나는 내 네트워크에서 페이스북을 차단하기 위해 opendns를 사용해 왔습니다. 그런 다음 이 차단을 우회할 수 있는 방법에 대해 생각하기 시작했고 물론 여기 serverfault에서 페이스북 IP 주소를 차단하는 방법을 읽었습니다. 하지만 누군가가 Tor나 Freegate를 사용한다면?
어떡해?
답변1
당신이 가지고 있는 것은 실제로 기술적인 문제가 아니라 관리 문제입니다. 기술적인 문제로 만들려고 하지 마십시오. 조직에서 제공하는 리소스로 사용자가 할 수 있는 것과 할 수 없는 것을 명확하게 정의하는 허용 가능한 사용 정책이 필요합니다. 또한 AUP를 시행하기 위해 취할 수 있는 조치(사용 모니터링/감사 기계 등)와 AUP 위반에 대한 제재가 무엇인지 자세히 설명해야 합니다.
답변2
왜 Facebook을 차단하려고 하는지 물어봐야 할 것 같아요. 집이 아닌 회사 네트워크인 것 같아요. 직원이 myspace, twitter, amazon, 친구 모임 등을 사용할 수 있도록 허용해야 하지만 Facebook은 사용할 수 없는 이유는 무엇입니까? 이런 종류의 기업 콘텐츠 필터링(내가 일하는 조직에서도 이 기능을 수행함)은 거의 항상 무의미합니다. 무례하다고 간주되는 웹사이트를 차단하려고 합니다. 왜? 나는 (대부분의 경우) 어른이기 때문에 무례한 말에도 대처할 수 있습니다. 내 조직에서는 정보를 집으로 이메일로 보내는 것을 방지하기 위해 웹 메일을 차단하려고 시도하지만 규칙을 설정하는 사람이 이를 생각하지 않았기 때문에 내 NTL 웹 메일을 차단하지 않습니다. 개인 웹메일 서버도 차단하지 않습니다.
나는 회사가 직원의 웹 사용을 모니터링하고 업무 관련 및 개인 모두에서 허용 가능한 웹 사용으로 간주되는 관리 정책을 마련하는 것을 선호합니다. 그러나 자동 사이트 차단은 성가신 일이며(특히 거짓 긍정의 경우) 궁극적으로 실제로 중요한 것을 예방하지는 못할 것입니다. 번거로움을 덜고, 프록시 바이러스가 콘텐츠와 다운로드를 검사하고, 방화벽이 제대로 구성되었는지 확인하고, 사용자의 인터넷 습관에 대한 정책을 관리자에게 맡기십시오.
답변3
차단하려고 하면 할수록 사용자는 액세스를 시도하기가 더 어려워집니다.
답변4
글쎄, 우선(다른 사람들이 정책 및 거버넌스에 대해 말한 것 외에도) 필요한 것 이외의 네트워크에서 송신 트래픽을 차단해야 합니다. 그리고 일반적으로 클라이언트 시스템이 어디에서나 직접 TCP/UDP 연결을 만드는 것을 허용하지 않습니다. 내부에 프록시 서버가 있는 경우 99%의 시간이 필요합니다. 특히 외부 DNS 서버에 대한 UDP/TCP 53이 필요합니다.
저는 레이어 3 필터링과 OpenDNS를 함께 사용하여 이를 관리 문제처럼 다루지 않는 클라이언트(예: 귀하의 클라이언트)에서 많은 성공을 거두었습니다. 그러나 그들이 나에게 와서 설명하고 이것을 설정하도록 돈을 주고 싶다면 그렇게 하십시오.
아웃바운드 DNS를 삭제하는 것보다 더 나은 것은 프록시 서버를 설정하는 것입니다(Squid는 오픈 소스이며 무료이며 캐싱 작업도 잘 수행합니다. 크기에 따라 노후화된 워크스테이션 하드웨어는 괜찮을 수 있습니다).
이제 클라이언트에서 외부로의 모든 직접 TCP/UDP 연결을 끊고 모든 사람이 프록시를 사용하도록 강제할 수 있습니다(투명하게, 그들은 눈치 채지 못할 것입니다).