Pro zaručení správné funkčnosti a dosažení nejlepších výsledků produktu Kernun Clear Web je nutné, aby se vlastnosti prostředí vaší sítě, kde má být Kernun Clear Web nasazen, pokud možno co nejlépe shodovaly s níže uvedenými předpoklady. Odchylky od těchto předpokladů nemusí nutně znamenat celkovou nefunkčnost zařízení, mohou však značně omezit některé jeho možnosti využití.

Před zprovozněním systému Kernun Clear Web je potřeba provést několik kroků:

Jakmile máte vše potřebné připraveno, můžete přistoupit ke zprovoznění systému Kernun Clear Web.

Jestliže instalujete virtuální zařízení, naimportujte tuto OVF šablonu do vašeho virtualizačního prostředí a nastavte virtuální síť tak, abyste z vašeho počítače mohli přistupovat k systému Kernun Clear Web používajícímu výchozí IP adresu (192.168.1.2). Podrobnější návod importu virtuální šablony do nejběžnějších virtualizačních platforem lze nalézt na http://www.kernun.cz/podpora/navody-kernun/.

V tuto chvíli by měl systém Kernun Clear Web běžet a být dostupný po síti z vašeho počítače. Před zahájením běžného používání je potřeba se přihlásit do webového grafického rozhraní a systém nakonfigurovat.

Po nastavení hesla administrátora je nutné dokončit počáteční konfiguraci systému zadáním základních parametrů nastavení sítě. V konfiguračním dialogu (2.2 – „Počáteční konfigurace“) se nastavují dříve zvolené hodnoty, viz 2 – „Příprava“:

Aby fungovalo DNS i bez nutnosti nastavovat adresy serverů, je ve výchozím nastavení jako primární DNS server nastavena adresa Google Public DNS 8.8.8.8.

Obrázek 2.2. Počáteční konfigurace

Po zadání hodnot klikněte na tlačítko Aktivovat konfiguraci. Nová konfigurace zařízení se uloží a aplikuje. Poté je vyžadováno nové přihlášení, tentokrát přímo do grafického uživatelského rozhraní produktu Kernun Clear Web. Jeho možnosti jsou popsány v následující kapitole.

Při novém přihlášení po aplikaci nastavení je nutné v prohlížeči zadat nově nastavené hostitelské jméno nebo IP adresu zařízení Kernun Clear Web.

Pro správnou funkčnost zařízení Kernun Clear Web v režimu Proxy ve vaší síti je potřeba, aby prohlížeče na jednotlivých uživatelských stanicích používaly zařízení jako webovou proxy. To lze nastavit manuálně na každé stanici zvlášť, což se hodí spíše pro menší sítě s malým množstvím klientských stanic nebo pro testovací účely. V případě větších sítí lze využít buď možnost automatické detekce proxy WPAD, případně konfigurace přes zásady skupiny GPO v doméně Microsoft Active Directory. Lze také využít nasazení Kernun Clear Web v režimu Firewall.

6.4. Nasazení v transparentním režimu

Tato kapitola je počínaje verzí 4.3.1 považována za zastaralou. Pro transparentní nasazení je preferován režim nasazení Firewall, viz 6.3 – „Režim Firewall“.

Kernun Clear Web je možné provozovat v transparentním režimu (bez nutnosti nastavení proxy v prohlížeči uživatele). Transparentní režim má oproti standardnímu zapojení následující omezení:

• Politiku pro koncová zařízení lze řídit jen podle jejich IP adresy

Podporovány jsou dvě varianty zapojení.

6.4.1. Kernun Clear Web jako výchozí brána

Kernun Clear Web může fungovat jako výchozí brána pro přístup do Internetu. V tomto zapojení zařízení propouští pouze HTTP a HTTPS komunikaci na portech, definovaných v příslušných polích podsekce Pokročilé možnosti v aktivitě Správa, sekci Síťové nastavení. Provoz HTTPS na specifikovaných portech nelze omezit ani monitorovat.

Ostatní typy požadavků (např. DNS, IMAP, SSH, apod.) nejsou propouštěny. Servery obsluhující tyto požadavky by proto měly být dostupné v místní síti a používat pro přístup do internetu jinou výchozí bránu.

6.4.2. Přesměrování HTTP požadavků z výchozí brány na Kernun Clear Web

Toto zapojení lze použít v případě, že brána používaná pro přístup k internetu dokáže přesměrovat všechny HTTP požadavky na Kernun Clear Web (funkce DNAT).

Schéma transparentního nasazení je znázorněno na obr. 2.3 – „Zapojení v transparentním režimu“. Klienti jsou umístěni v síti LAN_NET, zařízení Kernun Clear Web je umístěno do své vlastní IP sítě KCW_NET. Klient nesmí mít přímý přístup na Kernun Clear Web. Sítě musí být fyzicky nebo virtuálně odděleny.

Obrázek 2.3. Zapojení v transparentním režimu

Brána přesměrovává HTTP/HTTPS požadavky klientů na zařízení Kernun Clear Web. Zařízení Kernun Clear Web přijímá transparentní požadavky na portech nastavených v HTTP porty a HTTPS porty, které lze nalézt v pokročilých možnostech sekce Síťové nastavení aktivity Správa. V zařízení typu IP TABLES lze použít následující typ pravidla pro každý port webového provozu (80, 443, ...):

#!/bin/sh
WEB_PORT=80
KCW_IP=10.25.0.2
LAN_NET="10.12.0.0/24"
KCW_NET="10.25.0.0./24"
LAN_DEV="eth0"

# presmerovat webovy provoz smerujici na SERVER:WEB_PORT z LAN_NET na
# KCW:WEB_PORT (s vyjimkou provozu uvnitr LAN_NET)
iptables -t nat -A PREROUTING -i $LAN_DEV -s $LAN_NET ! -d $LAN_NET \
        -p tcp --dport $WEB_PORT -j DNAT --to $KCW_IP:$WEB_PORT

Tip

Pro přístup k rozhraní Kernun Clear Web je vhodné na administrátorské stanici vytvořit síťový alias v síti KCW_NET.

Do grafického uživatelského rozhraní systému Kernun Clear Web se přistupuje pomocí webového prohlížeče (Mozilla Firefox, Microsoft Internet Explorer nebo Google Chrome). Přihlášení probíhá obdobně, jako první přihlášení po zapojení systému, viz 4 – „První přihlášení“:

Grafické uživatelské rozhraní produktu Kernun Clear Web je rozděleno do několika částí (aktivit). V této kapitole stručně popíšeme jednotlivé aktivity. Podrobnější vysvětlení klíčových aktivit a s nimi souvisejících funkcí produktu bude následovat v dalších kapitolách.

Po přihlášení se zobrazí Přehled (3.1 – „Přehled“), který podává základní informace o stavu systému.

Obrázek 3.1. Přehled

V horní části obrazovky je navigační lišta (3.2 – „Navigační lišta“). V jejím levém rohu se nachází tlačítko Clear Web sloužící pro přepnutí do rozhraní modulu Kernun Business Intelligence. Následně jsou zobrazeny jednotlivé aktivity rozhraní se zvýrazněnou právě zobrazenou aktivitou. V pravé části lišty se zobrazují ikony upozorňující na nestandardní stav systému. V pravém rohu lišty je menu, kterým je možné uložit systémovou konfiguraci nebo uživatelské nastavení, zapomenout veškeré provedé změny, změnit heslo a odhlásit se.

Obrázek 3.2. Navigační lišta

Struktura dostupných aktivit v uživatelském rozhraní má dvě úrovně. První úroveň (nazývaná aktivity) se vybírá pomocí ikon na navigační liště. Názvy druhé úrovně (nazývané sekce) jsou v levém panelu.

Politika přístupu se skládá z pravidel řídících přístup na web. Pravidlo může být profil nebo výjimka. V případě, že je Kernun Clear Web nasazený v režimu Firewall, lze řídit politiku přístupu na internet také pomocí pravidel paketového filtru.

Politika přístupu se definuje v aktivitě Politika, která je rozdělena do více sekcí v závislosti na využívané funkcionalitě systému Kernun Clear Web:

Pro každý HTTP požadavek se vybere jeden profil nebo výjimka z profilů a rozhodne se o povolení nebo zamítnutí požadavku, popř. se nastaví další parametry zpracování požadavku. Výběr profilu nebo výjimky probíhá v několika krocích:

Jestliže je požadavek v některém z předchozích kroků povolen (přímo nebo prostřednictvím funkce Bypass), je požadavek odeslán na cílový server. Na základě typu obsahu odpovědi se použije první vyhovující pravidlo obsahu. Nevyhovuje-li žádné pravidlo obsahu (nebo pokud není žádné pravidlo obsahu zadáno), odpověď serveru je zaslána klientovi. Na odpovědi je vykonána kontrola podle nastavení antivirové ochrany.

Test politiky slouží k testování změn při úpravách konfigurace ještě před její aktivací. Nachází se v pravém panelu Politika. Po zadání webového provozu (zdrojové adresy, adresy serveru, času, popř. i jména uživatele nebo skupiny) informuje o akci, která bude provedena, a na základě jakého pravidla politiky. Kliknutí na název pravidla způsobí přesměrování na konfiguraci daného pravidla.

V případě, že byly v konfiguraci politiky provedeny změny a konfigurace nebyla aktivována, mohou se výsledky testování lišit od skutečného chování zařízení Kernun Clear Web. Nástroj test politiky nebere v úvahu pravidla paketového filtru, přesměrování portů a politiku obsahu, protože tato pravidla neřídí provoz na úrovni HTTP požadavku. Test politiky také zatím nepodporuje IPv6 adresy, rozsahy IPv4 adres a odkazy na pojmenované síťové objekty.

Obrázek 4.1. Test politiky

Systém Kernun Clear Web periodicky kontroluje dostupnost nových verzí a aktualizací. V případě zaškrtnuté možnosti Příprava aktualizací se automaticky, bez nutnosti zásahu administrátora, stáhne dostupná aktualizace a připraví se lokálně na zařízení. Tím se čas samotné aktualizace zařízení zkrátí na co nejkratší možnou dobu. V případě nepovedené aktualizace je možné se vždy vrátit k předešlé funkční verzi pomocí tlačítka Obnovit.

Platnost licence je možné zkontrolovat jak na Přehledu, tak v sekci Správa a aktualizace aktivity Správa, kde je navíc možnost nahrát do zařízení novou licenci. V této sekci se také nachází funkce pro zálohování a obnovu konfigurace, restart a vypnutí zařízení Kernun Clear Web.

Pro rychlejší analýzu a řešení nekonzistentností systému lze spustit službu vzdálené pomoci, která umožní přímý přístup technikům výrobce na konkrétní zařízení Kernun Clear Web. Pro fungování této služby nastavte váš firewall a případné mezilehlé prvky vaší síťové infrastruktury tak, aby neblokovaly komunikaci ze zařízení na port 22 (SSH) serveru callhome.kernun.com.

V této sekci je možné změnit HTTPS certifikát administračního rozhraní. Ve výchozím nastavení je certifikát vygenerován automaticky a je vždy podepsán certifikační autoritou pro akceptované certifikáty, která je nastavena v sekci 3 – „Inspekce HTTPS“. Při změně této certifikační autority nebo při změně hostitelského jména systému je výchozí certifikát vygenerován nově a může být nezbytné znovu pro něj přidat výjimku v prohlížeči. Lze zadat vlastní certifikát, který se použije namísto výchozího certifikátu.

Dále lze v této sekci zapnout nastavit SNMP server pro umožnění monitorování stavu systému. SNMP používá verzi 3 pomocí UDP protokolu na portu 161 vybraného síťového rozhraní pro přístup v read-only režimu.

Kernun Clear Web podporuje autentizaci uživatelů v prostředí Microsoft Active Directory a Samba. Dokáže zjistit jméno uživatele přihlášeného do domény a jemu příslušející skupiny. Tyto informace využívá k nalezení správného profilu nebo výjimky pro řízení přístupu uživatele k webu podle nastavené politiky 4 – „Politika“. Uživatelé a skupiny se následně objevují v monitoru spojení, v záznamech, ve statistikách a lze jich využít i v testu politiky.

Autentizace uživatelů je podporována pro veškerý HTTP a FTP provoz, a pro HTTPS v netransparentním režimu.

Doporučený způsob autentizace je pomocí mechanismu Kerberos, zejména z důvodu efektivnější síťové komunikace a podpoře autentizace uživatelů na terminálových serverech. Protokol NTLM je podporován jako záložní možnost pro případy, kdy klientské aplikace nepodporují Kerberos nebo při použití serveru Samba verze 3 a vyšší v doméně Windows NT.

Ke konfiguraci autentizace slouží podsekce Proxy autentizace v aktivitě Správa. Po nastavení parametrů autentizace a aktivaci konfigurace je nutné provést inicializaci autentizačního mechanismu pomocí tlačítka Inicializovat připojení k doméně. Funkčnost autentizace lze ověřit pomocí tlačítka Otestovat autentizaci v doméně. Obě tlačítka se zobrazí po zapnutí autentizace a aktivaci konfigurace.

Pro úspěšnou inicializaci autentizace je nutné splnit následující předpoklady:

Inspekce HTTPS provozu umožňuje průběžně dešifrovat, zkontrolovat, a znovu zašifrovat komunikaci protokolem HTTPS. Inspekci HTTPS provozu lze zapnout v aktivitě Správa v sekci Inspekce HTTPS.

Jestliže je inspekce HTTPS provozu vypnuta, Kernun Clear Web se rozhoduje pouze podle domény cílového počítače. Není možné řídit ani logovat jednotlivé HTTP požadavky.

Jestliže je inspekce HTTPS provozu zapnuta, Kernun Clear Web se pro HTTPS požadavky rozhoduje obdobně jako pro HTTP požadavky.

Protokol HTTPS používá certifikáty jako prostředek k ověření identity serveru. Inspekce HTTPS (z principu věci) vstupuje do komunikace mezi klientem a serverem, což by za normálních okolností webový prohlížeč na straně klienta detekoval a hlásil uživateli jako „Nedůvěryhodné spojení“. Kernun Clear Web tomu předchází: generuje vlastní certifikát serveru, který kopíruje obsah originálního certifikátu serveru. Tento vygenerovaný certifikát je vydán certifikační autoritou (CA) provozovanou na systému Kernun Clear Web.

Kernun Clear Web používá pro komunikaci s klientem serverové certifikáty podepsané jednou ze dvou CA.

Certifikáty serveru ověřuje Kernun Clear Web pomocí seznamu důvěryhodných certifikačních autorit. Doporučuje se používat standardní seznam důvěryhodných certifikačních autorit, který je součástí produktu Kernun Clear Web. Je-li potřeba, je možno přidat další důvěryhodné certifikační autority.

Kernun Clear Web umožňuje definovat výjimky z inspekce HTTPS. Výjimky se zadávají v aktivitě Politika v sekci Výjimky z inspekce HTTPS. Výjimky je možno zadat na základě adresy klienta, adresy serveru nebo seznamu Clear Web kategorií. Kernun Clear Web do provozu vyjmutého z inspekce HTTPS nevstupuje a chová se k němu stejně, jako by byla HTTPS inspekce zcela vypnuta.

Zařízení Kernun Clear Web poskytuje ochranu před viry, trójskými koňmi a jinými druhy škodlivých programů ve webovém obsahu přenášeném z internetu do interní sítě organizace. Pro dosažení vysoké bezpečnosti podle konceptu obrany do hloubky doporučujeme využít tuto funkci jako doplňkovou vrstvu ochrany k antivirům na koncových stanicích a serverech. Ochrana je implementována pomocí specializovaných antivirových řešení renomovaných výrobců.

Pro nastavení a správu antivirové ochrany se používá sekce Antivirová ochrana aktivity Správa. Lze zvolit režim integrovaný antivirus nebo ICAP server, nastavit maximální velikost kontrolovaných dokumentů nebo úroveň zabezpečení. Pro antivirovou ochranu dat přenášených pomocí HTTPS spojení je nutné mít zapnutou inspekci HTTPS provozu. Funkčnost antivirové ochrany lze zkontrolovat pomocí série testů spustitelných z administračního rozhraní.

Režim integrovaný antivirus využívá antivirové řešení a databázi přímo na zařízení Kernun. Nutností je zakoupení platné licence pro modul antivirus a její nahrání na systém Kernun Clear Web pomocí administračního rozhraní.

Aktualizace databáze vzorků virů je prováděná automaticky minimálně jednou za hodinu. Aktualizaci lze také spustit manuálně z administračního rozhraní.

Režim ICAP server umožnuje zasílání webového obsahu za účelem antivirové kontroly na dedikovaný antivirový server pomocí síťového protokolu ICAP. Kernun Clear Web v komunikaci vystupuje jako ICAP klient a s ICAP serverem komunikuje v módu RESPMOD. Pro fungování je nutné nastavit správné URI pozůstávající z IP adresy a portu ICAP serveru (většinou port 1344) a z cesty ke službě. Byla ověřena spolupráce systému Kernun Clear Web s následujícími antivirovými produkty, pro které je přednastavena výchozí cesta ke službě:

Je možné použít i jiná antivirová řešení podporující ICAP protokol pomocí položky jiný a zadáním odpovídající cesty pro službu antiviru podle jeho konfigurace (v současné době není podporováno antivirové řešení DrWeb).

Cluster slouží k zajištění vysoké dostupnosti služeb poskytovaných systémem Kernun Clear Web. Umožnuje snížit na minimum čas výpadku v případě poruchy hardwarového zařízení. Předpokladem je redundantní zapojení dvou stejných hardwarových zařízení Kernun Clear Web (tzv. uzlů) za použití clusterové licence. Jeden uzel clusteru je hlavní (master) a druhý záložní (slave). V případě výpadku hlavního uzlu dojde bez potřeby administračního zásahu správce k automatickému převzetí provozu záložním uzlem. Vysokou dostupnost služeb pro virtuální zařízení Kernun Clear Web doporučujeme zajistit pomocí funkcí konkrétního virtualizačního prostředí.

Pro správné fungování clusteru je nutné mít oba uzly v synchronizovaném stavu. K synchronizaci interního stavu uzlů dochází automaticky a průběžně v řádu jednotek minut. K synchronizaci konfigurace mezi uzly dochází při aktivaci konfigurace na jednom z uzlů nebo při použití funkce Spárovat uzly clusteru.

Celkový stav clusteru:

Vytvoření a správu účtů pro přístup k administračnímu rozraní Kernun Clear Web lze provádět v sekci Účty aktivity Správa. Vlastník účtu využívá pro autentizaci do administračního rozhraní název účtu a heslo. Úspěšně autentizovanému uživateli rozhraní jsou přidělena oprávnění k manipulaci s funkcemi rozraní podle nastavené role. Vytvořenému účtu lze změnit heslo nebo role, avšak pro změnu názvu nebo celého jména vlastníka je potřebné vytvořit účet nový. Z bezpečnostních důvodů je vyžadována změna výchozího hesla každého účtu po prvním úspěšném přihlášení.

Jednotlivým rolím jsou přidělena následující oprávnění:

Pro přihlášení do webového rozhraní bez nutnosti zadávat uživatelské jméno a heslo lze použít funkcionalitu Single Sign-on (SSO). Ta v prostředí Microsoft Active Directory využívá protokol Kerberos a LDAP. Podmínkou funkčnosti SSO je správně nakonfigurovaná proxy autentizace pomocí metody Kerberos: 2.1 – „Autentizace metodou Kerberos“ a správně nastavené prostředí klienta.

Microsoft Internet Explorer a Google Chrome:

Mozilla Firefox:

Single Sign-on lze nastavit v sekci "Účty": 6 – „Účty“. Poté lze do webového rozhraní autentizovat dvěma způsoby:

Webový provoz kontrolovaný a řízený zařízením Kernun Clear Web lze jednoduše analyzovat pomocí statistik. Statistiky systému jsou generované periodicky za každý ukončený den, týden nebo měsíc. Mimo to lze vytvořit vlastní statistiku za zvolené období z dostupných záznamů a s vybraným filtrem na klienta, uživatele, skupinu, server, pravidlo nebo kategorii. Takto vytvořené statistiky lze filtrovat podle data, zobrazit, smazat nebo stáhnout jako jeden soubor ve formátu HTML.

Každá statistika se skládá ze tří graficky oddělených částí. Mimo hlavičky s názvem, specifikací období a filtru obsahuje Souhrnné informace, Časový histogram a Top X hitparády.

Přehled právě probíhajících spojení je dostupný v sekci Monitor spojení v aktivitě Provoz.

Každý řádek této tabulky reprezentuje jedno právě probíhající spojení klienta. Pro každé spojení jsou mimo jiné zobrazeny informace o klientovi, uživateli, počtu a rychlosti stažených a odeslaných dat a času, kdy spojení začalo. Jestliže skrze spojení právě probíhá nějaký požadavek, zobrazuje se též informace o cíli, URL a kategoriích.

Kernun Clear Web vytváří a ukládá základní a podrobné provozní záznamy. Oba typy jsou uchovávané v textové podobě, která je komprimovaná po dnech. Tyto záznamy jsou uložené na zařízení standardně po dobu 31 dní. Dobu uložení lze změnit v aktivitě Správa, sekci Parametry systému. Nastavení příliš vysokého limitu může vést k zaplnění disku a k omezení funkčnosti zařízení. V režimu cluster jsou z důvodu šetření systémových prostředků synchronizovány pouze záznamy z předchozích dnů, pro analýzu záznamů z dnešního dne je nutné se přihlásit do rozhraní uzlu clusteru, který analyzujeme.

Základní logy jsou importovány do databáze, která je používána pro generování statistik a využívána modulem Kernun Business Intelligence pro tvorbu reportů. Více o správě databáze lze nalézt v administrační příručce modulu Kernun Business Intelligence

Pro práci s provozními záznamy je určena sekce Záznamy v aktivitě Provoz. Před samotných zobrazením záznamů je nutno upřesnit omezující parametry, jako je typ záznamů nebo hledaný výraz. Pro urychlení práce doporučujeme co nejvíce omezit období prohledávaných záznamů, zadáním časového rozmezí. Zobrazení záznamů za dnešní den je rychlejší, protože data není nutné dekomprimovat. Při nevyplnění konce časového intervalu se budou postupně zobrazovat nově vznikající záznamy. Hledaný výraz lze upřesnit v pokročilém nastavení filtru. Zobrazené záznamy lze filtrovat v levém panelu.

Záznamy se zobrazují ve formě tabulky. V záhlaví tabulky se nachází řádek s filtry, které omezují zobrazované záznamy. Sloupce lze skrýt pomocí tlačítka Zobrazit sloupce, kde je kliknutím a tažením možné upravit pořadí sloupců. Po dvojitém kliknutí na řádek se zobrazí detailní informace obsažené v záznamu.

Pro řešení problémů v systému Kernun Clear Web lze využít následující možnosti: