Kapitola 4. Politika

Obsah

1. Pravidla politiky
2. Vyhodnocení politiky
3. Testování politiky

Kapitola představuje možnosti pro nastavení a testování politiky přístupu k webu. Popisuje koncept profilů a výjimek pro definování politiky, způsob vyhodnocení politiky a také pokročilé funkce pro řízení provozu. Pro nastavení pravidel politiky slouží aktivita Politika administračního rozhraní.

Politika přístupu definuje, kteří uživatelé nebo klienti mohou přistupovat na webové servery, a za jakých podmínek. Každý uživatel je identifikován uživatelským jménem a jmény skupin, jejichž je členem. Jestliže je vypnuta autentizace, viz 2 – „Autentizace uživatelů“, lze uživatele rozlišovat podle IP adresy nebo hostitelského jména klienta. Politika přístupu se skládá z pravidel řídících přístup na web nebo na internet obecně. Pravidlo může být profil nebo výjimka, případně pravidlo paketového filtru.

Webové servery jsou v databázi Kernun Clear Web řazeny do kategorií podle typu obsahu. Aktuální příslušnost webové stránky do kategorií lze zjistit v katalogu kategorií dostupném na http://www.kernun.cz/cwdb. Kromě základních pevně daných kategorií v databázi lze v aktivitě Správa v sekci Parametry systému definovat servery ve speciální kategorii Interní servery, kam jsou implicitně zařazeny také servery s privátními IP adresami podle RFC 1918 ze sítí 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16. Pro definování politiky přístupu na základě kategorií webového obsahu slouží pravidla typu profil. V případě potřeby lze definovat pomocí výjimky z profilů pravidlo politiky přístupu také pro jednotlivé servery podle jejich jména.

Pokročilé funkce pravidel politiky jsou:

Bypass

Pomocí funkce Bypass lze na uživatele delegovat rozhodnutí, zda na stránku z dané kategorie přistoupí. Uživatel je upozorněn, že na danou kategorií by neměl přistupovat, ale umožní mu v případě potřeby po kliknutí na aktivační tlačítko zobrazit obsah po administrátorem definovanou dobu. Po uplynutí této doby se mu znovu zobrazí upozornění. Doba aktivace funkce Bypass se nastavuje v aktivitě Správa, v sekci Globální nastavení provozu. Pro HTTP metody CONNECT a POST se požadavky povolí bez upozornění.

Nadřazené proxy servery

Požadavky se pro uplatněné pravidlo posílají na cílové servery pres vybranou nadřazenou webovou proxy nebo přímo. Seznam nadřazených webových proxy serverů lze definovat v aktivitě Správa, v sekci Globální nastavení provozu.

Rizikové tunelování

Umožňuje blokovat šifrované spojení na servery, pro které klient neuvedl doménové jméno, ale pouze IP adresu. Tato funkce blokuje některé aplikace, např. Skype, Tor a TeamViewer. Jedná se o metodu CONNECT s IP adresou v hlavičce Host pro netransparentní provoz a TLS bez vyplněného SNI pro transparentní provoz.

Čas

Pro většinu pravidel lze nastavit časový interval, kdy se mají uplatňovat.

1. Pravidla politiky

Politika přístupu se skládá z pravidel řídících přístup na web. Pravidlo může být profil nebo výjimka. V případě, že je Kernun Clear Web nasazený v režimu Firewall, lze řídit politiku přístupu na internet také pomocí pravidel paketového filtru.

Politika přístupu se definuje v aktivitě Politika, která je rozdělena do více sekcí v závislosti na využívané funkcionalitě systému Kernun Clear Web:

Výchozí profil

Pomocí akcí (Povolit, Bypass, Blokovat) přiřazených ke všem tematickým kategoriím webového obsahu a nastavením pokročilých funkcí lze vytvořit pravidlo politiky přístupu na web nazvané profil. Výchozí profil definuje implicitní pravidlo politiky přístupu na web pro celou síť, které se uplatní na veškerý webový provoz, na který se neuplatnil žádný jiný profil nebo výjimka z profilů.

Profily

V případě, že chceme nějakému uživateli nebo skupině uživatelů nastavit jinou politiku přístupu na web, než jak definuje výchozí profil, je potřeba vytvořit nový profil v sekci profily.

Pomocí akcí (Povolit, Bypass, Blokovat) přirazených ke všem tematickým kategoriím webového obsahu a nastavením pokročilých funkcí lze vytvořit pravidlo politiky přístupu na web nazvané profil. Profilu lze přiřadit seznam uživatelů, skupin nebo zdrojových adres, na které se má uplatnit.

Profily definují pravidla politiky přístupu na web pro vybrané zdroje komunikace. Na provoz se uplatní první profil ze seznamu obsahující alespoň jednu identifikaci zdroje komunikace (uživatel, skupina, zdrojová adresa), za předpokladu, že se na provoz neuplatnila žádná výjimka z profilů.

Prázdný seznam zdrojových adres znamená libovolnou zdrojovou adresu. Prázdný seznam uživatelů a skupin při zapnuté autentizaci znamená libovolného autentizovaného uživatele. V případě vypnuté autentizace se uživatel ani skupina nekontrolují.

Příklad: Pomocí výchozího profilu blokujeme přístup na sociální sítě. Ale zaměstnanci obchodního a marketingové oddělení potřebují sociální sítě pro komunikaci se zákazníky, proto jim vytvoříme samostatný profil a v něm sociální sítě povolíme.

Profily jsou zobrazeny v tabulce uspořádané podle priority a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazované sloupce tabulky a také filtrovat profily podle hodnot obsažených ve sloupcích. Nově přidaný profil má nastavené hodnoty z výchozího profilu, jakožto základní politiky přístupu. Nový profil lze vytvořit také duplikováním již existujícího. Profil je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.

Výjimky z profilů

Někdy je potřeba pro konkrétní webový server nebo doménu nastavit přístup jinak, než vyplývá z kategorie obsahu serveru a odpovídajícím profilům. V tom případě lze definovat výjimku z profilů, která povolí nebo blokuje přístup k vybraným serverům nebo doménám.

Výjimky z profilů definují pravidla politiky přístupu na web, které umožnují povolit nebo blokovat komunikaci se servery nezávisle na jejich kategoriích obsahu pro vybrané zdroje komunikace. Uplatní se první ze seznamu výjimek z profilů obsahující zároveň identifikaci zdroje komunikace (uživatel, skupina, zdrojová adresa) a příslušnou adresu serveru.

Prázdný seznam adres serverů znamená libovolný server. Prázdný seznam zdrojových adres znamená libovolná zdrojová adresa. Prázdný seznam uživatelů a skupin při zapnuté autentizaci znamená libovolný autentizovaný uživatel. V případě vypnuté autentizace se uživatel a skupina nekontrolují.

Pomocí výchozího profilu blokujeme přístup na sociální sítě. Zaměstnancům obchodního oddělení a oddělení lidských zdrojů povolíme pomocí výjimky z profilů přístup pro pracovní účely na LinkedIn.

Výjimky z profilů jsou zobrazeny v tabulce uspořádané podle priority a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Novou výjimku lze vytvořit duplikováním již existující nebo přidáním prázdné. Výjimku je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.

Výjimky z inspekce HTTPS

V sekci Inspekce HTTPS aktivity Správa lze zapnout funkci inspekce obsahu šifrované HTTPS komunikace. Výjimky z inspekce HTTPS definují webový provoz, na kterém není vynucena inspekce HTTPS komunikace. Provoz lze identifikovat pomocí zdrojové adresy klienta, cílové adresy serveru nebo podle kategorie obsahu.

Výjimky z inspekce HTTPS jsou zobrazeny v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat pravidla podle hodnot obsažených ve sloupcích. Novou výjimku lze vytvořit duplikováním již existující nebo přidáním prázdné. Výjimku je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.

Výjimky z autentizace

V sekci Proxy autentizace aktivity Správa lze zapnout funkci autentizace uživatelů, která pro přístup k webu vyžaduje platné uživatelské autentizační údaje. Většina nejčastěji používaných aplikací v prostředí Windows, zejména prohlížečů, se dokáží vůči proxy autentizovat bez nutnosti zásahu uživatele. Některé aplikace nebo klienti z interní sítě však nemusí podporovat zvolený mechanizmus autentizace. Můžou to být proprietární aplikace pro elektronické bankovnictví, aplikace Java nebo některé aktualizace softwaru. Pomocí výjimek z autentizace lze takovéto klientské aplikaci povolit přístup na web bez vynucení autentizace.

Výjimky z autentizace definují webový provoz, na kterém není vynucena autentizace uživatelů. Provoz lze identifikovat pomocí zdrojové adresy klienta, cílové adresy serveru nebo podle klientského programu z HTTP hlavičky User-Agent. Prázdný seznam User agentů znamená chybějící hlavičku User-Agent.

Výjimky z autentizace jsou zobrazeny v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Novou výjimku lze vytvořit duplikováním již existující nebo přidáním prázdné. Výjimku je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.

Politika obsahu

V sekci Politika obsahu je možné řídit přístup k jednotlivým typům obsahu. Pravidla v této sekci se uplatní na požadavky, které byly povoleny pravidly v sekcích Výchozí profil, Profily a Výjimky z profilů. Provoz lze identifikovat pomocí zdroje komunikace (adresa klienta, uživatel, skupina), cílové adresy serveru a typu obsahu. Typ obsahu je určen z odpovědi serveru, viz http://www.iana.org/assignments/media-types/media-types.xhtml).

Prázdný seznam adres serverů znamená libovolný server. Prázdný seznam zdrojových adres znamená libovolná zdrojová adresa. Prázdný seznam uživatelů a skupin při zapnuté autentizaci znamená libovolný autentizovaný uživatel. V případě vypnuté autentizace se uživatel a skupina nekontrolují.

Je-li v pravidle uveden celý MIME typ (např. image/jpeg), bude se pravidlo vztahovat právě na tento typ obsahu. Je-li v pravidle uveden pouze název skupiny (např. image), uplatní se pravidlo pro všechny typy obsahu z této skupiny (tj. např. image/jpeg, ale i image/gif, a podobně). Obsahuje-li pravidlo více MIME typů, pak se uplatní, jestliže typ obsahu odpovídá alespoň jednomu z vyjmenovaných.

Pravidla politiky obsahu jsou zobrazena v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Nové pravidlo lze vytvořit duplikováním již existujícího nebo přidáním prázdného. Pravidlo je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.

Paketový filtr

V případě nasazení Kernun Clear Web v režimu Firewall lze také využít pravidla paketového filtru pro řízení komunikace z interní sítě na internet. Tato pravidla jsou na úrovni jednotlivých paketů, je tedy možné jimi řídit provoz libovolného síťového protokolu. Provoz je možné identifikovat na základě zdrojové adresy klienta, cílové adresy a portu klienta, a použitého protokolu transportní vrstvy.

Pravidla paketového filtru jsou zobrazena v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Nové pravidlo lze vytvořit duplikováním již existujícího nebo přidáním prázdného. Pravidlo je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu.

Přesměrování portů

V případě nasazení Kernun Clear Web v režimu Firewall lze komunikaci přicházející na vybrané porty rozhraní zapojeného do internetu přesměrovat na vybrané porty klientů z interní sítě. Tato pravidla jsou na úrovni jednotlivých paketů, je tedy možné jimi řídit provoz libovolného síťového protokolu. Provoz je možné identifikovat na základě zdrojové adresy klienta, cílové adresy a portu klienta, a použitého protokolu transportní vrstvy.

Tato funkce slouží pro zpřístupnění interních síťových služeb z internetu. Příkladem může být přesměrování komunikace z portu 25 nebo 465 na interní mailový server nebo z portu 80 a 443 na webovou prezentaci společnosti.

Pravidla přesměrování portů jsou zobrazena v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Nové pravidlo lze vytvořit duplikováním již existujícího nebo přidáním prázdného. Pravidlo je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu.

V případě nasazení v režimu cluster jsou pravidla přesměrování portů aplikována na všechny tři adresy externích síťových rozhraní clusteru, komunikace je tedy přesměrovávána jak ze společné adresy, tak z adres obou uzlů. Pokud je jako cíl přesměrování zvolena adresa některého uzlu, je veškerý provoz přesměrován na tuto adresu. Pokud je jako cíl přesměrování zvolena společná adresa (ať už externího či interního rozhraní), je provoz přicházející na uzel A zpracován uzlem A a provoz přicházející na uzel B je zpracován uzlem B.