He estado usando, felizmente, opendns para bloquear Facebook en mi red. Luego comencé a pensar en trucos para sortear este bloqueo y, por supuesto, leí aquí en serverfault cómo bloquear la dirección IP de Facebook. ¿Pero si alguien usa tor o freegate?
¿Qué puedo hacer?
Respuesta1
Lo que tienes no es realmente un problema técnico, es un problema de gestión, no intentes convertirlo en un problema técnico. Es necesario tener una política de uso aceptable que defina claramente lo que los usuarios pueden y no pueden hacer con los recursos proporcionados por su organización. Esto también debe detallar qué medidas se pueden tomar para hacer cumplir la AUP (monitoreo de uso/auditoría de máquinas, etc.) y cuáles son las sanciones por violar la AUP.
Respuesta2
Creo que deberías preguntarte ¿Por qué intentas bloquear Facebook? Supongo que se trata de una red corporativa, no de un hogar. ¿Por qué debería permitir que su personal use myspace, twitter y amazon, reuniones de amigos, etc., pero no Facebook? Este tipo de filtrado de contenido corporativo (la organización para la que trabajo también lo hace) casi siempre es inútil. Intenta bloquear sitios web que considera de mala educación. ¿Por qué? Soy un adulto (la mayor parte del tiempo), puedo lidiar con palabras groseras. Mi organización intenta bloquear el correo web para evitar que enviemos información por correo electrónico a casa, pero no bloquea mi correo web ntl porque la persona que estableció las reglas no lo pensó. Tampoco bloquea mi servidor de correo web personal.
Estoy totalmente a favor de que las empresas supervisen el uso de la Web por parte del personal y cuenten con políticas de gestión que indiquen lo que se considera un uso aceptable de la Web, tanto laboral como personal. Pero el bloqueo automático de sitios es molesto (especialmente en el caso de un falso positivo) y, en última instancia, no evitará nada significativo. Ahórrese la molestia, asegúrese de que el virus proxy escanee el contenido y las descargas y que su firewall esté bien configurado, deje la vigilancia de los hábitos de Internet de sus usuarios en manos de sus administradores.
Respuesta3
Cuanto más intentes bloquearlo, más intentarán los usuarios acceder a él.
Respuesta4
Bueno, para empezar (más allá de lo que todos los demás dijeron sobre políticas y gobernanza), debería bloquear el tráfico de salida en su red fuera de lo requerido (y generalmente no permito que las máquinas cliente establezcan conexiones TCP/UDP directas en ningún lugar; no hay necesita el 99% del tiempo cuando tiene un servidor proxy interno), especialmente UDP/TCP 53 para servidores DNS externos.
He usado filtrado de Capa 3 y OpenDNS junto con mucho éxito en clientes (como el suyo) que no tratan esto como un problema de administración (que lo es). Sin embargo, si quieren pagarme para que venga y configure esto después de explicarlo, que así sea.
Incluso mejor que eliminar el DNS saliente sería configurar un servidor proxy (Squid es de código abierto/gratuito y también hace un buen trabajo de almacenamiento en caché; dependiendo de su tamaño, el hardware antiguo de la estación de trabajo probablemente esté bien).
Ahora puede eliminar todas las conexiones TCP/UDP directas de los clientes al exterior y obligar a todos a usar un proxy (de forma transparente, y ni siquiera se darán cuenta).