Ich habe bisher gerne OpenDNS verwendet, um Facebook in meinem Netzwerk zu blockieren. Dann habe ich angefangen, über Tricks nachzudenken, um diese Blockierung zu umgehen, und natürlich habe ich hier auf Serverfault gelesen, wie man die Facebook-IP-Adresse blockiert. Aber was, wenn jemand Tor oder Freegate verwendet?
Was kann ich machen?
Antwort1
Was Sie haben, ist nicht wirklich ein technisches Problem, sondern ein Managementproblem. Versuchen Sie nicht, daraus ein technisches Problem zu machen. Sie benötigen eine Richtlinie zur akzeptablen Nutzung, die klar definiert, was Benutzer mit den von Ihrer Organisation bereitgestellten Ressourcen tun dürfen und was nicht. Darin sollte auch detailliert beschrieben werden, welche Schritte zur Durchsetzung der AUP (Überwachung der Nutzung/Überprüfung von Maschinen usw.) unternommen werden können und welche Sanktionen bei Verstößen gegen die AUP verhängt werden.
Antwort2
Ich denke, Sie müssen fragen, warum Sie versuchen, Facebook zu blockieren. Ich gehe davon aus, dass es sich hier um ein Unternehmensnetzwerk handelt und nicht um ein privates. Warum sollten Sie Ihren Mitarbeitern erlauben, MySpace, Twitter und Amazon, Friends-Reunited usw. zu verwenden, aber nicht Facebook? Diese Art der Inhaltsfilterung in Unternehmen (die Organisation, für die ich arbeite, macht das auch) ist fast immer sinnlos. Sie versucht, Websites zu blockieren, die sie für unhöflich hält. Warum? Ich bin erwachsen (meistens), ich kann mit unhöflichen Worten umgehen. Meine Organisation versucht, Webmail zu blockieren, um zu verhindern, dass wir Informationen per E-Mail nach Hause schicken, aber sie blockiert mein nationales Webmail nicht, weil die Person, die die Regeln erstellt hat, nicht daran gedacht hat. Ebenso wenig blockiert sie meinen privaten Webmail-Server.
Ich bin voll und ganz dafür, dass Unternehmen die Internetnutzung ihrer Mitarbeiter überwachen und dass es Managementrichtlinien gibt, die festlegen, was als akzeptable Internetnutzung gilt, sowohl beruflich als auch privat. Aber die automatische Blockierung von Websites ist ärgerlich (insbesondere im Falle eines Fehlalarms) und wird letztendlich nichts Wesentliches verhindern. Sparen Sie sich den Aufwand, stellen Sie sicher, dass der Proxy-Virus Inhalte und Downloads scannt und dass Ihre Firewall richtig konfiguriert ist, und überlassen Sie die Überwachung der Internetgewohnheiten Ihrer Benutzer ihren Managern.
Antwort3
Je stärker Sie versuchen, es zu blockieren, desto stärker werden die Benutzer versuchen, darauf zuzugreifen.
Antwort4
Nun, für den Anfang (über das hinaus, was alle anderen zu Richtlinien und Governance gesagt haben) sollten Sie ausgehenden Datenverkehr in Ihrem Netzwerk über das erforderliche Maß hinaus blockieren (und ich erlaube Client-Rechnern generell nicht, irgendwo direkte TCP/UDP-Verbindungen herzustellen; in 99 % der Fälle ist das auch nicht nötig, wenn Sie intern einen Proxy-Server haben), insbesondere UDP/TCP 53 zu externen DNS-Servern.
Ich habe Layer-3-Filterung und OpenDNS mit großem Erfolg bei Kunden (wie Ihrem) verwendet, die dies nicht als Verwaltungsproblem behandeln (was es ist). Wenn sie mich jedoch dafür bezahlen wollen, dass ich vorbeikomme und dies einrichte, nachdem ich das erklärt habe, dann soll es so sein.
Noch besser als das Löschen des ausgehenden DNS wäre die Einrichtung eines Proxyservers (Squid ist Open Source/kostenlos und leistet auch beim Caching gute Arbeit; je nach Größe Ihrer Workstation reicht die veraltete Hardware wahrscheinlich nicht aus).
Jetzt können Sie alle direkten TCP/UDP-Verbindungen von den Clients nach außen trennen und alle zwingen, einen Proxy zu verwenden (transparent und ohne dass sie es überhaupt bemerken).