У меня проблемы с созданием Cisco ASA устройство блокирует определенные сайты социальных сетей, которые в нашем офисе стали тратой времени. Этот вопрос состоит из двух частей:
dig за которым следует nslookup вывести два разных IP-адреса для www.facebook.com.Мы ищем временное решение, пока не получу Кальмар и работает, что может занять до шести месяцев (нам нужен сетевой администратор, плохо).
Кого вы используете в качестве поставщика DNS? Если вы можете переключиться на кого-то вроде OpenDNS (это бесплатно) они обеспечивают автоматическую (и очень настраиваемую) блокировку сайтов социальных сетей, веб-почты, контента для взрослых и т. д.
РЕДАКТИРОВАТЬ: Вам также не нужно ничего менять с вашим интернет-провайдером.
На Cisco asa вы можете делать следующее:
regex facebook1 "facebook\.com"
class-map type inspect http match-any block-url-class
match request uri regex facebook1
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
Я настоятельно рекомендую вам прочитать полная информация на сайте Cisco.
Если вы продолжите в том же духе, вас могут даже повысить до менеджера. ;)
У моего клиента была точно такая же проблема. Вот как мы взялись за решение:
Установлен IPCop ящик со встроенным Кальмар proxy, а также установил надстройку URLFilter. Теперь весь трафик проходит через коробку IPCop.
Жестко привязал IP-адрес каждого к его добавочному номеру телефона по той простой причине, что это значительно облегчило выявление преступников. Мы также изменили все настройки DNS-сервера, чтобы они указывали на OpenDNS. (Дополнительные параметры фильтрации возможны с OpenDNS, но оказалось, что они в конце концов не требуются.)
Удалено (и запрещено) использование всех публичных Я клиенты, такие как Yahoo Messenger, MSN, AOL, ICQ и т. д. и т. д. и т. д. Вместо этого мы установили безопасный только для компании XMPP сервер называется SecuredIM так что весь IM-трафик будет зарегистрированный и будет гарантирована связь только между компаниями.
SecuredIM также имеет уникальную возможность делать скриншоты настольных компьютеров каждые XX минут. Если сотрудника подозревали в дурацких действиях (на основании журналов IPCop), картинка стоила 1000 слов. Выбранные снимки экрана можно заархивировать и отправить по электронной почте для последующего просмотра (или дополнительных действий).
Мы заблокировали Facebook, Myspace, Hulu, и два или три других серьезных нарушения через URLFilter в поле IPCop.
Ручная проверка (и блокировка других сайтов при необходимости) в течение примерно недели.
Открыт "бесплатный / разблокированный" серфинг в обеденный перерыв (12:00 - 13:00).
К концу недели в компании произошла полная трансформация. Производительность резко возросла, и никто даже не жаловался.
Как и в любой компании, всегда есть 1-2 мятежника, которые думают, что это «игра».
когда nytimes.com был заблокирован, они перешли на другой новостной сайт. Когда это было заблокировано, они выбрали еще один. Другие перестали заниматься серфингом и занялись такими хобби, как Пасьянс и Тральщик, но на скриншотах SecuredIM это видно (очевидно, IPCop не мог).
В течение двух недель (и нескольких обсуждений между работодателем и сотрудником, включая дисциплинарные меры для упрямых людей) все шло гладко и без сбоев в течение почти двух лет.
URL-адреса:
ПРИМЕЧАНИЕ:
Как забавный побочный рассказ. Примерно через год из-за проблемы с электричеством в здании отключилось питание коробки IPCop, и потребовалось 2-3 дня, прежде чем установить новую коробку IPCop.
Мы обнаружили, что сотрудникам потребовалось менее 48 часов, чтобы вернуться к своим старым / первоначальным привычкам серфинга и снизить производительность.
Это был настоящий социальный эксперимент. :-)
Решение DNS звучит для меня как лучший ответ, но имейте в виду, что, конечно, они, скорее всего, все еще смогут получить доступ к сайтам через IP-адрес (вы, вероятно, знаете с уровня своего вопроса, но другие, кто находят это в Google не может быть).
Во-вторых, посмотрите на ответ Эвана на Дискретно запретить пользователям запускать определенные программы на компьютерах с Windows о запрете пользователям запускать определенные программы. Я думаю, вы пытаетесь решить проблему управления с помощью ИТ. На самом деле им, вероятно, следует нанимать людей, которые достаточно ответственны, чтобы соблюдать все четко сформулированные правила, и им, вероятно, следует беспокоиться о том, чтобы они хорошо и вовремя выполнили свои задачи, а не о том, какие веб-сайты они посещают во время простоя. Блокирование всего этого, вероятно, просто вызовет недовольство по всей компании. Вы, конечно, должны делать все, что должны, и это, вероятно, даже не зависит от вас - но я думаю, что это всегда следует учитывать, прежде чем предпринимать такой шаг, если это еще не было.
Я подошел к решению этой проблемы иначе.
Вместо того, чтобы расшифровывать трафик ASA, я создал зону прямого просмотра на моем локальном DNS-сервере для «facebook.com» и оставил все записи DNS пустыми. Если вы хотите, вы всегда можете указать сайт на внутреннюю веб-страницу, сообщающую пользователю, что он пытается получить доступ к сайту, который запрещен политикой компании.
Надеюсь, это поможет.
Если у вас нет времени или персонала для создания собственного решения, вы можете рассмотреть вариант продукта «под ключ».
Мы используем Threatwall от eSoft, который отлично справляется с контролем доступа (через IP или URL). Довольно легко настроить с помощью флажков для всех распространенных типов сайтов, а также возможности добавлять свои собственные и иметь белый список. У них есть разные пакеты (например, наш тоже фильтрует спам).
Не связан с eSoft, кроме как клиент, Дэйв
Возможно, вместо блокировки IP-адресов вы могли бы направить имена хостов на localhost, то есть отредактировать файл хоста так, чтобы он выглядел примерно так:
www.facebook.com 127.0.0.1
Это остановит поиск истинного IP-адреса Facebook и т. Д.