ソーシャルサイトをブロックするためのベストプラクティス

Question

弊社ではインターネットにアクセスできるワークステーションが約100台あり、プライベートな目的でインターネットアクセスを利用したり、ソーシャルサイトで時間を無駄にしたりする観点から、日々状況は悪化しています。

FacebookやYouTubeなどのサイトをブロックするのは好きではありませんが、同僚は日々タスクを完了せず、モニターを見るたびにInternet ExplorerやMozilla Firefoxを実行しているので、チャットを心から開いています。チャットそしてそのようなもの。一方、インターネットアクセス速度が非常に遅い場合は、YouTubeをブロックしたいと思います。

ここに私の質問があります：

他の企業がソーシャルサイトをブロックしていますか？
ハードウェアファイアウォールや非常に高価なルーターなど、専用のデバイスが必要ですか？または、2つのLANカードを備え、NATがルーターのように機能するように構成されている既存のFreeBSD 6.1自作ルーターでそれを行うことはできますか？

ipfw とrouterfirewallを使用してそれを実行しようとしましたが、成功しませんでした。私のコードは次のようになります：

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook. ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek. ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek. ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube. ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

この問題を解決するにはどうすればよいですか？

Zoredache · Accepted Answer

他の企業がソーシャルサイトをブロックしていますか？

はい、しかしそれはそれが良い考えであることを意味しません。本 Predictably Irrational は興味深い議論があり、基本的に個人的な使用をブロックすると生産性にコストがかかる可能性があることを示唆するいくつかの研究へのリンクがあります。人々が自分の職場が友好的で家庭的であると考える場合、彼らは40時間を超えて自宅で働く可能性が高くなります。

1人の個人が問題を引き起こしている場合は、その個人と協力して、テクノロジーソリューションを使用して、物事を壊すことをお勧めします。テクノロジーは、実際に仕事をしているマネージャーの代わりにはなりません。

ほとんどのフィルターは簡単にバイパスされるため、同僚との競争に巻き込まれないようにしてください。ある時点で、ファイアウォールを敵対的なものにして、実際の作業を実行できないようにします。それでも、ファイアウォールの周りで考えられるすべての方法をブロックしていない可能性があります。

ハードウェアファイアウォール、超高額ルーターのような専用のデバイスが必要ですか、それとも、既存のFreeBSD 6.1自作ルーターと2つのLANカードとルーターのように動作するように構成されたnatでそれを実現できますか。

Squid + Squidguardをインストールして、すべてのトラフィックをプロキシ経由で強制できます。 ACLを設定して、気に入らないサイトをブロックできます。

Squidをプロキシとしてセットアップし、何もブロックするACLがないようにして、ログを監視することをお勧めします。全員にプロキシを強制します（通知あり）。次に、SARGなどをセットアップしてレポートを作成します。誰かが本当に問題を抱えている場合、適切なレポートを作成することで、従業員の上司は問題に対処し始める必要があるという証拠を与えます。

David Pashley · Answer

これは、ファイアウォールではなく、懲戒処分で処理する必要があります。それは非技術的な問題に対する技術的な解決策です。

chaos · Answer

あなたは、RIAAとMPAAが、海賊行為が不可能である場合、海賊版コンテンツのすべてのユニットが購入されるというばかげた仮定に基づいて、海賊行為がどれだけのお金を費やしているかについて、これらの非常識な数字をどのように公開するか知っていますか？

ソーシャルメディアで時間を「無駄にする」ことが不可能である場合、その時間は生産的な仕事に費やされると想定して、同じことを行っています。しかし、これらがあなたが話しているデータ入力担当者でない限り、私達はおそらく彼らの仕事に対してある種の創造的/知識労働者の側面を持つ人々について話している、つまり彼らの生産性は同じに見えない複雑なものであることを意味します組立ラインのウィジェットツイスターのように。彼らのソーシャルメディアの使用は簡単に彼らの生産性の主要コンポーネントである可能性があり、それを攻撃することは彼らがあなたにお金を稼ぐことを可能にするものを攻撃するかもしれません。

そして、それは私たちが囚人のように従業員をチェーンギャングで扱うことの士気への影響に入る前でさえあります。

ただ言うだけだ.

John Rennie · Answer

ブラウジングが生産性を妨げている場合にのみサイトをブロックし、問題についてローカル管理者の見解を受け入れます（たとえサイトが誇張されていると思われる場合でも）。

プロキシサーバーを使用してサイトをブロックします。通常はSQUIDであり、ファイアウォールで正常に実行されます。サーバーとプロキシサーバーを除くすべてのホストからの送信ポート80（場合によっては443）をブロックするファイアウォールにルールを設定します。次に、グループポリシーを使用して、ユーザーのInternet Explorerでプロキシを構成します。

一部のマネージャは、使用統計を要求します。ほとんどはしません。

JR

Kevin Kuphal · Answer

OpenDNS を使用します。あなたはそれを使ってソーシャルサイトをブロックできるはずです。それ以外の場合は、フィルタリング機能を備えたプロキシサーバーの使用を検討する必要があります。

Steve Jones · Answer

物事をブロックする最良の方法は、マネージャーに歩き回らせ、物事を成し遂げていない人の近くでより多くの時間を費やすことです。人々が仕事を終わらせた場合、なぜ彼らが訪問するサイトや彼らが費やす時間を気にするのですか？そうでない場合は、書き留めて先に進んでください。

Kara Marfia · Answer

ストリーミングを抑制するためのパケットシェーピングは、ネットワークに大きなメリットをもたらしました。 3人がYouTubeビデオをプルしてもMSDNのダウンロードに干渉しないので、ソーシャルネットワーキングサイトにそれほど関心を持つ人はいません。

解決策を決定する前に、実際の問題点を確認してください。

Even Mien · Answer

"This Week is Startups" のエピソードでJason Calacanisから、従業員にメールを送信して彼らがどれだけの時間を浪費しているかを知ることができるという提案がありました。

ほとんどのユーザーは、おそらくこれらのサイトのいくつかに費やしている時間を知らないでしょう。この方法を使用すると、従業員はセルフポリシングを行うことができます。また、手に負えなくなった場合、管理者も同様にそれを知る可能性があることを知ることができます。

これを行うことができる製品を持っていたショーのスポンサーは WebSpy でした。

KPWINC · Answer

OpenDNSの組み合わせを使用していますが、ネットワークの前でIPCopボックスも実行しています。

これにより、MySpace、FaceBook、YouTubeなどのサイトをランチタイム（12:00 pm-1:00 pm）以外に制限できます。

これにより、従業員は昼休み中に自分のmyspace、facebookなどを確認できますが、会社の時間に「集中」できます。

定期的にIPCopログファイルを確認し、ブロックする必要のあるサイトがまだあるかどうかを判断します。

IPCopソリューションを実装すると、約1週間後に、すべてのグーフィングが「魔法のように」停止することがすぐにわかります。また、従業員の生産性を大幅に向上させるには、ほんの一握りのサイトをブロックするだけでよいことがわかります。

幸運を

PS-過去に使用したもう1つの優れた製品はSecuredIM（ http://www.securedim.com ）です。これにより、会社間チャットを監視したり、ユーザーのデスクトップのスクリーンショットを定期的に撮ったりすることができます。ご希望の場合。（つまり、ジョーのデスクトップのスナップショットを10分ごとに撮ります）

Darius · Answer

短い回答：はい、ウェブアクセスをブロックしている企業があります（ソーシャルサイトまたはその他のサイト）。

長い答え：
雇用者の観点から：仕事をせずに仕事で費やす時間は無駄になります。
従業員の観点から：私の仕事は完了しました。次の仕事が来るのを待っている間、私は（そのウェブサイトに）行きますやるべき仕事が増えると仕事は終わります。

私は、会社がWebSenseの試用を決定したときに、Webアクセスを撃たれた従業員の1人です。そして、私がwebsenseに拘束されることから学ぶいくつかのこと：

オープンプロキシ、トンネリング、および一般的なWebブロックの回避に関する情報について多くのことを学びます
Webアクセスがロックされているスタッフ間の大きな不安-アクセスが制限されていないので、上級者には影響しません

Tom Newton · Answer

ほとんどの人は、Webフィルタリングの目的がひたむきであると誤って想定しています。私はWebフィルタリングベンダーのSmoothWallで働いています。偏見があるかもしれませんが、経験も豊富です。

Websenseは最近「はい」と宣伝しているだけです-そして私たち（SmoothWall）は同意します。あなたは寛容である必要があります。ソフトブロックの使用（これは「非ポリシー」であることをリマインダーするか、時間帯は物事を緩める2つの方法です）.

いずれにしても...私が言っていたように..生産性だけでなく-ソーシャルネットワーキングの誤用、アダルトウェブサイトの誤用、およびこれらが発生したときの証拠の欠如から生じるHRの問題を見てきました。

最後に...誰もが私たちが期待するように動作するわけではないことを指摘する価値があります-誰もが「sysadmin/techieマインドセット」を持っているわけではありません。恐れ。

ceejayoz · Answer

しないでください

HomeTown · Answer

逆方向にブロックしようとしています。

あなたはそれを持っているので、ホストに行くTCP/IPについて気にする必要はありません。着信トラフィックをブロックする必要があります。つまり、

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

または、単にWebトラフィックをブロックします。

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

ただし、アドレスwww.youtube.comはDNSが検出した最初のIPアドレスに変換され、ブロックは負荷分散によって変更されるため、すべてがブロックされるわけではありません。厄介なものにしたい場合は、ネットワーク全体をブロックできます。

Martynas Saint · Answer

このための最良のツールは、オープン統計を備えたインターネット使用ポリシーです（ただし、ご存知のとおり、経営陣はこれに反対します-彼らもまた人間です）。

ユーザーlanから外部へのすべての接続をブロックします。ポートの例外はありません！
たとえば、いくつかのプロキシサーバーを取得します-SquidとSquidguardのようなフィルターを追加します
現在、2つの方法があります。プロキシを使用するようにユーザーを構成する（少し時間がかかります）か、透過プロキシを有効にします（SSL接続では問題になる可能性がありますが、高速です）。
幸せなユーザーを探し、TOR（ http://tor.kamagurka.org/index.html.en ）を自分のPCからアンインストールし、USB、フロッピー、CD-ROMなどを削除して、ポータブルバージョンを使用できない（またはそれ以上-会社で多くの宣伝で彼を解雇する）

carlito · Answer

従業員が仕事をするのではなく時間を浪費することを選択している場合、なぜ時間を浪費することができる何千もの方法の1つを削除する必要があるのでしょうか。

おそらく問題は、このような方法で従業員を扱うことができると考える人々によって作成された作業環境にあります。

Rob Moir · Answer

私は大学で働いており、Websenseを使用してサイトをブロックしています。良い（完璧ではない！）が高価です。 OpenDNSは安く、かなり良いです。

しかし結局のところ、行動の問題に対する技術的な解決策はほとんどないというのが私の意見です。あなたのビジネスが人々がソーシャルネットワーキングサイトを訪問することを望まないならば、それはこれがインターネット使用ポリシーに違反していることを明らかにする必要があります。さもなければ、それは一部の人々にとってのゲームになります。必ずツールを使用して、必要に応じてそのポリシーを適用できるようにしてください。ただし、説明やコミュニケーションのないサイトをブロックしないでください。

作業が行われているかどうかについてのコメントにも同意します。人々が彼らの目標を達成しているならば、あなたは彼らがインターネットで彼らを少しでも自由にさせることで害がどこにあるのか同様に尋ねるかもしれません。

squillman · Answer

それは人事/管理ポリシーであることに同意します。ITは、実装するための完璧なテクノロジーを導入することはできません。問題がある場合は、犯罪者のパフォーマンスで明らかになります。

ただし、懲戒処分の目的で証拠を提出する必要がある場合、インターネット使用ログは組織の事例にとって不可欠です。このため、組織はロギング/レポートメカニズムを採用する必要があります。これの使用は従業員に伝達されるべきであり、使用ポリシーは従業員のハンドブックに明確に文書化されるべきです。

また、WebSenseを使用して使用状況を監視します。 Googleのポリシーで固く禁止されているカテゴリは、完全にブロックされます。緩やかに規制されている他のユーザーは、「このフィルターを理解しており、ビジネス上の理由で続行している」と従業員が言っているボタンをクリックすることで許可されます。使用するツールは、ポリシーのタイプと組織の規模に大きく依存します。

ソーシャルサイトの制限が、特に次の世代にとってますます望ましくないものになりつつあることにも、私は完全に同意します。

Bruce ONeel · Answer

ソーシャルネットワーキングサイトをブロックすることで問題が解決しますか？

あなたが述べる問題は、状況がどんどん悪化しているということです...

従業員がこれらのソーシャルネットワーキングサイトで帯域幅を使いすぎているということですか？それとも、従業員が特定のWebサイトで作業時間を使いすぎているということですか？

最初の場合は、トラフィック数を取得することをお勧めします。パブリックトラフィックの数値について考えたいと思いますが、パブリックトラフィックであるかどうかに関係なく、問題が多すぎる場合は、ネットワークトラフィックが数値を収集することでインテリジェントな判断を下すことができます。

トラフィックが多すぎる場合は、1〜2週間にわたってその数を収集し、特定の日付でzzz.com、aaa.comなどのサイトがブロックされることをお知らせします。

一方、問題が従業員の作業時間の多くを費やしていることが問題である場合、問題は技術的な問題ではなく、おそらく他の方法で対処する必要があります。

それでも技術的に対処したい場合は、トラフィック数を収集すると、ビジネスにとって重要ではないと思われる上位10サイトをブロックし、改善するかどうかを確認できます。

Ariel Antigua · Answer

それはあなたが働いている会社の種類に依存します。私の場合、私は教育分野で働いており、ここではSmartFilter（地獄のように高価）を使用しています。私の要点は、作業領域によってはOpenDNSを使用してすべてのソーシャルサイトをブロックできることです（私はSmartFilterを導入する前に使用しました）。

Kelly Monroe · Answer

素晴らしい議論。私はこれをチェックします。それはITに渡すのに最適なホワイトペーパーです：ブロックするかしないか。それが問題ですか？

GregD · Answer

個人的には反社会人のみを採用しています。

Hofa · Answer

DNSサーバーを使用してドメインをブロックするだけですが、ファイアウォールを設定して、ユーザーが社外のDNSサーバー（opendnsなど）を使用できないようにすることを忘れないでください。

quickcel · Answer

OpenDNSを使用している場合は、ドメイン/コンテンツによって常に簡単にブロックできます