Blokada interneta v podjetju

IbizaDriver

Guru
Osebje foruma
21. jul 2007
10.195
3.822
113
Iščem način kako omejiti uporabo interneta v podjetju. Gre za nekih 30 računalnikov, dva serverja (2003 in 2008), domeno in active directorijem. Dostop do neta je preko optike, nameščen pa je tudi cisco hardverski firewall.

Zankrat imam v mislih dve opciji:

1.dodatni strežnik in na njem nameščem Microsoft Forefront TMG server. To naj bi delalo ok, a je drago in zapleteno

2. dodatni strežnik in na njem Panda Gatekeeper. To je ceneje in naj bi bilo user friendly. Pozna kdo?

3. isto kot dva, s tem da zadeva teče v oblaku. Tole mi ni čisto jasno in se moram še pozanimati.

Ima še kdo kakšno idejo? Zahteve so da se da nastaviti več skupin, da ima ena recimo dostop samo do maila, druga do vsega neta razen parih strani (facebook, youtube, avto.net itd...), treja pa ima dostop do vsega, še vedno pa je blokiran recimo torrent.
 

philips

Guru
Osebje foruma
Administrator
17. avg 2007
9.848
681
113
Če že imate ciscotov firewall, zakaj ne konfigurirajte kar tega?
 

Gatto

Guru
19. jul 2007
18.747
896
113
tu in tam
Lulek, čestitam..zgleda, da si ti eden izmed ali"lastnikov"
rolleyes-1.gif
podjetja , ali pa zelo vesten admin hlapec, ki vestno izpolnjuje ukaze slepih nadrejenih--po moje bo to to.. ti kar.

pri nas je pa tako- imate neomejen dostop do neta, surfajte , prinesite infote, ne šparajte informacij ..več veš , bolje zate
 

tony

Guru
23. jul 2007
9.663
1.482
113
Rabiš firewall, ki zna omejevati različne "protokole" oz. servise in zna delati content filtering...
smile-1.gif


Kateri Ciscov firewall imaš, Aso ali Pixa? Res ne bi Asa tega znala?
confused-1.gif


S TMGjem imam izjemno slabe izkušnje...
tongue-1.gif
 

asko

Fizikalc
22. jul 2007
2.565
3
38
Edino pravilno. Pri nas imamo blokiran samo družbena omrežja, ostalo pa naj surfajo in iščejo informacije. Važni so rezultati !
 

joejoe

Pripravnik
30. dec 2007
812
1
16
Sociološko vprašanje rešuješ s tehnologijo... Fail zagotovljen 110% !!!

Kako boš pa omejil, da nekdo surfa prek svojega GSM telefona? Pa še 1500 drugačnih primerov ti lahko naštejem.

Če bodo (boste?) šefi vedli, kaj hočete in v kakem času se da to naredit, potem ne rabite povsem nobene prepovedi. Rezultati govorijo sami zase. Ampak to je težko, anede, potem mora šef vedet, kaj hoče od ljudi.

Dejte še okna prelepit s papirjem, da ne bo mogel nihče ven gledat
frown-1.gif
 

philips

Guru
Osebje foruma
Administrator
17. avg 2007
9.848
681
113
Glede na to da je to računalniški podforum, bi prosil brez offtopica glede tega ali je to efektivno ali kako drugače sociološko sporno.
 

joejoe

Pripravnik
30. dec 2007
812
1
16
Citat:
Glede na to da je to računalniški podforum

Če ne bi tega prebral med ogledom filma The Social Network, bi bilo smešno... tko je pa zgolj žalostno.

Ampak enjoy.

Tip ima dva strežnika in cisco firewall, nima nobenga admina, ki bi ga lahko vprašal, kako se to naredi tako, kot se šika, ampak sprašuje to na povsem laičnem forumu... ja, gotov bo dobil super odgovor
wink-1.gif


EDIT: ampak ja, da se. Če potrebuješ to za zaščito strežnikov, se da naredit s filtri čisto brez težav. Content filtering je pa zabava svoje vrste. Poleg tega svetujem ogled tem s to tematiko na spletni strani Pooblaščenca za varstvo osebnih podatkov, da se ne boste zapletli v kaj takega, kar bi vas drago stalo.
 
Nazadnje urejeno:

IbizaDriver

Guru
Osebje foruma
21. jul 2007
10.195
3.822
113
Glede same filozofije omejitve dostopa bi se morda celo strinjal z zgoraj napisanim, a itak nisem jaz tisti ki se bo o tem odločil niti nisem pobudnik tega.

Po drugi strani pa po svoje tudi razumem lastnike. Določene strani pač odžirajočas in določeni to razumejo, določenio pa ne. Pa kakor vem pri nas niti ni problem samo "visenje" na netu, pač pa to da imajo določeni vedno nekaj za povedat o tem , kako " v sosednji sobi stalno visijo na netu". Potem te debate pač ne bo in razni izgovori bodo odpadli. Kar se tiče nekaterih izjav zgoraj o tem da"iščejo" določene itd....: ne vidi kako lahko karkoli k delu, splošni razgledanosti ali izobrazbi prispevajo strani, kot so facebook, youtube, avto.net in podobne? Sploh facebook je, odkar je na voljo chat in razne igre, postal zelo "time consuming" stran (kar iz lastnih izkušenj vem tudi sam). Jaz osebno sicer nisem pristaš "fizičnega" omejevanja strani in če bi bila fimra moja, bi zadevo uredil drugače, z par pogovori in potem, če ne bi pomagalo, z brco v rit.

Ok, pa nazaj na stroko, saj je bilo tudi moje vprašanje postavljeno čisto tehnično. Cisco je tip ASA, do njega pa nimam neposrednega dostopa, saj je del in frastrukture. Vem edini da zadeva nima nekega pametnega intefacea, dvomim pa tudi da se zna povezati z AD-jem. Zadeva mora biti namreč nastavljena drugače glede na skupino uporabnika, o teh pa cisco ne ve nič. Verjetno bi lahko blokiral ip-je, ki pa so tudi dinamični in jih dodeljuje dhcp na strežniku. O uporabnikih pa tale cisco (kakor vem) ne ve nič.
 

IbizaDriver

Guru
Osebje foruma
21. jul 2007
10.195
3.822
113
Citat:
Uporabnik joejoe pravi:
Citat:
Glede na to da je to računalniški podforum

Če ne bi tega prebral med ogledom filma The Social Network, bi bilo smešno... tko je pa zgolj žalostno.

Ampak enjoy.

Tip ima dva strežnika in cisco firewall, nima nobenga admina, ki bi ga lahko vprašal, kako se to naredi tako, kot se šika, ampak sprašuje to na povsem laičnem forumu... ja, gotov bo dobil super odgovor
wink-1.gif


EDIT: ampak ja, da se. Če potrebuješ to za zaščito strežnikov, se da naredit s filtri čisto brez težav. Content filtering je pa zabava svoje vrste. Poleg tega svetujem ogled tem s to tematiko na spletni strani Pooblaščenca za varstvo osebnih podatkov, da se ne boste zapletli v kaj takega, kar bi vas drago stalo.

Admin je (sicer zunanji, a na voljo) in je ponudil opcijo ena. Mene pa zanimajo še alternative.

Glede IP sem se tudi pozanimal par let nazaj, ko je bila ta tema že aktualna (in potem ni bilo nič) in ni sporno. Nikjer se namreč ne bo zbiralo ali gledalo kaj je kdo obiskoval, in gledal, pač pa bodo določene strani preprosto blokirane.
 

Saeed

Pripravnik
19. nov 2008
366
3
18
Pri nas se je to uredilo z blokado določenih strani na vsakem računalniku posebej (facebook, twitter, youtube ...)
Razlog je bil v tem, da tudi pogovori niso zalegli ...
 

colos

Pripravnik
12. jan 2008
494
6
18
da se nastavt tudi na proxyju - npr. squid + dansguardian. To ima smisel ko zapiraš strani s katerih preverjeno prihajajo virusi in ostala malware navlaka.
 

Roberto

Majstr
19. jul 2007
12.057
154
63
Doma
Pande ne poznam, niti je ne smatram kot resen produkt.
Ampak TMG ni tako drag v standard ediciji. Za blokiratbaplikacije je krasen (ne glede na kateri port jo pametnjakoviči obesijo). Še bolje pa je, da skonfiguriraš PROXY, mimo katerega se ne da in na njem blokiraš neželjene stvari...
 

R0KY

Guru
30. apr 2010
3.830
715
113
zakva bi metu dnar v vec al manj stupid msjev firewall/proxy ce lahko velik bol elegantno in predvsem neprimerno ceneje prides skos z open source resitvami. recimo endian podpira ad autentikacijo in group based rule na proxyu, kar je tocno to kar rabs, poleg pa ponuja se veliko vec...
 

Roberto

Majstr
19. jul 2007
12.057
154
63
Doma
Ma hebeš rule, ki so neuporabne. Resno. Rabiš zadevo, ki zna delati na Layer 7, torej filtrira aplikacijo, ne glede na katerem portu laufa. Open source zastonj rešitve znajo načeloma samo porte filtrirati.
Moje mnenje je, da rabi en spodoben PROXY z vklopljenimi web filtri, ki se dnevno posodabljajo.
Torej rečem:
-blokiraj FB in zadeva blokira dostop do vseh FB strani in podstrani, najkasneje v 24 urah tudi če se preseli na nov IP/URL/PORT.
-blokiraj MSN messenger in zadeva blokira MSN messenger ne glede na to kako si aplikacijo preimenooval, jo prestavil na drug port, SOCKS PROXY...
Brez adminove dodatne iteracije posodabljanja rul...

Take stvari ponavadi niso zastonj...
Poceni (dokaj) je svojčasi to imel GFI, Globalpatrol...