Sadržaj

: Uvod
: Synology ruter ponuda
: Kako blokirati specifične stranice i torrent promet?

: Zaključak



: Uvod

Koliko god je Internet zadnjih 30+ godina pridonio kvaliteti života, razvitku industrije, poslovanja i međusobnih odnosa, toliko je sigurno (ako ne i više) otkrio svojih negativnih strana.

Krađa te distribucija zaštićenog materijala, virusi, ransoware, malweri i ostali maliciozni software su u apsolutnom vrhuncu. Biti odječen od neta danas je gotovo nemoguće kako sa privatne tako i sa poslovne strane. Svaki aspekt našeg života ovisi u manjem ili većem dijelu o kvalitetnoj povezanosti sa dostupnim i potrebnim servisima.

Ako gledamo korak dalje, zaštita djece i mladih vjerojatno je jedna od zadaća s kojom se prethodna generacija roditelja nije morala susretati. Iako će se uvijek naći put kako doći do nekog zabranjenog sadržaja, obrana kućne ili poslovne mreže, pa time i računala i korisnika je nešto što je danas nužno. Ne toliko u svrhu zabrane i dostupnosti određenog materijala, već i zbog prethodno nabrojanih prijetnji koji uglavnom prate takav sadržaj.

U nastavku će biti objašnjeno i prikazano na koji način Synology sa svojom linijom rutera može pomoći u scenarijima koji su danas vrlo česti. Konkretno, ovaj članak fokusirati će se na dva glavna elementa SRM-a (Synology Router Manager), Safe Access i firewall.



: Synology ruter ponuda

Trenutno Synology ima u ponudi četiri rutera. Dva iz starije Wi-fi 5 generacije, te dva nova (ovogodišnja modela) koji podržavaju Wi-fi 6. Nije toliko važno koji ruter će se koristiti jer svi podržavaju sve mogućnosti objašnjene u nastavku pošto dolaze sa novim SRM 1.3 operativnim sustavom.

Trenutna linija Synology rutera

Ukoliko želite, možete pogledati dva odvojena osvrta za RT6600ax flagship model kao i za nedavno izdani WRX560 ruter na dostupnim linkovima niže.

Synology RT6600ax ruter
NOVI Synology RT6600ax ruter sa SRM 1.3 operativnim sustavom je stigao!
blackvoid.techLuka Manestar
Synology WRX560 ruter osvrt
NOVI WIFI6 Synology WRX560 ruter je ovdje. Savršen dodatak nedavnom flagship modelu, RT6600ax.
blackvoid.techLuka Manestar

U navedenim člancima je i presjek SRM operativnog sustava sa nekim od svojih bitnih mogućnosti. U nastavku ćemo se baviti sa specifičnim scenarijem pa će i naglasak biti na nekim elementima koji nisu objašnjeni u navedenim recenzijama.



: Kako blokirati specifične stranice i torrent promet?

Dakle kako blokirati specifičan sadržaj na Internetu, konkretno prema torrent stranicama, a da pritom nije moguće niti koristiti bilo kakve torrent aplikacije čak i ako se netko domogne torrent datoteke ili magnet linka na neki drugi način?

Ovo je često pitanje pogotovo u korporativnom okruženju, no tamo je to lakše konfigurirati i održavati kada govorimo o enterprise mrežnoj opremi i metodama koja se pritom koriste kako bi se korisnike držalo pod kontrolom.

Za SOHO (small office, home office) segment takva oprema sigurno nije, ako ništa drugo, isplativa pa se postavlja pitanje kako riješiti ovo najjednostavnije sa mrežnim uređajem kojeg imate. Ako gledamo ISP rutere, to se može slobodno zaboraviti iz razloga što neki od njih neće ni imati takve mogućnosti, a oni koji imaju možda brane takvu vrtu konfiguracije od strane korisnika.

Čisto da bude jasno. Blokiranje torrent prometa nije one-button rješenje niti u kojem slučaju niti ga je lako postići osim ako se ne ide sa vrlo rigoroznim i preciznim postavkama koje treba održavati i nadzirati.

Upravo iz ovog razloga korištenje rutera i druge opreme koja ima mehanizme blokiranja i kontrole mrežnog prometa je nužno kako bi osigurali kvalitetu i sigurnost svih korisnika i opreme.



:: Safe Access - pregled i kreiranje profila

Prvi korak svakako će biti kreiranje profila unutar Safe Access aplikacije. SA dolazi instalirana sa SRM operativnim sustavom i jedna je od glavnih ikona na dekstopu.

SRM sa instaliranim Safe Accessom

Pokretanjem Safe Access aplikacije pružiti će nam se mogućnost kreiranja novih korisničkih/uređaj profila ili profila koji utječe na specifičnu konfiguriranu mrežu. Pošto SRM nudi kreiranje više od jedne mreže i VLAN podršku, profile možemo također primijeniti i na točno određenu mrežu.

Neovisno o tome za što se odlučimo, sve postavke i konfiguracije su jednako dostupne u oba slučaja.

Safe Access - prikaz postojećih aktivnih profila

Kao što je vidljivo sa slika, Safe Access će prikazati sve dostupne profile, kao i brzu statistiku bilo kakvih spornih situacija i njihova vremena.

Brzi pregled Safe Access profila te broj spornih i blokiranih pristupa
Popis vremena i blokiranim destinacija kojima se pristupalo

U nastavku će biti prikazano na primjeru računala kako kreirati profil koji će efektivno braniti torrent promet i pristup asociranim stranicama. Kreiranje profila kreće putem Safe Access čarobnjaka u kojem će se definirati konkretan uređaj (ili više njih) kojeg želimo priključiti u navedenu politiku.

Glavni koraci za kreiranje Safe Access profila

Sada je vrijeme za slaganje web filtera koji će biti pridružen profilu, a svaki od njih će imati set pravila koja će se primijeniti na sve strojeve definirane kroz taj isti profil.

Naravno ako je neko računalo ili uređaj krivo dodan ili greškom nije dodan, izmjena profila omogućiti će naknadne korekcije.



:: Safe Access - web filter

Safe Access ima nekolicinu prethodno definiranih web filtera spremnih za korištenje, no ukoliko to želimo, moguće je definirati vlastite kako bi se preciznije odredila pravila pristupa sadržaju kao i definiranje posebnih black i white listi dozvoljenih odnosno ne dozvoljenih Internet destinacija.

Zadani Safe Access profili

Profile je moguće izmijeniti, brisati i klonirati kako bi postali predložak za neki novi profil.

Kreiranje novog profila izvodi se također putem čarobnjaka u nekoliko koraka.

Definiranje web filtera

Osim primarnog imena i akcije (blokada i dozvola pristupa), unutar filtera moguće je odabrati prethodno definirane kategorije kojima želimo dozvoliti odnosno zabraniti pristup (ovisno o izboru u prvom koraku čarobnjaka). Na kraju dodatno možemo definirati i specifične domene kojima izričito želimo zabraniti/dozvoliti pristup.

Nakon što je filter složen, zadnje što je potrebno jest pridružiti ga inicijalno kreiranom profilu. Za to je potrebno otvoriti isti te na web filter kartici konfigurirati koji filter želimo dodati.

Odabir prethodno konfiguriranog web filtera

Za napomenuti je da se unutar profila mogu definirati i ostali parametri uz navedeni filter, no to trenutno nije nužno kao dio ovog konkretnog scenarija.

Nakon definiranog profila i primijenjenog filtera, pristup sa uređaja prema zabranjenoj destinaciji izgledati će kao sa slike.

Blokirani site putem Safe Accessa

Ovo je samo jedan dio priče oko blokiranja pristupa stranicama neželjenog sadržaja kao što su torrenti (i to točno definirane stranice), no to neće spriječiti da se torrent datoteka ili magnet link preuzmu putem neke druge metode (recimo putem chata ili maila) pa onda postave na torrent klijent.

Za blokirati torrente iz perspektive protokola i portova, to je posebna priča i Safe Access tu ne može pomoći. No blokiranje torrenta također nije tako lako. U zadnje vrijeme klijenti su postali moćniji i fleksibilniji kako bi krajnjem korisniku omogućiti pristup koristeći dinamične portove prilikom svakog pokretanja, pa to uvelike stvara problem prilikom njihovog blokiranja.

Jedini način kako to kvalitetno izvesti na Synology ruteru jest putem firewall funkcije.



:: Firewall

Bitnu stvar za znati prilikom konfiguracije SRM firewalla jest ta da pravila definirana unutar njega se poštuju s vrha prema dnu, dakle waterfall princip. To znači da će prvo pravilo koje zadovolji kriterij mrežnog uređaja koji traži pristup, zanemariti sve ostala pravila koja slijede nakon njega.

💡
Slaganje redoslijeda pravila je jednako važno kao i njihova konkretna konfiguracija!

Network Center > Security > Firewall je putanja koja vodi do ugrađenog vatrozida gdje je moguće odrediti pravila.

Primjer pravila koja služe za blokiranje kompletnog internet prometa uz iznimku samo prometa po portovima 80 i 443

Primjer sa prethodne slike prikazuje dva pravila koja u kombinaciji onemogućuju pristup svemu na Internetu (po TCP i UDP protokolima) osim prema portovima 80 i 443. Kao rezultat, bilo kakav torrent promet neće biti moguć.

Primjer blokiranog torrent prometa sa više od jednog torrent trackera

Vidljivo je kako čak i nakon skoro 24h nema nikakvog prometa po konkretnom torrentu.

U nastavku ćemo vidjeti kako složiti ova pravila koja će izvesti ovakvo konkretno blokiranje. Ideja je blokirati kompletan promet prema Internetu po svim portovima i protokolima. Nakon toga odobriti promet prema bilo kojem specifičnom portu koji je konkretno potreban. Najbolje bi bilo propustiti samo portove 80 i 443 (http i https) jer torrent promet ne funkcionira po istima, dok će  pristup prema svim validnim stranicama biti moguć.

Ovo je jedini način efektivno se boriti protiv svih privatnih i javnih torrent poslužitelja koji rade na raznim portovima i protokolima.



:: Slaganje firewall pravila

Ovaj korak pokazuje slaganje pravila koji će zabraniti kompletan Internet promet po TCP/UDP protokolima i svim portovima.

Pravilo se slažu po slijedećim parametrima:

Pravilo za blokiranje kompletnog prometa

**SOURCE**
PROTOCOL: TCP/UDP
NETWORK INTERFACE: LAN (odabire se mreža koja uključuje uređaje koje želimo blokirati)
IP ADDRESS: Specific IP (ili se konfigurira pojedina adresa ili cijeli subnet)
PORTS: All

**DESTINATION**
NETWORK INTERFACE: Internet
IP ADDRESS: All
PORTS: All

ACTION: Deny

Nakon njega, slaže se drugo pravilo kojim će se odobriti pristup prema svim destinacijama na portovima 80 i 443 za TCP protokol (dakle nema UDP-a).

Pravilo za propuštanje prometa po 80/443 portovima

**SOURCE**
PROTOCOL: TCP
NETWORK INTERFACE: LAN 
IP ADDRESS: Specific IP (ili se konfigurira pojedina adresa ili cijeli subnet)
PORTS: All

**DESTINATION**
NETWORK INTERFACE: Internet
IP ADDRESS: All
PORTS: Custom (definiraju se portovi 80 i 443 odvojeni zarezom)

ACTION: Allow
Primjer uspješnog pristupa legitimnoj stranici te blokiranja zabranjenoj (kombinacija Safe Access web filtera i firewalla)

Kao rezultat ova dva pravila sada je moguće pristupati svim destinacijama dok se promet prema torrent stranicama blokira sa strane SafeAccess politike, a torrent promet (P2P) putem firewall-a.

Pošto promet prema torrent peerovima uglavnom ide po visokim dinamičkim portovima kao i UDP protokolu, blokiranjem tog prometa na firewallu efektivno se zatvara prijenos podataka u svim slučajevima.

Čak i ako se neka stranica ne uhvati putem Safe Accessa ili nije manualno dodana, firewall je taj koji će spriječiti sam Internet promet.



:: Pregledavanje domena u realnom vremenu

Ukoliko se sumnja da uređaji na mreži možda pristupaju nekim stranicama kojima ne bi trebali pa se iste želi dodati na zabranjenu listu, to je moguće sa pregledavanjem logova ili prometa u realnom vremenu.

Korištenjem Network Center > Traffic Control > Monitor opcije, moguće je konfiguracijom padajućih izbornika složiti pregledavanje prometa za određeni uređaj.

Izborom uređaja, opcije domain i live traffic, dobiti prikaza kao na slijedećoj slici.

Network Traffic pregledavanje u realnom vremenu

Na listi će biti prikazane domene i destinacije na koje mrežni uređaj pristupa, a korištenjem ikone na krajnjem desnom kraju, istu je moguće odmah dodati na neku od Safe Access web filter pravila kako bi se spriječilo daljnje korištenje iste.



:: Posebne postavke za Chrome i Edge preglednike

Iako navedeni proces radi uredno, postoje neke iznimke kada su u pitanju specifični web preglednici, kao naprimjer Google Chrome ili Microsoft Edge. Oba navedena preglednika u svojim postavkama imaju DNS postavku koja se može ugasiti odnosno upaliti te na taj način kompletno zaobilaziti Safe Access postavke i filtriranje. Govorimo o DoH ili DNS over HTTPS.

Konkretno unutar MS Edgea postavka se nalazi u Settings > Privacy, a zove se Use secure DNS to specify how to lookup the network address for website.

MS Edge postavka koja mora biti ugašena ako želimo da Safe Access filter radi kako spada

Google Chrome s druge strane ima sličnu postavku na sličnoj putanji. Kod tog preglednika postavka je unutar Settings > Privacy and security > Advanced, a zove se Use secure DNS.

Google Chrome postavka koja također mora biti ugašena ako se želi korištenje Safe Access web filtera

Obavezno pripazite da su postavke ugašene jer na novijim verzijama preglednika dolaze automatski upaljene.



: Zaključak

Kao što je rečeno, kontrola torrent prometa nije trivijalna stvar za blokirati, pa je jedini efektivni način to napraviti, spriječiti promet na firewallu. Zabrana kompletnog prometa značiti će da se sav dozvoljen promet nakon toga mora eksplicitno odobriti, no ako je to cijena, neka tako bude.

Synology SRM kombinacija Safe Access i firewall modula dovoljno su jaki da uz malo truda i pažljivo prikupljenih informacija je moguće blokirati i imati torrent promet pod kontrolom, bez izdvajanja veće količine novaca za još skuplje rutere i/ili IDS/IPS/firewall specifične uređaje.