Estou com dificuldades para criar um dispositivo Cisco ASA que bloqueia determinados sites de redes sociais que se transformaram em afundamentos de tempo em nossos escritório. Esta questão é realmente em duas partes:
dig seguido por um nslookup geram dois endereços IP diferentes para www.facebook.com . Estamos procurando uma solução temporária até que eu possa ter o Squid funcionando, o que pode ser tão longe quanto seis meses (precisamos de um administrador de rede, ruim).
Quem você usa como seu provedor de DNS? Se você pode mudar para alguém como OpenDNS (é gratuito) eles fornecem bloqueio automático (e muito configurável) de sites de redes sociais, webmail, conteúdo adulto, etc.
EDIT: Você não precisa mudar nada com o seu ISP também.
No seu Cisco, você pode fazer o seguinte:
regex facebook1 "facebook\.com"
class-map type inspect http match-any block-url-class
match request uri regex facebook1
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
Eu sugiro que você leia os detalhes completos no site da Cisco .
Você pode até ser promovido a gerenciamento se continuar assim. ;)
Um cliente meu teve esse problema exato. Veja como lidamos com a solução:
Instalou uma caixa IPCop com um <-href="http: // en. wikipedia.org/wiki/Squid_%28software%29">Squid proxy e também instalou o URLFilter add on. Todo o tráfego agora passa pela caixa IPCop.
Codificou o endereço IP de todos para o ramal telefônico pelo simples fato de facilitar a identificação dos criminosos. Também alteramos todas as configurações do servidor DNS para apontar para OpenDNS . (Mais opções de filtragem são possíveis com o OpenDNS, mas acabou não sendo necessárias, afinal.)
Removido (e banido) o uso de todos os clientes públicos como Yahoo Messenger, MSN, AOL , ICQ, etc., etc. Em vez disso, instalamos um servidor seguro somente para empresas XMPP chamado SecuredIM para que todo o tráfego de mensagens instantâneas fosse registrado e fosse garantido que seriam apenas comunicações de empresa para empresa.
O SecuredIM também tem a capacidade única de tirar screenshots de desktops a cada XX minutos. Se um funcionário era suspeito de se desentender (baseado nos registros do IPCop), uma imagem valeria 1.000 palavras. Selecionar capturas de tela podem ser arquivadas e enviadas por e-mail para revisão posterior (ou ação disciplinar).
Nós bloqueamos o Facebook, Myspace, Hulu , e dois ou três outros abusos importantes por meio do URLFilter no Caixa IPCop.
Revisão manual (e mais sites bloqueados, se necessário) por cerca de uma semana.
Foi aberta a navegação "livre / desbloqueada" durante a hora do almoço (12:00 às 13:00).
Até o final da semana, a empresa foi uma transformação total. A produtividade aumentou drasticamente e ninguém mais se queixou.
Como em qualquer empresa, há sempre os 1 a 2 rebeldes que acham que é um "jogo".
Quando nytimes.com foi bloqueado, eles foram para outro site de notícias. Quando isso foi bloqueado, eles escolheram outro. Outros pararam de surfar e adotaram hobbies como Solitaire e Campo Minado , mas as capturas de tela do SecuredIM capturaram isso (o IPCop não podia obviamente).
Dentro de duas semanas (e algumas discussões entre empregadores / funcionários, incluindo ações disciplinares para indivíduos teimosos), tudo estava funcionando sem problemas e funcionando sem problemas há quase dois anos.
URLS:
NOTA LATERAL:
Como uma história paralela engraçada. Cerca de um ano depois, um problema elétrico no edifício fez com que a fonte de alimentação na caixa IPCop saísse e foi 2-3 dias antes que uma nova caixa IPCop pudesse ser colocada em prática.
Descobrimos que demorava menos de 48 horas para os funcionários voltarem a seus hábitos de navegação originais / antigos e a produtividade caísse.
Foi bastante o experimento social. : -)
A solução DNS parece a melhor resposta para mim, mas esteja ciente de que é claro que eles provavelmente ainda poderão acessar os sites por meio do endereço IP (você provavelmente está ciente do nível da sua pergunta, mas outros que encontram isso no Google pode não ser).
Em segundo lugar, veja a resposta de Evan a Restringir discretamente os usuários de executar certos programas em computadores Windows sobre impedir que os usuários executem determinados programas. Eu acho que você está tentando resolver um problema de gerenciamento com a TI. Na verdade, eles provavelmente deveriam contratar pessoas responsáveis o suficiente para obedecer a quaisquer regras claras, e eles provavelmente deveriam se preocupar em fazer com que suas tarefas fossem bem executadas e em tempo, em vez de os sites que visitam em seu tempo de inatividade. Bloquear essas coisas provavelmente vai espalhar o ressentimento por toda a empresa. Você, é claro, tem que fazer o que tiver que fazer, e provavelmente não depende de você - mas eu acho que isso deve ser sempre considerado antes de dar esse tipo de passo se ainda não foi feito.
Adotei uma abordagem diferente para resolver esse problema.
Em vez de ter o tráfego de decodificação ASA, criei uma zona de pesquisa direta no meu servidor DNS local para "facebook.com" e deixei todas as entradas de DNS em branco. Se desejar, você pode sempre direcionar o site para uma página da Web interna informando ao usuário que ele está tentando acessar um site proibido pela política da empresa.
Espero que isso ajude.
Se você não tiver tempo ou equipe para criar sua própria solução, considere um produto pronto para uso.
Usamos o Threatwall da eSoft, que faz um ótimo trabalho de controle de acesso (via IP ou URL). Muito fácil de configurar com caixas de seleção para todos os tipos comuns de sites, além da capacidade de adicionar seus próprios e ter uma lista de permissões. Eles têm diferentes pacotes disponíveis (o nosso também filtra spam, por exemplo).
Não é afiliado à eSoft, exceto como cliente, Dave
Talvez, em vez de bloquear os endereços IP, você possa direcionar os nomes de host para localhost, ou seja, editar seu arquivo de host para que pareça algo como:
www.facebook.com 127.0.0.1
Isso impediria que o verdadeiro endereço IP do Facebook, etc. fosse pesquisado.