Ciò che indubbiamente avvicina amici e parenti, se non usato con criterio, allontana il lavoro. Girando quotidianamente uffici grandi e piccoli mi rendo conto di quanto siano diventati immancabili sui PC dei dipendenti (e spesso anche dei datori di lavoro) Facebook, MSN, YouTube, i vari siti di posta elettronica personale,ecc. Per alcune aziende questo non costituisce un grande problema, ma per altre e soprattutto laddove il numero di dipendenti sia abbastanza elevato, il fenomeno comincia ad assumere la forma di una piaga. Questi siti infatti tolgono concentrazione agli utenti e ne abbattono la produttività, così come abbattono la banda internet che in molti casi per l’azienda è un notevole costo (pensiamo a connessione HDSL).
Per aiutare i datori di lavoro nella lotta ai cosiddetti Time Wasting Sites esiste un servizio gratuito che offre funzionalità di content filtering e consente quindi di impedire la navigazione su una serie di siti predefiniti oltre ad alcuni domini personalizzati da parte di tutti i PC della rete aziendale.
Il servizio in questione si chiama OpenDNS.org e la configurazione è abbastanza semplice. Non richiede l’installazione di nessun software laddove la nostra connessione internet disponga di un IP statico, mentre è necessario un piccolo agente client in caso di IP dinamico.
Vediamo nel dettaglio come operare.
Per prima cosa dovremo collegarci al sito www.opendns.org per registrare un account per la nostra azienda. Nell’angolo alto a sinistra troveremo il link Create Account.
Ci verrà subito mostrata una tabella comparativa tra la versione free e le due versioni a pagamento. Selezioniamo il pulsante Sign Up nel box relativo alla versione OpenDNS Basic.
Compiliamo la form di registrazione con i nostri dati e attendiamo una mail di conferma. Solo dopo aver cliccato sul link di attivazione in essa contenuta saremo pronti per cominciare ad utilizzare il servizio.
La configurazione può avvenire in tre differenti modalità. Su un singolo PC, su un router o su un server DNS interno all’azienda. Con queste opzioni vengono coperte praticamente tutte le esigenze. io effettuo la configurazione del servizio su un dispositivo piuttosto che sull’altro a seconda del tipo di rete in uso dal cliente. Cito alcuni esempi:
Connessione internet con router di proprietà del provider
Solitamente il router non consente modifiche a livello di DNS (Alice Business, ad esempio) e quindi opto per la configurazione sui singoli computer. Normalmente una connessione con router del provider è utilizzata in azienda di piccole dimensioni, quindi il numero di PC su cui configurare i DNS sono 4 o 5. Se il numero di PC fosse superiore consiglio di sostituire il router fornito dal provider con un router di proprietà.
Connessione internet con router di proprietà del cliente
In questo caso solitamente il router ha un servizio di DHCP server attivo, quindi lo configureremo in modo tale che gli indirizzi DNS forniti ai client siano quelli del servizio OpenDNS.
Presenza di un Domain Controller o un server DNS in azienda
Laddove sia presente un server controller di dominio i client dovranno per forza di cose puntare ad un DNS interno all’azienda (solitamente il domain controller stesso che avrà il servizio DNS server attivo). In questo caso dovremo configurare il server DNS per fare un forward verso i DNS esterni di OpenDNS. Sui client e sul router non dovrà essere modificata nessuna configurazione.
Una volta configurata la nostra rete dovremo configurare il servizio in base alle nostre esigenze specifiche. Dalla home page selezioniamo la Dashboard e procediamo
Alla prima connessione alla dashboard dovremo solezionare il pulsante Add a Network per registrare la nostra rete. Ci verrà proposto automaticamente l’indirizzo IP pubblico in uso in quel momento dalla nostra connessione internet. Nel caso di IP statico (la maggior parte delle connessione aziendali ha un IP statico) non sarà necessario installare nessun programma client.
Verrà richiesto un nome per identificare la rete (è infatti possibile registrarne più di una) e verrà offerta la possibilità di scaricare il client in caso di IP dinamico
Tornando alla Dashboard avremo la possibilità di configurare il servizio cliccando su Settings e specificando su quale rete agire
Selezionando Web Content Filtering potremo configurare le categorie di siti sui quali vorremmo impedire la navigazione. Selezionando l’opzione Custom ci verranno mostrate tutte le categorie e sarà possibile selezionare quelle che si intendono bloccare.
Inoltre sotto alla scelta delle categorie sarà possibile specificare dei domini sui quali impedire o consentire la navigazione indipendentemente dalla loro presenza nelle categorie selezionate.
Una volta selezionate le categorie e i domini dovremo attendere alcuni minuti affinchè la impostazioni si propaghino ai server di OpenDNS. Nell’esempio ho bloccato le categorie di Chat, Messaggistica Istantanea e Social Network. Dopo 5 minuti dall’applicazione dei filtri ecco il risultato cercando di connettersi a Facebook:
fascista 😉
Bellissima questa applicazione, non avendo ISA Server adesso ho la possibilità di bloccare tutto il traffico inutile!!! Grazie
E’ la stessa (soddisfacentissima & gratuita) soluzione che ho implementato da me.
Non pago ho usato anche squid e dansguardian per l’autenticazione e il lucchettaggio di ogni starnuto.
Bel blog, scritto con cura e professionalità! 😀
ps
in aggiunta è possibile customizzare la pagine di blocco con il logo dell’azienda e due righe minatorie del tipo: il sito xxx non è ritenuto lecito su questa rete. Per informazioni ed approfondimenti chiama il numero xxx o scrivimi alla mail xxx.
Mai ricevuto una singola chiamata.
Cosa avrebbero dovuto fare?
“Scusa, mi sblocchi youporn: mi serve per una ricerca di mercato…”
Invece nel periodo di non customizzazione l’utonto medio si divertiva a chiamare urlacchiando internet è rotto o simili.
E’ inoltre possibile gestire più reti ed applicare lo stesso set di regole custom a queste ultime: mitico.
Sono davvero entusiata di questa informzione, adesso a scuola avranno moooolto più tempo per studiare, e……… lavorare !!!! (visto che i professori e gli addetti sono spesso peggio degli studenti)
Mi pare di capire che si filtra a partire dal nome del sito. Se cosi fosse si può tagliare fuori il server dns usando:
un sito proxy(google translate, etc)
direttamente ip del sito(facebook).
Ciao
La versione a pagamento consente di gestire delle ricche blacklist personalizzabili, quindi potresti bloccare i proxy (anche con la gratuita ma il numero di record della lista sarebbe minore). Per l’IP chiaramente non c’è soluzione (economica) ma a quella stregua l’utente potrebbe connettersi via RDP al PC di casa e mettersi anche a giocare…
In realtà ci sono pacchi di metodi per aggirare questo sistema (io dico sempre: “In cina riescono a navigare.”) ma posso garantire che una fetta enorme degli utenti resterà a bocca asciutta.
In opendns, poi, c’è tutta una categoria di proxy/anonymizer che una volta selezionata blocca l’accesso a tutti i siti come hidemyass.com e compagnia bella.
Molto spesso, anche facendo riferimento per ip ad un sito (come facebook) non è detto che tutto funzioni per benino, soprattuto nel caso di siti complessi.
Ecco cmq perchè ho utilizzato anche un proxy nell’azienda in cui lavoro: ho log dettagliati per utente e posso bloccare anche ip.
Ciao.. io invece ho la necessità di bloccare tutti i siti web e lascire libera navigazione solo su una ventina di url..
si puo’ fare ?
e come ?
grazie tante
Per un settaggio così granulare devi usare la versione a pagamento di OpenDNS.
Con la versione Enterprise puoi gestire black e white list, quindi dovresti poter fare ciò che necessiti.
Ciao
Ciao, mi sono registrato ad opendns ma a quanto pare il servizio di content filtering non è più disponibile. Quando registro l’IP (statico), mi compaiono solo i servizi “security, customization, stats and logs, advanced settings”. Ti risulta che sia così oppure ho sbagliato qualcosa in fase di registrazione? Grazie, ciao…
Ciao e grazie per la visita!
Io ho appena rifatto un controllo e provato anche a registrare una nuova rete. Tutto è regolare, quindi ho anche i settari relativi al content filtering…
Tu stai utilizzando un account nuovo, appena creato, oppure avevi già un account e sono scomparse le voci?
Ciao e intanto grazie per la risposta. Avevo creato un nuovo account ma specificando che si trattava di una rete con più di 100 computer e per uso professionale. Evidentemente questa specifica ha automaticamente disabilitato il servizio di content filtering, che per reti professionali è a pagamento. Anche modificando l’account type in Household non ha funzionato. Ho creato un altro account per uso privato ed ora mi appare il servizio di content filtering. Tutto ok, funziona! Ciao e grazie.
Grazie a te per il feedback
Ciao
Salve a tutti. Ho un problema per bloccare FB in ufficio; io ho un contratto Alice Business con connessione internet con il router di proprietà della telecom, ho un IP fisso e a questo modem/ruoter ci sono collegati 4 PC; ho eseguito la procedura descritta passo passo, registrazione, mail di attivazione, ctrl correttezza dell’indirizzo IP fisso, etc. etc ma facebook continua ad essere tranquillamente accessibile ! Non ho quindi ben capito cosa si deve fare se uno ha il router di proprietà della telecom. Grazie
Ciao, probabilmente se il router funge da server DHCP fa si che i client utilizzino il suo IP come DNS e quindi, di fatti, non utilizzi il servizio di OpenDNS.
Il DNS del provider viene passato al router all’atto della connessione quindi, in pratica, per usare OpenDNS dovresti impostare i client per usare un IP statico e impostare quindi il router come gateway e il DNS di OpenDNS come DNS.
In alternativa puoi cambiare il router telecom con un router di tua proprietà così da poter modificare a piacimento i paramentri. Per mantenere lo stesso l’IP pubblico segui le istruzioni di questo altro articolo: http://www.andreamonguzzi.it/indirizzo-ip-statico-di-alice-business-con-un-router-draytek-2820n/
Ciao Andrea grazie per la risposta. Ora non posso verificare ciò che mi hai scritto perchè sono fuori regione comunque ciò che mi ricordo per certo è che nelle impostazione del router telecom business c’è: Stato DHCP Attivo, IP Iniziale: 192.168.2.2, IP Finale: 192.168.2.254 e tutti i vari PC e stampanti definiti nella rete hanno IP fissi del tipo 192.168.002.xxx; inoltre, in tutti i PC nelle proprietà della rete è stato inserito: Server DNS preferito: 151.99.125.1 e Server DNS alternativo: 151.99.0.100; inoltre questi dell’ufficio per non avere problemi preferiscono assolutamente non sostituire il modem/router della telecom; alla luce di queste nuove informazioni cosa mi puoi suggerire riguardo il blocco di Facebook ? Grazie.
Ciao Marco, l’errore sta nei DNS che hai impostato sui client.
Quelli che hai messo sono i DNS di Telecom, quindi di fatti non stai utilizzando il servizio OpenDNS.
Per far si che il traffico venga “indirizzato” da OpenDNS devi impostare sui client i DNS 208.67.222.222 e 208.67.220.220.
Così facendo dovresti risolvere il tuo problema.
Ciao e buon lavoro.
Ciao Andrea, grazie per la risposta e scusami per il ritardo ma sono dovuto rimanere fuori per lavoro molto più del previsto e solo l’altro giorno ho visto la tua risposta. Ieri poi sono ripassato nell’ufficio in cui hanno questo odioso problema con FB e, basandomi su ciò che tu mi hai detto e considerando che, come già ti ho accennato nell’altro messaggio (e cioè che non posso mettere le mani sui singoli client perché altrimenti il primo che viene e si connette per scaricare dati od altro, via wi-fi o via cavo ethernet farebbe capire subito agli altri che sono stati esclusi appositamente, in modo diciamo “mirato” . . .) devo per forza mettere la mani sul router fornito dalla telecom.
In “dettagli connessione” io ho questa situazione: IP Pubblico xxx.xxx.xxx.xxx (che è fisso) – Stato connessione modem: Attiva – DSN primario 85.37.17.17 – DNS secondario 85.38.28.72 che, a quanto vedo, non sono valori modificabili in questa sede. Scorrendo poi le opzioni del router noto un pulsante con su scritto “Configurazione servizio DNS dinamico” in cui all’interno non c’è alcun settaggio. E’ forse intervenendo su questa opzione che posso reindirizzare all’esterno verso i DNS di OpenDNS oppure i singoli client continuerebbero comunque a puntare i server di mamma telecom ? Dimmi se è così almeno risolvo una volta per tutte. Grazie
Ciao Marco.
Da che mi risulti non è possibile modificare il DNS sui router telecom poichè questo dati viene assegnato al router da Telecom in fase di connessione e poi rigirato via DHCP ai tuoi client. A questo punto hai 3 possibilità:
1. Mettere il DNS a mano sui 4 client;
2. Cambiare il router telecom con un router degno di tale nome :);
3. Mettere tra il router telecom e la LAN un piccolo firewall sul quale personalizzare tutto ciò che ti serve ed utilizzare questo come gateway lato LAN.
Al momento non ho un router telecom su cui controllare il discorso DNS (solitamente li debello come prima cosa, senza nemmeno estrarli dalla scatola)…
Andrea ho una domanda da farti io ho un firewall sul router dove posso impedire la navigazione in alcuni siti ma oi dipendenti lo aggirano con siti proxy come posso fare?
Ciao Alessia.
Con OpenDNS di cui parlo nell’articolo puoi bloccare l’accesso ai siti proxy/anonymizer in generale, quindi il problema sarebbe risolto alla base.
Dipende invece da marca/modello del tuo firewall il blocco tramite le regole da te impostate. Se hai un servizio di content filtering attivo dovresti poter bloccare anche dal firewall l’accesso a queste categorie di siti. Non trovi nulla in merito nella configurazione del router/firewall?
Ciao
ciao Alberto, ho smarrito i dati di accesso al router Alice per configurarlo con Opendns. Mi dai una dritta su come trovarli senza resettare il router e conseguenzialmente perdere il settaggio??. Grazie
Ciao Andrea, grazie ancora per la risposta. Prospetterò a quell’ufficio le uniche 2 soluzioni praticabili (ovvero o la sostituzione dell’apparato della telecom con un’altro oppure l’inserimento di un firewall che filtri gli IP indesiderati . . . indesiderati ovviamente dal proprietario dell’ufficio, non dagli impiegati . . . .). Grazie ancora. marco
Ciao a tutti;
il sistema è buono ma se uno è un minimo sgamato (e ce ne sono, perchè quando si tratta di scavalcare le imposizioni chissà come mai diventano tutti hacker) e ha l’account con privilegi di administrator, si cambia il DNS sulla scheda di rete e il gioco è fatto.
no?
Ciao, beh lasciare l’accesso amministrativo agli utenti su un client aziendale equivale a lasciare una finestra aperta e andare in vacanza…
ma come posso impedire che qualsiasi nella mia rete cambi i dns del proprio pc (ad esempio mettendo 8.8.8.8 di google) e cosi aggira i dns del router impostati su il dns di opendns?. Infatti basta che uno nella rete cambi i dns dal suo pc e il gioco è fatto e puo aggirare tutti i blocchi impostati da opendns.
Ciao, l’unico modo per poter impedire ciò è che gli utenti non siano amministratori del client, altrimenti pressochè tutti gli sforzi si rivelerebbero vani in poco tempo.
Ciao! Mi trovo in una rete aziendale dove abbiamo appena acquistato un server con Win SBS11 STD e con circa 7 pc portatili che verranno presto inseriti nel dominio (il server è arrivato oggi). Sostanzialmente mi viene chiesto di bloccare la navigazione a determinati siti solo in determinati computer. La soluzione migliore sarebbe quella di utilizzare un filtro a livello server che però riconosca il computer e dirotti il traffico. Qualche soluzione? Grazie mille 😀
Ciao Pietro. Nativamente Windows Server non gestisce quello che chiedi.
Hai bisogno di software ulteriore (che potrebbe essere TMG di Microsoft piuttosto che prodotti di altri) oppure di hardware che consenta un filtraggio come quello che ti serve.
A livello hardware io solitamente utilizzo i prodotti Fortinet e nel tuo caso specifico, con solo 7 utenti, potrebbe andarti bene il prodotto più piccolo che è il FortiGate 20C. Tra l’altro con un abbonamento apposito questi dispositivi fungono anche da antispam abbinati ad exchange.
Se ti servono ulteriori info in merito chiedi pure.
Ciao
Ciao ho fatto la registrazione (home con modifica dei dns sul server di dominio ) ma non trovo l’opzione per il settaggio del content filtering. E’ attiva solo per le versioni a pagamento per caso?
Grazie
Ciao, purtroppo pare non esistere più la versione free del servizio con le feature descritte. Credo che sia necessaria quindi l’eventuale sottoscrizione del servizio a pagamento.
Ciao, Buona Pasqua.
Ciao Andrea,
ho tentato di bloccare facebook seguendo la procedura che hai descritto ma non funziona.
non riesco a capire come mai
Può significare qualcosxa il fatto che il mio indirizzo IPv4 è diverso da quello che indica l’OpenDNS Dashborder?