Najlepsze praktyki blokowania witryn społecznościowych

W naszej firmie mamy około 100 stacji roboczych z dostępem do Internetu, a codzienna sytuacja pogarsza się z punktu widzenia korzystania z dostępu do Internetu w celu wykonywania prywatnych prac i marnowania czasu na portalach społecznościowych.

Jestem otwarty, bo nie lubię blokować stron takich jak Facebook, YouTube i inne podobne strony, ale z dnia na dzień moi koledzy nie kończą swoich zadań i za każdym razem, gdy patrzę na ich monitory, używają Internet Explorera lub Mozilli Firefox i podobne rzeczy. Z drugiej strony chciałbym zablokować YouTube, gdy mamy bardzo niską prędkość dostępu do Internetu.

Oto moje pytania:

• Czy inne firmy blokują witryny społecznościowe?
• Czy potrzebuję do tego dedykowanego urządzenia, takiego jak zapora sprzętowa lub super drogi router? Czy mogę to zrobić za pomocą istniejącego samodzielnie wykonanego routera FreeBSD 6.1 z dwiema kartami LAN i skonfigurowanym NAT, który działa jak router?

Próbowałem to zrobić przy użyciu ipfw i routerfirewall, ale bez powodzenia. Mój kod wygląda następująco:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

Co mogę zrobić, aby rozwiązać ten problem?

Czy inne firmy blokują witryny społecznościowe?

Tak, ale to nie znaczy, że to dobry pomysł. Książka Przewidywalnie irracjonalna zawiera ciekawą dyskusję i linki do kilku badań, które zasadniczo sugerują, że jeśli zablokujesz drobne użytkowanie osobiste, może to faktycznie kosztować produktywność. Jeśli ludzie uważają, że ich miejsce pracy jest przyjazne i podobne do domu, istnieje większe prawdopodobieństwo, że będą pracować w domu dłużej niż 40 godzin.

Jeśli jedna osoba powoduje problemy, być może lepiej z nią pracować, a następnie zastosować rozwiązanie technologiczne, aby po prostu zabić zepsute rzeczy. Technologia nie zastępuje menedżera, który faktycznie wykonuje swoją pracę.

Większość filtrów można łatwo ominąć, naprawdę powinieneś starać się unikać wyścigu zbrojeń ze swoimi współpracownikami. W pewnym momencie po prostu sprawisz, że zapora będzie tak wroga, że ​​nie będą w stanie wykonać rzeczywistej pracy, a prawdopodobnie nadal nie zablokowałeś wszystkich możliwych dróg wokół zapory.

Czy potrzebuję dedykowanego urządzenia, takiego jak sprzętowa zapora ogniowa, super drogi router, czy też mogę to zrobić za pomocą mojego istniejącego samodzielnie wykonanego routera FreeBSD 6.1 z dwiema kartami LAN i skonfigurowanym nat, aby działał jak router?

Możesz zainstalować Squid + Squidguard i zmusić cały ruch przez proxy. Możesz skonfigurować listy ACL, aby blokować witryny, których nie lubisz.

Sugeruję, abyś skonfigurował kałamarnicę jako serwer proxy, bez list ACL do blokowania czegokolwiek, i po prostu obserwuj dzienniki. Wymuszaj na wszystkich poprzez proxy (za wypowiedzeniem). Następnie skonfiguruj coś w rodzaju SARG, aby tworzyć raporty. Jeśli ktoś naprawdę ma problem z dobrym raportem, przedstawi przełożonemu pracownika dowody na potrzebę rozpoczęcia rozwiązywania problemu.

Należy temu zaradzić stosując procedurę dyscyplinarną, a nie zaporę ogniową. To techniczne rozwiązanie problemu pozatechnicznego.

Wiesz, w jaki sposób RIAA i MPAA publikują te szalone liczby na temat tego, ile kosztuje ich piractwo pieniężne, w oparciu o idiotyczne założenie, że każda jednostka pirackich treści zostałaby zakupiona, gdyby piractwo było niemożliwe?

Robisz to samo, zakładając, że gdyby „marnowanie” czasu w mediach społecznościowych było niemożliwe, czas ten byłby poświęcony na produktywną pracę. Ale chyba, że ​​są to urzędnicy zajmujący się wprowadzaniem danych, o których mówisz, prawdopodobnie mówimy o osobach z jakimś aspektem kreatywnym / pracownikiem wiedzy w swojej pracy, co oznacza, że ​​ich wydajność jest złożoną rzeczą, która nie wygląda tak samo jak twister widżetu na linii montażowej. Korzystanie z mediów społecznościowych może łatwo stanowić kluczowy element ich wydajności, a atakowanie może być atakowaniem tego, co pozwala im zarabiać pieniądze.

I to jeszcze zanim przejdziemy do moralnego wpływu traktowania pracowników jak więźniów w gangu łańcuchowym.

Tylko mówię, stary.

Blokujemy witryny tylko wtedy, gdy przeglądanie zakłóca produktywność i akceptujemy opinie lokalnego kierownictwa w tej sprawie (nawet jeśli podejrzewamy, że przesadzają).

Blokujemy witryny za pomocą serwera proxy; zwykle SQUID, który powinien działać poprawnie na twojej zaporze ogniowej. Kładziemy regułę na zaporze blokującej port wychodzący 80 (a czasem 443) ze wszystkich hostów z wyjątkiem serwerów i serwera proxy. Następnie używamy zasad grupy do skonfigurowania proxy w Internet Explorerze użytkowników.

Niektórzy menedżerowie pytają nas o statystyki użytkowania. Większość nie.

JR

Użyj OpenDNS . Powinieneś być w stanie zablokować za pomocą tego serwisu społecznościowego. W przeciwnym razie należy rozważyć użycie serwera proxy z funkcją filtrowania.

Najlepszym sposobem na zablokowanie rzeczy jest poprowadzenie menedżera dookoła i spędzanie więcej czasu w pobliżu tych, którzy nie załatwiają spraw. Jeśli ludzie wykonują pracę, dlaczego obchodzi Cię, jakie witryny odwiedzają lub ile czasu spędzają? Jeśli nie, napisz je i pozwól im iść dalej.

Kształtowanie pakietów do przesyłania strumieniowego przepustnicy sprawiło, że nasza sieć była bardzo dobra. Nikt nie przejmuje się tak bardzo portalami społecznościowymi, ponieważ 3 osoby ściągające filmy z YouTube nie przeszkadzają w pobieraniu plików MSDN.

Zanim zdecydujesz się na rozwiązanie, dowiedz się, jakie są prawdziwe punkty bólu.

Pracuję na uczelni i blokujemy strony za pomocą Websense. Dobry (nie idealny!), Ale drogi. OpenDNS jest tańszy i całkiem niezły.

Ostatecznie jednak uważam, że istnieje bardzo niewiele rozwiązań technicznych problemów behawioralnych. Jeśli Twoja firma nie chce, aby osoby odwiedzające serwisy społecznościowe, musiały wyjaśnić, że jest to sprzeczne z zasadami korzystania z Internetu, w przeciwnym razie dla niektórych stanie się grą. W każdym razie używaj narzędzi, aby w razie potrzeby egzekwować tę politykę, ale nie blokuj stron bez wyjaśnień i komunikacji.

Zgadzam się również z komentarzem na temat tego, czy praca jest wykonywana. Jeśli ludzie osiągają swoje cele, możesz zapytać, gdzie jest szkoda, jeśli pozwolisz im trochę stracić kontakt z Internetem.

Zgadzam się, że jest to polityka zarządzania zasobami ludzkimi, dział IT może wdrożyć jedynie mniej niż doskonałą technologię. W przypadku problemu powinno to być widoczne w działaniu sprawcy.

Jednak gdy wymagane jest posiadanie dowodu do celów postępowania dyscyplinarnego, dzienniki użytkowania Internetu są niezbędne w przypadku organizacji. W tym celu organizacja musi zastosować mechanizm rejestrowania / raportowania. O tym należy poinformować pracowników, a zasady użytkowania powinny być jasno udokumentowane w podręczniku pracownika.

Wykonujemy również monitorowanie użytkowania za pomocą WebSense. Kategorie surowo zabronione przez nasze zasady są od razu blokowane. Inne, które są luźniej regulowane, są dozwolone, klikając przycisk, który odpowiada pracownikowi mówiącemu: „Rozumiem ten filtr i kontynuuję z przyczyn biznesowych”. Narzędzie, którego użyjesz, będzie w dużym stopniu zależeć od rodzaju posiadanych zasad i wielkości organizacji.

Zgadzam się również całkowicie, że ograniczenie serwisów społecznościowych staje się coraz bardziej niepożądane, szczególnie dla przyszłych pokoleń.

Używamy kombinacji OpenDNS, ale także uruchamiamy skrzynkę IPCop przed siecią.

To pozwala nam ograniczyć witryny takie jak MySpace, FaceBook, YouTube itp. Z WYJĄTKIEM godziny lunchu (12:00 - 13:00).

Pozwala to pracownikom sprawdzać swoją przestrzeń myspace, facebook itp. W porze lunchu, ale pozwala im „skoncentrować się” na pracy w firmie.

Okresowo sprawdzamy pliki dziennika IPCop i ustalamy, czy trzeba zablokować więcej witryn.

Jeśli wdrożysz rozwiązanie IPCop, szybko odkryjesz, że po około tygodniu wszystkie wygłupianie „magicznie” ustaje. Przekonasz się również, że musisz zablokować tylko kilka witryn, aby znacznie zwiększyć wydajność pracowników.

Powodzenia

PS - Kolejnym świetnym produktem, z którego korzystaliśmy w przeszłości jest SecuredIM ( http://www.securedim.com ), który pozwala monitorować czat między firmami, a także okresowe zrzuty ekranu z pulpitu użytkownika, jeśli chcesz. (tj. Zrób migawkę pulpitu Joe co 10 minut)

Większość ludzi błędnie zakłada, że ​​cel filtrowania sieci jest jednoznaczny - nie chodzi tylko o produktywność - chociaż widziałem wiele przykładów w świecie rzeczywistym, w których produktywność wzrasta, gdy wydajność wzrasta, gdy stosowane są delikatne kontrole. Pracuję dla SmoothWall, dostawcy filtrowania stron internetowych - więc chociaż mogę mieć pewne uprzedzenia, mam również duże doświadczenie!

W dzisiejszych czasach Websense reklamują nawet „powiedz tak” - a my (SmoothWall) się zgadzamy. Musisz być łagodny. Korzystanie z soft-blocka (tylko przypomnienie, że jest to „non policy”) lub przedziały czasowe to 2 sposoby rozluźnienia rzeczy.

W każdym razie ... tak jak mówiłem ... nie tylko produktywność - widziałem problemy kadrowe wynikające z niewłaściwego korzystania z sieci społecznościowych, niewłaściwego korzystania z witryn dla dorosłych i braku dowodów, kiedy to się dzieje.

Na koniec ... warto zaznaczyć, że nie każdy zachowuje się tak, jak się tego spodziewamy - nie każdy ma „nastawienie sysadmin / techie” i będzie pracował ciężej, ponieważ dajesz mu facerbook .. wielu zrobi milę na cal - ludzką naturą jestem przestraszony.

Nie rób

Krótka odpowiedź: Tak, istnieją firmy blokujące dostęp do sieci (serwisy społecznościowe lub inne)

Długa odpowiedź:
Z punktu widzenia pracodawcy: Czas spędzony w pracy, nie wykonując żadnej pracy, jest marnowany.
Z punktu widzenia pracownika: moja praca jest skończona, czekam na więcej, pójdę (do tej strony) - w zależności od rodzaju pracy, którą wykonujesz, może być przerwa od momentu, kiedy twoja praca zostanie wykonana do kiedy dostajesz więcej pracy do zrobienia.

Jestem jednym z pracowników, którzy stracili dostęp do internetu, gdy nasza firma zdecydowała się wypróbować WebSense. I kilka rzeczy, których uczę się z bycia zablokowanym przez websense:

• Dużo się uczę na temat otwartego proxy, tunelowania i ogólnie informacji na temat obchodzenia bloków internetowych
• Duża ilość niepokojów wśród pracowników z blokadą dostępu do sieci - Nie wpływa na przełożonych, ponieważ ich dostęp nie jest ograniczony

Ograniczanie ludziom dostępu do serwisów społecznościowych powinno być częścią firmowej praktyki biznesowej i częścią etyki pracy firmy, nie powinno być żadnej lub nie ma potrzeby takiego egzekwowania za pomocą technologii (odniesienie: komentarz Davida Pashleya powyżej).

Egzekwowanie przepisów na poziomie osobistym przyniesie korzyści zarówno firmie, jak i pracownikowi na dłuższą metę. Pracownik będzie bardziej odpowiedzialny za swoją pracę i dostęp do serwisów społecznościowych, a firma będzie korzystała z bardziej odpowiedzialnego pracownika.

Osobisty
koszt monitorowania : praktycznie 0 USD. Menedżer / lider zespołu, aby poświęcić więcej czasu na zarządzanie zespołem i monitorowanie go.
Korzyści: pracownicy mają mniej czasu na odwiedzanie portali społecznościowych (aby wykonać więcej pracy), „mogą” w dłuższej perspektywie poprawić poczucie odpowiedzialności.


Koszt oprogramowania do blokowania stron internetowych : Zależy od oprogramowania, może być darmowy, może wynosić $$$$. Czas poświęcony na dostrajanie oprogramowania.
Korzyści: Oszczędź czas firmy od pracowników uzyskujących dostęp do serwisów społecznościowych, ogólnie oszczędzaj przepustowość firmy.

Najlepszym narzędziem do tego jest polityka użytkowania Internetu z otwartymi statystykami (ale kierownictwo sprzeciwi się temu, ponieważ, jak wiecie - to także ludzie).

1. Zablokuj wszystkie połączenia na zewnątrz z sieci użytkownika, bez wyjątków dla portów!
2. Zdobądź na przykład serwer proxy - Squid i dodaj filtr jak Squidguard
3. Teraz są dwa sposoby: skonfiguruj użytkownika do korzystania z proxy (zajmuje to trochę czasu) lub włącz przezroczyste proxy (mogą występować problemy z połączeniami SSL, ale szybciej).
4. Poszukaj użytkownika, który jest szczęśliwy i odinstaluj TOR ( http://tor.kamagurka.org/index.html.en ) ze swojego komputera, usuń usb, dyskietkę, cdrom itp., Aby nie mógł używać wersji przenośnej (lub lepszej - zwolnij go z dużą popularnością w firmie)

W odcinku „This Week is Startups” usłyszałem sugestię od Jasona Calacanisa, aby wysłać wiadomość e-mail do pracowników, aby mogli dowiedzieć się, ile czasu marnują.

Większość użytkowników prawdopodobnie nie wie, ile czasu spędzają na niektórych z tych witryn. Dzięki tej metodzie pracownicy mogą samoligować, a także wiedzieć, że jeśli wymknie się spod kontroli, prawdopodobnie również to wie.

Sponsorem programu, który miał produkt, który mógł to zrobić, był WebSpy .

Jeśli Twoi pracownicy wolą tracić czas niż wykonywać swoją pracę, dlaczego usunięcie jednego z tysięcy sposobów marnowania czasu ma znaczenie?

Być może problemem jest środowisko pracy stworzone przez ludzi, którzy myślą, że mogą traktować swoich pracowników w taki sposób.

Próbujesz zablokować to do tyłu.

Nie powinieneś przejmować się tym, że TCP / IP przechodzi do hosta. Powinieneś zablokować ruch przychodzący, to znaczy:

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

LUB po prostu zablokuj ruch internetowy:

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

Nie wszystko to jednak zablokuje, ponieważ adres www.youtube.comzostanie przekonwertowany na pierwszy adres IP znaleziony przez DNS, a blokowanie zostanie zablokowane przez równoważenie obciążenia. Możesz zablokować całą sieć, jeśli chcesz stać się paskudny.

Jeśli korzystasz z OpenDNS, zawsze możesz w ten sposób łatwo blokować według domen / treści

To zależy od rodzaju firmy, dla której pracujesz, w moim przypadku pracuję w obszarze edukacji i tutaj używamy SmartFilter (drogi jak diabli). ale chodzi mi o to, że w zależności od obszaru pracy możesz zablokować wszystkie witryny społecznościowe za pomocą OpenDNS (korzystałem z niego zanim wprowadziliśmy SmartFilter).

Chciałbym po prostu użyć serwera DNS do blokowania domen, ale nie zapomnij ustawić zapory sieciowej, aby użytkownicy nie mogli używać serwera DNS poza firmą (jak opendns)

Czy na pewno zablokowanie serwisów społecznościowych rozwiązuje problem?

Problem, który twierdzisz, polega na tym, że sytuacja się pogarsza ...

Czy masz na myśli to, że Twoi pracownicy używają zbyt dużej przepustowości w tych serwisach społecznościowych? Czy masz na myśli to, że Twoi pracownicy spędzają zbyt dużo czasu pracy na niektórych stronach internetowych?

Jeśli jest to pierwszy, najlepiej byłoby uzyskać numery ruchu. Byłbym za pomysłem publicznych numerów ruchu, ale bez względu na to, czy są one publiczne, czy jeśli problemem jest zbyt duży ruch sieciowy, zbieranie liczb pozwoliłoby ci podejmować inteligentne decyzje.

Jeśli masz wtedy zbyt duży ruch, zbieram numer na tydzień lub dwa, a następnie ogłaszam, że witryna zzz.com, aaa.com itp. Zostanie zablokowana na określoną datę.

Z drugiej strony, jeśli problem polega na tym, że pracownicy spędzają zbyt dużo czasu, problem nie jest problemem technicznym i prawdopodobnie należy go rozwiązać na inne sposoby.

Jeśli nadal chcesz poradzić sobie z tym technicznie, zbierając numery ruchu, możesz zablokować 10 najpopularniejszych witryn, które nie są uważane za ważne dla Twojej firmy, i sprawdzić, czy coś się poprawi.

Osobiście zatrudniam tylko osoby antyspołeczne.

Świetna dyskusja. Sprawdziłbym to. To świetny dokument do przekazania IT: To Block or Not. Czy to jest pytanie?