Anúncio do HT Forum

[TÓPICO DEDICADO] Controle dos pais + Segurança na Web

Discussão em 'Informática' iniciada por PoloNes, 15 Dez 2016.

  1. PoloNes

    PoloNes Título Personalizado


    Desde 27 Fev 2012
    Brasil
    Anúncio do HT Forum
    Neste tópico, será apresentado várias maneiras para proteção da rede em geral, focando o uso de restrição direto no roteador, assim fica mais fácil o gerenciamento de toda a rede.
    Essa restrição poderá ser usada para inúmeros fins, não como apenas o controle dos pais, mas bem como em estabelecimentos comercias e qualquer outros do segmento.

    Segurança na WEB, pode ser utilizado para impedir o acesso às páginas Web não seguras, infectadas ou que estejam em uma lista perigosa dos serviços de DNS.


    Restrição de acesso na WEB + Segurança

    Hoje em dia existe inúmeros roteadores com opções que vão das mais básicas até as mais robustas no que dizem respeito a esse assunto do tópico. Dentre algumas restrições, temos a por filtro de DNS, dnsmasq, Endereço MAC e por faixa de horário.

    Este guia irá demonstrar como usar um filtro de DNS com níveis de restrições de conteúdos com o auxilio do Google SafeSearch, Bing Strich Search e Youtube moderato e restrito, com eles se consegue bons resultados de modo geral.

    A filtragem de DNS pode ser usada em qualquer roteador existente.

    A ativação do Gogole SafeSearch filtra vídeos e imagens de conteúdo explícito das páginas de resultados da pesquisa do Google, bem como resultados que podem estar vinculados ao mesmo.
    Nenhum filtro é 100% preciso, mas a combinação desses filtros se obtm um bom resultado.

    Filtro por Domain Name System (DNS)

    A sua implementação é a mais simples e rápida disponível.

    Existe inúmeros serviços de DNS gratuitos e pagos para filtragem de conteúdo da internet e prover ao mesmo tempo segurança, com vários níveis de filtragem e de fácil implementação, os próprios fornecedores dos serviços disponibilizam um tutorial, segue abaixo o link de alguns provedores.

    Vale dar destaque para o serviço CleanBrowsing, este serviço já vem incorporado com o Google SafeSearch,Bing Strict Search e Youtube Kids em seu DNS, assim a implementação fica super fácil, apenas trocando o DNS no roteador ou dispositivos e ficará disponível a busca segura e a restrição de conteúdo adulto.

    DNS

    CleanBrowsing - Family and kid-safe

    SafeSearch,Bing Strict Search e Youtube Kids
    IPV4
    Código:
    185.228.168.168
    185.228.168.169
    
    IPV6
    Código:
    2a0d:2a00:1:: add 2a0d:2a00:2::
    




    CleanBrowsing - Porn-free Internet for Adults
    SafeSearch,Bing Strict Search e Youtube
    Código:
    185.228.168.10
    185.228.168.11
    
    IPV6
    Código:
    2a0d:2a00:1::1 and 2a0d:2a00:2::1
    





    Acesse o seu roteador e troque o DNS por algum na tabela abaixo que supra a sua necessidade.

    Google Safesearch, Bing Strich Search e Youtube moderato e restrito

    Para usar os filtros dessa seção é preciso implementar o mesmo em um roteador compatível ou em cada Desktop, Notebook, smartphones, tablets e etc.

    Acesse os links abaixo para ver como proceder a implementação


    Implementação em Roteadores

    É preciso possuir um roteador com firmware alternativo, caso o original não disponibilize a opção, existe vários disponíveis hoje em dia e de forma gratuita. A instalação desse firmware deve ser feito por alguém com um maior conhecimento na área e ter um bom embasamento para fazer esse tipo de instalação.

    A instalação de firmware alternativos em roteadores, cancela a garantia do mesmo se ainda estiver em garantia e também pode levar o produto a ser condenado se algum erro vier a acontecer, tornando o produto inutilizável.

    Neste tópico não será discutido como se fazer essa implementação de firmware alternativo, já que existe inúmeros tópicos dedicados sobre o assunto e com informações pertinentes de como fazer e duvidas respondidas.



    [​IMG]

    O DNSCrypt é um software leve que aumenta a privacidade e a segurança online. Ele funciona criptografando todo o tráfego de DNS entre o usuário e o DNS, impedindo qualquer ataque de espionagem, falsificação ou intermediário.

    Existe atualmente 93 servidores disponíveis, entre eles o cleanbrowsing, opendns family e outros que possuem restrição de acesso.

    Mais informações acesse os links abaixo.



    O PROCEDIMENTO PARA INSTALAÇÃO DO FIRMWARE DEVE SER FEITO POR SUA CONTA E RISCO.
    Configuração no AsusWRT-Merlin usando o SafeSearch

    Acesse a wiki Enforce Safesearch para saber como proceder, o jeito mais facil é usando o metodo 2, para facilitar o acesso da criação do script, recomendo baixar o aplicativo WinCSP para trabalhar com um interface e não apenas linha de comando.

    Ative o acesso por SSH no seu roteador pelo menu Advanced Settings > Administration > SSH Daemon, selecionado YES e aplique a configuração.

    Nas configurações do aplicativo, escolha o protocolo SCP, entre com o IP do roteador, nome e senha, como exemplo a figura abaixo.

    [​IMG]


    Eu utilizo o método 2, o meu arquivo de configuração para o Google e Bing pode ser baixado no link abaixo.

    Para ativar o youtube restrito com ip 216.239.38.120 ou o youtube moderado com ip 216.239.38.119 , adicione apenas o código abaixo no arquivo de configuração dnsmasq.conf.add.

    youtube restrito
    Código:
    address=/www.youtube.com/216.239.38.120
    address=/m.youtube.com/216.239.38.120
    address=/youtubei.googleapis.com/216.239.38.120
    address=/youtube.googleapis.com/216.239.38.120
    address=/www.youtube-nocookie.com/216.239.38.120
    
    youtube moderado
    Código:
    address=/www.youtube.com/216.239.38.119
    address=/m.youtube.com/216.239.38.119
    address=/youtubei.googleapis.com/216.239.38.119
    address=/youtube.googleapis.com/216.239.38.119
    address=/www.youtube-nocookie.com/216.239.38.119
    
    Após a configuração, desative o protocolo SSH do seu roteador, por questões de segurança.

    Tomato

    Na figura abaixo, insira as restrições em Dnsmasq Custon Configuraton.

    Lista do Google SafeSearch e Bing pode ser baixado no link abaixo.

    Para ativar o youtube restrito com ip 216.239.38.120 ou o youtube moderado com ip 216.239.38.119 , adicione também o código abaixo no arquivo de campo dnsmasq.

    youtube restrito
    Código:
    address=/www.youtube.com/216.239.38.120
    address=/m.youtube.com/216.239.38.120
    address=/youtubei.googleapis.com/216.239.38.120
    address=/youtube.googleapis.com/216.239.38.120
    address=/www.youtube-nocookie.com/216.239.38.120
    
    youtube moderado
    Código:
    address=/www.youtube.com/216.239.38.119
    address=/m.youtube.com/216.239.38.119
    address=/youtubei.googleapis.com/216.239.38.119
    address=/youtube.googleapis.com/216.239.38.119
    address=/www.youtube-nocookie.com/216.239.38.119
    
    Salve e reinicie o roteador.

    [​IMG]

    DD-WRT

    Na figura abaixo, insira as restrições em Services > Services> Additional DNSMasq Options

    Lista do Google SafeSearch e Bing pode ser baixado no link abaixo.


    Para ativar o youtube restrito com ip 216.239.38.120 ou o youtube moderado com ip 216.239.38.119 , adicione também o código abaixo no arquivo de campo dnsmasq.

    youtube
    restrito
    Código:
    address=/www.youtube.com/216.239.38.120
    address=/m.youtube.com/216.239.38.120
    address=/youtubei.googleapis.com/216.239.38.120
    address=/youtube.googleapis.com/216.239.38.120
    address=/www.youtube-nocookie.com/216.239.38.120
    
    youtube moderado
    Código:
    address=/www.youtube.com/216.239.38.119
    address=/m.youtube.com/216.239.38.119
    address=/youtubei.googleapis.com/216.239.38.119
    address=/youtube.googleapis.com/216.239.38.119
    address=/www.youtube-nocookie.com/216.239.38.119
    
    Salve e reinicie o roteador.

    [​IMG]



    Configuração no firmware opensource LEDE

    Exemplo de restrição do Youtube

    Na figura abaixo, vemos que é impossível desativar o modo restrito do youtube em qualquer dispositivo, seja ele um smartphone, tablet, smartTV e etc. Isso acontece pois essa restrição vem direto do roteador.
    [​IMG]

    Este tópico estará sempre em atualização, com a ajuda dos usuários.
    Qualquer duvida, sugestão ou correção, deixe um comentário.
     
    Última edição: 26 Abr 2018
    • 7
  2. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    @PoloNes@PoloNes

    Show de bola.
    Configurei o Asus Merlin aqui e funcionou 100%.
    Somente percebi uma incompatibilidade..
    Caso o safesearch seja habilitado, tem que deixar marcado no CONTROLE DOS PAIS/DNS FILTERING/GLOBAL FILTER MODE a opção ROUTER.
    Se colocar, por exemplo, o OpenDNS Family, o google safesearch para de funcionar.
    Contornei o problema da seguinte forma: coloquei o DNS do OpenDNS FamilyShield (208.67.222.123 e 208.67.220.123) manualmente na Configuração de DNS da WAN.
    Aí ambas as proteções funcionaram!
     
    • 1
  3. PoloNes

    PoloNes Título Personalizado


    Desde 27 Fev 2012
    Brasil
    Olá @schrank01@schrank01,

    Corretíssimo e muito útil a dica do colega para ter de forma Global em toda a rede a restrição por DNS.

    Eu uso de um modo diferente, já que eu preciso que alguns dispositivos não tenham filtragem por DNS, a imagem abaixo mostra como aplicar apenas para alguns dispositivos essa regra.

    [​IMG]

    Para uma maior restrição ainda, eu uso em conjunto o AiProtetcion da Asus em alguns dispositivos, o que o passar pela filtragem do provedor de DNS escolhido ainda existe mais uma chance de ser bloqueado pelo AiProtetcion da Asus que tem sua base de dados providos pela Trend Micro que também é outro filtro de DNS.

    [​IMG]

    Falando em firmware @schrank01@schrank01 , saiu outro atualização ontem do merlin. (y)

    Por acaso você sabe como bloquear apenas alguns dispositivos pelo google safe search usando o dnsmasq ?
     
    • 1
  4. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    Eu fiz basicamente o que vc fez, mas ao contrário(y)

    Eu configurei manualmente o DNS FamilyShield como padrão para todas as conexões,no campo "Configuração de DNS da WAN". Assim, protejo o acesso de eventuais convidados na rede Guest.

    Adicionalmente, no campo "CONTROLE DOS PAIS/DNS FILTERING" fiz regras próprias para alguns dispositivos específicos, indicando que devem usar o OpenDNS Home (e não o family shield) , para não haver filtragem de conteúdo.

    Desta forma, e não sei explicar o porquê, o safesearch também não é acionado quando faço pesquisas nesses dispositivos que atribui para que utilizassem o openDns Home.
     
  5. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    A propósito, o Aiprotection da Asus não aparece no "Controle dos Pais" no meu roteador (RT N66U)
    Tem que habilitar em algum lugar?
     
  6. PoloNes

    PoloNes Título Personalizado


    Desde 27 Fev 2012
    Brasil
    Infelizmente, quando você usa o DNS FILTERING especificando um MAC, ele subscreve a regra geral, ignorando o arquivo dnsmasq que foi criado no roteador.
    Bem pensado em colocar o DNS do opendns family do seu jeito, como você disse, filtra até as redes GUEST, fica a dica do @schrank01@schrank01 para usar desse jeito. (y)

    Lembrando que tanto os os usuários GUEST ou não convidados continuam usando o google safesearch e bing safesearch.

    O seu modelo não tem suporte a ele por questões de hardware. O modelo ac56U tem suporte ao aiprotetion por usar um hardware mais novo, o ac56U é padrão ac1200.

    Não sei se você conhece o firewall PFSENSE, estava afim de comprar um hardware pronto, tipo este aqui e colocar na minha rede, mas vai uma grana e tempo de aprendizagem, pois sou leigo nesse software.
    O bom dele é que deve ser possível fazer qualquer regra de firewall e fora isso, deixar a rede muitíssimo segura, pelo que li tem filtragem de pacote usando software opensource.
    Vi vários vídeos no youtube de pessoal usando para uso doméstico, apesar de ser um software para uso empresarial. O bom que é de graça e eu ja instalei aqui na minha vmware para ver como é. Tem muita opções, mas muitas mesmo.

    https://pt.aliexpress.com/store/pro...ocessor-j1900-2-41GHz/108231_32784497573.html
     
  7. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    Opa, valeu.
    Não conhecia esse software de firewall não... Interessante.
     
  8. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    @PoloNes@PoloNes
    Esse serviço Yandex é seguro?
    Vi que é um provedor de dns russo.
    Qual o potencial risco em usá-lo? Eventual redirecionamento para sites phishing?
    De fato, a configuração do Merlin fica muito mais simples...
     
  9. PoloNes

    PoloNes Título Personalizado


    Desde 27 Fev 2012
    Brasil
    Acredito que seja seguro, minha irmã tem um roteador baratinho da ASUS e ele vem com filtro familiar e usa o YANDEX.

    Eu gostei dele, pois para usuarios com roteadores mais simples é uma ótima opção, pois vem embutido o google safe search nesse DNS.
     
  10. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    Verdade . Olha o que achei:

    https://dns.yandex.com/router/asus/
     
    • 1
  11. PoloNes

    PoloNes Título Personalizado


    Desde 27 Fev 2012
    Brasil
    O Yandex é uma opção para a maioria dos roteadores que não é possível fazer um filtro mais elaborado.
     
  12. _dsouza_

    _dsouza_ Lost in time

    9.022 2.946 701

    Desde 4 Set 2008
    Porto Alegre
    • 1
  13. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    O Fool DNS não conhecia. Vale uma pesquisa!

    Agora, o interessante do Yandex Family, é o filtro automático das imagens nas pesquisas do Google, como se forçasse o SafeSearch em todas as conexões que saiam pelo roteador.

    Até onde testei, nem o Comodo, nem o Norton ou o Open DNS Family trazem essa funcionalidade.
     
    • 2
  14. _dsouza_

    _dsouza_ Lost in time

    9.022 2.946 701

    Desde 4 Set 2008
    Porto Alegre
    O site do FoolDNS é em italiano, não entendi quase nada (vou precisar do Google Translator...). Aparentemente a modalidade gratuita é bem limitada (http://www.fooldns.com/prezzi/)

    Vou testar o Yandex. A única questão é que o tempo de "ping" dele é bem mais lento (68% mais alto) que o do OpenDNS (que uso atualmente), ver abaixo (minha internet é NET).

    Será que o Yandex não teria um servidor no Brasil?

    (y)

    Código:
    C:\>ping resolver1.opendns.com
    
    Pinging resolver1.opendns.com [208.67.222.222] with 32 bytes of data:
    Reply from 208.67.222.222: bytes=32 time=148ms TTL=56
    Reply from 208.67.222.222: bytes=32 time=148ms TTL=56
    Reply from 208.67.222.222: bytes=32 time=153ms TTL=56
    Reply from 208.67.222.222: bytes=32 time=152ms TTL=56
    
    Ping statistics for 208.67.222.222:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 148ms, Maximum = 153ms, Average = 150ms
    
    C:\>
    C:\>nsllokup 77.88.8.7
    'nsllokup' is not recognized as an internal or external command,
    operable program or batch file.
    
    C:\>nslookup 77.88.8.7
    Server:  rt-ac88u.home
    Address:  192.168.1.1
    
    Name:    family.dns.yandex.ru
    Address:  77.88.8.7
    
    
    C:\>ping family.dns.yandex.ru
    
    Pinging family.dns.yandex.ru [77.88.8.7] with 32 bytes of data:
    Reply from 77.88.8.7: bytes=32 time=261ms TTL=51
    Reply from 77.88.8.7: bytes=32 time=262ms TTL=51
    Reply from 77.88.8.7: bytes=32 time=264ms TTL=51
    Reply from 77.88.8.7: bytes=32 time=265ms TTL=51
    
    Ping statistics for 77.88.8.7:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 261ms, Maximum = 265ms, Average = 263ms
    
    C:\>
    
     
  15. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    Pelo que vi, o Yandex não tem servidor no Brasil.

    Segundo o site https://dns.yandex.com/advanced/

    "Yandex.DNS' servers are located in Russia, CIS countries, and Western Europe"

    Justamente por isso deixei o Yandex como padrão no roteador, e atribui exceções para os dispositivos meus e de minha esposa (celulares, notebook, NAS e Amazon Fire Tv), que usam o OpenDns!

    Assim, meu filho de 9 anos, e convidados, tem o conteúdo filtrado nos acessos que partem de meu roteador.
     
    • 2
  16. PoloNes

    PoloNes Título Personalizado


    Desde 27 Fev 2012
    Brasil
    Eu uso o esquema de script no meu roteador Asus para o google imagens e opendns familysearch para toda a rede.
    E faço algumas exceções de uns dispositivos para opendns home que não precisa de restrição.

    Desse modo melhora o ping.

    Eu tinha ativado ipv6 na minha rede, mas não consegui fazer os bloqueios que eu queria, então vou ficar no ipv4 até surgir uma solução.
     
    • 1
  17. PoloNes

    PoloNes Título Personalizado


    Desde 27 Fev 2012
    Brasil
    @schrank01 e ai, tudo bem?

    Ainda usando os filtros de acesso a internet no seu asus-wrt merlin?
     
  18. schrank01

    schrank01 Usuário


    Desde 18 Abr 2009
    marilia/sp/brasil
    Opa, tudo certo!.

    Sim, estou usando os filtros de DNS.
    YANDEX geral e OpenDns atribuído especificamente para alguns dispositivos!
     
    • 1
  19. _dsouza_

    _dsouza_ Lost in time

    9.022 2.946 701

    Desde 4 Set 2008
    Porto Alegre
    Acabei de descobrir que existe uma solução de filtro de DNS local que roda no Raspberry Pi chamada "Pi-Hole": https://pi-hole.net/

    Pela documentação parece interessante, tem várias estatísticas com essas abaixo. Ainda não sei se é de fato uma alternativa ao OpenDNS, vou ler mais um pouco e se tiver filtros automáticos vou experimentar (tenho um Pi3 parado aqui).

    (y)

    EDITADO: parece ser uma solução de bloqueio de propagandas somente, ainda seria necessário usar o OpenDNS para demais filtros. Por enquanto decidi não experimentar...

    [​IMG]
     
    • 1
  20. dedraks

    dedraks Usuário


    Desde 27 Ago 2007
    Belo Horizonte/MG
    Coloquei no meu raspberry um servidor freeradius e faço autenticação individual dos meus usuários de rede.
     
    • 2
  1. Este site usa cookies. Se você continuar a usar este site, automaticamente concorda com nosso uso de cookies.
    Fechar Aviso