Práticas recomendadas para bloquear sites sociais

Em nossa empresa, temos cerca de 100 estações de trabalho com acesso à Internet, e a situação do dia-a-dia está ficando cada vez pior da perspectiva de usar o acesso à Internet com a finalidade de realizar trabalhos particulares e perder tempo em sites sociais.

De coração aberto como eu sou, não gosto de bloquear sites como o Facebook, YouTube e outros sites semelhantes, mas dia após dia meus colegas não terminam suas tarefas e sempre que olho para os monitores, eles estão executando o Internet Explorer ou o Mozilla Firefox, e coisas assim. Por outro lado, gostaria de bloquear o YouTube quando tivermos uma velocidade de acesso à Internet muito baixa.

Aqui estão as minhas perguntas:

• Outras empresas bloqueiam sites sociais?
• Preciso de um dispositivo dedicado para isso, como um firewall de hardware ou um roteador super caro? Ou posso fazer isso com meu roteador auto-fabricado do FreeBSD 6.1 existente com duas placas de LAN e NAT configurado para agir como um roteador?

Eu estava tentando fazer isso usando ipfw e routerfirewall, mas sem sucesso. Meu código se parece com:

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

O que posso fazer para corrigir esse problema?

Outras empresas estão bloqueando sites sociais?

Sim, mas isso não significa que é uma boa ideia. O livro Predictably Irrational tem uma discussão interessante e links para vários estudos que sugerem basicamente que, se você bloquear um uso pessoal menor, ele pode realmente custar sua produtividade. Se as pessoas pensam que seu local de trabalho é amigável e doméstico, é mais provável que trabalhem em casa além das 40 horas.

Se um indivíduo está causando problemas, pode ser melhor trabalhar com ele, em seguida, usar uma solução de tecnologia para simplesmente matar coisas importantes. A tecnologia não é um substituto para um gerente realmente fazendo seu trabalho.

A maioria dos filtros é facilmente ignorada; você realmente deve tentar evitar uma corrida armamentista com seus colegas de trabalho. Em algum momento, você tornará seu firewall tão hostil que não será capaz de realizar o trabalho real e provavelmente ainda não terá bloqueado todas as formas possíveis de contornar o firewall.

Preciso de um dispositivo dedicado para isso, como firewall de hardware, roteador super caro ou posso fazer isso com meu roteador já existente do FreeBSD 6.1, com duas placas de rede e configurado nat para agir como roteador.

Você pode instalar o Squid + Squidguard e forçar todo o tráfego através do proxy. Você pode configurar ACLs para bloquear sites de que não gosta.

Eu sugiro que você configure o squid como um proxy, sem ACLs para bloquear nada, e apenas observe os logs. Forçar todos através do proxy (com aviso prévio). Em seguida, configure algo como SARG para criar relatórios. Se alguém realmente está tendo um problema, um bom relatório fornece ao supervisor do funcionário a evidência da necessidade de começar a resolver o problema.

Isso deve ser tratado através do seu procedimento disciplinar, não do seu firewall. É uma solução técnica para um problema não técnico.

Você sabe como a RIAA e a MPAA publicam esses números insanos sobre quanto dinheiro a pirataria lhes custa, com base no pressuposto idiota de que cada unidade de conteúdo pirata seria comprada se a pirataria fosse impossível?

Você está fazendo o mesmo assumindo que, se 'perder' tempo nas mídias sociais fosse impossível, esse tempo seria gasto realizando um trabalho produtivo. Mas, a menos que você esteja falando sobre funcionários de entrada de dados, provavelmente estamos falando de pessoas com algum tipo de aspecto criativo / trabalhador do conhecimento em seu trabalho, o que significa que sua produtividade é uma coisa complexa que não parece a mesma como o de um twister de widget em uma linha de montagem. O uso de mídias sociais pode ser facilmente um componente essencial de sua produtividade, e atacá-lo pode estar atacando o que lhes permite ganhar dinheiro.

E isso é antes mesmo de entrarmos no impacto moral de tratar os funcionários como prisioneiros em uma gangue da cadeia.

Apenas dizendo, cara.

Bloqueamos sites apenas se a navegação estiver interferindo na produtividade e aceitamos os pontos de vista do gerenciamento local sobre o problema (mesmo quando suspeitamos que eles estejam exagerando).

Bloqueamos sites usando um servidor proxy; geralmente SQUID, que deve funcionar bem no seu firewall. Colocamos uma regra no firewall que bloqueia a porta de saída 80 (e às vezes 443) de todos os hosts, exceto dos servidores e do servidor proxy. Em seguida, usamos uma política de grupo para configurar o proxy no Internet Explorer dos usuários.

Alguns gerentes nos solicitam estatísticas de uso. A maioria não.

JR

Use o OpenDNS . Você deve conseguir bloquear sites sociais usando isso. Caso contrário, você deve considerar o uso de um servidor proxy com recursos de filtragem.

A melhor maneira de bloquear as coisas é fazer com que o gerente ande por aí, gastando mais tempo perto daqueles que não fazem as coisas. Se as pessoas concluem o trabalho, por que você se importa com quais sites eles visitam ou com quanto tempo gastam? Caso contrário, escreva-os e deixe-os seguir em frente.

A modelagem de pacotes para acelerar o streaming fez muito bem à nossa rede. Ninguém está tão preocupado com os sites de redes sociais agora que três pessoas que gravam vídeos no YouTube não interferem nos downloads do MSDN.

Certifique-se de descobrir quais são os verdadeiros pontos negativos antes de decidir sobre uma solução.

Eu trabalho em uma faculdade e bloqueamos sites usando o Websense. Bom (não perfeito!), Mas caro. O OpenDNS é mais barato e também muito bom.

No final do dia, porém, minha opinião é que existem muito poucas soluções tecnológicas para problemas comportamentais. Se sua empresa não deseja que as pessoas visitem sites de redes sociais, é necessário deixar claro que isso é contra a política de uso da Internet, caso contrário, torna-se um jogo para algumas pessoas. De qualquer maneira, use ferramentas para ajudar a impor essa política, se necessário, mas não bloqueie apenas sites sem explicação ou comunicação.

Também concordo com o comentário sobre se o trabalho está sendo feito ou não. Se as pessoas estão alcançando seus objetivos, você pode perguntar onde está o mal em deixá-las soltas na Internet também.

Concordo que é uma política de RH / gerenciamento, a TI pode implementar apenas uma tecnologia menos do que perfeita. Se houver um problema, isso deve ser evidente no desempenho do ofensor.

No entanto, quando é necessário ter provas para fins de ação disciplinar, os logs de uso da Internet são vitais para o caso da organização. Para isso, a organização deve empregar um mecanismo de registro / relatório. O uso disso deve ser comunicado aos funcionários e as políticas de uso devem ser claramente documentadas no manual do funcionário.

Também realizamos o monitoramento de uso do WebSense. As categorias estritamente proibidas por nossa política são bloqueadas diretamente. Outros que são regulados de maneira mais vaga são permitidos clicando no botão que corresponde ao funcionário dizendo "Entendo esse filtro e estou prosseguindo por motivos comerciais". A ferramenta usada dependerá muito do tipo de política que você possui e do tamanho da sua organização.

Também concordo totalmente que restringir sites sociais está se tornando cada vez mais indesejável, especialmente para as próximas gerações.

Usamos uma combinação de OpenDNS, mas também executamos uma caixa IPCop na frente da rede.

Isso nos permite restringir sites como MySpace, FaceBook, YouTube, etc., EXCETO para a hora do almoço (12:00 - 13:00).

Isso permite que os funcionários verifiquem seu myspace, facebook etc. durante a hora do almoço, mas os mantém "focados" no horário da empresa.

Periodicamente, examinamos os arquivos de log do IPCop e determinamos se mais sites precisam ser bloqueados.

Se você implementar uma solução IPCop, descobrirá rapidamente que, após cerca de uma semana, todas as brincadeiras "magicamente" são interrompidas. Você também descobrirá que só precisa bloquear um punhado de sites para aumentar bastante a produtividade dos funcionários.

Boa sorte

PS - Outro ótimo produto que usamos no passado é o SecuredIM ( http://www.securedim.com ), que permite monitorar o bate-papo entre empresas e também capturar capturas de tela periódicas da área de trabalho de um usuário, se desejar. (ou seja, tire um instantâneo da área de trabalho de Joe a cada 10 minutos)

A maioria das pessoas assume erroneamente que o objetivo da filtragem da Web é único - não se trata apenas de produtividade - embora eu tenha visto vários exemplos do mundo real onde a produtividade aumenta, onde a produção aumenta enormemente quando controles suaves são aplicados. Eu trabalho na SmoothWall, um fornecedor de filtros da web - portanto, embora eu possa ter um certo viés, também sou bem experiente!

Atualmente, o Websense está anunciando "diga sim" - e nós (SmoothWall) concordamos. Você precisa ser indulgente. Usando soft-block (apenas um lembrete, isso é "não política" ou faixas de tempo são duas maneiras de diminuir as coisas.

De qualquer forma ... como eu estava dizendo ... não apenas produtividade - eu vi problemas de RH decorrentes do uso indevido de redes sociais, do uso indevido de sites adultos e da falta de evidência quando eles acontecem.

Finalmente ... vale a pena ressaltar que nem todos se comportam como esperamos que eles - nem todo mundo tem uma "mentalidade de administrador de sistemas / técnico" e trabalhará mais duro porque você lhes fornece o facerbook. receoso.

Não.

Resposta curta: Sim, existem empresas por aí bloqueando o acesso à web (sites sociais ou outros)

Resposta longa:
Do ponto de vista do empregador: O tempo usado no trabalho, sem fazer nenhum trabalho, é desperdiçado.
Do ponto de vista dos funcionários: Meu trabalho está concluído, enquanto aguardo mais, eu irei (para esse site) - Depende do tipo de trabalho que você faz, pode haver uma lacuna de quando seu trabalho é feito para quando você recebe mais trabalho para fazer.

Sou um dos funcionários que reduziu meu acesso à Web quando nossa empresa decidiu testar o WebSense. E as poucas coisas que aprendi ao ser bloqueado pelo websense:

• Aprendo muito sobre proxy aberto, encapsulamento e informações sobre como contornar bloqueios da Web em geral
• Grande quantidade de inquietação entre a equipe com o acesso à Web bloqueado - Não afeta os superiores porque seu acesso não é restrito

Restringir as pessoas de acessar sites sociais deve fazer parte da prática de negócios da empresa e da ética de trabalho da empresa; deve haver pouca ou nenhuma necessidade dessa fiscalização através do uso da tecnologia (Referência: comentário de David Pashley acima).

A aplicação em nível pessoal será benéfica para a empresa e o funcionário a longo prazo. O membro da equipe será mais responsável por seu trabalho e acesso a sites sociais, e a empresa será beneficiada por um membro da equipe mais responsável. Custo de

monitoramento pessoal
: praticamente US $ 0. Gerente / líder da equipe para gastar mais tempo para gerenciar e monitorar sua equipe.
Benefício: os funcionários têm menos tempo para visitar sites sociais (para fazer mais trabalho), "podem" melhorar seu senso de responsabilidade a longo prazo.


Custo do software de bloqueio da Web : Depende do software, pode ser gratuito, pode ser $$$$. Além disso, tempo gasto no ajuste fino do software.
Benefício: economize o tempo da empresa com a equipe que acessa sites sociais, economize a largura de banda da empresa em geral.

A melhor ferramenta para isso é a Política de Uso da Internet com estatísticas abertas (mas o gerenciamento se opõe a isso, como você sabe - elas também são pessoas).

1. Bloqueie todas as conexões externas do usuário lan, sem exceções de porta!
2. Obtenha um servidor proxy, por exemplo - Squid e adicione filtro como Squidguard
3. Agora, existem duas maneiras: configurar o usuário para usar o proxy (leva algum tempo) ou ativar o proxy transparente (pode haver problemas com as conexões SSL, mas mais rápido).
4. Procure o usuário que está satisfeito e desinstale o TOR ( http://tor.kamagurka.org/index.html.en ) do PC, remova usb, disquete, cdrom, etc., para que ele não possa usar a versão portátil (ou melhor - demiti-lo com muita publicidade na empresa)

Ouvi uma sugestão de Jason Calacanis em um episódio de "This Week is Startups" para enviar um email aos funcionários para que eles soubessem quanto tempo estão perdendo.

A maioria dos usuários provavelmente não sabe quanto tempo está gastando em alguns desses sites. Com esse método, os funcionários podem se autopolicitar e também sabem que, se ficar fora de controle, a gerência provavelmente também saberia.

O patrocinador do programa que tinha o produto que poderia fazer isso foi o WebSpy .

Se seus funcionários estão optando por perder tempo em vez de fazer seu trabalho, por que remover uma das milhares de maneiras pelas quais eles podem perder tempo é importante?

Talvez o problema seja um ambiente de trabalho criado por pessoas que pensam que podem tratar seus funcionários dessa maneira.

Você está tentando bloqueá-lo para trás.

Você não deve se importar com o TCP / IP indo para o host, como você o possui. Você deve bloquear o tráfego recebido, ou seja:

ipfw add 25 deny tcp from www.youtube.com to 192.168.1.0/24

OU apenas bloqueie o tráfego da web:

ipfw add 25 deny tcp from www.youtube.com 80 to 192.168.1.0/24

No entanto, isso não bloqueia tudo porque o endereço www.youtube.comé convertido no primeiro endereço IP encontrado pelo DNS e o bloqueio é interrompido pelo balanceamento de carga. Você pode bloquear toda a rede se quiser ficar desagradável.

Se você estiver usando o OpenDNS, sempre poderá bloquear facilmente por domínio / conteúdo dessa maneira

Depende do tipo de empresa em que você trabalha, no meu caso eu trabalho na área de Educação e aqui estamos usando o SmartFilter (caro demais). mas o que quero dizer é que, dependendo da área de trabalho, você pode bloquear todos os sites sociais usando o OpenDNS (usei antes de trazer o SmartFilter).

Eu usaria apenas um servidor DNS para bloquear domínios, mas não se esqueça de definir seu firewall para que os usuários não possam usar um servidor DNS fora da empresa (como opendns)

Tem certeza de que o bloqueio de sites de redes sociais resolve o problema?

O problema que você afirma é que a situação está ficando cada vez pior ...

Você quer dizer que seus funcionários estão usando muita largura de banda nesses sites de redes sociais? Ou você quer dizer que seus funcionários estão gastando muito do seu tempo de trabalho em determinados sites?

Se for o primeiro, seria melhor obter números de tráfego. Eu gostaria da ideia de números de tráfego público, mas, independentemente de eles serem públicos ou não, se o problema for muito tráfego de rede, coletar os números permitiria tomar decisões inteligentes.

Se você tiver muito tráfego, eu coletaria o número por uma semana ou duas e depois anunciaria que o site zzz.com, aaa.com etc. será bloqueado a partir de uma data específica.

Se, por outro lado, o problema é que os funcionários estão gastando muito do seu tempo de trabalho, o problema não é um problema técnico e provavelmente deve ser tratado de outras maneiras.

Se você ainda deseja lidar com isso tecnicamente, se coletar os números de tráfego, poderá bloquear os 10 principais sites que não são considerados importantes para o seu negócio e verificar se as coisas melhoram.

Pessoalmente, eu apenas contrato pessoas anti-sociais.

Ótima discussão. Eu verificaria isso. É um ótimo white paper para transmitir à TI: bloquear ou não. Essa é a pergunta?