老總本採信任制,要求員工自行刪除MSN,然效果不彰。
請問有什麼方法可以封鎖員工自行使用MSN?
可列印頁面
老總本採信任制,要求員工自行刪除MSN,然效果不彰。
請問有什麼方法可以封鎖員工自行使用MSN?
叫公司正式發佈以下公告:
凡上班時間在公司使用 MSN 者一律開除!
一旦發現員工使用 MSN,立即驅逐出場。
使用支援 Level 7 的防火牆
針對關鍵字做過濾
跟同事說
老闆那台有裝 msn sniffer
不怕被開除就繼續聊吧 :D
好像是 7001 and 1863 port 吧!
[QUOTE=neuser]跟同事說
老闆那台有裝 msn sniffer
不怕被開除就繼續聊吧 :D[/QUOTE]
公司老闆大都不會當面禁止員工,而管理者也一樣不想和同事起瓜葛,
因此只有在伺服器防火牆 下功夫,只要能讓員工無法使用就好了!
老闆們都不下令禁止了 你要動手嗎?
[QUOTE=Schnaufer] 叫公司正式發佈以下公告:
凡上班時間在公司使用 MSN 者一律開除![/QUOTE]
目前也只有這個方法最有效了!!
[QUOTE=all600]公司老闆大都不會當面禁止員工,而管理者也一樣不想和同事起瓜葛,
因此只有在伺服器防火牆 下功夫,只要能讓員工無法使用就好了![/QUOTE]
你以為當他們都無法使用 MSN 時電話會打給誰?如果無法給他們一個合理的解釋到時候他們又會怪罪誰呢?
[QUOTE=asp]好像是 7001 and 1863 port 吧![/QUOTE]
MSN 會用到的 PORT
--------------------------------------------
一般連線 TCP 1863
語音通訊 UDP 6901
檔案傳送 TCP 6891~6900
遠端協助 TCP 3389
應用程式 /白板分享 TCP 7800~7825
即時影音通訊 TCP 5100
--------------------------------------------
若要用 Port 或 IP 去擋 , 也是有點麻煩
擋 1863 沒用 , 它會嘗試用 80 連出去
光擋 MSN SERVER 也沒用 , 還要擋 Proxy Server
因為當它都連不上時 , 它也會偵測 IE 的 Proxy Server 設定
若IE有設定 Proxy Server , 它還會走該 Proxy Server 出去
所以要連 ISP 的 Proxy Server 也要一起擋下才行
不過若 User 找到其他可用的 Proxy Server , 也許就可以繼續用了
擋msn messenger 可以做的到,但如果是用web msn 的話,就只能看一個擋一個了
[QUOTE=Schnaufer] 你以為當他們都無法使用 MSN 時電話會打給誰?如果無法給他們一個合理的解釋到時候他們又會怪罪誰呢?[/QUOTE]
哈!哪個人不打自 招?(公司應該會有規定,只是不會去查)
道高一尺,魔高一丈..駭客等級的人照樣破
怎麼檔都沒用除非不能上網
[QUOTE=jeter517]道高一尺,魔高一丈..駭客等級的人照樣破
怎麼檔都沒用除非不能上網[/QUOTE]
在公司上班如果有駭客等級的人,則老闆都要敬畏三分,只好例外處理了!
只要大部份人可以擋住就好!
[QUOTE=solong]擋msn messenger 可以做的到,但如果是用web msn 的話,就只能看一個擋一個了[/QUOTE]
這簡單...
一樣是防火牆的設定
只要將"官方"網址設定限制就可以嚕
不過..."非官方"的真的是要慢慢檔嚕
我們目前使用
眾至的防火牆 確定可以擋住 MSN 即時通訊
Yahoo 即時通訊
ICQ 即時通訊
QQ 即時通訊
Skype 即時通訊
以上可以擋住了 尤其是QQ
MSN7.0正式版剛出 我還沒測試 星期一測試看看
[QUOTE=solong]擋msn messenger 可以做的到,但如果是用web msn 的話,就只能看一個擋一個了[/QUOTE]
我目前用的設備可以阻擋網址為
[url]http://webmessenger*.msn.com/[/url]
的 全部擋住
不就解決了...
其實講是這樣講,是否真能把員工開除?
執行上根本就不太可能
MIS只是拿薪水的小職員,沒有開除人的權力
老闆也不可能隨便開除員工
花錢培訓出來的員工,誰能保證下一個應徵進來的會馬上進入狀況
又或著做好幾年的高階員工
已經是公司的支柱了,開除了誰來做事
隨便開除人,一定會影響到公司的整體士氣
弄個不好,說不定會引起罷工或集體辭職
員工是公司最重要的資產
裁員是萬不得已的最後一步
有的人要養老婆養兒子,或者有房貸車貸,每個月都要繳錢
把他開除了,不就等於是把他逼上絕路
到時會引發什麼社會事件出來,可就難說了
以開除為前提,來恐嚇員工不准做某些事情
基本上就是不切實際的解決方案
不僅解決不了事情,還會降低員工對公司的信賴感
這種方案
報告到管理階層那邊(總經理或董事長或總裁),一定會被否決掉的
管理階層對你的處事能力的評比,也會因此降低
最糟的情況
在他們的腦海中,就會認定你無法從事高階的主管工作
進而影響到你的考核,然後職位升不上去
老是只能做些勞工階級的工作,修理機器、管理網路、重灌重灌...
運用電腦技術能力,來防範於未然
是網管人員最基本的工夫
好比說,老闆下了命令:禁止員工藉由網路夾帶公司檔案出去
此時你想做的,及應該做的,是封掉 e-mail、ftp 等管道
把連外 port 鎖到剩80,至少就只能瀏覽網頁了
再來就是想辦法封鎖 web-hd,web-mail,msn跑prot80等問題
也許因為業務上的需要,e-mail不能封
那就要想辦法限制 e-mial傳送檔案的大小...等等
這之類的問題,都要靠網管人員的電腦技術功夫來解決
並不是想藉由管理階層那邊的權威,來限制員工不能做什麼
再怎樣限制,員工他們不是不能做,而是想不想做的問題
有所不為,而非不可為
假設今天有位員工和公司鬧翻臉了,你認為他還會遵守規定嗎
到時出事情了,開發資料被傳出去了
擔屎的人不是管理階層,而是網管人員自己,就準備跟著走路囉
網管權力大,責任也大
這點是從事網管的人,要有所體認的
以支援 Layer7 的防火牆來說:
[quote]
阻止MSN:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto [color=#CC0000]msnmessenger[/color] -j DROP[/quote]
從技術上,就能達到期望目標
這樣是比較簡單及輕鬆的作法
較不會牽扯到其它人事或雜七雜八的問題
也不用要求主管單位,非得公佈一些不合常理的公告
解決問題,而不製造新的問題
:)
[QUOTE=b0913]我目前用的設備可以阻擋網址為
[url]http://webmessenger*.msn.com/[/url]
的 全部擋住
不就解決了...[/QUOTE]
上面己經有仁兄說了,非官方的只能見一個擋一個,我覺的也是如此,例如
[url]http://www.e-messenger.net/[/url]
還是你不曉得有非官方的 :)
[QUOTE=solong]上面己經有仁兄說了,非官方的只能見一個擋一個,我覺的也是如此,例如
[url]http://www.e-messenger.net/[/url]
還是你不曉得有非官方的 :)[/QUOTE]
那看來只能一個個使用網址來過濾囉!!!
其實真的要用msn,不管你怎麼弄都是擋不住的
就算你擋掉所有web msn的網址,我還是有辦法連出去,像我是開發Java程式的,市面上有人已經用Java寫好了MSN Client,還是開放原始碼的,我只要下載回來,利用我電腦本來就用Java Web Server(ex: tomcat)來跑這個MSN Client,這樣一來,我的電腦本機就是web client的網址(localhost),那就還是沒辦法囉 :D
沒啦!其實公司要擋的應該不是擋工程師,應該是一般員工吧!不過真的有公司想要擋工程師,才會有人用Java寫了一個MSN Client,哈...惡性循環
不過這件事要是真的發生在我身上,我還是會服從公司的規定的,畢竟,員工本來就是該尊重上司的決定 ;)
可以請問一下linux_xp嗎? :|||:
阻止MSN:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ,印像中很少有資料會介紹 mangle 規則表的用法,先謝謝大家的回答 :circle:
[QUOTE=solong]上面己經有仁兄說了,非官方的只能見一個擋一個,我覺的也是如此,例如
[url]http://www.e-messenger.net/[/url]
還是你不曉得有非官方的 :)[/QUOTE]
還有這一個... :D
[url]http://www.iloveim.com/[/url]
在BAN MSN連線SERVER這方面,個人建議去VLAB找舊文章,那邊有篇討論很棒,非常值得參考。
[QUOTE=solong]可以請問一下linux_xp嗎? :|||:
阻止MSN:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ,印像中很少有資料會介紹 mangle 規則表的用法,先謝謝大家的回答 :circle:[/QUOTE]
不是第一行是iptable,就通用 .... layer7 第7層...
轉貼 [URL=http://phorum.study-area.org/viewtopic.php?t=21578&view=next&sid=99ad51ff69820a4a0af1c52d5f961d66]酷!學園[/URL]
1.block MSN
2.block yahoo messenger
3.block big file (*.zip *.mp3 *.exe ...)
做法:
安裝squid and iptable (安裝就不多說了)
設定 squid(squid.conf)
##block MSN
acl msnmessenger req_mime_type ^application/x-msn-messenger$
http_access deny msnmessenger
acl msn dstdomain gateway.messenger.hotmail.com messenger.msn.com msgr.hotmail.com messenger.hotmail.com rad.msn.com assport.c
om messenger.msn
http_access deny msn
##block Yahoo!Messenger
acl yahooip src "/usr/local/squid/etc/denyyahooip"
http_access deny yahooip
acl yahoomsg dstdomain oscar.aol messenger.hotmail messenger.msn login.icq proxy.icq icq.mirabilis edit.yahoo messenger.yahoo
pager.yahoo
http_access deny yahoomsg
#block big file
acl bigfiles urlpath_regex -i "/usr/local/squid/etc/bigfile"
http_access deny bigfiles
設定iptable
#block Yahoo messenger
$IPTABLES -I FORWARD -p tcp --dport 20 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 21 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 23 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 25 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 119 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 135 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 554 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 1755 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 5050 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 5190 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 7070 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 7071 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 8200 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 8554 -j DROP
$IPTABLES -I FORWARD -d msg.edit.yahoo.com -j DROP
$IPTABLES -I FORWARD -d messenger.yahoo.com -j DROP
#Block MSN Message
#$IPTABLES -I FORWARD -p tcp --dport 1863 -j DROP
#$IPTABLES -I FORWARD -d gateway.messenger.hotmail.com -j DROP
補充:
"/usr/local/squid/etc/denyyahooip"
請自行產生一個file,內容如下:
205.188.179.233
205.188.3.160
205.188.3.176
205.188.5.204
205.188.5.208
205.188.7.164
205.188.7.168
205.188.7.172
205.188.7.176
216.136.131.93
216.136.175.142
216.136.175.143
216.136.175.144
216.136.175.145
216.136.224.213
216.136.224.214
216.136.225.11
216.136.225.12
216.136.225.35
216.136.225.36
216.136.225.83
216.136.225.84
216.136.226.117
216.136.226.118
64.12.162.57
64.4.12.0/24
64.4.13.17
64.4.13.223
64.4.13.36
64.4.13.49
"/usr/local/squid/etc/bigfile"
請自行產生一個file,內容如下:
\.exe$ \.mp3$ \.vqf$ \.tar$ \.gz$ \.gz$ \.rpm$ \.zip$ \.rar$ \.avi$ \.mpeg$ \.mpe$ \.mpg$ \.qt$ \.ram$ \.rm$ \.iso$ \.raw$ \.wav$ \.mov$ \.exe. \.mp3. \.vqf. \.tar. \.gz. \.gz. \.rpm. \.zip. \.rar. \.avi. \.mpeg. \.mpe. \.mpg. \.qt. \.ram. \.rm. \.iso. \.raw. \.wav. \.mov.
不讓用MSN就可以了阿~
去控制面板堶悸熒s增移除程式--新增/移除windows元件--再把msn前面的勾去掉--這樣就把windows堶惘蛘a的msn給幹掉了,如果有自己安裝的就給他卸載掉。。然後再把電腦的權限設置為user這樣就不可以自己安裝軟件了~嘿嘿~~
不知道這個想法可以不?
相信我,以我在公司的經驗,凡事以阻擋方式處理問題為最下下策,且讓我分析給你聽,
首先,主管不肯扮黑臉,交付IT由網路或伺服器來阻止使用者使用某些服務,
如此會產生兩種結果,一種使用者位階夠高,剛好也使用該服務,來電詢問為何無法使用,
於是你的主管要你針對位階比他高的都予以放行,形成半調子的政策,
另外,低階一般使用者當發現無法使用該服務後,你等於在訓練他成為一個網路駭客,
就算沒有天賦,請相信侏羅紀裡面的諄諄教誨「生命會自己找尋出路」,
只要在眾多的使用者中有人有底子與管道(通常也會是其他IT),
一旦他可以使用,總是會有其他人見到他使用,於是前來就教,
如此一傳時,十傳百,就好像抗生素無法一次消滅所有病菌,
殘存的病菌便會開始全面滋生,而且連一般的使用者都能輕易突破,
最後該政策成為一個消耗系統資源又不能去掉的包袱。
衷心的建議,在阻擋了可能的破壞型的政策之外,其他的服務只要有日誌可供稽核便可,
藉由日誌來稽核使用者有無違反公司政策,讓公司政策與系統效能兼顧,
別再搞什麼阻擋了。有看過阻擋到最後的結果,使用者用雙網卡加上無線網路,
等於在防火牆後面的LAN端打一個大洞嗎?果真到了那天,公司的網路就千瘡百孔了。
如果你真的瞭解網路,你會懂我在講什麼,你應該是資深網管人員。
如果你真的認為你有辦法擋,其他人都沒你懂,你應該是個喜歡到處報名產品發表會的行政官僚。
要分辨這種人不難,其標準口頭禪為:(這簡單,只要......)
看你要不要花錢硬體Firewall都可以擋封包,web msn也是可以檔的住
[QUOTE=solong]可以請問一下linux_xp嗎? :|||:
阻止MSN:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ,印像中很少有資料會介紹 mangle 規則表的用法,先謝謝大家的回答 :circle:[/QUOTE]
-m layer7
-m :model,指明了它是一個模組
且是一個 iptables 的「外掛」模組,非 iptables 所內建
一般大多數的 Linux distro 並沒有內建 l7-felter 這個模組
需對 Linux 核心重新編譯,並對 iptables 加掛 l7-filter 模組,才能使用
l7-filter 是一個開源軟體
能過濾的 service 多達數十種
包括:常用的 service、msn 、p2p....等等
它有英文網站,詳細可以參考它的網站,或者參考市面上的中文教學書籍
原理說明:
--------------------------------------
任何種類的 service 封包,在它的 data 部分開頭,必會指定封包用途
也就是說在 data 資料中,會有說明封包用途的字串
從程式設計的角度來看,這是很容易理解的
當一個 server 端 軟體,監聽到給它 port 的封包時
它要如何知道這個封包是該它處理的?
只要在 client端 發送封包時,於 data 部分加入特定字串即可
例如:smtp 出去的封包,data 部分必會指明這是 smtp 封包
當然的,這字串不會是只有 smtp 四個字這麼簡單,而是一段程式碼
舉個例子:
這就好比把 rmvb 副檔名,改成 avi 副檔名 (偽裝,換 port)
該檔案也不會變成 avi,是同樣的道理
檔案名稱只是參考罷了 (port 只是參考罷了)
真正的檔案格式 (封包資料格式),都寫在 data 裡頭,播放器一讀就曉得了
因此只要去分析一個封包的 data
比對資料庫中的資料,若找到了符合的字串,就能確定它的用途
此功能稱為 filter 過濾器
過濾器抓出封包後,再交由防火牆去處理 - 決定封包是否通過或丟棄
但也可以知道,如果封包是加密過的
它的 data 結構顯然會有所改變,l7-filter 就無法抓出來了
不過 msn、icq、p2p ...等等常用的服務
目前還沒有加密型態的應用出現
加密需要雙方的演算,會耗用資源,這是不採用的最大的原因
另這些 service ,其實也還沒有到需要到保密的程度
ISP 管制 P2P 下載的下三流手段,用的就是硬體 l7-filter 的一種
如果 p2p 進化成加密型態,那 ISP 就甭玩了
:)
在公司無法連外,也無法安裝任何軟體,只好用vnc連回家,用家裡的上嚕
只是感覺家裡只要開了vnc server時,感覺都會怕怕的。
[QUOTE=rEdS]目前也只有這個方法最有效了!![/QUOTE]
笑笑就算了,認真起來後果應該是不堪設想 :D
[QUOTE=solong]可以請問一下linux_xp嗎? :|||:
阻止MSN:
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ,印像中很少有資料會介紹 mangle 規則表的用法,先謝謝大家的回答 :circle:[/QUOTE]
mm,我有跟你一樣的感覺。
因此小弟有在網路技術版PO了一篇 Linux Layer 7 防火牆實作紀錄
可以參考一下。
[QUOTE=mulder1031]相信我,以我在公司的經驗,凡事以阻擋方式處理問題為最下下策,且讓我分析給你聽,
首先,主管不肯扮黑臉,交付IT由網路或伺服器來阻止使用者使用某些服務,
如此會產生兩種結果,一種使用者位階夠高,剛好也使用該服務,來電詢問為何無法使用,
於是你的主管要你針對位階比他高的都予以放行,形成半調子的政策,
另外,低階一般使用者當發現無法使用該服務後,你等於在訓練他成為一個網路駭客,
就算沒有天賦,請相信侏羅紀裡面的諄諄教誨「生命會自己找尋出路」,
只要在眾多的使用者中有人有底子與管道(通常也會是其他IT),
一旦他可以使用,總是會有其他人見到他使用,於是前來就教,
如此一傳時,十傳百,就好像抗生素無法一次消滅所有病菌,
殘存的病菌便會開始全面滋生,而且連一般的使用者都能輕易突破,
最後該政策成為一個消耗系統資源又不能去掉的包袱。
衷心的建議,在阻擋了可能的破壞型的政策之外,其他的服務只要有日誌可供稽核便可,
藉由日誌來稽核使用者有無違反公司政策,讓公司政策與系統效能兼顧,
別再搞什麼阻擋了。有看過阻擋到最後的結果,使用者用雙網卡加上無線網路,
等於在防火牆後面的LAN端打一個大洞嗎?果真到了那天,公司的網路就千瘡百孔了。
如果你真的瞭解網路,你會懂我在講什麼,你應該是資深網管人員。
如果你真的認為你有辦法擋,其他人都沒你懂,你應該是個喜歡到處報名產品發表會的行政官僚。
要分辨這種人不難,其標準口頭禪為:(這簡單,只要......)[/QUOTE]
同意!我的方式也是不擋,省的其他 GGYY
用啥方法呢?我只是讓該服務 LAG 到使用者沒興趣而已
[QUOTE=mzhuang]同意!我的方式也是不擋,省的其他 GGYY
用啥方法呢?我只是讓該服務 LAG 到使用者沒興趣而已[/QUOTE]
有些廣告信也可以用這種方法來檔,故意限制流量甚小
讓它沒耐心等,就會自動從 list 去除名單 :D
因為廣告商都是以時間/信件數 來計錢,此舉剛好打到罩門。
V2900新版的韌體裡有擋IM的功能,只是我都沒開過
因為我不想被人砍死...:|||:
至於有沒有效,就要問小峰了...
但是理論上,只要網路線一接上,好像沒有什麼可以擋的住的...= =