Kerio Control Pˇ ríruˇ cka uživatele
Kerio Technologies
2012 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje uživatelská rozhraní produktu Kerio Control ve verzi 7.4. Aplikace Kerio VPN Client je popsána v samostatném manuálu Kerio VPN Client — Pˇ ríruˇ cka uživatele. Zmˇ eny vyhrazeny. Aktuální verzi produktu naleznete na WWW stránce http://www.kerio.cz/cz/control/download, další dokumentaci na stránce http://www.kerio.cz/cz/control/manual.
Informace o registrovaných ochranných známkách a ochranných známkách jsou uvedeny v pˇ ríloze A.
Obsah
1
Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
2
WWW 2.1 2.2 2.3 2.4
5 5 7 8 9
3
Statistiky využívání Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Pˇ rihlášení k WWW rozhraní a zobrazení statistik . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Stránka statistik ve WWW rozhraní . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Souhrnné statistiky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4 Statistiky uživatel˚ u ...................................................... 3.5 Aktivita uživatel˚ u ........................................................
4
Kerio Clientless SSL-VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 4.1 Použití rozhraní SSL-VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
A
Právní doložka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
rozhraní Kerio Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pˇ rístup k WWW rozhraní a ovˇ eˇ rení uživatele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stavové informace (kvóta a omezení pˇ rístupu na WWW stránky) . . . . . . . . . . . . Uživatelské pˇ redvolby . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ovládání vytᡠcených linek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
10 10 11 12 17 17
Kapitola 1
Úvod
Kerio Control je komplexní nástroj pro pˇ ripojení lokální sítˇ e k Internetu, zabezpeˇ cení a monitorování sítˇ e, sledování aktivit a ˇ rízení pˇ rístupu uživatel˚ u do Internetu. Kerio Control nabízí také nástroje urˇ cené nejen pro správce sítˇ e: • Uživatelské rozhraní (M˚ uj úˇ cet) — slouží k ovˇ eˇ rení uživatele na firewallu, zobrazení stavových informací a nastavení uživatelských pˇ redvoleb. Podrobnosti viz kapitola 2. • Statistiky — zobrazuje informace o aktivitách uživatel˚ u, navštívených WWW stránkách, objemu pˇ renesených dat a další údaje. Podrobnosti viz kapitola 3. • Kerio SSL-VPN — umožˇ nuje vzdálený pˇ rístup z Internetu k soubor˚ um ve sdílených složkách na poˇ cítaˇ cích v lokální síti. Podrobnosti viz kapitola 4. Ve všech pˇ rípadech se jedná o tzv. webová rozhraní, což znamená, že pro pˇ rístup do tˇ echto rozhraní použijete WWW prohlížeˇ c, do kterého zadáte urˇ citou specifickou adresu (URL). Pro plnou a správnou funkci je potˇ reba použít nˇ ekterý z podporovaných WWW prohlížeˇ cu ˚. Aktuálnˇ e podporované prohlížeˇ ce jsou uvedeny na stránce http://www.kerio.cz/cz/control/technical-specifications Tato uživatelská pˇ ríruˇ cka popisuje funkce jednotlivých rozhraní a možnosti jejich použití. Nezabývá se možnostmi konfigurace samotného firewallu. Obecnˇ e proto platí, že v pˇ rípadˇ e nejasností ˇ ci problém˚ u je nejvhodnˇ ejší kontaktovat správce pˇ ríslušného firewallu.
4
Kapitola 2
WWW rozhraní Kerio Control
Základní funkcí WWW rozhraní Kerio Control je pˇ rihlášení uživatele k firewallu. Firewall bývá zpravidla nastaven tak, že povoluje pˇ rístup ke službám v Internetu (WWW stránky, multimédia, FTP servery atd.) pouze pˇ rihlášeným uživatel˚ um. Pro jednotlivé uživatele pak firewall sleduje statistiky (navštívené WWW stránky, objem pˇ renesených dat atd.) a aplikuje pˇ rípadná omezení. Z d˚ uvodu jednoduchosti je zpravidla nastaveno automatické pˇ resmˇ erování na pˇ rihlašovací stránku WWW rozhraní, pokud pˇ ristupujete na libovolnou WWW stránku a nejste dosud pˇ rihlášen k firewallu. Po úspˇ ešném pˇ rihlášení je pak prohlížeˇ c pˇ resmˇ erován na požadovanou WWW stránku. Toto probˇ ehne typicky pˇ ri otevírání domovské stránky pˇ ri spuštˇ ení WWW prohlížeˇ ce. Vaše ovˇ eˇ rení na firewallu je tak témˇ eˇ r transparentní. Všem uživatel˚ um (bez ohledu na pˇ rístupová práva) WWW rozhraní umožˇ nuje: • Zobrazení denní, týdenní a mˇ esíˇ cní kvóty objemu pˇ renesených dat a jejich aktuálního naplnˇ ení, • Zobrazení pravidel pro omezení pˇ rístupu na WWW stránky, • Nastavení filtrování urˇ citých prvk˚ u WWW stránek (napˇ r. blokování vyskakovacích oken), • Nastavení preferovaného jazyka WWW rozhraní, report˚ u a výstrah zasílaných e-mailem, • Možnost zmˇ eny hesla (pouze v nˇ ekterých pˇ rípadech). Uživatelé s odpovídajícími pˇ rístupovými právy dále mohou: • Prohlížet své vlastní statistiky využívání Internetu (viz kapitola 3), • Prohlížet statistiky využívání Internetu ostatních uživatel˚ u a skupin, • Vytᡠcet a zavˇ ešovat vytᡠcená internetová pˇ ripojení.
2.1 Pˇ rístup k WWW rozhraní a ovˇ eˇ rení uživatele Pro pˇ rístup k WWW rozhraní Kerio Control zadejte do vašeho prohlížeˇ ce adresu ve tvaru: https://server:4081/ server má význam jména nebo IP adresy poˇ cítaˇ ce s Kerio Control a 4081 je port WWW rozhraní. 5
WWW rozhraní Kerio Control
Prohlížeˇ c m˚ uže zobrazit varování o neplatnosti certifikátu. Toto varování m˚ užete zpravidla ignorovat a pokraˇ covat v pˇ ripojení. Pokud si nejste jisti, obrat’te se na správce Kerio Control.
Pˇ rihlášení uživatele Pˇ ri pˇ rístupu k WWW rozhraní Kerio Control je vyžadováno ovˇ eˇ rení uživatele. Do WWW rozhraní m˚ uže pˇ ristupovat každý uživatel, který má v Kerio Control vytvoˇ ren uživatelský úˇ cet (bez ohledu na pˇ rístupová práva). V urˇ citých pˇ rípadech m˚ užete být do WWW rozhraní pˇ rihlášeni automaticky. V opaˇ cném pˇ rípadˇ e se nejprve zobrazí pˇ rihlašovací stránka firewallu s dialogem pro zadání uživatelského jména a hesla. Pˇ rihlašovací údaje jsou ve vˇ etšinˇ e pˇ rípad˚ u shodné jako pro pˇ rihlášení do systému na vašem poˇ cítaˇ ci. Upozornˇ ení: V sítích s více doménami (typicky ve velkých organizacích s nˇ ekolika poboˇ ckami) m˚ uže být vyžadováno zadání uživatelského jména s doménou (napˇ r.
[email protected] ). Tuto informaci vám poskytne váš správce sítˇ e. Úvodní stránka WWW rozhraní se liší podle vašich pˇ rístupových práv: • Nemáte-li právo prohlížet statistiky, pak se jako úvodní stránka zobrazí stavové informace a pˇ redvolby (M˚ uj úˇ cet — viz kapitola 2.2). • Máte-li právo prohlížet statistiky, pak bude WWW rozhraní pˇ repnuto do režimu statistik a jako úvodní stránka se zobrazí souhrnné statistiky (kapitola 3). Odkazem v pravém horním rohu stránky se lze pˇ repínat mezi statistikami a uživatelskými pˇ redvolbami. • Máte-li právo prohlížet pouze své vlastní statistiky, zobrazí se stránka s vašimi statistikami.
Odhlášení z WWW rozhraní Po skonˇ cení práce s WWW rozhraním Kerio Control byste se mˇ eli odhlásit prostˇ rednictvím odkazu Odhlásit v pravém horním rohu stránky. Odhlášení je d˚ uležité zejména v pˇ rípadech, kdy sdílíte poˇ cítaˇ c s dalšími uživateli. Pokud se neodhlásíte, m˚ uže vaše pˇ rihlášení zneužít jiný uživatel a pracovat s WWW rozhraním pod vaší identitou. K firewallu m˚ užete být pˇ rihlášeni, i když jste nepracovali s WWW rozhraním — napˇ r. firewall vyžadoval vaše ovˇ eˇ rení pˇ ri pˇ rístupu na WWW stránku. Abyste v takových pˇ rípadech nemuseli po skonˇ cení práce kv˚ uli ohlášení otevírat WWW rozhraní, nabízí Kerio Control také pˇ rímý odkaz pro odhlášení uživatele: https://server:4081/logout 6
2.2 Stavové informace (kvóta a omezení pˇ rístupu na WWW stránky)
Pˇ ri pˇ rístupu na tuto adresu dojde k okamžitému odhlášení od Kerio Contol bez nutnosti zobrazování úvodní stránky WWW rozhraní. Tip URL pro odhlášení od firewallu m˚ užeme pˇ ridat jako odkaz do nástrojového pruhu WWW prohlížeˇ ce. Uživatel tak bude mít stále k dispozici „tlaˇ cítko“ pro snadné odhlášení od firewallu. Poznámka: Kerio Control automaticky odhlásí uživatele pˇ ri neˇ cinnosti, pokud nepracuje s WWW rozhraním ani nevyužívá žádnou internetovou službu po stanovenou dobu (standardnˇ e 2 hodiny). Tím jsou ošetˇ reny pˇ rípady, kdy se zapomenete od firewallu odhlásit. Ovˇ eˇ rení hesla uživatele Pokud pˇ ristupujete k WWW rozhraní v dobˇ e, kdy je vaše pˇ rihlášení z daného poˇ cítaˇ ce dosud platné (tzn. neodhlásili jste se ani nevypršela doba neˇ cinnosti), ale pˇ ríslušná relace prohlížeˇ ce 1 již vypršela, pak Kerio Control požaduje ovˇ eˇ rení uživatele zadáním jeho hesla. Hlavním d˚ uvodem pro toto znovuovˇ eˇ rení je potenciální možnost zneužití identity pˇ rihlášeného uživatele jiným uživatelem. Za uvedených podmínek se na pˇ rihlašovací stránce zobrazí upozornˇ ení, že z daného poˇ cítaˇ ce je již k firewallu pˇ rihlášen urˇ citý uživatel. Pokud jste to pˇ rímo vy, m˚ užete se jednoduše ovˇ eˇ rit zadáním svého hesla a pokraˇ covat v práci s WWW rozhraním. Pokud je aktuálnˇ e pˇ rihlášen jiný uživatel, je potˇ reba jej nejprve odhlásit, a poté se ovˇ eˇ rit svým vlastním uživatelským jménem a heslem.
2.2 Stavové informace (kvóta a omezení pˇ rístupu na WWW stránky) V záložce Stav jsou zobrazovány tyto údaje: Informace o uživateli a firewallu V záhlaví stránky se zobrazuje celé jméno nebo uživatelské jméno a DNS jméno nebo IP adresa firewallu. Statistika kvóty objemu dat Horní ˇ cást záložky Stav zobrazuje aktuální objem pˇ renesených dat v pˇ ríchozím smˇ eru (download) a odchozím smˇ eru (upload) za dnešní den, tento týden a tento mˇ esíc. Je-li nastavena nˇ ekterá kvóta, pak je zde zobrazeno také aktuální využití jednotlivých kvót (v procentech). Zaˇ cátek týdne a zaˇ cátek mˇ esíce je dán nastavením tzv. úˇ ctovacího období v Kerio Control. Chcete-li toto nastavení zmˇ enit, obrat’te se na správce firewallu. 1
Relace (angl. session, nˇ ekdy též pˇ rekládáno jako sezení ) je období bˇ ehu jedné instance prohlížeˇ ce. Napˇ r. v pˇ rípadˇ e prohlížeˇ cu ˚ Internet Explorer, Firefox nebo Opera relace zaniká po uzavˇ rení všech otevˇ rených oken prohlížeˇ ce, zatímco u prohlížeˇ ce SeaMonkey relace zaniká až po ukonˇ cení programu Rychlé spuštˇ ení (ikona v oznamovací oblasti nástrojové lišty).
7
WWW rozhraní Kerio Control
Aktuální omezení pˇ rístupu na WWW stránky Dolní ˇ cást záložky Stav zobrazuje aktuální pravidla pro URL, která jsou na daného uživatele aplikována (tzn. pravidla platná bud’ pro všechny uživatele nebo pˇ rímo pro tohoto uživatele nebo pro skupinu, do níž tento uživatel náleží). Uživatel tak m˚ uže snadno zjistit, k jakým WWW stránkám a typ˚ um objekt˚ u má povolen pˇ rístup a k jakým nikoliv. Zobrazuje se i ˇ casová platnost jednotlivých pravidel.
2.3 Uživatelské pˇ redvolby V záložce Pˇ redvolby si m˚ uže každý uživatel nastavit vlastní podmínky filtrování obsahu WWW stránek a preferovaný jazyk, ve kterém bude WWW rozhraní zobrazováno. Pokud uživatel nepoužívá úˇ cet z domény Windows, pak si v pˇ redvolbách m˚ uže také zmˇ enit své heslo.
Volby pro filtrování obsahu WWW stránek Horní ˇ cást záložky umožˇ nuje povolit ˇ ci zakázat urˇ cité prvky v HTML stránkách. Volby pro filtrování obsahu Zaškrtnutí políˇ cka pod názvem prvku znamená, že tento prvek bude filtrován firewallem. Je-li urˇ citý prvek zakázán správcem Kerio Control, pak je pˇ ríslušné pole na této stránce neaktivní — uživatel nem˚ uže nastavení zmˇ enit. Uživatel smí svá pravidla pouze zpˇ rísnit — nem˚ uže povolit HTML prvek, který mu zakázal správce Kerio Control. • Java applety — blokování HTML tag˚ u
• ActiveX — prvky Microsoft ActiveX (tato technologie dovoluje mimo jiné napˇ r. spouštˇ ení aplikací na klientském poˇ cítaˇ ci). Tato volba blokuje HTML tagy a <embed>. • Skripty — blokování HTML tag˚ u <script> (pˇ ríkazy jazyk˚ u JavaScript, VBScript atd.) • Pop-up okna — automatické otevírání nových oken prohlížeˇ ce — typicky reklamy. Tato volba blokuje ve skriptech v jazyce JavaScript metodu window.open(). • Cross-domain referer — blokování položek Referer v HTTP hlaviˇ cce. Tato položka obsahuje URL stránky, z níž klient na danou stránku pˇ rešel. Volba Cross-domain referer blokuje položku Referer v pˇ rípadˇ e, že obsahuje jiné jméno serveru než aktuální požadavek. Blokování Cross-domain referer má význam pro ochranu soukromí uživatele (položka Referer m˚ uže být sledována pro zjištˇ ení, jaké stránky uživatel navštˇ evuje). Uložit nastavení Stisknutím tohoto tlaˇ cítka se nastavené volby uloží a aktivují.
