Jump to content

Archived

This topic is now archived and is closed to further replies.

Killator

Sécuriser son réseau local (et wifi) pour les enfants

Recommended Posts

Bonjour tout le monde,

Avec les collègues, on s'est posé une question aujourd'hui: comment sécuriser facilement son réseau local pour éviter à nos chères têtes blondes de tomber sur des trucs bien crado (Porno et autres joyeusetés) sans installer un logiciel de filtrage sur chaque device ? :roll:

Mais attention, 2 contraintes importantes sont à embarquer dans la réflexion:

:arrow: La sécurisation doit aussi intégrer le WiFi de la maison (genre le gamin à son ordi/tablette dans sa chambre)

:arrow: Elle doit être facile à réaliser en imaginant que le "bon père de famille" va savoir câbler des appareils et manipuler une interface admin, mais pas beaucoup plus...

(Le coût ne rentre pas dans la réflexion en partant du principe que "quand on aime, on ne compte pas" ;) )

A première vue, pour répondre à la 1ère contrainte, je pense que dans le cas des box fourni par les opérateurs, ont va être obligé de couper le WiFi interne car aucune ne propose un filtrage à la source...

On s'oriente donc vers un second point d'accès... Avec soit un filtrage intégré ou un filtrage en amont (proxy ou appliance domestique)...

Bref, qu'est-ce que vous feriez ?

:chinois:

Share this post


Link to post
Share on other sites

Oui je pense que le mieux est de dédier un accès Wi-Fi filtré. Genre Ipcop.

C'est vraiment dommage que les box ne donnent pas la possibilité de filtrer certaines URL ou IP dans leurs interfaces.

Donc obligé de passer par une machine dédiée si on veut éviter l'installation de logiciel sur chaque poste :craint:

Share this post


Link to post
Share on other sites

Mon padawan est encore trop jeune (7 ans) pour avoir son appareil mobile. Mais il a déjà son pc fixe (installé dans mon bureau et il s'en sert avec moi). Il apprend vite le bougre et comme j'ai pas les yeux rivés sur son écran, j'ai du essayer diverses solutions. J'ai aimé lui installer POTATI, un navigateur qui prend tout l'écran et donne accès à certains sites en fonction de l'age. Au début c'est bien mais c'est à mon sens trop restrictif, limitatif. Comme j'essaye de faire reflechir mon gamin au lieu de lui donner juste le droit de cliquer sur des icones, j'ai enlevé POTATI (au final ce dernier est pas mal pour les enfants qui sont encore en maternelle) et je lui donné Firefox. Je l'ai parametré pour activer certaines restrictions. En principe il ne peut pas avoir acces aux videos pour adultes par accident. Du moins avec les mots clés qu'il tape dans la recherche accessible dans la page d'accueil de Firefox. Je peux donner la config exacte si souhaitée.

Plus tard je désactiverai le wifi pour mettre un routeur wifi avec filtrage mais j'ai encore du temps je pense.

Share this post


Link to post
Share on other sites

Je peux faire ça sur le mien, d'ailleurs, l'accès à Google n'est pas autorisé :transpi:

Share this post


Link to post
Share on other sites

Salut.

J'ai pris un routeur wifi netgear rien que pour ça (pas pour la qualité, ni la stabilité, parce-que ce n'est pas le cas).

Un petit screen valant mieux qu'un grand discours:

1d1346aa-2a2b-4587-8994-afd61c094e1b.jpg

Wifi de la box désactivé, le filtrage profite aussi au 3 ème routeur qui est derrière.

Bon, par-contre, il n'est pas possible d'entrer une liste directement, c'est tout à la main 1 par 1 :cartonjaune: .

Et ça ne se vois pas sur le screen, mais y'a un paquet d'entrées ^^

Share this post


Link to post
Share on other sites

Si tu retire tout les *.com, il ne reste pas grand-choses à voire sur le net :transpi:

Et pis je peux pas couper les sites de fringues: c'est des filles que j'ai :reflechis::-D

Il y a aussi des moyens de filtrage par serveurs DNS, openDNS entre-autres, mais je sais pas trop ce que ça donne.

ça fait 12 ans que je fonctionne comme ça, et je n'ai jamais rien trouvé de crade dans l'historique des navigateurs :transpi:

Share this post


Link to post
Share on other sites

Pendant un moment j'avais installé un squid et mis en place pour n'autoriser que certains sites en fonction des machines du réseau qui les demandaient.

Si c'était la mienne, tout était autorisé. si c'était celle de ma fille, seulement les 4-5 sites qu'elle appréciait.

Il faut une machine pour accueillir le serveur et configurer les pc des enfants pour qu'ils se servent de cette machine comme proxy. C'est pas très compliqué quand on a compris comment ça marche. Et on peut adapté pour filtrer par liste noire plutôt que par liste blanche comme je l'avait fait.

J'avais écrit un tuto là dessus: http://homeserver-diy.net/wiki/index.php?title=Filtrage_par_liste_blanche_pour_une_adresse_IP_locale_donn%C3%A9e_avec_Squid

Share this post


Link to post
Share on other sites

sinon : creuvage des 2 yeux, en plus avec une bonne mutuelle tu seras bien remboursé et à voir si il n'y aura pas une aide pour enfant handicapé

humour noir.... pardon aux familles.... :transpi:

Share this post


Link to post
Share on other sites

Un SmoothWall (basé sur IPCop mais je le préfère car il bug un peu moins), sur une machine avec au moins 2 cartes réseau. Tu peux tout filtrer avec des listes qui se mettent seules à jour. Suffit ensuite d'un AP tout con pour le WiFi (ou même une carte interne) et tu seras filtré.

Testé avec succès sur un Pentium MMX 200MHz 64Mo 1Go de DD, une fois l'install (mode texte mais super simple) et la config de base faite (interface RED pour le net, GREEN pour le lan qui sera filtré), tu ajoutes advproxy et ulrfilter comme plugin (tuto simple trouvable en 2 coups de google) et après tout se fait par interface web. C'est l'affaire d'une après midi et tu l'oublies.

Share this post


Link to post
Share on other sites

Si tu retire tout les *.com, il ne reste pas grand-choses à voire sur le net :transpi:

Bin déjà tu dis adieu PCi :craint:

Et bonjour le net .fr tout mignon tout plein avec des poneys et des rivières de chocolat made in Lescure ! :youhou:

:D

Share this post


Link to post
Share on other sites

J'aime bcp vos réponses :ouioui:

Pas le temps d'en faire une synthèse tout de suite mais continuez à proposer, c'est très enrichissant :yes:

:chinois:

Share this post


Link to post
Share on other sites

J'ai pris un routeur wifi netgear rien que pour ça (pas pour la qualité, ni la stabilité, parce-que ce n'est pas le cas).

Tu aurais une référence exacte ? Ou une gamme particulière chez le constructeur...

:chinois:

Share this post


Link to post
Share on other sites

Ils ont tous la fonction, à ma connaissance. J'ai un antique DG834GT (toujours en activité pour mon iBook 802.11 b :transpi:) qui le fait, et mon WNDRMAC idem.

Bon, par-contre, faut pas les chatouiller: le wifi est bon, mais une fois paramétré, t'y touches plus: le port USB, c'est pour faire joli, les boutons cassent à la première sollicitation, il te perdent gentiment les paramètres à la première occasion, etc...

Et surtout, une sauvegarde des réglages: c'est utile quand ils se décident à effacer tout tout seuls.

J'ai regardé les modèles/prix (qui ont vachement grimpés), y'a le WNR3500 et le WNDR3700 (l'équivalent du mien, que j'ai pas payé aussi cher :transpi:)

V'là le tableau: le filtrage et le wifi. et le SAV réactif, quoique tatillon. Pour le reste, perso, je recommande pas du tout :baton:

Si seulement il y avait ce filtrage dans les airport, la solution serait toute trouvée :D

J'aime bien la solution de CaseyN ;)

Share this post


Link to post
Share on other sites

J'aime bien la solution de CaseyN ;)

:dd:

Je poste justement depuis un réseau que je suis en train de filtrer. Le MMX rame fort au dézippage du fichier de filtrage mais tout va bien :francais: Y'a juste une histoire qui me taraude, les clients filtrés peuvent accéder (via IP direct et non DNS) aux clients du réseau d'au dessus d'eux (logique c'est vu comme le net). J'aimerai bien que l'accès soit direct vers le net sans avoir le réseau local. Peut être en changeant de plage IP l'arrivée "WAN" de Smoothwall... Mais du coup il sera pas dans la même plage que la passerelle... Gênant non ?

Share this post


Link to post
Share on other sites

Alors, alors, bilan des courses... J'ai pas mal fureté, lu vos commentaire et je pense que j'ai trouvé bcp d'élément de réponses...

Pour moi la solution qui répond le mieux à la problématique, c'est effectivement l'utilisation de OpenDNS avec son service "Home Parental Control" :yes:

Je ne connaissais pas ce service, il est vraiment très malin: dans l'idée, OpenDNS mets à disposition sur internet 2 serveurs DNS qui vont filtrer automatiquement les demandes de résolution d'url vers les sites "adultes"... A la place, on a un joli message:

gallery_70058_150_3131.png

Plusieurs méthodes s'offrent à vous pour utiliser ces serveurs:

> Les configurer dans chaque appareil se connectant à votre réseau... (Ce qui n'est pas forcément très pratique)

> Les configurer directement dans votre box/routeur afin que l'utilisation de ces DNS soit forcée pour tous les appareils (quitte à gérer une exception sur l'ordinateur de papa :transpi:)

Le filtrage semble très efficace... Pas de mise à jour à effectuer... Et pas de licence à payer car le service est gratuit ! :yes:

SAchez qu'il existe aussi une version payante permettant d'obtenir une protection supplémentaire contre les sites frauduleux (phishing), d'avoir un reporting des sites visités à partir de votre connexion et d'obtenir un support technique auprès des équipes OpenDNS. A 20$ l'année, ça me parait très raisonnable :yes:

2 points négatifs:

> On ne peut pas du tout configurer le filtrage, on "fait confiance"... Mais cela contribue à la simplicité de la solution.

> Et on peut contourner facilement cette sécurité... Mais pour cela, il faut avoir compris le fonctionnement du système... Et franchement, à moins d'avoir un geek enfant très précoce, à l'âge où on apprend le fonctionnement d'un DNS, je pense qu'on a le droit d'aller découvrir le meilleur du pire de l'internet :transpi: N'oublions pas que cette protection cible avant tout les très jeunes enfants (jusque 10/12 ans environ).

Sinon, parmis les autres solutions, on a effectivement la mise en place d'un second routeur derrière la box qui aurait une fonction de protection parental. Mais sur le sujet il faut faire attention:

> On a effectivement un système assez complet chez Netgear (live parental control, embarqué sur beaucoup de modèles grand public, qui utilise Open DNS justement), ou encore avec NetGenie de CyberRoam, qui combinent un vrai système de filtrage (comprenez une liste de sites à filtrer, mise à jour automatiquement, avec catégories) + un système de restriction d'accès (pour définir des heures et/ou des durées de surf autorisées)... Attention: NetGenie n'est pas commercialisé en France et il semblerai que le WiFi de l'appareil soit peu performant.

> Mais on a aussi des systèmes vendus avec du "contrôle parental" mais qui ne propose QUE la restriction d'accès comme chez LinkSys ou Belkin (vu dans les docs)...

> Enfin on a aussi des constructeurs honnêtes qui proposent les restrictions d'accès mais sans le bullshit marketing de "controle parental" comme Apple avec ses bornes Airports.

On peut bien entendu envisager de combiner le filtrage avec la solution OpenDNS et la restriction d'accès avec les fonctions de sa box/routeur pour se recomposer un vrai contrôle parental ;)

Enfin, pour les plus geek motivés d'entre nous... On a les solutions du type, je monte un proxy/firewall en recyclant une vieille machine (ou en achetant un mini PC double liaison ethernet) avec une distrib qui va bien... On parlera ici d'IPCop, SmoothWall, Squid, etc... Je vais pas rentrer dans les détails, la mise en oeuvre étant nettement plus délicate, ce qui n'est pas l'objet de mon topic... Remarque: on a aussi certains NAS qui peuvent prendre cette fonctionnalité avec l'ajout d'un petit package supplémentaire (ex QNAP, avec un package Squid)

Voilà, je pense que le tour d'horizon est assez complet... Et tous cas, je sais maintenant quoi recommander aux collègues, merci à tous. :yes:

:pciwin:

PS: surtout, n'hésitez pas à poursuivre vos remarques/suggestions :ouioui:

Share this post


Link to post
Share on other sites

On peut bien entendu envisager de combiner le filtrage avec la solution OpenDNS et la restriction d'accès avec les fonctions de sa box/routeur pour se recomposer un vrai contrôle parental ;)

Combiné avec des barbelés sur le clavier et quelques "betty" aux alentours :D

Je serais curieux de savoir si les inconvénients de la liste non-modifiable d'openDNS ne risque pas de filtrer des ressources utiles? Et si le filtrage est véritablement efficace, surtout avec les pubs et autres pop-up qui sont parfois plus que limite.

J'avais envisagé ça à l'époque, mais ils étaient qualifiés de DNS menteur, ce qui m'avait rebuté.

D'ailleurs, un truc qui soulage les parents, c'est l'anti pop-up efficace d'Opera: rien ne passe. Couplé à l'activation des plug-in sur demande.

Il ne faut pas oublier l'aspect responsabilisation non-plus, parce-qu'un service de filtrage, ça peut aussi déconner :transpi:

Pour ma part, les filles ont toujours été prévenue qu'il pouvait y avoir du contenu douteux en suivant les liens externes sur les sites, donc elles restent bien sur ce qu'elles consultent, que j'ai la totalité des logs et que je peux voir leur écran à n'importe quel moment ^^. Du coup, je n'ai jamais eu à passer à la phase répressive, ni même un petit savon (heureusement qu'il y a le rangement de la chambre pour ça :devil: ).

Tout ça pour dire qu'il faut les avertir, et pas seulement bloquer ;)

(et accessoirement, leur apprendre que le net n'est pas une zone de non-droit, et que l'internaute d'en face se respecte :p)

Share this post


Link to post
Share on other sites

J'avais envisagé ça à l'époque, mais ils étaient qualifiés de DNS menteur, ce qui m'avait rebuté.

Ah bah oui, c'est forcément un DNS menteur car la réponse qu'il fourni n'est pas impartiale... La fameuse neutralité du net n'est pas respectée dans le cas présent :non:

C'est une pratique très grave quand c'est mis en place par un fournisseur d'accès internet, par défaut, pour tous ses abonnés, sans avertissement... :embarassed:

Mais là, tu as choisi la solution, on ne te l'impose pas... Et c'est pour la bonne cause ;)

Après, le filtrage se fait sur les sites "adultes"... Ce qui est très subjectif d'une personne à une autre... On trouvera toujours des sites filtrés à tord mais bon, c'est une solution simple et gratuite, ne l'oublions pas :yes: (Au pire, tu peux corriger les faux-positif aux cas-par-cas, en local)

Enfin, je n'en n'ai pas parlé mais j'ai d'office écarté toutes solutions à base de navigateurs dédiés (comme Potati suggéré par @Oliewan) ou navigateur + plugins, car peu satisfaisantes à mes yeux, par forcément compatible avec toutes les plateformes et TRES facilement contournable avec arret du plugins/ajout d'une exception (2 clics) ou avec un autre navigateur.

Et bien entendu, comme le souligne @chienbleu, peu importe les artifices techniques mis en place, rien ne remplacera le dialogue avec son enfant, l'apprentissage des dangers d'internet et sa responsabilisation dans l'utilisation de l'outil informatique ! (Ce qui n'est pas une mince affaire, je vous l'accorde...) Car même si votre connexion est à l'épreuve des balles, c'est à l'école, chez les copains ou autre part que les dérives auront lieu :roll:

:chinois:

Share this post


Link to post
Share on other sites

Et avant tout ça, il est bon de vérifier qu'un voisin un peu :mad2: n'as pas laissé un wifi libre d'accès :transpi:

Vivement qu'on ait accès uniquement aux sites labellisés PUR :francais: ou validés par famille de france :fume: (j'me suis cogné la tête ce matin, mais ça n'a pas l'air grave :-D )

Share this post


Link to post
Share on other sites

×
×
  • Create New...