Блокування Facebook та Myspace за IP-адресою

11

У мене виникають певні проблеми із створенням пристрою Cisco ASA, який блокує певні сайти соціальних мереж, які стали протіканнями часу в нашому офісі. Це питання дійсно в двох частинах:

  1. Чи є надійний спосіб отримати всі IP-адреси для цих сайтів?
    • Схоже, сервери DNS Facebook відповідають випадковими IP-адресами. digСупроводжується nslookupвиходом два різних IP - адреси для www.facebook.com.
  2. Чи є хитрість дозволити мені додавати імена хостів до Cisco ASA за допомогою диспетчера адаптивних систем безпеки (ASDM).
    • Я знайшов фільтр URL-адрес, але для цього потрібна сторона програмного забезпечення, яке, я сумніваюся, отримаю фінансування лише для того, щоб заблокувати ці сайти.

Ми шукаємо тимчасове рішення, доки я не зможу розпочати роботу кальмарів , а це може бути аж півроку (нам потрібен адміністратор мережі, погано).

domain-name-system  firewall  cisco 
Джек М.
джерело

Відповіді:

21

Кого ви використовуєте в якості постачальника послуг DNS? Якщо ви можете перейти на когось, як OpenDNS (це безкоштовно), вони забезпечують автоматичне (і дуже настроюється) блокування сайтів соціальних мереж, веб-пошти, вмісту для дорослих тощо.

EDIT: Вам також не потрібно нічого змінювати з провайдером.

Марко Картер
джерело
1
Вказав на записи DNS мого маршрутизатора на OpenDNS і заблокував його там (робочі станції налаштовані на GPO, призначені для використання DNS маршрутизатора). Чудово працює і блокує ЦІЛЬКУ купу соціальних мереж. Facebook, MySpace тощо, плюс чатові програми тощо
SpaceManSpiff
А як щодо швидкості OpenDNS? Чи гаразд?
blank3
@ blank3: Вони запускають купу серверів, розподілених по мережі, використовуючи маршрутизацію anycast, тому зазвичай це дуже добре.
Миколай Лицар
Просто для додання цієї відповіді: ви можете заблокувати вихідні запити DNS від своїх користувачів, щоб ваші більш досконалі користувачі не могли просто змінити свої DNS-сервери, щоб обійти це.
zippy
це чудово, якщо хтось із комп'ютера не знає, як зробити "nslookup facebook.com 8.8.8.8" та вставити повернутий IP-файл у файл хостів комп'ютера.
Оліпро
9

У своєму Cisco asa ви можете зробити наступне:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Я настійно пропоную прочитати повну інформацію на веб-сайті Cisco .

Джеремі Россі
джерело
8
  1. Зберіть журнали веб-активності користувача.
  2. Перейдіть до робочого столу користувача.
  3. Покажіть їм журнали та скажіть, якщо вони не перестануть накручувати час компанії, вони будуть звільнені.
  4. Реєструйте подію.

Ви можете навіть отримати підвищення до управління, якщо ви будете продовжувати це. ;)

Ерні
джерело
Оооо, тактовний ... хе-хе. Питання, яке насправді не було "як я не можу дозволити користувачам отримувати доступ до сайтів соціальних мереж", я читав це як: "Як відключити доступ користувача до веб-сайтів за доменом", який може говорити про співробітників або гостей доступ до таких сайтів. У вас є пункт, хоча ні - від мене;)
l0c0b0x
Тоді, можливо, крок 0 повинен бути "Запитайте, чи це кінцевий результат чи засоби, які мають значення". Також на кроці 3 я не сказав, що ви не повинні мати такт. Ви можете сказати, що керівництво сказало вам заборонити їм отримувати доступ до веб-сайтів, які вони переглядали, і залишити їх розібратися, що це означає.
Ерні
5

У мого клієнта була така точна проблема. Ось як ми вирішили це рішення:

  1. Встановлено вікно IPCop із вбудованим проксі-сервером Squid, а також встановлено додаток URLFilter. Весь трафік зараз протікає через вікно IPCop.

  2. Важко зашифровано IP-адресу кожного на своє телефонне розширення для простого факту, який спростив ідентифікацію правопорушників! Ми також змінили всі налаштування сервера DNS, щоб вказати на OpenDNS . (Додаткові параметри фільтрації можливі за допомогою OpenDNS, але виявилося, що вони не потрібні.)

  3. Вилучено (і заборонено) використання всіх публічних клієнтів чату, таких як Yahoo Messenger, MSN, AOL, ICQ тощо, і т. Д. Замість цього ми встановили захищений XMPP- сервер лише для компанії під назвою SeuredIM, щоб весь трафік чату реєструвався і гарантується, що це лише комунікація компанії.

  4. SeuredIM також має унікальну можливість робити знімки екрану робочих столів кожні XX хвилин. Якщо працівника підозрювали у відкопуванні (на основі журналів IPCop), картина коштувала 1000 слів. Вибрані скріншоти можуть бути заархівовані та надіслані електронною поштою для подальшого огляду (або до участі в дії)

  5. Ми заблокували Facebook, Myspace, Hulu та два-три інші основні зловживання через URLFilter у вікні IPCop.

  6. Огляд вручну (і при необхідності більше заблокованих сайтів) протягом тижня.

  7. Під час обіду (12:00 до 13:00) відкрито серфінг "безкоштовно / розблоковано".

До кінця тижня компанія пройшла тотальну трансформацію. Продуктивність різко зросла, і ніхто не так нарікав.

Як і в будь-якій компанії, там завжди є 1-2 повстанці, які вважають, що це "гра".

Коли nytimes.comйого заблокували, вони перейшли на інший сайт новин. Коли це було заблоковано, вони вибрали ще одного. Інші зупинилися серфінг і взяли хобі , такі як Солітер і Сапер , але SecuredIM скріншоти спіймані , що (IPCop не міг , очевидно).

Протягом двох тижнів (і пару дискусій між роботодавцями та працівниками, включаючи дисциплінарну відповідальність за впертих людей) все пройшло гладко і вже майже два роки працює безперебійно.

URL-адреси:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

БІЛКА ПРИМІТКА:

Як смішна побічна історія. Приблизно через рік електрична проблема в будівлі призвела до того, що джерело живлення на коробці IPCop вимкнувся, і минуло 2-3 дні, перш ніж можна було б встановити новий IPCop короб.

Ми з'ясували, що працівники зайняли менше 48 годин, щоб повернутися до своїх старих / оригінальних навичок серфінгу, а продуктивність знизилася.

Це був цілком соціальний експеримент. :-)

KPWINC
джерело
2
+1 для дивовижного пояснення. На жаль, проксі - це те, чого ми уникали через час. Це найкраще рішення в довгостроковій перспективі, але мій час, мабуть, краще витрачений на програмування (це моя робота, зрештою ... Не питайте).
Джек М.
7
О, моє, це звучить як жахливе місце, над яким можна працювати.
Кароліс Т.
Як і в будь-якій компанії, там завжди є 1-2 повстанці, які вважають її "грою". --- Ви називаєте їх повстанцями, я називаю їх борцями за свободу. Боже, є ефективніші способи, ніж цензура та нагляд, щоб працівникам було розумно. Як, знаєте, наймайте гідних працівників.
Лука не має імені
4

Рішення DNS звучить як найкраща відповідь для мене, але пам’ятайте, що, звичайно, вони все-таки зможуть отримати доступ до сайтів через IP-адресу (ви, мабуть, знаєте з рівня свого запитання, але інші, хто знайде це в Google може не бути).

По-друге, подивіться на відповідь Евана на те, щоб дискретно обмежувати користувачі запускати певні програми на комп’ютерах Windows про те, щоб зупинити користувачів від запуску певних програм. Я думаю, ви намагаєтеся вирішити проблему управління ІТ. Дійсно, вони, мабуть, повинні найняти людей, які мають достатню відповідальність за виконання будь-яких правил, і вони, мабуть, повинні турбуватися про те, щоб вони виконали свої завдання добре та вчасно, а не про те, які веб-сайти вони відвідують у час простою. Блокування цього матеріалу, ймовірно, просто поширюватиме обурення по всій компанії. Ви, звичайно, повинні робити все, що вам потрібно зробити, і це, мабуть, навіть не залежить від вас, - але я думаю, що це слід завжди враховувати, перш ніж робити такий крок, якщо цього ще не було.

Кайл Брандт
джерело
Так, я збирався сказати. Питання "поверніться до нас з вашими результатами" приходить на розум, адже перше, що люди збираються зробити, - це вони замість цього отримати доступ до Facebook на своїх мобільних телефонах.
Ерні
1
Я б абсолютно погодився, Кайл. Ми вирішуємо проблему управління ІТ. На жаль, проблема не вирішується керівництвом, і компанія страждає від цього. Це мій спосіб управління знизу, через обмеження в управлінні зверху.
Джек М.
2

Я по-іншому підходив до вирішення цього питання.

Замість того, щоб розшифрувати трафік ASA, я створив зону пошуку вперед на своєму локальному сервері DNS для "facebook.com" і залишив усі записи DNS порожніми. Якщо ви хочете, ви завжди можете вказати сайт на внутрішню веб-сторінку, повідомивши користувачеві, що він намагається отримати доступ до сайту, забороненого політикою компанії.

Я сподіваюся, що це допомагає.

l8nite4me
джерело
0

Якщо у вас немає часу та персоналу для створення власного рішення, ви можете розглянути продукт під ключ.

Ми використовуємо Threwall eSoft, який чудово справляється з контролем доступу (через IP або URL). Досить просто налаштувати прапорці для всіх поширених типів сайтів, а також можливість додати свій власний та мати білий список. У них є різні пакети (наприклад, у нас також фільтрується спам).

Не пов'язаний з eSoft, крім клієнта, Дейв

-2

Можливо, замість блокування IP-адрес, ви можете направити імена хостів на localhost, тобто відредагувати свій хост-файл, щоб він виглядав приблизно так:

www.facebook.com     127.0.0.1

Це зупинить справжню IP-адресу Facebook тощо.

Кіп
джерело
1
Я хочу зробити це на рівні мережі, а не на окремих машинах.
Джек М.
6
Або якщо у вас є внутрішній сервер DNS, налаштуйте тут підроблені записи для facebook та myspace
Сем Коган
2
Ми не запускаємо власний DNS, використовуємо наш Інтернет-провайдер.
Джек М.
1
Чи можете ви розмістити експедитора між вашими користувачами та Інтернет-провайдером?
Ден Карлі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.