedy odwołujesz się do Dansguardian proxy na porcie 8080 wszystko prędkość siada totalnie... Nawet jeśli wyłączam skanowanie zawartości ClamAV-em...

    http://forum.freesco.pl/viewtopic.php?t=18237

    0
  • #23 27 Sty 2015 13:43
    jprzedworski
    Specjalista Sieci, Internet

    Jest jeszcze m0n0wall:
    http://m0n0.ch/wall/
    i Endian w wersji Community:
    http://www.endian.com/en/community/download/
    http://www.endian.com/fileadmin/vorlage/PDF/D...heet/Endian_Product-Feature_comparison-en.pdf

    Ale nie ćwiczyłem tego, wiem tylko, że są. Zwłaszcza m0n0wall jest dość znany.
    Ale Untangle ma jednak więcej funkcji.
    Była jeszcze Vyatta, ale produkt przeszedł do firmy Brocade i chyba już się go nie da ściągnąć za darmo.

    0
  • #24 27 Sty 2015 13:56
    broda79
    Poziom 16  

    vyatta to jest router, jest jego darmowy fork VyOS.

    0
  • #25 27 Sty 2015 14:38
    jprzedworski
    Specjalista Sieci, Internet

    A, możliwe. Kilka lat temu coś o tym czytałem - pamięć jest zawodna. Dzięki.

    0