To-do: हर चीज और हर चीज को छानना

यह लेख एक पूर्ण मैनुअल की तुलना में अधिक पूछे जाने वाले प्रश्न है। हालाँकि, Habré पर पहले से ही बहुत कुछ लिखा जा चुका है और इसके लिए टैग द्वारा एक खोज है। सब कुछ नए सिरे से लिखने का कोई मतलब नहीं है।

हाल ही में, हमारे राज्य, सौभाग्य से या सौभाग्य से नहीं, इंटरनेट और इसकी सामग्री के बारे में निर्धारित किया है।
कई लोग निस्संदेह कहेंगे कि अधिकारों, स्वतंत्रता आदि का उल्लंघन हो रहा है। बेशक, मुझे लगता है कि कुछ लोगों को संदेह है कि आविष्कार किए गए कानून इंटरनेट के कारोबार में लोगों को कम समझ के द्वारा बनाए गए थे, और उनका मुख्य लक्ष्य हमें यह बताने से नहीं है कि वहां क्या है। एक जिम्मेदार व्यक्ति होने के नाते और कुछ संस्थानों में अभियोजकों द्वारा संचालित होने के कारण, आने वाली सूचनाओं को प्रतिबंधित करने पर सवाल उठता है। ऐसे संस्थानों, उदाहरण के लिए, स्कूल, किंडरगार्टन, विश्वविद्यालय आदि शामिल हैं। उसे एक संस्था। और व्यापार को भी सूचना सुरक्षा का ध्यान रखना होगा।
और स्थानीय सामग्री फिल्टर के रास्ते पर हमारा पहला बिंदु है

इंटरनेट क्या है और यह कैसे काम करता है, इसका विश्लेषण।

यह कोई रहस्य नहीं है कि इंटरनेट का 99 प्रतिशत http है। यह ज्ञात है कि प्रत्येक साइट का एक नाम, पृष्ठ सामग्री, यूआरएल, आईपी पता है। यह भी ज्ञात है कि कई साइटें एक ही आईपी पर बैठ सकती हैं, और इसके विपरीत। तो, यूआरएल पते गतिशील और स्थिर दोनों हो सकते हैं।
और पेज पर जो लिखा है वो लिखा है। यहां से हम यह निष्कर्ष निकालते हैं कि साइटों पर नजर रखी जा सकती है:

1. साइट का नाम
2. पेज url
3. साइट के पृष्ठ पर लिखी गई सामग्री के अनुसार
4. आईपी ​​पते द्वारा।

इसके अलावा, इंटरनेट पर सभी सामग्री को तीन समूहों में विभाजित किया जा सकता है:

1. यह बुरा है
2. यह अज्ञात है
3. यह अच्छा है।

और इसमें से दो वैचारिक मार्ग निम्नलिखित हैं:

1. केवल वही करें जो अच्छा है और बुरे और अज्ञात पर प्रतिबंध लगाएं। इस पथ को कहा जाता है - बड़ी (और कभी-कभी छोटी) सफेद सूची
2. हम केवल वही अनुमति देते हैं जो अच्छा और अज्ञात है। हम केवल बुरे का निषेध करते हैं। यह मार्ग ब्लैक लिस्ट का गौरवपूर्ण नाम है।

और हां, इन दो रास्तों के बीच में एक बीच का मैदान है - हम बुरे को रोकते हैं, अच्छे को अनुमति देते हैं, और अज्ञात का विश्लेषण करते हैं और एक ऑनलाइन निर्णय लेते हैं - अच्छा या बुरा।

उनके कार्यान्वयन के साधन।

फिर से दो तरीके हैं:

• हम एक तैयार समाधान लेते हैं।

इस तरह के समाधान भी 3 प्रकार में आते हैं - भुगतान किया, मुफ्त, सीमित (जब तक आप पैसे नहीं देते)।

सशुल्क समाधान हार्डवेयर हैं (आप नहीं जानते कि बॉक्स क्या है, लेकिन उनका काम कर रहा है), हार्डवेयर-सॉफ़्टवेयर (यह एक ही बॉक्स है, लेकिन पूर्ण ओएस और संबंधित अनुप्रयोगों के साथ) और सॉफ़्टवेयर।
नि: शुल्क समाधान केवल सॉफ्टवेयर हैं। लेकिन अपवाद हैं, लेकिन यह केवल नियम की पुष्टि करने वाला मामला है।
पेड में कैसपर्सकी एंटीवायरस से संबंधित कार्यक्षमता, ideco.ru, netpolice, kerio, आदि शामिल हैं। उन्हें ढूंढना आसान है, क्योंकि वे अच्छी तरह से विज्ञापित हैं और यह खोज पट्टी में कुछ इस तरह दर्ज करने के लिए पर्याप्त है - जैसे कि एक सामग्री फ़िल्टर खरीदें।
नि: शुल्क समाधान में एक खामी है - वे नहीं जानते कि सब कुछ तुरंत कैसे करना है। उन्हें और अधिक कठिन लगता है। लेकिन यहाँ उनकी एक सूची है: PfSense, SmoothWall (दो प्रकार के भुगतान और निःशुल्क हैं। यह थोड़ा मुक्त है), अनटैंगलगेटवे, एंडियन फ़ायरवॉल (भी भुगतान किया गया और मुफ्त), आईपीसीओपी, व्याट, ईबॉक्स प्लेटफॉर्म, कॉमिक्सवॉल (अद्भुत समाधान) आप यहां से डाउनलोड कर सकते हैं। मेरी साइट 93.190.205.100/main/moya-biblioteka/comixwall ) है। इन सभी समाधानों में एक खामी है - सीमित।

• हम सब कुछ अपने हाथों से करते हैं।

यह रास्ता सबसे कठिन है, लेकिन सबसे अधिक लचीला भी है। आपको वह सब कुछ बनाने की अनुमति देता है जो आत्मा की इच्छा है (एक खामियों सहित)।
एक महान कई घटक हैं। लेकिन सबसे शक्तिशाली और आवश्यक है

1. व्यंग्य। एक छंद के बिना, कहाँ नहीं।
2. Dansguardian। यह संपूर्ण सामग्री फ़िल्टर का दिल है। उनका एकमात्र मुक्त प्रतिद्वंद्वी (उनके कांटे नहीं गिनना) POESIA फ़िल्टर है (लेकिन वह बहुत घना है)।
3. डीएनएस सर्वर बिंद।
4. ClamAV। एंटी वायरस।
5. स्क्वीडगार्ड, एक निर्देशक और समरूपता के लिए समान पुनर्निर्देशक।
6. Squidclamav।
7. Sslstrip। यह उपयोगिता एन्क्रिप्टेड https ट्रैफ़िक से एन्क्रिप्टेड http ट्रैफ़िक बनाती है।
   www.thoughtcrime.org/software/sslstrip इसके लिए एनालॉग्स प्रॉक्सी सर्वर फ्लिपर और चार्ली प्रॉक्सी हैं। लेकिन एनालॉग विंडोज पर काम करते हैं। और दूसरा भुगतान किया जाता है। लेकिन जिसे भी इसकी आवश्यकता है, आप शराब को तैनात कर सकते हैं।
8. काली सूची। इन सूचियों को www.shallalist.de (1.7 मिलियन साइट्स), www.urlblackdirectory (अर्थात् 10 मिलियन से अधिक साइटों वाला बड़ा संस्करण), www.digincore.com (लगभग 4 मिलियन), निर्देशिका सूचियों से लिया जा सकता है।
9. सफेद सूची। यह सब बहुत तंग है। केवल सामान्य (अर्थ बड़ी) रूसी भाषा की सूची सुरक्षित इंटरनेट लीग से प्राप्त की जा सकती है, और उसके बाद केवल सुरक्षित इंटरनेट या प्रोग्राम www.ligainternet.ru/encyclopedia-of-security/parents-and-teachers/parents-and-teachers के लिए एक प्रॉक्सी लीग के रूप में -detail.php? आईडी = 532 वैसे, लीग प्रॉक्सी पर प्राधिकरण को पचाने के कारण, इस प्रॉक्सी को स्क्विड पर नहीं झुकाया जा सकता है। अगर किसी को पता है कि माता-पिता के प्रॉक्सी के रूप में डाइजेस्ट ऑथेंटिकेशन के साथ प्रॉक्सी सर्वर कैसे लेना है, तो कृपया मुझे बताएं।
10. डीएनएस सूची। दो प्रसिद्ध विकल्प हैं। पहला स्काईडांस फिल्टर है www.skydns.ru ।
    दूसरा है yandex dns dns.yandex.ru ।
    यैंडेक्स के विपरीत स्काईडॉन्स अधिक कार्यात्मक है।

फिल्टरिंग कहां से होती है।

निम्नलिखित विकल्प संभव हैं:

1. एक केंद्रीकृत प्रबंधन के बिना उपयोगकर्ता कंप्यूटर पर, एक प्रणाली घटक या अनुप्रयोग के रूप में।
2. पहले के समान, लेकिन केंद्रीकृत प्रबंधन के साथ (उदाहरण के लिए KASPERSKY ADMINISTRATION KIT)।
3. ब्राउज़र के घटक। क्रोम और लोमड़ी के लिए उपयुक्त प्लगइन्स हैं
4. एक अलग कंप्यूटर या कंप्यूटर के क्लस्टर (गेटवे पर विकल्प-सहित)।
5. Raspredelonka।

नेटवर्क को बड़े पैमाने पर उपयोग करते समय फ़िल्टरिंग गति के संदर्भ में 1 और 2, 3 विकल्प सबसे तेज़ हैं।
श्रम के संदर्भ में, 1 और 3 सबसे अधिक श्रम गहन हैं।
विश्वसनीयता के संदर्भ में, उपयोगकर्ता द्वारा फ़िल्टरिंग को दरकिनार नहीं करना, फिर 4-प्रथम स्थान।
5 विकल्प एक सपना है। लेकिन वह कहीं नहीं मिला।

अब अगला सवाल:

एक निस्पंदन की विश्वसनीयता।

मुझे लगता है कि यह स्पष्ट है। संरक्षण को बहुस्तरीय करने की आवश्यकता है, क्योंकि संरक्षण के एक स्तर पर जो लीक हुआ है वह दूसरे स्तर से अवरुद्ध हो जाएगा।

की बात करते हैं

सुरक्षा स्तरों के नुकसान पर।

• सूचियों

इंटरनेट एक लगातार और सबसे महत्वपूर्ण, बहुत तेजी से बदलते परिवेश है। यह स्पष्ट है कि हमारी सूचियाँ इंटरनेट के साथ नहीं चलेंगी, और इससे भी अधिक अगर हम उन्हें हाथ से रखेंगे। इसलिए, सूची संकलन समुदायों में भाग लें और न केवल सूची फ़ाइलों का उपयोग करें, बल्कि सूची सेवाओं का भी उपयोग करें, जहां वे हमारे लिए सब कुछ करेंगे (उदाहरण के लिए, स्काइडन्स और यैंडेक्स)।
और सूची यह गारंटी नहीं देती है कि कुछ पृष्ठ पर कुछ लिखा गया है, लेकिन साइट स्वयं पूरी तरह से सफेद और शराबी है।
कई सूचियों का उपयोग करें। क्या एक में नहीं गिर सकता है दूसरे में गिर सकता है। !!!
सूचियों पर काम करने वाले कार्यक्रमों में नेटपोलिस (http://netpolice.ru), एक सेंसर (http://icensor.ru/), स्कूलों के लिए एक यातायात निरीक्षक (http://www.smart-soft.ru/ru), और शामिल हैं आदि आमतौर पर, ऐसे प्रोग्राम जो लेक्सिकल विश्लेषण कर सकते हैं, सूचियों पर भी काम कर सकते हैं।
2008 से सेंसर का पुराना आधार है। लेकिन हर चीज में मुफ्त। नेटपोलिस के कई संस्करण हैं और एक मुफ्त है, लेकिन नीचे छीन लिया गया है।
और मत भूलो, न तो काली और न ही सफेद सूची 100% की रक्षा कर सकती है। केवल शाब्दिक विश्लेषण ही इसके लिए सक्षम है।

• वायरस विश्लेषण।

यहां मुख्य समस्या एंटी-वायरस डेटाबेस है। फिर, गेटवे पर एक एंटीवायरस, दूसरा कार्यस्थल पर।

• पृष्ठ पर लिखी गई सामग्री का विश्लेषण।

यहाँ मुख्य समस्या पाठ का शाब्दिक विश्लेषण है। बेशक, किसी के पास कृत्रिम बुद्धि के लिए पैसा नहीं है, इसलिए वे एक वजन गुणांक के साथ शब्दों और अभिव्यक्तियों के डेटाबेस का उपयोग करते हैं। आधार जितना छोटा होगा, फ़िल्टरिंग उतना ही कम प्रभावी होगा, लेकिन आधार जितना बड़ा होगा, उतना ही प्रभावी होगा, बल्कि श्रम-गहन भी होगा। उदाहरण के लिए, जूल्स वर्ने के काम का विश्लेषण lib.ru के साथ रहस्यमय द्वीप मेरे आधार और डांसगार्डियन (Core2duo 2.66) के साथ 8 सेकंड लेता है। हां, और आधार को कहीं ले जाना चाहिए। मुझे स्वयं सामान्य आधार करना था, जो कि मैं आपके साथ और 93.190.205.100/main/dlya-dansguardian/spiski/view के साथ साझा करता हूं ।

अगला सवाल है

उपयोगकर्ता सामग्री फ़िल्टरिंग को बायपास करने की क्षमता।

इस मुद्दे को दो कट्टरपंथी तरीकों से हल किया जा सकता है।

1. प्रॉक्सी सर्वर से गुजरने के अलावा, नेटवर्क तक सीधे पहुंच से इनकार करें (प्रॉक्सी विधि डोमेन या / और आईपी या मैक पते पर प्रॉक्सी की सूची तक सीमित होनी चाहिए।) हम या तो iptables के साथ ऐसा करते हैं, या बस sysctl.conf में net.ipv4.ip_forward लिखें। = 0। खैर iptables एक अलग लेख का सवाल है।
2. कार्यस्थलों पर कुछ डालने के लिए उपयोगकर्ताओं को प्रतिबंधित करना। स्पष्ट व्यवसाय: कोई प्रोग्राम नहीं है, कोई वर्कअराउंड नहीं है।

प्रश्न प्रदर्शन।

यहां, कमोबेश सब कुछ स्पष्ट है, अधिक मेमोरी, अधिक हर्ट्ज, अधिक कैश। और यह उन छोटी क्षमताओं वाले लोगों के लिए बहुत उपयोगी है जो सीएफएलएजीएस अनुकूलन का उपयोग करते हैं। सभी लिनक्स और फ्रीक्स इसे अनुमति देते हैं, लेकिन जेंटू, गणना लिनक्स, स्लैकवेयर, फ्रीबस्ड विशेष रूप से सुविधाजनक हैं।
यदि आपके पास मल्टी-कोर प्रोसेसर हैं, तो OPEMNP का उपयोग करें (आप मुझसे इसके लिए उपयुक्त dansguardian 93.190.205.100/main/dlya-dansguardian प्राप्त कर सकते हैं। वैसे, इसने इंटरनेट पर डेटा अपलोड करने में असमर्थता के साथ एक बग भी तय किया है।) CFLAGS = "- fopenmp"। LDFLAGS = "- lgomp"। शामिल करना याद रखें -O3 -mfpmath = sse + 387 यहाँ ऑटोप्चिंग के बारे में।

सवाल-पदानुक्रम के caches और परदे के पीछे।

यदि आपके पास कई कंप्यूटर हैं और आप एक फिल्टर के रूप में कई का उपयोग कर सकते हैं, तो ऐसा करें। एक पर, स्क्वीड प्रॉक्सी सर्वर लगाएं और उस पर राउंड-रॉबिन पैरामीटर (http://habrahabr.ru/post/28063/) के साथ पैरेंट कैश के मापदंडों को निर्दिष्ट करें। एक गुच्छा में स्क्वाड वाला एक डाँसडियन प्रत्येक विशेष कंप्यूटर पर एक अभिभावक के रूप में कार्य करता है (क्योंकि उच्च डाँसडियन के बिना यह संभव नहीं है) माता-पिता उन्हीं कंप्यूटरों पर स्थित हैं जिन पर डांसगार्डियन स्थित हैं। उच्चतर लोगों के लिए, एक बड़े कैश का कोई मतलब नहीं है, लेकिन पहले एक के लिए, यह आवश्यक रूप से सबसे बड़ा कैश है। यहां तक ​​कि अगर आपके पास एक मशीन है, तो उस पर सभी समान squid1-> dansguardian-> squid2-> एक ही कैश वितरण के साथ एक प्रदाता बनाते हैं। पेज पर लिखे गए, सामग्री, हेडर और कुछ यूआरएल, अवरुद्ध माइम प्रकारों पर लिखे गए विश्लेषण के अलावा, डांसगार्डियन को कुछ भी असाइन न करें। किसी भी मामले में एंटी-वायरस और उस पर काली चादरें न लटकाएं, अन्यथा ब्रेक होंगे।

सूची विश्लेषण स्क्विड 1 और स्क्वीड 2 करते हैं।
स्क्वीड 2 पर सी-आइकैप के माध्यम से स्क्विडक्लाव द्वारा वायरस की जांच करें। हमने स्क्वीड 1 पर श्वेतसूची लगाई।
सफेद सूची में सब कुछ सीधे इंटरनेट पर जाना चाहिए, माता-पिता की निकटता को दरकिनार करते हुए। !!!

हम निश्चित रूप से अपने स्वयं के DNS सर्वर का उपयोग करेंगे, जिसमें हम यांडेक्स से स्काईडन्स या डीएनएस के पुनर्निर्देशन का उपयोग करते हैं। यदि स्थानीय प्रदाता संसाधन हैं, तो प्रदाता के डीएनएस में आगे का क्षेत्र जोड़ें। डीएनएस सर्वर में, हम आवश्यक इंट्रानेट संसाधनों के लिए स्थानीय क्षेत्र भी निर्दिष्ट करते हैं (और सुंदर होने के लिए, उनकी आवश्यकता है)। Google खोज को nosslsearch निर्दिष्ट करें। व्यंग्य विन्यास में हम निश्चित रूप से हमारे dns का उपयोग करते हैं।
सब कुछ के लिए हम वेबमिन वेब कैमरा और कमांड लाइन का उपयोग करते हैं। विंडोज़ सर्वर पर, हम माउस के माध्यम से सब कुछ करते हैं।

LAN सेटअप

1. IP पते द्वारा प्रमाणीकरण का उपयोग करें। यदि आप "गंभीर" संगठन नहीं हैं, तो कुछ भी करने के लिए अनिवार्य लॉगिंग के साथ उपयोग करें।
2. एक निरंतर भौतिक नेटवर्क में तार्किक रूप से अलग किए गए नेटवर्क का उपयोग करें। मैक पते के लिए आईपी पते जारी करें। यदि मशीन का मैक पता निर्दिष्ट मैक पते, आईपी पते से मेल नहीं खाता है तो प्रॉक्सी सर्वर पोर्ट से कनेक्शन को रोकें।
3. IPtables कॉन्फ़िगर करें ताकि किसी भी पोर्ट पर कॉल करें (3128, 80, 80, 3130, 443) प्रॉक्सी सर्वर पोर्ट से गुजरें।
4. Dns और dhcp के माध्यम से नेटवर्क पर स्वचालित प्रॉक्सी कॉन्फ़िगरेशन कॉन्फ़िगर करें। www.lissyara.su/articles/freebsd/trivia/proxy_auto_configuration
5. IP पते द्वारा समूह और फ़िल्टरिंग स्तर करें।
6. आप अपनी ब्राउज़र सेटिंग में प्रॉक्सी को कॉन्फ़िगर कर सकते हैं।

हम जाँच कर रहे हैं।

इस मामले में, अधिकतम करने के लिए सभी स्लाइडर्स।
इसके अतिरिक्त, हम सभी वीडियो साइटों, संपर्क, सामाजिक नेटवर्क, संगीत पोर्टल, फ़ाइल साझाकरण और फ़ाइल साझाकरण नेटवर्क को प्रतिबंधित करते हैं।
निषिद्ध एमपी।
अपने SKYDNS खाते में सुरक्षित खोज के सामने एक चेकमार्क लगाएं।
प्रलेखन की व्यवस्था करना सुनिश्चित करें !!!

Https फ़िल्टरिंग

ऐसा करने के लिए, स्क्वीड 2 और प्रदाता के बीच, वेज sslstrip। यह उपयोगिता एन्क्रिप्टेड https ट्रैफ़िक से एन्क्रिप्टेड http ट्रैफ़िक बनाती है। www.thoughtcrime.org/software/sslstrip स्क्वीड 1 नियमों में पोर्ट 443 पर पत्राचार और निषेध / अनुमति के लिए डोमेन निर्धारित करना भी संभव है।

कुछ और टिप्स।

• सभी साइटों को सही ढंग से फ़िल्टर नहीं किया गया है। इसलिए, dansguardian द्वारा अवरुद्ध बायपास सुविधा का उपयोग करें। आप मुझसे समाप्त पृष्ठ 93.190.205.100/main/dlya-dansguardian/stranichka-blokirovka-i-razblokirovka-dlya-dansguardian/view से ले सकते हैं।
• हमेशा साइट विज़िट के लॉग रखें और वर्ष के लिए आंकड़े रखें। हमेशा स्मार्ट लोग होंगे जो इंटरनेट पर कुछ अवैध करना चाहते हैं। आईपी ​​द्वारा एक पहचानकर्ता पर्याप्त है, इसकी पर्याप्तता के कारण और व्यक्तिगत डेटा के संरक्षण पर कानून लागू करने के नाम पर। आंकड़ें खुले।
• ऐसी साइटें हैं जो डैन्सगार्डियन के अधीन नहीं हैं। ये वे हैं जो जौन का उपयोग करते हैं। यह, उदाहरण के लिए, yandex.ru, video.yandex.ru। स्क्वीड 1 के माध्यम से उनके लिए पासवर्ड प्रमाणीकरण करें।
• सभी प्रदाता कानून का पालन नहीं करते हैं और चरमपंथी सामग्रियों की संघीय सूची में क्या लिखा है और zapret-info.gov.ru पर अवरुद्ध नहीं किया गया है । इसलिए, पहले के लिए, शब्दों और अभिव्यक्तियों के डेटाबेस में पढ़ें और भरें, और दूसरे के लिए, antizapret.info अपलोड का उपयोग करें।
  अधिकांश अभियोजकों को पता नहीं है कि किसे दोष देना है। दृश्यमान का अर्थ है दृश्यमान। और कम से कम कुछ तो करो।
• न भूलें और स्नॉर्ट्स को स्नॉर्टम के साथ रखें। यदि आप गेटवे पर एक सफेद आईपी एड्रेस रखते हैं, तो सुरक्षा सबसे कम है।
• कई खोज इंजन परिणामों को फ़िल्टर करने की क्षमता रखते हैं। यह अनुरोध में या कुकीज़ के माध्यम से एक विशेष पैरामीटर जोड़कर होता है। हाल ही में, अधिक से अधिक लोगों ने कुकीज़ पर स्विच करना शुरू कर दिया है, इसलिए, एक उपयुक्त डांसगार्डियन सेटिंग की आवश्यकता है। हां, और आप इसे मुझसे कॉन्फ़िगर कर सकते हैं । वहां वे पंजीकृत हैं। इसके अलावा, 4 एन्कोडिंग (1251, utf8, koi8r, utf16) में सूचियां करना सुनिश्चित करें और सही फ़िल्टरिंग विधि (कॉन्फिग में अधिक) का चयन करें। Youtube के लिए हम edufilter का उपयोग करते हैं ।
• एक अच्छा स्क्वीड कॉन्फ़िगरेशन मैनुअल यहां पाया जा सकता है ।