Eu tenho usado, felizmente, para bloquear o facebook na minha rede. Então eu comecei a pensar em truques para contornar esse bloco e, claro, eu li aqui no serverfault como bloquear o endereço IP do Facebook. Mas se alguém usa tor ou freegate?
O que posso fazer?
O que você tem não é realmente um problema técnico, é um problema de gerenciamento, não tente torná-lo um problema técnico. Você precisa ter uma política de uso aceitável que defina claramente o que os usuários podem e não podem fazer com os recursos fornecidos por sua organização. Isso também deve detalhar quais etapas podem ser tomadas para impor a AUP (monitoramento de uso / auditoria de máquinas, etc) e quais as sanções para quebrar o AUP são.
Eu acho que você precisa perguntar Por que você está tentando bloquear o Facebook? Eu estou supondo que esta é uma rede corporativa não em casa. Por que você deve permitir que sua equipe use myspace, twitter e amazon, amigos reunidos etc, mas não o Facebook?
Esse tipo de filtragem de conteúdo corporativo (a organização para a qual trabalho também faz isso) é quase sempre inútil. Ele tenta bloquear sites considerados rudes. Por quê? Eu sou um adulto (na maior parte do tempo), posso lidar com palavras rudes. Minha organização tenta bloquear o webmail para nos impedir de enviar informações por e-mail para casa, mas ele não bloqueia o meu webmail ntl porque a pessoa que está configurando as regras não pensou nisso. Também não bloqueia o meu servidor de webmail pessoal.
Sou a favor das empresas que monitoram o uso da equipe na Web e que possuem políticas de gerenciamento para dizer o que é considerado uso aceitável da web, tanto relacionado ao trabalho quanto pessoal. Mas o bloqueio automatizado de sites é irritante (especialmente no caso de um falso positivo) e, na verdade, não vai impedir nada de significativo. Salve-se do incômodo, certifique-se de que o vírus proxy varre conteúdo e downloads e que seu firewall está bem configurado, deixe o policiamento dos hábitos de internet dos usuários para seus gerentes.
Quanto mais você tentar bloqueá-lo, mais dificuldade os usuários tentarão acessar.
What can I do?
Os meios antiquados para impor "políticas de produtividade" semelhantes permanecem: fazer os gerentes vigiarem os ombros dos funcionários sempre que um relatório TPS estiver atrasado (ou a folha de rosto errada for usada).
Bem, para começar (além do que todos disseram sobre política e governança), você deve bloquear o tráfego de saída na sua rede fora do que é necessário (e geralmente não permito que máquinas clientes façam conexões TCP / UDP diretas em qualquer lugar não há necessidade de 99% do tempo quando você tem um servidor proxy internamente), especialmente o UDP / TCP 53 para servidores DNS externos.
Eu usei a filtragem de camada 3 e o OpenDNS juntos com muito sucesso em clientes (como o seu) que não estão tratando isso como um problema de gerenciamento (que é). No entanto, se eles querem me pagar para entrar e configurá-lo depois de explicar isso, então que assim seja.
Ainda melhor do que deixar o DNS de saída seria configurar um servidor proxy (o Squid é open source / free e também faz um bom trabalho em cache; dependendo do tamanho, o hardware da estação de trabalho antiga provavelmente está bom).
Agora você pode eliminar todas as conexões TCP / UDP diretas dos clientes para o exterior e forçar todos a usar um proxy (de forma transparente, e eles nem perceberão).
Suponho que o próximo passo seria analisar os URLs, cabeçalhos ou dados do Facebook. Apenas certifique-se de que qualquer filtragem que você use (o Squid é um exemplo) não afeta o botão 'Curtir', já que muitos sites populares implementam isso agora. Para ser honesto, não há realmente uma maneira de impedir que um usuário tenha alguma forma de túnel ou VPN em execução.
Primeiramente, você tem uma política, apoiada em alto nível, que proíbe o Facebook? Se não, então você pode estar pisando nos dedos do seu chefe, ou seu chefe, que realmente querem usar o Facebook. Muitas empresas aceitam de bom grado aceitar níveis razoáveis de uso de redes sociais no trabalho, e consideram um bloqueio total como contraproducente. Eu suponho que existe uma política de proibição no lugar.
Se você se preocupa com a evasão, precisará começar a investigar o bloqueio do Tor ou do Freegate, e depois a próxima coisa, mas aconselho que monitore sua rede em busca de evidências de que essas ou outras técnicas de burla são em uso, e uma palavra amigável no ouvido do culpado em primeira instância, e seu gerente no segundo. Normalmente, apenas deixar alguém saber que você pode dizer o que está fazendo é o suficiente para mantê-lo sob controle.
Qualquer pessoa com inteligência para usar o Tor ou outras formas "inteligentes" também deve ser inteligente o suficiente para usar o Facebook em seu telefone celular, o que você não pode bloquear.
O Barracuda Web Filter é conveniente para isso. Existem opções recentes para desativar aplicativos proxy e soluções alternativas.
Não feche totalmente! Basta fazer um "happy hour" quando os usuários podem usar qualquer rede social que quiserem no facebook, hi5 etc, para que eles saibam que f.example às 14.00 quando eles puderem fazer um coffee break, comer donuts e verificar o que está acontecendo e ser social . e eles não pensarão em quebrar o sistema. Caso contrário, eles vão fazer isso escondido e durante todo o dia ... Não se esqueça que de qualquer maneira eles podem entrar com celulares e 3G que você não pode fechar. Cheerz.
FWIW,
minha empresa não exige que bloquei sites de redes sociais e não temos problemas com usuários que gastam muito tempo com eles. Eu concordo completamente com a mentalidade "trate-os como adultos".
Tags tor ip-blocking content-filter