Leta efter en inställning som heter "IP isolated" "block taffic between devices" "device isolation" eller liknande. Det är ett bra första steg. Då tror varje pryl att den är ensam på nätverket och kan inte kommunicera med de andra via routern/APn.
Det andra jag föreslog med att logga saker fungerar även med en kort logg. Förutsatt att man bara har en enda maskin ansluten till APn (plus en ickepratig dator som varit påslagen en stund för att kolla loggen) och så kollar man loggen samtidigt som man startar upp och stänger ner de eventuella fjärranslutnings-/spionageprogrammen/-apparna. Det borde gott och väl räcka med det utrymme du har. Om man inte kan starta om fjärrprogrammen så får man starta upp och stänga ner plattan/datorn/mobilen och filtrera igenom mängder med loggrader efter att man sparat ner loggen på sin dator. Man får helt enkelt hålla på tills man ser trafik som kan vara från/till fjärrstyrningen.
I en iPad (från kommunen) som vi hade tidigare kunde man själv via kommunens hemsida få kontakt och göra administrativa saker på sin platta, men det är inte säkert att det finns samma inloggning i ert fall. Men om det finns blir det väldigt enkelt att kolla loggen och se vilka IP-addresser plattan kommunicerar med just då.
Lycka till! Den 5 dec 2015 15:06 skrev "Non Return Zero" non.return.zero@gmail.com:
Hej Linus. De "risker" du fantiserar är likvärdig med att jag använder en sten på gården eller morakniv i garaget på ett sätt som är skadligt för andra familjemedlemmar. Jag känner att jag klarar av både stenar, knivar och datorer i mitt hem utan att det är några som helt risker förenade med dessa för övriga familjemedlemmar.
Jag vill helst inte fortsätta moraldiskussionen kring förslag jag inte själv lagt. Min tanke med den öppna frågan var nog mest om/hur man ska isolera maskinen från andra maskiner i hemmanätverket som exempel i syfte att undvika att det komprometteras av gästmaskinen. För min egen del så kör jag mestadels mot min VPN-leverantör men det finns ju alltid olika former att meta-data som läcker ut som man kanske bör begränsa (t.ex. vilka MAC-id som finns i nätverket eller nätverksnamn som enheterna använder, spånar här vet inte om det behövs). Det är i alla fall inte så lätt att förutse allt som borde spärras eller vad som är tillräckligt.
I en WR703N som jag använder som barn-AP är loggminnet begränsat. Det finns 32 MByte RAM och 4 MB NV-minne som idag är fullt till 60 %. Vill man logga på det sätt som föreslås (observera att det är inget förslag som jag har kommit med) så måste man vad jag förstår göra det på en extern maskin. Trafikloggning av det slag du (och andra) diskuterar är inte heller förvalt installerat (i den version jag använder) utan man får klura ut själv hur man gör. Jag tror inte ens är möjligt att få den typen av loggning i det web-baserade användargränssnittet, Luci. Men visst quick and dirty är väl tcpdump och netcat.
nrz
Den 4 december 2015 14:17 skrev Linus Nordberg linus@nordberg.se:
Hej nrz!
Jag håller med dig om att ip-filtrering inte nödvändigtvis behöver vara ett integritetsproblem i sig. Två av de saker det kan medföra gör det dock: loggar och "nästa steg".
Loggar. När en filtrerande router ("brandvägg") blockerar ett paket sker ofta loggning. Innehållet i logmeddelandet är ofta integritetskänsligt och lagras på minst ett ställe.
Nästa steg, när censorn^Wbeskyddande part upptäcker att simpel portblockering inte duger, är att börja titta djupare i paketen.
Angående förtroende så föreslog jag kontinuerlig verifiering av deklarationen, gärna med hjälp av oberoende instans av något slag. Kanske skulle DFRI kunna göra sådant. Med verifiering menar jag att man undersöker datorn och stämmer av att innehållsdeklarationen stämmer med innehållet. Detta gäller inte bara "program X och Y" utan också beteende. Om datorleverantören (ofta ett privat företag som får pengar av skolan) t.ex. lovar att datorn inte "ringer hem" så verifierar man att det stämmer, osv.
Det finns också minst två dimensioner av förtroende -- förtroende för att kommunen/skolan/företaget inte gör något dumt med flit och förtroende för att de har kompetensen att uppfylla sina intentioner.
Non Return Zero non.return.zero@gmail.com wrote Fri, 4 Dec 2015 00:17:57 +0100:
| Hej Linus, tack för ditt svar och dina synpunkter. | Jag håller inte med dig om att filtrering i routern på domännamn eller | ip-adress via IP-tables in någon väsentlig grad skulle öka risken för | oönskad exponering av datainnehåll som är integritetskänsligt. OS-kärnan | har ju redan paketet i sitt minne för att kunna skicka iväg det till | hårdvarugränssnittet. IP-tables är en del av kärnan så om det sker en | regelevaluering baserat på destination kommer det snarast att leda till att | packet kastas tidigare än att det hanteras av IP-stacken tills ACK från | mottagaren erhållits. Om du tänker i banorna Deep packet inspection så går | det utanför vad jag kan om Linux, i vilket fall tror jag inte att det är | tillgängligt i OpenWrt. Utveckla gärna ditt argument här om du tycker att | jag missförstått något. | | En annan punkt du tog upp är att jag borde kräva in en specifikation av | installerade programvaror. Du verkar ha missat att kommunens IT-avdelning | inte är i min förtroendezon. Om de fanns där skulle jag inte ha några | problem med deras dator i mitt nät. Dokumentation från dem är alltså något | jag bör välja att inte lita på. Och jag har förmodligen ändå inte kompetens | att utvärdera vad som är problematiska programvaror även om specifikationen | är fullständig. Dessutom har ju administratörer möjlighet att ändra i | datorn efterhand utan att det finns något garanti för att deklarationen | uppdateras. För mig är den här vägen bortkastad tid. | | Den 3 december 2015 13:40 skrev Linus Nordberg linus@nordberg.se: | | > Non Return Zero non.return.zero@gmail.com wrote | > Thu, 3 Dec 2015 12:53:33 +0100: | > | > | Att en skola eller IT-avdelning kan ges | > | tekniska möjligheter för att t.ex. använda Web-kameran för att spionera | > på | > | elever har också förmodligen redan hänt (se tex | > | | > http://www.csmonitor.com/USA/Justice/2010/0817/Did-school-use-laptops-to-spy... ). | > | > Mycket intressant fall. Mer om det: | > https://en.wikipedia.org/wiki/Robbins_v._Lower_Merion_School_District
| > | > | Men om jag nu inte "oroar" mig utan bara har som policy att inte låta | > | okända maskiner verka okontrollerat på mitt nätverk. Är det någon som har | > | tips på lämpliga brandväggsregler som kan förhindra t.ex. fjärrstyrning | > av | > | en elevdator (Windows OS)? (Elevdatorn ansluter till en egen router med | > | IP-tables/OpenWRT). | > | | > | Borde policyn mer innefatta mer punkter än fjärrstyrning? Vad i så fall? | > | > Jag tror att det här är fel väg att gå. Eleven kommer att vara | > övervakad i sitt eget hem, av sina egna familjemedlemmar. Utrustning | > som försöker (!) blockera utgående trafik behöver per definition titta | > i trafik som är känslig ur ett integritetsperspektiv. Risken för att | > hårdvaran och mjukvaran som skall sköta detta gör något som exponerar | > känligt data är för stor. Fri programvara (OpenWRT) gör det mindre | > problematiskt men inte tillräckligt. | > | > Motargumentet är naturligtvis att det är bättre för ett barn att vara | > övervakad av sina egna föräldrar än av ett okänt antal människor som | > kontrollerar dess dator. En teknisk lösning som beskriven ovan framstår | > då som sänd från himlen. | > | > Byt nu barn mot medborgare och förälder mot myndighet. | > | > Medges att liknelsen haltar eftersom barn behöver mer skydd och hjälp än | > vuxna medborgare och också eftersom förälder/barn har en annan relation | > än myndighet/medborgare. | > | > | > Föräldrar borde kräva en exakt deklaration av skoldatorns innehåll, från | > leverantören. Deklarationen verifieras av skola och i möjligaste mån | > föräldrar. Fristående organisationer kan vara behjälpliga | > här. Verifikation skall ske kontinuerligt. Upptäcks något fel i | > deklarationen så innebär det ett kontraktsbrott och leverantören lider | > skada. | > | > | > Allt det sagt förstår jag att föräldrar vill skydda sina barn. Om inte | > annat innan vettig kontroll finns på plats och fungerar. Det är en svår | > avvägning. Nu har jag lagt lite i den andra vågskålen i alla fall. | >