Blokowanie Facebooka i Myspace według adresu IP

11

Mam problem z tym, że urządzenie Cisco ASA blokuje niektóre serwisy społecznościowe, które w naszym biurze stały się czasochłonne. To pytanie naprawdę składa się z dwóch części:

  1. Czy istnieje niezawodny sposób na odzyskanie wszystkich adresów IP tych witryn?
    • Wygląda na to, że serwery DNS Facebooka odpowiadają losowymi adresami IP. Następnie dignastępuje nslookupwydajność dla dwóch różnych adresów IP www.facebook.com.
  2. Czy istnieje sztuczka pozwalająca mi dodawać nazwy hostów do Cisco ASA za pomocą Adaptive Security Device Manager (ASDM).
    • Znalazłem filtr adresów URL, ale wymaga to oprogramowania innej firmy, co do którego wątpię, czy dostanę środki na blokowanie tych witryn.

Szukamy tymczasowego rozwiązania, dopóki nie mogę uruchomić Squid , co może potrwać nawet sześć miesięcy (potrzebujemy administratora sieci, źle).

domain-name-system  firewall  cisco 
Jack M.
źródło

Odpowiedzi:

21

Kogo używasz jako dostawcy DNS? Jeśli możesz przejść na kogoś takiego jak OpenDNS (jest bezpłatny), zapewniają one automatyczne (i bardzo konfigurowalne) blokowanie serwisów społecznościowych, poczty internetowej, treści dla dorosłych itp.

EDYCJA: Nie musisz nic zmieniać u swojego dostawcy usług internetowych.

Marko Carter
źródło
1
Wskazał wpisy DNS mojego routera na OpenDNS i tam go zablokował (stacje robocze są skonfigurowane w GPO do korzystania z DNS routera). Działa świetnie i blokuje całą sieć społecznościową. Facebook, MySpace itp., A także programy czatu i tak dalej
SpaceManSpiff
Co z prędkością OpenDNS? Czy to jest w porządku?
blank3
@ blank3: Obsługują kilka serwerów rozproszonych w sieci za pomocą routingu anycast, więc zazwyczaj jest całkiem niezła.
Nicholas Knight
Wystarczy dodać do tej odpowiedzi: możesz zablokować wychodzące zapytania DNS od użytkowników, aby bardziej zaawansowani użytkownicy nie mogli po prostu zmienić swoich serwerów DNS, aby obejść ten problem.
zippy
to świetnie, chyba że ktoś korzystający z komputera wie, jak to zrobić „nslookup facebook.com 8.8.8.8” i wstawi zwrócone IP do pliku hosts na komputerze.
Olipro
9

Na swoim Cisco asa możesz wykonać następujące czynności:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Gorąco polecam przeczytanie pełnych szczegółów na stronie internetowej Cisco .

Jeremy Rossi
źródło
8
  1. Zbierz dzienniki aktywności internetowej użytkownika.
  2. Przejdź do biurka użytkownika.
  3. Pokaż im dzienniki i powiedz, że jeśli nie przestaną się pieprzyć w towarzystwie, zostaną zwolnieni.
  4. Zaloguj wydarzenie.

Możesz nawet awansować do zarządzania, jeśli będziesz to utrzymywał. ;)

Ernie
źródło
Ooooh, taktowny ... hehehe. Pytanie nie brzmiało tak naprawdę: „w jaki sposób mam uniemożliwić użytkownikom dostęp do serwisów społecznościowych”, czytam bardziej: „W jaki sposób mogę wyłączyć dostęp użytkowników do stron internetowych według domen”, co może dotyczyć personelu lub gości dostęp do tego rodzaju stron. Masz jednak
rację
Może więc krok 0 powinien brzmieć „Zapytaj, czy to wynik końcowy, czy sposób, który ma znaczenie”. Ponadto w kroku 3 nie powiedziałem, że nie musisz mieć taktu. Można powiedzieć, że zarząd powiedział ci, aby uniemożliwić im dostęp do stron, które przeglądali, i zostawić im, aby zrozumieli, co to oznacza.
Ernie,
5

Mój klient miał dokładnie ten problem. Oto jak poradziliśmy sobie z rozwiązaniem:

  1. Zainstalowałem skrzynkę IPCop z wbudowanym proxy Squid, a także zainstalowałem dodatek URLFilter. Cały ruch przepływa teraz przez skrzynkę IPCop.

  2. Na wszystkich numerach wewnętrznych na stałe zakodowano adres IP każdego telefonu, ponieważ ułatwiał on identyfikację przestępców. Zmieniliśmy również wszystkie ustawienia serwera DNS, aby wskazywały na OpenDNS . (Dalsze opcje filtrowania są możliwe dzięki OpenDNS, ale okazało się, że nie były one jednak wymagane).

  3. Usunięto (i zbanowano) korzystanie ze wszystkich publicznych klientów IM , takich jak Yahoo Messenger, MSN, AOL, ICQ itp., Itp. Zamiast tego zainstalowaliśmy bezpieczny tylko serwer firmowy XMPP o nazwie SecuredIM , aby cały ruch IM był rejestrowany i gwarantujemy, że będzie to tylko komunikacja między przedsiębiorstwami.

  4. SecuredIM ma również wyjątkową możliwość robienia zrzutów ekranów z komputerów co 20 minut. Jeśli podejrzewano pracownika o wygłupy (na podstawie dzienników IPCop), zdjęcie było warte 1000 słów. Wybrane zrzuty ekranu można zarchiwizować i przesłać pocztą elektroniczną w celu późniejszego przejrzenia (lub działania w przypadku wypadku).

  5. Zablokowaliśmy Facebooka, Myspace, Hulu i dwa lub trzy inne poważne nadużycia za pomocą URLFilter na polu IPCop.

  6. Recenzja ręczna (i więcej witryn zablokowanych w razie potrzeby) przez około tydzień.

  7. Otwarte surfowanie „za darmo / odblokowane” w porze lunchu (12:00 - 13:00).

Pod koniec tygodnia firma przeszła całkowitą transformację. Wydajność wzrosła dramatycznie i nikt nie narzekał.

Jak w każdej firmie, zawsze jest 1-2 rebeliantów, którzy myślą, że to „gra”.

Po nytimes.comzablokowaniu przeszli na inną stronę z wiadomościami. Kiedy to zostało zablokowane, wybrali jeszcze jeden. Inni przestali surfować i zajęli się hobby, takim jak Solitaire i Saper , ale złapały to zrzuty ekranu SecuredIM (IPCop oczywiście nie mógł).

W ciągu dwóch tygodni (oraz kilku dyskusji pracodawców / pracowników, w tym działań dyscyplinarnych wobec upartych osób) wszystko działało sprawnie i działało sprawnie od prawie dwóch lat.

URLS:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

DYGRESJA:

Jako zabawna historia poboczna. Około rok później problem z elektrycznością w budynku spowodował zgaśnięcie zasilacza skrzynki IPCop i minęło 2-3 dni, zanim można było zainstalować nową skrzynkę IPCop.

Odkryliśmy, że powrót do starych / oryginalnych nawyków surfowania i produktywności zajął mniej niż 48 godzin.

To był eksperyment społeczny. :-)

KPWINC
źródło
2
+1 za niesamowite wyjaśnienie. Niestety, proxy było czymś, czego unikaliśmy ze względu na czas. Jest to najlepsze rozwiązanie na dłuższą metę, ale prawdopodobnie lepiej spędzam czas na programowaniu (w końcu to moja praca ... Nie pytaj).
Jack M.,
7
O rany, to brzmi jak okropne miejsce do pracy.
Karolis T.
Jak w każdej firmie, zawsze jest 1-2 rebeliantów, którzy myślą, że to „gra”. --- Nazywasz ich buntownikami, ja nazywam ich bojownikami o wolność. Mój Boże, istnieją bardziej skuteczne sposoby niż cenzura i inwigilacja, aby pracownicy byli rozsądni. Jak wiesz, zatrudnianie porządnych pracowników.
Łukasz nie ma imienia
4

Rozwiązanie DNS wydaje mi się najlepszą odpowiedzią, ale pamiętaj, że najprawdopodobniej nadal będą mogli uzyskiwać dostęp do witryn za pośrednictwem adresu IP (prawdopodobnie znasz to z poziomu pytania, ale inni, którzy znajdują to w Google może nie być).

Po drugie, spójrz na reakcję Evana na dyskretne ograniczanie użytkownikom uruchamiania niektórych programów na komputerach z systemem Windows o powstrzymywaniu użytkowników przed uruchamianiem niektórych programów. Myślę, że próbujesz rozwiązać problem zarządzania IT. Naprawdę powinni prawdopodobnie zatrudniać osoby, które są wystarczająco odpowiedzialne, aby przestrzegać wszelkich jasno określonych zasad, i prawdopodobnie powinny martwić się, że wykonają swoje zadania dobrze i terminowo, zamiast tego, które strony odwiedzają w czasie przestoju. Zablokowanie tych rzeczy prawdopodobnie tylko rozprzestrzeni niechęć w całej firmie. Oczywiście robisz wszystko, co musisz, i to prawdopodobnie nie zależy od ciebie - ale myślę, że należy to zawsze rozważyć przed podjęciem tego rodzaju kroków, jeśli jeszcze tego nie było.

Kyle Brandt
źródło
Tak, miałem właśnie powiedzieć. Przychodzi mi na myśl pytanie „wróć do nas z wynikami”, ponieważ pierwszą rzeczą, którą ludzie zrobią, będzie dostęp do Facebooka na swoich telefonach komórkowych.
Ernie,
1
Absolutnie się zgodziłbym, Kyle. Rozwiązujemy problem zarządzania z IT. Niestety, problem nie został rozwiązany przez kierownictwo, a firma cierpi z tego powodu. To jest mój sposób zarządzania od dołu, z powodu ograniczeń w zarządzaniu z góry.
Jack M.,
2

Przyjęłam inne podejście do rozwiązania tego problemu.

Zamiast odszyfrowywania ruchu ASA utworzyłem strefę wyszukiwania do przodu na moim lokalnym serwerze DNS dla „facebook.com” i pozostawiłem puste wpisy DNS. Jeśli chcesz, zawsze możesz skierować witrynę na wewnętrzną stronę internetową, informującą użytkownika, że ​​próbuje uzyskać dostęp do witryny zabronionej przez zasady firmy.

Mam nadzieję, że to pomoże.

l8nite4me
źródło
0

Jeśli nie masz czasu ani personelu, aby zbudować własne rozwiązanie, możesz rozważyć zakup produktu pod klucz.

Korzystamy z eSoft's Threatwall, która świetnie sprawdza się w kontrolowaniu dostępu (przez IP lub URL). Całkiem łatwa w konfiguracji z polami wyboru dla wszystkich popularnych typów witryn, a także możliwością dodania własnej i posiadania białej listy. Mają różne dostępne pakiety (na przykład nasz również filtruje spam).

Nie związany z eSoft, poza klientem, Dave

-2

Może zamiast blokować adresy IP, możesz skierować nazwy hosta do localhost, to znaczy edytować plik hosta, aby wyglądał mniej więcej tak:

www.facebook.com     127.0.0.1

Spowodowałoby to zatrzymanie wyszukiwania prawdziwego adresu IP Facebooka itp.

Wyrko
źródło
1
Chcę to zrobić na poziomie sieci, a nie na poszczególnych komputerach.
Jack M.,
6
Lub jeśli masz wewnętrzny serwer DNS, skonfiguruj tutaj fałszywe rekordy dla Facebooka i Myspace
Sam Cogan
2
Nie prowadzimy własnego DNS-u, korzystamy z usług naszych dostawców usług internetowych.
Jack M.,
1
Czy możesz umieścić spedytora między użytkownikami a dostawcą usług internetowych?
Dan Carley,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.