Bloquer Facebook et Myspace par adresse IP

J'ai du mal à faire en sorte qu'un périphérique Cisco ASA bloque certains sites de réseautage social qui sont devenus des puits de temps dans notre bureau. Cette question est vraiment en deux parties:

1. Existe-t-il un moyen fiable de récupérer toutes les adresses IP de ces sites?
   • Il semble que les serveurs DNS de Facebook répondent avec des adresses IP aléatoires. A digsuivi d'un nslookuprendement de deux adresses IP différentes pour www.facebook.com.
2. Y a-t-il une astuce pour me permettre d'ajouter des noms d'hôtes à Cisco ASA via Adaptive Security Device Manager (ASDM).
   • J'ai trouvé le filtre URL, mais cela nécessite un logiciel tiers dont je doute que j'obtienne un financement juste pour bloquer ces sites.

Nous recherchons une solution temporaire jusqu'à ce que je puisse faire fonctionner Squid , ce qui peut prendre jusqu'à six mois (nous avons besoin d'un administrateur réseau, mauvais).

Qui utilisez-vous comme fournisseur DNS? Si vous pouvez passer à quelqu'un comme OpenDNS (c'est gratuit), ils fournissent un blocage automatique (et très configurable) des sites de réseaux sociaux, de la messagerie Web, du contenu pour adultes, etc.

EDIT: Vous n'avez rien à changer avec votre FAI non plus.

Sur votre Cisco asa, vous pouvez effectuer les opérations suivantes:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Je vous suggère fortement de lire tous les détails sur le site Web de Cisco .

1. Rassemblez les journaux de l'activité Web de l'utilisateur.
2. Accédez au bureau de l'utilisateur.
3. Montrez-leur les journaux et dites-leur que s'ils n'arrêtent pas de perdre du temps sur l'entreprise, ils seront renvoyés.
4. Enregistrez l'événement.

Vous pourriez même être promu à la gestion si vous continuez ainsi. ;)

Un de mes clients avait exactement ce problème. Voici comment nous avons abordé la solution:

1. Installé une boîte IPCop avec un proxy Squid intégré et également installé le module complémentaire URLFilter. Tout le trafic passe désormais par la boîte IPCop.

2. L'adresse IP de chacun a été codée en dur sur son poste téléphonique pour le simple fait que cela a FACILEMENT facilité l'identification des contrevenants. Nous avons également modifié tous les paramètres du serveur DNS pour pointer vers OpenDNS . (D'autres options de filtrage sont possibles avec OpenDNS mais il s'est avéré qu'elles n'étaient pas nécessaires après tout.)

3. Suppression (et interdit) l'utilisation de tous les publics de messagerie instantanée des clients tels que Yahoo Messenger, MSN, AOL, ICQ, etc., etc. Au lieu de cela , nous avons installé une sécurité société uniquement XMPP serveur appelé SecuredIM de sorte que tout le trafic de messagerie instantanée serait connecté et que être garanti que les communications d'entreprise à entreprise seulement.

4. SecuredIM a également la capacité unique de prendre des captures d'écran des bureaux toutes les XX minutes. Si un employé est soupçonné de se moquer (sur la base des journaux IPCop), une image vaut 1 000 mots. Certaines captures d'écran peuvent être archivées et envoyées par e-mail pour une révision ultérieure (ou une action disciplinaire).

5. Nous avons bloqué Facebook, Myspace, Hulu et deux ou trois autres abus majeurs via le URLFilter sur la boîte IPCop.

6. Examen manuel (et plus de sites bloqués si nécessaire) pendant environ une semaine.

7. A ouvert le surf "libre / débloqué" pendant l'heure du déjeuner (12h00-13h00).

À la fin de la semaine, l'entreprise était en pleine transformation. La productivité a augmenté de façon spectaculaire et personne ne s'est plaint.

Comme pour toute entreprise, il y a toujours les 1-2 rebelles qui pensent que c'est un "jeu".

Une fois nytimes.combloqué, ils sont allés sur un autre site d'actualités. Quand cela a été bloqué, ils en ont choisi un autre. D'autres ont cessé de surfer et se sont tournés vers des passe-temps tels que Solitaire et Démineur , mais les captures d'écran de SecuredIM l'ont compris (IPCop ne pouvait évidemment pas).

En deux semaines (et quelques discussions entre employeurs et employés, y compris des mesures disciplinaires pour les personnes tenaces), tout s'est bien déroulé et se déroule sans heurts depuis près de deux ans.

URL:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

NOTE LATÉRALE:

Comme une drôle d'histoire secondaire. Environ un an plus tard, un problème électrique dans le bâtiment a provoqué la coupure de l'alimentation du boîtier IPCop et il a fallu 2-3 jours avant qu'un nouveau boîtier IPCop puisse être mis en place.

Nous avons constaté qu'il a fallu moins de 48 heures aux employés pour revenir à leurs anciennes habitudes de surf et à leur productivité.

C'était tout à fait l'expérience sociale. :-)

La solution DNS semble être la meilleure réponse pour moi, mais sachez que bien sûr, ils seront toujours en mesure d'accéder aux sites via l'adresse IP (vous le savez probablement au niveau de votre question, mais d'autres qui trouvent cela sur Google Pourrait ne pas être).

Deuxièmement, regardez la réponse d'Evan pour empêcher discrètement les utilisateurs d'exécuter certains programmes sur les ordinateurs Windows pour empêcher les utilisateurs d'exécuter certains programmes. Je pense que vous essayez de résoudre un problème de gestion informatique. En réalité, ils devraient probablement embaucher des personnes suffisamment responsables pour obéir aux règles clairement définies, et ils devraient probablement s'inquiéter de ce que leurs tâches soient bien effectuées et à temps au lieu des sites Web qu'ils visitent pendant leur temps d'arrêt. Bloquer ce genre de choses va probablement répandre du ressentiment dans toute l'entreprise. Bien sûr, vous devez faire tout ce que vous avez à faire, et cela ne dépend probablement même pas de vous - mais je pense que cela devrait toujours être pris en considération avant de prendre ce genre de mesure si ce n'est pas déjà fait.

J'ai adopté une approche différente pour résoudre ce problème.

Au lieu d'avoir le trafic de déchiffrement ASA, j'ai créé une zone de recherche directe sur mon serveur DNS local pour "facebook.com" et laissé toutes les entrées DNS vides. Si vous le souhaitez, vous pouvez toujours pointer le site vers une page Web interne indiquant à l'utilisateur qu'il essaie d'accéder à un site interdit par la politique de l'entreprise.

J'espère que ça aide.

Si vous n'avez pas le temps ou le personnel pour créer votre propre solution, vous pourriez envisager un produit clé en main.

Nous utilisons le Threatwall d'eSoft, qui fait un excellent travail de contrôle d'accès (via IP ou URL). Assez facile à configurer avec des cases à cocher pour tous les types de sites courants, ainsi que la possibilité d'ajouter le vôtre et d'avoir une liste blanche. Ils ont différents packages disponibles (le nôtre filtre également le spam, par exemple).

Non affilié à eSoft, sauf en tant que client, Dave

Peut-être qu'au lieu de bloquer les adresses IP, vous pouvez diriger les noms d'hôte vers localhost, c'est-à-dire modifier votre fichier hôte pour qu'il ressemble à ceci:

www.facebook.com     127.0.0.1

Cela empêcherait la recherche de la véritable adresse IP de Facebook, etc.