Bloqueando o Facebook e o Myspace pelo endereço IP

11

Estou com problemas para fazer com que um dispositivo Cisco ASA bloqueie determinados sites de redes sociais que se tornaram um tempo em nosso escritório. Esta questão é realmente em duas partes:

  1. Existe uma maneira confiável de recuperar todos os endereços IP desses sites?
    • Parece que os servidores DNS do Facebook respondem com endereços IP aleatórios. A digseguido de nslookupdois endereços IP diferentes para www.facebook.com.
  2. Existe um truque para me permitir adicionar nomes de host ao Cisco ASA por meio do Adaptive Security Device Manager (ASDM).
    • Encontrei o filtro de URL, mas isso requer um software de terceiros que duvido que receba financiamento apenas para bloquear esses sites.

Estamos procurando uma solução temporária até que eu possa colocar o Squid em funcionamento, o que pode levar até seis meses (precisamos de um administrador de rede).

domain-name-system firewall cisco Jack M.
fonte

Respostas:

21

Quem você usa como seu provedor de DNS? Se você pode mudar para alguém como o OpenDNS (é gratuito), eles fornecem bloqueio automático (e muito configurável) de sites de redes sociais, webmail, conteúdo adulto etc.

EDIT: Você não precisa alterar nada com seu ISP também.

Marko Carter
fonte
1
Apontei as entradas DNS do meu roteador para o OpenDNS e o bloqueou (as estações de trabalho são GPO configuradas para usar o DNS do roteador). Funciona muito bem e bloqueia todo o grupo de redes sociais. Facebook, MySpace, etc, além de programas de chat, e assim por diante
SpaceManSpiff
E a velocidade do OpenDNS? Tudo bem?
blank3
@ blank3: Eles executam vários servidores distribuídos pela rede usando roteamento anycast, por isso geralmente é muito bom.
Nicholas Knight
Apenas para adicionar esta resposta: você pode bloquear as consultas DNS de saída de seus usuários para que seus usuários mais sofisticados não possam simplesmente mudar seus servidores DNS para contornar isso.
zippy
isso é ótimo, a menos que alguém que use o computador saiba como executar o "nslookup facebook.com 8.8.8.8" e insira o IP retornado no arquivo de hosts do computador.
Olipro
9

No seu Cisco asa, você pode fazer o seguinte:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Eu sugiro que você leia todos os detalhes no site da Cisco .

Jeremy Rossi
fonte
8
  1. Reúna logs da atividade da web do usuário.
  2. Vá para a mesa do usuário.
  3. Mostre-lhes os logs e diga-lhes que, se não pararem de brincar na hora da empresa, serão demitidos.
  4. Registre o evento.

Você pode até ser promovido à gerência se continuar assim. ;)

Ernie
fonte
Ooooh, diplomático ... hehehe. Embora a pergunta não fosse realmente 'como faço para impedir que meus usuários acessem sites de redes sociais', leio-a mais como: 'Como desabilito o acesso da web do usuário a sites por domínio', que pode estar falando sobre funcionários ou convidados acessando esse tipo de site. Você tem um ponto, porém, assim não - de mim;)
l0c0b0x
Talvez o passo 0 deva ser "Pergunte se é o resultado final ou os meios que importam". Além disso, na etapa 3, eu não disse que você não precisava ter tato. Você poderia dizer que a gerência pediu para impedi-los de acessar os sites pelos quais eles estavam navegando e deixá-los descobrir o que isso significa.
5119 Ernie
5

Um cliente meu teve esse problema exato. Veja como lidamos com a solução:

  1. Instalou uma caixa IPCop com um proxy Squid embutido e também instalou o complemento URLFilter. Todo o tráfego agora flui através da caixa IPCop.

  2. Codificou o endereço IP de todos em seu ramal telefônico pelo simples fato de facilitar a identificação dos infratores. Também alteramos todas as configurações do servidor DNS para apontar para OpenDNS . (Outras opções de filtragem são possíveis com o OpenDNS, mas, afinal, elas não eram necessárias.)

  3. Removido (e banido) o uso de todos os clientes públicos de mensagens instantâneas , como Yahoo Messenger, MSN, AOL, ICQ, etc. etc. Em vez disso, instalamos um servidor XMPP seguro , exclusivo da empresa, chamado SecuredIM, para que todo o tráfego de mensagens instantâneas fosse registrado e seja garantido que sejam apenas comunicações empresa a empresa.

  4. O SecuredIM também possui a capacidade exclusiva de capturar capturas de tela dos desktops a cada XX minutos. Se um funcionário era suspeito de brincadeira (com base nos registros do IPCop), uma imagem valia 1.000 palavras. Algumas capturas de tela podem ser arquivadas e enviadas por e-mail para revisão posterior (ou ação disciplinar).

  5. Bloqueamos o Facebook, o Myspace, o Hulu e outros dois ou três grandes abusos por meio do URLFilter na caixa do IPCop.

  6. Revisão manual (e mais sites bloqueados, se necessário) por cerca de uma semana.

  7. Abriu a navegação "livre / desbloqueado" durante a hora do almoço (12:00 - 13:00).

No final da semana, a empresa passou por uma transformação total. A produtividade aumentou dramaticamente e ninguém se queixou.

Como em qualquer empresa, sempre há 1-2 rebeldes por aí que acham que é um "jogo".

Quando nytimes.comfoi bloqueado, eles foram para outro site de notícias. Quando isso foi bloqueado, eles escolheram outro. Outros pararam de surfar e adotaram hobbies como Solitaire e Minesweeper , mas as capturas de tela do SecuredIM perceberam isso (o IPCop não podia obviamente).

Dentro de duas semanas (e algumas discussões entre empregadores e funcionários, incluindo ações disciplinares para indivíduos teimosos), tudo estava indo bem e funcionando bem por quase dois anos.

URLS:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

NOTA:

Como uma história lateral engraçada. Cerca de um ano depois, um problema elétrico no prédio fez com que a fonte de alimentação na caixa do IPCop se apagasse e levou 2-3 dias para que uma nova caixa do IPCop pudesse ser instalada.

Descobrimos que levou menos de 48 horas para que os funcionários voltassem aos seus hábitos antigos / originais de surf e diminuíssem a produtividade.

Foi um experimento social. :-)

KPWINC
fonte
2
+1 para a explicação incrível. Infelizmente, o proxy era algo que estávamos evitando por causa do tempo envolvido. É a melhor solução a longo prazo, mas meu tempo provavelmente é melhor gasto em programação (esse é o meu trabalho, afinal ... Não pergunte).
Jack M.
7
Oh meu Deus, parece um lugar horrível para se trabalhar.
1619 Karolis T.
Como em qualquer empresa, sempre há 1-2 rebeldes por aí que acham que é um "jogo". --- Você os chama de rebeldes, eu os chamo de combatentes da liberdade. Meu Deus, existem maneiras mais eficazes do que a censura e a vigilância para manter os funcionários razoáveis. Você sabe, contratar funcionários decentes.
Lucas não tem nome
4

A solução DNS parece a melhor resposta para mim, mas lembre-se de que é provável que eles ainda possam acessar os sites via endereço IP (você provavelmente está ciente do nível da sua pergunta, mas de outras pessoas que o encontrarem no Google pode não ser).

Em segundo lugar, observe a resposta de Evan para restringir discretamente os usuários de executar determinados programas nos computadores Windows sobre impedir que eles executem determinados programas. Eu acho que você está tentando resolver um problema de gerenciamento com a TI. Na verdade, eles provavelmente deveriam estar contratando pessoas responsáveis ​​o suficiente para obedecer a quaisquer regras que estejam claras, e provavelmente deveriam se preocupar com a realização de suas tarefas com pontualidade e pontualidade, em vez dos sites que eles visitam no período de inatividade. Bloquear esse material provavelmente vai espalhar ressentimento por toda a empresa. É claro que você precisa fazer o que for necessário, e provavelmente nem depende de você - mas acho que isso sempre deve ser considerado antes de dar esse tipo de passo, se já não era.

Kyle Brandt
fonte
Sim, eu estava prestes a dizer. A pergunta "volte para nós com seus resultados" vem à mente, porque a primeira coisa que as pessoas vão fazer é acessar o Facebook em seus celulares.
5119 Ernie
1
Eu concordo absolutamente, Kyle. Estamos resolvendo um problema de gerenciamento com a TI. Infelizmente, o problema não está sendo reconciliado pela gerência e a empresa está sofrendo como resultado. Esta é a minha maneira de gerenciar de baixo, por causa das limitações no gerenciamento de cima.
Jack M.
2

Adotei uma abordagem diferente para resolver esse problema.

Em vez de ter o tráfego de decifração ASA, criei uma zona de pesquisa direta no servidor DNS local para "facebook.com" e deixei todas as entradas DNS em branco. Se desejar, sempre é possível apontar o site para uma página da Web interna informando ao usuário que ele está tentando acessar um site proibido pela política da empresa.

Eu espero que isso ajude.

l8nite4me
fonte
0

Se você não tiver tempo ou equipe para criar sua própria solução, considere um produto chave na mão.

Usamos o Threatwall da eSoft, que faz um ótimo trabalho de controle de acesso (via IP ou URL). Muito fácil de configurar com caixas de seleção para todos os tipos comuns de sites, além da capacidade de adicionar o seu próprio e ter uma lista de permissões. Eles têm pacotes diferentes disponíveis (o nosso também filtra spam, por exemplo).

Não afiliado à eSoft, exceto como cliente, Dave


fonte
-2

Talvez, em vez de bloquear os endereços IP, você possa direcionar os nomes de host para o host local, ou seja, editar o arquivo do host para que ele se pareça com:

www.facebook.com     127.0.0.1

Isso impediria que o verdadeiro endereço IP do Facebook, etc. fosse procurado.

Kip
fonte
1
Estou procurando fazer isso no nível da rede, não nas máquinas individuais.
06430 Jack M.
6
Ou se você tiver um servidor interno de DNS, os registros de configuração falsos para facebook e myspace aqui
Sam Cogan
2
Nós não executamos nosso próprio DNS, usamos nossos ISPs.
31430 Jack M.
1
Você pode colocar um encaminhador entre seus usuários e o ISP?
11119 Dan Carley