Kontroll av internetåtkomst

Allmänt

Veyons tilläggsprogram Internet Access Control gör det möjligt att blockera åtkomsten till Internet för hela klassen eller enskilda datorer i situationer som t.ex. tentor. Internetåtkomsten blockeras på klientsidan med hjälp av mekanismer som tillhandahålls av olika backends.

Initial inställning

Först och främst måste Veyon Add-ons-paketet installeras. Se till att du laddar ner och installerar den version som motsvarar din Veyon-installation, dvs. Veyon 4.9.1 kräver Veyon Add-ons 4.9.1 medan du för Veyon 4.8.3 behöver installera version 4.8.3 av add-ons. Se Utplacering för ytterligare information.

Efter att installationen har slutförts kommer du att se några nya konfigurationssidor i Veyon Configurator-programmet. En av dem heter Internet access control och gör det möjligt att konfigurera tillägget:

../_images/internet-access-control-configuration.png — Konfigurationssida för Internet Access Control

I de flesta fall kan du behålla standardinställningarna och fortsätta med att distribuera tillägget till studentdatorerna.

Viktigt

Om du gör ändringar i konfigurationen, kom ihåg att alltid distribuera den uppdaterade konfigurationen till studentdatorerna! Det är bara inställningarna på klientsidan som påverkar hur internetåtkomsten blockeras på klienterna.

Nu kan du starta Veyon Master och klicka på knappen Internetåtkomst för att öppna menyn med posterna Blockera Internetåtkomst och Avblockera Internetåtkomst. När du har aktiverat alternativet Block Internet access ska användarna på den eller de valda datorerna inte längre kunna öppna en webbplats på Internet. Om de fortfarande gör det, kontrollera inställningarna och prova eventuellt ett annat blockeringsläge eller backend.

Backends

Det finns för närvarande två backends som tillhandahåller olika mekanismer för att blockera Internetåtkomst. Båda backends beskrivs i följande underavsnitt.

Blockera internetåtkomst via systemets brandvägg

Detta är den standardbackend som helst ska användas, eftersom den erbjuder mest flexibilitet och fungerar mest tillförlitligt. När denna backend används gör Veyon-tjänsten ändringar i systemets brandvägg för att blockera internetåtkomst. Det finns plattformsspecifika skillnader här:

Fönster: Veyon styr den integrerade Windows-brandväggen och gör tillfälliga ändringar i dess konfiguration. Detta innebär att Windows-brandväggen måste vara aktiverad. Dessutom får ändringar i konfigurationen av Windows-brandväggen inte hindras av grupprinciper.
Linux: Veyon arbetar med nftables och anropar det relaterade kommandoradsverktyget nft. Detta används för att tillfälligt lägga till ytterligare regler för att blockera Internetåtkomst.

För båda operativsystemen är backend-konfigurationen identisk. I allmänhet finns olika lägen tillgängliga. Valet av läge beror på nätverksmiljön och önskat blockeringsbeteende.

Blockera all utgående trafik för TCP- och UDP-portar: Detta är standardläget och bör fungera i de flesta miljöer. I det här läget lägger Veyon-tjänsten till särskilda regler i brandväggen som blockerar all trafik till de konfigurerade portarna. Använd det här läget om det räcker att blockera TCP- och UDP-portarna 80/443 och en eller flera anpassade portar (separerade med mellanslag). Om du vill blockera all trafik använder du det andra läget.
Blockera all utgående trafik till icke-lokala subnät: I det här läget blockeras all nätverkstrafik som riktas till nätverk utanför de lokala undernäten. I Windows ändrar Veyon-tjänsten tillfälligt konfigurationen för alla brandväggsprofiler (domän, privat, offentlig) till ”Utgående anslutningar som inte matchar en regel blockeras”. Om Undantag är konfigurerade läggs lämpliga regler till för att tillåta åtkomst till dessa nätverk, värdar eller portar. Detta kan till exempel användas för att bevara åtkomsten till intranätet och andra internt hostade plattformar. Externa webbplatser kan också definieras som undantag här under vissa omständigheter, men adresserna till alla servrar/CDN:er från vilka webbplatsen laddar resurser måste då också anges.
Blockera trafik till servrar (t.ex. proxy- eller DNS-servrar): Om studentdatorerna har tillgång till Internet via en proxyserver kan du välja det här alternativet. Då läggs en brandväggsregel till som helt enkelt blockerar all trafik till proxyadressen. Alternativt kan även åtkomst till vissa DNS-servrar blockeras, men i de flesta fall leder detta till problem vid åtkomst till interna resurser som nätverksenheter etc.
Aktivera förkonfigurerad brandväggsregel: Om de tre lägena ovan inte är lämpliga för ditt nätverk kan du också konfigurera en egen anpassad regel i Windows-brandväggen. Den här regeln ska vara inaktiverad som standard. Veyon-tjänsten aktiverar den här regeln när internetåtkomsten ska blockeras. På Linux anropar Veyon-tjänsten nft för att ladda nftables-reglerna från filen /etc/veyon/iac/firewall/rules.d/<RULENAME>. Du kan definiera valfria nftables-regler i den här filen.

Blockera internetåtkomst genom att ändra routingtabellen

Om brandväggsbackend inte kan användas (t.ex. om ett brandväggsprogram från tredje part används i stället för Windows-brandväggen) kan du använda den här backend som reservlösning. Den fungerar på ett mycket enkelt sätt genom att tillfälligt ta bort standardrutten från routingtabellen och/eller lägga till en användardefinierad (eventuellt avsiktligt ogiltig) rutt för att blockera Internetåtkomst. I vilket fall som helst bör inställningarna göras noggrant så att åtkomsten till det interna nätverket fortsätter att fungera korrekt. I synnerhet i större segmenterade nätverk bör båda alternativen kombineras genom att ta bort standardrutten å ena sidan och lägga till en rutt till det interna nätverket å andra sidan.