การบล็อก Facebook และ MySpace ตามที่อยู่ IP

ฉันมีปัญหาในการสร้างอุปกรณ์Cisco ASAบล็อกเว็บไซต์เครือข่ายสังคมบางแห่งซึ่งกลายเป็นที่เก็บเวลาในสำนักงานของเรา คำถามนี้เป็นสองส่วนจริงๆ:

1. มีวิธีที่เชื่อถือได้ในการดึงข้อมูลที่อยู่ IP ทั้งหมดสำหรับเว็บไซต์เหล่านี้หรือไม่?
   • ดูเหมือนว่าเซิร์ฟเวอร์ DNS ของ Facebook จะตอบสนองด้วยที่อยู่ IP แบบสุ่ม digตามด้วยnslookupอัตราผลตอบแทนที่สองที่อยู่ IP www.facebook.comที่แตกต่างกันสำหรับ
2. มีวิธีให้ฉันเพิ่มชื่อโฮสต์ให้กับ Cisco ASA ผ่าน Adaptive Security Device Manager (ASDM) หรือไม่
   • ฉันพบตัวกรอง URL แต่ต้องใช้ซอฟต์แวร์ของบุคคลที่สามซึ่งฉันสงสัยว่าฉันจะได้รับเงินทุนเพื่อบล็อกเว็บไซต์เหล่านี้

เรากำลังมองหาวิธีการแก้ปัญหาชั่วคราวจนกว่าฉันจะได้รับSquidและทำงานซึ่งอาจไกลถึงหกเดือน (เราต้องการผู้ดูแลระบบเครือข่ายไม่ดี)

คุณใช้ใครเป็นผู้ให้บริการ DNS ของคุณ หากคุณสามารถเปลี่ยนเป็นคนอย่าง OpenDNS (ฟรี) พวกเขาจะทำการบล็อกไซต์เครือข่ายสังคมออนไลน์เว็บเมลเนื้อหาสำหรับผู้ใหญ่และอื่น ๆ โดยอัตโนมัติ

แก้ไข: คุณไม่ต้องเปลี่ยนอะไรกับ ISP ของคุณด้วย

ใน Cisco asa ของคุณคุณสามารถทำสิ่งต่อไปนี้:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

ฉันอยากจะแนะนำให้คุณอ่านรายละเอียดในเว็บไซต์ของซิสโก้

1. รวบรวมบันทึกกิจกรรมทางเว็บของผู้ใช้
2. ไปที่โต๊ะทำงานของผู้ใช้
3. แสดงบันทึกให้พวกเขาและบอกพวกเขาหากพวกเขาไม่หยุดคละคลุ้งในเวลา บริษัท พวกเขาจะถูกไล่ออก
4. บันทึกเหตุการณ์

คุณอาจได้รับการเลื่อนตำแหน่งให้เป็นผู้บริหารหากคุณทำตามนี้ ;)

ลูกค้าของฉันมีปัญหาตรงนี้ นี่คือวิธีที่เราจัดการกับโซลูชัน:

1. ติดตั้งกล่องIPCopด้วยSquid proxy ในตัวและติดตั้ง URLFilter add on ปริมาณการใช้งานทั้งหมดจะไหลผ่านกล่อง IPCop

2. ฮาร์ดรหัสที่อยู่ IP ของทุกคนไปยังส่วนขยายโทรศัพท์ของพวกเขาสำหรับความจริงง่ายๆที่ทำให้ง่ายต่อการระบุตัวผู้กระทำผิด นอกจากนี้เรายังมีการเปลี่ยนแปลงการตั้งค่า DNS เซิร์ฟเวอร์ไปยังจุดที่จะOpenDNS (ตัวเลือกการกรองเพิ่มเติมเป็นไปได้กับ OpenDNS แต่ปรากฏว่าไม่จำเป็นต้องใช้เลย)

3. ลบ (และถูกแบน) การใช้ไคลเอนต์IMสาธารณะทั้งหมดเช่น Yahoo Messenger, MSN, AOL, ICQ ฯลฯ ฯลฯ แทนที่จะติดตั้งเซิร์ฟเวอร์XMPPเฉพาะ บริษัท ที่มีความปลอดภัยชื่อSecuredIMเพื่อให้ปริมาณการใช้ IM ทั้งหมดจะถูกบันทึกและจะ ได้รับการรับประกันว่าจะเป็นการสื่อสารระหว่าง บริษัท กับ บริษัท เท่านั้น

4. SecuredIM ยังมีความสามารถพิเศษในการถ่ายภาพหน้าจอเดสก์ท็อปทุก ๆ XX นาที หากพนักงานถูกสงสัยว่าผิดพลาด (ขึ้นอยู่กับบันทึก IPCop) ภาพนั้นมีค่า 1,000 คำ ภาพหน้าจอที่เลือกอาจถูกเก็บถาวรและส่งอีเมลเพื่อตรวจสอบในภายหลัง (หรือการกระทำ diciplinary)

5. เราบล็อก Facebook, Myspace, Huluและการละเมิดหลักอื่น ๆ สองหรือสามครั้งผ่าน URLFilter ในช่อง IPCop

6. การตรวจสอบด้วยตนเอง (และไซต์อื่น ๆ ถูกบล็อกหากจำเป็น) ประมาณหนึ่งสัปดาห์

7. เปิดการท่องเว็บ "ฟรี / ไม่ถูกบล็อก" ในช่วงเวลากลางวัน (12.00 น. - 13.00 น.)

ในตอนท้ายของสัปดาห์ บริษัท มีการเปลี่ยนแปลงโดยรวม ผลผลิตเพิ่มขึ้นอย่างมากและไม่มีใครบ่นมาก

เช่นเดียวกับ บริษัท อื่น ๆ มีผู้ก่อกบฏ 1-2 คนที่คิดว่าเป็น "เกม" เสมอ

เมื่อnytimes.comถูกบล็อกพวกเขาไปที่เว็บไซต์ข่าวอื่น เมื่อถูกบล็อคพวกเขาก็เลือกอีกอัน คนอื่น ๆ หยุดท่องและรับงานอดิเรกเช่นSolitaireและMinesweeperแต่ภาพหน้าจอของ SecuredIM จับได้ว่า (IPCop ไม่สามารถเห็นได้ชัด)

ภายในสองสัปดาห์ (และการหารือของนายจ้าง / ลูกจ้างรวมถึงการลงโทษทางวินัยสำหรับบุคคลที่ดื้อรั้น) ทุกอย่างทำงานได้อย่างราบรื่นและทำงานอย่างราบรื่นมาเกือบสองปี

URL ที่:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

หมายเหตุด้าน:

เป็นเรื่องตลก ประมาณหนึ่งปีต่อมาปัญหาไฟฟ้าในอาคารส่งผลให้แหล่งจ่ายไฟในกล่อง IPCop ออกไปและใช้เวลา 2-3 วันก่อนที่จะมีการวางกล่อง IPCop ใหม่

เราพบว่าพนักงานใช้เวลาน้อยกว่า 48 ชั่วโมงเพื่อกลับไปสู่พฤติกรรมการท่องเว็บแบบเดิม / ดั้งเดิมและประสิทธิภาพในการทำงานลดลง

เป็นการทดลองทางสังคม :-)

โซลูชัน DNS ดูเหมือนจะเป็นคำตอบที่ดีที่สุดสำหรับฉัน แต่ระวังว่าแน่นอนว่าพวกเขาส่วนใหญ่จะยังสามารถเข้าถึงเว็บไซต์ผ่านทางที่อยู่ IP (คุณอาจจะทราบจากระดับคำถามของคุณ แต่คนอื่น ๆ ที่พบใน Google อาจจะไม่ใช่).

ประการที่สองดูการตอบสนองของ Evan ต่อDiscretely จำกัด ผู้ใช้ไม่ให้รันโปรแกรมบางโปรแกรมบนคอมพิวเตอร์ Windowsเกี่ยวกับการหยุดผู้ใช้ไม่ให้ทำงานบางโปรแกรม ฉันคิดว่าคุณกำลังพยายามแก้ปัญหาการจัดการกับไอที จริง ๆ แล้วพวกเขาควรจะจ้างคนที่มีความรับผิดชอบมากพอที่จะเชื่อฟังกฎใด ๆ ที่ชัดเจนและพวกเขาก็ควรกังวลเกี่ยวกับการทำให้งานของพวกเขาทำได้ดีและตรงเวลาแทนที่จะเป็นเว็บไซต์ที่พวกเขาเยี่ยมชมในช่วงเวลาหยุดทำงาน การบล็อกสิ่งนี้น่าจะเป็นการกระจายความขุ่นเคืองไปทั่วทั้ง บริษัท แน่นอนว่าคุณต้องทำในสิ่งที่คุณต้องทำและอาจไม่ถึงคุณ - แต่ฉันคิดว่าสิ่งนี้ควรได้รับการพิจารณาก่อนที่จะทำตามขั้นตอนนี้หากยังไม่ได้ทำ

ฉันใช้แนวทางที่แตกต่างเพื่อแก้ไขปัญหานี้

แทนที่จะสร้างทราฟฟิกถอดรหัส ASA ฉันสร้างโซนการค้นหาแบบส่งต่อบนเซิร์ฟเวอร์ DNS ในเครื่องของฉันสำหรับ "facebook.com" และปล่อยให้รายการ DNS ทั้งหมดว่างเปล่า หากคุณต้องการคุณสามารถชี้เว็บไซต์ไปยังหน้าเว็บภายในที่บอกผู้ใช้ว่าพวกเขากำลังพยายามเข้าถึงเว็บไซต์ที่ถูกห้ามโดยนโยบายของ บริษัท

ฉันหวังว่านี่จะช่วยได้.

หากคุณไม่มีเวลาหรือพนักงานในการสร้างโซลูชันของคุณเองคุณอาจพิจารณาผลิตภัณฑ์เทิร์นคีย์

เราใช้ Threatwall ของ eSoft ซึ่งทำงานได้ยอดเยี่ยมในการควบคุมการเข้าถึง (ผ่าน IP หรือ URL) ค่อนข้างง่ายต่อการกำหนดค่าด้วยกล่องกาเครื่องหมายสำหรับไซต์ทั่วไปทุกประเภทรวมถึงความสามารถในการเพิ่มของคุณเองและมีบัญชีขาว พวกเขามีแพ็คเกจที่แตกต่างกัน (เช่นเรากรองสแปมเช่นกัน)

ไม่เกี่ยวข้องกับ eSoft นอกเหนือจากในฐานะลูกค้า Dave

บางทีแทนที่จะปิดกั้นที่อยู่ IP คุณสามารถนำชื่อโฮสต์ไปยัง localhost นั่นคือแก้ไขไฟล์โฮสต์ของคุณเพื่อให้ดูเหมือน:

www.facebook.com     127.0.0.1

สิ่งนี้จะหยุดที่อยู่ IP ที่แท้จริงของ Facebook และอื่น ๆ ที่เคยถูกค้นหา