Felizmente, tenho usado o opendns para bloquear o Facebook na minha rede. Aí comecei a pensar em truques para driblar esse bloqueio e, claro, já li aqui no serverfault como bloquear o endereço IP do facebook. Mas se alguém usar tor ou freegate?
O que posso fazer?
Responder1
O que você tem não é realmente um problema técnico, é um problema de gerenciamento, não tente transformar isso em um problema técnico. Você precisa ter uma política de uso aceitável que defina claramente o que os usuários podem ou não fazer com os recursos fornecidos pela sua organização. Isto também deve detalhar quais medidas podem ser tomadas para fazer cumprir a AUP (monitoramento do uso/auditoria de máquinas, etc.) e quais são as sanções para quem viola a AUP.
Responder2
Acho que você precisa perguntar: Por que você está tentando bloquear o Facebook? Presumo que esta seja uma rede corporativa, não doméstica. Por que você deveria permitir que sua equipe usasse myspace, twitter e amazon, amigos reunidos, etc., mas não o Facebook? Esse tipo de filtragem de conteúdo corporativo (a organização para a qual trabalho também faz isso) é quase sempre inútil. Ele tenta bloquear sites que considera rudes. Por que? Sou adulto (na maioria das vezes), consigo lidar com palavras rudes. Minha organização tenta bloquear o webmail para evitar que enviemos informações por e-mail para casa, mas não bloqueia meu webmail ntl porque a pessoa que configurou as regras não pensou nisso. Nem bloqueia meu servidor de webmail pessoal.
Sou totalmente a favor de que as empresas monitorem o uso da web pelos funcionários e tenham políticas de gerenciamento em vigor para dizer o que é considerado uso aceitável da web, tanto relacionado ao trabalho quanto pessoal. Mas o bloqueio automatizado de sites é irritante (especialmente no caso de um falso positivo) e, em última análise, não vai impedir nada significativo. Evite complicações, certifique-se de que o vírus proxy verifique o conteúdo e os downloads e que seu firewall esteja bem configurado, deixe o policiamento dos hábitos de Internet de seus usuários para seus gerentes.
Responder3
Quanto mais você tentar bloqueá-lo, mais os usuários tentarão obter acesso a ele.
Responder4
Bem, para começar (além do que todo mundo disse sobre política e governança), você deveria bloquear o tráfego de saída em sua rede fora do necessário (e geralmente não permito que máquinas clientes façam conexões TCP/UDP diretas em qualquer lugar; não há precisa de 99% do tempo quando você tem um servidor proxy interno), especialmente UDP/TCP 53 para servidores DNS externos.
Usei filtragem de Camada 3 e OpenDNS com muito sucesso em clientes (como o seu) que não estão tratando isso como um problema de gerenciamento (o que é). No entanto, se eles quiserem me pagar para entrar e configurar isso depois de explicar isso, que assim seja.
Ainda melhor do que descartar o DNS de saída seria configurar um servidor proxy (o Squid é de código aberto/gratuito e também faz um bom trabalho de cache; dependendo do seu tamanho, o hardware antigo da estação de trabalho provavelmente é adequado).
Agora você pode descartar todas as conexões TCP/UDP diretas dos clientes para o exterior e forçar todos a usar um proxy (de forma transparente, e eles nem perceberão).