Blocco di Facebook e Myspace per indirizzo IP

11

Sto riscontrando dei problemi nel far bloccare un dispositivo Cisco ASA in determinati siti di social network che sono diventati dei problemi nel nostro ufficio. Questa domanda è davvero in due parti:

  1. Esiste un modo affidabile per recuperare tutti gli indirizzi IP per questi siti?
    • Sembra che i server DNS di Facebook rispondano con indirizzi IP casuali. A digseguito da un nslookuprendimento di due diversi indirizzi IP per www.facebook.com.
  2. C'è un trucco per farmi aggiungere i nomi host a Cisco ASA tramite Adaptive Security Device Manager (ASDM).
    • Ho trovato il filtro URL, ma questo richiede un software di terze parti che dubito che avrò finanziamenti solo per bloccare questi siti.

Stiamo cercando una soluzione temporanea fino a quando non riuscirò a far funzionare Squid , che potrebbe arrivare fino a sei mesi (abbiamo bisogno di un amministratore di rete, male).

domain-name-system  firewall  cisco 
Jack M.
fonte

Risposte:

21

Chi usi come provider DNS? Se riesci a passare a qualcuno come OpenDNS (è gratuito), forniscono il blocco automatico (e molto configurabile) di siti di social network, webmail, contenuti per adulti ecc.

EDIT: Non devi cambiare nulla con il tuo ISP.

Marko Carter
fonte
1
Ha puntato le voci DNS del mio router su OpenDNS e lo ha bloccato lì (le workstation sono oggetti Criteri di gruppo configurati per utilizzare il DNS del router). Funziona alla grande e blocca TUTTO il gruppo di social network. Facebook, MySpace, ecc., Oltre a programmi di chat e così via
SpaceManSpiff il
E la velocità di OpenDNS? Va bene?
blank3
@ blank3: gestiscono un sacco di server distribuiti in rete usando qualsiasi routing routing, quindi di solito è abbastanza buono.
Nicholas Knight,
Solo per aggiungere questa risposta: potresti voler bloccare le query DNS in uscita dai tuoi utenti in modo che i tuoi utenti più sofisticati non possano semplicemente cambiare i loro server DNS per aggirare questo.
zippy,
va benissimo a meno che qualcuno che usa il computer non sappia come fare "nslookup facebook.com 8.8.8.8" e inserire l'IP restituito nel file hosts del computer.
Olipro,
9

Sul tuo Cisco asa puoi fare quanto segue:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Consiglio vivamente di leggere tutti i dettagli sul sito Web di Cisco .

Jeremy Rossi
fonte
8
  1. Raccogli registri dell'attività web dell'utente.
  2. Vai alla scrivania dell'utente.
  3. Mostra loro i registri e dì loro che se non smettono di fregare il tempo dell'azienda, verranno licenziati.
  4. Registra l'evento.

Potresti anche essere promosso al management se continui così. ;)

Ernie
fonte
Ooooh, discreto ... hehehe. La domanda però non era in realtà "come posso impedire ai miei utenti di accedere ai siti di social network", l'ho letta più come: "Come posso disabilitare l'accesso degli utenti ai siti per dominio" che potrebbe parlare di personale o di ospiti accedere a questo tipo di siti. Hai un punto però, quindi no - da parte mia;)
l0c0b0x
Quindi forse il passaggio 0 dovrebbe essere "Chiedi se è il risultato finale o il mezzo che conta". Inoltre, nel passaggio 3, non ho detto che non dovevi avere tatto. Si potrebbe dire che la direzione ti ha detto di impedire loro di accedere ai siti che hanno visitato e di lasciargli capire cosa significa.
Ernie,
5

Un mio cliente aveva questo esatto problema. Ecco come abbiamo affrontato la soluzione:

  1. Installato un box IPCop con proxy Squid incorporato e installato anche il componente aggiuntivo URLFilter. Tutto il traffico ora scorre attraverso la casella IPCop.

  2. L'indirizzo IP di tutti è stato codificato nel proprio interno telefonico per il semplice fatto che ha reso SEMPRE più semplice l'identificazione dei trasgressori. Abbiamo anche modificato tutte le impostazioni del server DNS in modo che puntino a OpenDNS . (Ulteriori opzioni di filtro sono possibili con OpenDNS ma alla fine non sono state richieste.)

  3. Rimosso (e vietato) l'uso di tutti i client di messaggistica istantanea pubblici come Yahoo Messenger, MSN, AOL, ICQ, ecc. Invece abbiamo installato un server XMPP solo per aziende sicuro chiamato SecuredIM in modo che tutto il traffico IM fosse registrato e essere garantito per essere solo comunicazioni da azienda a società.

  4. SecuredIM ha anche la capacità unica di acquisire screenshot dei desktop ogni XX minuti. Se un dipendente era sospettato di aver preso in giro (sulla base dei registri IPCop) un'immagine valeva 1.000 parole. Alcuni screenshot potrebbero essere archiviati e inviati per e-mail per una successiva revisione (o azione diciplinare).

  5. Abbiamo bloccato Facebook, Myspace, Hulu e altri due o tre altri principali abusi tramite il filtro URL sulla casella IPCop.

  6. Revisione manuale (e più siti bloccati se necessario) per circa una settimana.

  7. Apertura della navigazione "libera / non bloccata" durante l'ora di pranzo (12: 00-13: 00).

Alla fine della settimana la società ha subito una trasformazione totale. La produttività è aumentata notevolmente e nessuno si è lamentato.

Come in ogni compagnia, ci sono sempre 1-2 ribelli là fuori che pensano che sia un "gioco".

Quando è nytimes.comstato bloccato sono andati su un altro sito di notizie. Quando fu bloccato, ne presero un altro. Altri hanno smesso di navigare e hanno preso hobby come Solitaire e Minesweeper , ma gli screenshot di SecuredIM hanno capito che (IPCop non poteva ovviamente).

Entro due settimane (e un paio di discussioni sul datore di lavoro / sui dipendenti, inclusa l'azione disciplinare per gli individui testardi), tutto è andato per il meglio e ha funzionato senza intoppi per quasi due anni.

URL:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

NOTA A MARGINE:

Come una divertente storia secondaria. Circa un anno dopo, un problema elettrico nell'edificio ha causato l'interruzione dell'alimentazione elettrica della scatola IPCop ed è stato 2-3 giorni prima che potesse essere installata una nuova scatola IPCop.

Abbiamo scoperto che i dipendenti hanno impiegato meno di 48 ore per tornare alle loro vecchie / originali abitudini di navigazione e ridurre la produttività.

È stato piuttosto un esperimento sociale. :-)

KPWINC
fonte
2
+1 per la fantastica spiegazione. Sfortunatamente, il proxy era qualcosa che stavamo evitando a causa del tempo impiegato. È la migliore soluzione a lungo termine, ma probabilmente il mio tempo è probabilmente meglio speso per la programmazione (questo è il mio lavoro, dopo tutto ... Non chiedere).
Jack M.
7
Oh mio Dio, sembra un posto orribile in cui lavorare.
Karolis T.
Come in ogni compagnia, ci sono sempre 1-2 ribelli là fuori che pensano che sia un "gioco". --- Li chiami ribelli, io li chiamo combattenti per la libertà. Mio Dio, ci sono modi più efficaci della censura e della sorveglianza per mantenere ragionevoli i dipendenti. Come, sai, assumere dipendenti decenti.
Luke non ha un nome il
4

La soluzione DNS mi sembra la migliore risposta, ma tieni presente che molto probabilmente saranno comunque in grado di accedere ai siti tramite indirizzo IP (probabilmente sei consapevole del livello della tua domanda, ma altri che la trovano su Google potrebbe non essere).

In secondo luogo, guarda la risposta di Evan a Limitare discretamente gli utenti dall'esecuzione di determinati programmi su computer Windows per impedire agli utenti di eseguire determinati programmi. Penso che tu stia cercando di risolvere un problema di gestione con l'IT. In realtà dovrebbero probabilmente assumere persone abbastanza responsabili da obbedire a qualunque regola sia chiarita, e probabilmente dovrebbero preoccuparsi del fatto che i loro compiti vengano svolti bene e in tempo, invece di quali siti Web visitano nei periodi di inattività. Bloccare questa roba probabilmente sta solo diffondendo risentimento in tutta l'azienda. Naturalmente, devi fare tutto ciò che devi fare, e probabilmente non dipende nemmeno da te - ma penso che questo dovrebbe sempre essere considerato prima di fare questo tipo di passo se non lo fosse già.

Kyle Brandt
fonte
Sì, stavo per dire. La domanda "torna da noi con i tuoi risultati" viene in mente, perché la prima cosa che le persone faranno è che accederanno invece a Facebook sui loro telefoni cellulari.
Ernie,
1
Sono assolutamente d'accordo, Kyle. Stiamo risolvendo un problema di gestione con l'IT. Sfortunatamente, il problema non viene riconciliato dal management e, di conseguenza, l'azienda sta soffrendo. Questo è il mio modo di gestire dal basso, a causa delle limitazioni nella gestione dall'alto.
Jack M.
2

Ho adottato un approccio diverso per risolvere questo problema.

Invece di avere il traffico di decodifica ASA, ho creato una zona di ricerca diretta sul mio server DNS locale per "facebook.com" e ho lasciato vuote tutte le voci DNS. Se lo desideri, puoi sempre indirizzare il sito a una pagina Web interna indicando all'utente che sta tentando di accedere a un sito vietato dalla politica aziendale.

Spero che questo possa essere d'aiuto.

l8nite4me
fonte
0

Se non hai il tempo o il personale per creare la tua soluzione, potresti prendere in considerazione un prodotto chiavi in ​​mano.

Usiamo eSoft's Threatwall, che fa un ottimo lavoro nel controllo dell'accesso (tramite IP o URL). Abbastanza facile da configurare con caselle di controllo per tutti i tipi comuni di siti, oltre alla possibilità di aggiungere il proprio e avere una lista bianca. Hanno diversi pacchetti disponibili (il nostro filtra anche lo spam, ad esempio).

Non affiliato a eSoft, tranne che come cliente, Dave

-2

Forse invece di bloccare gli indirizzi IP, potresti indirizzare i nomi host su localhost, ovvero modificare il file host in modo che assomigli a:

www.facebook.com     127.0.0.1

Ciò impedirebbe di cercare il vero indirizzo IP di Facebook, ecc.

Kip
fonte
1
Sto cercando di farlo a livello di rete, non sui singoli computer.
Jack M.
6
Oppure, se disponi di un server DNS interno, imposta qui record falsi per facebook e myspace
Sam Cogan,
2
Non gestiamo il nostro DNS, usiamo i nostri ISP.
Jack M.
1
Riesci a posizionare uno spedizioniere tra i tuoi utenti e l'ISP?
Dan Carley,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.