Назад | Перейти на главную страницу

Рекомендации по блокировке социальных сайтов

В нашей компании около 100 рабочих станций с доступом в Интернет, и повседневная ситуация становится все хуже и хуже с точки зрения использования доступа в Интернет с целью выполнения частной работы и траты времени на социальные сети.

Я с открытым сердцем не люблю блокировать такие сайты, как Facebook, YouTube и другие подобные сайты, но изо дня в день мои коллеги не выполняют свои задачи, и каждый раз, когда я смотрю на их мониторы, они используют Internet Explorer или Mozilla Firefox, общаются в чате и тому подобные вещи. С другой стороны, я хотел бы заблокировать YouTube, когда у нас очень низкая скорость доступа в Интернет.

Вот мои вопросы:

Я пытался сделать это, используя ipfw и маршрутизатор, но безуспешно. Мой код выглядит так:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

Что я могу сделать, чтобы решить эту проблему?

Блокируют ли другие компании социальные сайты?

Да, но это не значит, что это хорошая идея. Книга Предсказуемо иррационально есть интересное обсуждение и ссылки на несколько исследований, которые в основном предполагают, что если вы заблокируете незначительное личное использование, это может фактически снизить вашу производительность. Если люди думают, что их место работы дружелюбное и домашнее, они с большей вероятностью будут работать из дома сверх 40 часов.

Если один человек создает проблемы, может быть лучше работать с ним, а затем использовать технологическое решение, чтобы просто убить сломанные вещи. Технологии не заменяют менеджера, фактически выполняющего свою работу.

Большинство фильтров легко обойти, вам действительно стоит постараться и не ввязываться в гонку вооружений с коллегами. В какой-то момент вы просто сделаете свой брандмауэр настолько враждебным, что он не сможет выполнять фактическую работу, и вы все равно, вероятно, не заблокируете все возможные способы обхода брандмауэра.

Нужно ли мне для этого выделенное устройство, такое как аппаратный брандмауэр, сверхдорогой маршрутизатор Или я могу сделать это с помощью моего существующего самодельного маршрутизатора FreeBSD 6.1 с двумя сетевыми картами и настроенного nat для работы как маршрутизатор.

Вы можете установить Squid + Squidguard и заставить весь трафик проходить через прокси. Вы можете настроить ACL для блокировки сайтов, которые вам не нравятся.

Я предлагаю вам настроить squid в качестве прокси, без списков ACL для блокировки чего-либо, и просто смотреть журналы. Заставить всех пройти через прокси (с уведомлением). Затем настройте что-то вроде SARG для создания отчетов. Если у кого-то действительно возникла проблема, хороший отчет даст руководителю работника доказательства необходимости приступить к решению проблемы.

Это должно решаться в рамках вашей дисциплинарной процедуры, а не через брандмауэр. Это техническое решение нетехнической проблемы.

Вы знаете, как RIAA и MPAA публикуют эти безумные цифры о том, сколько денег им обходится пиратство, исходя из идиотского предположения, что каждая единица пиратского контента была бы куплена, если бы пиратство было невозможно?

Вы делаете то же самое, предполагая, что, если бы «тратить» время в социальных сетях было невозможно, это время было бы потрачено на продуктивную работу. Но если это не клерки по вводу данных, о которых вы говорите, мы, вероятно, говорим о людях с каким-то творческим / интеллектуальным аспектом в своей работе, что означает, что их продуктивность - сложная вещь, которая не выглядит одинаково. как твистер для виджетов на сборочной линии. Использование ими социальных сетей может легко стать ключевым компонентом их продуктивности, и нападение на них может оказаться атакой на то, что позволяет им зарабатывать деньги.

И это еще до того, как мы перейдем к моральному влиянию обращения с сотрудниками как с заключенными в банды.

Просто говорю, чувак.

Мы блокируем сайты только в том случае, если просмотр мешает продуктивности, и мы принимаем точку зрения местного руководства по этому вопросу (даже если мы подозреваем, что она преувеличена).

Мы блокируем сайты с помощью прокси-сервера; обычно SQUID, который должен нормально работать на вашем брандмауэре. Мы устанавливаем правило на брандмауэр, блокирующий исходящий порт 80 (а иногда и 443) со всех хостов, кроме серверов и прокси-сервера. Затем мы используем групповую политику для настройки прокси в пользовательском Internet Explorer.

Некоторые менеджеры запрашивают у нас статистику использования. Большинство нет.

JR

Лучший способ заблокировать вещи - позволить менеджеру ходить вокруг, проводя больше времени рядом с теми, кто ничего не делает. Если люди делают свою работу, почему вас волнует, какие сайты они посещают и сколько времени проводят? Если они этого не делают, запишите их и позвольте им двигаться дальше.

Использовать OpenDNS. Вы должны иметь возможность блокировать социальные сети, используя это. В противном случае вам следует рассмотреть возможность использования прокси-сервера с возможностями фильтрации.

Формирование пакетов для ограничения потоковой передачи пошло нашей сети на пользу. Сейчас никого так не волнуют сайты социальных сетей, когда три человека, скачивающие видео с YouTube, не мешают загрузкам MSDN.

Прежде чем принимать решение, обязательно выясните, каковы настоящие болевые точки.

Вы пытаетесь заблокировать это задом наперед.

Вам не нужно беспокоиться о том, что TCP / IP идет к хосту, так как он у вас есть. Вам следует заблокировать входящий трафик, то есть:

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

ИЛИ просто заблокируйте веб-трафик:

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

Однако это не заблокирует все, потому что адрес www.youtube.com преобразуется в первый IP-адрес, который обнаруживает ваш DNS, и ваша блокировка снимается с помощью балансировки нагрузки. Вы можете заблокировать всю сеть, если хотите навредить.

Если ваши сотрудники предпочитают тратить время зря, а не выполнять свою работу, почему имеет значение удаление одного из тысяч способов, которыми они могут тратить время?

Возможно, проблема в рабочей среде, созданной людьми, которые думают, что могут обращаться со своими сотрудниками подобным образом.

Я услышал предложение от Джейсона Калаканиса в серии «Эта неделя - стартапы» отправить электронное письмо сотрудникам, чтобы они знали, сколько времени они тратят.

Большинство пользователей, вероятно, не знают, сколько времени они проводят на некоторых из этих сайтов. С помощью этого метода сотрудники могут самоуправляться, а также знать, что, если это выйдет из-под контроля, руководство, вероятно, тоже узнает.

Спонсор шоу, у которого был продукт, который мог это сделать, был WebSpy.

Лучшим инструментом для этого является Политика использования Интернета с открытой статистикой (но руководство будет возражать против этого, поскольку, как вы знаете, они тоже люди).

  1. Блокируйте все внешние подключения из пользовательской локальной сети, никаких исключений для портов!
  2. Возьмите какой-нибудь прокси-сервер, например - Squid и добавьте фильтр, такой как Squidguard
  3. Теперь есть два способа: настроить пользователя на использование прокси (занимает некоторое время) или включить прозрачный прокси (могут быть проблемы с SSL-соединениями, но быстрее).
  4. Найдите довольного пользователя и удалите TOR (http://tor.kamagurka.org/index.html.en) со своего ПК, удалите usb, дискету, cdrom и т. д., чтобы он не мог использовать портативную версию (или лучше - уволите его с большой оглаской в ​​компании)

Краткий ответ: Да, есть компании, блокирующие доступ в Интернет (социальные или другие сайты)

Длинный ответ:
С точки зрения работодателя: время, потраченное на работу, без выполнения какой-либо работы, тратится впустую.
С точки зрения сотрудников: моя работа сделана, пока я жду, пока не придут новые, я пойду (на этот веб-сайт) - в зависимости от того, какую работу вы выполняете, может быть промежуток между тем, когда ваша работа будет выполнена, и вы получите больше работы.

Я один из сотрудников, у которых был заблокирован доступ к Интернету, когда наша компания решила опробовать WebSense. И несколько вещей, которые я узнал, будучи заблокированным WebSense:

  • Я много узнаю об открытых прокси, туннелировании и информации об обходе веб-блоков в целом.
  • Большое количество беспорядков среди сотрудников из-за заблокированного доступа в Интернет - не влияет на начальство, потому что их доступ не ограничен
Restricting people from accessing social websites should be part of the company business practice and part of the company work ethic, there should be little or no need for such enforcement through the use of the technology (Reference: David Pashley's comment above).

Enforcement on personal level will be beneficial for both the company and the staff member in the long run. The staff member will be more responsible with their work and their access to social sites, and the company will be beneficial from more responsible staff member.

Personal Monitoring
Cost: Practically $0. Manager/team leader to spend more time to manage and monitor their team.
Benefit: Staff have less time to visit social sites (to do more work), "might" improve their sense of responsibility in the long run.

Web Blocking Software
Cost: Depends on the software, might be free, might be $$$$. Also, time spent to fine-tuning the software.
Benefit: Save the company time from staff accessing social sites, save the company bandwidth in general.

Мы используем комбинацию OpenDNS, но также запускаем блок IPCop перед сетью.

Это позволяет нам ограничивать использование таких сайтов, как MySpace, FaceBook, YouTube и т. Д., ЗА ИСКЛЮЧЕНИЕМ обеденного перерыва (12:00 - 13:00).

Это позволяет сотрудникам проверять свои myspace, facebook и т. Д. Во время обеденного перерыва, но позволяет им «сосредоточиться» на рабочем времени.

Периодически мы просматриваем файлы журнала IPCop и определяем, нужно ли блокировать больше сайтов.

Если вы реализуете решение IPCop, вы быстро обнаружите, что примерно через неделю вся эта дурацкая игра «волшебным образом» прекратится. Вы также обнаружите, что вам нужно заблокировать лишь несколько сайтов, чтобы значительно повысить производительность труда сотрудников.

Удачи

PS - Еще один замечательный продукт, который мы использовали в прошлом, - это SecuredIM (http://www.securedim.com), который позволяет вам отслеживать внутрифирменный чат, а также при желании периодически делать скриншоты рабочего стола пользователя. (то есть делать снимок рабочего стола Джо каждые 10 минут)

Я согласен с тем, что это кадровая / управленческая политика, ИТ-отделы могут внедрить только несовершенные технологии. Если есть проблема, это должно быть очевидно в действиях нарушителя.

Однако, когда требуется доказательство для целей дисциплинарного воздействия, журналы использования Интернета имеют жизненно важное значение для организации. Для этого организация должна использовать механизм регистрации / отчетности. Об использовании этого следует сообщить сотрудникам, а правила использования должны быть четко задокументированы в справочнике для сотрудников.

Мы также выполняем мониторинг использования с помощью WebSense. Категории, строго запрещенные нашей политикой, блокируются напрямую. Другие, более слабо регулируемые, могут быть разрешены нажатием кнопки, что означает, что сотрудник говорит: «Я понимаю этот фильтр и продолжаю действовать по коммерческим причинам». Используемый вами инструмент будет во многом зависеть от типа вашей политики и размера вашей организации.

Я также полностью согласен с тем, что ограничение социальных сайтов становится все более и более нежелательным явлением, особенно для будущих поколений.

Я работаю в колледже, и мы блокируем сайты с помощью Websense. Хорошо (не идеально!), Но дорого. OpenDNS дешевле и тоже неплохо.

В конце концов, однако, я считаю, что технологических решений поведенческих проблем очень мало. Если ваша компания не хочет, чтобы люди посещали сайты социальных сетей, необходимо дать понять, что это противоречит политике использования Интернета, иначе для некоторых это станет игрой. В любом случае используйте инструменты, которые помогут обеспечить соблюдение этой политики, если это необходимо, но не просто блокируйте сайты без объяснения причин или сообщений.

Я также согласен с комментарием о том, ведется работа или нет. Если люди достигают своих целей, вы можете спросить, в чем же вред, позволяя им немного расслабиться в Интернете.

Большинство людей ошибочно полагают, что цель веб-фильтрации преследует цель - это не «просто» производительность - хотя я видел множество реальных примеров, когда производительность возрастает, когда производительность резко возрастает при применении мягкого контроля. Я работаю в SmoothWall, разработчике веб-фильтрации, поэтому, хотя у меня может быть некоторая предвзятость, у меня есть хороший опыт!

Websense в наши дни даже рекламирует «скажи да» - и мы (SmoothWall) с этим согласны. Вы должны быть снисходительными. Использование soft-block (просто напомню, что это «не политика», либо временные диапазоны - это 2 способа расслабиться.

В любом случае ... как я уже говорил ... не только производительности - я видел проблемы с персоналом, возникающие из-за неправильного использования социальных сетей, из-за неправильного использования веб-сайтов для взрослых и из-за отсутствия доказательств, когда это происходит.

Наконец ... стоит отметить, что не все ведут себя так, как мы от них ожидаем - не все имеют "мышление системного администратора / технаря" и будут работать усерднее, потому что вы дадите им справочник по лицу ... многие из них пройдут милю, учитывая дюйм - человеческая природа я боятся.

Вы уверены, что блокировка сайтов социальных сетей решит проблему?

Проблема, о которой вы говорите, в том, что ситуация становится все хуже и хуже ...

Вы имеете в виду, что ваши сотрудники используют слишком много трафика на этих сайтах социальных сетей? Или вы имеете в виду, что ваши сотрудники проводят слишком много своего рабочего времени на определенных веб-сайтах?

Если первый, то лучше всего получить цифры трафика. Я был бы за идею общедоступных номеров трафика, но, независимо от того, являются ли они общедоступными, если проблема заключается в слишком большом сетевом трафике, сбор данных позволит вам принимать разумные решения.

Если у вас слишком много трафика, я буду собирать номер в течение недели или двух, а затем объявить, что сайт zzz.com, aaa.com и т. Д. Будет заблокирован с определенной даты.

Если, с другой стороны, проблема в том, что сотрудники тратят слишком много своего рабочего времени, проблема не является технической проблемой и, вероятно, ее следует решать другими способами.

Если вы все еще хотите разобраться с этим технически, то, если вы собираете данные о трафике, вы можете заблокировать 10 лучших сайтов, которые не считаются важными для вашего бизнеса, и посмотреть, улучшится ли ситуация.

Я бы просто использовал DNS-сервер для блокировки доменов, но затем не забудьте настроить брандмауэр, чтобы пользователи не могли использовать DNS-сервер за пределами компании (например, opendns)

Это зависит от типа компании, в которой вы работаете, в моем случае я работаю в сфере образования, а здесь мы используем SmartFilter (чертовски дорого). но я хочу сказать, что в зависимости от области работы вы можете заблокировать все социальные сайты с помощью OpenDNS (я использовал до того, как мы представили SmartFilter).

Если вы используете OpenDNS, вы всегда можете легко заблокировать таким образом домен / контент

Лично я нанимаю только антиобщественных людей.

Отличное обсуждение. Я бы это проверил. Это отличный технический документ для ИТ-отдела: Заблокировать или нет. Это вопрос?