bloqueio de sites com squid, nao adianta mais ??

[djhulk]

Olá pessoas, como os adm devem perceber o numero desses sites com proxy em cgi, softwares de proxy, e outras coisas mais, vem aumentando mto, tanto que o bloqueio com squid esta quase se tornando obsoleto, porque a eficácia ja nao é mais a mesma.

Entao abri este topico pra perguntar qual a melhor maneira de contornar isso??, sem usar iptables, pq tenho uma lista com mais de 100 sites bloqueados, nao vo enxe de regras de ipables no servidor...

sera que temos q chegar ao ponto de bloquear definitivamente TUDO! no fw e só liberar uns 10 ips de sites mais importantes, (bancos, governo, etc..) para os ips da rede necessários ? (no caso de uma faculdade isso nao serveria)

no momento meu squid esta, bloqueando por grupos, por horario, arquivos, limitando banda, e bloqueando os sites.

Acho que fui claro quanto a pergunta, é isso!
:-D

[alexandrecorrea]

eu penso da seguinte mandeira...

se o pessoal nao esta usando a internet de boa mandeira... vc bloqueia parcialmente... e faça todos assinarem um papel onde vc diz que o acesso a internet esta filtrado e que a internet eh para assuntos do interesse da empresa... coloque uma clausula mencionando demissao por justa causa....

se continuar... vc ainda pode tentar fazer difrente.. bloquear TUDO... e liberar apenas sites que seja necessarios ....

se ainda houver problemas... manda embora e contrata outro..

[wellington2]

Concordo com o Alexandre.

[doliveira]

É concordo até certo ponto.
E se for o caso de uma empresa com mais de 10.000 funcionários??? (caixa economica, banco do brasil etc) Tudo bem, esses 10 mil não são geridos por uma unica pessoa.

E no caso de uma escola, faculdade etc onde vc não pode demitir o aluno? Pelo contrario vc tem q arrumar um jeito de trazer mais alunos.

Achei esse topico bastante interessante, pois temos que arrumar um meio tecnico e não adminstrativo para melhorar o serviço dos adm. de redes.

Valeu...

[alexandrecorrea]

solução para esse problema... eh bloquear TUDO e ir liberando o que eh realmente necessario ...

vc cria um sistema onde o usuario cadastra o site q ele quer acessar... ai vc vai vendo e moderando...

[djhulk]

Que bom que o pessoal ta entendendo o proposito do topico e colaborando, até concordo com o Alexandre Correa , mais ir liberando tudo, da mto trabalho... e ainda fazer isso no iptables... vix...

bom, vamos aguardar mais respostas, ai quando tivermos umas boas ideias, discutimos com base nelas,

valeu até agora para quem participou!
:wink:

[raver]

Olá...
Também passo pela mesma situação, quero dizer passava. Quando descobri um software de controle de conteúdo. Com ele integrado ao Squid, vc consegue bloquear páginas por conteúdo. Por exemplo peso de palavra, como no anti-spam. Se uma página tem palavras de baixo calão, ele bloqueia. Consegui bloquear todos os sites de webmessenger, vídeos, pornos... Ele bloqueia também por expressão regular na URL, por nome de imagens...
Esta maravilha do mundo moderno se chama DansGuardian... mas se preferir tem um appliance chamado Endian Firewall que já vem com ele pronto... Vale a pena conferir.

[doliveira]

Pessoal fui dar uma olhada no dansguard como falou nosso colega raver.

Olha, parece realmente ser muito bom. Vale a pena dar uma conferida.

[]'s

[mastellaro]

Aí, eu perdi a paciencia com os acessos dos usuários da minha empresa.... entao conversei com a diretoria e fui autorizado a dar um Deny All.. e liberar apenas o essencial.

Foi a melhor coisa q me aconteceu... reduziu problemas de virus em máquinas, excesso de banda... foi muito bom.

Sugiro a mesma coisa a vcs

[alexandrecorrea]

concordo com a politica do DENY ALL !!

[doliveira]

Porem isso é um problema para instituições de ensino.
Principalmente faculdades.

[raver]

O problema do Deny ALL é exatamente no caso de faculdades, é muito difícil abrir todos os sites de pesquisa... ou em cyber café, que vc deve bloquear sites de conteúdo impróprio as vezes pelo tipo de frequentador ou local... imaginem um cyber café em um corredor de um shopping e um sem noção acessando sites pornós....
Neste caso o deny all não pode ser aplicado....

Com relação a extensões de arquivo eu controlo por Regra mesmo.... é mais fácil.

[doliveira]

As regras q vc esta falando são as acls???
Aki tb trava várias extesoes de arquivos com .exe .src .pif .mp3 etc , so q o grande problema que encontro é que webmails como yahoo, gmail, hotmail entre muitos mais muitos outros o proxy não bloqueia pois a url não vem com a extensao .exe.

Mais alguem tem esse tipo de problema???

[alexandrecorrea]

tenta bloquear pelo mime-type !! funciona !!

[djhulk]

Estamos fugindo do assunto nao ? é complicado user DROP, acho que

eu penso da seguinte mandeira...

se o pessoal nao esta usando a internet de boa mandeira... vc bloqueia parcialmente... e faça todos assinarem um papel onde vc diz que o acesso a internet esta filtrado e que a internet eh para assuntos do interesse da empresa... coloque uma clausula mencionando demissao por justa causa....

se continuar... vc ainda pode tentar fazer difrente.. bloquear TUDO... e liberar apenas sites que seja necessarios ....

se ainda houver problemas... manda embora e contrata outro..

Meio que estamos fugindo do assunto não ?
más quero aqui deixar citado que, esta é porinquanto a melhor das soluções.
obrigado ao Alexandre C. pela participação no topico.

Att
Eduardo :-)