Kapitola představuje možnosti pro nastavení a testování politiky přístupu k webu. Popisuje koncept profilů a výjimek pro definování politiky, způsob vyhodnocení politiky a také pokročilé funkce pro řízení provozu. Pro nastavení pravidel politiky slouží aktivita administračního rozhraní.
Politika přístupu definuje, kteří uživatelé nebo klienti mohou přistupovat na webové servery, a za jakých podmínek. Každý uživatel je identifikován uživatelským jménem a jmény skupin, jejichž je členem. Jestliže je vypnuta autentizace, viz 2 – „Autentizace uživatelů“, lze uživatele rozlišovat podle IP adresy nebo hostitelského jména klienta. Politika přístupu se skládá z pravidel řídících přístup na web nebo na internet obecně. Pravidlo může být profil nebo výjimka, případně pravidlo paketového filtru.
Webové servery jsou v databázi Kernun Clear Web řazeny do kategorií
podle typu obsahu. Aktuální příslušnost webové stránky do kategorií
lze zjistit v katalogu kategorií dostupném na
http://www.kernun.cz/cwdb. Kromě základních pevně daných
kategorií v databázi lze v aktivitě
v sekci
definovat servery
ve speciální
kategorii Interní servery, kam jsou implicitně zařazeny
také servery s privátními IP adresami podle RFC 1918 ze sítí
10.0.0.0/8,
172.16.0.0/12 a
192.168.0.0/16.
Pro definování politiky přístupu na základě kategorií webového obsahu
slouží pravidla typu profil. V případě potřeby lze definovat pomocí
výjimky z profilů pravidlo politiky přístupu také pro jednotlivé
servery podle jejich jména.
Pokročilé funkce pravidel politiky jsou:
Pomocí funkce Bypass lze na uživatele delegovat rozhodnutí, zda na stránku z dané kategorie přistoupí. Uživatel je upozorněn, že na danou kategorií by neměl přistupovat, ale umožní mu v případě potřeby po kliknutí na aktivační tlačítko zobrazit obsah po administrátorem definovanou dobu. Po uplynutí této doby se mu znovu zobrazí upozornění. Doba aktivace funkce Bypass se nastavuje v aktivitě , v sekci . Pro HTTP metody CONNECT a POST se požadavky povolí bez upozornění.
Požadavky se pro uplatněné pravidlo posílají na cílové servery pres vybranou nadřazenou webovou proxy nebo přímo. Seznam nadřazených webových proxy serverů lze definovat v aktivitě , v sekci .
Umožňuje blokovat šifrované spojení na servery, pro které klient neuvedl doménové jméno, ale pouze IP adresu. Tato funkce blokuje některé aplikace, např. Skype, Tor a TeamViewer. Jedná se o metodu CONNECT s IP adresou v hlavičce Host pro netransparentní provoz a TLS bez vyplněného SNI pro transparentní provoz.
Pro většinu pravidel lze nastavit časový interval, kdy se mají uplatňovat.
Politika přístupu se skládá z pravidel řídících přístup na web. Pravidlo může být profil nebo výjimka. V případě, že je Kernun Clear Web nasazený v režimu Firewall, lze řídit politiku přístupu na internet také pomocí pravidel paketového filtru.
Politika přístupu se definuje v aktivitě , která je rozdělena do více sekcí v závislosti na využívané funkcionalitě systému Kernun Clear Web:
Pomocí akcí (Povolit, Bypass, Blokovat) přiřazených ke všem tematickým kategoriím webového obsahu a nastavením pokročilých funkcí lze vytvořit pravidlo politiky přístupu na web nazvané profil. Výchozí profil definuje implicitní pravidlo politiky přístupu na web pro celou síť, které se uplatní na veškerý webový provoz, na který se neuplatnil žádný jiný profil nebo výjimka z profilů.
V případě, že chceme nějakému uživateli nebo skupině uživatelů nastavit jinou politiku přístupu na web, než jak definuje výchozí profil, je potřeba vytvořit nový profil v sekci profily.
Pomocí akcí (Povolit, Bypass, Blokovat) přirazených ke všem tematickým kategoriím webového obsahu a nastavením pokročilých funkcí lze vytvořit pravidlo politiky přístupu na web nazvané profil. Profilu lze přiřadit seznam uživatelů, skupin nebo zdrojových adres, na které se má uplatnit.
Profily definují pravidla politiky přístupu na web pro vybrané zdroje komunikace. Na provoz se uplatní první profil ze seznamu obsahující alespoň jednu identifikaci zdroje komunikace (uživatel, skupina, zdrojová adresa), za předpokladu, že se na provoz neuplatnila žádná výjimka z profilů.
Prázdný seznam zdrojových adres znamená libovolnou zdrojovou adresu. Prázdný seznam uživatelů a skupin při zapnuté autentizaci znamená libovolného autentizovaného uživatele. V případě vypnuté autentizace se uživatel ani skupina nekontrolují.
Příklad: Pomocí výchozího profilu blokujeme přístup na sociální sítě. Ale zaměstnanci obchodního a marketingové oddělení potřebují sociální sítě pro komunikaci se zákazníky, proto jim vytvoříme samostatný profil a v něm sociální sítě povolíme.
Profily jsou zobrazeny v tabulce uspořádané podle priority a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazované sloupce tabulky a také filtrovat profily podle hodnot obsažených ve sloupcích. Nově přidaný profil má nastavené hodnoty z výchozího profilu, jakožto základní politiky přístupu. Nový profil lze vytvořit také duplikováním již existujícího. Profil je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.
Někdy je potřeba pro konkrétní webový server nebo doménu nastavit přístup jinak, než vyplývá z kategorie obsahu serveru a odpovídajícím profilům. V tom případě lze definovat výjimku z profilů, která povolí nebo blokuje přístup k vybraným serverům nebo doménám.
Výjimky z profilů definují pravidla politiky přístupu na web, které umožnují povolit nebo blokovat komunikaci se servery nezávisle na jejich kategoriích obsahu pro vybrané zdroje komunikace. Uplatní se první ze seznamu výjimek z profilů obsahující zároveň identifikaci zdroje komunikace (uživatel, skupina, zdrojová adresa) a příslušnou adresu serveru.
Prázdný seznam adres serverů znamená libovolný server. Prázdný seznam zdrojových adres znamená libovolná zdrojová adresa. Prázdný seznam uživatelů a skupin při zapnuté autentizaci znamená libovolný autentizovaný uživatel. V případě vypnuté autentizace se uživatel a skupina nekontrolují.
Pomocí výchozího profilu blokujeme přístup na sociální sítě. Zaměstnancům obchodního oddělení a oddělení lidských zdrojů povolíme pomocí výjimky z profilů přístup pro pracovní účely na LinkedIn.
Výjimky z profilů jsou zobrazeny v tabulce uspořádané podle priority a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Novou výjimku lze vytvořit duplikováním již existující nebo přidáním prázdné. Výjimku je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.
V sekci Inspekce HTTPS aktivity Správa lze zapnout funkci inspekce obsahu šifrované HTTPS komunikace. Výjimky z inspekce HTTPS definují webový provoz, na kterém není vynucena inspekce HTTPS komunikace. Provoz lze identifikovat pomocí zdrojové adresy klienta, cílové adresy serveru nebo podle kategorie obsahu.
Výjimky z inspekce HTTPS jsou zobrazeny v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat pravidla podle hodnot obsažených ve sloupcích. Novou výjimku lze vytvořit duplikováním již existující nebo přidáním prázdné. Výjimku je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.
V sekci Proxy autentizace aktivity Správa lze zapnout funkci autentizace uživatelů, která pro přístup k webu vyžaduje platné uživatelské autentizační údaje. Většina nejčastěji používaných aplikací v prostředí Windows, zejména prohlížečů, se dokáží vůči proxy autentizovat bez nutnosti zásahu uživatele. Některé aplikace nebo klienti z interní sítě však nemusí podporovat zvolený mechanizmus autentizace. Můžou to být proprietární aplikace pro elektronické bankovnictví, aplikace Java nebo některé aktualizace softwaru. Pomocí výjimek z autentizace lze takovéto klientské aplikaci povolit přístup na web bez vynucení autentizace.
Výjimky z autentizace definují webový provoz, na kterém není vynucena autentizace uživatelů. Provoz lze identifikovat pomocí zdrojové adresy klienta, cílové adresy serveru nebo podle klientského programu z HTTP hlavičky User-Agent. Prázdný seznam User agentů znamená chybějící hlavičku User-Agent.
Výjimky z autentizace jsou zobrazeny v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Novou výjimku lze vytvořit duplikováním již existující nebo přidáním prázdné. Výjimku je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.
V sekci Politika obsahu je možné řídit přístup k jednotlivým typům obsahu. Pravidla v této sekci se uplatní na požadavky, které byly povoleny pravidly v sekcích Výchozí profil, Profily a Výjimky z profilů. Provoz lze identifikovat pomocí zdroje komunikace (adresa klienta, uživatel, skupina), cílové adresy serveru a typu obsahu. Typ obsahu je určen z odpovědi serveru, viz http://www.iana.org/assignments/media-types/media-types.xhtml).
Prázdný seznam adres serverů znamená libovolný server. Prázdný seznam zdrojových adres znamená libovolná zdrojová adresa. Prázdný seznam uživatelů a skupin při zapnuté autentizaci znamená libovolný autentizovaný uživatel. V případě vypnuté autentizace se uživatel a skupina nekontrolují.
Je-li v pravidle uveden celý MIME typ (např.
image/jpeg), bude se pravidlo vztahovat právě
na tento typ obsahu. Je-li v pravidle uveden pouze název skupiny
(např. image), uplatní se pravidlo
pro všechny typy obsahu z této skupiny (tj. např.
image/jpeg, ale i
image/gif, a podobně). Obsahuje-li pravidlo více
MIME typů, pak se uplatní, jestliže typ obsahu odpovídá alespoň jednomu
z vyjmenovaných.
Pravidla politiky obsahu jsou zobrazena v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Nové pravidlo lze vytvořit duplikováním již existujícího nebo přidáním prázdného. Pravidlo je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu na web.
V případě nasazení Kernun Clear Web v režimu Firewall lze také využít pravidla paketového filtru pro řízení komunikace z interní sítě na internet. Tato pravidla jsou na úrovni jednotlivých paketů, je tedy možné jimi řídit provoz libovolného síťového protokolu. Provoz je možné identifikovat na základě zdrojové adresy klienta, cílové adresy a portu klienta, a použitého protokolu transportní vrstvy.
Pravidla paketového filtru jsou zobrazena v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Nové pravidlo lze vytvořit duplikováním již existujícího nebo přidáním prázdného. Pravidlo je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu.
V případě nasazení Kernun Clear Web v režimu Firewall lze komunikaci přicházející na vybrané porty rozhraní zapojeného do internetu přesměrovat na vybrané porty klientů z interní sítě. Tato pravidla jsou na úrovni jednotlivých paketů, je tedy možné jimi řídit provoz libovolného síťového protokolu. Provoz je možné identifikovat na základě zdrojové adresy klienta, cílové adresy a portu klienta, a použitého protokolu transportní vrstvy.
Tato funkce slouží pro zpřístupnění interních síťových služeb z internetu. Příkladem může být přesměrování komunikace z portu 25 nebo 465 na interní mailový server nebo z portu 80 a 443 na webovou prezentaci společnosti.
Pravidla přesměrování portů jsou zobrazena v tabulce a jejich pořadí lze měnit tažením za ikonu na konci každého řádku. V horní části tabulky lze zvolit zobrazené sloupce tabulky a také filtrovat výjimky podle hodnot obsažených ve sloupcích. Nové pravidlo lze vytvořit duplikováním již existujícího nebo přidáním prázdného. Pravidlo je možné dočasně vypnout, což po aktivaci konfigurace způsobí, že se neuplatní při řízení přístupu.
V případě nasazení v režimu cluster jsou pravidla přesměrování portů aplikována na všechny tři adresy externích síťových rozhraní clusteru, komunikace je tedy přesměrovávána jak ze společné adresy, tak z adres obou uzlů. Pokud je jako cíl přesměrování zvolena adresa některého uzlu, je veškerý provoz přesměrován na tuto adresu. Pokud je jako cíl přesměrování zvolena společná adresa (ať už externího či interního rozhraní), je provoz přicházející na uzel A zpracován uzlem A a provoz přicházející na uzel B je zpracován uzlem B.