UNI•Gateway - Cases

Case: eksamen og ordbogen.com

Med udgangspunkt i et regelsæt bestående af ”UNI•Cs standardliste”, vil vi definere en ny politik som giver eleverne adgang til hjemmesiden ordbogen.com, og kun den, under eksamen.

Vi starter med at oprette politikken, som vi kalder "Ordbogen eksamen" som herunder.

Der trykkes på "Fortsæt", og der oprettes en ny regel som tillader DNS-trafik. Den kan passende kaldes "Tillad DNS".

Typen sættes til "Protokol: dns", og prioritet sættes til "Opprioriteret", hvorefter reglen gemmes.

Nu skal der laves regler som opprioriterer trafik til ordbogens servere. Det hostes efterhånden på en lang række maskiner.

Bag ordbogen.com gemmer sig serverne 86.58.170.4-30, som vi samler i et subnet og laver 1 "Andre: IP(åben)" regel til. På denne måde "overmatches" en smule. Vi kunne også vælge at referere til IP'erne enkeltvis, men så ville det blive til MANGE regler, og tage lang tid at lave.

Vi starter med at lave en regel til det første subnet som vi kalder "Ordbogen subnet". Typen vælges til "Andre: IP(åben)" og i IP-feltet under "Til" angiver vi den første IP 86.58.170.0. Subnet vælges til "255.255.255.224 (32 adresser)". Prioritet sættes til "Opprioriteret". Reglen gemmes.

 

Nu er reglerne som tillader trafik lavet. Nu mangler reglen som blokerer for alt andet trafik end til ordbogen.com.

Vi kalder den "Bloker alt andet". Typen sættes til "Andre: IP(åben)". Fra- og Til-adresserne lader man bare være - de vælges automatisk til "alle" *. Prioritet sættes til "Blokeret". Reglen gemmes.

* VI GØR OPMÆRKSOM PÅ AT BLOKERINGEN SÅLEDES RAMMER AL TRAFIK BAG UNI-GATEWAY!

Er det kun elevernes trafik som skal blokeres, vælges det pågældende subnet/IP-alias eleverne er en del af under "Fra".

NB: Følgende er ”specielt” og anvendes kun hvis der vælges andet end ”alle” under "Fra" i blokerings-reglen. Så er det nødvendigt at lave en ekstra regel, som matcher trafikken i ”den anden retning”. Tests har vist, at aggressive implementationer af visse protokoller kan initierere sessioner udefra og ind imod LAN over UDP, når specifikke net er valgt under "Fra", så derfor skal den udefrakommende trafik også matches. Man laver således en ekstra blokerings-regel, når specifikke net under Fra-adresse er valgt, som herunder:

 

Nu ser politikken således ud:

Har man adgang til ordbogen.com via UNI•Login eller WAYF, skal der tilføjes yderligere regler, for at sikre at disse logon-tjenester tillige kan tilgåes under eksamen.

UNI•Login

Da adgang til ordbogen.com kan gives via UNI•Login, skal der først laves regler som opprioriterer trafik til UNI•Logins to login-servere.

Der oprettes en ny regel i regelsættet, som kaldes "sso.emu.dk". Under type vælges "Andre: IP(åben)", da alt trafik til login-serveren foregår over HTTPS (krypteret web-forbindelse). Under "Fra" vælges "alle adresser", eller de adresser/subnet på LAN'et som reglen skal gælde for. Under "Til" angives "80.209.175.14" i feltet "IP" - denne adresse hoster sso.emu.dk. Port angives til "443". I "Subnet" vælges "255.255.255.255(1 adresse)". Prioritering sættes til ønsket prioritet, f.eks "Opprioriteret". Reglen gemmes.

Den anden regel kalder vi "login.emu.dk". Under type vælges "Andre: IP(åben)". Under "Fra" vælges "alle adresser", eller de adresser/subnet på LAN'et som reglen skal gælde for. Under "Til" angives "80.209.175.13" i feltet "IP" - denne adresse hoster login.emu.dk. Port angives til "443". I "Subnet" vælges "255.255.255.255(1 adresse)". Priotering sættes til ønsket prioritet, f.eks "Opprioriteret". Reglen gemmes.

 

WAYF

For WAYF gælder det, at der skal laves en "Andre: IP(åben)" regel, som opprioriterer trafik til maskinerne bag "wayf.wayf.dk", dvs. 192.36.171.28 og 192.36.171.29.

Denne regel placeres over reglen som blokerer trafik som herunder.

Denne regel er desværre ikke nok. Der skal også laves en regel som opprioriterer trafik til den tjeneste som WAYF benytter til at checke brugeres ID op imod. Det kunne som herunder i eksemplet være "ssoproxy2.emu.dk" (195.231.243.115), hvis det er "UNI•Login" man har som "institution", i WAYF-terminologi. Der skal således laves en "Andre: IP(åben) regel som opprioriterer trafik til IP'en bag "ssoproxy2.emu.dk" (195.231.243.115). Vi kalder reglen for "ID tjeneste". Reglen skal også her placeres over reglen som blokerer for al trafik.

Nu er login-delen på plads.

Vi skal have politikken lagt ind under regelsættet og lave tilknyttet et tidskema til politikken, så det kun er aktivt under eksamen.

Politikken vælges under "Tilføj":

- og et tidskema som man har lavet tidligere, tilknyttes.

Regelsættet er nu klar til at blive aktiveret på UNI•Gateway. Tryk "Aktiver":

Nu er regelsættet aktivt på UNI•Gateway. Trafik vil kun kunne gå til ordbogen.com.

OBS!:

Der vil muligvis kunne opleves forsinkelse på indlæsning af siderne - dette skyldes at ordbogen.com sender data til et analyse-værktøj fra Google (Google Analytics) via siderne, som efter et minut timer ud, idet der ingen åbning er til det.

Ønsker man ikke at vente, kan man med fordel lave en regel af typen "Tjeneste: Google-Analytics" som man så opprioriterer trafikken til. Denne regel skal placeres over blokerings-reglen.

Reglen ”UNI•Cs standardliste” bliver ignoreret, når tidskemaet "Eksamen 2010" er aktivt, selvom det står som ”(altid aktiv)”, fordi det ligger under reglen som blokerer for al anden trafik – ”Blokering alt andet”.

Disclamer

Denne case er blevet til 5. maj 2010 (revideret 8.maj 2012), hvor tests har vist at reglerne virker efter hensigten.

UNI•C tager forbehold for ændringer som Ordbogen.com (og Google) laver i deres setup, som gør at nærværende case ikke længere virker som forventet.