Bloqueo de Facebook y Myspace por dirección IP

Tengo problemas para hacer que un dispositivo Cisco ASA bloquee ciertos sitios de redes sociales que se han convertido en sumideros de tiempo en nuestra oficina. Esta pregunta tiene realmente dos partes:

1. ¿Hay alguna forma confiable de recuperar todas las direcciones IP de estos sitios?
   • Parece que los servidores DNS de Facebook responden con direcciones IP aleatorias. A digseguido de un nslookuprendimiento dos direcciones IP diferentes para www.facebook.com.
2. ¿Hay algún truco para permitirme agregar nombres de host a Cisco ASA a través de Adaptive Security Device Manager (ASDM)?
   • He encontrado el filtro de URL, pero eso requiere un software de terceros que dudo que obtenga fondos solo para bloquear estos sitios.

Estamos buscando una solución temporal hasta que pueda poner en funcionamiento Squid , que puede tardar hasta seis meses (necesitamos un administrador de red, mal).

¿A quién utiliza como su proveedor de DNS? Si puede cambiar a alguien como OpenDNS (es gratis), proporciona un bloqueo automático (y muy configurable) de los sitios de redes sociales, correo web, contenido para adultos, etc.

EDITAR: tampoco tiene que cambiar nada con su ISP.

En su Cisco asa puede hacer lo siguiente:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Le recomiendo que lea los detalles completos en el sitio web de Cisco .

1. Recopile registros de la actividad web del usuario.
2. Ve al escritorio del usuario.
3. Muéstreles los registros y dígales que si no dejan de joder el tiempo de la compañía, serán despedidos.
4. Registra el evento.

Incluso puede ser ascendido a gerencia si sigue así. ;)

Un cliente mío tenía este problema exacto. Así es como abordamos la solución:

1. Instalé una caja IPCop con un proxy Squid incorporado y también instalé el complemento URLFilter. Todo el tráfico ahora fluye a través del cuadro IPCop.

2. Codificó la dirección IP de todos en su extensión telefónica por el simple hecho de que hizo que sea MUCHO más fácil identificar a los delincuentes. También cambiamos todas las configuraciones del servidor DNS para que apunten a OpenDNS . (Las opciones de filtrado adicionales son posibles con OpenDNS pero resultó que no eran necesarias después de todo).

3. Eliminó (y prohibió) el uso de todos los clientes de mensajería instantánea pública , como Yahoo Messenger, MSN, AOL, ICQ, etc., etc. En su lugar, instalamos un servidor XMPP seguro solo para la empresa llamado SecuredIM para que todo el tráfico de mensajería instantánea se registrara y se garantiza que solo serán comunicaciones de empresa a empresa.

4. SecuredIM también tiene la capacidad única de tomar capturas de pantalla de escritorios cada XX minutos. Si se sospechaba que un empleado se estaba burlando (según los registros de IPCop), una imagen valía 1,000 palabras. Algunas capturas de pantalla pueden archivarse y enviarse por correo electrónico para su posterior revisión (o acción disciplinaria)

5. Bloqueamos Facebook, Myspace, Hulu y otros dos o tres abusos importantes a través del URLFilter en el cuadro IPCop.

6. Revisión manual (y más sitios bloqueados si es necesario) durante aproximadamente una semana.

7. Navegación abierta "libre / desbloqueada" durante la hora del almuerzo (12:00 pm-1: 00 pm).

Al final de la semana, la compañía fue una transformación total. La productividad aumentó dramáticamente y nadie se quejó.

Como con cualquier compañía, siempre hay 1-2 rebeldes que piensan que es un "juego".

Cuando nytimes.comfue bloqueado fueron a otro sitio de noticias. Cuando eso fue bloqueado, escogieron otro más. Otros dejaron de navegar y se dedicaron a pasatiempos como Solitario y Buscaminas , pero las capturas de pantalla de SecuredIM lo captaron (IPCop obviamente no podía).

En dos semanas (y un par de discusiones entre empleadores y empleados, incluida una acción disciplinaria para personas obstinadas) todo funcionó sin problemas y ha estado funcionando sin problemas durante casi dos años.

URLS:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

NOTA LATERAL:

Como una historia secundaria divertida. Aproximadamente un año después, un problema eléctrico en el edificio provocó que se cortara el suministro de energía en la caja IPCop y pasaron 2-3 días antes de que se pudiera instalar una nueva caja IPCop.

Descubrimos que los empleados tardaron menos de 48 horas en volver a sus hábitos de navegación antiguos / originales y la productividad para disminuir.

Fue todo un experimento social. :-)

La solución DNS me parece la mejor respuesta, pero tenga en cuenta que, por supuesto, lo más probable es que aún puedan acceder a los sitios a través de la dirección IP (probablemente lo sepa desde el nivel de su pregunta, pero otros que lo encuentran en Google podria no ser).

En segundo lugar, mire la respuesta de Evan para restringir discretamente a los usuarios que ejecuten ciertos programas en computadoras con Windows sobre evitar que los usuarios ejecuten ciertos programas. Creo que está tratando de resolver un problema de gestión con TI. Realmente, probablemente deberían contratar personas que sean lo suficientemente responsables como para obedecer las reglas que se aclaren, y probablemente deberían preocuparse de que realicen sus tareas bien y a tiempo en lugar de los sitios web que visitan en su tiempo de inactividad. Bloquear estas cosas probablemente solo propague el resentimiento en toda la empresa. Por supuesto, debe hacer lo que tenga que hacer, y probablemente ni siquiera depende de usted, pero creo que esto siempre debe tenerse en cuenta antes de dar este tipo de paso, si aún no lo hizo.

Tomé un enfoque diferente para resolver este problema.

En lugar de tener el tráfico de descifrado ASA, creé una zona de búsqueda directa en mi servidor DNS local para "facebook.com" y dejé todas las entradas DNS en blanco. Si lo desea, siempre puede dirigir el sitio a una página web interna que le indique al usuario que está intentando acceder a un sitio que está prohibido por la política de la compañía.

Espero que esto ayude.

Si no tiene el tiempo o el personal para crear su propia solución, puede considerar un producto llave en mano.

Utilizamos el Threatwall de eSoft, que hace un gran trabajo al controlar el acceso (a través de IP o URL). Bastante fácil de configurar con casillas de verificación para todos los tipos comunes de sitios, además de la posibilidad de agregar el suyo propio y tener una lista blanca. Tienen diferentes paquetes disponibles (el nuestro también filtra el spam, por ejemplo).

No está afiliado a eSoft, excepto como cliente, Dave

Tal vez en lugar de bloquear las direcciones IP, podría dirigir los nombres de host a localhost, es decir, editar su archivo de host para que se vea así:

www.facebook.com     127.0.0.1

Esto detendría la búsqueda de la verdadera dirección IP de Facebook, etc.