私は、自分のネットワーク上で Facebook をブロックするために、OpenDNS をうまく使ってきました。その後、このブロックを回避する方法について考え始め、もちろん、ServerFault で Facebook の IP アドレスをブロックする方法を読みました。しかし、誰かが Tor や FreeGate を使用している場合はどうでしょうか?
私に何ができる?
答え1
問題は技術的なものではなく、管理上の問題です。技術的な問題にしようとしないでください。組織が提供するリソースでユーザーができることとできないことを明確に定義した、許容される使用ポリシーが必要です。また、AUP を実施するためにどのような手順を踏むべきか (使用状況の監視、マシンの監査など)、AUP に違反した場合の制裁措置についても詳細に記述する必要があります。
答え2
なぜ Facebook をブロックしようとしているのか、と自問する必要があると思います。これは自宅ではなく企業ネットワークだと想定しています。なぜ従業員に MySpace、Twitter、Amazon、Friends-Reunited などを許可して、Facebook を許可しないのでしょうか。この種の企業コンテンツ フィルタリング (私が勤務する組織もこれを行っています) は、ほとんどの場合無意味です。失礼とみなされる Web サイトをブロックしようとします。なぜでしょうか。私は大人です (ほとんどの場合)、失礼な言葉には対処できます。私の組織は、情報を自宅に電子メールで送信できないように Web メールをブロックしようとしますが、ルールを設定した人が考えていなかったため、私の NTL Web メールはブロックされません。また、私の個人用 Web メール サーバーもブロックされません。
私は、企業が従業員の Web 使用状況を監視し、仕事関連と個人の両方で許容される Web 使用状況を示す管理ポリシーを整備することに全面的に賛成です。しかし、サイトの自動ブロックは煩わしく (特に誤検知の場合)、最終的には実際に重大なことを防ぐことにはなりません。面倒な手間を省くには、プロキシ ウイルスがコンテンツとダウンロードをスキャンし、ファイアウォールが適切に設定されていることを確認し、ユーザーのインターネット習慣の監視は管理者に任せましょう。
答え3
ブロックしようとすればするほど、ユーザーはアクセスしようとし始めます。
答え4
まず第一に (ポリシーとガバナンスについて他のすべての人が言っていることを超えて)、ネットワーク上の出力トラフィックを、特に外部 DNS サーバーへの UDP/TCP 53 を、必要なもの以外ではブロックする必要があります (私は通常、クライアント マシンがどこにでも直接 TCP/UDP 接続することを許可しません。社内にプロキシ サーバーがある場合は、99% の場合は必要ありません)。
私は、これを管理上の問題として扱っていないクライアント(あなたのクライアントなど)で、レイヤー 3 フィルタリングと OpenDNS を併用して多くの成功を収めてきました(実際は管理上の問題です)。ただし、そのことを説明した後、クライアントが私に出向いて設定してもらうためにお金を払ってくれるのであれば、それで構いません。
アウトバウンド DNS を削除するよりもさらに良い方法は、プロキシ サーバーを設定することです (Squid はオープン ソース/無料であり、キャッシュも適切に機能します。規模によっては、古いワークステーション ハードウェアでも問題ない可能性があります)。
これで、クライアントから外部へのすべての直接 TCP/UDP 接続をドロップし、全員にプロキシの使用を強制することができます (透過的に、ユーザーには気付かれずに済みます)。