Προστασία από χρεώσεις κ κακόβουλη χρήση Internet

[atux_null]

Με τις αλλαγές στη νομοθεσία πλέον γίνεται χρέωση στο ΑΦΜ για κακόβουλη/παράνομη χρήση.
Ανοίγω ένα topic, λίγο περίεργο, αλλά πιστεύω θα ακουμπήσει αρκετά άτομα.
στα περισσότερα ενοικιαζόμενα δωμάτια είναι κοινή πρακτίκή/απαραίτητο να υπάρχει σύνδεση Internet μέσα στις παροχές.
θα ήθελα να δω πως μπορώ να κόψω παράνομο streaming κ άλλες σελίδες περίεργες. Έχω Openwrt router. ρώτησα στο forum τους, αλλά το πήγαν τελείως αλλού το θέμα κ χάθηκε.
δεν μπορώ να είμαι από πάνω κ να βλέπω σε ποιές σελίδες μπαίνουν, ώστε να κόψω τις IPs. Επίσης, δεν γνωρίζω κ ποιές μπορεί να είναι οι σελίδες αυτές.
Παρακαλώ, ας κρατήσουμε το thread στο τεχνικό κομμάτι της λύσης κ όχι στην άποψη αν θα γίνει ή όχι η χρέωση.

οπότε ψάχνω μια λύση που δεν θα χρειάζεται να είμαι συνέχεια από πάνω στο config.

[Oav051]

Με τις αλλαγές στη νομοθεσία πλέον γίνεται χρέωση στο ΑΦΜ για κακόβουλη/παράνομη χρήση.
Ανοίγω ένα topic, λίγο περίεργο, αλλά πιστεύω θα ακουμπήσει αρκετά άτομα.
στα περισσότερα ενοικιαζόμενα δωμάτια είναι κοινή πρακτίκή/απαραίτητο να υπάρχει σύνδεση Internet μέσα στις παροχές.
θα ήθελα να δω πως μπορώ να κόψω παράνομο streaming κ άλλες σελίδες περίεργες. Έχω Openwrt router. ρώτησα στο forum τους, αλλά το πήγαν τελείως αλλού το θέμα κ χάθηκε.
δεν μπορώ να είμαι από πάνω κ να βλέπω σε ποιές σελίδες μπαίνουν, ώστε να κόψω τις IPs. Επίσης, δεν γνωρίζω κ ποιές μπορεί να είναι οι σελίδες αυτές.
Παρακαλώ, ας κρατήσουμε το thread στο τεχνικό κομμάτι της λύσης κ όχι στην άποψη αν θα γίνει ή όχι η χρέωση.

οπότε ψάχνω μια λύση που δεν θα χρειάζεται να είμαι συνέχεια από πάνω στο config.

αρχικα θα μπορουσες να βαλεις καποιο dns blocker οπως adguard η pihole και να κοψεις εκει το content βεβαια αυτο γινεται bypass απο τους users αλλα ειναι ενα μετρο.

[K1m0n]

θα ήθελα να δω πως μπορώ να κόψω παράνομο streaming κ άλλες σελίδες περίεργες.

100% δεν είναι τπτ ασφαλές.

Για να φιλτράρεις αποτελεσματικά (και πάλι <100%) θα ήθελες:
α) ένα firewall της προκοπής (+λεφτά, + συνδρομές, + συντήρηση, αλλά πες ότι γίνεται...), και
β) να εγκαταστήσεις certs στους clients και να κάνεις mitm για να βλέπεις μέσα σε ότι encrypted
(που αυτό *δεν* γίνεται, και δεν είναι και νόμιμο δλδ).

Μπορείς να δοκιμάσεις να κόψεις ότι μπορείς να κόψεις στο wrt με dns filtering,
αν ο χρήστης ξέρει παρακάμπτεται.

Δες και αυτό σχετικά:
https://www.adslgr.com/forum/threads...4%CF%85%CE%BF?

[tsigarid]

Πολλά router έχουν guest network με πολλούς περιορισμούς. Το δικό μου (που είναι και παλιό) έχει, αλλά δεν το έχω ψάξει για να δω τι επιτρέπει και τι όχι. Έχει το δικό σου κάτι τέτοιο;

[netblues]

πλέον γίνεται χρέωση στο ΑΦΜ για κακόβουλη/παράνομη χρήση.

Μεγαλες κουβεντες μεγαλων ανδρων.
Οπως πολυ σωστα εντοπιζεις το θεμα, ειναι τελειως ανεφαρμοστο στο βαθμο που τα λενε αυτα.
Αυτος που το σκεφτηκε δεν ελαβε ΠΟΤΕ υποψιν του τις μη οικιακες χρησεις.
Για να μπορεσεις να κανεις τετοια πραγματα χρειαζεσαι enterprise grade firewall μαζι με ΥΠΗΡΕΣΙΑ που θα δεχεται αυτοματοποιημενα unblock requests και θα τα ανοιγει, μετα απο review (και παλι με τεραστια γκρινια).
Δεν εχει κανενα νοημα να κοψεις καποια (με dns, με λιστες, δεν εχει σημασια.) γιατι μετα το Internet θα ειναι πετσοκομενο , κατι δεν θα παιζει και πρεπει να εισαι απο πισω ΣΥΝΕΧΩΣ.
Δεν υπαρχει τετοια λυση. Η για να το πω αλλιως, θα μπορουσε καποια εταιρεια να βγαλει μια ΑΑΔΕ safe access list και να την πουλαει, παρεα με ασφαλιστηριο συμβολαιο σε περιπτωση που κατι ξεφυγει.
Βεβαια το κοστος σε ετησια βαση θα ηταν μεγαλυτερο απο 1-2 προστιμα το χρονο.
Οποτε δεν εχει σημασια με τι τεχνολογια θα το κανεις, και αν γινεται η δεν γινεται μεσω dns και αν παρακαμπτεται.
Μπορω να σου πω με βεβαιοτητα οτι πχ με pfsense δεν παρακαμπτεται τιποτε, και χωρις την παπαντζα του pihole που ειναι φτωχος συγγενης μπροστα στο pfblocker.
ΑΛΛΑ επειδη τα site που συζηταμε ΔΕΝ ειναι ουτε adware ουτε malicious, καλη τυχη στην δημιουργια και συντηρηση της λιστας που πρεπει να κοβεται.


Να κοψεις το Internet τελειως (που ειναι η μονη ασφαλης λυση) προφανως δεν παιζει.
Το να βαλεις vpn θα σου δημιουργήσει α) fake sense of security β) Πολλα θεματα μιας και οι exit ip's ειναι γενικα blocked γ) θεματα με το geolocation που συχνα το χρειαζεσαι να παιζει σωστα.

Σε καποιο επιπεδο αμυνας, firewall με πληρη καταγραφή, captive portal με vouchers στους users για να ειναι authenticated, και ενημέρωση ότι αποδέχονται χρεώσεις back to back (που βεβαια τρεχα γυρευε να τα εισπραξεις αμα φυγει. Τα ζητας απο την booking )


Τι κανεις? Απλα βαζεις και το οποιο προστιμο στο κοστος, και προσευχεσαι. Οπως κανεις ασφαλεια πυρος και ελπιζεις να μην στο καψουν. Γενικοτερα οι ασφαλιστικες μπορει και να βγαλουν τετοια καλυψη, ειδικα για επαγγελματικες χρησεις. (αφου πρωτα δουν πως θα παιξει στη πραξη ολη αυτη η παπαντζα)

[fadasma]

Επίσης, δεν γνωρίζω κ ποιές μπορεί να είναι οι σελίδες αυτές.

Αυτές τις σελίδες τις γνωρίζει ο ISP και το νομοσχέδιο ορίζει οτι μπορεί τις παράνομες σελίδες να τις μπλοκάρει.
Επομένως μια λυση είναι να περιορίσεις τους χρήστες ώστε να χρησιμοποιούν μόνο το DNS του ISP και να μη μπορούν να αλλάξουν dns για να μπουν στις μπλοκαρισμένες σελίδες.
Αν βάλουν δικό τους vpn δε σε πειράζει, μόνο DNS να μη μπορούν να αλλάξουν.
Εννοείται οτι κι εσύ πρέπει να χρησιμοποιείς το dns του ISP και όχι άλλο (πχ google ή cloudflare).

[netblues]

Αυτές τις σελίδες τις γνωρίζει ο ISP και το νομοσχέδιο ορίζει οτι μπορεί τις παράνομες σελίδες να τις μπλοκάρει.

Φυσικα και ΟΧΙ. Σε καμμια περιπτωση. Αυτα που μπλοκαρει ο isp ειναι ενα ελαχιστο ποσοστο απο αυτα που πιανει το φεκ. Ουτε για πλακα.

[fadasma]

Φυσικα και ΟΧΙ. Σε καμμια περιπτωση. Αυτα που μπλοκαρει ο isp ειναι ενα ελαχιστο ποσοστο απο αυτα που πιανει το φεκ. Ουτε για πλακα.

επομένως φταίει ο ISP που δε τα μπλοκάρει όλα και όχι εσύ.
αν όμως αλλάξεις dns και παρακάμψεις το μπλοκάρισμα του, τότε φταις εσύ.

[netblues]

Ποιος σου ειπε οτι ο isp εχει αναλαβει να σε αποτρεψει να κανεις κατι που οριζεται ως κακοβουλο απο ενα τρυπιο νομο? Ποιος ειναι? η μαμα σου?

[K1m0n]

Πολλά router έχουν guest network με πολλούς περιορισμούς.

Το guest, τυπικά, είναι ένα ξεχωριστό subnet, που σερβίρεται πάνω απο eth/wifi,
και ίσως έχει πιο χαλαρό security (ίσως είναι και open/owe),
τυπικά θα έχει απομονωμένους τους guests μεταξύ των,
θάχει και qos/limiter για να μην μπορεί κάποιος που κατεβάζει να φάει όλη την wan,
και επίσης τυπικά θα είναι απομονωμένο από τα άλλα subnets του lan που μπορεί να τρέχουν υπηρεσίες
που δεν θέλουμε να είναι διαθέσιμες στους guests.

Καλό είναι να υπάρχει βέβαια
(ο ξενοδόχος δεν το ξέρει αλλά δεν θέλει οι guests να μπορούν να συνδεθούν στην sql του λογιστηρίου που τρέχει σε κάποιο υπόγειο),
αλλά δεν λύνει το ζήτημα.

Μπορεί να έχει captive portal για auth.
μπορεί να έχει disclaimer/waiver/tos,
αλλά η κίνηση απο την ίδια ip θα βγεί αν ο χρήστης του guest κάνει κάτι παράνομο.

Και το L3 router που θα περνάει η κίνηση των guests δεν μπορεί να κόψει/φιλτράρει περιεχόμενο.

Αυτές τις σελίδες τις γνωρίζει ο ISP

Ιδέαν δεν έχει ο isp περί των απείρων domain/ip (που αλλάζουν κάθε τόσο...)
και σερβίρουν παράνομο περιεχόμενο παγκοσμίως.

επομένως φταίει ο ISP που δε τα μπλοκάρει όλα και όχι εσύ

Οχι, ο isp δεν μπορεί να μπλοκάρει τίποτα αν δεν έχει τέτοια παραγγελία,
όταν την έχει τα μπλοκάρει (σε επίπεδο dns, που είναι ανεπαρκές).

Και ο isp δεν εκτελεί χρέη χωροφύλακα προληπτικά,
ούτε έχει τους πόρους να φιλτράρει μερικά TB traffic με content filtering
(δεν είμαστε στην Κίνα, και θα υπήρχαν και σοβαρά νομικά προβλήματα).

Ο νόμος λέει στον χρήστη "μην παρανομήσεις", και ξέρουμε τι είναι παράνομο,
δεν έχει την απαίτηση να το κάνει προληπτικά ο isp για μας και να απαγορεύσει την πρόσβαση για να μην μπαίνουμε σε πειρασμό.

Το ερώτημα/πρόβλημα είναι πως ο ιδιοκτήτης της ip που είναι και υπόλογος
θα επιβάλει το "μην παρανομήσεις" στους guests.
Και σε αυτό δεν υπάρχει καλή απάντηση.

Επομένως μια λυση είναι να περιορίσεις τους χρήστες ώστε να χρησιμοποιούν μόνο το DNS του ISP και να μη μπορούν να αλλάξουν dns για να μπουν στις μπλοκαρισμένες σελίδες.

Λύση δεν είναι, μπορεί να λειτουργήσει επικουρικά.

Αφενός ακόμα και αυτό είναι πρόβλημα.
Μπορείς να κόψεις την κίνηση προς τους plain dns upstream, άντε και το dot, και να προσφέρεις/επιβάλεις τους δικούς σου dns (localy/cache)
το να κόψεις doh απλώς δεν γίνεται με router.

Αφεταίρου, θα υπάρχουν πάρα πολλά domain/ip που θα σερβίρουν παράνομο περιεχόμενο (η πλειοψηφία των)
και δεν θα είναι blacklisted στους dns του isp.

Για να κάνεις αποτελεσματικά content filtering,
θες ένα firewall της προκοπής (= $$$/αγορά/στήσιμο/συντήρηση/συνδρομές + κάποιος να αλλάζει τις πάνες του),
και θες να έχεις τον έλεγχο και στους clients που συνδέονται.

Σε enterprise περιβάλλον γίνεται (και πάλι <100%),
σε cafe/ξενοδοχείο/airbnb όχι.

Σε καποιο επιπεδο αμυνας, firewall με πληρη καταγραφή, captive portal με vouchers στους users για να ειναι authenticated, και ενημέρωση ότι αποδέχονται χρεώσεις back to back (που βεβαια τρεχα γυρευε να τα εισπραξεις αμα φυγει. Τα ζητας απο την booking )

Αυτό^ +1
μπορεί να λειτουργήσει αποτρεπτικά.

Αλλά μην έχει την ψευδαίσθηση ο όποιος (πχ) ξενοδόχος ότι είναι safe.