Safe Access features

[Babylonia]

Met de update van SRM naar versie 1.2-7742 zijn een aantal menu's en opties volledig herzien en verbeterd
in de wijze hoe "ouderlijk toezicht" en beveiliging in de router is geïmplementeerd.

De functies ervan zijn nu in een apart package "Safe Access" ondergebracht.
(Wat standaard mee wordt geïnstalleerd bij de update naar SRM 1.2).

Omdat de nieuwe firmware nog zo "vers" is, zul je waarschijnlijk nog nergens de opties ervan kunnen terugvinden op internet.
Ik zal daarom hier wat plaatjes presenteren om wat functies te laten zien die ermee mogelijk zijn.
(Zeker niet alle menu's passeren de revue, het is slechts een greep uit diverse opties. IMO de belangrijkste).
Ook moeten een aantal "te" rigoreuze filter-opties daarin nog worden bijgeschaafd (zoals o.a. hier te lezen).

Opties m.b.t. - ouderlijk toezicht - beveiligingsfilters:

Met "profielen" kun je filtering toepassen:

• Voor het gehele netwerk
• Apart voor het WiFi gast netwerk
• Per individueel persoon met vaste "eigen" apparaten (smartphone, tablet, PC....)

Webfilter:
In onderstaande plaatjes opvolgend hoe filter-opties zijn in te stellen, of aan te passen.
(Niet weergegeven: uitzonderingen die men kan maken op bepaalde websites, of juist kan aanvullen).




Opvallend is de keus om op "router" niveau filtering op "Advertenties / Reclame" te kunnen instellen.
Het is nog zo nieuw, dat ik nog geen ervaring heb of het op alle niveaus goed blijft werken.

De eerste resultaten verbazen me echter nu al in positieve zin.
Waar ik eerder bijv. een plug-in als "Adblock Plus" in een web-browser gebruikte, neemt dat filter in de router nu die functie over.

Het werkt direct voor alle apparaten achter de router. Tenminste als je die filtering in het profiel opneemt voor het gehele netwerk.
Heb gemerkt dat diverse freeware apps op smartphone en tablet nu geen advertenties meer tonen, waar dat eerder wel het geval was.
TOP !!

Bij een niet betaald (niet Premium) Spotify abonnement, worden ook daar de advertenties weg gefilterd.
Alleen gaat het spelen van muziek erna niet verder.  Een uitzondering aanmaken voor de spotify.com website is niet genoeg.
Ik moet nog uitzoeken welke andere websites specifiek worden aangeroepen om advertenties naar Spotify te pushen.
Daar zullen waarschijnlijk ook uitzonderingen voor gemaakt moeten worden.  (Of een Premium account afsluiten bij Spotify).

In het blokkeren van reclame is er namelijk net een uitzondering in het vastleggen ervan in de logbestanden
en melding ervan bij Safe Acces.  (Waarschijnlijk omdat men anders "continue" meldingen zou krijgen).

In de menuafbeelding tevens een lijst van andere filter opties.




Standaard beveiliging voor aanvallen van buiten.
Voor een grotere mate van beveiliging is een extra package "Threat Prevention" te installeren.
Het voormalige beta package "Intrusion Prevention".
Wordt aanbevolen als men achter een internet-aansluiting openbaar bereikbare services gebruikt zoals een webserver.
Voor "normaal" thuisgebruik zou onderstaande optie voldoende zijn. (Volgens Synology rep. op het Engelstalige forum).




Aanmaken van een gebruikersprofiel:
Als voorbeeld even een "fake" profiel aangemaakt voor "Marietje", die 3 apparaten gebruikt.
(De apparaten hebben andere "eigen" namen, dus die heb ik even onleesbaar gemaakt).
Met toevoeging van een fotootje is dat in een overzicht makkelijker te herkennen.





Tijdsinstellingen (per 15 minuten blokken).
Door een "rechthoek" te trekken kun je hele bereiken tegelijkertijd blokkeren, of juist toestaan.




Maximumtijd dat iemand per dag mag internetten, ongeacht het voorgaande tijdschema.
In dit voorbeeld zondag en maandag niet ingesteld (vrij).



De keus aan (zelf aangemaakte of aangepaste) filters die je aan Marietje wilt toewijzen.




Samenwerking met filteropties zoals ze voor bekende zoekmachines en YouTube samenwerken.




Profiel overzicht:
Het resultaat in een overzicht, waarbij "advertenties" is afgestemd op het gehele netwerk.
En alleen voor "Marietje" de filteropties zoals ze hiervoor zijn ingesteld.
(Een bug in de firmware hierbij is dat het tijdschema van blokkeren voor Marietje geen rekening houdt met zomertijd.
 ----> Heb daar al melding van gemaakt bij Synology).

Als Marietje "braaf" is geweest, kun je haar nog belonen met extra internettijd.




Tot zover de opties m.b.t. "Safe Access".
Bij die opties wordt de WiFi niet uitgeschakeld, maar softwarematig een filtering op gebruiksniveau geregeld. Je zou als volwassene dus wel toegang via WiFi (of bekabeld netwerk), kunnen hebben, terwijl de kinderen na een bepaalde tijd zelf geen toegang meer hebben tot internet. Ook andere systemen in je thuisnetwerk ondervinden geen hinder van filters voor de "kinderen".

Daarnaast kun je 's nachts de WiFi "radios" uitschakelen via een tijdschema (per 7 dagen in te stellen). Mocht je vrij van WiFi-straling willen slapen (en om energie te besparen).

Is WiFi uitgeschakeld, heeft dat uiteraard ook effect op de toegang ertoe, ongeacht waar gebruiksprofielen op staan ingesteld. Dan hebben die gebruiksfilters nog steeds wel hun functie op bekabelde aansluitingen.

[Babylonia]

(Een bug in de firmware hierbij is dat het tijdschema van blokkeren voor Marietje geen rekening houdt met zomertijd.
 ----> Heb daar al melding van gemaakt bij Synology).

De bug is groter dan aanvankelijk gedacht. Bij verstellen van het tijdschema naar een andere tijdperiode
klopt het helemaal niet meer. En heb al vastlopers gehad. Moest de router met de powerknop herstarten.

Dus voorlopig deze optie voor instellen tijdschema beter NIET gebruiken !!

[Babylonia]

Opvallend is de keus om op "router" niveau filtering op "Advertenties / Reclame" te kunnen instellen.
........
Bij een niet betaald (niet Premium) Spotify abonnement, worden ook daar de advertenties weg gefilterd.
Alleen gaat het spelen van muziek erna niet verder.  Een uitzondering aanmaken voor de spotify.com website is niet genoeg.
Ik moet nog uitzoeken welke andere websites specifiek worden aangeroepen om advertenties naar Spotify te pushen.
........
In het blokkeren van reclame is er namelijk net een uitzondering in het vastleggen ervan in de logbestanden en melding ervan bij Safe Acces.

Had al een feature request ingediend om tijdelijk een uitzondering te kunnen maken, zodat het wel wordt gelogd.

Maar heb al via een andere menu een methode gevonden hoe je erachter kunt komen.
Filteren op "Spotify".  Bewuste domein is rood omkaderde website. Als je die invult als uitzondering om te blokkeren,
blijft muziek doorspelen en is er uiteraard dan wel reclame bij Spotify.



Eerder had ik tevens nog een andere manier gevonden die je meteen naar de filteroptie kunt doorsluizen.
Was die optie "kwijt", maar inmiddels weer gevonden.   Wel nu even met een ander voorbeeld !
Brengt je bij"+"wel naar een "blokkeer" optie, in plaats van juist toestaan.  Maar toont in eerste instantie minder domeinen.
(In dat geval meteen de juiste ----> die wordt namelijk het meest aangeroepen).

[Briolet]

Mooie uitleg. Hier wil ik nog wat aan toevoegen uit de praktijk. Als je netwerkbeveiliging aanzet, krijg je twee verdere opties:

- Treat Intelligenge-database inschakelen
- Google Safe Browsing Inschakelen.



De eerste is gewoon een kwestie van de checkbox aanklikken. De tweede is een stuk ingewikkelder omdat je eerst bij Google een eigen API sleutel moet aanmaken. De uitleg hiervoor is duidelijk voor iemand met enige ict kennis, maar ik kan me voorstellen dat sommigen hierop vastlopen.
En als je het vinkje even uitzet voor testdoeleinden, wordt die API sleutel ook niet onthouden, maar moet je hem weer opzoeken en opnieuw invullen.

Nu even een praktijkvoorbeeld van een geblokkeerde site. "www.lionbrand.com"

Als je zo'n site oproept via het http protocol, kan de router gewoon zijn waarschuwingspagina laten zien. Het wordt lastiger als de pagina via https opgeroepen wordt. Dan moet de router nml zijn eigen certificaat gebruiken en daar staat de site die je wilt bezoeken natuurlijk niet op. Resultaat: de browser geeft een certificaat waarschuwing. (In elk geval de meeste browsers doen dat. De ingebouwde browser van een Android telefoon negeert de certificaat mismatch en geeft alleen een heel klein 'i' symbool naast de domeinnaam.)

In Chrome ziet de waarschuwing er zo uit.



Als je de button met "geavanceerde info" aanklikt, krijg je de naam ven het gebruikte certificaat te zien. Het valt dan direct op dat dit het certificaat van je eigen router is. Dit moet je het vertrouwen geven om onderaan te klikken om toch door te gaan.

Ze kom je nu op de waarschuwingspagina van de router (die je via http direct te zien krijgt):



Hier zie je een verschil met een pagina die door het webfilter geblokkeerd is. Bij een pagina die door de "Treat Intelligenge" geblokkeerd is, kun je toch doorgaan.

Doe je dat, dan krijg je de volgende waarschuwing:



Als je nu op OK klikt, wordt toestemming gegeven om door te gaan. Maar omdat de routerpagina nog in de cache van de browser zit, lukt het niet om verder te komen. Blijkbaar heeft Synology dat onderkend en geven ze standaard het volgende scherm om je te helpen:



Een aantal oplossingen, maar de simpelste mist: Gewoon de pagina herladen via het menu of het icoontje in de browserbalk. (Werkt in elk geval bij Safari en Chrome).

Nu even over de 'onveilige' site zelf uit mijn voorbeeld. Volgens mij valt het risico mee en kun je er de functie mee testen. Hij staat niet in de Google Safe Browsing lijst, maar in de Treat Intelligenge-database. Synology geeft alleen aan dat die samengesteld wordt uit diverse blacklists, maar ik vind nergens welke dat zijn.

Deze site staat echter op de blacklist van MyIp.ms. Hij is daar een jaar geleden aan toegevoegd door één persoon.



Alleen is dat een IP van een firma die meer dan 65 duizend websites host op dat ene IP. Als één van die websites iets fout doet, leiden er direct alle ander 65 duizend onder. Wat dat betreft zou ik mijn website nooit onderbrengen bij een hoster die zoveel sites op één IP zet.
Zelf kwam ik hier achter omdat ik op mijn website een link heb staan naar een van die andere 65 duizend sites, en ik die link afgelopen weekend eens testte om te kijken of die nog geldig was.

[Briolet]

Nu een beetje meer technisch.

Mij viel op dat deze optie iets anders werkt dan dan het webfilter zelf. Bij het webfilter wordt het uitgaande DNS verzoek al onderschept. Als je een eigen DNS server in je netwerk hebt (b.v. de nas of een pi-hole) dan ziet de router dat als een verzoek van dat apparaat en linkt het niet aan jouw device. Het resultaat is dat de profielen die apparaat specifiek zijn, niet werken bij gebruik van een eigen dns server. Alleen bij gebruik van de dns server op de router werkt het nog wel.
(Zie ook deze discussie over het webfilter en het gebruik van een eigen dns server)

De blokkade via Treat Intelligenge kon echter perfect aan mijn device gekoppeld worden. Dus dat moet geblokkeeerd worden als je na de dns opvraag ook daadwerkelijk naar de site wilt gaan.

In het log zie je precies wel device de site heeft proberen te benaderen en welk device er voor gekozen heeft om toch door te gaan.

[Babylonia]

Je bent goed (en diepgaand) erin gedoken.