Ich habe einige Probleme damit, dass ein Cisco ASA- Gerät bestimmte Websites für soziale Netzwerke blockiert, die in unserem Büro zu Zeitverschwendung geworden sind. Diese Frage besteht wirklich aus zwei Teilen:
- Gibt es eine zuverlässige Möglichkeit, alle IP-Adressen für diese Sites abzurufen?
- Es scheint, dass die DNS-Server von Facebook mit zufälligen IP-Adressen antworten. A
dig
gefolgt von einemnslookup
Ertrag zwei verschiedene IP-Adressen fürwww.facebook.com
.
- Es scheint, dass die DNS-Server von Facebook mit zufälligen IP-Adressen antworten. A
- Gibt es einen Trick, mit dem ich Cisco ASA über den Adaptive Security Device Manager (ASDM) Hostnamen hinzufügen kann?
- Ich habe den URL-Filter gefunden, aber dafür ist eine Software von Drittanbietern erforderlich, für die ich bezweifle, dass ich nur Mittel bekomme, um diese Websites zu blockieren.
Wir suchen nach einer vorübergehenden Lösung, bis ich Squid zum Laufen bringen kann, was bis zu sechs Monate dauern kann (wir brauchen einen Netzwerkadministrator, schlecht).
domain-name-system
firewall
cisco
Jack M.
quelle
quelle
Auf Ihrem Cisco asa können Sie Folgendes tun:
Ich würde Ihnen dringend empfehlen, die vollständigen Details auf der Cisco-Website zu lesen .
quelle
Sie könnten sogar zum Management befördert werden, wenn Sie so weitermachen. ;)
quelle
Ein Kunde von mir hatte genau dieses Problem. So haben wir die Lösung angegangen:
Installierte eine IPCop- Box mit einem integrierten Squid- Proxy und installierte auch das URLFilter-Add-On. Der gesamte Datenverkehr fließt jetzt über die IPCop-Box.
Die IP-Adresse aller Personen wurde fest an ihre Telefonerweiterung codiert, da dies die Identifizierung der Täter erheblich erleichterte. Wir haben auch alle DNS-Servereinstellungen so geändert, dass sie auf OpenDNS verweisen . (Weitere Filteroptionen sind mit OpenDNS möglich, aber es stellte sich heraus, dass sie doch nicht erforderlich waren.)
Die Verwendung aller öffentlichen IM- Clients wie Yahoo Messenger, MSN, AOL, ICQ usw. usw. wurde entfernt (und verboten) . Stattdessen haben wir einen sicheren XMPP- Server nur für Unternehmen namens SecuredIM installiert, damit der gesamte IM-Verkehr protokolliert wird und wird garantiert nur Kommunikation von Unternehmen zu Unternehmen.
SecuredIM bietet außerdem die einzigartige Möglichkeit, alle XX Minuten Screenshots von Desktops zu erstellen. Wenn ein Mitarbeiter verdächtigt wurde, einen Fehler gemacht zu haben (basierend auf IPCop-Protokollen), war ein Bild mehr als 1.000 Wörter wert. Ausgewählte Screenshots können archiviert und zur späteren Überprüfung (oder disziplinarischen Aktion) per E-Mail gesendet werden.
Wir haben Facebook, Myspace, Hulu und zwei oder drei weitere schwerwiegende Missbräuche über den URLFilter auf der IPCop-Box blockiert.
Manuelle Überprüfung (und weitere Websites bei Bedarf blockiert) für etwa eine Woche.
Eröffnetes "freies / nicht blockiertes" Surfen während der Mittagspause (12:00 - 13:00 Uhr).
Am Ende der Woche war das Unternehmen eine totale Transformation. Die Produktivität stieg dramatisch und niemand beschwerte sich.
Wie bei jeder Firma gibt es immer die 1-2 Rebellen da draußen, die denken, es sei ein "Spiel".
Als
nytimes.com
sie blockiert wurden, gingen sie zu einer anderen Nachrichtenseite. Als das blockiert war, wählten sie noch einen aus. Andere hörten auf zu surfen und nahmen Hobbys wie Solitaire und Minesweeper auf , aber die SecuredIM-Screenshots fingen das ein (IPCop konnte es offensichtlich nicht).Innerhalb von zwei Wochen (und einigen Gesprächen zwischen Arbeitgebern und Arbeitnehmern, einschließlich Disziplinarmaßnahmen für hartnäckige Personen) lief alles reibungslos und seit fast zwei Jahren reibungslos.
URLs:
http://www.ipcop.com
http://www.securedim.com
http://www.opendns.org
RANDNOTIZ:
Als lustige Nebengeschichte. Ungefähr ein Jahr später führte ein elektrisches Problem im Gebäude dazu, dass die Stromversorgung der IPCop-Box ausfiel und es 2-3 Tage dauerte, bis eine neue IPCop-Box installiert werden konnte.
Wir haben festgestellt, dass es weniger als 48 Stunden dauerte, bis die Mitarbeiter zu ihren alten / ursprünglichen Surfgewohnheiten zurückkehrten und die Produktivität sank.
Es war ein ziemlich soziales Experiment. :-)
quelle
Die DNS-Lösung scheint mir die beste Antwort zu sein, aber beachten Sie, dass sie höchstwahrscheinlich weiterhin über die IP-Adresse auf die Websites zugreifen können (Sie wissen dies wahrscheinlich anhand der Ebene Ihrer Frage, aber andere, die dies bei Google finden möglicherweise nicht).
Schauen Sie sich zweitens Evans Antwort an , Benutzer diskret daran zu hindern, bestimmte Programme auf Windows-Computern auszuführen, um Benutzer daran zu hindern, bestimmte Programme auszuführen. Ich denke, Sie versuchen, ein Managementproblem mit der IT zu lösen. Eigentlich sollten sie wahrscheinlich Leute einstellen, die verantwortlich genug sind, um die Regeln einzuhalten, die klargestellt wurden, und sie sollten sich wahrscheinlich Sorgen machen, dass sie ihre Aufgaben gut und pünktlich erledigen, anstatt welche Websites sie in ihrer Ausfallzeit besuchen. Das Blockieren dieses Materials wird wahrscheinlich nur Ressentiments im gesamten Unternehmen verbreiten. Sie müssen natürlich alles tun, was Sie tun müssen, und es liegt wahrscheinlich nicht einmal an Ihnen - aber ich denke, dies sollte immer berücksichtigt werden, bevor Sie einen solchen Schritt unternehmen, wenn dies nicht bereits geschehen ist.
quelle
Ich habe dieses Problem anders gelöst.
Anstatt den ASA-Entschlüsselungsverkehr zu haben, habe ich auf meinem lokalen DNS-Server eine Forward-Lookup-Zone für "facebook.com" erstellt und alle DNS-Einträge leer gelassen. Wenn Sie möchten, können Sie die Site jederzeit auf eine interne Webseite verweisen, die dem Benutzer mitteilt, dass er versucht, auf eine Site zuzugreifen, die gemäß den Unternehmensrichtlinien verboten ist.
Ich hoffe das hilft.
quelle
Wenn Sie nicht die Zeit oder das Personal haben, um Ihre eigene Lösung zu entwickeln, können Sie ein schlüsselfertiges Produkt in Betracht ziehen.
Wir verwenden die Threatwall von eSoft, mit der der Zugriff (über IP oder URL) hervorragend gesteuert werden kann. Ziemlich einfach zu konfigurieren mit Kontrollkästchen für alle gängigen Arten von Websites sowie der Möglichkeit, eigene hinzuzufügen und eine Whitelist zu erstellen. Sie haben verschiedene Pakete zur Verfügung (unsere filtern zum Beispiel auch Spam).
Nicht mit eSoft verbunden, außer als Kunde, Dave
quelle
Anstatt die IP-Adressen zu blockieren, können Sie die Hostnamen möglicherweise an localhost weiterleiten, dh Ihre Hostdatei so bearbeiten, dass sie ungefähr so aussieht:
Dies würde verhindern, dass die wahre IP-Adresse von Facebook usw. jemals nachgeschlagen wird.
quelle