Memblokir Facebook dan Myspace berdasarkan alamat IP

11

Saya mengalami masalah membuat perangkat Cisco ASA memblokir situs jejaring sosial tertentu yang telah menjadi tenggang waktu di kantor kami. Pertanyaan ini sebenarnya ada dua bagian:

  1. Apakah ada cara yang dapat diandalkan untuk mengambil semua alamat IP untuk situs-situs ini?
    • Tampaknya server DNS Facebook merespons dengan alamat IP acak. A digdiikuti oleh nslookuphasil dua alamat IP yang berbeda untuk www.facebook.com.
  2. Apakah ada trik untuk mengizinkan saya menambahkan nama host ke Cisco ASA melalui Adaptive Security Device Manager (ASDM).
    • Saya telah menemukan filter URL, tetapi itu membutuhkan perangkat lunak pihak ketiga yang saya ragu saya akan mendapatkan dana hanya untuk memblokir situs-situs ini.

Kami sedang mencari solusi sementara sampai saya dapat menjalankan dan menjalankan Squid , yang mungkin sejauh enam bulan (kami membutuhkan administrator jaringan, buruk).

domain-name-system firewall cisco Jack M.
sumber

Jawaban:

21

Siapa yang Anda gunakan sebagai penyedia DNS Anda? Jika Anda dapat beralih ke seseorang seperti OpenDNS (gratis) mereka memberikan pemblokiran otomatis (& sangat dapat dikonfigurasi) situs jejaring sosial, webmail, konten khusus dewasa, dll.

EDIT: Anda juga tidak perlu mengubah apa pun dengan ISP Anda.

Marko Carter
sumber
1
Menunjuk entri DNS router saya ke OpenDNS dan memblokirnya di sana (workstation dikonfigurasikan untuk menggunakan DNS Router). Berfungsi bagus dan memblokir seluruh jejaring sosial SELURUH. Facebook, MySpace, dll, plus program obrolan, dan sebagainya
SpaceManSpiff
Bagaimana dengan kecepatan OpenDNS? Apakah itu oke?
blank3
@ blank3: Mereka menjalankan banyak server yang didistribusikan di sekitar 'net menggunakan routing anycast, jadi biasanya cukup bagus.
Nicholas Knight
Hanya dengan menambahkan jawaban ini: Anda mungkin ingin memblokir permintaan DNS keluar dari pengguna Anda sehingga pengguna Anda yang lebih canggih tidak bisa begitu saja mengubah server DNS mereka untuk menyiasatinya.
Zippy
itu bagus kecuali jika seseorang yang menggunakan komputer tahu bagaimana melakukan "nslookup facebook.com 8.8.8.8" dan masukkan IP yang dikembalikan ke file host komputer.
Olipro
9

Pada Cisco asa Anda, Anda dapat melakukan hal berikut:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Saya sangat menyarankan Anda membaca detail lengkap di situs web Cisco .

Jeremy Rossi
sumber
8
  1. Kumpulkan log dari aktivitas web pengguna.
  2. Pergi ke meja pengguna.
  3. Tunjukkan pada mereka log, dan beri tahu mereka jika mereka tidak berhenti bermain-main di waktu perusahaan, mereka akan dipecat.
  4. Catat acara tersebut.

Anda bahkan mungkin dipromosikan menjadi manajemen jika Anda meneruskannya. ;)

Ernie
sumber
Ooooh, bijaksana ... hehehe. Namun pertanyaannya sebenarnya bukan 'bagaimana saya menghentikan pengguna saya mengakses situs jejaring sosial', saya membacanya lebih seperti: 'Bagaimana cara menonaktifkan akses web pengguna ke situs-situs berdasarkan domain' yang bisa berbicara tentang staf, atau tamu mengakses situs semacam ini. Anda ada benarnya, jadi tidak - dari saya;)
l0c0b0x
Maka mungkin langkah 0 seharusnya "Tanyakan apakah itu hasil akhir atau cara yang penting." Juga, pada langkah 3, saya tidak mengatakan Anda tidak harus bijaksana. Anda dapat mengatakan bahwa Manajemen telah memberitahu Anda untuk mencegah mereka mengakses situs yang telah mereka jelajahi, dan membiarkan mereka untuk mencari tahu apa artinya itu.
Ernie
5

Seorang klien saya memiliki masalah ini. Inilah cara kami menangani solusinya:

  1. Menginstal kotak IPCop dengan proxy Squid bawaan dan juga menginstal addFilter URL. Semua lalu lintas sekarang mengalir melalui kotak IPCop.

  2. Hard kode alamat IP setiap orang untuk ekstensi telepon mereka untuk fakta sederhana yang membuatnya lebih mudah untuk mengidentifikasi pelaku. Kami juga mengubah semua pengaturan server DNS agar mengarah ke OpenDNS . (Opsi pemfilteran lebih lanjut dimungkinkan dengan OpenDNS tetapi ternyata tidak diperlukan sama sekali.)

  3. Dihapus (dan dilarang) penggunaan semua masyarakat IM klien seperti Yahoo Messenger, MSN, AOL, ICQ, dll, dll Sebaliknya kami memasang aman perusahaan-satunya XMPP server yang disebut SecuredIM sehingga semua lalu lintas IM akan login dan akan dijamin hanya komunikasi perusahaan-ke-perusahaan.

  4. SecuredIM juga memiliki kemampuan unik untuk mengambil tangkapan layar desktop setiap XX menit. Jika seorang karyawan dicurigai melakukan kesalahan (berdasarkan log IPCop) sebuah gambar bernilai 1.000 kata. Screenshot tertentu dapat diarsipkan dan dikirim melalui email untuk ditinjau kemudian (atau tindakan disipliner).

  5. Kami memblokir Facebook, Myspace, Hulu , dan dua atau tiga pelanggaran besar lainnya melalui URLFilter di kotak IPCop.

  6. Tinjauan manual (dan lebih banyak situs diblokir jika perlu) selama sekitar satu minggu.

  7. Berselancar "bebas / tidak terblokir" yang terbuka selama jam makan siang (12:00 siang - 1:00 sore).

Pada akhir minggu perusahaan adalah transformasi total. Produktivitas meningkat secara dramatis dan tidak ada yang mengeluh.

Seperti halnya perusahaan mana pun, selalu ada 1-2 pemberontak di luar sana yang menganggap itu "permainan".

Ketika nytimes.comdiblokir mereka pergi ke situs berita lain. Ketika itu diblokir, mereka memilih yang lain. Yang lain berhenti berselancar dan melakukan hobi seperti Solitaire dan Minesweeper , tetapi tangkapan layar SecuredIM menangkap hal itu (IPCop tidak bisa jelas).

Dalam dua minggu (dan beberapa diskusi majikan / karyawan termasuk tindakan disipliner untuk individu yang keras kepala) semuanya berjalan dengan lancar dan telah berjalan dengan lancar selama hampir dua tahun.

URL:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

CATATAN SISI:

Sebagai cerita sampingan yang lucu. Sekitar satu tahun kemudian, masalah listrik di gedung menyebabkan catu daya pada kotak IPCop padam dan itu 2-3 hari sebelum kotak IPCop baru dapat ditempatkan.

Kami menemukan bahwa butuh kurang dari 48 jam bagi karyawan untuk kembali ke kebiasaan berselancar / lama yang asli dan produktivitasnya untuk turun.

Itu adalah eksperimen sosial. :-)

KPWINC
sumber
2
+1 untuk penjelasan yang luar biasa. Sayangnya, proksi adalah sesuatu yang kami hindari karena waktu yang terlibat. Ini adalah solusi terbaik dalam jangka panjang, tetapi waktu saya mungkin lebih baik menghabiskan waktu pemrograman (itu adalah pekerjaan saya, setelah semua ... Jangan tanya).
Jack M.
7
Oh, kedengarannya tempat yang mengerikan untuk bekerja.
Karolis T.
Seperti halnya perusahaan mana pun, selalu ada 1-2 pemberontak di luar sana yang menganggap itu sebagai "permainan". --- Kamu menyebut mereka pemberontak, aku menyebut mereka pejuang kemerdekaan. Ya ampun, ada cara yang lebih efektif daripada penyensoran dan pengawasan agar karyawan tetap masuk akal. Seperti, Anda tahu, merekrut karyawan yang layak.
Luke tidak memiliki nama
4

Solusi DNS terdengar seperti jawaban terbaik bagi saya, tetapi perlu diketahui bahwa tentu saja mereka kemungkinan besar masih akan dapat mengakses situs melalui alamat IP (Anda mungkin sadar dari tingkat pertanyaan Anda, tetapi orang lain yang menemukan ini di Google mungkin tidak).

Kedua, lihat respons Evan terhadap Discretely membatasi pengguna dari menjalankan program tertentu pada komputer Windows tentang menghentikan pengguna dari menjalankan program tertentu. Saya pikir Anda mencoba menyelesaikan masalah manajemen dengan TI. Sebenarnya mereka mungkin harus mempekerjakan orang yang cukup bertanggung jawab untuk mematuhi aturan apa pun yang dibuat jelas, dan mereka mungkin harus khawatir tentang mereka menyelesaikan tugas mereka dengan baik dan tepat waktu daripada situs web apa yang mereka kunjungi di waktu henti. Memblokir hal-hal ini mungkin hanya akan menyebarkan kebencian di seluruh perusahaan. Anda tentu saja harus melakukan apa pun yang harus Anda lakukan, dan itu mungkin bahkan tidak terserah Anda - tetapi saya pikir ini harus selalu dipertimbangkan sebelum mengambil langkah semacam ini jika belum.

Kyle Brandt
sumber
Ya, saya akan katakan. Pertanyaan "kembali kepada kami dengan hasil Anda" muncul dalam pikiran, karena hal pertama yang akan dilakukan orang adalah mereka akan mengakses Facebook di ponsel mereka sebagai gantinya.
Ernie
1
Saya sangat setuju, Kyle. Kami sedang memecahkan masalah manajemen dengan TI. Sayangnya, masalahnya tidak didamaikan oleh manajemen, dan perusahaan menderita karenanya. Ini adalah cara saya mengelola dari bawah, karena keterbatasan dalam manajemen dari atas.
Jack M.
2

Saya mengambil pendekatan berbeda untuk menyelesaikan masalah ini.

Alih-alih memiliki lalu lintas menguraikan ASA saya membuat zona pencarian maju pada server DNS lokal saya untuk "facebook.com" dan meninggalkan semua entri DNS kosong. Jika ingin, Anda selalu dapat mengarahkan situs ke halaman web internal yang memberi tahu pengguna bahwa mereka mencoba mengakses situs yang dilarang oleh kebijakan perusahaan.

Saya harap ini membantu.

l8nite4me
sumber
0

Jika Anda tidak punya waktu atau staf untuk membangun solusi Anda sendiri, Anda dapat mempertimbangkan produk turn-key.

Kami menggunakan eSoft's Threatwall, yang berfungsi sangat baik untuk mengontrol akses (melalui IP atau URL). Cukup mudah untuk dikonfigurasikan dengan kotak centang untuk semua jenis situs umum, ditambah kemampuan untuk menambahkan milik Anda dan memiliki daftar putih. Mereka memiliki paket berbeda yang tersedia (misalnya, kami juga memfilter spam).

Tidak berafiliasi dengan eSoft, selain sebagai pelanggan, Dave


sumber
-2

Mungkin alih-alih memblokir alamat IP, Anda dapat mengarahkan nama host ke localhost, yaitu mengedit file host Anda sehingga terlihat seperti:

www.facebook.com     127.0.0.1

Ini akan menghentikan alamat IP sebenarnya dari Facebook, dll. Yang pernah dilihat.

Tidur
sumber
1
Saya mencari untuk melakukan ini di tingkat jaringan, bukan pada mesin individual.
Jack M.
6
Atau jika Anda memiliki server DNS internal, atur catatan palsu untuk facebook dan myspace di sini
Sam Cogan
2
Kami tidak menjalankan DNS kami sendiri, kami menggunakan ISP kami.
Jack M.
1
Bisakah Anda menempatkan penerusan antara pengguna dan ISP?
Dan Carley