태그 보관물: cisco

cisco

IP 주소로 Facebook 및 Myspace 차단 걸리는 특정 소셜 네트워킹

Cisco ASA 장치가 사무실에서 시간이 걸리는 특정 소셜 네트워킹 사이트를 차단 하는 데 문제 가 있습니다. 이 질문은 실제로 두 부분으로되어 있습니다.

  1. 이러한 사이트의 모든 IP 주소를 검색 할 수있는 안정적인 방법이 있습니까?
    • Facebook의 DNS 서버는 임의의 IP 주소로 응답하는 것 같습니다. A는 dig다음에 nslookup두 개의 서로 다른 IP 주소에 대한 수율 www.facebook.com.
  2. ASDM (Adaptive Security Device Manager)을 통해 Cisco ASA에 호스트 이름을 추가 할 수있는 방법이 있습니까?
    • URL 필터를 찾았지만 타사 사이트를 차단하기 위해 자금을 조달 할 것으로 의심되는 타사 소프트웨어가 필요합니다.

우리는 Squid 를 시작할 수있을 때까지 6 개월 정도 걸리는 임시 솔루션을 찾고 있습니다 (네트워크 관리자가 필요합니다).

답변

DNS 공급자는 누구입니까? OpenDNS (무료) 와 같은 사람으로 전환 할 수 있다면
소셜 네트워킹 사이트, 웹 메일, 성인용 콘텐츠 등을 자동으로 (그리고 매우 구성 가능한) 차단합니다.

편집 : 당신은 당신의 ISP와 함께 아무것도 변경할 필요가 없습니다.

답변

Cisco asa에서 다음을 수행 할 수 있습니다.

regex facebook1 "facebook\.com"

class-map type inspect http match-any block-url-class
  match request uri regex facebook1


policy-map type inspect http block-url-policy
  parameters
class block-url-class
  drop-connection log
policy-map global_policy
  class inspection_default
  inspect http block-url-policy

service-policy global_policy global

Cisco 웹 사이트에서 자세한 내용을 읽어 보시기 바랍니다 .

답변

  1. 사용자의 웹 활동에 대한 로그를 수집하십시오.
  2. 사용자 책상으로 이동하십시오.
  3. 그들에게 통나무를 보여주고 그들이 회사 시간에 조이는 것을 멈추지 않으면 해고 될 것입니다.
  4. 이벤트를 기록하십시오.

이를 유지하면 경영진으로 승진 할 수도 있습니다. 😉

답변

내 고객 이이 정확한 문제가 있었다. 솔루션을 다루는 방법은 다음과 같습니다.

  1. 빌트인 오징어 프록시가 있는 IPCop 박스를 설치하고 URLFilter 애드온도 설치했습니다. 이제 모든 트래픽이 IPCop 상자를 통과합니다.

  2. 모든 사람의 IP 주소를 전화 내선 번호로 하드 코딩하여 범죄자를 쉽게 식별 할 수있게하였습니다. 또한 모든 DNS 서버 설정이 OpenDNS 를 가리 키도록 변경했습니다 . (OpenDNS로 추가 필터링 옵션을 사용할 수 있지만 결국에는 필요하지 않은 것으로 나타났습니다.)

  3. Yahoo Messenger, MSN, AOL, ICQ 등과 같은 모든 공용 IM 클라이언트 의 사용을 제거 (및 금지)했습니다 . 대신 모든 IM 트래픽이 기록 되고 기록 되도록 SecuredIM 이라는 안전한 회사 전용 XMPP 서버를 설치했습니다. 회사 간 통신 만 보장합니다.

  4. SecuredIM은 또한 XX 분마다 데스크탑의 스크린 샷을 찍을 수있는 고유 한 기능을 가지고 있습니다. 직원이 IPCop 로그를 기반으로 훼방 의심되는 경우 그림은 1,000 단어의 가치가 있습니다. 추후 검토 (또는 징계 조치)를 위해 선별 된 스크린 샷을 보관하고 이메일로 보낼 수 있습니다.

  5. IPCop 상자의 URLFilter를 통해 Facebook, Myspace, Hulu 및 2 ~ 3 개의 기타 주요 악용을 차단했습니다.

  6. 약 1 주일 동안 직접 검토 (및 필요한 경우 더 많은 사이트 차단)

  7. 점심 시간 (오후 12시-오후 1시)에 “무료 / 차단되지 않은”서핑을 열었습니다.

이번 주 말에 회사는 완전히 변화했습니다. 생산성은 비약적으로 높아졌으며 불평만큼 아무도 없었습니다.

다른 회사와 마찬가지로 항상 “게임”이라고 생각하는 1-2 명의 반란군이 있습니다.

nytimes.com그들이 차단 되었을 때 그들은 다른 뉴스 사이트로 갔다. 그것이 차단되었을 때 그들은 또 다른 것을 골랐다. 다른 사람들은 서핑을 중단하고 SolitaireMinesweeper 와 같은 취미를 겪었지만 SecuredIM 스크린 샷은 그것을 잡았습니다 (IPCop은 분명히 할 수 없었습니다).

2 주 이내에 (그리고 완고한 개인에 대한 징계 조치를 포함하여 두 명의 고용주 / 직원 토론) 모든 것이 순조롭게 진행되었으며 거의 ​​2 년 동안 순조롭게 진행되었습니다.

URL :

http://www.ipcop.com

http://www.securedim.com

http://www.opendns.org

측면 참고 :

재미있는 이야기입니다. 약 1 년 후, 건물의 전기 문제로 인해 IPCop 상자의 전원 공급 장치가 꺼졌고 새로운 IPCop 상자를 설치하기까지 2-3 일이 걸렸습니다.

직원들이 이전 / 원래 서핑 습관으로 돌아가고 생산성이 떨어지기까지 48 시간도 걸리지 않았습니다.

그것은 꽤 사회적 실험이었습니다. 🙂

답변

DNS 솔루션은 나에게 가장 좋은 대답처럼 들리지만 물론 IP 주소를 통해 사이트에 여전히 액세스 할 수 있음을 알고 있습니다. 아닐지도 모르다).

둘째, 사용자가 특정 프로그램을 실행하지 못하도록 Windows 컴퓨터에서 사용자가 특정 프로그램을 실행하지 못하도록 제한하는 Evan의 답변을 살펴보십시오 . IT 관리 문제를 해결하려고 생각합니다. 실제로 그들은 분명한 규칙을 모두 준수 할 책임이있는 사람들을 고용하고 있어야하며, 다운 타임에 방문하는 웹 사이트가 아니라 자신의 작업이 제 시간에 제대로 완료되도록 걱정해야 할 것입니다. 이 물건을 차단하는 것은 아마도 회사 전체에 분개를 퍼뜨릴 것입니다. 물론 당신이해야 할 일을해야하며, 아마도 당신에게 달렸을 수도 있습니다. 그러나 아직이 단계를 거치지 않았다면 항상이 단계를 고려해야한다고 생각합니다.

답변

이 문제를 해결하기 위해 다른 접근 방식을 취했습니다.

ASA 암호 해독 트래픽을 사용하는 대신 로컬 DNS 서버에서 “facebook.com”에 대한 정방향 조회 영역을 만들고 모든 DNS 항목을 비워 두었습니다. 원하는 경우 항상 회사 정책에 의해 금지 된 사이트에 액세스하려고하는 사용자에게 사이트를 내부 웹 페이지로 지정할 수 있습니다.

이게 도움이 되길 바란다.

답변

자신 만의 솔루션을 구축 할 시간이나 직원이 없다면 턴키 제품을 고려할 수 있습니다.

eSoft의 Threatwall은 IP 또는 URL을 통한 액세스 제어를 훌륭하게 수행합니다. 모든 일반적인 유형의 사이트에 대한 확인란과 함께 자신 만의 사이트를 추가하고 화이트리스트를 만들 수있는 기능으로 구성하기가 매우 쉽습니다. 다른 패키지를 사용할 수 있습니다 (예 : 스팸도 필터링).

고객 이외의 eSoft와 제휴하지 않음, Dave