Blockieren von Facebook und Myspace nach IP-Adresse

11

Ich habe einige Probleme damit, dass ein Cisco ASA- Gerät bestimmte Websites für soziale Netzwerke blockiert, die in unserem Büro zu Zeitverschwendung geworden sind. Diese Frage besteht wirklich aus zwei Teilen:

  1. Gibt es eine zuverlässige Möglichkeit, alle IP-Adressen für diese Sites abzurufen?
    • Es scheint, dass die DNS-Server von Facebook mit zufälligen IP-Adressen antworten. A diggefolgt von einem nslookupErtrag zwei verschiedene IP-Adressen für www.facebook.com.
  2. Gibt es einen Trick, mit dem ich Cisco ASA über den Adaptive Security Device Manager (ASDM) Hostnamen hinzufügen kann?
    • Ich habe den URL-Filter gefunden, aber dafür ist eine Software von Drittanbietern erforderlich, für die ich bezweifle, dass ich nur Mittel bekomme, um diese Websites zu blockieren.

Wir suchen nach einer vorübergehenden Lösung, bis ich Squid zum Laufen bringen kann, was bis zu sechs Monate dauern kann (wir brauchen einen Netzwerkadministrator, schlecht).

domain-name-system firewall cisco Jack M.
quelle

Antworten:

21

Wen verwenden Sie als DNS-Anbieter? Wenn Sie zu jemandem wie OpenDNS wechseln können (kostenlos), bietet dieser eine automatische (und sehr konfigurierbare) Blockierung von Websites für soziale Netzwerke, Webmail, Inhalten für Erwachsene usw.

EDIT: Sie müssen auch nichts mit Ihrem ISP ändern.

Marko Carter
quelle
1
Hat die DNS-Einträge meines Routers auf OpenDNS gerichtet und dort blockiert (Workstations sind GPO-konfiguriert, um das DNS des Routers zu verwenden). Funktioniert hervorragend und blockiert das GESAMTE Bündel sozialer Netzwerke. Facebook, MySpace usw. sowie Chat-Programme usw.
SpaceManSpiff
Was ist mit der Geschwindigkeit von OpenDNS? Ist es o.k?
blank3
@ blank3: Sie betreiben eine Reihe von Servern, die mit Anycast-Routing im Internet verteilt sind, daher ist es normalerweise ziemlich gut.
Nicholas Knight
Nur um diese Antwort zu ergänzen: Möglicherweise möchten Sie ausgehende DNS-Abfragen von Ihren Benutzern blockieren, damit Ihre anspruchsvolleren Benutzer nicht einfach ihre DNS-Server ändern können, um dies zu umgehen.
flink
Das ist großartig, es sei denn, jemand, der den Computer verwendet, weiß, wie man "nslookup facebook.com 8.8.8.8" ausführt und die zurückgegebene IP in die Hosts-Datei des Computers einfügt.
Olipro
9

Auf Ihrem Cisco asa können Sie Folgendes tun:

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Ich würde Ihnen dringend empfehlen, die vollständigen Details auf der Cisco-Website zu lesen .

Jeremy Rossi
quelle
8
  1. Sammeln Sie Protokolle der Webaktivität des Benutzers.
  2. Gehen Sie zum Schreibtisch des Benutzers.
  3. Zeigen Sie ihnen die Protokolle und sagen Sie ihnen, dass sie gefeuert werden, wenn sie nicht aufhören, in der Firmenzeit herumzudrehen.
  4. Protokollieren Sie das Ereignis.

Sie könnten sogar zum Management befördert werden, wenn Sie so weitermachen. ;)

Ernie
quelle
Ooooh, taktvoll ... hehehe. Die Frage lautete jedoch nicht wirklich: "Wie kann ich verhindern, dass meine Benutzer auf Websites für soziale Netzwerke zugreifen?" Ich las sie eher wie folgt: "Wie deaktiviere ich den Webzugriff von Benutzern auf Websites nach Domain", bei denen es sich möglicherweise um Mitarbeiter oder Gäste handelt Zugriff auf diese Art von Websites. Sie haben aber einen Punkt, also nein - von mir;)
l0c0b0x
Dann sollte Schritt 0 vielleicht lauten: "Fragen Sie, ob es auf das Endergebnis oder die Mittel ankommt." Außerdem habe ich in Schritt 3 nicht gesagt, dass Sie keinen Takt haben müssen. Sie könnten sagen, dass das Management Sie angewiesen hat, sie daran zu hindern, auf die Websites zuzugreifen, die sie besucht haben, und sie zu überlassen, herauszufinden, was dies bedeutet.
Ernie
5

Ein Kunde von mir hatte genau dieses Problem. So haben wir die Lösung angegangen:

  1. Installierte eine IPCop- Box mit einem integrierten Squid- Proxy und installierte auch das URLFilter-Add-On. Der gesamte Datenverkehr fließt jetzt über die IPCop-Box.

  2. Die IP-Adresse aller Personen wurde fest an ihre Telefonerweiterung codiert, da dies die Identifizierung der Täter erheblich erleichterte. Wir haben auch alle DNS-Servereinstellungen so geändert, dass sie auf OpenDNS verweisen . (Weitere Filteroptionen sind mit OpenDNS möglich, aber es stellte sich heraus, dass sie doch nicht erforderlich waren.)

  3. Die Verwendung aller öffentlichen IM- Clients wie Yahoo Messenger, MSN, AOL, ICQ usw. usw. wurde entfernt (und verboten) . Stattdessen haben wir einen sicheren XMPP- Server nur für Unternehmen namens SecuredIM installiert, damit der gesamte IM-Verkehr protokolliert wird und wird garantiert nur Kommunikation von Unternehmen zu Unternehmen.

  4. SecuredIM bietet außerdem die einzigartige Möglichkeit, alle XX Minuten Screenshots von Desktops zu erstellen. Wenn ein Mitarbeiter verdächtigt wurde, einen Fehler gemacht zu haben (basierend auf IPCop-Protokollen), war ein Bild mehr als 1.000 Wörter wert. Ausgewählte Screenshots können archiviert und zur späteren Überprüfung (oder disziplinarischen Aktion) per E-Mail gesendet werden.

  5. Wir haben Facebook, Myspace, Hulu und zwei oder drei weitere schwerwiegende Missbräuche über den URLFilter auf der IPCop-Box blockiert.

  6. Manuelle Überprüfung (und weitere Websites bei Bedarf blockiert) für etwa eine Woche.

  7. Eröffnetes "freies / nicht blockiertes" Surfen während der Mittagspause (12:00 - 13:00 Uhr).

Am Ende der Woche war das Unternehmen eine totale Transformation. Die Produktivität stieg dramatisch und niemand beschwerte sich.

Wie bei jeder Firma gibt es immer die 1-2 Rebellen da draußen, die denken, es sei ein "Spiel".

Als nytimes.comsie blockiert wurden, gingen sie zu einer anderen Nachrichtenseite. Als das blockiert war, wählten sie noch einen aus. Andere hörten auf zu surfen und nahmen Hobbys wie Solitaire und Minesweeper auf , aber die SecuredIM-Screenshots fingen das ein (IPCop konnte es offensichtlich nicht).

Innerhalb von zwei Wochen (und einigen Gesprächen zwischen Arbeitgebern und Arbeitnehmern, einschließlich Disziplinarmaßnahmen für hartnäckige Personen) lief alles reibungslos und seit fast zwei Jahren reibungslos.

URLs:

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

RANDNOTIZ:

Als lustige Nebengeschichte. Ungefähr ein Jahr später führte ein elektrisches Problem im Gebäude dazu, dass die Stromversorgung der IPCop-Box ausfiel und es 2-3 Tage dauerte, bis eine neue IPCop-Box installiert werden konnte.

Wir haben festgestellt, dass es weniger als 48 Stunden dauerte, bis die Mitarbeiter zu ihren alten / ursprünglichen Surfgewohnheiten zurückkehrten und die Produktivität sank.

Es war ein ziemlich soziales Experiment. :-)

KPWINC
quelle
2
+1 für die tolle Erklärung. Leider haben wir den Proxy aufgrund des Zeitaufwands vermieden. Es ist auf lange Sicht die beste Lösung, aber meine Zeit wird wahrscheinlich besser für das Programmieren aufgewendet (das ist schließlich mein Job ... Fragen Sie nicht).
Jack M.
7
Oh mein Gott, hört sich nach einem schrecklichen Ort an, an dem man arbeiten kann.
Karolis T.
Wie bei jeder Firma gibt es immer die 1-2 Rebellen da draußen, die denken, es sei ein "Spiel". --- Du nennst sie Rebellen, ich nenne sie Freiheitskämpfer. Meine Güte, es gibt effektivere Möglichkeiten als Zensur und Überwachung, um die Mitarbeiter vernünftig zu halten. Sie stellen anständige Mitarbeiter ein.
Luke hat keinen Namen
4

Die DNS-Lösung scheint mir die beste Antwort zu sein, aber beachten Sie, dass sie höchstwahrscheinlich weiterhin über die IP-Adresse auf die Websites zugreifen können (Sie wissen dies wahrscheinlich anhand der Ebene Ihrer Frage, aber andere, die dies bei Google finden möglicherweise nicht).

Schauen Sie sich zweitens Evans Antwort an , Benutzer diskret daran zu hindern, bestimmte Programme auf Windows-Computern auszuführen, um Benutzer daran zu hindern, bestimmte Programme auszuführen. Ich denke, Sie versuchen, ein Managementproblem mit der IT zu lösen. Eigentlich sollten sie wahrscheinlich Leute einstellen, die verantwortlich genug sind, um die Regeln einzuhalten, die klargestellt wurden, und sie sollten sich wahrscheinlich Sorgen machen, dass sie ihre Aufgaben gut und pünktlich erledigen, anstatt welche Websites sie in ihrer Ausfallzeit besuchen. Das Blockieren dieses Materials wird wahrscheinlich nur Ressentiments im gesamten Unternehmen verbreiten. Sie müssen natürlich alles tun, was Sie tun müssen, und es liegt wahrscheinlich nicht einmal an Ihnen - aber ich denke, dies sollte immer berücksichtigt werden, bevor Sie einen solchen Schritt unternehmen, wenn dies nicht bereits geschehen ist.

Kyle Brandt
quelle
Ja, ich wollte gerade sagen. Die Frage "Melden Sie sich mit Ihren Ergebnissen bei uns" kommt mir in den Sinn, denn das erste, was die Leute tun werden, ist, stattdessen über ihr Handy auf Facebook zuzugreifen.
Ernie
1
Ich würde absolut zustimmen, Kyle. Wir lösen ein Managementproblem mit der IT. Leider wird das Problem vom Management nicht gelöst, und das Unternehmen leidet darunter. Dies ist meine Art, von unten zu verwalten, da die Verwaltung von oben eingeschränkt ist.
Jack M.
2

Ich habe dieses Problem anders gelöst.

Anstatt den ASA-Entschlüsselungsverkehr zu haben, habe ich auf meinem lokalen DNS-Server eine Forward-Lookup-Zone für "facebook.com" erstellt und alle DNS-Einträge leer gelassen. Wenn Sie möchten, können Sie die Site jederzeit auf eine interne Webseite verweisen, die dem Benutzer mitteilt, dass er versucht, auf eine Site zuzugreifen, die gemäß den Unternehmensrichtlinien verboten ist.

Ich hoffe das hilft.

l8nite4me
quelle
0

Wenn Sie nicht die Zeit oder das Personal haben, um Ihre eigene Lösung zu entwickeln, können Sie ein schlüsselfertiges Produkt in Betracht ziehen.

Wir verwenden die Threatwall von eSoft, mit der der Zugriff (über IP oder URL) hervorragend gesteuert werden kann. Ziemlich einfach zu konfigurieren mit Kontrollkästchen für alle gängigen Arten von Websites sowie der Möglichkeit, eigene hinzuzufügen und eine Whitelist zu erstellen. Sie haben verschiedene Pakete zur Verfügung (unsere filtern zum Beispiel auch Spam).

Nicht mit eSoft verbunden, außer als Kunde, Dave


quelle
-2

Anstatt die IP-Adressen zu blockieren, können Sie die Hostnamen möglicherweise an localhost weiterleiten, dh Ihre Hostdatei so bearbeiten, dass sie ungefähr so ​​aussieht:

www.facebook.com     127.0.0.1

Dies würde verhindern, dass die wahre IP-Adresse von Facebook usw. jemals nachgeschlagen wird.

Pennen
quelle
1
Ich möchte dies auf Netzwerkebene tun, nicht auf den einzelnen Computern.
Jack M.
6
Oder wenn Sie einen internen DNS-Server haben, richten Sie hier gefälschte Einträge für Facebook und myspace ein
Sam Cogan
2
Wir betreiben kein eigenes DNS, wir verwenden unsere ISPs.
Jack M.
1
Können Sie eine Weiterleitung zwischen Ihren Benutzern und dem ISP platzieren?
Dan Carley