Forum » Informacijska varnost » Cybercafe varnost
Cybercafe varnost
Dominator ::
V lokalu smo omogočili wi-fi dostop, na voljo pa bo tudi en stacionarni računalnik. Trenutno zbiram ideje in nasvete kaj vse bo potrebno zaščitit in nastavit, da:
- se ne bo obremenjevalo bandwidtha z raznimi torrenti, mulami, ipd.
- se ne bo nalagalo kakršnekoli programske opreme (legalne in nelegalne)
- se ne bo obiskovalo porn strani - ni glih apetitlih za eno familijo, ki pride v lokal in vidi enega velikega tiča na namizju :p
- se ne bo obiskovalo warez strani in strani, ki so potencialno nevarne za viruse ipd.
- se ne bo obremenjevalo bandwidtha z raznimi torrenti, mulami, ipd.
- se ne bo nalagalo kakršnekoli programske opreme (legalne in nelegalne)
- se ne bo obiskovalo porn strani - ni glih apetitlih za eno familijo, ki pride v lokal in vidi enega velikega tiča na namizju :p
- se ne bo obiskovalo warez strani in strani, ki so potencialno nevarne za viruse ipd.
BlueRunner ::
Stacionarni računalnik: GNU/Linux z zaklenjenimi nastavitvami omizja. Po vsaki odjavi se lahko celoten "guest" imenik izbriše in nastavi na izhodiščno vsebino.
Prost dostop: v izogib težavam uporabi kakšen sistem, ki dodeljuje "token-e" z omejenim rokom trajanja. Idealno bi bilo, če jih blagajna natisne kar neposredno na račun. Ko jim rok trajanja poteče, postanejo nerelevantni.
Na požarnem zidu pusti odprta vrata 443,tcp ostalo pa samo po potrebi, če boš videl, da so stranke bolj specifične sorte (npr. kakšni VPN-ji na 4500,tcp ali POPS, IMAPS). Za vrata 80,tcp uporabi transparenten HTTP proxy, ki bo izvjal minimalno filtriranje, kar ga potrebuješ. Za vrata 53 uporabi svoj caching DNS, ki naj servira samo notranje omrežje (npr. dnsmasq).
Nujno uporabi toliko pameten požarni zid, da boš lahko omejil število sočasno odprtih povezav in "profil" posamične povezave na način, ki bo omejil možnost zlorabe. Npr. 25 sočasno odprtih povezav za vsak računalnik, pri temu pa je vsaka povezava profilirana tako, da npr. prvih 100kB podatkov preko ene tcp seje spusti z maksimalno hitrostjo, potem pa hitrost pade na recimo omejenih 1kB/s. To tipično omogoča hitro surfanje, ubije pa P2P protokole za prenos datotek. Hkrati pa jih pusti tolikanj odprte, da npr. MSN še vedno deluje dokaj normalno.
Rešitve za tvoje dileme pa so:
Lahko bo kdo poskušal, vendar pa bo zaradi padca hitrosti po 100 prenešenih kB verjetno hitro odnehal. Ravno tako pa bo to "ubilo" tudi youtube in ostale običajno manj znane odžiralce pasovne širine.
Zaklenjen GNU/Linux te odreši te težave. Alternativno lahko zakleneš tudi Windows namizje, vendar pa ti bo to vzelo malo več časa in dela.
Na stacionarnem je to urejeno z zaklenjenim profilom, na prenosnikih je to urejeno z vsesplošnim puritanskim zgražanjem dvolične okolice "kršitelja".
Do neke mere se to bo počelo. Ne bo pa imelo veliko haska, saj veliki prenosi (rapidshare) oziroma P2P ne bodo delovali tako, kot si bi "kršitelji" želeli.
Na koncu pa se drži še najbolj pomembnih petih pravil vseh pravil tega početja:
- Preveri, da tvoj ponudnik dostopa dopušča takšno uporabo.
- Port 25,tcp ni nikoli odprt v nobeni smeri in pod nobenim pogojem
- Ne shranjuj kakršnih koli logov. Kadarkoli. Če misliš, da jih potrebuješ, premisli ponovno. Ugotovil boš, da jih NE potrebuješ.
- Nikoli in ne glede na kakršen koli razlog ne spremljaj ali prestrezaj prometa na povezavi.
- Ko je bar zaprt, je dostopna točka izključena iz elektrike.
Prost dostop: v izogib težavam uporabi kakšen sistem, ki dodeljuje "token-e" z omejenim rokom trajanja. Idealno bi bilo, če jih blagajna natisne kar neposredno na račun. Ko jim rok trajanja poteče, postanejo nerelevantni.
Na požarnem zidu pusti odprta vrata 443,tcp ostalo pa samo po potrebi, če boš videl, da so stranke bolj specifične sorte (npr. kakšni VPN-ji na 4500,tcp ali POPS, IMAPS). Za vrata 80,tcp uporabi transparenten HTTP proxy, ki bo izvjal minimalno filtriranje, kar ga potrebuješ. Za vrata 53 uporabi svoj caching DNS, ki naj servira samo notranje omrežje (npr. dnsmasq).
Nujno uporabi toliko pameten požarni zid, da boš lahko omejil število sočasno odprtih povezav in "profil" posamične povezave na način, ki bo omejil možnost zlorabe. Npr. 25 sočasno odprtih povezav za vsak računalnik, pri temu pa je vsaka povezava profilirana tako, da npr. prvih 100kB podatkov preko ene tcp seje spusti z maksimalno hitrostjo, potem pa hitrost pade na recimo omejenih 1kB/s. To tipično omogoča hitro surfanje, ubije pa P2P protokole za prenos datotek. Hkrati pa jih pusti tolikanj odprte, da npr. MSN še vedno deluje dokaj normalno.
Rešitve za tvoje dileme pa so:
se ne bo obremenjevalo bandwidtha z raznimi torrenti, mulami, ipd.
Lahko bo kdo poskušal, vendar pa bo zaradi padca hitrosti po 100 prenešenih kB verjetno hitro odnehal. Ravno tako pa bo to "ubilo" tudi youtube in ostale običajno manj znane odžiralce pasovne širine.
se ne bo nalagalo kakršnekoli programske opreme (legalne in nelegalne)
Zaklenjen GNU/Linux te odreši te težave. Alternativno lahko zakleneš tudi Windows namizje, vendar pa ti bo to vzelo malo več časa in dela.
se ne bo obiskovalo porn strani - ni glih apetitlih za eno familijo, ki pride v lokal in vidi enega velikega tiča na namizju
Na stacionarnem je to urejeno z zaklenjenim profilom, na prenosnikih je to urejeno z vsesplošnim puritanskim zgražanjem dvolične okolice "kršitelja".
se ne bo obiskovalo warez strani in strani, ki so potencialno nevarne za viruse ipd
Do neke mere se to bo počelo. Ne bo pa imelo veliko haska, saj veliki prenosi (rapidshare) oziroma P2P ne bodo delovali tako, kot si bi "kršitelji" želeli.
Na koncu pa se drži še najbolj pomembnih petih pravil vseh pravil tega početja:
- Preveri, da tvoj ponudnik dostopa dopušča takšno uporabo.
- Port 25,tcp ni nikoli odprt v nobeni smeri in pod nobenim pogojem
- Ne shranjuj kakršnih koli logov. Kadarkoli. Če misliš, da jih potrebuješ, premisli ponovno. Ugotovil boš, da jih NE potrebuješ.
- Nikoli in ne glede na kakršen koli razlog ne spremljaj ali prestrezaj prometa na povezavi.
- Ko je bar zaprt, je dostopna točka izključena iz elektrike.
ABX ::
V lokalu smo omogočili wi-fi dostop, na voljo pa bo tudi en stacionarni računalnik. Trenutno zbiram ideje in nasvete kaj vse bo potrebno zaščitit in nastavit, da:
- se ne bo obremenjevalo bandwidtha z raznimi torrenti, mulami, ipd.
- se ne bo nalagalo kakršnekoli programske opreme (legalne in nelegalne)
- se ne bo obiskovalo porn strani - ni glih apetitlih za eno familijo, ki pride v lokal in vidi enega velikega tiča na namizju :p
- se ne bo obiskovalo warez strani in strani, ki so potencialno nevarne za viruse ipd.
1. WRT54GL router + tomato za blokado P2P
2. Odstrani admin pravice uporabniku.
3. Se ne da, oz boš moral ročno vpisovat vse naslove.
4. Se ne da, oz boš moral ročno vpisovat vse naslove.
Vaša inštalacija je uspešno spodletela!
terryww ::
svoj čas sem razvijal rešitev za take probleme za firmo mikelis. izkaže se, da če rabiš neko resno rešitev, uporabiš router samo kot posrednik do računalnika, na katerem ženeš zanimive stvari. 1,3 in 4 smo rešili z radius strežnikom, 2. točko pa z namensko distribucijo, ki je laufala zraven radiusa itd. na javnem terminalu. vzadaj je še bla mysql baza, da je wlan lahko uporabljal samo tisti, ki je dobil račun itd. druga opcija je, da poguglaš in najdeš kako odprtokodno rešitev za take stvari.
je pa zraven naštetega še VRSTA stvari, ki ne samo vplivajo na interaktivnost (kako dolgo bo uporabnik čakal, da se stvar naloži), ampak na samo infrastrukturo. quota pasovne širine na uporabnika ti nič ne pomaga, če en uporabnik štarta azureus s kriptiranim protokolom. mogoče bo res imel prenos, kot si omejil za enega uporabnika, ampak 400 in več povezav, ki jih naredi en tak klient, ti zamrznejo router in ali čakaš 20min, da router sprocesira ali pa maš nekoga, ki bo vsakič router resetiral. kot rečeno, ogromno je še zraven stvari. večinoma pa imajo kafiči kr prost dostop do wlana, tak da razen če nimate res nekih problemov, boš zgubil vlko časa za konfig. na terminal pa inštaliraj kako kiosk verzijo. mi smo sicer meli na mediju, ki se ga fizično ni dalo prepisovat, ampak to je druga zgodba...
edit: še par stvari
je pa zraven naštetega še VRSTA stvari, ki ne samo vplivajo na interaktivnost (kako dolgo bo uporabnik čakal, da se stvar naloži), ampak na samo infrastrukturo. quota pasovne širine na uporabnika ti nič ne pomaga, če en uporabnik štarta azureus s kriptiranim protokolom. mogoče bo res imel prenos, kot si omejil za enega uporabnika, ampak 400 in več povezav, ki jih naredi en tak klient, ti zamrznejo router in ali čakaš 20min, da router sprocesira ali pa maš nekoga, ki bo vsakič router resetiral. kot rečeno, ogromno je še zraven stvari. večinoma pa imajo kafiči kr prost dostop do wlana, tak da razen če nimate res nekih problemov, boš zgubil vlko časa za konfig. na terminal pa inštaliraj kako kiosk verzijo. mi smo sicer meli na mediju, ki se ga fizično ni dalo prepisovat, ampak to je druga zgodba...
edit: še par stvari
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
Zgodovina sprememb…
- spremenil: terryww ()
ABX ::
Zakompliciraš lahko kolikor hočeš in še vedno bo kaj za uredit.
Za ene par PC-jev pa jaz zagovarjam "good enough" rešitev.
Za ene par PC-jev pa jaz zagovarjam "good enough" rešitev.
Vaša inštalacija je uspešno spodletela!
terryww ::
"good enough" ti v tem primeru zruši en komad, ki ima doma t2 in v utorrentu naštimano 1200 global connections limit. 3min po resetiranju routerja boš spet iskal kje je problem. strinjam se, da se da zaklmplicirat v nulo, zato pa priporočam, da pogugla za kako odprtokodno rešitev, in jo namesti na javni terminal, navrh pa inštalira kako kiosk distro ali kot pravi modri dirkač, če je comp 3min idle, se guest acc logoffa in se /home/guest* pobriše.
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
ABX ::
ne vem kakšen router imaš, ampak moreš še videt tomato ki se sesuje.
Vaša inštalacija je uspešno spodletela!
terryww ::
ne vem kakšen router imaš, ampak moreš še videt tomato ki se sesuje.
zaženeš torrent, naštimaš 1200 glbal connections limit in opazuješ št povezav in hitrost odpiranja strani. v linxu gledaš št. odprtih povezav z $lsof -ni|grep -c TCP v win pa verjetno v kakem požarnem zidu
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
ABX ::
Jao mene, samo ti pa se rad kregaš z offtopic debatami. Jaz sem ti samo hotel dopovedat da tomato se ne sesuje in nima težav z 1000+ povezavami.
Vaša inštalacija je uspešno spodletela!
terryww ::
če mu bo na 5min zmrzovalo je offtopic... praviš da tomato to vzdrži, jaz pa vseeno mislim, da je to stvar rama in cpuja, s katerimi router razpolaga. predlagal sem ti, da naredi test in javiš rezultat, da se ve, če je ta rešitev res primerna. in potem jaz smetim...
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
ABX ::
Linija mi ne premore več kot 500-600 povezav.
# free
total used free shared buffers
Mem: 14544 10664 3880 0 1200
Swap: 0 0 0
Total: 14544 10664 3880
# uptime
23:00:26 up 30 days, 16:27, load average: 0.00, 0.00, 0.00
Tomato pa sploh ne opazi da se je kaj zgodilo.
Tomato sem montiral na ene 20+ lokacijah, nikoli nisem imel enega klica glede tega routerja.
P.S: Nekaj tem nazaj smo ugotovili da Asus router(podpira tomato) ima več rama in hitrejši CPU, vendar za 10+ PC-jev ne vidim potrebe.
# free
total used free shared buffers
Mem: 14544 10664 3880 0 1200
Swap: 0 0 0
Total: 14544 10664 3880
# uptime
23:00:26 up 30 days, 16:27, load average: 0.00, 0.00, 0.00
Tomato pa sploh ne opazi da se je kaj zgodilo.
Tomato sem montiral na ene 20+ lokacijah, nikoli nisem imel enega klica glede tega routerja.
P.S: Nekaj tem nazaj smo ugotovili da Asus router(podpira tomato) ima več rama in hitrejši CPU, vendar za 10+ PC-jev ne vidim potrebe.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
terryww ::
mimogrede, glede zaščite wlana.. če zaščitiš z wep, wpa itd. si more vsak vzet 1min in si nastavit stvari, ljudje, ki bodo dostopali prek smartphonov tega večinoma ne znajo oz niti telefoni ne podpirajo. tako da je treba avtentikacije on the fly naredit. čekiraj kar sem zgoraj predlagal, verjetno pa je overkill.
@abx
fino. in ko ti p2p požere vse povezave, http normalno laufa? youtube zadovoljivo loada itd. verjetno je potrebno ncq vklopit s prioriteto za http.
torej niti ncq ni potreben. fajn.
@abx
fino. in ko ti p2p požere vse povezave, http normalno laufa? youtube zadovoljivo loada itd. verjetno je potrebno ncq vklopit s prioriteto za http.
torej niti ncq ni potreben. fajn.
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
ABX ::
ne itak ko P2P zabije linijo gre vse v maloro, ampak za to ni kriv router. Osebno sem to uspel omejit z blokado P2P.
Vaša inštalacija je uspešno spodletela!
Daedalus ::
Javni wlan je vedno odprt. Ni potrebe po izklapljanju dostopne točke zvečer, lahko pa z malo čaranja z antenami in oddajno močjo omejiš doseg, da ne vleče lih do sosednje vasi.
Za javni terminal se uporabi Linux, ki ima nastavitve za desktop read only. V Pipi uporabljam thin cliente z Xfce4, Firefoxom, OpenOffice, Pidgin, pa še kaka malenkost se najde. Po restartu seje s ctrl+alt+backspace se vse resetira na default nastavitve, sharnjene datoteke in crap iz /tmp se briše enkrat dnevno. Vse skupaj deluje zelo stabilno, kake dve leti. Bo treba počasi upgrejdat stvari:D
Glede omejevanja pa... načeloma ne izvajamo posebej filtriranja prometa, itak ti razni torrenti in mule ne letijo preveč hitro, če niso porti na računalu neposredno dosegljivi. Če pa že hočeš blokirat, ti je pa BlueRunner lepo opisal, kaj in kako. Na linuxu pa maš nekaj parental control orodij za preprečevanje dostopa do pr0n strani - recimo DansGuardian. Pa zelo priporočam Linux za javno računalo... z winsi je običajno preveč dela.
Za javni terminal se uporabi Linux, ki ima nastavitve za desktop read only. V Pipi uporabljam thin cliente z Xfce4, Firefoxom, OpenOffice, Pidgin, pa še kaka malenkost se najde. Po restartu seje s ctrl+alt+backspace se vse resetira na default nastavitve, sharnjene datoteke in crap iz /tmp se briše enkrat dnevno. Vse skupaj deluje zelo stabilno, kake dve leti. Bo treba počasi upgrejdat stvari:D
Glede omejevanja pa... načeloma ne izvajamo posebej filtriranja prometa, itak ti razni torrenti in mule ne letijo preveč hitro, če niso porti na računalu neposredno dosegljivi. Če pa že hočeš blokirat, ti je pa BlueRunner lepo opisal, kaj in kako. Na linuxu pa maš nekaj parental control orodij za preprečevanje dostopa do pr0n strani - recimo DansGuardian. Pa zelo priporočam Linux za javno računalo... z winsi je običajno preveč dela.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Kami ::
Jao mene, samo ti pa se rad kregaš z offtopic debatami. Jaz sem ti samo hotel dopovedat da tomato se ne sesuje in nima težav z 1000+ povezavami.
Tukaj je sama programska oprema sekundarnega pomembna, najbolj pomembna je hitrost procesorja in količina rama.
Večina usmerjevalnikov, ki podpirajo Tomato / dd-wrt pa ima na žalost bolj šibke procesorje (200 - 300Mhz), zato lahko o tvojih 1000 sočasnih povezavah kar sanjaš.
ABX ::
Jao mene, samo ti pa se rad kregaš z offtopic debatami. Jaz sem ti samo hotel dopovedat da tomato se ne sesuje in nima težav z 1000+ povezavami.
Tukaj je sama programska oprema sekundarnega pomembna, najbolj pomembna je hitrost procesorja in količina rama.
Večina usmerjevalnikov, ki podpirajo Tomato / dd-wrt pa ima na žalost bolj šibke procesorje (200 - 300Mhz), zato lahko o tvojih 1000 sočasnih povezavah kar sanjaš.
Ne vem kakšne težave imaš ti, ampak jaz jih nimam. Če pa to drži, te prosim da nalimaš gor log od routerja ko se odzivnost poslabša.
Vaša inštalacija je uspešno spodletela!
Kami ::
Trenutno nimam na razpolago nobenega usmerjevalnika z dd-wrt / Tomato, da bi ti pokazal log, ampak pri velikem številu odprtih povezav se CPU obremeni do konca in posledično je load average v višavah.
V primeru, da vklopiš QoS pa zadevo samo še dodatno poslabšaš in se usmerjevalnik še prej obesi (seveda ob velikem številu povezav).
Zadeva je čisto logična - dodatno procesiranje ob že tako šibki CPE...
V primeru, da vklopiš QoS pa zadevo samo še dodatno poslabšaš in se usmerjevalnik še prej obesi (seveda ob velikem številu povezav).
Zadeva je čisto logična - dodatno procesiranje ob že tako šibki CPE...
ABX ::
QoS je znan da dela težave.
Osebno sem lahko testiral WRT54GL z tomato na 10MB liniji z 900 istočasnih povezav (toliko je pač linija dovolila) CPU je bil na 5-10% ko je vleklo dol z 8mb.
Osebno sem lahko testiral WRT54GL z tomato na 10MB liniji z 900 istočasnih povezav (toliko je pač linija dovolila) CPU je bil na 5-10% ko je vleklo dol z 8mb.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
terryww ::
router: zična verzija WRT54GL. firmware: orginalen.
torrenti-> dl 100%, up 80% ->$lsof -ni|grep -c TCP = 1258,
brez qos 1min odpira strani, z qos 2s. sem pa že slišal, da qos večinoma povzroča več težav.
edit: od kot je pa zdaj ncq prišel?
torrenti-> dl 100%, up 80% ->$lsof -ni|grep -c TCP = 1258,
brez qos 1min odpira strani, z qos 2s. sem pa že slišal, da qos večinoma povzroča več težav.
edit: od kot je pa zdaj ncq prišel?
It is the night. My body's weak.
I'm on the run. No time to sleep.
I'm on the run. No time to sleep.
Zgodovina sprememb…
- spremenil: terryww ()
ABX ::
zamenjaj firmware, ker originalen nima za burek proti tomato.
Vaša inštalacija je uspešno spodletela!
ABX ::
pfsense rabi PC za delat. Sej je cool, ampak zahteva veliko znanja.
Vaša inštalacija je uspešno spodletela!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Nakup routerjaOddelek: Pomoč in nasveti | 3827 (3357) | Qushaak |
» | dd-wrt ali tomato firmwareOddelek: Omrežja in internet | 3619 (1902) | NoName |
» | Siol optikaOddelek: Omrežja in internet | 7150 (6366) | ABX |
» | Optika 20/20 ft. linksys wrt54g (strani: 1 2 )Oddelek: Omrežja in internet | 9444 (5673) | Pyr0Beast |
» | wirless preko routerja iz ene hiše v drugoOddelek: Omrežja in internet | 3015 (508) | Spajky |