公司如何禁止員工使用MSN？

老總本採信任制，要求員工自行刪除MSN，然效果不彰。
請問有什麼方法可以封鎖員工自行使用MSN？

　　叫公司正式發佈以下公告：

　　　　凡上班時間在公司使用 MSN 者一律開除！

一旦發現員工使用 MSN，立即驅逐出場。

使用支援 Level 7 的防火牆

針對關鍵字做過濾

跟同事說
老闆那台有裝 msn sniffer
不怕被開除就繼續聊吧 :D

好像是 7001 and 1863 port 吧!

[QUOTE=neuser]跟同事說
老闆那台有裝 msn sniffer
不怕被開除就繼續聊吧 :D[/QUOTE]
公司老闆大都不會當面禁止員工,而管理者也一樣不想和同事起瓜葛,
因此只有在伺服器防火牆　下功夫,只要能讓員工無法使用就好了!

老闆們都不下令禁止了 你要動手嗎？

[QUOTE=Schnaufer]　　叫公司正式發佈以下公告：

　　　　凡上班時間在公司使用 MSN 者一律開除！[/QUOTE]

目前也只有這個方法最有效了!!

[QUOTE=all600]公司老闆大都不會當面禁止員工,而管理者也一樣不想和同事起瓜葛,
因此只有在伺服器防火牆　下功夫,只要能讓員工無法使用就好了![/QUOTE]
　　你以為當他們都無法使用 MSN 時電話會打給誰？如果無法給他們一個合理的解釋到時候他們又會怪罪誰呢？

[QUOTE=asp]好像是 7001 and 1863 port 吧![/QUOTE]

MSN 會用到的 PORT
--------------------------------------------
一般連線 TCP 1863
語音通訊 UDP 6901
檔案傳送 TCP 6891~6900
遠端協助 TCP 3389
應用程式 /白板分享 TCP 7800~7825
即時影音通訊 TCP 5100
--------------------------------------------

若要用 Port 或 IP 去擋 , 也是有點麻煩
擋 1863 沒用 , 它會嘗試用 80 連出去
光擋 MSN SERVER 也沒用 , 還要擋 Proxy Server
因為當它都連不上時 , 它也會偵測 IE 的 Proxy Server 設定
若IE有設定 Proxy Server , 它還會走該 Proxy Server 出去
所以要連 ISP 的 Proxy Server 也要一起擋下才行

不過若 User 找到其他可用的 Proxy Server , 也許就可以繼續用了

擋msn messenger 可以做的到，但如果是用web msn 的話，就只能看一個擋一個了

[QUOTE=Schnaufer]　　你以為當他們都無法使用 MSN 時電話會打給誰？如果無法給他們一個合理的解釋到時候他們又會怪罪誰呢？[/QUOTE]

哈!哪個人不打自 招?(公司應該會有規定,只是不會去查)

道高一尺,魔高一丈..駭客等級的人照樣破
怎麼檔都沒用除非不能上網

[QUOTE=jeter517]道高一尺,魔高一丈..駭客等級的人照樣破
怎麼檔都沒用除非不能上網[/QUOTE]
在公司上班如果有駭客等級的人,則老闆都要敬畏三分,只好例外處理了!
只要大部份人可以擋住就好!

[QUOTE=solong]擋msn messenger 可以做的到，但如果是用web msn 的話，就只能看一個擋一個了[/QUOTE]

這簡單...
一樣是防火牆的設定
只要將"官方"網址設定限制就可以嚕
不過..."非官方"的真的是要慢慢檔嚕

我們目前使用
眾至的防火牆 確定可以擋住 MSN 即時通訊
Yahoo 即時通訊
ICQ 即時通訊
QQ 即時通訊
Skype 即時通訊
以上可以擋住了 尤其是QQ
MSN7.0正式版剛出 我還沒測試 星期一測試看看

[QUOTE=solong]擋msn messenger 可以做的到，但如果是用web msn 的話，就只能看一個擋一個了[/QUOTE]

我目前用的設備可以阻擋網址為
[url]http://webmessenger*.msn.com/[/url]
的 全部擋住
不就解決了...

其實講是這樣講，是否真能把員工開除？
執行上根本就不太可能

MIS只是拿薪水的小職員，沒有開除人的權力
老闆也不可能隨便開除員工
花錢培訓出來的員工，誰能保證下一個應徵進來的會馬上進入狀況
又或著做好幾年的高階員工
已經是公司的支柱了，開除了誰來做事

隨便開除人，一定會影響到公司的整體士氣
弄個不好，說不定會引起罷工或集體辭職

員工是公司最重要的資產
裁員是萬不得已的最後一步
有的人要養老婆養兒子，或者有房貸車貸，每個月都要繳錢
把他開除了，不就等於是把他逼上絕路
到時會引發什麼社會事件出來，可就難說了

以開除為前提，來恐嚇員工不准做某些事情
基本上就是不切實際的解決方案
不僅解決不了事情，還會降低員工對公司的信賴感

這種方案
報告到管理階層那邊(總經理或董事長或總裁)，一定會被否決掉的
管理階層對你的處事能力的評比，也會因此降低
最糟的情況
在他們的腦海中，就會認定你無法從事高階的主管工作
進而影響到你的考核，然後職位升不上去
老是只能做些勞工階級的工作，修理機器、管理網路、重灌重灌...


運用電腦技術能力，來防範於未然
是網管人員最基本的工夫

好比說，老闆下了命令：禁止員工藉由網路夾帶公司檔案出去
此時你想做的，及應該做的，是封掉 e-mail、ftp 等管道
把連外 port 鎖到剩80，至少就只能瀏覽網頁了

再來就是想辦法封鎖 web-hd，web-mail，msn跑prot80等問題
也許因為業務上的需要，e-mail不能封
那就要想辦法限制 e-mial傳送檔案的大小...等等
這之類的問題，都要靠網管人員的電腦技術功夫來解決

並不是想藉由管理階層那邊的權威，來限制員工不能做什麼
再怎樣限制，員工他們不是不能做，而是想不想做的問題
有所不為，而非不可為

假設今天有位員工和公司鬧翻臉了，你認為他還會遵守規定嗎
到時出事情了，開發資料被傳出去了
擔屎的人不是管理階層，而是網管人員自己，就準備跟著走路囉
網管權力大，責任也大
這點是從事網管的人，要有所體認的


以支援 Layer7 的防火牆來說：
[quote]
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto [color=#CC0000]msnmessenger[/color] -j DROP[/quote]

從技術上，就能達到期望目標
這樣是比較簡單及輕鬆的作法
較不會牽扯到其它人事或雜七雜八的問題
也不用要求主管單位，非得公佈一些不合常理的公告
解決問題，而不製造新的問題
:)

[QUOTE=b0913]我目前用的設備可以阻擋網址為
[url]http://webmessenger*.msn.com/[/url]
的 全部擋住
不就解決了...[/QUOTE]
上面己經有仁兄說了，非官方的只能見一個擋一個，我覺的也是如此，例如
[url]http://www.e-messenger.net/[/url]
還是你不曉得有非官方的 :)

[QUOTE=solong]上面己經有仁兄說了，非官方的只能見一個擋一個，我覺的也是如此，例如
[url]http://www.e-messenger.net/[/url]
還是你不曉得有非官方的 :)[/QUOTE]
那看來只能一個個使用網址來過濾囉!!!

其實真的要用msn,不管你怎麼弄都是擋不住的

就算你擋掉所有web msn的網址,我還是有辦法連出去,像我是開發Java程式的,市面上有人已經用Java寫好了MSN Client,還是開放原始碼的,我只要下載回來,利用我電腦本來就用Java Web Server(ex: tomcat)來跑這個MSN Client,這樣一來,我的電腦本機就是web client的網址(localhost),那就還是沒辦法囉 :D

沒啦!其實公司要擋的應該不是擋工程師,應該是一般員工吧!不過真的有公司想要擋工程師,才會有人用Java寫了一個MSN Client,哈...惡性循環

不過這件事要是真的發生在我身上,我還是會服從公司的規定的,畢竟,員工本來就是該尊重上司的決定 ;)

可以請問一下linux_xp嗎？ :|||:
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ，印像中很少有資料會介紹 mangle 規則表的用法，先謝謝大家的回答 :circle:

[QUOTE=solong]上面己經有仁兄說了，非官方的只能見一個擋一個，我覺的也是如此，例如
[url]http://www.e-messenger.net/[/url]
還是你不曉得有非官方的 :)[/QUOTE]

還有這一個... :D
[url]http://www.iloveim.com/[/url]

在BAN MSN連線SERVER這方面，個人建議去VLAB找舊文章，那邊有篇討論很棒，非常值得參考。

[QUOTE=solong]可以請問一下linux_xp嗎？ :|||:
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ，印像中很少有資料會介紹 mangle 規則表的用法，先謝謝大家的回答 :circle:[/QUOTE]

不是第一行是iptable，就通用 .... layer7 第7層...

轉貼 [URL=http://phorum.study-area.org/viewtopic.php?t=21578&view=next&sid=99ad51ff69820a4a0af1c52d5f961d66]酷！學園[/URL]


1.block MSN
2.block yahoo messenger
3.block big file (*.zip *.mp3 *.exe ...)

做法:
安裝squid and iptable (安裝就不多說了)

設定 squid(squid.conf)
##block MSN

acl msnmessenger req_mime_type ^application/x-msn-messenger$
http_access deny msnmessenger

acl msn dstdomain gateway.messenger.hotmail.com messenger.msn.com msgr.hotmail.com messenger.hotmail.com rad.msn.com assport.c
om messenger.msn
http_access deny msn

##block Yahoo!Messenger

acl yahooip src "/usr/local/squid/etc/denyyahooip"
http_access deny yahooip

acl yahoomsg dstdomain oscar.aol messenger.hotmail messenger.msn login.icq proxy.icq icq.mirabilis edit.yahoo messenger.yahoo
pager.yahoo
http_access deny yahoomsg

#block big file

acl bigfiles urlpath_regex -i "/usr/local/squid/etc/bigfile"
http_access deny bigfiles

設定iptable
#block Yahoo messenger

$IPTABLES -I FORWARD -p tcp --dport 20 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 21 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 23 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 25 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 119 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 135 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 554 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 1755 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 5050 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 5190 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 7070 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 7071 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 8200 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 8554 -j DROP

$IPTABLES -I FORWARD -d msg.edit.yahoo.com -j DROP
$IPTABLES -I FORWARD -d messenger.yahoo.com -j DROP

#Block MSN Message

#$IPTABLES -I FORWARD -p tcp --dport 1863 -j DROP
#$IPTABLES -I FORWARD -d gateway.messenger.hotmail.com -j DROP

補充:
"/usr/local/squid/etc/denyyahooip"
請自行產生一個file，內容如下：
205.188.179.233
205.188.3.160
205.188.3.176
205.188.5.204
205.188.5.208
205.188.7.164
205.188.7.168
205.188.7.172
205.188.7.176
216.136.131.93
216.136.175.142
216.136.175.143
216.136.175.144
216.136.175.145
216.136.224.213
216.136.224.214
216.136.225.11
216.136.225.12
216.136.225.35
216.136.225.36
216.136.225.83
216.136.225.84
216.136.226.117
216.136.226.118
64.12.162.57
64.4.12.0/24
64.4.13.17
64.4.13.223
64.4.13.36
64.4.13.49

"/usr/local/squid/etc/bigfile"
請自行產生一個file，內容如下：
\.exe$ \.mp3$ \.vqf$ \.tar$ \.gz$ \.gz$ \.rpm$ \.zip$ \.rar$ \.avi$ \.mpeg$ \.mpe$ \.mpg$ \.qt$ \.ram$ \.rm$ \.iso$ \.raw$ \.wav$ \.mov$ \.exe. \.mp3. \.vqf. \.tar. \.gz. \.gz. \.rpm. \.zip. \.rar. \.avi. \.mpeg. \.mpe. \.mpg. \.qt. \.ram. \.rm. \.iso. \.raw. \.wav. \.mov.

不讓用MSN就可以了阿~
去控制面板堶悸熒s增移除程式--新增/移除windows元件--再把msn前面的勾去掉--這樣就把windows堶惘蛘a的msn給幹掉了，如果有自己安裝的就給他卸載掉。。然後再把電腦的權限設置為user這樣就不可以自己安裝軟件了~嘿嘿~~
不知道這個想法可以不？

相信我，以我在公司的經驗，凡事以阻擋方式處理問題為最下下策，且讓我分析給你聽，
首先，主管不肯扮黑臉，交付IT由網路或伺服器來阻止使用者使用某些服務，
如此會產生兩種結果，一種使用者位階夠高，剛好也使用該服務，來電詢問為何無法使用，
於是你的主管要你針對位階比他高的都予以放行，形成半調子的政策，
另外，低階一般使用者當發現無法使用該服務後，你等於在訓練他成為一個網路駭客，
就算沒有天賦，請相信侏羅紀裡面的諄諄教誨「生命會自己找尋出路」，
只要在眾多的使用者中有人有底子與管道（通常也會是其他IT），
一旦他可以使用，總是會有其他人見到他使用，於是前來就教，
如此一傳時，十傳百，就好像抗生素無法一次消滅所有病菌，
殘存的病菌便會開始全面滋生，而且連一般的使用者都能輕易突破，
最後該政策成為一個消耗系統資源又不能去掉的包袱。

衷心的建議，在阻擋了可能的破壞型的政策之外，其他的服務只要有日誌可供稽核便可，
藉由日誌來稽核使用者有無違反公司政策，讓公司政策與系統效能兼顧，
別再搞什麼阻擋了。有看過阻擋到最後的結果，使用者用雙網卡加上無線網路，
等於在防火牆後面的LAN端打一個大洞嗎？果真到了那天，公司的網路就千瘡百孔了。

如果你真的瞭解網路，你會懂我在講什麼，你應該是資深網管人員。

如果你真的認為你有辦法擋，其他人都沒你懂，你應該是個喜歡到處報名產品發表會的行政官僚。
要分辨這種人不難，其標準口頭禪為：（這簡單，只要......）

看你要不要花錢硬體Firewall都可以擋封包,web msn也是可以檔的住

[QUOTE=solong]可以請問一下linux_xp嗎？ :|||:
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ，印像中很少有資料會介紹 mangle 規則表的用法，先謝謝大家的回答 :circle:[/QUOTE]


-m layer7
-m ：model，指明了它是一個模組

且是一個 iptables 的「外掛」模組，非 iptables 所內建
一般大多數的 Linux distro 並沒有內建 l7-felter 這個模組
需對 Linux 核心重新編譯，並對 iptables 加掛 l7-filter 模組，才能使用

l7-filter 是一個開源軟體
能過濾的 service 多達數十種
包括：常用的 service、msn 、p2p....等等
它有英文網站，詳細可以參考它的網站，或者參考市面上的中文教學書籍


原理說明：
--------------------------------------
任何種類的 service 封包，在它的 data 部分開頭，必會指定封包用途
也就是說在 data 資料中，會有說明封包用途的字串

從程式設計的角度來看，這是很容易理解的
當一個 server 端 軟體，監聽到給它 port 的封包時
它要如何知道這個封包是該它處理的？
只要在 client端 發送封包時，於 data 部分加入特定字串即可
例如：smtp 出去的封包，data 部分必會指明這是 smtp 封包
當然的，這字串不會是只有 smtp 四個字這麼簡單，而是一段程式碼

舉個例子：
這就好比把 rmvb 副檔名，改成 avi 副檔名 (偽裝，換 port)
該檔案也不會變成 avi，是同樣的道理
檔案名稱只是參考罷了 (port 只是參考罷了)
真正的檔案格式 (封包資料格式)，都寫在 data 裡頭，播放器一讀就曉得了

因此只要去分析一個封包的 data
比對資料庫中的資料，若找到了符合的字串，就能確定它的用途
此功能稱為 filter 過濾器
過濾器抓出封包後，再交由防火牆去處理 - 決定封包是否通過或丟棄


但也可以知道，如果封包是加密過的
它的 data 結構顯然會有所改變，l7-filter 就無法抓出來了

不過 msn、icq、p2p ...等等常用的服務
目前還沒有加密型態的應用出現
加密需要雙方的演算，會耗用資源，這是不採用的最大的原因
另這些 service ，其實也還沒有到需要到保密的程度

ISP 管制 P2P 下載的下三流手段，用的就是硬體 l7-filter 的一種
如果 p2p 進化成加密型態，那 ISP 就甭玩了

:)

在公司無法連外，也無法安裝任何軟體，只好用vnc連回家，用家裡的上嚕
只是感覺家裡只要開了vnc server時，感覺都會怕怕的。

[QUOTE=rEdS]目前也只有這個方法最有效了!![/QUOTE]

笑笑就算了，認真起來後果應該是不堪設想 :D

[QUOTE=solong]可以請問一下linux_xp嗎？ :|||:
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ，印像中很少有資料會介紹 mangle 規則表的用法，先謝謝大家的回答 :circle:[/QUOTE]
mm,我有跟你一樣的感覺。

因此小弟有在網路技術版PO了一篇 Linux Layer 7 防火牆實作紀錄
可以參考一下。

[QUOTE=mulder1031]相信我，以我在公司的經驗，凡事以阻擋方式處理問題為最下下策，且讓我分析給你聽，
首先，主管不肯扮黑臉，交付IT由網路或伺服器來阻止使用者使用某些服務，
如此會產生兩種結果，一種使用者位階夠高，剛好也使用該服務，來電詢問為何無法使用，
於是你的主管要你針對位階比他高的都予以放行，形成半調子的政策，
另外，低階一般使用者當發現無法使用該服務後，你等於在訓練他成為一個網路駭客，
就算沒有天賦，請相信侏羅紀裡面的諄諄教誨「生命會自己找尋出路」，
只要在眾多的使用者中有人有底子與管道（通常也會是其他IT），
一旦他可以使用，總是會有其他人見到他使用，於是前來就教，
如此一傳時，十傳百，就好像抗生素無法一次消滅所有病菌，
殘存的病菌便會開始全面滋生，而且連一般的使用者都能輕易突破，
最後該政策成為一個消耗系統資源又不能去掉的包袱。

衷心的建議，在阻擋了可能的破壞型的政策之外，其他的服務只要有日誌可供稽核便可，
藉由日誌來稽核使用者有無違反公司政策，讓公司政策與系統效能兼顧，
別再搞什麼阻擋了。有看過阻擋到最後的結果，使用者用雙網卡加上無線網路，
等於在防火牆後面的LAN端打一個大洞嗎？果真到了那天，公司的網路就千瘡百孔了。

如果你真的瞭解網路，你會懂我在講什麼，你應該是資深網管人員。

如果你真的認為你有辦法擋，其他人都沒你懂，你應該是個喜歡到處報名產品發表會的行政官僚。
要分辨這種人不難，其標準口頭禪為：（這簡單，只要......）[/QUOTE]

同意！我的方式也是不擋，省的其他 GGYY
用啥方法呢？我只是讓該服務 LAG 到使用者沒興趣而已

[QUOTE=mzhuang]同意！我的方式也是不擋，省的其他 GGYY
用啥方法呢？我只是讓該服務 LAG 到使用者沒興趣而已[/QUOTE]

有些廣告信也可以用這種方法來檔，故意限制流量甚小
讓它沒耐心等，就會自動從 list 去除名單 :D

因為廣告商都是以時間/信件數 來計錢，此舉剛好打到罩門。

V2900新版的韌體裡有擋IM的功能，只是我都沒開過
因為我不想被人砍死...:|||:
至於有沒有效，就要問小峰了...
但是理論上，只要網路線一接上，好像沒有什麼可以擋的住的...= =