Artykuły dotyczące tematu: blokowanie IP

dodany: 19.11.2012 | tagi: , ,

Blokowanie systemów śledzących Facebooka na poziomie firewalla

2

Jeśli zaplanujecie sobie trochę czasu na analizę ruchu wchodzącego i wychodzącego z waszej przeglądarki internetowej, zauważycie, że na wielu stronach, z których korzystacie na co dzień, zaszyte są roboty śledzące. Roboty te śledzą Wasze poczynania nie tylko na stronach do których należą, ale także na stronach zupełnie niepowiązanych. Co gorsza, wyniki tego śledzenia stają się bardzo cenne. Przestajecie być użytkownikami, a stajecie się produktem. Poza tym – co równie ważne – to śledzenie potrafi poważnie „spowalniać” przeglądanie przez Was sieci.

Nie jest oczywiście tajemnicą, że istnieją skuteczne dodatki do przeglądarek internetowych, które blokują mechanizmy śledzące. Jednak jeśli chcielibyśmy oprzeć się tylko na nich, musielibyśmy zadbać, aby wtyczki takie były zainstalowane na wszystkich komputerach w naszej sieci. W przypadku gospodarstwa domowego z jednym czy dwoma komputerami, nie jest to problem. Ale co mają powiedzieć administratorzy  kilkunastu czy nawet kilkudziesięciu maszyn?

Najprostszym sposobem na odcięcie mechanizmów śledzących jest niedopuszczenie ich do naszej sieci. Możemy użyć do tego firewalla, który zapewne działa w naszej sieci. Nawet jeśli nie mamy do tego dedykowanej maszyny, to zapewne router, z którego korzystamy, ma wbudowaną zaporę ogniową – często nawet najtańsze urządzenia sieciowe oferują w miarę rozbudowane i skuteczne zapory.

Facebook

Skąd mamy wiedzieć jakie adresy IP blokować? Facebook nam podpowie!

Facebook dba o developerów, którzy chcą pisać aplikacje działające na platformie Facebook.com. Jest nawet obszerna dokumentacja, która ma im w tym pomagać. W dokumentacji tej znajduje się rozdział o bezpieczeństwie https://developers.facebook.com/docs/ApplicationSecurity/ – niech to będzie początek ścieżki wyszukiwania przydatnych informacji… Warto zapoznać się z tymi dokumentami.

Następnie ustalamy sieci, które używane są przez Facebooka. Pomoże nam w tym publiczny rejestr informacji o globalnym routingu Merit RADb: http://www.radb.net/index.php.

W wyszukiwarce wpisujemy: AS-FACEBOOK i zatwierdzamy. W wynikach wyszukiwania zobaczymy:

Interesować nas będą pozycje opisane jako members, a w szczególności  AS32934 oraz AS54115.

Sprawdzamy pierwszą pozycję za pomocą narzędzia WHOIS (użytkownicy systemu Linux są tutaj w lepszej sytuacji):

Wynik tego polecenia to długa lista adresów IP wraz z maskami podsieci, które wykorzystywane są przez Facebooka. Jeśli porównamy tę listę z analizą ruchu generowanego przez naszą przeglądarkę, okaże się, że to właśnie te adresy odpowiadają za śledzenie.

Teraz pozostaje nam tylko odciąć podane klasy adresów z ruchu w naszej sieci. Z kilku względów warto odrzucać pakiety pochodzące z tych źródeł, aniżeli je zrzucać. Głównym powodem jest fakt, że w tym przypadku chcemy, aby maszyny Facebooka zostały niezwłocznie poinformowane o odrzuceniu połączenia (REJECT), a nie czekały na przekroczenie czasu żądania, co musi nastąpić przy metodzie zrzucania pakietów (DROP).

Jeśli korzystamy z firewalla IPTABLES, to wystarczy dodać do jego konfiguracji wytyczne dotyczące odrzucania połączeń z ustalonych wyżej adresów IP i całych klas. Poniżej przykłady:

Jeżeli zaś korzystamy z graficznego interfejsu zapory ogniowej, np. w naszym routerze, to musimy dodać adresy ręcznie. Informacje na temat adresów IP i całych klas adresów, które używane są do śledzenia użytkowników przez przeróżne firmy i organizacje, często można znaleźć na stronach zespołów odpowiedzialnych za produkcję wtyczek do przeglądarek.