–0,1
рейтинг
27 мая 2009 в 16:43

Разное → Контентная фильтрация в школах — тестирование системы

В большинстве школ на компьютерах, имеющих доступ в интернет, должна быть установлена система контентной фильтрации от центра анализа интернет ресурсов. Я раздобыл себе копию, чтобы провести тестирование системы.


Как это работает?


Система устроена довольно просто: при загрузке страницы проверяется, нет ли страницы в списке «плохих» сайтов, если нет — доступ разрешен. Если же сайт в базе есть — пользователь видит Это:


Устанавливаем


Фильтр я установил на виртуальную машину на базе Windows XP SP3. Проблем при установке не возникло, установщик сам подхватил файл лежащий рядом лицензии и предложил использовать его.

Настраиваем


После установки в трее появилась иконка с изображением воронки. Открываю «Консоль управления»:


Еще скриншоты, кликабельно:








Честно говоря, я ожидал гораздо большего, настроек практически нет.
При этом есть функции без настроек — например, фильтр по «терминам» — не совместимые с учебным процессом слова в запросе заменяются на дефисы. Список никак изменить нельзя, как и отключить этот фильтр.
Еще больше я расстроился, когда в режиме блокировки сайтов, которых нет в базе, заблокировались даже гугл и яндекс. Получается, у меня нет выбора, как фильтровать сайты — обычно я мог выбрать между постоянным дополнением белого списка, но гарантированной безопасностью и с дополнением черного списка, но с гарантированной открываемостью хороших сайтов.

К проверке я приступил, не очень ожидая хороший результат.

Проверяем


Система показывает достаточно средние результаты. Порно и секс-знакомства блокируются практически полностью. Из трекеров и музыкальных сайтов блокируются только TPB и zaycev.net. Сатанисты и прокси блокируются через раз.

Здесь я нашел достаточно серьезную уязвимость — https абсолютно никак не фильтруется, при этом блокировки портов нет. Кажется, без дополнительного софта не обойтись.

Взламываем


Вряд ли в школе хоть кто-нибудь, не получивший доступ к одноклассникам и вконтакте, не начал бы пытаться ломать фильтр. Я считаю, что лучшая защита — нападение :). Мне предложили несколько вариантов взлома фильтра — от обычного прокси до взлома пароля администратора.

Прокси

Идея: Пустить траффик через прокси.
Работоспособность: Не работает, фильтр продолжает фильтровать.

Opera Turbo

Идея: Opera turbo для сжатия страниц применяет свой алгоритм. Может, фильтр пропустит?
Работоспособность: Фильтру все равно. Тем более, чтобы поставить Opera, нужны права администратора.

Запрет доступа к сервису

Идея: Закрыть доступ фильтру в интернет.
Работоспособность: Предусмотрена галка в фильтре, которая будет блокировать сайт, если серверы фильтрации недоступны.

Взлом пароля

Идея: Изменить пароль администратора, зайти и отключить фильтр.
Работоспособность: Должно работать.
Защита: Так как необходимо загрузиться с другого носителя, защититься нетрудно. Надо поставить жесткий диск первым загрузочным устройством, отключить загрузку с дискет, флешек и дисков, установить пароль на BIOS.

Поменять настройки в файле

Идея: Найти файл настроек, изменить настройки так, чтобы фильтр отключился.
Работоспособность: Настройки я найти не смог. В папке, где установлен фильтр, есть папка DB, файлы в ней сохранены чем-то хитрым, переименовать при запущенном фильтре нельзя — ругается на отсутствие доступа.

Веб-прокси

Идея: Найти веб-прокси и смотреть интернет через него.
Работоспособность: Работает, но формы продолжают фильтроваться. Выдача гугла уже не фильтруется.
Защита: Надеяться на то, что все прокси будут порезаны фильтром. Если ученик установит прокси к себе на хостинг — уже ничего не сделать, только заблокировать сайт после того, как он будет использован. При регулярном изучении логов позволяет разорить ученика на хостинге и доменах.

VPN я тестировать не стал, но такая система работать тоже не должна.

Защищаем


Итак, я нашел несколько проблем в безопасности. Все, кроме одной (она, кстати, вызвана другой), достаточно просто поправить.

Проблемы с https исправляются установкой файрвола, и запретом программам ломиться на все порты, кроме 80 (HTTP) и 53 (DNS). Можно разрешить доступ только системе, фильтру и браузеру. Обязательно нужно запретить юзеру менять настройки.

Проблемы со сбросом пароля решаются настройками BIOS — грузиться только с ЖД, юзера в настройки не пускать.

Проблема с веб-прокси, к сожалению, простыми средствами не исправляется.

Резюмируем


Достаточно среднего уровня система, которую средствами файрвола можно заставить достаточно неплохо фильтровать сайты. Без файрвола лучше не использовать. Была бы другая политика оценки сайтов (Заносить все сайты в систему) и фильтрация https — было бы еще лучше.

P.S. Хочу перенести в «Образование 2.0», но не хватает кармы. Спасибо!
Сергей Козлов @gunya
карма
26,7
рейтинг –0,1
DevOps Engineer
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разное

Комментарии (13)

  • +4
    Нормальная защита должна делаться не на компьютере, а где-то между главным роутером и интернетом.
    Увы, нашему образованию не суждено это понять.
    • 0
      Есть версия фильтра для таких компьютеров, для Windows и даже для FreeBSD.
      • 0
        Было бы интересно прочитать и об ее работе и проблемах.
  • –2
    улыбнула подборка тегов
  • –1
    реквестирую слайды
    • 0
      Слайды?
      • 0
        картинки не отображались говорю
        • 0
          Извините, исправил
  • 0
    А еще та программулина глюкала при смене ip компьютера. Помогала только ее перестановка. Причем никаких предупреждений, просто отрубала весь инет. Так что учтите, если кому придется столкнутся с ней.
  • 0
    Спасибо за статью. С экономили мое время. Тоже хотел эту систему помучать. Кстати в тему. Мы подключены к интернет через специальный московский сервер Мин. образования. Итог. Гугл не работает ВООБЩЕ (выдача — 0), почта отправляется только через защищенные соединения, зато порно — флеш реклама — живее всех живых.
    Как у Вас с этим? резалось?
    • 0
      Все хорошо, таких проблем не заметил.
  • 0
    Кажется, picamatic упал. Подскажите, куда кинуть картинки?
    • 0
      Вы ж вроде учавствовали в дискуссии ;)
      vvchik.habrahabr.ru/blog/59962/ ;)
      чтобы просто загрузить для выкладывания на ресурсах типа хабра мне понравилься pict.com/
      еще pix.academ.org в ссылках пробегал

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.