Comment bloquer certains sites Web et l'utilisation de torrent dans un petit bureau?

Ceci est un bandage pour un problème beaucoup plus important ...

Lorsque j'installe des réseaux pour de petits bureaux (50 clients ou moins), j'utilise un routeur filaire de classe affaires (entrée de gamme) tel qu'un Fortinet Fortigate 40C ou un Cisco RV042 . Vous pouvez bloquer le trafic en fonction de:

• IP - Adresses et plages
• FQDN - Noms de domaine pleinement qualifiés
• Géographie - Vous pouvez bloquer l'accès aux pays si vous le souhaitez (Fortinet)

Vous pouvez également effectuer un équilibrage de charge et vous pouvez même restreindre la bande passante afin que les employés ne puissent pas utiliser toutes vos ressources.

Les Fortinets ont également un service d'abonnement que vous pouvez utiliser pour obtenir également des mises à jour AntiVirus et un filtrage Antispam (bien que soyez prudent avec ces derniers car ils ont des faux positifs).

D'un point de vue managérial

Le blocage de choses comme Facebook, Twitter, LinkedIn et d'autres médias sociaux peut avoir ses avantages d'un point de vue informatique, mais c'est beaucoup plus un problème de gestion. S'il y a un problème avec les employés qui ne travaillent pas, ils devraient être réprimandés. Étant donné que le référencement sur Internet est en grande partie social, empêcher votre équipe de promouvoir votre site via ces canaux semble être une mauvaise idée.

Avec de nombreux routeurs, vous pouvez mettre de côté un délai où les employés peuvent faire des choses comme vérifier leur e-mail personnel et aller sur leurs réseaux sociaux. D'après mon expérience, lorsque vous bloquez ces choses sur le réseau pour essayer de récupérer le temps perdu par les employés, vous aurez toujours des employés qui envoient des SMS toute la journée et utilisent leurs téléphones portables pour les médias sociaux. Si vous abordez le problème de performance (ou ne tenez pas compte de la politique de l'entreprise) directement avec les employés, ils seront beaucoup plus compréhensifs en termes de besoins de l'entreprise. Si vous réservez un moment où ils peuvent accéder à des choses qu'ils trouvent intéressantes, ils planifieront leurs pauses à ces moments et vous pourrez voir les performances des employés et du réseau lui-même augmenter.

Ne perdez pas de temps avec des mesures techniques complexes: expliquez clairement aux employés quelle est votre politique, puis licenciez simplement la prochaine personne qui torrente un film.

La première chose que je voudrais regarder est votre pare-feu.

Pourquoi le port commun utilisé par les torrents est-il ouvert par exemple? Probablement parce que votre pare-feu a une autorisation implicite. Vous devez remplacer cela par une interdiction implicite et une liste blanche de ce que vous souhaitez que vos utilisateurs fassent.

Par exemple, vous pouvez dire que seul ce serveur proxy peut se connecter à Internet via les ports 80 et 443. Ensuite, vous devez configurer vos clients pour utiliser ce serveur proxy et définir des politiques sur ce proxy pour vos utilisateurs (bloquer tel ou tel site Web). S'ils essayaient de définir leurs paramètres de proxy sur autre chose, ils ne pourraient pas accéder à Internet. Pourquoi? Le refus implicite.

Je vous suggère d'utiliser une UTM gratuite telle que celle de SOPHOS . il s'installera à la place de votre pare-feu et aura tout en un pour un petit bureau et sera gratuit. Il vous donnera la possibilité de bloquer et de surveiller les catégories de sites Web que vous souhaitez. En outre, il peut protéger contre les téléchargements malveillants.

Je pense que vous pouvez utiliser l'une de ces solutions possibles:

1. Vous pouvez utiliser un logiciel tiers autre que Ms, comme ISA server ou kerio firewall prog, qui est une bonne option en fonction de vos besoins, vous devrez créer un ensemble de règles pour bloquer les ports, la plupart du temps, tous les programmes p2p utilisent un groupe déterminé de numéros de port.

2. Vous pouvez utiliser le service de sies comme noip.com ou similaire pour bloquer les ports et les sites ou domaines déterminés comme fb ou twtr. Pas de frais, pas besoin d'installer de programme (recherchez plus d'informations sur le web liées à ce sujet).

3. Il existe de nombreuses distributions Linux qui vous offriront une multitude d'outils pour contrôler l'accès à Internet et l'utilisation de la bande passante, comme karoshi, très faciles à installer et à déployer, comme je l'ai dit, il y a beaucoup de distributions. Les gens pensent que Linux doit être effrayant et difficile à utiliser, mais ce n'est pas le cas. des groupes de développeurs avaient pensé à changer cette façon de penser. Les serveurs Linux sont beaucoup plus sûrs et solides que les serveurs Windows. Aucun fil de virus ou écran bleu de la mort. mais si vous ne voulez pas vous occuper de progs basés sur linux, eh bien il y a encore une bonne option valable, le logiciel d'édition de serveur mac OSX. Il fonctionne parfaitement dans un macmini. toute la configuration est guidée et facile à gérer. Aucun fil de virus ou écran bleu de la mort.

Si par exemple Microsoft, cela signifie des alertes de threads de virus, des mises à jour constantes et sans fin, un écran bleu de la mort et des mises à jour antivirus pour empêcher toute attaque éventuelle.

1. Si vous utilisez un routeur sans fil ou un routeur géré, plus de 12 ports LAN pour distribuer Internet entre les installations, c'est sûr que cela vous intéressera. La plupart de ces appareils sont livrés avec des outils tels que les règles de contrôle d'accès pour l'utilisation d'Internet, comme l'interdiction de sites déterminés, comme Facebook ou tout autre site similaire à celui-ci, vous pouvez utiliser certains outils fournis par ces appareils.
   Je vous propose Tp-link, avec contrôle de bande passante, série wr741nd, très sympa et complètement peu coûteux. La plupart des routeurs n'ont qu'une fonction de base, qui est de partager une connexion Internet, mais seuls quelques-uns sont livrés avec cette fonctionnalité, le contrôle de la bande passante. pensez-y, vous devez contrôler non seulement l'utilisation, mais la bande passante. Si vous ne pouvez pas contrôler du tout ce scénario, vous aurez au moins une chance de contrôler la bande passante. Une répartition inégale de la bande passante peut engendrer tellement de problèmes que vous finirez par arrêter le serveur pour tout recommencer, car certains utilisateurs consommeront littéralement toute la bande passante, laissant le reste des utilisateurs sans connexion Internet. et une dernière chose si vous pouvez les combattre, rejoignez-les.

Vous pouvez utiliser n'importe quel pare-feu de couche application sur votre réseau pour bloquer ces sites. Un bon pare-feu open source que j'ai déjà utilisé pour gérer une très petite configuration d'ordinateurs personnels est ntangle .

Outre l'utilisation de GPO, vous pouvez utiliser des appliances d'inspection approfondie des paquets pour bloquer automatiquement ce type de trafic Internet. Il existe de nombreux produits qui peuvent le faire pour vous. Un produit qui semble être déployé assez souvent est http://www.bluecoat.com/ .

Une solution à faible coût serait d'implémenter un serveur DNS Blackhole. Autorisez uniquement les clients à utiliser le DNS interne en bloquant tous les TCP53 et UDP53 sortants (à l'exception de votre serveur DNS interne). Mettez ensuite à jour votre serveur DNS pour ne pas résoudre les domaines que vous souhaitez bloquer. Il existe de nombreux didacticiels disponibles en recherchant "blackhole dns".

Si vous n'avez pas de serveur DNS interne, OpenDNS pourrait être utilisé avec la même approche. Bloquez tout le trafic DNS sur le périmètre, sauf vers les serveurs OpenDNS.

Comme tout le monde l'a suggéré, l'inspection de la couche 7 est la solution idéale. Mon exemple d'utilisation du DNS pourrait être facilement contourné via des proxys en ligne. Cependant, certaines petites entreprises n'ont pas les moyens techniques ou monétaires d'atteindre l'inspection de couche 7, le DNS pourrait donc être une excellente alternative.