Jak skutecznie zablokować TikTok, OmeTV i podobne strony na komputerze dziecka?

Question

Cześć Potrzebuję pomocy w zabezpieczeniu komputera klienta - rodzice nie chcą, aby córka miała dostęp do śmieci typu tiktok, ometv itp. Ustawiłem DNSy cleanbrowsing.org, ładnie blokuje co ma blokować, ale to za mało i wiele stron ciągle się otwiera. W filtrach uBlock też ustawiłem strony, które...

Konto nie istnieje · Accepted Answer

>>21634342 Mikrotik. Wykorzystać DNS Addlist (dostępne w RoS 7). Nie będziesz musiał jeździć do klienta. Do tego uruchomić lokalny serwer DNS i ubić ruch do zewnętrznych DNS by ktoś mądry nie podpowiedział dziewczynie jak w karcie sieciowej komputera zmienić DNS. Poza tym Mikrotik ma wiele rozwiązań z VPN (klient i serwer) co pozwoliłoby zarządzać niektóymi elementami z zewnątrz bez potrzeby dojazdu. [edyta] To powyżej (dns addlist) to nadal rozwiązanie z black list. Dla white list należy w firewall ubić ruch na portach 80 i 443, wcześniej akceptując ruch do wybranych stron. To tak w skrócie. Ja bym chyba szedł w kierunku DNS addlist czyli jednak black list.

wakeup44 · Accepted Answer

Cześć,Jeśli nie potrzebujesz dynamicznego/zdalnego zarządzania blokowanych treści, to wystarczy ustawić loopbacka na wymaganych witrynach w pliku hosts na komputerze.

Konto nie istnieje · Accepted Answer

Wyczyściłeś cach w DNS Windowsa ? W cmd Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka ipconfig /flushdns

sq3evp · Accepted Answer

Tutaj jest jeszcze opis jak za pomocą netsh konfigurowac wpisy DNS na niski poziomie interefejsu sieciowego: Jeszcze można by się firwalle'm systemowym zainteresować.

slavik78 · Accepted Answer

Tak, tak.. ja tylko wskazałem, że niezależnie od rozwiązań technicznych trzeba wytłumaczyć dlaczego czegoś nie może robić (w tym wieku) itd. ale to nie Twoja rola. Co do blokady JS z tiktoka to można spróbować zainstalować sobie Privoxy jako usługę działającą w tle (w Windows) przez którą przechodzi ruch http i dać reguły do blokowania plików JS z domen powiązanych z TikTokiem. Powinno skutecznie wycinać funkcjonalność ale może nie w pełni chronić przed treściami, które nie wymagają do działania JS. Po rozbudowaniu reguł może totalnie popsuć wrażenia z korzystania z serwisu czyniąc go nieczytelnym. Niestety wymaga to ręcznego pisania i testowania a czasu mało. Problemem są jednak strony po https bo tu sobie może nie radzić w pełni (być może Squid Proxy byłby lepszy). Możliwe, że w pakiecie antywirusowym da się ustawić reguły wycinające ładowanie plików JS czy multimediów z danej domeny. Ewentualne wtyczki do przeglądarki, które potencjalnie da się wyłączyć raczej nie wchodzą w grę.

slavik78 · Accepted Answer

Przeglądałem trochę w poszukiwaniu skutecznego rozwiązania i można spróbować zastosować Suricata lub Snort. Dzięki analizie pakietów i protokołów można na bieżąco wykrywać nowe adresy dla tiktoka czy ome tv i generować świeże listy "blacklist.txt" dla firewalla.

Podobne rozwiązanie ma Cisco w swoim autorskim NBAR2 Protocol Pack.

Network Based Application Recognition (NBAR) is Cisco’s intelligent classification mechanism that uses deep packet inspection to organize Layer 7 applications on the basis of bandwidth usage

Release Notes for Cisco Protocol Pack 66.0.0

TikTok

xury · Answer

Jak bym ją miał to robić to robota wraz z ceną nowego routera była by niższa niż bawienie się w blokady programowe bezpośrednio na komputerze. Oczywiście nie mówię o drogich sprzętach jak Unifi. Ja bym zakupił Cudy Wr3000s a na nim Openwrt. A na Openwrt już masz wiele możliwości jak pihole, pbr, itp.

Konto nie istnieje · Answer

To dlaczego uważasz, że tu ustawisz ? albo tu albo tu Wszystkie te metody działają w oparciu o ten sam mechanizm - black list. Może trzeba zmienić podejście ? Zamiast tworzyć black listy trzeba stworzyć white listę czyli zblokować wszystko poza listą wybranych stron ? To metoda z sieci firmowych.

ITSpec. · Answer

Sam mam WR3000, kupowany właśnie pod openwrt, ale jakoś nie chciało mi się jeszcze go flashować 😁

Musiałbym jeździć do klienta, wszystko konfigurować, dojazd i roboczogodziny sporo by wyszło.
Choć licencja na Bitdefendera Total to jakieś 180 zł rocznie, więc może...

Dodano po 1 [minuty]:

Erbit napisał:
Zamiast tworzyć black listy trzeba stworzyć white listę czyli zblokować wszystko poza listą wybranych stron ? To metoda z sieci firmowych.

Dobry pomysł.
Spytam klienta, czy wie, jakie strony chce mieć nieblokowane.
A w jaki sposób to zrobić?

slavik78 · Answer

Sprytne dziecko podłączy sobie pod usb modem lte i ruch poleci przez niego, jak będzie jeszcze bardziej sprytne to skorzysta z ogólnie dostępnych web proxy, wyższy poziom sprytu osiągnie korzystając z Tails na penie.

Wygląda więc, że jedynym skutecznym rozwiązaniem będzie dedykowany komputer/laptop, który będzie miał zablokowane wszelkie możliwości grzebania w ustawieniach, instalacji programów itp. a cały ruch sieciowy poleci tylko przez konkretny własny proxy pośredniczący bez którego internet działać nie będzie.

A co w przypadku, gdy do dziecka przyjdzie "koleżanka" lub "kolega" z własnym urządzeniem i będą sobie przeglądać co im do głowy wpadnie? Bo rodzic własną córkę kontrolować może ale obce dzieci to już nie bardzo bez zgody ich opiekunów.

Może na początek sprawdzić taką aplikację jak mOchrona stworzoną przez NASK.
Aplikacja mOchrona – stworzona dla rodziców z myślą o dzieciach

sq3evp · Answer

Pytanie co ma dziecko?Tzn. jaki ma system - jeżeli Windows to można ustawić polisy systemowe i zablokowana na niskim poziomie.Poza tym można jeszcze spróbować czy poprzez netsh nie uda się coś do interfejsów sieciowych dodać jakiś wykluczeń.Możliwości jest wiele, myślę że Linux także jest możliwe blokowanie domen, adresów, itp. itd.Jeszce jak ktoś podał do sieci dodać Pihole żeby filtrowało ruch i ustawić jako DNS na routerze - to samo na kompie taki DNS ustawić w polisach, żeby każde połączenie szło przez ten DNS.Plik hosts także jest dobrym pomysłem - tylko sprytne wpisy zrobić trzeba.

Konto nie istnieje · Answer

To fakt. Dziecko poza domem nie będzie miało żadnej ochrony. najlepiej jest przemówić do rozsądku ale to trudne w tym wieku. Mój syn od pół roku co jakiś czas powraca z pytaniem dlaczego nie może mieć na telefonie TikToka (blokada poprze Family Link) . Dostaje rzeczowe argumenty no ale widząc TikToka u kolegów pewno jest na mnie zły i moje argumenty są dla niego nieistotne. Oczywiście czekam na ruch z jego strony np. z pytaniem dlaczego inni koledzy mają a on nie może. Jestem gotów na taką konfrontację. Generalnie to ciężki temat i jedna blokada w Windows czy na routerze niewiele zmieni. Trzeba skorelowanych działań i przy okazji wielu rozmów.

ITSpec. · Answer

Wiem, zmieniłem cały plik i dodałem tiktoka, ale i przeglądarka i tak to puszcza cholerstwo.

ITSpec. · Answer

Tak, robiłem flushdns.

Na razie ustawiłem blokadę javascript i obrazów na tiktoku, strony nie da się używać. Jeszcze kontrolę rodzicielską na samym koncie Google ustawimy i chyba tyle.
DNSy cleanbrowsing i hosts blokują większość i tak.

Rognor · Answer

Panie Dinozaurze: od kiedy to dzieci korzystają z komputerów? Ja też pochodzę z czasów przedpotopowych i tylko komputer. Przeglądanie na telefonie jest bardzo niewygodne, ale nie dla dzieci. Rodzice też nie. I może być awantura za wyłudzenie pieniędzy. Zakładam, że robisz to za pieniądze. To czego rodzice chcą, ale nie to czego chcą naprawdę. U znajomych mi dzieci twoja blokada zadziała może w 1%. Nic tylko siedzą na telefonie, od rana do wieczora. Realnie pewnie mniej, ale tak to wygląda gdy mają czas (np. podczas obiadu czy lekcji w szkole). Ta blokada musi być na telefonie dziecka by miała sens.

ITSpec. · Answer

Też będzie, z bitdefendera total security.

slavik78 · Answer

Niestety w przypadku TikToka wpisywane adresów DNS do pliku hosts czy w inny sposób nie sprawdzi się do końca bo usługa ta używa dynamicznych adresów IP żeby nie było łatwo ją blokować.
Wpisywanie nazw domen w przypadku, gdy dziecko wpisze bezpośrednio adres IP strony może nie zadziałać (akurat trafi na adres IP, którego nie zna jeszcze np. Pi Hole).

Proponuje sprawdzić czy zastosowane blokady pozwolą na wczytanie tiktoka poprzez np:

https://www.kproxy.com/
https://www.croxyproxy.com/
https://www.proxysite.com/
https://hide.me/en/proxy

a następnie to samo po skorzystaniu z tych serwerów DNS:

Cloudflare Family DNS
OpenDNS Family Shield

Co w przypadku używania przez przeglądarkę DNS-over-HTTPS, jak tu skutecznie blokować (chyba tylko poprzez blokadę portów 53, 853)?

Może skorzystanie dodatkowo u operatora/dostawy internetu z opcji blokowania witryn (pod warunkiem, że nie dowali jakiejś znacznej kwoty), wtedy blokada będzie bardziej skuteczna w połączeniu z lokalnymi blokadami w komputerze.

Nadal jednak zastosowanie blokad dla komputera/telefonu dziecka nie rozwiązuje istotnego problemu jakim jest dostęp do treści niepożądanych z urządzeń nie będących pod naszą kontrolą (szkoła, rówieśnicy, telefon/tablet/komputer kogoś z rodziny lub co gorsza osoby trzeciej nam nieznanej). Dziecko sfrustrowane niemożnością korzystania z czegoś co mają rówieśnicy może zrobić każdą głupotę by osiągnąć taką możliwość.

Prewencja przez wspólne oglądanie tych serwisów i logiczne tłumaczenie jakie grożą konsekwencje "wierzenia" we wszystko co tam jest prezentowane może być bardziej skuteczne o ile robimy to z głową i nie "naciskamy" z tekstem "nie bo nie i już", bo to nic nie da. Patrząc na samych siebie w dzieciństwie też pewnie wielokrotnie łamaliśmy zasady i kary by osiągnąć cel, co nie zawsze okazywało się słuszne, aczkolwiek często wbijało się w głowę, gdy trzeba było ponieść konsekwencje - zwykle przez rodziców.

ITSpec. · Answer

Z tego co się dowiedziałem, dziecko jest dosyć rozgarnięte, ale nie wiem czy uda mi się dojść do tego, że tiktok nie wczytuje się przez wyłączenie javascript i grafik w chromie.
Klient kupił też Nortona Delux, tam jest kontrola rodzicielska.
Tłumaczenie dziecku zostawiam rodzicom 😁

sq3evp · Answer

Podobno urządzenia stosowane w biznesie sprawdzą się, ale to już koszty tysięcy € lub $. Jest tak grupa urządzeń, sieciowcy to znają.

Konto nie istnieje · Answer

Można by się oprzeć o jakiś UTM ale wiążą się z tym dużo wyższe koszty. Uważam jednak, że na takie potrzeby Mikrotik wystarczy. Nie kosztuje dużo a zawiera wiele elementów, które utrudnią dziecku takie gmeranie w sieci. Można też wydzielić na nim sieć dla dzieci i narzucić większe ograniczenia (ja tak mam). Sama obsługa MT wymaga jednak trochę wiedzy na temat sieci. [edyta] Zresztą jeśli ktoś chce wdrażać takie czy inne ograniczenia to niezależnie od tego gdzie i jak to zrobi musi taką wiedzę posiadać. Tutki z netu nie wystarczą.

rooter75 · Answer

hosts mało skuteczny będzie odkąd w przeglądarkach pojawiło się to

Konto nie istnieje · Answer

Dlatego wyżej wspomniałem (chyba), że poza uruchomieniem własnego DNS (na routerze) należy ubijać ruch do zewnętrznych serwerów DNS. [edyta] Tak, w poście #5 o tym pisałem -> >>21634349

ITSpec. · Answer

Na razie Norton, potem pewnie cudy wr3000 albo inny i ustawienie tam kontroli rodzicielskiej.

ITSpec. · Answer

Na razie Norton, może się klient zdecyduje na kolejny router, wtedy sobie będzie mógł wszystko ustawiać, bo funbox to śmieć.

[Rozwiązano] Jak skutecznie zablokować TikTok, OmeTV i podobne strony na komputerze dziecka?

Post #1

Sprawny Komputer Tomasz Kokoszewski

Post #2

Post #3

Post #4

Sprawny Komputer Tomasz Kokoszewski

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Sprawny Komputer Tomasz Kokoszewski

Post #11

Post #12

Post #13

Sprawny Komputer Tomasz Kokoszewski

Post #14

Post #15

Sprawny Komputer Tomasz Kokoszewski

Post #16

Post #17

Sprawny Komputer Tomasz Kokoszewski

Post #18

Post #19

Post #20

Post #21

Post #22

Post #23

Sprawny Komputer Tomasz Kokoszewski

Post #24

Post #25

Sprawny Komputer Tomasz Kokoszewski

Podsumowanie tematu