Parental/content based firewall

[Stefaand]

Hallo,

voor onze school (basisschool) zou ik graag een aparte firewall hebben (of in een router) die een goede content based security filter heeft ingebouwd waar ik keywords kan in zetten die alle internet blokkeren als dat keyword gebruikt wordt.
Dus niet alleen domein filtering maar ook keyword filtering, om te voorkomen dat kinderen op sites komen die niet voor hun geschikt zijn.

Wat is hier een goede oplossing ?

Met dank.

[heist_175]

een DNS blokkade?

FamilyShield OpenDNS bv
208.67.222.123
208.67.220.123

What does FamilyShield Block? The service blocks pornographic content, including our “Pornography,” “Tasteless,” and “Sexuality” categories, in addition to proxies and anonymizers (which can render filtering useless). It also blocks phishing and some malware.

Je kan daar nog een DNS blokkade-systeem aan toevoegen met bv
- Adblock op OpenWRT: je kan de ad-domeinen al dan niet activeren, maar via een blacklist zelf een lijst met domeinen toevoegen
- PiHole (RPI of Synology): je kan de ad-domeinen al dan niet activeren, maar via een blacklist zelf een lijst met domeinen toevoegen

Als je verder wil gaan dan DNS, zal je oplossing er wat ingewikkelder uitzien.

[Stefaand]

Bedankt.
Waardevolle informatie.

[heist_175]

Ik heb zitten kl*ten met beide systemen, dus als je vragen of tips wil, roep maar.
PiHole/Synology is makkelijker om een enkel domein te blokkeren (via de interface)
Voor de OpenWRT implementatie is er geen interface om domeinen toe te voegen, dan kan eentje per eentje via SSH, of met een lijst via SSH/copy of WinSCP/transfer.

[NuKeM]

Als je ook op content wil checken, wil je dus ook HTTPS data kunnen inkijken. In dat geval (en sowieso in het algemeen) is een transparante HTTP/HTTPS proxy met filters geen slecht idee.
Na zelf recent bezig geweest te zijn met pfSense kan ik deze enkel en alleen maar aanraden voor deze doeleinden. Je krijgt er nog eens vele extra's bij die in een schoolomgeving zeker nuttig kunnen zijn.

[serialchiller]

Same here, PFsense met Squid, LightSquid reporting en Squidguard filter.

[heist_175]

Puur informatief, ik wil "mijn" oplossing heus niet pushen.
Wat kan een pfSense systeem met HTTP(S) meer dan een DNS systeem?
Of je een domein nu via http of https bezoekt, de DNS houdt het toch gewoon tegen (0.0.0.0 of nxdomain)

[serialchiller]

Pfsqense= firewall/router met een systeem van packages(=plugins) voor de meest uiteenlopende toepassingen...

Dus zoals in NukeM en mijn voorbeeld ook een Squid proxy. (dat kan inderdaad handig zijn in een schoolomgeving om bandbreedte en traffiek wat te drukken)

Het is zeker geen heilige graal, en al zeker niet het makkelijkste om in te stellen. Ik gaf gewoon mijn manier van werken mee, zo heeft de TS verschillende opties te bekijken en kan die meerdere mensen om meer info vragen. Net als ik nu de website van Family Shield aan het lezen ben .

[ubremoved_539]

Wat kan een pfSense systeem met HTTP(S) meer dan een DNS systeem?

De eerste de beste script kiddie zet Google als DNS op z'n PC en je DNS systeem is waardeloos.

Rond een proxy geraak je al veel moeilijker rond en je kan veel selectiever filteren (zodat je zelf pr.n kan blijven kijken ).

Geen idee of je ergens gratis aan website categories kan geraken (bv. social, tech, news, pr.n, shareware, ...) aangezien dat meestal een betalende optie is bij de grotere firewalls.

[serialchiller]

Ik gebruik Shalla's Blacklists in een commerciële omgeving en heb dus een commerciële overeenkomst met hen. Voor persoonlijk gebruik zijn ze gratis en als een school hun een mail gaat sturen gaan ze wellicht ook geen centen vragen.
Enfin, er zijn er nog met de meest uiteenlopende prijzen..van gratis (MESD) tot een paar honderd euro per jaar...

[Benbits]

untangle, gratis en grafisch zeer gemakkelijk in testellen, werkt perfect voor scholen en dergelijken, en het is een leuk projectje.
www.untangle.com
b.

[CCatalyst]

Wat kan een pfSense systeem met HTTP(S) meer dan een DNS systeem?

De eerste de beste script kiddie zet Google als DNS op z'n PC en je DNS systeem is waardeloos.

Redirect gewoon alle outbound port 53 naar eigen (gedefinieerde) DNS server?

Ja, ze kunnen dan nog prutsen met /etc/hosts of met een DNS server op non-standard port of zelfs met een tunnel, maar da's toch eerder middelbaar voor ze zover zijn, basisschool zou redirect wel moeten volstaan.

Ik zeg het gewoon maar omdat inspecteren van TLS toch niet eenvoudig is hoor. Custom cert installeren op elk toestel in je netwerk, en de bak die de ontsleuteling/inspectie/herversleuteling doet mag toch ook niet te zwak zijn. Heel gedoe, sop kolen waard?