Le retour du contrôle parental

dites moi si je ne me trompe pas.

A l'heure actuelle squid est incapable de faire quoi que ce soit du fait de ne pas gérer https
la seule fois où je vois squid fonctionner c'est si on ne se met pas en mode transparent ce qui sous entend de bricoler la machine pour paramétrer le proxy dans le navigateur qu'elle utilise. Le truc donc totalement irréalisable.
La seule façon d'avoir un vrai filtrage c'est de jouer sur les dns, mais cela suppose qu'on s'abonne à une service de type opendns.

Je suis à votre écoute pour me remettre au goût du jour. Dans la foulée, connaissez vous à part alcasar un portail captif qui fait le contrôle parental et la gestion du temps pour les gens qui sont dedans

Réponses

  • Difficile de filtrer https : soit par les DNS, soit en laissant squid gérer les certificats, façon attaque man-in-the-middle, ce qui est de plus en plus bloqué par les sites.

  • Même réponse qu'Arnaud.
    La façon la plus simple c'est proxy non transparent (paramétrage machine).
    Pour un proxy transparent c'est certificat intermédiaire avec ce que cela implique (avertissement des utilisateurs, site "incompatible", ...).
    Le filtrage par DNS, à la maison c'est jouable, sur un réseau plus important ça peut devenir vitre contraignant à gérer.
    Pour le portail captif, de nombreuses distributions - pare-feu l’intègrent (ipfire, pfsense, shorewall). Mais alcasar, malgré sa base Mageia, reste le plus simple à mettre en place, le plus complet en terme de fonctionnalités "Out Of Box" (filtrage, gestion du temps, authentification via de multiple solution, respect de la législation, ....).

  • janvier 2018 modifié
    Question conne : comment faire un filtrage parental qui n'aboutisse pas à la suppression de YouTube, dailymotion et autre streaming vidéo ?
  • Activer le filtrage DNS suivant les hôtes ou configurer le fichier /etc/hosts du client pour que youtube.com dirige vers 127.0.0.1.

  • janvier 2018 modifié

    proxy http
    oui c'est casse couilles
    mais c'est ce que tu cherches.
    ça incitera tes gosses à le contourner et donc à monter en compétences en informatique.
    par contre aucune idée de ce que ça donne avec un smartphone

  • janvier 2018 modifié

    @Iceman : Avec la liste de l'université de Toulouse tu actives les filtres que tu souhaites, si ces activations bloquent un site que tu veux utiliser, alors tu l'ajoutes en exception.
    Tu peux faire un peu la même chose avec OpenDNS si tu es inscrit et que tu te sers de leur service pour faire du filtrage.
    @src386 : sur les smartphones tu paramètres le proxy au moment de la connexion au point d'accès via les options avancées. Si tu oublies, tu te déconnectes, tu demandes au smartphone de retirer le point d'accès de sa liste et tu relances une détection afin de réinitialiser les paramètres de connexion.

  • @src386 le problème avec le smartphone c'est que tu dois chopper le téléphone du gamin pour mettre le proxy en dur dans sa connexion wifi. A l'époque de la 4g, il est certain que le gamin n'a pas besoin de se faire violence. Il est toujours honteux pour moi de constater que les FAI n'ont pas mis de solutions en place directement au niveau des box ou des gestionnaires de compte en ligne quand tu as des enfants.

  • Pour mes enfants, j'utilise CTparental : https://github.com/marsat/CTparental
    Cela filtre sur le nom de domaine mais aussi sur des recherches avec certains mots-clés. Il y a aussi une limite de temps.

  • J'ai lu dans un de tes récents billets que tu ne pouvais faire que du proxy transparent car tu ne pouvais pas configurer directement le proxy dans les navigateurs.
    Je n'ai pas connaissance de toutes tes contraintes, mais tu peux normalement passer en mode explicite en t'appuyant sur ton serveur DHCP et en mettant en place du wpad.

    Lors de la récupération de son adresse IP le terminal va aussi récupéré une url ou il pourra avoir accès a un fichier d'autoconfiguration proxy (dat or pac file que tu peux héberger sur n'importe quel serveur http du réseau interne). Il suffit ensuite que les navigateurs soient parametrés en "detection automatique" pour qu'ils récupèrent le proxy. L'avantage étant que les utilisateurs n'ont rien a modifier quand ils quittent ton réseau.

    Et en parallèle il faut interdire tout acces direct a internet (c'est a dire qui ne passerait pas par le proxy) via un firewall.

    Si tu veux t'appuyer sur les DNS rien ne t'empeche a nouveau via un firewall de bloquer toutes requetes DNS vers autre chose que les serveurs DNS que tu as configuré.

    A ta disposition si tu souhaites échanger un peu sur le sujet (je ne suis pas libriste mais ingé réseau)

  • Ca y est ! Je crois que j'ai enfin trouvé une solution de contrôle parental pour Firefox avec Public Fox et LeechBlock NG. La 1ère extension bloque l'accès aux pages d'options, des modules complémentaires et de la console about:config. La 2e s'occupe de définir des plages horaires d'utilisation d'Internet.

  • moi j'utilise pfsense avec snort et des limites horaires gérées dans pfsense, c'est la solution la plus complète et la plus satisfaisante, il y a l'équivalent opnsense en open source mais je n'ai jamais pu m'y faire, j'utilise pfsense depuis trop longtemps

  • @pctetra

    Que vient faire snort dans cette galère ? ;+) Un IDS ou un IPS pour du contrôle parental ? Me rogo.

    Chez moi, j'utilise Unbound / Squid avec une blacklist pour chacun des deux ! Dans nos écoles rurales, il n'y a ni les compétences, ni les moyens d'ajouter une machine tierce pour gérer le filtrage.

  • il faudrait que je regarde où on en est avec les évolutions de squid. A l'époque une ipfire c'était posé en 30 minutes, il suffisait ensuite d'activer squid. Le problème principal étant le https qui n'était plus filtré. La solution la plus simple pour moi à mettre en place, c'est un routeur à 15 e et mettre opendns dedans.

  • je bloque les téléchargement torrent avec snort, je ne le mentionnais que pour ça ... Faire du contrôle parental, avec des ado, moi aussi je rigole !! surtout à l'heure actuelle, s'ils sont un peu malins et ils le sont pour ça généralement. Mais bon depuis 20 ans j'en ai essayé des trucs, je ne donnerai pas mon age canonique. Opendns, c'est effectivement le plus simple, je l'ai utilisé pendant un moment, il y a quelques années, mais éthiquement ça pose question

  • d'ailleurs je ne l'utilise pas mais je signale si ça peut intéresser, pfBlockerNG dans pfsense intègre les blacklist Toulouse et si je ne me trompe, pas de problème pour https mais à voir : https://www.pc2s.fr/pfsense-pfblockerng-devel-protection-contre-la-publicite-et-le-tracage-avec-filtrage-web/

  • @pctetra oui on passe effectivement par des DNS externes pour filtrer l'intégralité de ce qui est fait pour les élèves.

Connectez-vous ou Inscrivez-vous pour répondre.