Bloqueo de Facebook y Myspace por dirección IP

11

Tengo problemas para hacer que un dispositivo Cisco ASA bloquee ciertos sitios de redes sociales que se han convertido en sumideros de tiempo en nuestra oficina. Esta pregunta tiene realmente dos partes:

  1. ¿Hay alguna forma confiable de recuperar todas las direcciones IP de estos sitios?
    • Parece que los servidores DNS de Facebook responden con direcciones IP aleatorias. A digseguido de un nslookuprendimiento dos direcciones IP diferentes para www.facebook.com.
  2. ¿Hay algún truco para permitirme agregar nombres de host a Cisco ASA a través de Adaptive Security Device Manager (ASDM)?
    • He encontrado el filtro de URL, pero eso requiere un software de terceros que dudo que obtenga fondos solo para bloquear estos sitios.

Estamos buscando una solución temporal hasta que pueda poner en funcionamiento Squid , que puede tardar hasta seis meses (necesitamos un administrador de red, mal).

domain-name-system  firewall  cisco 
Jack M.
fuente

Respuestas:

21

¿A quién utiliza como su proveedor de DNS? Si puede cambiar a alguien como OpenDNS (es gratis), proporciona un bloqueo automático (y muy configurable) de los sitios de redes sociales, correo web, contenido para adultos, etc.

EDITAR: tampoco tiene que cambiar nada con su ISP.

Marko Carter
fuente
1
Apunté las entradas DNS de mi enrutador a OpenDNS y lo bloqueé allí (las estaciones de trabajo están configuradas con GPO para usar el DNS del enrutador). Funciona muy bien y bloquea TODAS las redes sociales. Facebook, MySpace, etc., más programas de chat, etc.
SpaceManSpiff
¿Qué pasa con la velocidad de OpenDNS? ¿Está bien?
blank3
@ blank3: Ejecutan un montón de servidores distribuidos por la red usando el enrutamiento anycast, por lo que generalmente es bastante bueno.
Nicholas Knight el
Solo para agregar a esta respuesta: es posible que desee bloquear las consultas DNS salientes de sus usuarios para que sus usuarios más sofisticados no puedan simplemente cambiar sus servidores DNS para evitar esto.
rápido
eso es genial a menos que alguien que usa la computadora sepa cómo hacer "nslookup facebook.com 8.8.8.8" e inserte la IP devuelta en el archivo host de la computadora.
Olipro
9

En su Cisco asa puede hacer lo siguiente:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Le recomiendo que lea los detalles completos en el sitio web de Cisco .

Jeremy Rossi
fuente
8
  1. Recopile registros de la actividad web del usuario.
  2. Ve al escritorio del usuario.
  3. Muéstreles los registros y dígales que si no dejan de joder el tiempo de la compañía, serán despedidos.
  4. Registra el evento.

Incluso puede ser ascendido a gerencia si sigue así. ;)

Ernie
fuente
Ooooh, con tacto ... jejeje. Sin embargo, la pregunta no era realmente '¿cómo evito que mis usuarios accedan a sitios de redes sociales?', Lo leí más como: '¿Cómo deshabilito el acceso web de los usuarios a los sitios por dominio? accediendo a este tipo de sitios. Sin embargo, tienes un punto, así que no, de mí;)
l0c0b0x
Entonces, tal vez el paso 0 debería ser "Pregunte si es el resultado final o el medio que importa" Además, en el paso 3, no dije que no debías tener tacto. Se podría decir que la Administración le ha dicho que evite que accedan a los sitios que han estado navegando y que se dé cuenta de lo que eso significa.
Ernie
5

Un cliente mío tenía este problema exacto. Así es como abordamos la solución:

  1. Instalé una caja IPCop con un proxy Squid incorporado y también instalé el complemento URLFilter. Todo el tráfico ahora fluye a través del cuadro IPCop.

  2. Codificó la dirección IP de todos en su extensión telefónica por el simple hecho de que hizo que sea MUCHO más fácil identificar a los delincuentes. También cambiamos todas las configuraciones del servidor DNS para que apunten a OpenDNS . (Las opciones de filtrado adicionales son posibles con OpenDNS pero resultó que no eran necesarias después de todo).

  3. Eliminó (y prohibió) el uso de todos los clientes de mensajería instantánea pública , como Yahoo Messenger, MSN, AOL, ICQ, etc., etc. En su lugar, instalamos un servidor XMPP seguro solo para la empresa llamado SecuredIM para que todo el tráfico de mensajería instantánea se registrara y se garantiza que solo serán comunicaciones de empresa a empresa.

  4. SecuredIM también tiene la capacidad única de tomar capturas de pantalla de escritorios cada XX minutos. Si se sospechaba que un empleado se estaba burlando (según los registros de IPCop), una imagen valía 1,000 palabras. Algunas capturas de pantalla pueden archivarse y enviarse por correo electrónico para su posterior revisión (o acción disciplinaria)

  5. Bloqueamos Facebook, Myspace, Hulu y otros dos o tres abusos importantes a través del URLFilter en el cuadro IPCop.

  6. Revisión manual (y más sitios bloqueados si es necesario) durante aproximadamente una semana.

  7. Navegación abierta "libre / desbloqueada" durante la hora del almuerzo (12:00 pm-1: 00 pm).

Al final de la semana, la compañía fue una transformación total. La productividad aumentó dramáticamente y nadie se quejó.

Como con cualquier compañía, siempre hay 1-2 rebeldes que piensan que es un "juego".

Cuando nytimes.comfue bloqueado fueron a otro sitio de noticias. Cuando eso fue bloqueado, escogieron otro más. Otros dejaron de navegar y se dedicaron a pasatiempos como Solitario y Buscaminas , pero las capturas de pantalla de SecuredIM lo captaron (IPCop obviamente no podía).

En dos semanas (y un par de discusiones entre empleadores y empleados, incluida una acción disciplinaria para personas obstinadas) todo funcionó sin problemas y ha estado funcionando sin problemas durante casi dos años.

URLS:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

NOTA LATERAL:

Como una historia secundaria divertida. Aproximadamente un año después, un problema eléctrico en el edificio provocó que se cortara el suministro de energía en la caja IPCop y pasaron 2-3 días antes de que se pudiera instalar una nueva caja IPCop.

Descubrimos que los empleados tardaron menos de 48 horas en volver a sus hábitos de navegación antiguos / originales y la productividad para disminuir.

Fue todo un experimento social. :-)

KPWINC
fuente
2
+1 por la asombrosa explicación. Desafortunadamente, el proxy era algo que estábamos evitando debido al tiempo involucrado. Es la mejor solución a largo plazo, pero mi tiempo probablemente sea mejor dedicado a la programación (ese es mi trabajo, después de todo ... No preguntes).
Jack M.
77
Oh, suena como un lugar horrible para trabajar.
Karolis T.
Como con cualquier compañía, siempre hay 1-2 rebeldes que piensan que es un "juego". --- Los llamas rebeldes, yo los llamo luchadores por la libertad. Dios mío, hay formas más efectivas que la censura y la vigilancia para mantener a los empleados razonables. Como, ya sabes, contratar empleados decentes.
Luke no tiene nombre el
4

La solución DNS me parece la mejor respuesta, pero tenga en cuenta que, por supuesto, lo más probable es que aún puedan acceder a los sitios a través de la dirección IP (probablemente lo sepa desde el nivel de su pregunta, pero otros que lo encuentran en Google podria no ser).

En segundo lugar, mire la respuesta de Evan para restringir discretamente a los usuarios que ejecuten ciertos programas en computadoras con Windows sobre evitar que los usuarios ejecuten ciertos programas. Creo que está tratando de resolver un problema de gestión con TI. Realmente, probablemente deberían contratar personas que sean lo suficientemente responsables como para obedecer las reglas que se aclaren, y probablemente deberían preocuparse de que realicen sus tareas bien y a tiempo en lugar de los sitios web que visitan en su tiempo de inactividad. Bloquear estas cosas probablemente solo propague el resentimiento en toda la empresa. Por supuesto, debe hacer lo que tenga que hacer, y probablemente ni siquiera depende de usted, pero creo que esto siempre debe tenerse en cuenta antes de dar este tipo de paso, si aún no lo hizo.

Kyle Brandt
fuente
Sí, estaba a punto de decirlo. Me viene a la mente la pregunta "contáctenos con sus resultados", porque lo primero que harán las personas es acceder a Facebook en sus teléfonos celulares.
Ernie el
1
Estoy totalmente de acuerdo, Kyle. Estamos resolviendo un problema de gestión con TI. Desafortunadamente, el problema no está siendo reconciliado por la gerencia, y la compañía está sufriendo como resultado. Esta es mi forma de administrar desde abajo, debido a las limitaciones en la administración desde arriba.
Jack M.
2

Tomé un enfoque diferente para resolver este problema.

En lugar de tener el tráfico de descifrado ASA, creé una zona de búsqueda directa en mi servidor DNS local para "facebook.com" y dejé todas las entradas DNS en blanco. Si lo desea, siempre puede dirigir el sitio a una página web interna que le indique al usuario que está intentando acceder a un sitio que está prohibido por la política de la compañía.

Espero que esto ayude.

l8nite4me
fuente
0

Si no tiene el tiempo o el personal para crear su propia solución, puede considerar un producto llave en mano.

Utilizamos el Threatwall de eSoft, que hace un gran trabajo al controlar el acceso (a través de IP o URL). Bastante fácil de configurar con casillas de verificación para todos los tipos comunes de sitios, además de la posibilidad de agregar el suyo propio y tener una lista blanca. Tienen diferentes paquetes disponibles (el nuestro también filtra el spam, por ejemplo).

No está afiliado a eSoft, excepto como cliente, Dave

-2

Tal vez en lugar de bloquear las direcciones IP, podría dirigir los nombres de host a localhost, es decir, editar su archivo de host para que se vea así:

www.facebook.com     127.0.0.1

Esto detendría la búsqueda de la verdadera dirección IP de Facebook, etc.

Dormir
fuente
1
Estoy buscando hacer esto a nivel de red, no en las máquinas individuales.
Jack M.
66
O si tiene un servidor DNS interno, configure registros falsos para Facebook y MySpace aquí
Sam Cogan
2
No ejecutamos nuestro propio DNS, utilizamos nuestros ISP.
Jack M.
1
¿Puede colocar un reenviador entre sus usuarios y el ISP?
Dan Carley
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.