Лучшие практики для блокировки социальных сайтов

В нашей компании около 100 рабочих станций с доступом к Интернету, и повседневная ситуация становится все хуже и хуже с точки зрения использования доступа в Интернет для выполнения частных заданий и потери времени на социальных сайтах.

Я не люблю блокировать такие сайты, как Facebook, YouTube и другие подобные сайты, но мои коллеги изо дня в день не заканчивают свои задачи, и каждый раз, когда я смотрю на их мониторы, они используют Internet Explorer или Mozilla Firefox, общаются в чате. и тому подобные вещи. С другой стороны, я хотел бы заблокировать YouTube, когда у нас очень низкая скорость доступа в Интернет.

Вот мои вопросы:

• Другие компании блокируют социальные сайты?
• Нужно ли для этого выделенное устройство, такое как аппаратный брандмауэр или супер дорогой маршрутизатор? Или я могу сделать это с моим существующим маршрутизатором FreeBSD 6.1 с двумя сетевыми картами и настроенным NAT для работы в качестве маршрутизатора?

Я пытался сделать это, используя ipfw и routerfirewall, но безуспешно. Мой код выглядит так:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

Что я могу сделать, чтобы решить эту проблему?

Есть ли другие компании, блокирующие социальные сайты?

Да, но это не значит, что это хорошая идея. В книге « Предсказуемо иррациональный» есть интересное обсуждение и ссылки на несколько исследований, которые в основном предполагают, что, если вы блокируете незначительное личное использование, это может фактически снизить производительность. Если люди думают, что их рабочее место дружелюбное и домашнее, они с большей вероятностью будут работать вне дома после 40 часов.

Если один человек вызывает проблемы, может быть, лучше работать с ним, чем использовать технологическое решение, чтобы просто убить сломанные вещи. Технология не заменяет менеджера, фактически выполняющего свою работу.

Большинство фильтров легко обойти, вы действительно должны стараться избегать гонки вооружений со своими коллегами. В какой-то момент вы просто сделаете свой брандмауэр настолько враждебным, что он не сможет выполнить реальную работу, и вы все равно, вероятно, не заблокировали все возможные пути обхода брандмауэра.

Нужно ли мне выделенное устройство для этого, такое как аппаратный брандмауэр, супер дорогой маршрутизатор? Или я могу сделать это с моим существующим FreeBSD 6.1 самодельным маршрутизатором с двумя сетевыми картами и настроенным nat для работы в качестве маршрутизатора.

Вы можете установить Squid + Squidguard и форсировать весь трафик через прокси. Вы можете настроить ACL для блокировки сайтов, которые вам не нравятся.

Я предлагаю вам настроить squid в качестве прокси, без ACL, чтобы что-то блокировать, и просто смотреть логи. Заставить всех через прокси (с уведомлением). Затем настройте что-то вроде SARG для создания отчетов. Если у кого-то действительно есть проблема с хорошим отчетом, предоставьте руководителю сотрудника доказательство необходимости начать решать проблему.

Это должно решаться через вашу дисциплинарную процедуру, а не через брандмауэр. Это техническое решение для нетехнической проблемы.

Вы знаете, как RIAA и MPAA публикуют эти безумные цифры о том, сколько денег им стоит пиратство, основываясь на идиотском предположении, что каждая единица пиратского контента будет куплена, если пиратство будет невозможно?

Вы делаете то же самое, предполагая, что, если «тратить» время на социальные сети было бы невозможно, это время было бы потрачено на продуктивную работу. Но если это не клерки по вводу данных, о которых вы говорите, мы, вероятно, говорим о людях, имеющих какой-то творческий аспект или аспект знаний, которые они используют в своей работе, что означает, что их производительность - сложная вещь, которая не выглядит одинаково как у твистера виджетов на конвейере. Использование ими социальных сетей может легко стать ключевым компонентом их продуктивности, а атака на них может быть атакой, которая позволяет им зарабатывать деньги.

И это еще до того, как мы начнем испытывать моральное отношение к служащим, похожим на заключенных, в цепочку.

Просто говорю, чувак.

Мы блокируем сайты только в том случае, если просмотр влияет на производительность, и мы принимаем мнения местного руководства по этому вопросу (даже если мы подозреваем, что они преувеличивают).

Мы блокируем сайты, используя прокси-сервер; обычно SQUID, который должен нормально работать на вашем брандмауэре. Мы устанавливаем правило на брандмауэр, блокирующий исходящий порт 80 (а иногда и 443) со всех хостов, кроме серверов и прокси-сервера. Затем мы используем групповую политику для настройки прокси в пользовательских Internet Explorer.

Некоторые менеджеры спрашивают нас о статистике использования. Большинство не делает.

JR

Используйте OpenDNS . Вы должны быть в состоянии заблокировать социальные сайты, используя это. В противном случае вам следует рассмотреть возможность использования прокси-сервера с возможностями фильтрации.

Лучший способ заблокировать вещи - это заставить менеджера ходить вокруг, проводя больше времени с теми, кто ничего не делает. Если люди выполняют работу, почему вас волнует, какие сайты они посещают или сколько времени они проводят? Если они этого не сделают, запишите их и позвольте им двигаться дальше.

Формирование пакетов для потоковой передачи дросселей принесло пользу нашей сети. Никто не настолько обеспокоен сайтами социальных сетей, когда 3 человека, просматривающих видео с YouTube, не мешают загрузке MSDN.

Обязательно выясните, каковы настоящие болевые точки, прежде чем принимать решение.

Я работаю в колледже, и мы блокируем сайты, используя Websense. Хорошо (не идеально!), Но дорого. OpenDNS дешевле и тоже довольно хорош.

В конце концов, однако, я считаю, что существует очень мало технологических решений для поведенческих проблем. Если ваш бизнес не хочет, чтобы люди посещали сайты социальных сетей, он должен дать понять, что это противоречит политике использования интернета, в противном случае он станет игрой для некоторых людей. Во что бы то ни стало, используйте инструменты для обеспечения соблюдения этой политики, если это необходимо, но не просто блокируйте сайты без объяснения причин или сообщений.

Я также согласен с комментарием о том, выполняется ли работа. Если люди достигают своих целей, тогда вы можете спросить, где вред, если они позволят им немного развязаться в Интернете.

Я согласен с тем, что это политика в области управления персоналом, поэтому ИТ-специалисты могут внедрять не совсем совершенные технологии. Если есть проблема, это должно проявиться в исполнении нарушителя.

Однако, когда требуется наличие доказательств для целей дисциплинарного взыскания, журналы использования Интернета имеют жизненно важное значение для дела организации. Для этого организация должна использовать механизм регистрации / отчетности. Использование этого должно быть доведено до сведения сотрудников и политики использования должны быть четко задокументированы в руководстве для сотрудников.

Мы также выполняем мониторинг использования WebSense. Категории, строго запрещенные нашей политикой, блокируются. Другие, которые более свободно регулируются, разрешаются нажатием на кнопку, которая приравнивается к тому, что сотрудник говорит: «Я понимаю этот фильтр и действую по деловым причинам». Используемый вами инструмент будет во многом зависеть от типа вашей политики и размера вашей организации.

Я также полностью согласен с тем, что ограничение социальных сайтов становится все более и более нежелательным явлением, особенно для будущих поколений.

Мы используем комбинацию OpenDNS, но также запускаем коробку IPCop перед сетью.

Это позволяет нам ограничивать доступ к таким сайтам, как MySpace, FaceBook, YouTube и т. Д., КРОМЕ обеденного времени (12:00 - 13:00).

Это позволяет сотрудникам проверять свои myspace, facebook и т. Д. Во время обеденного перерыва, но сохраняет их «сосредоточенными» на времени компании.

Периодически мы просматриваем файлы журнала IPCop и определяем, нужно ли блокировать больше сайтов.

Если вы внедрите решение IPCop, вы быстро обнаружите, что примерно через неделю все лодыри «волшебным образом» прекращаются. Вы также обнаружите, что вам нужно всего лишь заблокировать несколько сайтов, чтобы повысить производительность труда сотрудников.

Удачи

PS. Еще одним замечательным продуктом, который мы использовали в прошлом, является SecuredIM ( http://www.securedim.com ), который позволяет вам контролировать чат между компаниями, а также делать периодические снимки экрана рабочего стола пользователя, если хотите. (т.е. делайте снимок рабочего стола Джо каждые 10 минут)

Большинство людей ошибочно полагают, что цель веб-фильтрации - целенаправленная, а не «просто» в отношении производительности, хотя я видел множество примеров из реальной жизни, где производительность повышается, когда производительность значительно возрастает, когда применяются мягкие средства управления. Я работаю на SmoothWall, поставщика веб-фильтрации - поэтому, хотя у меня может быть некоторая предвзятость, я также обладаю большим опытом!

Websense даже рекламирует «скажи да» в эти дни - и мы (SmoothWall) согласны. Вы должны быть снисходительными. Использование софт-блока (просто напоминание, что это «не политика» или временные полосы - это два способа ослабления ситуации).

В любом случае ... как я говорил ... не только производительность - я видел проблемы с персоналом, возникающие из-за неправильного использования социальных сетей, из-за неправильного использования сайтов для взрослых и отсутствия доказательств, когда это происходит.

Наконец ... Стоит отметить, что не все ведут себя так, как мы ожидаем - не у всех есть «системный / техничный настрой» и они будут работать усерднее, потому что вы дадите им фейсбук… многие пройдут милю, учитывая дюйм человеческой натуры. боюсь.

Не.

Краткий ответ: Да, есть компании, которые блокируют доступ в Интернет (социальные или другие сайты).

Длинный ответ:
С точки зрения работодателя: время, потраченное на работу, а не на работу, потеряно.
С точки зрения сотрудника: моя работа выполнена, пока я жду, пока я еще не уйду (на этот сайт) - Зависит от того, какую работу вы выполняете, может быть разрыв между тем, когда ваша работа сделана, и тем, когда Вы получаете больше работы.

Я - один из сотрудников, у которого был подорван мой веб-доступ, когда наша компания решила попробовать WebSense. И несколько вещей, которые я изучаю, будучи заблокированным вебсенсом:

• Я узнал много нового об открытом прокси, туннелировании и информации об обходе веб-блоков в целом.
• Большое количество волнений среди персонала с заблокированной веб-доступ - не влияет на руководителей, потому что их доступ не ограничен

Ограничение доступа людей к социальным веб-сайтам должно быть частью деловой практики компании и частью трудовой этики компании, поэтому не должно быть практически никакой необходимости в таком правоприменении посредством использования технологии (ссылка: комментарий Дэвида Пашли выше).

Взыскание на личном уровне будет выгодно как компании, так и сотруднику в долгосрочной перспективе. Сотрудник будет более ответственным за свою работу и доступ к социальным сайтам, а компания получит выгоду от более ответственного сотрудника. Стоимость

персонального мониторинга
: практически $ 0. Менеджер / руководитель группы, чтобы тратить больше времени на управление и мониторинг своей команды.
Преимущество: сотрудники имеют меньше времени для посещения социальных сайтов (для выполнения большей работы), что может улучшить их чувство ответственности в долгосрочной перспективе.


Стоимость программного обеспечения для веб-блокировки : зависит от программного обеспечения, может быть бесплатным, может составлять $$$$. Кроме того, время потратило на тонкую настройку программного обеспечения.
Преимущество: сэкономьте время компании от доступа сотрудников к социальным сайтам, сохраните пропускную способность компании в целом.

Лучшим инструментом для этого является Политика использования Интернета с открытой статистикой (но руководство будет возражать против этого, поскольку, как вы знаете, они тоже люди).

1. Заблокируйте все внешние соединения от пользователя LAN, без исключений для портов!
2. Возьмите, например, прокси-сервер - Squid и добавьте фильтр, например Squidguard.
3. Теперь есть два способа: настроить пользователя на использование прокси (занимает некоторое время) или включить прозрачный прокси (могут быть проблемы с SSL-соединениями, но быстрее).
4. Ищите пользователя, который счастлив, и удалите TOR ( http://tor.kamagurka.org/index.html.en ) со своего ПК, удалите usb, дискету, компакт-диск и т. Д., Чтобы он не мог использовать переносную версию (или лучше - уволить его с большой рекламой в компании)

Я услышал предложение от Джейсона Калаканиса в эпизоде «Эта неделя является стартапом», чтобы отправить электронное письмо сотрудникам, чтобы они могли знать, сколько времени они тратят.

Большинство пользователей, вероятно, не знают, сколько времени они проводят на некоторых из этих сайтов. С помощью этого метода сотрудники могут самостоятельно контролировать ситуацию, а также знать, что если она выйдет из-под контроля, то, скорее всего, тоже об этом узнает.

Спонсором шоу, у которого был продукт, способный сделать это, был WebSpy .

Если ваши сотрудники предпочитают тратить время, а не выполнять свою работу, почему бы не использовать один из тысяч способов, которыми они могут тратить время?

Возможно, проблема в рабочей среде, созданной людьми, которые думают, что могут относиться к своим сотрудникам таким образом.

Вы пытаетесь заблокировать это задом наперед.

Вам не нужно заботиться о том, чтобы TCP / IP шел на хост, как он есть. Вы должны заблокировать входящий трафик, то есть:

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

ИЛИ просто заблокируйте веб-трафик:

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

Тем не менее, это не будет блокировать все, потому что адрес www.youtube.comпреобразуется в первый IP-адрес, найденный вами DNS, и блокировка блокируется балансировкой нагрузки. Вы можете заблокировать всю сеть, если хотите разозлиться.

Если вы используете OpenDNS, вы всегда можете легко заблокировать домен / контент таким образом

Это зависит от того, в какой компании вы работаете, в моем случае я работаю в сфере образования, и здесь мы используем SmartFilter (чертовски дорого). но я хочу сказать, что в зависимости от области работы вы можете заблокировать все социальные сайты, используя OpenDNS (я использовал до того, как мы привезли SmartFilter).

Я бы просто использовал DNS-сервер для блокировки доменов, но затем не забудьте настроить брандмауэр, чтобы пользователи не могли использовать DNS-сервер за пределами компании (например, opendns).

Вы уверены, что блокировка сайтов социальных сетей решает проблему?

Проблема, которую вы заявляете, состоит в том, что ситуация становится все хуже и хуже ...

Вы имеете в виду, что ваши сотрудники используют слишком большую пропускную способность на этих сайтах социальных сетей? Или вы имеете в виду, что ваши сотрудники проводят слишком много рабочего времени на определенных веб-сайтах?

Если это первое, то было бы лучше получить номера трафика. Я бы за идею публичных номеров трафика, но, независимо от того, являются ли они общедоступными, тогда, если проблема заключается в слишком большом сетевом трафике, сбор цифр позволит вам принимать разумные решения.

Если у вас слишком много трафика, я собираю номер на неделю или две, а затем объявляю, что сайт zzz.com, aaa.com и т. Д. Будет заблокирован на определенную дату.

Если, с другой стороны, проблема заключается в том, что сотрудники тратят слишком много своего рабочего времени, проблема не является технической проблемой и, вероятно, должна решаться другими способами.

Если вы все еще хотите заняться этим технически, тогда, если вы соберете номера трафика, вы можете заблокировать 10 лучших сайтов, которые не считаются важными для вашего бизнеса, и посмотреть, улучшится ли ситуация.

Лично я нанимаю только антиобщественных людей.

Отличная дискуссия. Я бы проверил это. Это отличный документ, который можно передать ИТ-специалистам: блокировать или нет. Это вопрос?