JuniorITman

Здравствуйте!

В заключительной части я продемонстрирую, как выглядит веб-фильтрация со стороны ученика.

В одном из комментариев было уточнение по поводу установки VPN расширений, которые могут обойти блокировку, но «интернет-магазины расширений» заблокированы, так как являются внешними ресурсами, которые требуют установку извне, а не часть браузера (G.Chrome), если расширение входит в пакет установок браузера, то удаляем их.

Если же, каким-то образом, учащийся сможет запустить portable версию стороннего браузера на флешке, то нужно учитывать, что это не входит в само понятие о контентной-фильтрации со стороны школы, так как это стороннее ПО актированное в единичном случае, которое не предусмотрено в школе.

Учащиеся выполняют за своими ПК исключительно учебные курсы (темы/задания) и им не хватит времени даже на запуск одной страницы в портативной программе, так как учитель всегда смотрит в мониторы учеников, чтобы они выполняли свои задания. Не говоря уже о ситуации, когда ученик что-то там ползает и ищет рабочий usb-порты, которые заняты "Мышкой" и "Клавой" (лишние отключены, передача файлов через сетевую папку).

Примеры фильтрации:

1. Страница магазина расширений. Если нажать продолжить, несмотря на предупреждение, то страница просто обновиться и вернет к ошибке.

2. Сайты Яндекса, YA поисковика, Google – та же история.

3. Разрешенный поисковик – Безопасный поиск SkyDNS, хорошее решение, так как фильтрует слова запросов.

4. Есть слова, которые «разрешены» в поисковике, так как не несут ничего отрицательного, но сайты из запроса всё равно будут закрыты согласно настройкам фильтрации.

5. Все тесты проведены в одном кабинете на разных компьютерных устройствах. Показывать рабочие сайты нет смысла, некоторые есть на панели закладок.

6. По поводу «Черного и Белого списка» - не игнорируйте этот способ контроля веб-ресурсов (в дополнение ко всему), всякое бывает, лучше что-то внести руками, а что-то и открыть при необходимости.

Подведем итоги:

1. При проверке на региональном уровне или муниципальном, при проверке одним органом власти или другим – все любят, чтобы был хоть какой-то документ на контентную-фильтрацию и сказать что «у нас своя, мы сами могём» звучит для них странно и вызывает недоверие, но СТРАНА большая и может у вас по другому.

2. Есть бесплатные аналоги данного типа фильтрации, например (как было сказано в коментах) родительский контроль с функцией «Белый список», но по факту Skydns обходится 2к в год, поэтому здесь небольшая экономия и есть официальный договор на веб-фильтрацию плюс удобная веб-панель управления.

3. У СкайДНС есть отдельная программа «Агент» и мягко сказать это устаревшее решение с установкой на каждое устройство по отдельности, к тому же дорого в пересчете «Количество устройств х Цена за период / 5 = Сумма - %Скидка = Итоговая сумма». «Периоды» разные можно и сразу 5 лет оплатить, но тратить деньги оплачивая тариф на каждые 5 устройств слишком много заморочек, если можно сразу установить фильтрацию в роутер. В общем, неудобно, но явно приносит больше доход, чем одна лицензия на школу, как у нас.

Тут можно предположить более удобное решение, в виде производства устройства с прошивкой на аккаунт SkyDNS, что-то типа репитера с одним портом WAN и LAN, чтобы внедрить посердите пути от административного роутера до кабинета информатики. Такое устройство обеспечило бы фильтрацию на определенном участке локальной сети и имело бы минимальный набор микропрограмм для обеспечения такой функции.

4. На самом деле неважно как организовать фильтрацию и каким способом, есть две истины в этом вопросе: вы либо пройдете проверку, либо нет.

Не забывайте учиться на своих (и чужих) ошибках и запоминать их решения, как минимум это сэкономит вам время, а в некоторых случаях убережет нервы.

Всем удачных проверок и хороших выходных!

Телега: @JuniorITman

Здравствуйте!

Это предпоследняя часть. В заключительной части будут опубликованы результаты фильтрации.

Напомню о статье – это информация для людей, которые по каким-то причинам не организовали контентную фильтрацию в ОУ (или не довольны уже имеющейся).

Наша цель всегда проходить «проверку контентной фильтрации», так её называют соответствующие органы, то по определению мы и будем создавать «контентную фильтрацию».

К слову, эти проверки проходят спонтанно, даже во время каникул (хотя, возможно, забывает уведомить сама школьная администрация). Вот один из примеров как бывает «Решение № 2-85/2020 2-85/2020~М-70/2020 М-70/2020 от 20 мая 2020 г. по делу № 2-85/2020», хоть это и мягкое решение.

Самое главное - это правильные настройки, присутствие кривой фильтрации не спасет.

Представим, что все условия из предыдущих частей выполнены, теперь можно перейти к внутренним настройкам сетевых устройств.

Лучше делать эти операции в выходной день, дабы не шокировать бухгалтерию (администрацию) отсутствием Инета.

Заранее продумайте план, если не получиться ввести фильтрацию. Действующий маршрутизатор в сторонку и замените его на марку Zyxel Keenetic, если что-то не получиться, просто вернете его в работу.

Некоторые данные идут под грифом «Например», сюда могу входить: названия роутеров, параметры настроек роутеров и т.п - но это не касается четких настроек фильтрации. Если информацию из статьи вы можете переформатировать под свои параметры, то это замечательно, но не игнорируйте обязательные настройки.

Этап №1

Итак, собираем в одном месте: Административный роутер (Главный роутер), Ученический роутер (Роутер информатики и прочие устройства, требующие контроль), ПК для настройки.

Сокращения:

Zyxel – административный роутер (Главный роутер);

Tenda – ученический роутер (Роутер информатики);

КМ – коммутатор;

* - обязательный параметр;

Соединяем наши устройства по Ethernet для настройки конфигурации NOS (Сетевая ОС):

1. Подключаем ПК в LAN Tenda (сетевые настройки ПК IP 192.168.1.254 и шлюз 192.168.1.1 в зависимости от настроек роутера «по умолчанию») и редактируем параметры (потом другой роутер, если их больше одного). Так как я не могу предугадать какие у вас дополнительные роутеры, то не могу расписать для всех одну инструкцию, но могу написать какие параметры приблизительно должны быть:

. Подключаемся через браузер к конфигурации Tenda (192.168.1.1);

. Вводим логин и пароль (если роутер был сброшен, то смотрим наклейку или всё по стандарту «admin-admin» или «admin-без пароля»);

. Настройка WAN – DHCP или Статика: IP 192.168.0.2, шлюз/gateway 192.168.0.1, DNS 192.168.0.1;

. Настройка LAN – IP 192.168.1.1, маска подсети 255.255.255.0;

. Настройка LAN DHCP – начальный пул и размер пула по вкусу, шлюз и DNS как LAN IP;

. Настройка WLAN – включаем точку, если планируются ученики на беспроводном подключении в иных случаях не включаем /отключаем;

. Save/Apply and Reboot

2. Переключаем ПК в Lan Zyxel (сетевые настройки ПК IP 192.168.0.254 и шлюз 192.168.0.1 в зависимости от настроек роутера «по умолчанию»);

3. Соединяем WAN Tenda с LAN Zyxel или через КМ;

4. Подключаемся через браузер к Zyxel Keneetic Extra II (192.168.0.1):

. Вводим логин и пароль (если роутер был сброшен, то смотрим наклейку или всё по стандарту «admin-admin» или «admin-без пароля»);

5. Открываем вкладку «Статус»:

. Убеждаемся, что интернет активен, проверяем параметры подключения;

. Если нет, то идем в «Интернет» - «Проводной» вводим настройки, как на старом маршрутизаторе;

6. Открываем вкладку «Мои сети и Wi-Fi» - «Домашняя сеть»:

. Выставляем параметры IP-адрес 192.168.0.1, маска подсети 255.255.255.0;

. Включаем DHCP автоматически применяться параметры по умолчанию, вы можете увеличить/уменьшить количество хостов (пулов) и сетевой адрес с которого начнется раздача (аренда) для хостов;

7. Заходим в «Управление» - «Общие настройки»:

. Смотрим, чтобы было последнее обновление (обновляем);

. Редактируем время обновления по вкусу, если есть желание;

. *Жмем «Изменить набор компонентов» и ищем SkyDNS (или Яндекс.DNS, но тогда нет смысла смотреть инструкцию, скриншоты в статье боевые, а c Яндексом нужно ставить сеть с нуля и нет примеров в скриншотах), должна быть установлена отметка V;

8. *Идем в «Сетевые правила» - «Интернет-фильтр»:

. Выбираем из списка фильтров «SkyDNS»;

. Вводим данные аккаунта – у вас уже должен быть аккаунт Школа платный/демо тариф, если нету, то перейдите на «Этап №2» и выполните настройки;

. Профиль ко всем незарегистрированным устройствам по умолчанию «Без фильтрации» (если вы правильно сделали схему сети, то видно где она нужна);

9. *Следуем в «Мои сети» - «Список устройств»:

. Ищем в графе «Устройство» среди незарегистрированных адресов необходимые IP-адреса для блокировки (Tenda 192.168.0.2);

. Выбираем необходимые адреса, указываем название и жмем «Зарегистрировать»;

. Не путайте «профиль доступа» и «профиль фильтрации» это разные функции;

. Крутим к графе «Зарегистрированные устройства» проверяем присутствие необходимых адресов;

. Можно заранее регнуть устройства, которые нужно фильтровать или не фильтровать в зависимости от необходимости;

10. *Возвращаемся в «Сетевые правила» - «Интернет-фильтр»:

. Крутим до «Устройство» и выставляем профиль фильтрации;

. Для неученических устройств можно создать отдельный профиль, например с блокировкой ресурсов по контенту, но это зависит от правил самой школы.

11. Не включайте Wi-Fi на Zyxel, если в этом нет необходимости, зачем лишняя нагрузка на основной маршрутизатор;

*Этап №2

1. Заходим на сайт skydns;

2. Регистрируемся и вводим данные аккаунта;

3. Жмем вкладку «Настройки» - «Профили» и создаем название профилей, далее будем указывать правила для них (можно оставить 1 профиль);

4. Жмем вкладку «Фильтр» и выбираем «Установки для школ» (но это не соответствует всей классификации, будем добавлять):

. Ставим отметки V на всё кроме: «Интернет-библиотеки», «Сайты для детей», «Образование и учебные учреждения»;

. В «Дополнительные настройки» ставим V на всё, за исключением «Работать только по белому списку»;

. В «Использовать безопасный поиск» выбираем ссылку «белый список»;

5. В «Белый список» выбираем профиль «Основной», далее просто вводим адреса либо жмем кнопку «Редактировать список» и копипастим сайты из своих списков:

. Крутим страницу и редактируем «Черный список».

6. Для применения настроек на сайте, перезагрузка роутера не требуется, только те настройки которые были во внутренней конфигурации роутера.

7. Попробуйте освоить «Личный кабинет» возможно, найдете что-то интересное, например «Расписание» или «Страница блокировки»

8. Сохраняем весь прогресс и проверяем результат.

Лента скриншотов:

Напоследок могу добавить только то, что сама настройка занимает примерно 15 минут, если уже это делал это раньше (с настройкой 1 ученического роутера и 1 административного).

P.S.: Извиняюсь за возможные ляпы, глаза уже замылило.
P.S.2: Забавные дубликаты.

Телега: @JuniorITman

Здравствуйте!

В предыдущей части мы рассмотрели схему локальной сети с перечнем используемого оборудования для фильтрации контента. Далее будет уточнение по всем пунктам.

Для перехода к информации в этой части, Вам необходимо иметь при себе схему вашей ЛВС организации, чтобы понимать, как использовать контент-фильтр уже в рамках вашей структуры.

Советую такие схемы реализовывать с помощью соответствующих сервисов, хотя бы тех, которые позволяют вставлять изображения из базы по тематике компьютерных сетей, чтобы легче ориентироваться в схеме не тратя время на ручное рисование или скачивание ненужных изображений. Вид схемы должен быть понятен не только Вам, но и другим людям, возможно, это может понадобиться при реконструкции/модернизации ЛВС.

Все названия производителей и разработчиков я буду упоминать, только в целях достижения цели и никак больше.

Повторюсь на счет моего материала – я информирую только о том, что сам тестировал и предоставляю примеры.

В остальном, могу посоветовать Вам - «do your own research!»

Для организации фильтрации понадобиться:

1. Роутер марки Zyxel Keenetic (*модель Lite III или Extra II) – данный роутеры имею вшитую поддержку интернет фильтрации за счет подключения учетных записей сторонних сервисов прямо в прошивку роутера. Иными словами, в данных роутерах можно подключить фильтрацию через Yandex.DNS или SkyDNS

2. Роутер марки TP-LINK (*модель TL-WR841N) – вместо этого роутера можно взять любой другой, главное чтобы он также легко настраивался и не был перегружен лишними функциями.

3. Неуправляемые коммутаторы (*TP-Link TL-SG105 и TP-LINK TL-SF1024D) – вместо этих свитчей можно взять другие, но я бы советовал именно в металлическом корпусе из-за прочности, теплоотдачи и их проще прикрутить в необходимое место, например в коммутационный шкаф.

* Протестированные устройства годами

Схема, приведенная ниже создана на базе предыдущей, но только вместо назначения устройств мы будем указывать их сетевые адреса и тип сети.

Расшифровка схемы (без ухода в терминологию):

LAN – Локальная сеть;

WAN – Глобальная сеть;

WLAN – Беспроводная сеть;

Switch – Коммутатор;

192.168.0.0 – Первая сеть;

192.168.0.1 – Первый шлюз на главном роутере;

192.168.1.0 – Вторая сеть;

192.168.1.1 – Второй шлюз на роутере учебного класса;

255.255.255.0 (префикс /24) – Маска подсети для всех маршрутизаторов и внутренних локальных узлов/хостов;

192.168.1.5 – 192.168.1.14 - 10 ученических устройств (узлов, интерфейсов) на витой паре 8P8C;

192.168.1.x – прочие адреса для беспроводных подключений;

Уточнение по ЛВС:

Все параметры сети указанные выше устанавливаются «по умолчанию» и если в вашей организации есть доступ в Глобальную сеть и осуществлена возможность передачи данных внутри вашей сети, значит у Вас уже всё настроено.

Административный роутер с сетевым адресом шлюза «192.168.0.1» принимает на глобальный интерфейс IP-адрес «10.1.1.1» от провайдера и осуществляет транспортировку информационных пакетов по сети «192.168.0.0» благодаря чему в данной сети хостам доступен выход в глобальную сеть. В данную сеть входят хосты с адресами «192.168.0.1 – 192.168.0.254» (192.168.0.0 и 192.168.0.255 занимать нельзя)

Ученический роутер с сетевым адресом шлюза «192.168.1.1» принимает на глобальный интерфейс IP-адрес «192.168.0.254» от главного роутера и осуществляет транспортировку информационных пакетов во второй сети «192.168.1.0» благодаря чему в данной сети хостам доступен выход в глобальную сеть. В данную сеть входят хосты с адресами «192.168.1.1 – 192.168.1.254» (192.168.1.0 и 192.168.1.255 занимать нельзя)

Доступ в WWW со всех маршрутизаторов (и их клиентам) доступен посредством NAT, данная технология активна «по умолчанию».

Маска подсети 255.255.255.0 (/24) устанавливается «по умолчанию» во всех стандартных роутерах, что дает нам в каждой сети (№1 и №2) по 254 возможных подключений на каждую сеть. Если в вашей сети необходимо больше интерфейсов (узлов, хостов), то следует увеличить возможное количество сетевых подключений, но тогда нужно изменить маску подсети централизовано (например, на 255.255.254.0 (/23) и так далее), сами же IP-адреса роутеров и узлов могут быть такими же.

В данной схеме мы не рассматриваем настойку связи между сегментами сети №1 «192.168.0.0» и № 2 «192.168.1.0», так как сеть №1 административная, а сеть №2 учебная.

Краткая инструкция для тех, кто уже всё знает и умеет и сам себе режиссер:

1. Инсталлируем провод провайдера в WAN роутера с поддержкой SkyDNS;

2. Регистрируем в настройках роутера необходимые адреса в таблице устройств активных подключений, которые будем блокировать, например IP-адрес роутера №2;

3. Во вкладке SkyDNS вводим данные аккаунта и применяем фильтр «Основной» хостам из списка зарегистрированных адресов;

* Лицензия SkyDNS платная, но дешевая. Можно зарегистрировать на «левые» данные и пользоваться полмесяца, просто меняя данные аккаунта в соответствующей вкладке.

4. Далее на самом сайте SkyDNS заходим в личный кабинет во вкладку «Фильтр»;

5. Жмем слева «Установки для школ»;

6. Если на детских устройствах есть доступ в Ютуб, то ставим галку "Использовать безопасный режим для YouTube";

6. Обязательно ставим «Блокировать неизвестные сайты»;

7. Остальные галки в строке «Прочие сайты» на свой вкус, но обязательно вырубаем еще «Поисковые системы» и всякий мусор типа «Доски объявлений»;

8. Если у Вас подготовлен список разрешенных сайтов, то максимальная безопасность от фильтрации будет, если вы выберете пункт «Работать только по белому списку», далее переходим в белый список и вписываем все адреса разом, через функцию копировать-вставить в «Редактировать список»;

9. Перезагружаем роутер в горячую или холодную, но только после всех настроек, когда у вас все необходимые IP-адреса выбраны в роутере под фильтр «Основной», а аккаунт SkyDNS активен;

10. Всё, теперь роутер №2 информатики будет под фильтром, а список доступных адресов редактируется через сайт;

11. В роутере во вкладке SkyDNS оставляем опцию для всех неизвестных адресов фильтр «Без фильтрации», тогда новые устройства и даже старые незарегистрированные «по умолчанию» не будут фильтроваться;

12. Данный способ фильтрации был проверен на практике: мною, прокуратурой и тем более учениками;

13. К сожалению, очевидным минусом данного метода является понижение скорости соединения с глобальной сетью из-за фильтрации через DNS, но только для узлов с фильтром.

Внимание!

Описание порядка подключения и внутренних настроек роутеров будет в следующей части, так как там очень много скриншотов вперемешку с текстом. Следующая часть рассчитана на того, кто не понял по «Краткая инструкция».

Телега: @JuniorITman

Здравствуйте!

Меня зовут "Junior IT man" , то есть «Эникейщик» и я работаю в школе.

Как-то раз по нашей области прошли проверки от прокуратуры, по всем образовательным учреждениям, на предмет доступности из сети ОУ на запрещенные веб-ресурсы. Проще говоря, могут ли ученики со своих рабочих мест попасть на те ресурсы, где содержание контента является запрещенным согласно списку Роскомнадзора (ЕРЗС), а также соблюдение Федеральных законов (ФЗ-149, ФЗ-139, ФЗ-187, ФЗ-398, ФЗ-436).

Дело серьезное, потому что прокуратура действительно отправляет протоколы в суд и можно понести ответственность за нарушения. Моих знакомых (из других учреждений) вызывали на суд и дали административное нарушение. Про юридическую составляющую могу ошибаться в терминологии, но штраф им вручили именно по фильтрации интернет ресурсов.

Данный пост я пишу тем работникам, на чьи плечи возложили обязанности в своей школе или в любом другом образовательном учреждении, относительно информационных технологий и доступа к информации в частности. И по каким-то причинам, пока что не выполнили или не знают как выполнить фильтрацию сайтов (или не устраивает работа фильтрации). Для понимания решения поставленной задачи я буду использовать обычный текст с минимальным количеством терминов (или без них). Термины и расшифровки будут в отдельных статьях.

Сразу оговорюсь, я не являюсь сильным специалистом в сфере IT. Самообучение дело нелегкое, так сказать, особенно без мотивации и практического обучения. Так что я выполняю ровно те функции (и даже больше), которые от меня требуются, главное что бы всё везде работало и все были довольны. Поэтому, я буду описывать только то, что действительно работает и что я действительно знаю.

Итак, перейдем к сути. А суть такая - для контентной фильтрации нужно знать, для начала, вашу локальную сеть, ибо просто поставить фильтр на все сетевые адреса не получиться, так как в школе есть компьютеры как администрации, так и учителей, которым фильтр нужен в минимальных значениях.

Как отделить локальную сеть администрации школы (etc) от сети предназначенной для учеников, например кабинет информатики? Приведём простейший пример с помощью каракуль.

Разбор схемы (* означает уточнение):

1. «Провайдер» – это провод (оборудование), которое предоставляет вам ваш интернет провайдер.

* Интернет-фильтрация тут на уровне «то что обязали». Для школы такой уровень конечно же не подойдет.

2. «Главный роутер школы» – это устройство позволяющее объединить все сегменты сети (всё оборудование) в одну управляемую сеть.

* В данное устройство подключается наш провод от провайдера, в порт WAN. Буквально говоря, провайдер "дает интернет" вашему роутеру, а роутер "раздает" интернет вашей компьютерной и прочей технике. Представьте, что вместо роутеров, были бы только свитчи (коммутаторы), то каждое сетевое устройство даже бы не имело IP-адреса, если бы его не прописали вручную. Так как, от провайдера вам доступен только один IP-адрес, соответственно, без роутера только один компьютер из сети получит доступ к Интернету. Иногда «роутер» называют «маршрутизатор» и это так, но говоря о масштабности, то по моему мнению маршрутизаторы, это сетевое оборудование, которое мощнее (и сложнее в настройке), чем домашний роутер, хотя по переводу с eng это является одним устройством.

3. «Главный коммутатор» - это устройство является главным распорядительным узлом в локальной сети .

* Если маршрутизатор (роутер) концентрирует всю локальную сеть в своей системе микропрограмм, то коммутатор распределяет сеть дальше, за счет регистрации MAC-адресов. Коммутаторы бывают управляемыми (настраиваемыми) и неуправляемыми. Скорее всего, у вас установлен неуправляемый, то есть на его физическом интерфейсе нет определенного порта с названием "Console”, который служил для подключения к управлению (но не всегда). Плюс управляемые обычно либо с меньшим количеством портов для подключения RJ-45 (и других), либо с достаточным количеством таких портов, но значительно больше весят (в кг). Также у них часто присутствуют дополнительный порты Ethernet (10/100/1000 Mb/s) и оптоволокно (через модуль SFP). В управляемом, также можно настроить VLAN-ы (виртуальную локальную сеть). С этого коммутатора будет раздача интернета и тем кому нужна фильтрация, и тем кому не нужна фильтрация.

4. «Роутер информатики» - это роутер, который будет регистрироваться в нашей сети под определенным IP-адресом и создавать свою «подсеть», чтобы с его помощью накрыть фильтром все подключаемые устройства, так как некоторые ученики, могут выполнять задание со своих устройств.

* Таким образом мы понимаем, что тут должен быть именно роутер, а не коммутатор, ибо каждое новое устройство это обязательное его прописывание в таблицу адресов, которым должны быть закрыты все соответствующие (или несоответствующие) ресурсы. Тут стоит напомнить, что у роутера есть ограниченное количество зарегистрированных адресов ( то есть мы не можем на один роутер зарегистрировать 254 IP-адресов, но это зависит от модели роутера и нужно уточнить, я имею ввиду именно зарегистрированные устройства в таблицу роутера, а не просто подключенные устройства) и именно тут нам поможет роутер для информатики.

5. «Wi-Fi Роутера информатики» - беспроводная сеть с контентной фильтрацией (точка подключения) для учащихся, которые работают со своих устройств.

* Эту сеть настраиваем и запускаем вещать с «Роутера информатики».

6. «Коммутатор бухгалтерии» - те же функции, что и у главного коммутатора, только распространяет интернет на меньшее количество подключений.

7. «Коммутатор УВР» - те же функции, что и у главного коммутатора, только распространяет интернет на меньшее количество подключений.

8. Некоторая компьютерная техника может быть подключена напрямую к главному коммутатору, если в этом есть необходимость, например экономическая составляющая или из-за расстояния (малого) от главного коммутатор до этих кабинетов.

Итак, предположим, что вы понимаете как устроена ваша сеть. Тогда следует её сначала нарисовать в специальной программе по типу «Cisco Packet Tracer», это будет полезно, вы поймете как устроена ваша сеть ( и где воткнуть фильтр), а также как пользоваться этой программой, которая может еще понадобиться, кто знает куда вас еще работать занесёт. А можно и в паинте налепить, как хотите, главное понимать кого и как будем блокировать.

На этом закончим первую часть. Вам нужно сформулировать представление о вашей сети, если это не сделано. В телеграмм будут дублироваться ссылки и оповещения. Поддержите статью, тогда я пойму, что Вам это интересно и перейду к написанию второй части.

Телега:

junioritman - канал

Junior_IT_bot — имя бота

Jun1or_IT_bot — ник бота

topicmoderator — сюда можно отправить какие-то вопросы.