Cisco ASA デバイスが私たちのオフィスで時間のシンクとなっている特定のソーシャルネットワーキングサイトをブロックするのに問題があります。この質問は、実際には2つの部分に分かれています。
Dig
の後にnslookup
が続くと、www.facebook.com
に対して2つの異なるIPアドレスが生成されます。私たちは Squid が稼働するまでの一時的な解決策を探しています。これは、6か月もかかる可能性があります(ネットワーク管理者が必要、悪い)。
DNSプロバイダーとして誰を使用していますか? OpenDNS (無料)などのユーザーに切り替えることができる場合、ソーシャルネットワーキングサイト、ウェブメール、アダルトコンテンツなどの自動(および非常に設定可能な)ブロックを提供します。
編集:ISPでも何も変更する必要はありません。
Cisco ASAで次のことができます。
regex facebook1 "facebook\.com"
class-map type inspect http match-any block-url-class
match request uri regex facebook1
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
シスコのWebサイトの詳細 をお読みになることを強くお勧めします。
これを続ければ、経営陣に昇進するかもしれません。 ;)
私のクライアントはこの正確な問題を抱えていました。ソリューションへの取り組み方は次のとおりです。
IPCop ボックスと組み込みの Squid プロキシをインストールし、URLFilterアドオンもインストールしました。これで、すべてのトラフィックがIPCopボックスを通過します。
すべての人のIPアドレスを電話の内線番号にハードコーディングして、違反者を簡単に特定できるようにしました。また、すべてのDNSサーバー設定を OpenDNS を指すように変更しました。 (OpenDNSではさらにフィルタリングオプションが可能ですが、結局それらは必要ないことがわかりました。)
すべてのパブリックの使用を削除(および禁止) [〜#〜] im [〜#〜] Yahoo Messenger、MSN、AOL、ICQなどのクライアントなど。代わりにsecurecompany-only [〜#〜] xmpp [〜#〜] サーバーが呼び出された SecuredIM すべてのIMトラフィックがloggedであり、企業間通信のみが保証されます。
SecuredIMには、XX分ごとにデスクトップのスクリーンショットを撮る独自の機能もあります。従業員が(IPCopログに基づいて)なりすましの疑いがある場合、写真は1,000ワードに相当します。選択したスクリーンショットをアーカイブし、後で確認(または懲戒処分)するためにメールで送信できます。
IPCopボックスのURLFilterを介して、Facebook、Myspace、 Hul 、およびその他の2つまたは3つの主要な悪用をブロックしました。
約1週間の手動による確認(および必要に応じてより多くのサイトをブロック)。
ランチタイム(午後12時〜午後1時)に「無料/ブロックされていない」サーフィンを開始しました。
週の終わりまでに、会社は完全に変革しました。生産性は劇的に向上し、不満を言うほどの人はいませんでした。
他の企業と同様に、「ゲーム」だと思っている1-2人の反逆者が常にいます。
いつ nytimes.com
がブロックされ、別のニュースサイトに移動しました。それがブロックされたとき、彼らはさらに別のものを選びました。他のユーザーはサーフィンをやめて Solitaire や Minesweeper などの趣味を取り上げましたが、SecuredIMのスクリーンショットはそれをキャッチしました(IPCopは明らかにできませんでした)。
2週間以内(および頑固な個人に対する懲戒処分を含む雇用主と従業員の2、3の話し合い)は、すべてが順調に進んでおり、ほぼ2年間順調に進んでいます。
URL:
サイドノート:
面白いサイドストーリーとして。約1年後、建物の電気的な問題によりIPCopボックスの電源が切れ、新しいIPCopボックスを設置できるようになるまで2〜3日かかりました。
従業員が元のサーフィン習慣に戻るまでに48時間もかからず、生産性が低下することがわかりました。
とても社会的な実験でした。 :-)
DNSソリューションは私にとって最良の答えのように聞こえますが、もちろんIPアドレスを介してサイトにアクセスできる可能性が最も高いことに注意してください(おそらくあなたは質問のレベルから知っていますが、これをGoogleで見つけた他の人ではないかもしれません)。
次に、へのEvanの応答を見て、ユーザーのWindowsコンピューターでの特定のプログラムの実行を個別に制限しますユーザーの停止について特定のプログラムの実行から。 ITの管理問題を解決しようとしていると思います。実際、彼らはおそらく、明確にされたルールを順守する責任を負う人々を雇うべきであり、ダウンタイムに訪問するWebサイトではなく、タスクを時間通りに実行することについて心配する必要があります。このようなものをブロックすることは、おそらく会社全体に憤りを広めることになるでしょう。もちろん、あなたはやるべきことは何でもしなければなりませんし、それはおそらくあなた次第ではありません-しかし、まだそうでなければ、この種のステップを実行する前にこれを常に考慮する必要があると思います。
私はこの問題を解決するために別のアプローチをとりました。
ASAでトラフィックを解読する代わりに、ローカルのDNSサーバーに「facebook.com」の前方参照ゾーンを作成し、すべてのDNSエントリを空白のままにしました。必要に応じて、会社のポリシーで禁止されているサイトにアクセスしようとしていることをユーザーに知らせる内部Webページをサイトに常に指定できます。
これがお役に立てば幸いです。
独自のソリューションを構築する時間やスタッフがない場合は、ターンキー製品を検討することができます。
ESoftのThreatwallを使用します。これは、(IPまたはURLを介して)アクセスを制御する優れた機能を果たします。すべての一般的なタイプのサイトのチェックボックスを使用して設定するのは非常に簡単です。さらに、独自のサイトを追加してホワイトリストを作成する機能もあります。彼らは利用可能なさまざまなパッケージを持っています(たとえば、私たちもスパムをフィルタリングします)。
顧客であるDave以外はeSoftと提携していません