Как блокирах Facebook училище

Преди около година получих заповед от директора на училището, където работя, да огранича достъпа на ученици и учители до Facebook от училищната компютърна мрежа. Преди това често съм си мислел, че това трябва да се направи, но все не ми оставаше време да се занимавам и го оставях за някой друг път.

Първо потърсих различни решения в Интернет. Най-често срещаното предложение е инсталиране на програма за контрол на достъпа на всеки компютър. Тествах 2-3 варианта, но много лесно човек може да ги излъже и да заобиколи ограниченията. Също така не всички браузъри се подържат от въпросните програми.

Вторият вариант, с който експериментирах беше с hosts файла. В него се описват адреси на сайтове и техните IP адреси, като целта е компютъра ви де не се обръща към DNS сървъра на интернет доставчика ви, а да намира тази информация локално. Ако опишете даден сайт и го насочите към желан от вас IP адрес може да се предотврати неговото зареждане. Например може да се напише facebook.com 127.0.0.1, така при написване на сайта в някой браузър той ще бъде пренасочен към компютъра, на който е стартиран. Подготвих hosts файл и го копирах на няколко компютъра, но се оказа, че този метод е неефективен защото Google Chrome например не използва hosts файла на операционната система. Друг лесен начин за заобикаляне на тази защита е като потърсите facebook в Google и да заредите страницата от там.

Тези два варианта не бяха подходящи и по още една причина. Някои от учителите използват личните си лаптопи на училище и ако направя ограничение на ниво компютър то ще действа и когато са в къщи. По тази причина реших да се ориентирам базирано на ниво рутер. Целият трафик на училището преминаваше през едно устройство Buffalo WHR-HP-G54. Този рутер не предлага възможност за ограничаване на достъпа до определени сайтове за това се наложи да търся друг вариант.

Следващата идея, която ми дойде е да се обадя на фирмата, която ни доставя Интернет за да видя дали те могат да направят това ограничение на техният рутер. От интернет доставчика категорично ми отказаха с мотива, че не предлагат такава услуга. Ако желая ще ми препоръчат рутер с такива възможности и ще ми съдействат за настройката му. Обадих се на още 1-2 доставчика в региона, но никой не предлагаше възможността за ограничаване на трафика до определени сайтове. Всъщност до момента не знам дали има интернет доставчик в България, който предоставя такава възможност.

Петият вариант, на който се спрях е да опитам с друг рутер. Училището разполага с рутер Cisco 1811, който навремето дойде с така наречените царски компютри и беше използван докато МОН осигуряваше интернет достъпа на този компютърен кабинет. След като прекратиха програмата устройството не се използваше, защото не разполагах с пароли за него. Осигурих си паролите след няколко телефонни разговора и започнах настройките на рутера. След доста четене и човъркане по рутера в продължение на 2 седмици не успях да направя някаква ефективна блокировка. Обадих се на мой приятел, който е преподавател в Cisco академия във Велико Търново с молба за помощ и му изпратих рутера. Той си поигра няколко дена и ми върна вече настроеното устройство, което закачих веднага и пуснах целият интернет трафик на училището през него. Приятелят ми беше проучил кои са адресите на Facebook направил блокировка на ниво IP адреси. Всички пакети, които са предназначени за тези IP адреси се блокираха от рутера. След работа в продължение 2 седмици се оказа, че това решение е неефективно, защото Facebook използва облачно базиран хостинг с множество изходящи точни през различни доставчици. Рутера блокираше трафика към известните му адреси, но около 1/3 от заявките минаваха без проблеми. Също така търсенето на ключова дума facebook в Google и зареждането на сайта работеше безотказно. Получи се и страничен ефект. Оказа се, че някой сайтове, като например vbox7.com също са блокирани, вероятно защото използват IP адреси от забраненото адресно пространство.

Отново ми се наложи да започна ровене в Интернет за разни идеи като се насочих към възможността да подменя фърмуера (firmware) на моят рутер Buffalo WHR-HP-G54. Фърмуерът е софтуерът, който записан в рутера и управлява неговата работа. Възможно е фабричният софтуер да се подмени с друг и така се разширяват възможностите на устройството, а понякога дори се появяват нови функционалности. След доста четене се спрях на 3 фърмуера: DD-WRT, OpenWrt и Tomato. OpenWrt не можеше да се стартира на моят рутер и отпадна автоматично. От другите два варианта избрах Tomato, защото ми хареса интерфейсът ми и настройките му бяха по-разбрани. Подмених фабричният фърмуер на Buffalo WHR-HP-G54 с Tomato версия 1.27 (http://www.polarcloud.com/tomato). По-късно го подмених с TomatoUSB (http://tomatousb.org), което добавя още малко възможности.

Основните настройки на рутера с обновеният фърмуер не се различават съществено от тези на всички подобни устройства. Трябва да зададете IP адрес, мрежова маска, Default gateway и DNS, които се предоставят от вашият интернет доставчик. Настройва се още паролата за достъп, какви адреси ще раздава DHCP сървърът и други подобни.

Блокирането на достъпа до сайтове и блокирането на търсенето на ключови думи се извършава от меню Access Restrictions. Трябва да се създаде ново правило за ограничава не на достъпа, като се описва кои дни да работи, кои устройства да обхваща, протоколите за блокиране и сайтовете или ключовите думи, които трябва да се блокират. Като се чете за първи път изглежда доста сложно, но има примерно правило, от което можете да се учите. Ето и прихванат екран за моите настройки за блокиране на Facebook.

1

Блокировката се извършва на ниво 7 слой от OSI модела и освен самият сайт се ограничават търсенията в Google, адресите които съдържат зададена ключова дума и вградено съдържание от Facebook в други сайтове.

По същият начин блокирах достъпа до Google+, Twitter и други социални мрежи. По-късно добавих и разни сайтове с игри, които често се опитваха да се заредят от учениците. Блокировки се намират във файла Access Restriction.txt.

След като направих гореописаните настройки включих рутера да работи в училищната компютърна мрежа. Ученици и учители бяха доста неприятно изненадани от липсата на Facebook и някои сайтове с игри и това породи доста мърморено, но понеже всичко беше направено по заповед на директора за около седмица всичко отихна.

Започнах да правя по-сериозни тестове на това до каква степен работят направените блокировки. Оказа се, че за човек с познания в областта на компютърните мрежи и мрежовите протоколи ограниченията се заобикалят за няколко минути.

Следващата стъпка, която предприех беше да стартирам DNS сървър на рутера. Основната му функция беше просто да препраща заявките към DNS сървърите на интернет доставчика ни, а допълнителната при написване на домейна facebook.com да не препраща пакетите към съответния сървър, а да ги връща към компютъра, който изпраща заявката. Тази настройка се прави от меню Advanced/DHCP / DNS. Техниката е подобна на описването на домейни и адреси в hosts файла. Ето и прихванат екран на моите настройки.

2

На практика след тези настройки разполагах с 2 нива на блокиране на facebook. Така ако едното не сработва го прави другото. Тези блокировки също могат да бъдат заобиколени от човек със знания без никакъв проблем. За щастие все още няма такъв сред учениците и учителите в училище, а това е положението в 95% от училищата.

Чрез подмяната на firmware на рутера Buffalo WHR-HP-G54 с TomatoUSB получих и още доста нови възможности, част от които използвам често. Например статистика какви сайтове се посещават и какви търсения се правят в Google и другите търсачки. Въз основата на тези данни мога да наложа нови ограничения на сайтове, които не желая да бъдат посещавани от учениците.

3

Buffalo WHR-HP-G54 е доста добър рутер, но е правен за по-малко натоварване от това, за което го използвам. Забелязах, че понякога, когато има по-голям трафик в продължение на няколко дена, устройството забавя своята работа и дори 1 път блокира (случи се 1 път за половин година). Такива проблеми се наблюдаваха и със фабричният фърмуер, който е с много по-малко възможности. За да избегна тези проблеми направих настройки рутера да се рестартира всяка нощ точно в 12 часа. От тогава всичко върви без проблеми.

13 thoughts on “Как блокирах Facebook училище
  1. Д/г си се справил добре,но си изпуснал:m.facebook.com както и това,че съвсем спокойно можеш да си влезеш във ФБ през училищната мрежа като използваш смартфон с Android и *****.За сега това са ти пропуските според мен.Поздрави.

    • Проблема със смартфоните ми е напълно ясен, за това те не се допускат до мрежата. Паролите за достъп до безжичната мрежа се въвеждат само на органичен брой лаптопи, които са на учители. Така се тушира тази дупка.

  2. Здравейте колега, доста сте се постарали докато откриете подходящата защита за училищната мрежа и статията е много полезна. Ние също използваме подобна защита. В рутерите има защита и по Mac адреси, така, че спокойно можете да настроите в рутера в мрежата да влизат само лаптопи с позволените от вас mac адреси. Тогава не е нужна парола. От статията разбрах, че имате паролите за рутер Cisco. Ние също притежаваме такъв, който стои неизползваем точно заради тези пароли и ще ви помоля ако е възможно да ми ги изпратите. Благодаря предварително.

    • Здравейте,
      Заключването по MAC адреси е добър опит за ограничаване на достъпа до безжичната мрежа, но много лесно се преодолява (ако мрежата не използва пароли) с един лаптоп и малко софтуер, а има и други начини. Освен това в безжичните мрежи без пароли данните не се криптират и могат лесно да бъдат подслушвани. Препоръчвам ви да добавите пароли за да вдигнете нивото на сигурността си.
      Паролата за рутера на Cisco можете да получите от последния доставчик, който го е обслужвал. При мен това беше Телнет от Велико Търново. Молете се администратора, който е настройвал рутера ви да е още на работа и да не е изтрил паролите. При Cisco рутерите има няколко пароли за различните нива на достъп. Ако не успеете да получите паролите има процедура по разбиване на паролата ако имате физически достъп до рутера, но тя е доста сложна. Също така трябва да знаете, че настройката на тези машинки е доста сложна работа.

      • 95% от учениците няма да се сетят или няма изобщо да пробват да получат достъп до мрежата. А когато се добави и още една защита и се даде IP адрес на всеки компютър и лаптоп и след това се укаже в рутера точно кой MAC адрес използва, тогава ще му бъде още по-трудно и дори да ги получи ще има конфликт при положение, че другия компютър е включен. Имаме цял преносим кабинет от минилаптопи и няма как да слагам пароли на всички след като се ползват от учениците, трябва често да ги сменявам, въпреки, че и тук важи правилото за 95%. Идеята беше те да не могат да ползват мрежата от телефоните си в час, макар, че това все повече няма приложение. Те започват да си имат интернет на телефоните и си влизат директно. А и да не се тормози слабия ни интернет предназначен само за един потребител. Все пак, можете да ми изпратите тези пароли, които имате да ги пробвам, защото ако не се лъжа БТК беше фирмата, която се занимаваше с това, и оттам е почти невъзможно нещо да се изкопчи.

      • Заключването по МАС адрес има някои особености. Не се подвеждайте по варианта – Deny, защото достъп се отказва само на тези МАС адреси, които са в списъка, всички останали получават достъп. Правилният вариант е – Allow – тогава достъп се дава само на МАС адресите в списъка, на всички останали се отказва. Това го има при dd-wrt, предполагам и при томато би трябвало да го има. Намира се в табовете за конфигурация и настройка на wireless мрежата.

  3. Здравейте,
    аз също направих доста рестрикции в рутера и до един момент мислех, че съм блокирала достъпа. После бе „открито“ влизането през proxy, много са сайтовете, които позволяват, примерно ************* и засега съм се предала безславно.

  4. Можете да опитате да блокирате RDP трафика за допълнителна сигурност. Почти съм сигурен, че никой не го ползва по работа. 😀

    • Всъщност RDP протокола се използва доста в училищната мрежа. Първо имам компютърен кабинет с Multipoint Server и още един компютър в учителската стая конфигуриран по същия начин. Второ използвам отдалечени сесии до сървъра си за да мога да пускам на него разни неща от различни места в училище, а понякога и извън него.

  5. Здравейте,
    „Buffalo WHR-HP-G54 е доста добър рутер, но … направих настройки рутера да се рестартира всяка нощ точно в 12 часа.“
    Това рестартиране особеност на рутера ли е или го правите с външен скрипт/устройство? Имам Belkin, който искам да рестартирам автоматично, когато ми „умре“ интернета, но той няма така опция в менюто за настройка и затова мисля за релеен блок, вързан към паралелния порт на компютъра.

    • Това рестариране е особеност на фърмуера Tomato, с който подмених оригиналния. Мисля, че го има и при DD-WRTи OpenWrt.
      Фабричният фърмуер на Belkin вероятно няма такава опция. Можете да проучите има ли вариант да му подмениет фърмуера с някакъв друг, който да ви даде тази възможност.

  6. Моля Ви, не забранявайте резултатите от Шампионска лига. Ще е страшно деморализиращо!

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

* 1+9=?

Protected with IP Blacklist CloudIP Blacklist Cloud