IPアドレスでFacebookとMyspaceをブロックする

私たちのオフィスでタイムシンクになっている特定のソーシャルネットワーキングサイトをCisco ASAデバイスがブロックするのに問題があります。この質問は、実際には2つの部分に分かれています。

1. これらのサイトのすべてのIPアドレスを取得する信頼できる方法はありますか？
   • FacebookのDNSサーバーはランダムなIPアドレスで応答しているようです。Aのdig後にnslookup2つの異なるIPアドレスが生成されますwww.facebook.com。
2. Adaptive Security Device Manager（ASDM）を介してCisco ASAにホスト名を追加できるようにする方法はありますか。
   • URLフィルターを見つけましたが、サードパーティのソフトウェアが必要なので、これらのサイトをブロックするためだけに資金を調達することはできません。

Squidを起動して実行できるようになるまで、一時的な解決策を探しています。これには6か月もかかる場合があります（ネットワーク管理者が必要です、悪い）。

DNSプロバイダーとして誰を使用しますか？OpenDNS（無料）などのユーザーに切り替えることができる場合 、ソーシャルネットワーキングサイト、ウェブメール、アダルトコンテンツなどの自動（非常に構成可能な）ブロックを提供します。

編集：ISPで何かを変更する必要もありません。

Cisco asaでは、次のことができます。

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

シスコのWebサイトで詳細をすべてお読みになることを強くお勧めします。

1. ユーザーのWebアクティビティのログを収集します。
2. ユーザーのデスクに移動します。
3. 彼らにログを見せ、会社の時間にねじ回しを止めなければ、解雇されることを伝えます。
4. イベントを記録します。

これを続けると、経営陣に昇進することさえあります。;）

私のクライアントは、まさにこの問題を抱えていました。解決策に取り組んだ方法は次のとおりです。

1. Squidプロキシが組み込まれたIPCopボックスをインストールし、URLFilterアドオンもインストールしました。これで、すべてのトラフィックがIPCopボックスを通過します。

2. すべてのIPアドレスを内線電話番号にハードコーディングして、犯罪者を簡単に識別できるようにしたという単純な事実のために。また、OpenDNSを指すようにすべてのDNSサーバー設定を変更しました。（OpenDNSではさらにフィルタリングオプションを使用できますが、結局それらは必須ではないことが判明しました。）

3. Yahoo Messenger、MSN、AOL、ICQなどのすべてのパブリックIMクライアントの使用を削除（および禁止）しました。代わりに、SecuredIMと呼ばれる安全な会社専用XMPPサーバーをインストールして、すべてのIMトラフィックが記録され、会社間通信のみであることが保証されます。

4. SecuredIMには、デスクトップのスクリーンショットをXX分ごとに取得する独自の機能もあります。従業員が（IPCopのログに基づいて）不正行為の疑いがある場合、写真は1,000語に相当します。選択したスクリーンショットをアーカイブし、後でレビューするために電子メールで送信することができます

5. Facebook、Myspace、Hulu、およびIPCopボックスのURLFilterを介した2つまたは3つのその他の重大な不正行為をブロックしました。

6. 約1週間の手動レビュー（および必要に応じてブロックされるサイト）。

7. 昼食時間（午後12:00〜午後1:00）に「無料/ブロック解除」サーフィンを開始しました。

週の終わりまでに、会社は完全に変革しました。生産性は劇的に向上し、文句を言う人はいませんでした。

どの会社でもそうですが、「ゲーム」だと思う反逆者は常に1〜2人います。

nytimes.comブロックされたとき、彼らは別のニュースサイトに行きました。それがブロックされたとき、彼らはさらに別のものを選んだ。他の人はサーフィンを止めて、ソリティアやマインスイーパなどの趣味を始めましたが、SecuredIMスクリーンショットはそれをキャッチしました（IPCopは明らかにできませんでした）。

2週間以内（および頑固な個人に対する懲戒処分を含む雇用主と従業員の2、3の議論）で、すべてがスムーズに実行され、ほぼ2年間スムーズに実行されています。

URL：

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

サイドノート：

面白いサイドストーリーとして。約1年後、建物の電気的な問題によりIPCopボックスの電源が切れ、新しいIPCopボックスを設置できるようになるまでに2〜3日かかりました。

従業員が古い/元のサーフィン習慣に戻って生産性を落とすのに48時間もかからなかったことがわかりました。

それは非常に社会的な実験でした。:-)

DNSソリューションは私にとって最良の答えのように聞こえますが、もちろん彼らはおそらくIPアドレス経由でサイトにアクセスできる可能性が高いことに注意してください（おそらくあなたの質問のレベルからは知っていますが、Googleでこれを見つける他の人ではないかもしれません）。

次に、ユーザーが特定のプログラムを実行できないようにすることについて、ユーザーがWindowsコンピューターで特定のプログラムを実行することを個別に制限するというEvanの応答を見てください。ITに関する管理上の問題を解決しようとしていると思います。実際、彼らはおそらく、明確にされたルールに従うのに十分な責任を負う人を雇うべきであり、彼らはダウンタイムに訪問するウェブサイトではなく、タスクを時間通りに完了させることをおそらく心配するべきです。このようなものをブロックすることは、おそらく会社全体にresみを広めるでしょう。もちろん、あなたがしなければならないことは何でもしなければなりません、そしておそらくそれはあなた次第ではないでしょう-しかし、そうでなければ、この種のステップを踏む前にこれを常に考慮すべきだと思います。

私はこの問題を解決するために別のアプローチを取りました。

ASAでトラフィックを解読する代わりに、ローカルDNSサーバーに「facebook.com」の前方参照ゾーンを作成し、すべてのDNSエントリを空白のままにしました。必要に応じて、会社のポリシーで禁止されているサイトにアクセスしようとしていることをユーザーに伝える内部Webページをいつでもサイトに向けることができます。

これがお役に立てば幸いです。

独自のソリューションを構築する時間やスタッフがない場合は、ターンキー製品を検討できます。

eSoftのThreatwallを使用します。これは、アクセスを（IPまたはURLを介して）制御する優れた機能を果たします。すべての一般的な種類のサイトのチェックボックスで簡単に構成でき、さらに独自のサイトを追加してホワイトリストを作成する機能もあります。さまざまなパッケージを利用できます（たとえば、スパムもフィルタリングします）。

顧客であるDave以外のeSoftと提携していない

IPアドレスをブロックする代わりに、ホスト名をlocalhostに転送することもできます。つまり、ホストファイルを次のように編集します。

www.facebook.com     127.0.0.1

これにより、Facebookなどの真のIPアドレスが検索されなくなります。