Я хочу запретить сотрудникам использовать социальные сети и другие сайты, которые, как мне кажется, я не хочу, чтобы они посещали, но в некоторых случаях нам нужно его использовать, поэтому мне нужно какое-то гибкое настраиваемое решение.
Я попробовал роутер, и он блокирует только до 8 сайтов. Я могу использовать решение для фильтрации DNS, например OpenDNS.com, но как я могу запретить пользователям просто менять свои DNS вручную на (например, Google DNS 8.8.8.8 и 8.8.4.4), чтобы избежать моей блокировки?
Я могу настроить машину с прокси-сервером и сделать ее шлюзом, но я все еще сталкиваюсь с той же проблемой с прокси, они могут просто удалить настройки прокси в браузере и использовать прямое соединение.
Есть ли способ заблокировать все подключения, кроме настраиваемого DNS или прокси-сервера, который я могу настроить где-нибудь на маршрутизаторе или шлюзе? У меня есть Netopia 3700, но, возможно, я смогу купить новый.
Простое решение состоит в том, что на вашем пограничном устройстве необходимо настроить выходной фильтр, который либо блокирует исходящий udp / 53, если вы хотите принудительно использовать DNS-сервер, либо исходящие соединения tcp / 80, tcp / 443, которые исходят не с вашего прокси.
Существует чрезвычайно большое количество брандмауэров Linux и заменителей брандмауэра маршрутизаторов, которые могут сделать это легко. Некоторые из устройств, которые вы можете получить, позволяют разместить squid / squidguard на коробке, и вы можете настроить его в прозрачном режиме, что означает, что пользователям не нужно ничего настраивать.
Вместо фильтрации или в дополнение к фильтру я предлагаю вам подумать о настройке какого-либо журнала всего трафика. Дайте понять всем, что вы регистрируете все и что любые серьезные нарушения будут рассмотрены. Таким образом, вы можете игнорировать человека, который тратит всего пару минут, и иметь дело с людьми, которые весь день тратят время впустую, не рассердив на вас менее оскорбительный персонал.
Вы пытаетесь использовать технологии для решения политической проблемы.
Пожалуйста, не надо - это не сработает. Настойчивые преступники будут всегда найти способ обойти любые технические меры, которые вы вводите, чтобы попытаться предотвратить доступ.
В то же время эти технические меры доставят неудобства и разочарования тем, кто не злоупотребляет вашим доверием.
Неправильное использование компьютерных ресурсов - это в основном проблема персонала. Не относитесь к этому как к технической проблеме.
Как предлагает OG Чак Лоу в своих комментариях, если вы находитесь в домене Windows (вы не упомянули ОС для клиентов). Вы можете использовать групповую политику в сочетании с DHCP, чтобы установить настройки DNS пользователей (например, использовать OpenDNS) и запретить им изменять их. ЕСЛИ у них нет прав администратора на своем компьютере, и в этом случае они всегда могут его изменить, по крайней мере, до следующего интервала обновления групповой политики (обычно один раз в час).
См. Эту статью MS для получения информации о том, какие групповые политики необходимо проверить и установить:
Групповая политика для сетевых подключений
Используя оснастку групповой политики, администратор может настроить параметры рабочего стола сразу на нескольких компьютерах. Некоторые параметры групповой политики применяются конкретно к сетевым подключениям, например доступ пользователей к подключениям и возможность изменять свойства подключений. Эти параметры можно найти в административных шаблонах оснастки групповой политики.
Куда? Group_Policy_object_name / Конфигурация компьютера (или конфигурация пользователя) / Административные шаблоны / Сеть / Сетевые подключения
Другой вариант - получить более надежный брандмауэр / маршрутизатор, который позволяет заносить в черный список более 8 сайтов. :)
На самом деле лучший способ удержать людей от посещения сайтов, которые им не следует делать, - это политика компании / людей («Посижу в Facebook и вас уволят» часто хорошо работает), поскольку такие вещи, как прокси, портативные браузеры, LiveCD и т. Д., Сделать ОЧЕНЬ сложно остановить подкованный пользователь с технической точки зрения; особенно если у них есть доступ администратора к своей системе или она не заблокирована полностью для предотвращения загрузки других устройств.