IP adresini kullanarak Facebook ve Myspace'i engelleme

11

Bir Cisco ASA cihazının ofisimizde zaman alıcıları haline gelen belirli sosyal ağ sitelerini engellemesinde sorun yaşıyorum . Bu soru gerçekten iki bölümden oluşuyor:

  1. Bu siteler için tüm IP adreslerini almanın güvenilir bir yolu var mı?
    • Görünüşe göre Facebook'un DNS sunucuları rastgele IP adresleriyle yanıt veriyor. A'nın digardından nslookupiki farklı IP adresi verimi gelir www.facebook.com.
  2. Uyarlanabilir Güvenlik Aygıt Yöneticisi (ASDM) aracılığıyla Cisco ASA'ya ana bilgisayar adları eklememe izin vermenin bir hilesi var mı?
    • URL filtresini buldum, ancak bu siteleri engellemek için para alacağımdan şüphelendiğim üçüncü taraf bir yazılım parçası gerektiriyor.

Squid'i açıp çalışana kadar altı ay kadar sürebilen geçici bir çözüm arıyoruz (bir ağ yöneticisine ihtiyacımız var, kötü).

domain-name-system  firewall  cisco 
Jack M.
kaynak

Yanıtlar:

21

DNS sağlayıcınız olarak kimi kullanıyorsunuz? OpenDNS (ücretsiz) gibi birine geçebiliyorsanız , sosyal ağ sitelerinin, web postasının, yetişkinlere uygun içeriğin vb. Otomatik (ve çok yapılandırılabilir) engellenmesini sağlarlar.

DÜZENLEME: ISS'nizle de hiçbir şey değiştirmek zorunda değilsiniz.

Marko Carter
kaynak
1
Yönlendiricimin DNS girişlerini OpenDNS'ye yönlendirdi ve orada engelledi (iş istasyonları, Yönlendiricinin DNS'ini kullanacak şekilde yapılandırılmış GPO'dur). Harika çalışıyor ve ENTIRE sosyal ağ grubunu engelliyor. Facebook, MySpace, vb., Sohbet programları vb.
SpaceManSpiff
OpenDNS'in hızı ne olacak? Tamam mı?
blank3
@ blank3: Herhangi bir yayın yönlendirmesi kullanarak 'net' etrafında dağıtılmış bir grup sunucu çalıştırırlar, bu yüzden genellikle oldukça iyidir.
Nicholas Knight
Sadece bu cevaba eklemek için: kullanıcılarınızdan giden DNS sorgularını engellemek isteyebilirsiniz, böylece daha sofistike kullanıcılarınız bu sorunu aşmak için DNS sunucularını değiştiremezler.
zippy
bilgisayarı kullanan biri "nslookup facebook.com 8.8.8.8" yapmayı bilmediği ve döndürülen IP'yi bilgisayarın ana bilgisayar dosyasına nasıl ekleyeceğini bilmediği sürece bu harikadır.
Olipro
9

Cisco asa'nızda aşağıdakileri yapabilirsiniz:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Cisco'nun web sitesindeki tüm ayrıntıları okumanızı şiddetle tavsiye ederim .

Jeremy Rossi
kaynak
8
  1. Kullanıcının web etkinliğinin günlüklerini toplayın.
  2. Kullanıcının masasına gidin.
  3. Onlara günlükleri gösterin ve şirket zamanında etrafta dolaşmayı bırakmazlarsa işten çıkarılacaklarını söyleyin.
  4. Etkinliği günlüğe kaydedin.

Bunu devam ettirirseniz bile yönetime terfi edebilirsiniz. ;)

Ernie
kaynak
Ooooh, taktik ... hehehe. Ancak soru gerçekten 'kullanıcılarımın sosyal ağ sitelerine erişmesini nasıl engellerim' değildi, daha çok şöyle okudum: 'Personel veya konuklar hakkında konuşabilen' Kullanıcıların sitelere web erişimini etki alanına göre nasıl devre dışı bırakırım ' bu tür sitelere erişme. Yine de bir noktanız var, bu yüzden hayır - benden;)
l0c0b0x
O zaman belki de adım 0 "Son sonuç mu yoksa önemli olan araç mı olduğunu sorun" olmalıdır. Ayrıca, 3. adımda, dokunmanız gerekmediğini söylemedim. Yönetim'in size, taradıkları sitelere erişmelerini engellemelerini söylediğini ve bunun ne anlama geldiğini anlamaya bıraktıklarını söyleyebilirsiniz.
Ernie
5

Bir müşterimde tam olarak bu problem vardı. Çözümü şu şekilde ele aldık:

  1. Yerleşik Squid proxy'si olan bir IPCop kutusu ve ayrıca URLFilter eklentisini yükledim. Artık tüm trafik IPCop kutusundan akıyor.

  2. Suçluları tanımayı daha kolay hale getirmek için herkesin IP adresini telefon uzantısına kodladı. Ayrıca, tüm DNS sunucusu ayarlarını OpenDNS'yi gösterecek şekilde değiştirdik . (OpenDNS ile daha fazla filtreleme seçeneği mümkündür, ancak sonuçta gerekli olmadıkları ortaya çıktı.)

  3. Kaldırıldı (yasaklı) tüm kamu kullanımı IM vb vb Yahoo Messenger, MSN, AOL, ICQ, gibi müşteriler Bunun yerine bir yüklü güvenli şirket okunur XMPP denilen sunucu SecuredIM tüm IM trafiği olacağını, böylece açmış ve olur yalnızca şirketten şirkete iletişim olduğu garanti edilmelidir.

  4. SecuredIM ayrıca her XX dakikada bir masaüstünün ekran görüntülerini çekme özelliğine sahiptir. Bir çalışanın (IPCop günlüklerine dayanarak) kaçtığından şüpheleniliyorsa, bir resim 1000 kelimeye bedeldi. Belirli ekran görüntüleri daha sonra incelenmek üzere (veya disiplin işlemi) arşivlenebilir ve e-postayla gönderilebilir.

  5. IPCop kutusundaki URLFilter aracılığıyla Facebook, Myspace, Hulu ve diğer iki veya üç büyük kötüye kullanımı engelledik.

  6. Yaklaşık bir hafta boyunca manuel inceleme (ve gerekirse daha fazla site engellendi).

  7. Öğle yemeği saatinde (12:00 - 13:00) "serbest / engelsiz" sörfü açıldı.

Hafta sonunda şirket tam bir dönüşüm oldu. Verimlilik dramatik bir şekilde arttı ve hiç kimse şikayet ettiği kadar fazla değildi.

Herhangi bir şirkette olduğu gibi, her zaman bir "oyun" olduğunu düşünen 1-2 isyancı var.

Ne zaman nytimes.comengellendi onlar başka haber sitesine gitti. Bu engellendiğinde bir tane daha seçtiler. Diğerleri sörf yapmayı bıraktı ve Solitaire ve Mayın Tarlası gibi hobileri aldı , ancak SecuredIM ekran görüntüleri bunu yakaladı (IPCop açıkça yapamadı).

İki hafta içinde (ve inatçı bireyler için disiplin cezası da dahil olmak üzere birkaç işveren / çalışan tartışması), her şey sorunsuz bir şekilde ilerliyordu ve neredeyse iki yıldır sorunsuz bir şekilde ilerliyor.

URL'LER:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

KENAR NOTU:

Komik bir yan hikaye olarak. Yaklaşık bir yıl sonra, binadaki bir elektrik sorunu IPCop kutusundaki güç kaynağının sönmesine neden oldu ve yeni bir IPCop kutusunun yerleştirilmesinden 2-3 gün önceydi.

Çalışanların eski / orijinal sörf alışkanlıklarına ve üretkenliklerinin düşmesine 48 saatten az bir süre kaldığını tespit ettik.

Oldukça sosyal bir deneydi. :-)

KPWINC
kaynak
2
Harika açıklama için +1. Ne yazık ki, vekalet, zaman nedeniyle kaçınılması gereken bir şeydi. Uzun vadede en iyi çözümdür, ama zamanım muhtemelen daha iyi harcanan programlamadır (sonuçta benim işim budur.
Jack M.
7
Oh my, çalışmak için korkunç bir yer gibi geliyor.
Karolis T.
Herhangi bir şirket gibi, her zaman orada bir "oyun" olduğunu düşünüyor 1-2 isyancılar var. --- Onlara asiler diyorsun, ben onlara özgürlük savaşçıları diyorum. Tanrım, çalışanları makul tutmak için sansür ve gözetimden daha etkili yollar var. Bilirsiniz, iyi çalışanlar işe almak gibi.
Luke'un adı
4

DNS çözümü bana en iyi cevap gibi geliyor, ancak elbette sitelere IP adresi üzerinden erişebileceklerinin farkında olabilirsiniz (muhtemelen sorunuzun seviyesinden haberdarsınız, ancak bunu Google'da bulan diğerleri) olmayabilir).

İkinci olarak, Evan'ın Kullanıcıların belirli bilgisayarları çalıştırmasını durdurmak konusunda Windows bilgisayarlarında belirli programları çalıştırmasını Discretely olarak kısıtlama konusundaki yanıtına bakın . Sanırım BT ile ilgili bir yönetim sorununu çözmeye çalışıyorsunuz. Gerçekten de, açıkça belirtilmiş olan kurallara uymakla yeteri kadar sorumlu kişileri işe almalılar ve muhtemelen görevlerini kesinti süreleri içinde ziyaret ettikleri web siteleri yerine iyi ve zamanında yapmalarından endişe etmelidirler. Bu tür şeyleri engellemek muhtemelen tüm şirkete kızgınlığı yayacaktır. Elbette yapıyorsun, ne yapman gerekiyorsa yapmalısın, ve muhtemelen sana bağlı değil - ama bence bu henüz bir adım atmadan önce her zaman düşünülmeli.

Kyle Brandt
kaynak
Evet, söylemek üzereydim. "Sonuçlarınızla bize geri dönün" sorusu akla geliyor, çünkü insanların ilk yapacakları şey Facebook yerine cep telefonlarından erişecekleridir.
Ernie
1
Kesinlikle katılıyorum, Kyle. BT ile ilgili bir yönetim sorununu çözüyoruz. Ne yazık ki, sorun yönetim tarafından uzlaştırılmıyor ve bunun sonucunda şirket acı çekiyor. Yukarıdan yönetimdeki sınırlamalar nedeniyle bu benim alttan yönetme şeklim.
Jack M.
2

Bu sorunu çözmek için farklı bir yaklaşım izledim.

ASA deşifre trafiğine sahip olmak yerine, yerel facebook sunucumda "facebook.com" için ileriye doğru arama bölgesi oluşturdum ve tüm DNS girişlerini boş bıraktım. İsterseniz, siteyi her zaman kullanıcıya şirket politikası tarafından yasaklanmış bir siteye erişmeye çalıştıklarını bildiren dahili bir web sayfasına yönlendirebilirsiniz.

Umarım bu yardımcı olur.

l8nite4me
kaynak
0

Kendi çözümünüzü oluşturmak için zamanınız veya personeliniz yoksa, anahtar teslim bir ürün düşünebilirsiniz.

Erişimi kontrol etmek için harika bir iş çıkaran (IP veya URL üzerinden) eSoft'un Tehdit Duvarı'nı kullanıyoruz. Tüm yaygın site türleri için onay kutuları ile yapılandırmak oldukça kolaydır, ayrıca kendi sitenizi ekleme ve bir beyaz listeye sahip olma yeteneği. Farklı paketleri var (bizimki de spam'ı filtreler).

Müşteri dışında eSoft ile ilişkisi olmayan Dave

-2

IP adreslerini engellemek yerine, ana makine adlarını localhost'a yönlendirebilir, yani ana makine dosyanızı aşağıdaki gibi görünecek şekilde düzenleyebilirsiniz:

www.facebook.com     127.0.0.1

Bu, Facebook'un vb. Gerçek IP adresini aramayı durduracaktır.

uyuklama
kaynak
1
Bunu tek tek makinelerde değil, ağ düzeyinde yapmak istiyorum.
Jack M.
6
Veya dahili bir DNS sunucunuz varsa, burada facebook ve myspace için sahte kayıtlar oluşturun
Sam Cogan
2
Kendi DNS'imizi kullanmıyoruz, İSS'lerimizi kullanıyoruz.
Jack M.
1
Kullanıcılarınız ve İSS arasında bir iletici yerleştirebilir misiniz?
Dan Carley
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.