Saya mengalami masalah membuat perangkat Cisco ASA memblokir situs jejaring sosial tertentu yang telah menjadi tenggang waktu di kantor kami. Pertanyaan ini sebenarnya ada dua bagian:
- Apakah ada cara yang dapat diandalkan untuk mengambil semua alamat IP untuk situs-situs ini?
- Tampaknya server DNS Facebook merespons dengan alamat IP acak. A
dig
diikuti olehnslookup
hasil dua alamat IP yang berbeda untukwww.facebook.com
.
- Tampaknya server DNS Facebook merespons dengan alamat IP acak. A
- Apakah ada trik untuk mengizinkan saya menambahkan nama host ke Cisco ASA melalui Adaptive Security Device Manager (ASDM).
- Saya telah menemukan filter URL, tetapi itu membutuhkan perangkat lunak pihak ketiga yang saya ragu saya akan mendapatkan dana hanya untuk memblokir situs-situs ini.
Kami sedang mencari solusi sementara sampai saya dapat menjalankan dan menjalankan Squid , yang mungkin sejauh enam bulan (kami membutuhkan administrator jaringan, buruk).
domain-name-system
firewall
cisco
Jack M.
sumber
sumber
Pada Cisco asa Anda, Anda dapat melakukan hal berikut:
Saya sangat menyarankan Anda membaca detail lengkap di situs web Cisco .
sumber
Anda bahkan mungkin dipromosikan menjadi manajemen jika Anda meneruskannya. ;)
sumber
Seorang klien saya memiliki masalah ini. Inilah cara kami menangani solusinya:
Menginstal kotak IPCop dengan proxy Squid bawaan dan juga menginstal addFilter URL. Semua lalu lintas sekarang mengalir melalui kotak IPCop.
Hard kode alamat IP setiap orang untuk ekstensi telepon mereka untuk fakta sederhana yang membuatnya lebih mudah untuk mengidentifikasi pelaku. Kami juga mengubah semua pengaturan server DNS agar mengarah ke OpenDNS . (Opsi pemfilteran lebih lanjut dimungkinkan dengan OpenDNS tetapi ternyata tidak diperlukan sama sekali.)
Dihapus (dan dilarang) penggunaan semua masyarakat IM klien seperti Yahoo Messenger, MSN, AOL, ICQ, dll, dll Sebaliknya kami memasang aman perusahaan-satunya XMPP server yang disebut SecuredIM sehingga semua lalu lintas IM akan login dan akan dijamin hanya komunikasi perusahaan-ke-perusahaan.
SecuredIM juga memiliki kemampuan unik untuk mengambil tangkapan layar desktop setiap XX menit. Jika seorang karyawan dicurigai melakukan kesalahan (berdasarkan log IPCop) sebuah gambar bernilai 1.000 kata. Screenshot tertentu dapat diarsipkan dan dikirim melalui email untuk ditinjau kemudian (atau tindakan disipliner).
Kami memblokir Facebook, Myspace, Hulu , dan dua atau tiga pelanggaran besar lainnya melalui URLFilter di kotak IPCop.
Tinjauan manual (dan lebih banyak situs diblokir jika perlu) selama sekitar satu minggu.
Berselancar "bebas / tidak terblokir" yang terbuka selama jam makan siang (12:00 siang - 1:00 sore).
Pada akhir minggu perusahaan adalah transformasi total. Produktivitas meningkat secara dramatis dan tidak ada yang mengeluh.
Seperti halnya perusahaan mana pun, selalu ada 1-2 pemberontak di luar sana yang menganggap itu "permainan".
Ketika
nytimes.com
diblokir mereka pergi ke situs berita lain. Ketika itu diblokir, mereka memilih yang lain. Yang lain berhenti berselancar dan melakukan hobi seperti Solitaire dan Minesweeper , tetapi tangkapan layar SecuredIM menangkap hal itu (IPCop tidak bisa jelas).Dalam dua minggu (dan beberapa diskusi majikan / karyawan termasuk tindakan disipliner untuk individu yang keras kepala) semuanya berjalan dengan lancar dan telah berjalan dengan lancar selama hampir dua tahun.
URL:
http://www.ipcop.com
http://www.securedim.com
http://www.opendns.org
CATATAN SISI:
Sebagai cerita sampingan yang lucu. Sekitar satu tahun kemudian, masalah listrik di gedung menyebabkan catu daya pada kotak IPCop padam dan itu 2-3 hari sebelum kotak IPCop baru dapat ditempatkan.
Kami menemukan bahwa butuh kurang dari 48 jam bagi karyawan untuk kembali ke kebiasaan berselancar / lama yang asli dan produktivitasnya untuk turun.
Itu adalah eksperimen sosial. :-)
sumber
Solusi DNS terdengar seperti jawaban terbaik bagi saya, tetapi perlu diketahui bahwa tentu saja mereka kemungkinan besar masih akan dapat mengakses situs melalui alamat IP (Anda mungkin sadar dari tingkat pertanyaan Anda, tetapi orang lain yang menemukan ini di Google mungkin tidak).
Kedua, lihat respons Evan terhadap Discretely membatasi pengguna dari menjalankan program tertentu pada komputer Windows tentang menghentikan pengguna dari menjalankan program tertentu. Saya pikir Anda mencoba menyelesaikan masalah manajemen dengan TI. Sebenarnya mereka mungkin harus mempekerjakan orang yang cukup bertanggung jawab untuk mematuhi aturan apa pun yang dibuat jelas, dan mereka mungkin harus khawatir tentang mereka menyelesaikan tugas mereka dengan baik dan tepat waktu daripada situs web apa yang mereka kunjungi di waktu henti. Memblokir hal-hal ini mungkin hanya akan menyebarkan kebencian di seluruh perusahaan. Anda tentu saja harus melakukan apa pun yang harus Anda lakukan, dan itu mungkin bahkan tidak terserah Anda - tetapi saya pikir ini harus selalu dipertimbangkan sebelum mengambil langkah semacam ini jika belum.
sumber
Saya mengambil pendekatan berbeda untuk menyelesaikan masalah ini.
Alih-alih memiliki lalu lintas menguraikan ASA saya membuat zona pencarian maju pada server DNS lokal saya untuk "facebook.com" dan meninggalkan semua entri DNS kosong. Jika ingin, Anda selalu dapat mengarahkan situs ke halaman web internal yang memberi tahu pengguna bahwa mereka mencoba mengakses situs yang dilarang oleh kebijakan perusahaan.
Saya harap ini membantu.
sumber
Jika Anda tidak punya waktu atau staf untuk membangun solusi Anda sendiri, Anda dapat mempertimbangkan produk turn-key.
Kami menggunakan eSoft's Threatwall, yang berfungsi sangat baik untuk mengontrol akses (melalui IP atau URL). Cukup mudah untuk dikonfigurasikan dengan kotak centang untuk semua jenis situs umum, ditambah kemampuan untuk menambahkan milik Anda dan memiliki daftar putih. Mereka memiliki paket berbeda yang tersedia (misalnya, kami juga memfilter spam).
Tidak berafiliasi dengan eSoft, selain sebagai pelanggan, Dave
sumber
Mungkin alih-alih memblokir alamat IP, Anda dapat mengarahkan nama host ke localhost, yaitu mengedit file host Anda sehingga terlihat seperti:
Ini akan menghentikan alamat IP sebenarnya dari Facebook, dll. Yang pernah dilihat.
sumber