I tuoi dipendenti perdono tempo su internet durante l’orario di lavoro? Sono meno produttivi e restano anche ore intere a guardare video su Youtube o a navigare su siti social come Facebook, Twitter o Instagram?
In questo articolo ti propongo 4 modi per poter bloccare la navigazione in azienda, a seconda delle tue esigenze.
Le prime due soluzioni sono abbastanza semplici e realizzabili anche da chi non ha conoscenze approfondite, le ultime due sono uno spunto ed, essendo adatte per restrizioni più flessibili ed articolate, richiedono l’aiuto di una persona tecnicamente preparata.
Cambio delle impostazioni di rete
Se hai esigenza di bloccare internet ai tuoi dipendenti, impedendone completamente la navigazione, ma lasciando che i PC restino comunque collegati alla rete interna aziendale, puoi agire sulle impostazioni della scheda di rete di ogni singolo computer:
1. imposti un IP statico su ogni macchina (non utilizzi quindi il DHCP)
2. lasci vuoti i campi gateway predefinito e server DNS
In questo modo le postazioni resteranno in rete, potranno continuare a collegarsi al server del gestionale (se in intranet), stampare e condividere file in cartelle di rete.
Come un dipendente può eludere tale sistema? Solo smanettando sulle impostazioni della scheda di rete, magari riattivando il DHCP o inserendo l’indirizzo IP del gateway e dei server DNS.
Contro: Considera che con questa impostazione i client restano totalmente sconnessi da internet e, ad esempio, non potranno più scaricare la posta elettronica o le firme aggiornate dell’antivirus.
Modifica del file HOSTS
Un’altra soluzione da applicare localmente su ogni singolo PC è la creazione o modifica del file hosts di Windows.
Questo file è un file testuale che si trova sotto la posizione
C:\WINDOWS\system32\drivers\etc
Si tratta nella sostanza di una tabella che specifica la conversione di un URL in indirizzo IP a livello locale. Tecnicamente è quello che fa un server DNS, ma tutto ciò avviene in locale ed ha priorità sul server DNS stesso. E’ tale priorità che potrai sfruttare a tuo favore: basta specificare nel file hosts gli URLs che non vuoi che quel computer raggiunga facendoli puntare ad un indirizzo non funzionante (del tipo 127.0.0.1 o 0.0.0.0).
Ecco di seguito un esempio di file hosts modificato:
Per avere maggiori informazioni sull’utilizzo e la modifica del file hosts dai uno sguardo a questa completa guida.
Il concetto del file hosts può essere utilizzato anche per incrementare la sicurezza durante la normale navigazione, inibendo la visualizzazione di indirizzi che puntano a siti pericolosi o non attendibili. Per questo esistono liste hosts già pronte come questa.
Come un dipendente può eludere tale sistema? Smanettando sul file hosts stesso, modificandolo o eliminandolo.
Contro: Con questa operazione puoi facilmente impedire l’accesso a Facebook o altri siti nella tua azienda. E’ pure vero che un dipendete più scaltro potrebbe raggiungere i siti di suo interesse puntando direttamente all’indirizzo IP o passando tramite un proxy web (guarda questo vecchio post).
Installazione di un firewall hardware
Parliamo ora di una soluzione più avanzata, adatta in particolar modo se i PC della tua rete aziendale sono numerosi e se vuoi gestire le limitazioni del traffico web con maggiore flessibilità.
Dovresti cominciare a pensare all’installazione di un firewall hardware. Si tratta di un dispositivo che va collocato di mezzo il router della connessione internet e l’apparato di hub/switching di rete.
Il firewall provvederà a filtrare tutto il traffico da interno verso l’esterno, e viceversa, secondo le regole da te impostate.
La configurazione di un firewall non è banale per chi è a digiuno di concetti e sistemi di rete e questo post non è di certo il luogo adatto per approfondire in merito la questione, ma ho un paio di dritte da darti:
– un firewall non serve solo a bloccare il traffico internet per i tuoi dipendenti. E’ qualcosa di più avanzato che permette di inalzare la sicurezza e la protezione della tua rete interna da attacchi esterni tramite la chiusura di porte e l’utilizzo di particolari filtri (compresi antispam). Valutane quindi l’installazione nell tua rete a priori.
– con un firewall puoi bloccare la navigazione inibendo la porta 80 (quella del traffico internet) ma lasciando aperte le altre porte utilizzate da servizi come la posta elettronica.
– valuta l’acquisto di un firewall che utilizza moderni sistemi di content filtering. Con tale tecnica potrai bloccare la navigazione di siti in base al contenuto di parole chiave. Se insomma non vuoi far navigare su Facebook in azienda ti basterà utilizzare la keyword “facebook” per non far navigare neanche su proxy (in protoccollo HTTP).
Ecco un paio di modelli di firewall, dotati di content filtering, che potrebbero fare al tuo caso:
Come un dipendente può eludere tale sistema? Con un dispositivo di fascia alta ben configurato è davvero difficile che un tuo addetto possa andarsene in giro per il web. I moderni firewall hanno inoltre avanzati sistemi di log che permettono all’amministratore di rete di correggere il tiro dove necessario.
Installazione di un PC proxy/firewall
L’installazione di un PC a fare da proxy/firewall potrebbe essere una soluzione economica (se hai ad esempio già un computer dalle caratteristiche decenti a a disposizione) per impostare regole sulla navigazione dei client aziendali.
Ti occorre una macchina con doppia scheda di rete, una per l’attacco sulla WAN, l’altra per l’uscita su LAN aziendale. Puoi poi affidarti ad una distribuzione Linux studiata allo scopo.
Zeroshell è una distro tutta italiana che nasce allo scopo. Prevede l’attivazione di un mucchio di servizi: la creazione di hotspot e WiFi Access Point, VPN, bilancio di rete, proxy antivirus ed, ovviamente, Firewall e Filtri Web, con una corposa documentazione e un forum di supporto molto frequentato, disponibile ed in lingua italiana.
Come un dipendente può eludere tale sistema? Vale lo stesso concetto che per un dispositivo firewall hardware.
Bloccare Teamviewer e programmi di controllo remoto
Anche se la navigazione nella tua rete aziendale viene bloccata o filtrata secondo i parametri da te desiderati considera che programmi di controllo remoto come Teamviewer potrebbero continuare a funzionare se lasci aperta la porta di navigazione 80. Gli utenti riuscirebbero quindi ad utilizzare una connessione remota per collegarsi al PC di casa e navigare di lì.
L’unico modo per evitare tale opportunità è offerto da firewall di ultima generazione in grado di bloccare le applicazioni tramite l’ispezione dei pacchetti dati.