Лучшие практики для блокировки социальных сайтов

12

В нашей компании около 100 рабочих станций с доступом к Интернету, и повседневная ситуация становится все хуже и хуже с точки зрения использования доступа в Интернет для выполнения частных заданий и потери времени на социальных сайтах.

Я не люблю блокировать такие сайты, как Facebook, YouTube и другие подобные сайты, но мои коллеги изо дня в день не заканчивают свои задачи, и каждый раз, когда я смотрю на их мониторы, они используют Internet Explorer или Mozilla Firefox, общаются в чате. и тому подобные вещи. С другой стороны, я хотел бы заблокировать YouTube, когда у нас очень низкая скорость доступа в Интернет.

Вот мои вопросы:

  • Другие компании блокируют социальные сайты?
  • Нужно ли для этого выделенное устройство, такое как аппаратный брандмауэр или супер дорогой маршрутизатор? Или я могу сделать это с моим существующим маршрутизатором FreeBSD 6.1 с двумя сетевыми картами и настроенным NAT для работы в качестве маршрутизатора?

Я пытался сделать это, используя ipfw и routerfirewall, но безуспешно. Мой код выглядит так:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

Что я могу сделать, чтобы решить эту проблему?

усыновитель
источник
12
Так вы собираетесь заблокировать serverfault.com? Это несколько социальный характер. :)
Zoredache

Ответы:

16

Есть ли другие компании, блокирующие социальные сайты?

Да, но это не значит, что это хорошая идея. В книге « Предсказуемо иррациональный» есть интересное обсуждение и ссылки на несколько исследований, которые в основном предполагают, что, если вы блокируете незначительное личное использование, это может фактически снизить производительность. Если люди думают, что их рабочее место дружелюбное и домашнее, они с большей вероятностью будут работать вне дома после 40 часов.

Если один человек вызывает проблемы, может быть, лучше работать с ним, чем использовать технологическое решение, чтобы просто убить сломанные вещи. Технология не заменяет менеджера, фактически выполняющего свою работу.

Большинство фильтров легко обойти, вы действительно должны стараться избегать гонки вооружений со своими коллегами. В какой-то момент вы просто сделаете свой брандмауэр настолько враждебным, что он не сможет выполнить реальную работу, и вы все равно, вероятно, не заблокировали все возможные пути обхода брандмауэра.

Нужно ли мне выделенное устройство для этого, такое как аппаратный брандмауэр, супер дорогой маршрутизатор? Или я могу сделать это с моим существующим FreeBSD 6.1 самодельным маршрутизатором с двумя сетевыми картами и настроенным nat для работы в качестве маршрутизатора.

Вы можете установить Squid + Squidguard и форсировать весь трафик через прокси. Вы можете настроить ACL для блокировки сайтов, которые вам не нравятся.

Я предлагаю вам настроить squid в качестве прокси, без ACL, чтобы что-то блокировать, и просто смотреть логи. Заставить всех через прокси (с уведомлением). Затем настройте что-то вроде SARG для создания отчетов. Если у кого-то действительно есть проблема с хорошим отчетом, предоставьте руководителю сотрудника доказательство необходимости начать решать проблему.

Zoredache
источник
2
+1 Похоже, что последние исследования также подтверждают это, и многие даже довольно крупные компании делают все возможное, чтобы поддерживать и поощрять создание полностью частных <-> социальных сетей на работе. Как вы сказали, чем больше вы вовлечены, тем больше работы займет ваш ум - во что бы то ни стало (обычно в компании - хорошо, в личной жизни - плохо;) Если кто-то просто тратит время на серфинг и на самом деле ничего не делает, он возможно, я бы потратил время на то, чтобы заблокировать эти сайты ... это проблема людей, а не техническая проблема, имхо
Оскар Дювеборн
1
+1, вы заметите людей, которые слишком много болтаются в сети; у них не будет выполненной работы, они быстро сведут к минимуму все, что у них на экране, когда вы поднимаетесь, в остальное время тратится время. 5 минут здесь и там почти повсеместно восполнено, как показали исследования.
Крис С
1
Я категорически не одобряю блокировку доступа всех к социальным сайтам. 1) маркетинговым командам может потребоваться Facebook, Twitter и т. Д. 2) Вы должны доверять своим сотрудникам, чтобы они не отрицали. 2а) Если вы не доверяете им, почему они были наняты. 3) Относитесь к людям как к взрослым, и вы получите уважение. 4) Использование технологий для решения социальных проблем никогда не было хорошей идеей. 5) Попробуйте рассказать им, почему то, что они делают, плохо / неправильно.
Том О'Коннор
По личному опыту я знаю, что если мы разблокируем Facebook, он мгновенно становится полосой № 1 с использованием веб-сайта, и около 80% пользователей посещают его несколько раз в день (несколько сотен пользователей). Он выходит из-под контроля, когда его разблокируют. Мы пробовали это несколько раз. То же самое касается YouTube, имхо.
Sirex
@Sirex, но блокирование его фактически изменило поведение сотрудников, или они просто нашли что-то еще, чтобы отвлечь их от работы. Легко подумать, что вы что-то решили, посмотрев отчет об использовании, но с точки зрения реальной производительности вы, возможно, ничего не изменили и, вероятно, раздражали людей, то есть они с большей вероятностью облажались в будущем. Рассматривали ли вы изучение альтернативных методов мотивации?
Зоредаче
15

Это должно решаться через вашу дисциплинарную процедуру, а не через брандмауэр. Это техническое решение для нетехнической проблемы.

Дэвид Пашли
источник
2
За исключением того, что вам нужно техническое решение, чтобы выяснить, кто это делает, если вы не поймаете их в действии.
SpaceManSpiff
12
Если они не выступают, то это очевидно. Если они работают достаточно, какое это имеет значение, если они смотрят на веб-сайты; они все еще делают работу.
Дэвид Пашли
2
Я с Дэвидом здесь. Не похоже, что есть что-то волшебное и ужасное в том, что вы не выполняете свою работу из-за использования Интернета, в отличие от того, что вы не выполняете свою работу из-за того, что тратите весь день на разгадывание кроссворда или чтение последнего номера журнала Time.
Роб Мойр
определить производительность ... Если вы не работаете, вы "тратите" деньги компании. Большинство компаний в порядке с небольшим персональным серфингом, в том числе и со мной, так как обычно я первым делом узнаю новости, но как насчет того, чтобы кто-то делал это по 3 часа в день, но все еще выполнял «всю» свою работу?
SpaceManSpiff
Полностью согласен с Дэвидом. Больше и больше я нахожу себя отвечающим на электронные письма дома, или даже когда на озере с семьей. Я часто работаю в МОЕ время, и если я решу сделать перерыв на работе и просмотреть сайты социальных сетей, это не должно иметь значения, пока моя работа заканчивается.
Джим Март
12

Вы знаете, как RIAA и MPAA публикуют эти безумные цифры о том, сколько денег им стоит пиратство, основываясь на идиотском предположении, что каждая единица пиратского контента будет куплена, если пиратство будет невозможно?

Вы делаете то же самое, предполагая, что, если «тратить» время на социальные сети было бы невозможно, это время было бы потрачено на продуктивную работу. Но если это не клерки по вводу данных, о которых вы говорите, мы, вероятно, говорим о людях, имеющих какой-то творческий аспект или аспект знаний, которые они используют в своей работе, что означает, что их производительность - сложная вещь, которая не выглядит одинаково как у твистера виджетов на конвейере. Использование ими социальных сетей может легко стать ключевым компонентом их продуктивности, а атака на них может быть атакой, которая позволяет им зарабатывать деньги.

И это еще до того, как мы начнем испытывать моральное отношение к служащим, похожим на заключенных, в цепочку.

Просто говорю, чувак.

хаос
источник
8

Мы блокируем сайты только в том случае, если просмотр влияет на производительность, и мы принимаем мнения местного руководства по этому вопросу (даже если мы подозреваем, что они преувеличивают).

Мы блокируем сайты, используя прокси-сервер; обычно SQUID, который должен нормально работать на вашем брандмауэре. Мы устанавливаем правило на брандмауэр, блокирующий исходящий порт 80 (а иногда и 443) со всех хостов, кроме серверов и прокси-сервера. Затем мы используем групповую политику для настройки прокси в пользовательских Internet Explorer.

Некоторые менеджеры спрашивают нас о статистике использования. Большинство не делает.

JR

Джон Ренни
источник
4

Используйте OpenDNS . Вы должны быть в состоянии заблокировать социальные сайты, используя это. В противном случае вам следует рассмотреть возможность использования прокси-сервера с возможностями фильтрации.

Кевин Куфал
источник
1
Мы используем открытый DNS для блокировки, но мы не пытаемся отслеживать, кто пытался туда попасть. Личное использование кроме социальных сетей, чата и электронной почты в порядке, это самые большие потери времени, которые были найдены.
SpaceManSpiff
4

Лучший способ заблокировать вещи - это заставить менеджера ходить вокруг, проводя больше времени с теми, кто ничего не делает. Если люди выполняют работу, почему вас волнует, какие сайты они посещают или сколько времени они проводят? Если они этого не сделают, запишите их и позвольте им двигаться дальше.

Стив Джонс
источник
2

Формирование пакетов для потоковой передачи дросселей принесло пользу нашей сети. Никто не настолько обеспокоен сайтами социальных сетей, когда 3 человека, просматривающих видео с YouTube, не мешают загрузке MSDN.

Обязательно выясните, каковы настоящие болевые точки, прежде чем принимать решение.

Кара Марфия
источник
1

Я работаю в колледже, и мы блокируем сайты, используя Websense. Хорошо (не идеально!), Но дорого. OpenDNS дешевле и тоже довольно хорош.

В конце концов, однако, я считаю, что существует очень мало технологических решений для поведенческих проблем. Если ваш бизнес не хочет, чтобы люди посещали сайты социальных сетей, он должен дать понять, что это противоречит политике использования интернета, в противном случае он станет игрой для некоторых людей. Во что бы то ни стало, используйте инструменты для обеспечения соблюдения этой политики, если это необходимо, но не просто блокируйте сайты без объяснения причин или сообщений.

Я также согласен с комментарием о том, выполняется ли работа. Если люди достигают своих целей, тогда вы можете спросить, где вред, если они позволят им немного развязаться в Интернете.

Роб Моир
источник
4
Websense это дьявол! Мы используем это здесь на работе, и он ПОСТОЯННО блокирует полезные сайты наряду с другими сайтами, которые, на мой взгляд, не должны быть заблокированы в первую очередь.
Джим Март
@Jim - По вашему мнению, сайты не должны быть заблокированы, но как насчет мнения лица, ответственного за его настройку? Установка Websense по умолчанию не блокирует ничего, кроме очевидных вещей, таких как pr0n, и если сайты неправильно классифицированы по Websense, то ваш местный администратор Websense может их переклассифицировать. Например, работая в колледже, я переклассифицировал образовательную категорию websense как бизнес-использование вместо «потери производительности» согласно их умолчанию. Ни одна из категорий на самом деле не была заблокирована , это было просто для того, чтобы сделать отчеты более понятными для наших PHB
Роб Моир
1

Я согласен с тем, что это политика в области управления персоналом, поэтому ИТ-специалисты могут внедрять не совсем совершенные технологии. Если есть проблема, это должно проявиться в исполнении нарушителя.

Однако, когда требуется наличие доказательств для целей дисциплинарного взыскания, журналы использования Интернета имеют жизненно важное значение для дела организации. Для этого организация должна использовать механизм регистрации / отчетности. Использование этого должно быть доведено до сведения сотрудников и политики использования должны быть четко задокументированы в руководстве для сотрудников.

Мы также выполняем мониторинг использования WebSense. Категории, строго запрещенные нашей политикой, блокируются. Другие, которые более свободно регулируются, разрешаются нажатием на кнопку, которая приравнивается к тому, что сотрудник говорит: «Я понимаю этот фильтр и действую по деловым причинам». Используемый вами инструмент будет во многом зависеть от типа вашей политики и размера вашей организации.

Я также полностью согласен с тем, что ограничение социальных сайтов становится все более и более нежелательным явлением, особенно для будущих поколений.

squillman
источник
1

Мы используем комбинацию OpenDNS, но также запускаем коробку IPCop перед сетью.

Это позволяет нам ограничивать доступ к таким сайтам, как MySpace, FaceBook, YouTube и т. Д., КРОМЕ обеденного времени (12:00 - 13:00).

Это позволяет сотрудникам проверять свои myspace, facebook и т. Д. Во время обеденного перерыва, но сохраняет их «сосредоточенными» на времени компании.

Периодически мы просматриваем файлы журнала IPCop и определяем, нужно ли блокировать больше сайтов.

Если вы внедрите решение IPCop, вы быстро обнаружите, что примерно через неделю все лодыри «волшебным образом» прекращаются. Вы также обнаружите, что вам нужно всего лишь заблокировать несколько сайтов, чтобы повысить производительность труда сотрудников.

Удачи

PS. Еще одним замечательным продуктом, который мы использовали в прошлом, является SecuredIM ( http://www.securedim.com ), который позволяет вам контролировать чат между компаниями, а также делать периодические снимки экрана рабочего стола пользователя, если хотите. (т.е. делайте снимок рабочего стола Джо каждые 10 минут)

KPWINC
источник
1
Какая ужасная вещь! Делая скриншоты рабочего стола пользователя ... блин!
Антуан Бенкемун
Какая ужасная вещь ... работникам платят 20 долларов в час ++, чтобы играть в пасьянс по 2-4 часа в день. (Нет, хотелось бы, чтобы я это придумал.) В современной экономике есть люди, которые хотят работать. Почему сотрудник должен терпеть сотрудника, который просто собирается получить зарплату?
KPWINC
Пока сотрудники производят то, что они должны или больше, почему это важно? Если кто-то может выполнить тот же набор заданий в десятой части времени, которое требуется его коллеге, - почему этот человек должен быть наказан за то, что должен был выполнить работу в 10 раз больше из-за какого-то образа мышления старой школы "сидеть в своих часах"? (и, возможно, только в 1-2 раза больше почасовой зарплаты, если инструменты / процессы даже существуют для ее распознавания) ^^
Оскар Дювеборн
Разве работник не должен работать так усердно (в пределах разумного) за деньги, которые он зарабатывает, независимо от суммы? Я могу сказать вам, что лично знаю, кто "рабочие против бездельников" в моей организации. Самая большая проблема с "бездельниками" заключается в том, что они склонны обижать других, пока у вас не появится сценарий наименьшего общего знаменателя. Более распространенная вещь, которую я вижу, - это работник, которому платят 25 долларов в час, и он зол, потому что девушка на стойке регистрации (которому платят 10 долларов в час) расслабляется. Это сравнение яблок и апельсинов, но сотрудники не всегда это видят. Довольно скоро все хотят одинаково расслабиться.
KPWINC
1

Большинство людей ошибочно полагают, что цель веб-фильтрации - целенаправленная, а не «просто» в отношении производительности, хотя я видел множество примеров из реальной жизни, где производительность повышается, когда производительность значительно возрастает, когда применяются мягкие средства управления. Я работаю на SmoothWall, поставщика веб-фильтрации - поэтому, хотя у меня может быть некоторая предвзятость, я также обладаю большим опытом!

Websense даже рекламирует «скажи да» в эти дни - и мы (SmoothWall) согласны. Вы должны быть снисходительными. Использование софт-блока (просто напоминание, что это «не политика» или временные полосы - это два способа ослабления ситуации).

В любом случае ... как я говорил ... не только производительность - я видел проблемы с персоналом, возникающие из-за неправильного использования социальных сетей, из-за неправильного использования сайтов для взрослых и отсутствия доказательств, когда это происходит.

Наконец ... Стоит отметить, что не все ведут себя так, как мы ожидаем - не у всех есть «системный / техничный настрой» и они будут работать усерднее, потому что вы дадите им фейсбук… многие пройдут милю, учитывая дюйм человеческой натуры. боюсь.

Том Ньютон
источник
1

Краткий ответ: Да, есть компании, которые блокируют доступ в Интернет (социальные или другие сайты).

Длинный ответ:
С точки зрения работодателя: время, потраченное на работу, а не на работу, потеряно.
С точки зрения сотрудника: моя работа выполнена, пока я жду, пока я еще не уйду (на этот сайт) - Зависит от того, какую работу вы выполняете, может быть разрыв между тем, когда ваша работа сделана, и тем, когда Вы получаете больше работы.

Я - один из сотрудников, у которого был подорван мой веб-доступ, когда наша компания решила попробовать WebSense. И несколько вещей, которые я изучаю, будучи заблокированным вебсенсом:

  • Я узнал много нового об открытом прокси, туннелировании и информации об обходе веб-блоков в целом.
  • Большое количество волнений среди персонала с заблокированной веб-доступ - не влияет на руководителей, потому что их доступ не ограничен
Ограничение доступа людей к социальным веб-сайтам должно быть частью деловой практики компании и частью трудовой этики компании, поэтому не должно быть практически никакой необходимости в таком правоприменении посредством использования технологии (ссылка: комментарий Дэвида Пашли выше).

Взыскание на личном уровне будет выгодно как компании, так и сотруднику в долгосрочной перспективе. Сотрудник будет более ответственным за свою работу и доступ к социальным сайтам, а компания получит выгоду от более ответственного сотрудника. Стоимость

персонального мониторинга
: практически $ 0. Менеджер / руководитель группы, чтобы тратить больше времени на управление и мониторинг своей команды.
Преимущество: сотрудники имеют меньше времени для посещения социальных сайтов (для выполнения большей работы), что может улучшить их чувство ответственности в долгосрочной перспективе.


Стоимость программного обеспечения для веб-блокировки : зависит от программного обеспечения, может быть бесплатным, может составлять $$$$. Кроме того, время потратило на тонкую настройку программного обеспечения.
Преимущество: сэкономьте время компании от доступа сотрудников к социальным сайтам, сохраните пропускную способность компании в целом.

Darius
источник
1

Лучшим инструментом для этого является Политика использования Интернета с открытой статистикой (но руководство будет возражать против этого, поскольку, как вы знаете, они тоже люди).

  1. Заблокируйте все внешние соединения от пользователя LAN, без исключений для портов!
  2. Возьмите, например, прокси-сервер - Squid и добавьте фильтр, например Squidguard.
  3. Теперь есть два способа: настроить пользователя на использование прокси (занимает некоторое время) или включить прозрачный прокси (могут быть проблемы с SSL-соединениями, но быстрее).
  4. Ищите пользователя, который счастлив, и удалите TOR ( http://tor.kamagurka.org/index.html.en ) со своего ПК, удалите usb, дискету, компакт-диск и т. Д., Чтобы он не мог использовать переносную версию (или лучше - уволить его с большой рекламой в компании)
Святой Мартинас
источник
Re: Ваш # 4, Tor может работать автономным способом, запущенным с флешки. Я хотел бы предложить, чтобы, если вам было трудно найти Tor, следя за сетевой активностью по TCP 8118 и 9050 (оба порта Tor.)
Грег Михан
Грег, я могу ошибаться, но порт 8118 предназначен для privoxy, а порт 9050 - для прокси-серверов tor socks, которые работают на ПК пользователя, и tor может использовать другие порты для связи. Так что, в принципе, если я хочу контролировать порты 8118 и 9050 - я должен контролировать пользователей ПК в целом. Также эти порты могут быть изменены очень легко.
Мартинас Сент
Ищите пользователя, который счастлив, а потом его расстраивает? Вы такое вдохновение!
Джон Гарденье
1

Я услышал предложение от Джейсона Калаканиса в эпизоде «Эта неделя является стартапом», чтобы отправить электронное письмо сотрудникам, чтобы они могли знать, сколько времени они тратят.

Большинство пользователей, вероятно, не знают, сколько времени они проводят на некоторых из этих сайтов. С помощью этого метода сотрудники могут самостоятельно контролировать ситуацию, а также знать, что если она выйдет из-под контроля, то, скорее всего, тоже об этом узнает.

Спонсором шоу, у которого был продукт, способный сделать это, был WebSpy .

Даже Миен
источник
1

Если ваши сотрудники предпочитают тратить время, а не выполнять свою работу, почему бы не использовать один из тысяч способов, которыми они могут тратить время?

Возможно, проблема в рабочей среде, созданной людьми, которые думают, что могут относиться к своим сотрудникам таким образом.

Карлито
источник
1

Вы пытаетесь заблокировать это задом наперед.

Вам не нужно заботиться о том, чтобы TCP / IP шел на хост, как он есть. Вы должны заблокировать входящий трафик, то есть:

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

ИЛИ просто заблокируйте веб-трафик:

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

Тем не менее, это не будет блокировать все, потому что адрес www.youtube.comпреобразуется в первый IP-адрес, найденный вами DNS, и блокировка блокируется балансировкой нагрузки. Вы можете заблокировать всю сеть, если хотите разозлиться.

HomeTown
источник
0

Если вы используете OpenDNS, вы всегда можете легко заблокировать домен / контент таким образом

quickcel
источник
0

Это зависит от того, в какой компании вы работаете, в моем случае я работаю в сфере образования, и здесь мы используем SmartFilter (чертовски дорого). но я хочу сказать, что в зависимости от области работы вы можете заблокировать все социальные сайты, используя OpenDNS (я использовал до того, как мы привезли SmartFilter).

Ариэль Антигуа
источник
0

Я бы просто использовал DNS-сервер для блокировки доменов, но затем не забудьте настроить брандмауэр, чтобы пользователи не могли использовать DNS-сервер за пределами компании (например, opendns).

HOFA
источник
0

Вы уверены, что блокировка сайтов социальных сетей решает проблему?

Проблема, которую вы заявляете, состоит в том, что ситуация становится все хуже и хуже ...

Вы имеете в виду, что ваши сотрудники используют слишком большую пропускную способность на этих сайтах социальных сетей? Или вы имеете в виду, что ваши сотрудники проводят слишком много рабочего времени на определенных веб-сайтах?

Если это первое, то было бы лучше получить номера трафика. Я бы за идею публичных номеров трафика, но, независимо от того, являются ли они общедоступными, тогда, если проблема заключается в слишком большом сетевом трафике, сбор цифр позволит вам принимать разумные решения.

Если у вас слишком много трафика, я собираю номер на неделю или две, а затем объявляю, что сайт zzz.com, aaa.com и т. Д. Будет заблокирован на определенную дату.

Если, с другой стороны, проблема заключается в том, что сотрудники тратят слишком много своего рабочего времени, проблема не является технической проблемой и, вероятно, должна решаться другими способами.

Если вы все еще хотите заняться этим технически, тогда, если вы соберете номера трафика, вы можете заблокировать 10 лучших сайтов, которые не считаются важными для вашего бизнеса, и посмотреть, улучшится ли ситуация.

Брюс ОНил
источник
0

Лично я нанимаю только антиобщественных людей.

GregD
источник