По статистике 20%-25% рабочего
времени сотрудников уходит на занятие их личными делами: просмотр почты,
общение в соц. сетях, поиск информации не относящейся к основной работе. Ранее
так же была актуальна проблема с потреблением траффика данными задачами. Из
наиболее эффективных мер по пресечению не эффективного использования рабочего
времени, конечно является административный. Но не всегда руководители хотят
прибегать к санкциям, штрафам, выговорам, ведь быстрее и проще поручить данную задачу ИТ-отделу.
И так, наша сегодняшняя цель
заблокировать несколько популярных соц сетей. Для примера возьмём VK.com, facebook.com & odnoklassniki.com.
Есть несколько вариантов блокировки,
например по URL. Но тут можем столкнуться с такой проблемой. Допустим забанили http://odnoklasniki.com, а они продолжают работать через http://www.odnoklasniki.com. Или заблокировали vk.com по URL, а через http://87.240.131.101, или https://vk.com будет работать. Необходим кардинально
другой метод. Можно зарезать DNS запросы, к их именам, на своём DNS сервере, потом запретить трафик на 53
UDP во внешние сети, и так далее, строить
всё больше и больше костылей. Мы же пойдем по другому пути – заблокируем
подсети, которые выданы данным компаниям.
Приступим. Первый на очереди – facebook.com. Несколько минут поиска и находим
официальную страницу (!) со списком их подсетей, а так же запрос для обновления их списка [https://developers.facebook.com/docs/ApplicationSecurity/]. Добавляем правила в шлюз, для Debian/CentOS будут строки такого вида
Следующий на очереди, vk.com. Тут немного сложнее. Поиск по сайту
ничего не дал, на форумах один флуд. Обратимся тогда к BGP провадйерам, с запросом адресов vkontakte – [http://bgp.he.net/search?search%5Bsearch%5D=VKONTAKTE&commit=Search].
Получаем список из 3х автономных сетей и их префиксов как IPv4, так и IPv6. Баним аналогично.
По такому же принципу можно найти и забанить большинство соц. сетей.
Валерий Кулик
Комментариев нет:
Отправить комментарий