¿Cómo bloquear algunos sitios web y el uso de torrent en una oficina pequeña?

Este es un vendaje para un problema mucho más grande ...

Cuando configuro redes para oficinas pequeñas (50 clientes o menos) usaré un enrutador cableado de clase de negocios (nivel de entrada) como Fortinet Fortigate 40C o Cisco RV042 . Puede bloquear el tráfico en función de:

• IP - Direcciones y rangos
• FQDN - Nombres de dominio completos
• Geografía: puede bloquear el acceso a los países si lo desea (Fortinet)

También puede hacer balanceo de carga e incluso restringir el ancho de banda para que los empleados no puedan usar todos sus recursos.

También los Fortinets tienen un servicio de suscripción que puede usar para obtener actualizaciones de AntiVirus y también filtrado Antispam (aunque tenga cuidado con estos ya que tienen falsos positivos).

Desde un punto de vista gerencial

Bloquear cosas como Facebook, Twitter, LinkedIn y otras redes sociales puede tener sus beneficios desde el punto de vista de TI, pero es mucho más un problema de gestión. Si hay un problema con los empleados que no trabajan, deberían ser reprendidos. Ya que el SEO en Internet es en gran medida social, evitar que su equipo promocione su sitio a través de estos canales parece una mala idea.

Con muchos de los enrutadores, puede reservar un período de tiempo en el que los empleados pueden hacer cosas como revisar su correo electrónico personal y acceder a sus redes sociales. En mi experiencia, cuando bloquea estas cosas en la red para intentar recuperar el tiempo perdido de los empleados, todavía tendrá empleados que enviarán mensajes de texto todo el día y usarán sus teléfonos celulares para las redes sociales. Si aborda el problema de rendimiento (o ignora la política corporativa) directamente con los empleados, serán mucho más comprensivos en cuanto a las necesidades de la empresa. Si se reserva un momento en el que puedan acceder a las cosas que les parezcan interesantes, programarán sus descansos en esos momentos y podrá ver un aumento en el rendimiento tanto de los empleados como de la propia red.

No pierda tiempo con medidas técnicas complejas: deje en claro a los empleados cuál es su política, luego simplemente despida a la siguiente persona que proyecta una película.

Lo primero que echaría un vistazo es tu firewall.

¿Por qué se abre el puerto común utilizado por los torrents, por ejemplo? Probablemente porque su firewall tiene un permiso implícito. Debe cambiar esto a una lista implícita de denegación y blanca lo que le gustaría que hicieran sus usuarios.

Por ejemplo, podría decir que solo este servidor proxy puede conectarse a Internet a través de los puertos 80 y 443. Luego, debe configurar a sus clientes para que usen ese servidor proxy y establecer políticas sobre ese proxy para sus usuarios (bloqueando esto o aquello sitio web). Si intentaran establecer la configuración de sus proxies en otra cosa, no podrían acceder a Internet. ¿Por qué? La negación implícita.

Le sugiero que utilice un UTM gratuito como el de SOPHOS . se ubicará en el lugar de su firewall y tiene todas las funciones para una pequeña oficina y es gratis. Le dará la posibilidad de bloquear y monitorear las categorías de sitios web que desee. Además, puede proteger contra descargas maliciosas.

Creo que puedes hacer uso de una de estas posibles soluciones:

1. Puede usar un software de terceros que no sea Ms, como ISA Server o kerio firewall prog, que es una buena opción. Dependiendo de sus necesidades, tendrá que crear un conjunto de reglas para bloquear puertos, en su mayoría todos p2p. Los programas utilizan un grupo determinado de números de puerto.

2. Puede usar el servicio de sies como noip.com o similar para bloquear puertos y determinados sitios o dominios como fb o twtr. Sin costo, no es necesario instalar ningún programa (busque más información en la web relacionada con este tema).

3. Hay muchas distribuciones de Linux que te ofrecerán una gran variedad de herramientas para controlar el acceso a Internet y el uso del ancho de banda, como Karoshi, muy fácil de instalar y desplegar, como dije, hay muchas distribuciones. La gente piensa que Linux debe ser aterrador y difícil de usar, pero no lo es. Grupos de desarrolladores habían pensado en cambiar esta forma de pensar. Los servidores Linux son mucho más seguros y sólidos que los servidores basados en Windows. No hay hilos de virus o pantallas azules de la muerte. Pero si no quiere lidiar con los programas basados en Linux, bueno, todavía hay una buena opción válida, el software Mac OSX Server Edition. Se ejecuta perfectamente en un macmini. Toda la configuración es guiada y fácil de gestionar. No hay hilos de virus o pantalla azul de la muerte.

Si dice Microsoft, eso significa alertas de virus, actualizaciones constantes e interminables, pantalla azul de la muerte y actualizaciones de antivirus para evitar posibles ataques.

1. Si usa un enrutador inalámbrico o un enrutador administrado, más de 12 puertos LAN para distribuir Internet entre las instalaciones, seguramente estará interesado en esto. La mayoría de estos dispositivos viene con algunas herramientas, como las reglas de control de acceso para el uso de Internet, como prohibir determinados sitios, como Facebook o cualquier otro sitio similar a este, puede utilizar algunas de las herramientas que vienen con estos dispositivos.
   Le sugiero que Tp-link, con control de ancho de banda, serie wr741nd, muy agradable y completamente económico. La mayoría de los enrutadores tienen solo una función básica, que es compartir una conexión a Internet, pero solo unos pocos vienen con esta característica, el control de ancho de banda. Piénsalo Tienes que controlar no solo el uso, sino también el ancho de banda. Si no puede controlar en todo este escenario, al menos tendrá la oportunidad de controlar el ancho de banda. Una distribución desigual del ancho de banda puede producir tantos problemas que terminará apagando el servidor para comenzar de nuevo, porque algunos pocos usuarios literalmente comerán todo el ancho de banda, dejando al resto de usuarios sin conexión a Internet. y una última cosa más si puedes combatirlos, únete a ellos.

Puede usar cualquier firewall de capa de aplicación en su red para bloquear estos sitios. Un buen servidor de seguridad de código abierto que he usado anteriormente para administrar una configuración de computadoras domésticas muy pequeñas es Desenredar .

Además de usar GPO, puede usar dispositivos de inspección profunda de paquetes para bloquear automáticamente este tipo de tráfico de Internet. Hay numerosos productos que pueden hacer esto por usted. Un producto que parece implementarse muy a menudo es enlace .

Una solución de bajo costo sería implementar un servidor DNS Blackhole. Solo permita que los clientes usen DNS interno bloqueando todos los TCP53 y UDP53 salientes (excepto su servidor DNS interno). Luego actualice su servidor DNS para no resolver los dominios que desea bloquear. Hay muchos tutoriales disponibles al buscar "blackhole dns".

Si no tiene un servidor DNS interno, OpenDNS podría usarse con el mismo enfoque. Bloquee todo el tráfico DNS en el perímetro, excepto a los servidores OpenDNS.

Como todos han sugerido, la inspección de capa 7 es la solución ideal. Mi ejemplo de aprovechamiento de DNS podría ser fácilmente omitido a través de proxies en línea. Sin embargo, algunas pequeñas empresas no cuentan con los medios técnicos o monetarios para alcanzar la inspección de capa 7, por lo que el DNS podría ser una excelente alternativa.