Найкращі практики блокування соціальних сайтів

У нашій компанії є близько 100 робочих станцій з доступом до Інтернету, і щоденна ситуація стає все гіршою і гіршою з точки зору використання доступу до Інтернету для виконання приватних робіт та витрачання часу на соціальних сайтах.

Я не люблю блокувати сайти, такі як Facebook, YouTube та інші подібні веб-сайти, але день у день мої колеги не закінчують своїх завдань і будь-коли я дивлюся на їхні монітори, вони працюють за допомогою Internet Explorer або Mozilla Firefox, спілкуються в чаті і подібні речі. З іншого боку, я б хотів заблокувати YouTube, коли у нас дуже низька швидкість доступу до Інтернету.

Ось мої запитання:

• Чи блокують інші компанії соціальні сайти?
• Чи потрібен для цього спеціальний пристрій, як апаратний брандмауер або надто дорогий роутер? Або я можу це зробити за допомогою свого власного самостійного маршрутизатора FreeBSD 6.1 з двома локальними картами та налаштованого NAT, щоб він діяв як маршрутизатор?

Я намагався це зробити за допомогою ipfw та routerfirewall, але без успіху. Мій код виглядає так:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

Що я можу зробити, щоб виправити цю проблему?

Чи інші компанії блокують соціальні сайти?

Так, але це не означає, що це гарна ідея. У книзі " Predictably Irrational " є цікава дискусія та посилання на кілька досліджень, які, по суті, говорять про те, що якщо ви заблокуєте незначне особисте використання, це може фактично коштувати вам в продуктивності. Якщо люди думають, що їх робоче місце є доброзичливим та домашнім, вони, швидше за все, працюють із дому за 40 годин.

Якщо у однієї людини виникають проблеми, можливо, краще працювати з людиною, а потім використовувати технологічне рішення для простого вбивства. Технологія не є заміною менеджеру, який фактично виконує свою роботу.

Більшість фільтрів легко обійти, ви дійсно повинні намагатися уникати участі у гонці озброєнь разом зі своїми колегами. В якийсь момент ви просто зробите ваш брандмауер настільки ворожим, що вони не зможуть виконати фактичну роботу, і ви все одно, мабуть, не заблокували всі можливі шляхи навколо брандмауера.

Чи потрібно мені спеціальний пристрій для такого, як апаратний брандмауер, надто дорогий маршрутизатор Або я можу це зробити, коли мій існуючий самостійно зроблений маршрутизатор FreeBSD 6.1 з двома lan-картами і налаштований Nat, щоб діяти як маршрутизатор.

Ви можете встановити Squid + Squidguard і примусити весь трафік через проксі. Ви можете налаштувати ACL, щоб заблокувати сайти, які вам не подобаються.

Я пропоную вам налаштувати кальмари як проксі, без ACL, щоб нічого блокувати, і просто спостерігати за журналами. Примушуйте усіх через проксі (з повідомленням). Потім встановіть щось на зразок SARG для створення звітів. Якщо у когось справді виникають проблеми з хорошим звітом, він надасть керівнику працівника докази необхідності розпочати вирішення проблеми.

Це має вирішуватися через вашу дисциплінарну процедуру, а не через брандмауер. Це технічне рішення для нетехнічної проблеми.

Ви знаєте, як RIAA та MPAA публікують ці божевільні цифри про те, скільки коштує піратство грошей, виходячи з ідіотського припущення, що будь-яка одиниця піратського вмісту буде придбана, якби піратство було неможливим?

Ви робите те ж саме, припускаючи, що якби "втратити" час на соціальних медіа неможливо, цей час буде витрачено на продуктивну роботу. Але якщо це не службовці з введення даних, про яких ви говорите, ми, мабуть, говоримо про людей, які мають певний творчий / знаючий аспект до своєї роботи, це означає, що їх продуктивність - це складна річ, яка не виглядає однаково як у твістера віджетів на конвеєрі. Їх використання соціальних медіа може бути легко ключовим компонентом їх продуктивності, а напад на це може атакувати те, що дає змогу заробляти гроші.

І це ще до того, як ми потрапимо в моральний вплив поводження з працівниками, як ув'язнені в ланцюговій банді.

Просто скажи, чувак.

Ми блокуємо сайти лише тоді, коли перегляд заважає продуктивності, і ми приймаємо думку місцевого управління з цього питання (навіть коли ми підозрюємо, що вони перебільшують).

Ми блокуємо сайти за допомогою проксі-сервера; зазвичай SQUID, який повинен працювати нормально на вашому брандмауері. Ми ставимо правило, що брандмауер блокує вихідний порт 80 (а іноді і 443) від усіх хостів, крім серверів та проксі-сервера. Потім ми використовуємо групову політику для налаштування проксі-сервера в Internet Explorer користувачів.

Деякі менеджери запитують нас про статистику використання. Більшість ні.

JR

Використовуйте OpenDNS . Ви повинні мати можливість блокувати соціальні сайти, використовуючи це. В іншому випадку слід розглянути можливість використання проксі-сервера з можливостями фільтрації.

Найкращий спосіб блокувати речі - це змусити менеджера гуляти, проводячи більше часу поруч із тими, хто не робить справи. Якщо люди отримують роботу, чому ви дбаєте про те, які сайти вони відвідують чи скільки часу вони проводять? Якщо цього немає, напишіть їх і нехай рухаються далі.

Формування пакетів для потокової передачі дроселів принесло нашій мережі багато користі. Ніхто не так переймається веб-сайтами соціальних мереж, коли завантаження відео на YouTube 3 людей не заважає завантажувати MSDN.

Обов'язково з’ясуйте, які справжні больові точки, перш ніж приймати рішення.

Я працюю в коледжі, і ми блокуємо сайти за допомогою Websense. Хороший (не ідеальний!), Але дорогий. OpenDNS дешевше, а також досить непогано.

Зрештою, на мою думку, існує дуже мало технологічних рішень проблем поведінки. Якщо ваш бізнес не бажає, щоб люди відвідували сайти соціальних мереж, тоді йому слід зрозуміти, що це проти політики використання Інтернету, інакше це стає грою для деяких людей. У будь-якому випадку використовуйте інструменти, щоб допомогти виконувати цю політику, якщо це потрібно, але не блокуйте сайти без пояснень і зв'язку.

Я також згоден з коментарем щодо того, чи виконується робота чи ні. Якщо люди досягають своїх цілей, то ви, можливо, запитаєте, де шкода в тому, щоб трохи втратити їх в Інтернеті.

Я погоджуюсь, що це політика щодо управління персоналом / управління, ІТ може застосовувати лише менш досконалі технології для впровадження. Якщо є проблема, це повинно бути очевидним у виконанні злочинця.

Однак, коли потрібно мати підтвердження для дисциплінарних заходів, то журнали використання Інтернету є життєво важливими для справи організації. Для цього організація повинна використовувати механізм реєстрації / звітності. Про використання цього слід повідомляти працівникам, а політика використання повинна бути чітко зафіксована у довіднику працівника.

Ми також виконуємо моніторинг використання за допомогою WebSense. Категорії, суворо заборонені нашою політикою, прямо заблоковані. Інші, більш регламентовані, дозволено натисканням кнопки, що прирівнюється до того, що працівник каже: "Я розумію цей фільтр і продовжую роботу з бізнес-причин". Інструмент, який ви використовуєте, багато в чому залежатиме від типу політики та розміру вашої організації.

Я також повністю погоджуюся з тим, що обмеження соціальних сайтів стає все більш небажаною справою, особливо для майбутніх поколінь.

Ми використовуємо комбінацію OpenDNS, але також запускаємо IPCop вікно перед мережею.

Це дозволяє нам обмежити сайти, такі як MySpace, FaceBook, YouTube та інше, ОКРЕМИ на обідню годину (12:00 - 13:00).

Це дозволяє співробітникам перевіряти їх таємницю, фейсбук тощо тощо під час години обіду, але залишає їх "зосередженими" на час компанії.

Періодично ми переглядаємо файли журналів IPCop і визначаємо, чи потрібно блокувати більше сайтів.

Якщо ви реалізуєте рішення IPCop, ви швидко дізнаєтесь, що приблизно через тиждень усе ослаблення "магічно" припиняється. Ви також виявите, що вам потрібно лише заблокувати кілька сайтів, щоб збільшити продуктивність працівників на величезну кількість.

Удачі

PS - Ще одним чудовим продуктом, який ми використовували в минулому, є SeuredIM ( http://www.securedim.com ), який дозволяє відстежувати міжфірмовий чат, а також робити періодичні скріншоти робочого столу користувача, якщо бажаєте. (тобто робити знімок робочого столу Джо кожні 10 хвилин)

Більшість людей помилково припускають, що мета веб-фільтрації є однодумною - це не лише "продуктивність", хоча я бачив численні приклади реального світу, де продуктивність збільшується там, коли випуск сильно збільшується, коли застосовується дбайливий контроль. Я працюю в SmoothWall, постачальнику веб-фільтрів - так що, хоча у мене є пляма упередженості, я також досвідчений!

У наші дні Websense навіть рекламують "скажіть так" - і ми (SmoothWall) погоджуємося. Вам потрібно бути поблажливими. Використання програмного блоку (лише нагадування, що це "не політика", або часові смуги - це 2 способи послаблення речей.

У будь-якому випадку ... як я вже говорив ... не тільки щодо продуктивності - я бачив проблеми з персоналом, які виникають через неправильне використання соціальних мереж, неправильне використання дорослих веб-сайтів та відсутність доказів, коли вони трапляються.

Нарешті ... варто зазначити, що не всі поводяться так, як ми їх очікуємо - не у всіх є "системний настрій" sysadmin / techie "і працюватимуть більше, тому що ви дасте їм фаворит. боїться.

Не варто.

Короткий відповідь: Так, там є компанії, що блокують доступ до Інтернету (соціальні або інші сайти).

Довга відповідь:
З погляду роботодавця: Час, який використовується на роботі, не виконуючи жодної роботи, витрачається даремно.
З точки зору працівника: Моя робота зроблена, поки я чекаю, коли прийде більше, я перейду (на цей веб-сайт). - Залежить від того, яку роботу ви виконуєте, може виникнути розрив від того, коли ваша робота буде виконана, коли ви отримуєте більше роботи.

Я один із співробітників, який збив мій доступ до Інтернету, коли наша компанія вирішила випробувати WebSense. І ще декілька речей, які я дізнаюся, коли заблокований веб-серцем:

• Я багато дізнаюся про відкриті проксі, тунелювання та інформацію про обхід веб-блоків взагалі
• Велика кількість заворушень серед персоналу з вимкненим блокуванням доступу до Інтернету - не впливає на дорослі, оскільки їх доступ не обмежений

Обмеження доступу людей до соціальних веб-сайтів повинно бути частиною ділової практики компанії та частиною трудової етики компанії, у використанні технології не повинно бути мало або не потрібно (Довідка: коментар Девіда Пашлі вище).

Забезпечення особистого рівня буде корисним як для компанії, так і для персоналу в довгостроковій перспективі. Співробітник буде більш відповідальним за свою роботу та доступ до соціальних сайтів, а компанія отримає користь від більш відповідального персоналу. Вартість

особистого моніторингу
: практично $ 0. Менеджер / керівник команди витрачає більше часу на управління та моніторинг своєї команди.
Вигода: У персоналу менше часу для відвідування соціальних сайтів (щоб зробити більше роботи), "може" покращити почуття відповідальності в довгостроковій перспективі.


Вартість програмного забезпечення для веб-блокування : Залежить від програмного забезпечення, може бути безкоштовним, може бути $$$$. Також час, витрачений на точну настройку програмного забезпечення.
Вигода: економте час компанії від відвідувачів соціальних сайтів, заощаджуйте пропускну здатність компанії загалом.

Найкращий інструмент для цього - політика користування Інтернетом з відкритою статистикою (але управління буде заперечувати проти цього, оскільки, ви знаєте - вони теж люди).

1. Блокуйте всі з'єднання з зовнішньої сторони від користувальницької мережі, без винятків портів!
2. Отримайте проксі-сервер, наприклад - Squid та додайте фільтр, наприклад Squidguard
3. Зараз є два способи: налаштувати користувача на використання проксі (займає деякий час) або включити прозорий проксі (можуть бути проблеми із з'єднаннями SSL, але швидше).
4. Шукайте користувача, який щасливий і видаляє TOR ( http://tor.kamagurka.org/index.html.en ) зі свого ПК, видаліть usb, дискету, cdrom тощо, щоб він не міг використовувати портативну версію (або краще - звільнити його з великою рекламою в компанії)

Я почув пропозицію від Джейсона Калаканіса в епізоді "Цей тиждень - стартапи", щоб надіслати електронним повідомленням службовцям, щоб вони могли знати, скільки часу витрачаєш.

Більшість користувачів, напевно, не знають, скільки часу вони проводять на деяких із цих сайтів. За допомогою цього методу працівники можуть самостійно поліцейські, а також знають, що, якщо це вийде з рук керівництво, то, ймовірно, знатиме і це.

Спонсором шоу, який мав продукт, який міг би це зробити, був WebSpy .

Якщо ваші працівники вирішують витрачати час, а не займатися своєю роботою, то чому б зняти один із тисяч способів, щоб вони могли витратити час?

Можливо, проблема полягає в робочому середовищі, створеному людьми, які думають, що можуть ставитись до своїх працівників таким чином.

Ви намагаєтесь заблокувати її назад.

Вам не варто байдуже, що TCP / IP збирається до хоста, як у вас є. Вам слід заблокувати вхідний трафік, тобто:

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

АБО просто заблокуйте веб-трафік:

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

Однак це не заблокує все, оскільки адреса www.youtube.comперетворюється на першу IP-адресу, яку ви знайдете DNS, і ваше блокування перетворюється на балансування навантаження. Ви можете заблокувати всю мережу, якщо хочете зіпсуватись.

Якщо ви використовуєте OpenDNS, ви завжди можете блокувати домен / вміст таким чином

Це залежить від того, в якій компанії ви працюєте, в моєму випадку я працюю в області освіти, і тут ми використовуємо SmartFilter (дорого, як пекло). але моя думка полягає в тому, що залежно від сфери роботи ви можете заблокувати всі соціальні сайти за допомогою OpenDNS (я використовувався до того, як ми принесли SmartFilter).

Я б просто використовувати DNS-сервер для блокування доменів, але потім не забудьте встановити брандмауер, щоб користувачі не могли використовувати сервер DNS за межами компанії (наприклад, opendns)

Ви впевнені, що блокування сайтів соціальних мереж вирішує проблему?

Проблема, яку ви констатуєте, полягає в тому, що ситуація стає все гіршою і гіршою ...

Ви маєте на увазі, що ваші працівники використовують занадто велику пропускну здатність на цих сайтах у соціальних мережах? Або ви маєте на увазі, що ваші працівники витрачають занадто багато свого робочого часу на певних веб-сайтах?

Якщо це перший, то найкраще буде отримати номери трафіку. Я б задумав про загальнодоступні номери трафіку, але, незалежно від того, є вони публічними чи ні, тоді, якщо проблема занадто велика кількість мережевого трафіку, збираючи номери, дозволить вам прийняти розумні рішення.

Якщо у вас занадто багато трафіку, я збираю номер за тиждень-два, а потім оголошую, що сайт zzz.com, aaa.com тощо буде заблокований на певну дату.

Якщо, з іншого боку, проблема полягає в тому, що працівники витрачають занадто багато свого робочого часу, то проблема не є технічною проблемою і, мабуть, має бути вирішена іншими способами.

Якщо ви все ще хочете займатися цим технічно, тоді, якщо ви збираєте номери трафіку, ви можете заблокувати 10 кращих сайтів, які не вважаються важливими для вашого бізнесу, і побачити, чи все покращиться.

Особисто я наймаю лише антисоціальних людей.

Чудова дискусія. Я б це перевірив. Це чудова довідка для передачі ІТ: Блокувати чи ні. Це питання?