Mejores prácticas para bloquear sitios sociales

En nuestra empresa tenemos alrededor de 100 estaciones de trabajo con acceso a Internet, y la situación cotidiana está empeorando cada vez más desde la perspectiva del uso del acceso a Internet con el fin de realizar trabajos privados y perder el tiempo en sitios sociales.

Con el corazón abierto como soy, no me gusta bloquear sitios como Facebook, YouTube y otros sitios similares, pero día a día mis colegas no terminan sus tareas y cada vez que miro sus monitores están ejecutando Internet Explorer o Mozilla Firefox, chat y cosas asi. Por otro lado, me gustaría bloquear YouTube cuando tenemos una velocidad de acceso a Internet muy baja.

Aquí están mis preguntas:

• ¿Otras compañías bloquean los sitios sociales?
• ¿Necesito un dispositivo dedicado para eso, como un firewall de hardware o un enrutador súper caro? ¿O puedo hacerlo con mi enrutador FreeBSD 6.1 existente hecho a sí mismo con dos tarjetas LAN y NAT configurado para actuar como un enrutador?

Estaba tratando de hacer eso usando ipfw y routerfirewall pero sin éxito. Mi código se ve así:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

¿Qué puedo hacer para solucionar este problema?

¿Otras compañías bloquean los sitios sociales?

Sí, pero eso no significa que sea una buena idea. El libro Predictably Irrational tiene una discusión interesante y enlaces a varios estudios que básicamente sugieren que si bloquea el uso personal menor, en realidad puede costarle productividad. Si las personas piensan que su lugar de trabajo es amigable y hogareño, es más probable que trabajen desde más de 40 horas.

Si un individuo está causando problemas, puede ser mejor trabajar con el individuo, y luego usar una solución tecnológica para simplemente matar cosas rotas. La tecnología no es un reemplazo para un gerente que realmente hace su trabajo.

La mayoría de los filtros se pasan por alto fácilmente, realmente deberías intentar evitar una carrera armamentista con tus compañeros de trabajo. En algún momento, simplemente hará que su firewall sea tan hostil que no podrán realizar el trabajo real, y probablemente aún no haya bloqueado todas las formas posibles de evitar el firewall.

¿Necesito un dispositivo dedicado para eso, como firewall de hardware, enrutador súper costoso? O puedo hacerlo con mi enrutador FreeBSD 6.1 existente hecho a sí mismo con dos tarjetas LAN y nat configurado para actuar como enrutador.

Puede instalar Squid + Squidguard y forzar todo el tráfico a través del proxy. Puede configurar ACL para bloquear sitios que no le gustan.

Le sugiero que configure el calamar como proxy, sin ACL para bloquear nada, y solo mire los registros. Forzar a todos a través del proxy (con aviso). Luego configure algo como SARG para generar informes. Si alguien realmente tiene un problema, tener un buen informe le dará al supervisor del empleado la evidencia de la necesidad de comenzar a abordar el problema.

Esto debe tratarse a través de su procedimiento disciplinario, no a través de su firewall. Es una solución técnica para un problema no técnico.

¿Sabes cómo RIAA y MPAA publican estos números locos sobre cuánto dinero les está costando la piratería, en base a la suposición idiota de que cada unidad de contenido pirateado se compraría si la piratería fuera imposible?

Estás haciendo lo mismo al suponer que si 'perder' el tiempo en las redes sociales fuera imposible, ese tiempo se gastaría haciendo un trabajo productivo. Pero a menos que estén hablando de empleados de entrada de datos, probablemente estamos hablando de personas con algún tipo de aspecto creativo / trabajador del conocimiento en su trabajo, lo que significa que su productividad es algo complejo que no se ve igual como el de un widget twister en una línea de montaje. Su uso de las redes sociales puede ser fácilmente un componente clave de su productividad, y atacarlo puede ser lo que les permite ganar dinero.

Y eso es incluso antes de entrar en el impacto moral de tratar a los empleados como prisioneros en una cadena de pandillas.

Solo digo, amigo.

Solo bloqueamos los sitios si la navegación interfiere con la productividad, y aceptamos las opiniones de la administración local sobre el tema (incluso cuando sospechamos que están exagerando).

Bloqueamos sitios usando un servidor proxy; generalmente SQUID, que debería funcionar bien en su firewall. Pusimos una regla en el firewall que bloquea el puerto de salida 80 (y a veces 443) de todos los hosts, excepto de los servidores y el servidor proxy. Luego usamos una política de grupo para configurar el proxy en el Internet Explorer de los usuarios.

Algunos gerentes nos solicitan estadísticas de uso. La mayoría no lo hace.

JR

Utiliza OpenDNS . Debería poder bloquear los sitios sociales usando eso. De lo contrario, debería considerar usar un servidor proxy con capacidades de filtrado.

La mejor manera de bloquear cosas es hacer que el gerente camine, pasando más tiempo cerca de aquellos que no hacen las cosas. Si las personas realizan su trabajo, ¿por qué le importa qué sitios visitan o cuánto tiempo pasan? Si no lo hacen, escríbalos y déjelos seguir adelante.

La configuración de paquetes para acelerar la transmisión hizo que nuestra red fuera muy buena. Nadie está tan preocupado con los sitios de redes sociales ahora que 3 personas que tiran videos de YouTube no interfieren con las descargas de MSDN.

Asegúrese de averiguar cuáles son los puntos de dolor reales antes de decidir una solución.

Trabajo en una universidad y bloqueamos sitios con Websense. Bueno (¡no perfecto!) Pero caro. OpenDNS es más barato y también bastante bueno.

Al final del día, sin embargo, mi opinión es que hay muy pocas soluciones tecnológicas para los problemas de comportamiento. Si su empresa no quiere que las personas visiten los sitios de redes sociales, entonces debe dejar en claro que esto va en contra de la política de uso de Internet; de lo contrario, se convierte en un juego para algunas personas. Utilice todos los medios para ayudar a hacer cumplir esa política si es necesario, pero no solo bloquee los sitios sin explicación o comunicación.

También estoy de acuerdo con el comentario sobre si el trabajo se está realizando o no. Si las personas están cumpliendo sus objetivos, entonces podría preguntarse dónde está el daño al dejarlos perder un poco en Internet también.

Estoy de acuerdo en que es una política de gestión / recursos humanos, TI solo puede implementar una tecnología menos que perfecta para implementar. Si hay un problema, debería ser evidente en el desempeño del infractor.

Sin embargo, cuando se requiere tener pruebas para los fines de una acción disciplinaria, los registros de uso de Internet son vitales para el caso de la organización. Para esto, la organización debe emplear un mecanismo de registro / informe. El uso de esto debe comunicarse a los empleados y las políticas de uso deben documentarse claramente en el manual del empleado.

También realizamos el uso de monitoreo de uso de WebSense. Las categorías estrictamente prohibidas por nuestra política están directamente bloqueadas. Otros que están más libremente regulados se permiten haciendo clic en el botón que equivale a que el empleado diga "Entiendo este filtro y procedo por razones comerciales". La herramienta que use dependerá mucho del tipo de política que tenga y del tamaño de su organización.

También estoy totalmente de acuerdo en que restringir los sitios sociales se está convirtiendo en algo cada vez más indeseable, especialmente para las próximas generaciones.

Usamos una combinación de OpenDNS pero también ejecutamos un cuadro IPCop frente a la red.

Esto nos permite restringir sitios como MySpace, FaceBook, YouTube, etc. EXCEPTO para la hora del almuerzo (12:00 pm - 1:00 pm).

Esto permite a los empleados revisar su myspace, facebook, etc. durante la hora del almuerzo, pero los mantiene "enfocados" en el tiempo de la compañía.

Periódicamente observamos los archivos de registro de IPCop y determinamos si es necesario bloquear más sitios.

Si implementa una solución IPCop, descubrirá rápidamente que después de aproximadamente una semana, todo el tonto se detiene "mágicamente". También encontrará que solo tiene que bloquear un puñado de sitios para aumentar enormemente la productividad de los empleados.

Buena suerte

PD: otro gran producto que hemos usado en el pasado es SecuredIM ( http://www.securedim.com ) que le permite monitorear el chat entre empresas y también tomar capturas de pantalla periódicas del escritorio de un usuario si lo desea. (es decir, tome una instantánea del escritorio de Joe cada 10 minutos)

La mayoría de las personas asume erróneamente que el objetivo del filtrado web es un objetivo único, no se trata solo de productividad, aunque he visto numerosos ejemplos del mundo real en los que la productividad aumenta y la producción aumenta enormemente cuando se aplican controles suaves. Trabajo para SmoothWall, un proveedor de filtros web, por lo que, aunque puedo tener un sesgo, ¡también tengo mucha experiencia!

Websense incluso anuncia "decir sí" en estos días, y nosotros (SmoothWall) estamos de acuerdo. Necesitas ser indulgente. Usar el bloqueo suave (solo un recordatorio de que esto es "no político" o las franjas horarias son dos formas de relajar las cosas).

En cualquier caso ... como estaba diciendo ... no solo la productividad: he visto problemas de recursos humanos derivados del mal uso de las redes sociales, del mal uso de sitios web para adultos y de la falta de evidencia cuando esto sucede.

Finalmente ... vale la pena señalar que no todos se comportan como esperamos que lo hagan, no todos tienen "mentalidad de administrador de sistemas / técnico" y trabajarán más duro porque les das facerbook ... muchos tomarán una milla dada una pulgada - la naturaleza humana soy temeroso.

No lo hagas

Respuesta corta: Sí, hay empresas que bloquean el acceso a la web (sitios sociales u otros)

Respuesta larga:
Desde el punto de vista del empleador: Se desperdicia el tiempo utilizado en el trabajo, sin hacer ningún trabajo.
Desde el punto de vista de los empleados: mi trabajo está hecho, mientras espero que llegue más, iré (a ese sitio web). Recibes más trabajo por hacer.

Soy uno de los empleados que perdió mi acceso a Internet cuando nuestra empresa decidió probar WebSense. Y las pocas cosas que aprendo de ser bloqueado por websense:

• Aprendo mucho sobre proxy abierto, tunelización e información sobre eludir los bloqueos web en general
• Gran cantidad de disturbios entre el personal con el bloqueo de acceso web: no afecta a los superiores porque su acceso no está restringido

Restringir que las personas accedan a sitios web sociales debería ser parte de la práctica comercial de la compañía y de la ética laboral de la compañía, debería haber poca o ninguna necesidad de tal aplicación mediante el uso de la tecnología (Referencia: comentario de David Pashley anterior).

La aplicación a nivel personal será beneficiosa tanto para la empresa como para el miembro del personal a largo plazo. El miembro del personal será más responsable con su trabajo y su acceso a los sitios sociales, y la compañía se beneficiará de un miembro del personal más responsable. Costo de

monitoreo personal
: prácticamente $ 0. Gerente / líder del equipo para dedicar más tiempo a administrar y monitorear a su equipo.
Beneficio: el personal tiene menos tiempo para visitar sitios sociales (para hacer más trabajo), "podría" mejorar su sentido de responsabilidad a largo plazo.


Costo del software de bloqueo web : depende del software, puede ser gratuito, puede ser $$$$. Además, el tiempo dedicado a ajustar el software.
Beneficio: Ahorre el tiempo de la empresa del personal que accede a los sitios sociales, ahorre el ancho de banda de la empresa en general.

La mejor herramienta para esto es la Política de uso de Internet con estadísticas abiertas (pero la administración se opondrá a esto, ya que, como saben, también son personas).

1. Bloquee todas las conexiones al exterior del usuario lan, ¡sin excepciones de puerto!
2. Obtenga un servidor proxy, por ejemplo: Squid y agregue filtros como Squidguard
3. Ahora hay dos formas: configurar al usuario para que use el proxy (toma algún tiempo) o habilitar el proxy transparente (puede haber problemas con las conexiones SSL, pero más rápido).
4. Busque al usuario, que está contento y desinstale TOR ( http://tor.kamagurka.org/index.html.en ) de su PC, elimine usb, disquete, cdrom, etc., para que no pueda usar la versión portátil (o mejor - despedirlo con mucha publicidad en la empresa)

Escuché una sugerencia de Jason Calacanis en un episodio de "This Week is Startups" para enviar un correo electrónico a los empleados para que pudieran saber cuánto tiempo están perdiendo.

La mayoría de los usuarios probablemente desconocen cuánto tiempo pasan en algunos de estos sitios. Con este método, los empleados pueden auto policía y también saben que si se sale de control, es probable que también lo sepan.

El patrocinador del programa que tenía el producto que podía hacer esto fue WebSpy .

Si sus empleados eligen perder el tiempo en lugar de hacer su trabajo, ¿por qué sería importante eliminar una de las miles de formas en que pueden perder el tiempo?

Quizás el problema es un ambiente de trabajo creado por personas que piensan que pueden tratar a sus empleados de esta manera.

Estás intentando bloquearlo al revés.

No debería importarle que TCP / IP vaya al host, tal como lo tiene. Debe bloquear el tráfico entrante, es decir:

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

O simplemente bloquee el tráfico web:

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

Sin embargo, esto no bloqueará todo porque la dirección www.youtube.comse convierte en la primera dirección IP que encuentra su DNS y su bloqueo se ve afectado por el equilibrio de carga. Puedes bloquear toda la red si quieres ponerte desagradable.

Si está utilizando OpenDNS, siempre podría bloquear fácilmente por dominio / contenido de esa manera

Depende del tipo de empresa para la que trabajas, en mi caso trabajo en el área de Educación y aquí estamos usando SmartFilter (caro como el infierno). pero mi punto es que, dependiendo del área de trabajo, puede bloquear todos los sitios sociales usando OpenDNS (lo usé antes de traer SmartFilter).

Simplemente usaría un servidor DNS para bloquear dominios, pero luego no olvide configurar su firewall para que los usuarios no puedan usar un servidor DNS fuera de la empresa (como opendns)

¿Estás seguro de que bloquear los sitios de redes sociales resuelve el problema?

El problema que declaras es que la situación está empeorando cada vez más ...

¿Quiere decir que sus empleados están usando demasiado ancho de banda en estos sitios de redes sociales? ¿O quiere decir que sus empleados pasan demasiado tiempo de su trabajo en ciertos sitios web?

Si es el primero, entonces sería mejor obtener números de tráfico. Yo estaría a favor de la idea de los números de tráfico público, pero, independientemente de si son públicos o no, entonces si el problema es demasiado tráfico de red, recopilar los números le permitirá tomar decisiones inteligentes.

Si tiene demasiado tráfico, entonces recogería el número durante una o dos semanas y luego anunciaría que el sitio zzz.com, aaa.com, etc. se bloqueará a partir de una fecha en particular.

Si, por otro lado, el problema es que los empleados están gastando demasiado tiempo de trabajo, el problema no es un problema tecnológico y probablemente debería tratarse de otras maneras.

Si aún desea lidiar con esto técnicamente, si recopila los números de tráfico, puede bloquear los 10 sitios principales que no se consideran importantes para su negocio y ver si las cosas mejoran.

Personalmente, solo contrato personas antisociales.

Gran discusión Verificaría esto. Es un gran documento técnico para transmitirlo a TI: Bloquear o no. ¿Esa es la pregunta?