Блокировка Facebook и Myspace по IP-адресу

11

У меня возникли проблемы с тем, чтобы устройство Cisco ASA блокировало определенные сайты социальных сетей, которые стали временными затратами в нашем офисе. Этот вопрос действительно состоит из двух частей:

  1. Есть ли надежный способ получить все IP-адреса для этих сайтов?
    • Похоже, что DNS-серверы Facebook отвечают случайными IP-адресами. Затем digследует nslookupдва разных IP-адреса для www.facebook.com.
  2. Есть ли хитрость, позволяющая мне добавлять имена хостов в Cisco ASA через диспетчер устройств адаптивной безопасности (ASDM).
    • Я нашел фильтр URL, но для этого требуется стороннее программное обеспечение, которое, я сомневаюсь, получит финансирование только для блокировки этих сайтов.

Мы ищем временное решение, пока я не смогу запустить Squid , а это может занять до шести месяцев (нам нужен сетевой администратор, плохо).

domain-name-system firewall cisco Джек М.
источник

Ответы:

21

Кого вы используете в качестве поставщика DNS? Если вы можете переключиться на кого-то вроде OpenDNS (это бесплатно), они обеспечивают автоматическую (и очень настраиваемую) блокировку сайтов социальных сетей, веб-почты, контента для взрослых и т. Д.

РЕДАКТИРОВАТЬ: Вам не нужно ничего менять с вашим провайдером либо.

Марко Картер
источник
1
Указал записи DNS моего маршрутизатора на OpenDNS и заблокировал его там (рабочие станции настроены на использование GPO DNS маршрутизатора). Прекрасно работает и блокирует ВСЮ группу социальных сетей. Facebook, MySpace и т. Д., А также программы чата и т. Д.
SpaceManSpiff,
Как насчет скорости OpenDNS? Это нормально?
blank3
@ blank3: они используют несколько серверов, распределенных по сети, используя anycast-маршрутизацию, поэтому обычно это довольно хорошо.
Николас Найт
Просто добавьте к этому ответу: вы можете заблокировать исходящие DNS-запросы от ваших пользователей, чтобы ваши более искушенные пользователи не могли просто изменить свои DNS-серверы, чтобы обойти это.
Молния
это замечательно, если кто-то, использующий компьютер, не знает, как сделать «nslookup facebook.com 8.8.8.8» и вставить возвращенный IP-адрес в файл hosts компьютера.
Олипро
9

На вашей Cisco ASA вы можете сделать следующее:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Я настоятельно рекомендую вам прочитать полную информацию на веб-сайте Cisco .

Джереми Росси
источник
8
  1. Соберите логи веб-активности пользователя.
  2. Подойдите к столу пользователя.
  3. Покажите им логи и скажите, что если они не перестанут тратить время на работу, их уволят.
  4. Зарегистрируйте событие.

Вы можете даже получить повышение до руководства, если продолжите в том же духе. ;)

Эрни
источник
Оооо, тактично ... хе-хе. Хотя на самом деле вопрос был не в том, «как я могу запретить своим пользователям доступ к сайтам социальных сетей», я читал его так: «Как отключить доступ пользователей к веб-сайтам по доменам? доступ к такого рода сайтов. У вас есть точка зрения, поэтому нет - от меня;)
l0c0b0x
Тогда, возможно, шаг 0 должен быть «Спросите, имеет ли значение конечный результат или средства». Кроме того, на шаге 3 я не говорил, что у вас не должно быть такта. Вы могли бы сказать, что руководство попросило вас запретить им доступ к сайтам, которые они просматривали, и дать им понять, что это значит.
Эрни
5

У моего клиента была именно эта проблема. Вот как мы решили это решение:

  1. Установил коробку IPCop со встроенным прокси Squid, а также установил дополнение URLFilter. Весь трафик теперь проходит через окно IPCop.

  2. Жестко запрограммировал IP-адрес каждого на свой телефонный номер, потому что это облегчило идентификацию нарушителей. Мы также изменили все настройки DNS-сервера, чтобы они указывали на OpenDNS . (Дальнейшие опции фильтрации возможны с OpenDNS, но оказалось, что они не были необходимы.)

  3. Удалено (и запрещено) использование всех общедоступных IM- клиентов, таких как Yahoo Messenger, MSN, AOL, ICQ и т. Д. И т. Д. Вместо этого мы установили безопасный XMPP- сервер только для компании под названием SecuredIM, чтобы весь трафик IM регистрировался и быть гарантированно только для связи между компаниями.

  4. SecuredIM также имеет уникальную возможность делать скриншоты рабочих столов каждые XX минут. Если сотрудника подозревали в бездействии (на основе журналов IPCop), картинка стоила 1000 слов. Выбранные скриншоты могут быть заархивированы и отправлены по электронной почте для последующего просмотра (или общего действия).

  5. Мы заблокировали Facebook, Myspace, Hulu и два или три других серьезных нарушения через URLFilter на коробке IPCop.

  6. Ручной просмотр (и другие сайты блокируются при необходимости) около недели.

  7. Открыт «бесплатный / разблокированный» серфинг в обеденный перерыв (с 12:00 до 13:00).

К концу недели в компании произошла полная трансформация. Производительность резко возросла и никто так не жаловался.

Как и в любой компании, всегда есть 1-2 повстанца, которые думают, что это «игра».

Когда nytimes.comбыл заблокирован, они пошли на другой новостной сайт. Когда это было заблокировано, они выбрали еще один. Другие прекратили серфинг и занялись такими увлечениями, как Solitaire и Minesweeper , но скриншоты SecuredIM уловили это (IPCop явно не смог).

В течение двух недель (и нескольких обсуждений между работодателями и работниками, включая дисциплинарные взыскания для упрямых людей) все работало гладко и безотказно в течение почти двух лет.

URLS:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

ПРИМЕЧАНИЕ:

Как смешная история. Примерно через год из-за проблем с электричеством в здании отключился блок питания на коробке IPCop, и через 2-3 дня можно было установить новую коробку IPCop.

Мы обнаружили, что сотрудникам понадобилось менее 48 часов, чтобы вернуться к своим старым / оригинальным привычкам в серфинге и снижению производительности.

Это был довольно социальный эксперимент. :-)

KPWINC
источник
2
+1 за потрясающее объяснение. К сожалению, прокси было чем-то, чего мы избегали из-за затраченного времени. Это лучшее решение в долгосрочной перспективе, но мое время, вероятно, лучше потрачено на программирование (это моя работа, в конце концов ... не спрашивайте).
Джек М.
7
О боже, звучит как ужасное место для работы.
Каролис Т.
Как и в любой компании, всегда есть 1-2 повстанца, которые считают ее «игрой». --- Вы называете их мятежниками, я называю их борцами за свободу. Боже мой, есть более эффективные способы, чем цензура и наблюдение, чтобы сохранить сотрудников разумными. Как, вы знаете, нанимать достойных сотрудников.
Люка нет имени
4

Решение для DNS звучит как лучший ответ для меня, но имейте в виду, что, конечно, они, скорее всего, все еще смогут получить доступ к сайтам через IP-адрес (вы, вероятно, знаете об уровне вашего вопроса, но другие, кто находит это в Google не может быть).

Во-вторых, посмотрите на реакцию Эвана на Дискретное ограничение пользователей от запуска определенных программ на компьютерах с Windows о запрете пользователям запускать определенные программы. Я думаю, что вы пытаетесь решить проблему управления с помощью ИТ. На самом деле они, вероятно, должны нанимать людей, которые достаточно ответственны, чтобы подчиняться всем четко определенным правилам, и им, вероятно, следует беспокоиться о том, чтобы они справлялись со своими задачами своевременно, а не с тем, какие сайты они посещают во время простоя. Блокирование этого материала, вероятно, только распространит негодование по всей компании. Вы, конечно, должны делать все, что вам нужно, и, вероятно, это даже не ваше дело - но я думаю, что это всегда следует учитывать, прежде чем делать такой шаг, если это еще не было.

Кайл Брандт
источник
Да, я собирался сказать. На ум приходит вопрос «вернитесь к нам с результатами», потому что первое, что люди собираются сделать, - это вместо этого получить доступ к Facebook на своих мобильных телефонах.
Эрни
1
Я бы абсолютно согласился, Кайл. Мы решаем проблему управления с помощью ИТ. К сожалению, проблема не решается руководством, и в результате компания страдает. Это мой способ управления снизу, из-за ограничений в управлении сверху.
Джек М.
2

Я принял другой подход к решению этой проблемы.

Вместо расшифровки трафика ASA я создал зону прямого просмотра на локальном DNS-сервере для «facebook.com» и оставил все записи DNS пустыми. Если вы хотите, вы всегда можете указать сайт на внутреннюю веб-страницу, сообщающую пользователю, что он пытается получить доступ к сайту, который запрещен политикой компании.

Надеюсь, это поможет.

l8nite4me
источник
0

Если у вас нет времени или персонала для создания собственного решения, вы можете подумать о продукте «под ключ».

Мы используем Threatwall eSoft, который отлично справляется с управлением доступом (через IP или URL). Довольно легко настроить с помощью флажков для всех распространенных типов сайтов, плюс возможность добавлять свои собственные и иметь белый список. У них есть различные доступные пакеты (наш также фильтрует спам, например).

Не связанный с eSoft, кроме как клиент, Дэйв


источник
-2

Возможно, вместо того, чтобы блокировать IP-адреса, вы могли бы направить имена хостов на localhost, то есть отредактировать ваш файл хоста так, чтобы он выглядел примерно так:

www.facebook.com     127.0.0.1

Это остановит поиск истинного IP-адреса Facebook и т. Д.

койка
источник
1
Я ищу это на уровне сети, а не на отдельных машинах.
Джек М.
6
Или, если у вас есть внутренний DNS-сервер, настройте поддельные записи для facebook и myspace здесь
Сэм Коган,
2
Мы не управляем собственным DNS, мы используем наших интернет-провайдеров.
Джек М.
1
Можете ли вы установить пересылку между вашими пользователями и провайдером?
Дэн Карли