Chặn Facebook và Myspace theo địa chỉ IP

11

Tôi gặp một số khó khăn khi làm cho thiết bị Cisco ASA chặn một số trang mạng xã hội nhất định đã trở thành thời gian chìm trong văn phòng của chúng tôi. Câu hỏi này thực sự có hai phần:

  1. Có cách nào đáng tin cậy để lấy tất cả các địa chỉ IP cho các trang web này không?
    • Có vẻ như các máy chủ DNS của Facebook phản hồi với các địa chỉ IP ngẫu nhiên. A digtheo sau là một nslookupđịa chỉ IP khác nhau cho www.facebook.com.
  2. Có một mẹo để cho phép tôi thêm tên máy chủ vào Cisco ASA thông qua Trình quản lý thiết bị bảo mật thích ứng (ASDM).
    • Tôi đã tìm thấy bộ lọc URL, nhưng điều đó đòi hỏi một phần mềm của bên thứ ba mà tôi nghi ngờ tôi sẽ nhận được tài trợ chỉ để chặn các trang web này.

Chúng tôi đang tìm kiếm một giải pháp tạm thời cho đến khi tôi có thể đưa Squid lên và chạy, có thể là tới sáu tháng (chúng tôi cần một quản trị viên mạng, thật tệ).

domain-name-system  firewall  cisco 
Jack M
nguồn

Câu trả lời:

21

Bạn sử dụng ai làm nhà cung cấp DNS của bạn? Nếu bạn có thể chuyển sang một người như OpenDNS (miễn phí), họ sẽ tự động chặn (& rất có thể định cấu hình) các trang web mạng xã hội, webmail, nội dung người lớn, v.v.

EDIT: Bạn cũng không phải thay đổi bất cứ điều gì với ISP của bạn.

Marko Carter
nguồn
1
Đã trỏ các mục DNS của bộ định tuyến của tôi vào OpenDNS và chặn nó ở đó (các máy trạm được cấu hình GPO để sử dụng DNS của Bộ định tuyến). Hoạt động tuyệt vời và chặn các nhóm mạng xã hội ENTIRE. Facebook, MySpace, v.v., cộng với các chương trình trò chuyện, v.v.
SpaceManSpiff
Còn tốc độ của OpenDNS thì sao? Là nó ổn?
blank3
@ blank3: Họ chạy một loạt các máy chủ được phân phối trên mạng bằng cách sử dụng định tuyến anycast, vì vậy nó thường khá tốt.
Nicholas Knight
Chỉ cần thêm vào câu trả lời này: bạn có thể muốn chặn các truy vấn DNS gửi đi từ người dùng của mình để người dùng tinh vi hơn của bạn không thể thay đổi máy chủ DNS của họ để khắc phục điều này.
zippy
thật tuyệt vời trừ khi ai đó sử dụng máy tính biết cách thực hiện "nslookup facebook.com 8.8.8.8" và chèn IP trả về vào tệp máy chủ của máy tính.
Olipro
9

Trên Cisco asa của bạn, bạn có thể làm như sau:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Tôi đặc biệt khuyên bạn nên đọc chi tiết đầy đủ trên trang web của Cisco .

Jeremy Rossi
nguồn
8
  1. Thu thập nhật ký hoạt động web của người dùng.
  2. Đi đến bàn của người dùng.
  3. Cho họ xem nhật ký và nói với họ nếu họ không ngừng làm phiền thời gian của công ty, họ sẽ bị sa thải.
  4. Đăng nhập sự kiện.

Bạn thậm chí có thể được thăng chức lên quản lý nếu bạn tiếp tục. ;)

Ernie
nguồn
Ooooh, khéo léo ... hehehe. Câu hỏi mặc dù không thực sự là 'làm cách nào để ngăn người dùng của tôi truy cập các trang mạng xã hội', tôi đọc nó giống như: 'Làm cách nào để tôi vô hiệu hóa quyền truy cập web của người dùng vào các trang web theo tên miền' có thể nói về nhân viên hoặc khách truy cập các loại trang web. Mặc dù vậy, bạn có một điểm, vì vậy không - từ tôi;)
l0c0b0x
Sau đó, có lẽ bước 0 phải là "Hỏi xem đó là kết quả cuối cùng hay phương tiện quan trọng." Ngoài ra, trong bước 3, tôi không nói bạn phải không có chiến thuật. Bạn có thể nói rằng Quản lý đã nói với bạn để ngăn họ truy cập vào các trang web họ đã duyệt và để họ tìm hiểu điều đó có nghĩa là gì.
Ernie
5

Một khách hàng của tôi đã có vấn đề chính xác này. Đây là cách chúng tôi giải quyết giải pháp:

  1. Đã cài đặt hộp IPCop với proxy Squid tích hợp và cũng đã cài đặt thêm URLFilter. Tất cả lưu lượng bây giờ chảy qua hộp IPCop.

  2. Hard đã mã hóa địa chỉ IP của mọi người vào phần mở rộng điện thoại của họ vì thực tế đơn giản là nó giúp việc xác định người phạm tội dễ dàng hơn. Chúng tôi cũng đã thay đổi tất cả các cài đặt máy chủ DNS để trỏ đến OpenDNS . (Tùy chọn lọc tiếp theo là có thể với OpenDNS nhưng hóa ra cuối cùng chúng không được yêu cầu.)

  3. Removed (và cấm) việc sử dụng của tất cả các công IM khách hàng như Yahoo Messenger, MSN, AOL, ICQ, vv, vv Thay vào đó chúng ta cài đặt một an toàn công ty chỉ XMPP máy chủ gọi SecuredIM để tất cả lưu lượng IM sẽ được đăng nhập và sẽ được đảm bảo chỉ là thông tin liên lạc giữa các công ty.

  4. SecuredIM cũng có khả năng độc đáo để chụp ảnh màn hình máy tính để bàn cứ sau XX phút. Nếu một nhân viên bị nghi ngờ bỏ đi (dựa trên nhật ký IPCop), một bức tranh có giá trị 1.000 từ. Chọn ảnh chụp màn hình có thể được lưu trữ và gửi qua email để xem lại sau (hoặc hành động đa ngành).

  5. Chúng tôi đã chặn Facebook, Myspace, Hulu và hai hoặc ba vụ lạm dụng lớn khác thông qua URLFilter trên hộp IPCop.

  6. Xem xét thủ công (và nhiều trang web bị chặn nếu cần thiết) trong khoảng một tuần.

  7. Đã mở lướt "miễn phí / bỏ chặn" trong giờ ăn trưa (12:00 pm-1: 00 pm).

Đến cuối tuần, công ty là một sự thay đổi hoàn toàn. Năng suất tăng đáng kể và không ai phàn nàn nhiều.

Như với bất kỳ công ty nào, luôn có 1-2 kẻ nổi loạn ngoài kia nghĩ rằng đó là một "trò chơi".

Khi nytimes.combị chặn họ đã đi đến một trang web tin tức khác. Khi đó đã bị chặn, họ chọn một cái khác. Những người khác đã ngừng lướt web và tiếp nhận những sở thích như SolitaireMinesweeper , nhưng ảnh chụp màn hình SecuredIM đã bắt được điều đó (IPCop không thể rõ ràng).

Trong vòng hai tuần (và một vài cuộc thảo luận về chủ nhân / nhân viên bao gồm hành động kỷ luật đối với những cá nhân cứng đầu), mọi thứ đều hoạt động trơn tru và đã hoạt động trơn tru trong gần hai năm.

URL:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

LƯU Ý:

Như một câu chuyện bên vui. Khoảng một năm sau, một sự cố về điện trong tòa nhà đã khiến nguồn điện trên hộp IPCop bị tắt và phải 2-3 ngày trước khi hộp IPCop mới có thể được đưa vào.

Chúng tôi thấy rằng các nhân viên phải mất ít hơn 48 giờ để quay lại thói quen lướt web cũ / ban đầu và năng suất giảm xuống.

Đó là khá thử nghiệm xã hội. :-)

KPWINC
nguồn
2
+1 cho lời giải thích tuyệt vời. Thật không may, proxy là thứ chúng tôi đã tránh vì thời gian liên quan. Đó là giải pháp tốt nhất về lâu dài, nhưng thời gian của tôi có lẽ là dành cho lập trình tốt hơn (đó là công việc của tôi, sau tất cả ... Đừng hỏi).
Jack M.
7
Ôi trời, nghe có vẻ là một nơi kinh khủng khi làm việc.
Karolis T.
Như với bất kỳ công ty nào, luôn có 1-2 kẻ nổi loạn ngoài kia nghĩ rằng đó là một "trò chơi". --- Bạn gọi họ là phiến quân, tôi gọi họ là những chiến binh tự do. Chúa ơi, có nhiều cách hiệu quả hơn kiểm duyệt và giám sát để giữ cho nhân viên hợp lý. Giống như, bạn biết, thuê nhân viên đàng hoàng.
Luke không có tên
4

Giải pháp DNS nghe có vẻ là câu trả lời tốt nhất đối với tôi, nhưng lưu ý rằng tất nhiên họ rất có thể vẫn có thể truy cập các trang web qua địa chỉ IP (bạn có thể biết từ cấp độ câu hỏi của bạn, nhưng những người khác tìm thấy điều này trên Google có thể không).

Thứ hai, hãy xem phản ứng của Evan đối với việc hạn chế người dùng một cách thận trọng chạy các chương trình nhất định trên máy tính Windows về việc ngăn người dùng chạy một số chương trình nhất định. Tôi nghĩ bạn đang cố gắng giải quyết vấn đề quản lý với CNTT. Thực sự họ có lẽ nên thuê những người có trách nhiệm đủ để tuân theo bất kỳ quy tắc nào được làm rõ, và họ có lẽ nên lo lắng về việc họ hoàn thành tốt nhiệm vụ của mình và đúng giờ thay vì những trang web họ truy cập trong thời gian chết. Chặn thứ này có lẽ chỉ là sự phẫn nộ lan rộng khắp công ty. Tất nhiên, bạn phải làm bất cứ điều gì bạn phải làm, và nó có thể thậm chí không phụ thuộc vào bạn - nhưng tôi nghĩ điều này luôn cần được xem xét trước khi thực hiện bước này nếu nó chưa được thực hiện.

Kyle Brandt
nguồn
Vâng, tôi đã định nói. Câu hỏi "hãy quay lại với chúng tôi với kết quả của bạn" xuất hiện trong đầu, bởi vì điều đầu tiên mà mọi người sẽ làm là họ sẽ truy cập Facebook trên điện thoại di động của họ.
Ernie
1
Tôi hoàn toàn đồng ý, Kyle. Chúng tôi đang giải quyết một vấn đề quản lý với CNTT. Thật không may, vấn đề không được quản lý giải quyết, và kết quả là công ty đang phải chịu đựng. Đây là cách quản lý của tôi từ bên dưới, vì những hạn chế trong quản lý từ phía trên.
Jack M.
2

Tôi đã thực hiện một cách tiếp cận khác nhau để giải quyết vấn đề này.

Thay vì có lưu lượng giải mã ASA, tôi đã tạo vùng tra cứu chuyển tiếp trên máy chủ DNS cục bộ của mình cho "facebook.com" và để trống tất cả các mục nhập DNS. Nếu bạn muốn, bạn luôn có thể trỏ trang web đến một trang web nội bộ cho người dùng biết họ đang cố truy cập một trang bị cấm bởi chính sách của công ty.

Tôi hi vọng cái này giúp được.

l8nite4me
nguồn
0

Nếu bạn không có thời gian hoặc nhân viên để xây dựng giải pháp của riêng mình, bạn có thể xem xét một sản phẩm chìa khóa trao tay.

Chúng tôi sử dụng Threatwall của eSoft, một công việc tuyệt vời trong việc kiểm soát truy cập (thông qua IP hoặc URL). Khá dễ dàng để định cấu hình với các hộp kiểm cho tất cả các loại trang web phổ biến, cộng với khả năng thêm trang web của riêng bạn và có danh sách trắng. Họ có sẵn các gói khác nhau (ví dụ, chúng tôi cũng lọc thư rác).

Không liên kết với eSoft, ngoài việc là khách hàng, Dave

-2

Có thể thay vì chặn các địa chỉ IP, bạn có thể hướng tên máy chủ đến localhost, nghĩa là chỉnh sửa tệp máy chủ của bạn để nó trông giống như:

www.facebook.com     127.0.0.1

Điều này sẽ ngăn chặn địa chỉ IP thực sự của Facebook, v.v.

Kíp
nguồn
1
Tôi đang tìm cách để làm điều này ở cấp độ mạng, không phải trên các máy riêng lẻ.
Jack M.
6
Hoặc nếu bạn có máy chủ DNS nội bộ, hãy thiết lập các bản ghi giả cho facebook và myspace tại đây
Sam Cogan
2
Chúng tôi không chạy DNS của riêng mình, chúng tôi sử dụng ISP của chúng tôi.
Jack M.
1
Bạn có thể đặt một giao nhận giữa người dùng của bạn và ISP?
Dan Carley
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.