Bloquear web no trabalho parcialmente, que sistema usar numa rede empresarial?

Boas pessoal,

foi-me incumbida a tarefa de bloquear o acesso web a cerca de 20 computadores numa empresa, dado o tempo que o pessoal passa a ver coisas que não correspondem à actividade desta. O problema é que alguns sites vão ter que estar desbloqueados em determinados computadores, mas noutros ja não, não é bloqueio total da web.

O router/firewall que temos la de momento é um DrayTek Vygor 2910, que so bloqueia numa prespectiva geral segundo estive a ver, e por categorias especificas, o que me dificulta logo a tarefa pois ao estar a desbloquear um tipo de sites para uns estou a faze-lo para outros. Por momentos pensei em bloquear a web a toda a gente e por la um pc apenas com acesso à web, para assim desincentivar as pessoas de andarem a pesquisar coisas inuteis nas horas de trabalho, mas isso talvez desse problemas.

Que soluções me aconselham e as mais baratas mas eficazes? Existe algum router/firewall que de para definir regras de sites a visitar tendo em conta o mac address (os ips estao a ser atribuidos por dhcp)? Ou algum sistema ja montado para o efeito, que funcione em linux e seja de facil utilização (tenho uma maquina em linux com 2 placas de rede parada). Ou outras soluções para o meu problema?

Mais barato e mesmo investir na formacao das pessoas, ja que para qualquer solucao que encontres, havera sempre a possibilidade de dar a volta.
De qualquer forma, uma opcao seria ter virtual networks, cada uma com diferentes configuracoes de acesso, e juntas os pcs a rede respectiva. Nao sei se esse router suporta virtual networks, mas tendo em conta que routers domesticos de 60 euros normalmente suportam pelo menos 4, penso que nao teras problema com isso

Penso que poderás resolver o teu problema através de um proxy.

Como deves compreender, esta não é uma situação básica semelhante a uma rede doméstica.
Tens servidor de domínio? Deve ser a forma mais eficaz para depois controlares isso. Se não estiveres para gastar muito dinheiro podes fazer um em Linux (é claro que precisas de conhecimentos!!)
Faz uma pesquisa sobre squid, ou por exemplo sobre o Untangle (pode ser uma alternativa boa para a máquina que tens parada)...

O untangle é uma boa solução para o teu problema...

Sim, temos dominio, está um servidor com Windows Server 2008 R2 a gerir o dominio e os users. Ontem por acaso enquanto pesquisava sobre o assunto encontrei o site do Untangle, à primeira vista pareceu-me interessante mas não me debrucei muito pelo site. É de facil configuração ou tem alguma complexidade?

Dentro das funcionalidades que tem, pode-se considerar que é bastante simples.
Mas julgo que para teres bloqueio por users tens de pagar um plugin à parte.
Já o uso há bastante tempo na nossa empresa, para bloquear alguns sites e como ferramenta anti-spam (principalmente) e é leve, bastante estável e fácil de implementar.
E sem esquecer que tem bastantes módulos gratuitos!

Mete uma proxy, e configura isso de nas policies do AD de forma a que todos os users comam com isso e não possam mexer.

Aconselho-te um Squid+SquiqGuard, dado que o SquidGuard tem listas bastante extensas e que são actualizadas bastante regularmente.

Se queres uma coisa mesmo blindada, tens a opção de correr o Squid como Transparent Proxy. Dá mais trabalho de configurar e vais ter alguns problemas com alguns tipos de protocolos (especialmente tudo o que seja SSL), mas é limpo e (passe o pleonasmo) transparente.

O teu router tem tudo o que precisas para o que tens em mente. Vai ao manual do dito cujo, à página 69 (salvo seja), tópico 3.5 nomeadamente. Agora lê por aí abaixo.

No seguinte interface,



existe a possibilidade de adicionares uma lista negra ou branca de sites usando uma palavra chave do género "http:\\*.*" ou "www.*". Tens a possibilidade de negar serviços especificos Java, ActiveX, etc. Tens a possibilidade de negar acessos a sites através do uso directo do endereço IP do mesmo. Tens ainda a possibilidade de especificar um horário para aplicar essas restrições. E ainda podes, como é obvio, especificar o endereço IP dos computadores que têm via verde.

Para além disto ainda podes aplicar um filtro global por categorias a todos os computadores o que previne o acesso a lugares inapropriados, até aos senhores da via verde.

E isto é ao que parece - porque só vi a coisa por alto - uma amostra das potencialidades desse router. Se mitrares bem esse manual, vais ver que tens lá tudo o que precisas.

Outra possibilidade é bloqueares usando as opções da firewall do router todo o acesso à internet (TCP/UDP) aos endereços IP dos computadores que pretendes - no meu tijolo da Sapo isso chama-se "Access Control" e basta colocar lá o endereço do PC que quero bloquear ao exterior. E depois usando o interface que referi anteriormente bloqueias/permites o acesso aos que ainda podem comunicar com o exterior. Dessa forma terás 3 tipos de controlo: negação completa, negação/permissão especifica e permissão completa.