Over deze handleiding

Dit is de gebruikershandleiding voor YourSafetynet school+ v2.0-2.4 (EOL).

YourSafetynet monitoring/filtering End-of-life

Alle YourSafetynet monitoring/filtering software, modules en gerelateerde functies hebben per 1 januari 2023 end-of-life status bereikt. Bestaande, nog actieve installaties van de Filter Gateway en Endpoint Client zullen vanaf 1 januari beginnen met stoppen van functioneren en ontvangen geen updates meer.

De meeste onderdelen besproken in deze handleiding zijn onderdeel van de Filtering module en zijn daardoor vanaf 1 januari niet of slechts deels beschikbaar.

Vragen hierover? Contact <support@yoursafetynet.com>!

Deze handleiding beschrijft de architectuur van YourSafetynet en geeft inzicht in de basisinstellingen.

Revisie

2022-12-01 - Revisie 2.43b

Feedback

Heeft u vragen of opmerkingen over deze handleiding, neem dan contact op via <support@yoursafetynet.com>!

Copyright

Copyright (c) 2016 Media Security Networks BV. Alle rechten voorbehouden.

Woordenlijst

Endpoint Client

De filter software voor Windows machines. Optioneel en alleen nodig als u gaat filteren/monitoren.

Filter Gateway

Optionele filter gateway voor clientless filteren van bijvoorbeeld non-Windows devices. Optioneel en alleen nodig als u gaat filteren/monitoren.

Filter Gebruiker

Een gebruiker die gefilterd wordt, bijvoorbeeld door een Endpoint Client op zijn computer. Dit kan ook een gebruiker zijn die met zijn mobiele device toegang krijgt tot het internet via een Filter Gateway.

Management Server

De centrale management server. Verzamelpunt voor alle documenten, logs en instellingen binnen YourSafetynet.

Manager

Een gebruiker die toegang heeft tot de web interface van de Management Server. De Manager beheert instellingen.

Master / Master Context

Het overkoepelende niveau. Er is maar één Master Context op de server. Onder de Master vallen één of meerdere organisaties.

Master Manager

Een Manager die alle instellingen kan beheren op de hele Management Server, inclusief de instellingen van alle organisatie. Deze manager is te vergelijken met een Administrator of superadmin.

Master Server

Andere naam voor Management Server.

Organisatie

Een instellingsniveau onder de Master. De organisatie bevat alle Profielen, Filter Gebruikers en organisatie-brede filter instellingen. Er altijd minimaal één organisatie. Er kunnen ook meerdere organisaties aangemaakt worden, elk met eigen Mangers, Profielen en Filter Gebruikers. Dit is bijvoorbeeld handig als er meerdere organsiaties binnen een holding of overkoepelende stichting vallen.

Organisatie Manager

Een Manager die alle instellingen kan beheren van één of meer organisaties. Deze manager binnen de organisatie(s) alles wijzigen, inclusief Filter Gebruikers, Profielen en andere Managers. Deze manager kan geen instellingen wijzigen op master niveau.

Profiel

Een profiel beschrijft alle filterinstellingen die gelden voor een Filter Gebruiker. Het profiel bepaalt wat?, hoe lang? en wanneer? iemand bepaalde activiteit mag uitvoeren (het bezoeken van een website bijvoorbeeld).

Profiel Manager

Een Manager die instellingen kan beheren van één of meer profielen. Deze manager kan geen instellingen wijzigen op organisatieniveau.

YourSafetynet.com portal

De online portal van YourSafetynet waar u alle licenties voor YourSafetynet producten kunt inzien en beheren. U heeft hier een YourSafetynet.com portal account voor nodig. Zie https://portal.yoursafetynet.com.

YourSafetynet.com portal account

De account waarmee je kunt inloggen op de YourSafetynet.com portal, voor het beheer van alle licenties van YourSafetynet producten. Zie https://portal.yoursafetynet.com.

1. Introductie

1.1. Wat is YourSafetynet school+?

YourSafetynet school+ is een totaaloplossing voor het beheer en toepassen van uw ICT beleid. Het biedt niet alleen tools voor het handhaven van uw beleid (webfiltering, monitoring), maar ook voor het vastleggen en distribueren van ICT reglementen. Dit alles ondersteund door procedures en voorbeelddocumenten die voldoen aan de wet- en regelgeving.

Feature Overzicht:

  • Automatische distributie van ICT-reglementen → Vraag om akkoord te gaan met uw ICT reglement voordat men het internet op gaat.

  • Filteren of reguleren van internet- of computeractiviteit → Bepaal wie, wat, wanneer en hoe lang iets mag

  • Monitoren, verwerken en rapporteren → Bekijk statistieken en rapportages over internet- of computeractiviteit

  • Voldoet aan strenge eisen privacywetgeving → Zorg dat uw ICT beleid voldoet aan de wet met de geïntegreerde procedures en voorbeelddocumenten

1.2. Onderdelen

YourSafetynet school+ bestaat uit drie onderdelen:

  • Management Server

  • Endpoint Client [optioneel]

  • Filter Gateway [optioneel]

1.2.1. Management Server

Dit is het hoofdonderdeel van YourSafetynet. Deze server in de vorm van een virtual appliance biedt een web interface voor het beheer van vrijwel alle instellingen binnen YourSafetynet. Het is het centrale punt voor alle instellingen, logs, statistieken en rapporten.

Met de YourSafetynet Management server beheert u instellingen en gegevens van meerdere organisaties op één centraal punt. Het beheer wordt gedaan door één of meer Managers. Er kunnen een onbeperkt aantal verschillende managers aangemaakt worden (eventueel met afwijkende rechten).

Voor de daadwerkelijke filtering en implementatie van uw ICT beleid, moeten er Filter Nodes gekoppeld worden aan de Management Server. Dit kunnen Endpoint Clients en/of Filter Gateways zijn. De Management Server stuurt instellingen door naar de Filter Nodes en ontvangt eventuele logs over bijvoorbeeld bezochte website of gebruikte software.

De Management Server vereist een geldige YourSafetynet school+ licentie. Zonder geldige licentie werken instellingen en filters niet of slechts gedeeltelijk.

1.2.2. Endpoint Client

Dit is een software pakket voor Windows machines en terminal servers (te installeren via een msi pakket). Dit pakket installeert zichzelf als een lokaal filter op de computer. Alle filtering vindt lokaal plaats op de computer.

Naast een internetfilter heeft de endpoint client nog extra filter mogelijkheden op het gebied van software (reguleren van gebruik van software).

Daarnaast biedt het een ‘screenshot alarm knop’ waarmee de gebruiker direct een screenshot kan maken. Deze wordt doorgestuurd naar de Management Server en is daar door de managers te bekijken. Deze alarmknop is vooral handig bij technische problemen of als er sprake is van pestgedrag.

De Endpoint Client zal instellingen en logs uitwisselen met de Management server.

U kunt een onbeperkt aantal Endpoint clients gebruiken in combinatie met een Management Server.

1.2.3. Filter Gateway

Dit is een intermediate gateway in de vorm van een virtual appliance. Dit onderdeel biedt de mogelijkheid om computers, laptops, mobiele devices te filteren zonder dat daar software voor geïnstalleerd hoeft te worden.

De Filter Gateway is een Captive Portal; een soort firewall, maar dan binnen uw netwerk. Het ‘vangt’ al het binnenkomende netwerkverkeer af en filtert dit volgens de ingestelde beperkingen. De eerste keer dat een gebruiker verbinding probeert te maken zal de gateway de gebruiker doorsturen naar een inlogformulier. Hier moet de gebruiker inloggen (met zijn Active Directory of LDAP credentials) en moet dan eventueel nog akkoord gaan met het ICT gebruiksreglement dat u heeft ingesteld. Daarna kan de gebruiker verder surfen (binnen de beperkingen van de ingestelde filters).

Een Filter Gateway appliance zal instellingen en logs uitwisselen met de YourSafetynet Management server.

U kunt een onbeperkt aantal Filter Gateway appliances gebruiken in combinatie met een Management Server.

1.3. Belangrijk!

Met YourSafetynet kunt u voor uw organisatie een specifiek ICT beleid toepassen op het Master niveau (bijvoorbeeld de overkoepelende organisatie of holding), op Organisatie niveau (bijvoorbeeld één locatie) of per profiel/gebruikersgroep (bijvoorbeeld één afdeling).

Het is belangrijk dat de directie of beleidsafdelingen van uw organisatie het uit te voeren ICT beleid accorderen vóórdat u gebruikers gaat filteren of monitoren!

We raden aan de volgende stappen te nemen:

  1. Installeer de Management Server appliance

  2. Stel in overleg met de directie of beleidsafdelingen het ICT beleid op voor de verschillende onderdelen binnen de organisatie. Hiervoor kunnen de beschikbare (voorbeeld)documenten in de Management Server worden gebruikt.

  3. Laat het uit te voeren ICT beleid accorderen door de directie of beleidsafdelingen.

  4. Installeer daarna, pas na het accorderen van het ICT beleid, eventueel de filter software: de Endpoint Clients en/of Filter Gateway appliances.

  5. Zorg dat de juiste ICT gebruiksreglementen zijn aangemaakt in de Management Server en zorg dat deze gekoppeld zijn aan de juiste Organisaties en Profielen.

2. Management Server

2.1. Introductie

De Management Server is een virtual appliance en biedt een web interface voor het beheer van vrijwel alle instellingen binnen YourSafetynet. Het is het centrale punt voor alle instellingen, logs, statistieken en rapporten.

Met de YourSafetynet Management server beheert u instellingen en gegevens van meerdere organisaties op één centraal punt. Het beheer wordt gedaan door één of meer Managers. Er kunnen een onbeperkt aantal verschillende managers aangemaakt worden (eventueel met afwijkende rechten).

Voor de daadwerkelijke filtering en implementatie van uw ICT beleid, moeten er Filter Nodes gekoppeld worden aan de Management Server. Dit kunnen Endpoint Clients en/of Filter Gateways zijn. De Management Server stuurt instellingen door naar de Filter Nodes en ontvangt eventuele logs over bijvoorbeeld bezochte website of gebruikte software.

De Management Server vereist een geldige YourSafetynet school+ licentie. Zonder geldige licentie werken instellingen en filters niet of slechts gedeeltelijk.

2.2. Aan de slag

De YourSafetynet Management Server is beschikbaar als virtual appliance in de volgende formaten:

OVF (VMDK disk)

Geschikt voor o.a. VMware (ESXi 5.1+, Workstation 9+), XenServer, etc.

VHD

Geschikt voor o.a. Hyper-V.

De OVF template is niet geschikt voor VMWare ESXi 5.0. U kunt de template echter wel handmatig aanpassen zodat deze wel te importeren is in ESXi 5.0. Zie VMware Knowledge Base

2.2.1. Systeemeisen

Hardware

De volgende virtuele hardware eigenschappen worden aanbevolen:

  • Minimaal 2 CPU cores

  • Minimaal 2 GB RAM

  • Tot 60 GB HD

  • 1 netwerkverbinding

Browserondersteuning

De webinterface ondersteunt de volgende browsers:

  • Internet Explorer 10 of hoger

  • Google Chrome 30 of hoger

  • Firefox 30 of hoger

  • Microsoft Edge

  • Safari en andere WebKit-based browsers

Op andere browsers werken sommige onderdelen slechts gedeeltelijk of hebben een ander uiterlijk.

2.2.2. Netwerkeisen

Inkomend verkeer

De Management Server moet toegankelijk zijn via HTTPS (TCP poort 443). HTTPS wordt gebruikt voor toegang tot de web interface voor de managers (via webbrowser). De Endpoint Filter Clients en Filter Gateways communiceren met de management server over dezelfde HTTPS poort.

Uitgaand verkeer

De Management Server moet zelf op het internet kunnen. Dit is o.a. nodig voor DNS lookups, NTP tijdsynchronisatie, licentie controle en updates.

Als u profielen automatisch wilt laten koppelen aan gebruikers op basis van AD/LDAP, dan is er een verbinding nodig met een domaincontroller (Active Directory/LDAP).

Locatie in netwerk

De ‘fysieke’ locatie van de management server is niet van belang, zolang deze maar via een (publiek) IP-adres te bereiken is op de HTTPS poort 443. De virtual appliance hoeft dus niet in het te filteren netwerk te staan en zou eventueel in een extern data center gehost kunnen worden.

Maakt u gebruik van een koppeling met Active Directory of LDAP, dan is het van belang dat de Management Server vanaf zijn locatie verbinding kan maken met de domaincontroller!

Samengevat
  • Inkomend naar HTTPS (TCP poort 443)

  • Uitgaand naar Internet (TCP, UDP)

  • Uitgaand naar domain controller Active Directory/LDAP [optioneel].

2.2.3. Console Terminal: Eerste keer inloggen

Start de virtual appliance en log in op de console terminal met de console terminal admin account:

Gebruikersnaam: ysnadmin

Wachtwoord: changeme14127

Console Terminal: first login

Het systeem zal direct vragen om een nieuw wachtwoord in te stellen.

Kies een veilig (niet te gemakkelijk te raden) wachtwoord en onthoud dit goed! Dit wachtwoord is op een later moment niet meer te achterhalen als u het kwijtraakt.

Bij het invoeren van het wachtwoord worden geen tekens in het scherm getoond! Dit wijkt af van wat u wellicht gewend bent bij Windows systemen.

U heeft deze logingegevens alleen in uitzonderlijke gevallen nodig. De meeste instellingen en functies beheert u straks eenvoudig via de web interface met uw eigen manager account login.

2.2.4. Updates installeren

Regelmatig komen er updates uit van pakketten en onderdelen van de appliance. Het gaat hier niet alleen om de pakketten van YourSafetynet zelf, maar ook pakketten van derden.

Om er zeker van te zijn dat u de meest recente versies heeft (met alle bug- en securityfixes), kunt u het beste nu eerst updates installeren. Voer de volgende stappen uit:

  1. Log in op de console terminal (als u dat al niet gedaan had).

  2. Voer de volgende commando’s één voor één uit (commando typen + ENTER):

    1. wget -N https://www.yoursafetynet.com/fix-apt

    2. sudo bash fix-apt

    3. sudo ysn-updates install-reboot

Het systeem zal alle updates nu downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden.

Op een later moment kunt u ook via de web interface updates laten uitvoeren.

Onderaan in footer van de web interface ziet u welke versie van YourSafetynet u op dit moment heeft. Voor meer informatie over recente updates, zie https://portal.yoursafetynet.com/en/release-notes/yoursafetynet-network-v2/.

2.3. Setup

Nu de appliance gestart is kunt u via de web interface de setup starten.

BELANGRIJK: Installeer altijd eerst eventueel beschikbare updates (zie Updates installeren).

IP Adres van de server

Om toegang te krijgen tot de web interface heeft u het IP adres van de server nodig. U kunt het adres opvragen via de Console Terminal met het commando: ysn-system-url

2.3.1. Uitzondering SSL certificaat

Uw browser zal, bij het eerste bezoek aan de web interface, melding maken van een ongeldig SSL/TLS certificaat (omdat het een self-signed certificaat is).

Laat de browser een uitzondering toevoegen voor dit adres.

SSL certificate exception

2.3.2. Setup Starten

  1. Ga met de browser naar de /setup op het aangegeven adres: https://[ip-adres-server]/setup

  2. Volg de stappen. Tijdens de setup zullen diverse basisgegevens ingesteld worden. Deze kunt u op een later moment altijd nog wijzigen. Het gaat hier o.a. om:

    • Networkconfiguratie Hier kunt u zaken als de host name, IP adres, de default gateway en DNS servers invoeren. Standaard wordt dit verkregen via DHCP.

    • Master Context Dit is het overkoepelende niveau van instellingen; hieronder komen uw organisaties te hangen.

    • Organisatie Binnen de Master Context zijn er meerdere organisaties te beheren (elk met eigen gebruikers, profielen en filterinstellingen). Standaard moet er minimaal één organisatie zijn binnen uw Master Context. Die wordt hier aangemaakt. Op een later moment kunt u nog meer organisaties toevoegen.

    • Manager De web interface is alleen toegankelijk voor Managers. Hier maakt u een Master Manager account aan (uw eigen account). Deze heeft alle rechten op Master Context niveau en mag dus alles wijzigen. U kunt op een later moment nog meer managers toevoegen (eventueel op een lager niveau, zoals een Organisatie Manager). Na de setup zult u direct kunnen inloggen met uw zojuist aangemaakte Master Manager account.

Tijdens de setup zal het systeem mogelijk een aantal keer opnieuw opstarten.

2.4. Licentie activeren

Als de setup is afgerond wordt u direct doorgestuurd naar de management interface en het onderdeel licentie (op een later moment altijd te bereiken via Master > Licentie). Hier kunt u het systeem activeren.

license activate

2.4.1. De licentiesleutel

Om de Management Server te activeren heeft u een geldige licentiesleutel nodig voor YourSafetynet. Deze licentiesleutel is altijd gekoppeld aan een YourSafetynet.com portal account (een email adres en wachtwoord).

Heeft u van uw reseller een nieuwe licentiesleutel ontvangen die nog niet gekoppeld is aan een YourSafetynet.com portal account, ga dan naar: https://portal.yoursafetynet.com/register-license-school

Hier kunt u de licentie koppelen aan een YourSafetynet.com portal account. Dit kan een geheel nieuwe YourSafetynet.com portal account zijn, maar ook een bestaande (hiervoor moet u inloggen).

De YourSafetynet.com portal account is een niet hetzelfde als de manager account waar u mee inlogt op de Management Server! Hoewel beide accounts gekoppeld kunnen zijn aan hetzelfde e-mail adres, zijn het verschillende accounts met eventueel verschillende wachtwoorden.

2.4.2. Activeren

Tijdens de activatie zal er gevraagd worden naar uw licentie en YourSafetynet.com portal accountgegevens.

Tevens kunt u een referentie opgeven voor deze installatie/activatie. Deze referentie kunt u later ook terugvinden op https://portal.yoursafetynet.com (onder Mijn AccountLicenties). Dit is vooral handig als u meerdere licenties heeft, of meerdere installaties op één licentie (alleen mogelijk bij bepaalde licenties).

2.5. Active Directory (LDAP)

In de meeste gevallen is het aan te raden om uw organisatie binnen de YourSafetynet Management Server te koppelen aan een Active Directory domein (of een OpenLDAP directory).

Met een gekoppeld domein is het mogelijk om automatisch een profiel aan gebruikers toe te laten wijzen op basis van de OU of Groepslidmaatschap.

2.5.1. Domein toevoegen

Ga naar Organisatie > Domein & Netwerk en klik op Nieuw op een nieuw domein toe te voegen aan uw organisatie.

Organization Domain

Voer alle verbindingsgegevens in en geef een gebruikersnaam met wachtwoord op zodat de management server verbinding kan maken met de domain controller. De gebruiker die u hier invoert wordt alleen gebruikt door de management server zelf (alleen leesrechten nodig op de gehele boomstructuur van uw domein).

De management server zal de OU- en groepsstructuur van uw domein op de achtergrond regelmatig opnieuw synchroniseren. Wijzigingen in uw domeinstructuur zullen doorgaans binnen 10 minuten ook op de management server verwerkt zijn.

Zorg dat de Distinguished Name onder Basis DN correct is (zie volgende sectie).

2.5.2. Basis DN

Voor de juiste toewijzing van profielen en inloggen via de captive portal van de Filter Gateway is het van belang dat de gebruikers van uw organisatie binnen uw domein te vinden zijn binnen de ingestelde Basis DN (of in een sub map daarvan).

Voorbeeld 1
  • U heeft een Active Directory domein (mydomain.local) met een aparte OU voor uw organisatie. Bijvoorbeeld: ou=MyOrg,dc=mydomain,dc=local

  • U heeft alle gebruikers binnen de standaard map ‘Users’. Bijvoorbeeld: cn=Users,dc=mydomain,dc=local

Instelling

  • U stelt in dat geval de Basis DN in op de root DN: dc=mydomain,dc=local.

Voorbeeld 2
  • U heeft een Active Directory domein (mydomain.local) met een aparte OU voor uw organisatie. Bijvoorbeeld: ou=MyOrg,dc=mydomain,dc=local.

  • U heeft alle gebruikers ook binnen deze OU staan, eventueel verdeeld over een aantal submappen. Bijvoorbeeld:

    • ou=MyUsersA, ou=MyOrg, dc=mydomain, dc=local

    • ou=MyUsersB, ou=MyOrg, dc=mydomain, dc=local

Instelling

  • U stelt in dat geval de Basis DN in op de root DN: ou=MyOrg, dc=mydomain, dc=local

2.6. Profielen

YourSafetynet werkt voor het maken van filterinstellingen op basis van profielen. Binnen een profiel wordt ingesteld of er toegang is tot bepaalde filter categorieën en eventueel wanneer of hoe lang die toegang mogelijk is.

Elke filter gebruiker heeft één profiel (wordt dan gefilterd volgens de instellingen van dat profiel) of helemaal geen profiel (wordt dan niet gefilterd).

Doorgaans is het aan te raden een profiel aan te maken voor afdelingen of groepen binnen uw organisatie die u afzonderlijk wilt filteren (elk met eigen instellingen). Dit kan bijvoorbeeld overeenkomen met bepaalde groepen of OU’s binnen uw Active Directory, maar dat is niet noodzakelijk.

2.6.1. Het Standaard Profiel

Als u naar Profielen gaat zie u dat er al één profiel binnen uw organisatie is gedefinieerd met de naam (Standaard Profiel). Dit is het profiel dat standaard wordt toegewezen aan nieuwe (nog onbekende) filter gebruikers. Dit is tevens het profiel dat wordt toegewezen aan gebruikers die op basis van hun OU of Group lidmaatschap niet onder een ander profiel vallen (bij koppeling met Active Directory of LDAP).

Het is aan te raden dit profiel in te stellen volgens een aantal basisfilters, zodat er altijd een algemeen filterbeleid geldt.

Het Standaard Profiel staat in eerste instantie niet ingeschakeld. Gebruikers met dit profiel worden dan niet beveiligd. Klik op de knop met het ‘slotje’ om het profiel in te schakelen (zie afbeelding).

default profile disabled

2.6.2. Een nieuw profiel maken

Het is aan te raden om naast het Standaard Profiel nog één of meer profielen aan te maken binnen uw organisatie.

Ga naar Profielen → Nieuw Profiel en voer een naam en eventueel een omschrijving van het profiel in. Deze omschrijving is optioneel en alleen zichtbaar voor u en andere managers binnen de organisatie.

Nadat u het profiel heeft aangemaakt (via de knop Wijzigingen Opslaan), krijgt u de mogelijkheid om de profieltoewijzing in te stellen. Zie volgende sectie voor meer informatie over profieltoewijzing.

Profieltoewijzing

Als u een profiel heeft aangemaakt kunt ook de profieltoewijzing instellen. Hier heeft u, als u eerder een domein gekoppeld heeft aan de organisatie, de keuze uit twee mogelijkheden:

Geen automatische toewijzing

Het profiel zal nooit automatisch aan een Filter Gebruiker worden toegewezen. Alleen als u zelf handmatig dit profiel aan een gebruiker toewijst zal de gebruiker gefilterd worden volgens de instellingen van dit profiel.

Automatische toewijzing via het domein

U kunt het profiel koppelen met één of meer OU’s of groepen binnen uw Active Directory of LDAP domein. Het profiel zal dan automatisch toegewezen worden aan alle gebruikers die in de gekoppelde OU’s zitten of lid zijn van de gekoppelde groepen.

profile edit domain link

Bij automatische toewijzing via het domein zal de management server op de achtergrond regelmatig contact maken met de domain controller om gegevens over het OU en Group lidmaatschap op te vragen voor de gebruikers. Als een gebruiker dus binnen uw active directory veranderd van Group of OU zal deze ook automatisch een ander profiel krijgen binnen YourSafetynet als dat nodig is.

Kiest u voor Automatische toewijzing via het domein dan krijgt u een boomstructuur te zien van de huidige OU’s en groepen binnen uw domein. Vink hier de OU’s en/of groepen aan die u wilt koppelen met dit profiel (zie afbeelding).

Automatische toewijzing van profielen gebeurt in een achtergrondproces ongeveer elke 5 minuten. Het kan vervolgens nog enkele minuten duren voordat een eventuele wijziging ook verwerkt is op de Endpoint Clients of Filter Gateways.

In de Gebruikerslijst ziet u onder de kolom Profiel welk profiel de gebruikers hebben gekregen.

Nieuw aangemaakte profielen staan (net als het Standaard Profiel) in eerste instantie nog uitgeschakeld (icoontje van ‘open slot’). De filtering wordt pas actief als u het profiel ook inschakelt.<o:p></o:p>

2.6.3. Eigen black- en whitelists

Standaard bevat YourSafetynet al zeer uitgebreide black- en whitelists voor de verschillende filter categorieën. Het kan zijn dat u echter nog extra websites zou willen filteren of juist altijd willen toestaan. Hiervoor heeft elk profiel eigen black- en whitelist instellingsmogelijkheden.

Op de pagina van het profiel (via Profielen) kunt u onder Filters → Web filters eigen black- of whitelists beheren.

profile filter websites

U kunt de ingebouwde filtercategorieën uitbreiden door zelf websites (domeinnamen) toe te voegen aan een bepaalde categorie. Dit is bijvoorbeeld handig als een bepaalde website volgens u als ‘Gokken’ gezien zou moeten worden, dan kunt u deze specifiek onder de categorie ‘Gokken’ laten identificeren. Websites die u zelf toevoegt overschrijven altijd eventuele fabrieksinstellingen voor die website.

Websites die u toevoegt aan de Blacklist categorie zullen altijd worden geblokkeerd, ongeacht de overige profielinstellingen.

Websites die u toevoegt aan de Whitelist categorie zullen altijd worden toegestaan, ongeacht de overige profielinstellingen.

2.6.4. Logs bijhouden

Op de pagina van het profiel (via Profielen) kunt u onder Opties → Logs instellen of er logs moeten worden bijgehouden. Standaard wordt er niets gelogd, u zult dit specifiek moeten aanvinken voor elk profiel waar u voor wilt loggen.

Let op: het bewaren en verwerken van gegevens over internet- en computergebruik zijn meestal onderhevig aan privacywetgeving. Raadpleeg de speciale supportpagina’s (bereikbaar via het vraagteken rechts boven in de navigatiebalk) voor meer informatie over de juiste procedures en richtlijnen met betrekking tot het registreren en verwerken van deze gegevens.

2.7. Filter Gebruikers

Onder Gebruikers vindt u een lijst met alle gebruikers die door YourSafetynet zijn ‘gezien’ binnen uw organisatie. Dit betreft gebruikers die ooit ingelogd hebben op de captive portal van een Filter Gateway of op een Windows machine waar de Endpoint Client op geïnstalleerd staat.

users listing

Deze lijst bevat dus bijvoorbeeld niet alle gebruikers binnen uw Active Directory structuur, maar alleen de gebruikers die echt van belang zijn binnen uw Organisatie. In eerste instantie zal deze lijst dan ook leeg zijn voor uw Organisatie. Pas nadat er gebruikers ingelogd hebben, zullen er steeds meer gebruikers verschijnen in deze lijst.

Als gebruikers langer dan 2 maanden inactief zijn worden ze weer automatisch verwijderd uit de lijst. U kunt eventueel ook handmatig gebruikers verwijderen uit de lijst.

Als een verwijderde gebruiker daarna weer ergens inlogt, zal deze automatisch weer aangemaakt worden (en al dan niet gefilterd worden op basis van het gekoppelde profiel).

2.7.1. Instellingen voor een gebruiker

U kunt eventueel handmatig instellingen voor een gebruiker aanpassen. Zoek hiervoor onder Gebruikers naar de betreffende gebruiker en klik op de naam of op de ‘Wijzig’ knop.

Het is ook mogelijk meerdere gebruikers tegelijk te wijzigen. Vink daarvoor de juiste gebruikers aan en klik bovenaan de lijst op de 'Wijzig' knop.

users edit multi
Profiel toewijzing

Standaard zal een gebruiker een profiel automatisch toegewezen krijgen op basis van zijn OU of Group lidmaatschap. Als er op basis van die gegevens geen profiel gevonden wordt, krijgt de gebruiker het Standaard Profiel toegewezen.

U kunt voor een gebruiker de toewijzing op Handmatig zetten. In dat geval kiest u het profiel dat van toepassing moet zijn voor de gebruiker.

Eventueel kunt u er ook voor kiezen om specifiek ‘Geen’ profiel in te stellen. In dat geval zal de gebruiker geheel niet gefilterd worden.

Een gebruiker wordt pas echt gefilterd als het profiel dat hij toegewezen heeft gekregen ook ingeschakeld (beveiligd) staat onder Profielen (knop ‘slotje’).

Akkoord ICT reglement

Onder deze instelling wijzigt u handmatig het eerder gegeven akkoord op het ICT gebruiksreglement van de organisatie. De gebruiker zal dan bij de eerstvolgende login opnieuw akkoord moeten gaan met het geldende ICT reglement.

Dit is alleen van toepassing als u voor uw organisatie ook een ICT reglement heeft ingesteld. Zie hiervoor onder Organisatie → Gebruiksreglement of Profiel → Gebruiksreglement.

2.8. Troubleshooting

2.8.1. Management Server wil niet updaten

Scenario

U ziet dat er updates beschikbaar zijn onder Master → Updates. U laat de updates installeren en het systeem geeft aan dat de updates geïnstalleerd zijn. Als u nogmaals op updates controleert blijken exact dezelfde updates weer beschikbaar te zijn. De updates worden dus niet geïnstalleerd.

Oorzaak

Er is vermoedelijk een probleem met het update systeem die niet afgehandeld kan worden door de web interface. Deze fout wordt niet herkend waardoor het systeem in eerste instantie denkt dat de updates wel geïnstalleerd zijn.

Oplossing
  1. Log in op de console terminal.

  2. Voer de volgende commando’s één voor één uit (commando typen + ENTER):

    1. wget -N https://www.yoursafetynet.com/fix-apt

    2. sudo bash fix-apt

    3. sudo ysn-updates install-reboot

Hiermee voert u een script uit dat de problemen met het update-systeem oplossen. Het zal daarna alle beschikbare updates downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden.

Ga als de server opgestart is weer naar Master → Updates en laat het systeem opnieuw op updates controleren. Er zouden nu geen updates meer beschikbaar moeten zijn.

2.8.2. Whitelisting video’s van NPO

Scenario

U wilt Audio & Video streams in het algemeen niet toestaan (filter categorie op rood/blokkeren), maar wel (embedded) video’s van de NPO toestaan. U heeft npo.nl op de whitelist gezet, maar de video’s willen toch niet laden.

Oorzaak

De embedded video’s van de NPO gebruiken onderhuids een aparte URL voor het laden van de video: npostreaming.nl. Deze URL staat niet op de whitelist en wordt dan ook geblokkeerd door YourSafetynet.

Oplossing
  1. Voeg toe aan de whitelist: npo.nl

  2. Voeg toe aan de whitelist: npostreaming.nl

Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben.

2.8.3. Whitelisting van Netflix

Scenario

U wilt Audio & Video streams in het algemeen niet toestaan (filter categorie op rood/blokkeren), of alles blokkeren, maar wel Netflix toestaan. U heeft netflix.com op de whitelist gezet, maar Netflix wil niet goed laden (soms een wit scherm).

Oorzaak

Netflix gebruikt onderhuids diverse andere URL’s voor het laden van scripts en video onderdelen. Afhankelijk van de overige filter instellingen kan het zijn dat YourSafetynet deze andere URL’s blokkeert. Netflix kan daardoor niet al zijn scripts laden.

Oplossing
  1. Voeg toe aan de whitelist: netflix.com

  2. Voeg toe aan de whitelist: nflximg.com

  3. Voeg toe aan de whitelist: nflxext.com

Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben.

2.8.4. Whitelisting Embedded video JWPlayer (IE)

Scenario

U wilt standaard alles blokkeren, maar wel een bepaalde website toestaan. Ook de video’s op die website wilt u toestaan. U heeft de betreffende site op de whitelist gezet, en alles werkt, behalve het afspelen van de video met Internet Explorer. In Google Chrome doet de video het wel.

Oorzaak

Omdat Internet Explorer bepaalde nieuwe standaarden niet goed ondersteunt, gebruiken veel websites voor het tonen van video’s op Internet Explorer een speciaal script van JWPlayer. Voor meer moderne browsers zoals Google Chrome hoeft dat niet. De scripts van JWPlayer laden vaak onderhuids nog extra URL’s voor statistieken en tracking. Afhankelijk van de filter instellingen kan het zijn dat YourSafetynet deze URL’s blokkeert. De video player wil daardoor de video niet afspelen.

Oplossing
  1. Voeg toe aan de whitelist: jwpcdn.com

  2. Voeg toe aan de whitelist: jwpltx.com

Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben.

2.8.5. Whitelisting Embedded video THEOPlayer

Scenario

U wilt standaard alles blokkeren, maar wel een bepaalde website toestaan. Ook de video’s op die website wilt u toestaan. U heeft de betreffende site op de whitelist gezet, en alles werkt, behalve het afspelen van de video. De site gebruikt een video player van THEOPlayer.

Oorzaak

De scripts van THEOPlayer laden vaak onderhuids nog extra URL’s voor statistieken en tracking. Afhankelijk van de filter instellingen kan het zijn dat YourSafetynet deze URL’s blokkeert. De video player wil daardoor de video niet afspelen.

Oplossing
  1. Voeg toe aan de whitelist: theoplayer.com

Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients of Filter Gateways deze wijzigingen doorgekregen hebben.

3. Filter Gateway

3.1. Introductie

De Filter Gateway is een virtual appliance voor het clientless filteren van (mobiele) devices. De Filter Gateway gebruikt u voor situaties waarbij het niet mogelijk is om een Endpoint Client te installeren. Dit kan bijvoorbeeld gaan om de volgende scenario’s:

  • WiFi voor Gasten De organisatie biedt een WiFi netwerk voor gasten.

  • Bring Your Own Device (BYOD) Gebruikers binnen de organisatie nemen eigen laptops of tablets mee (waar u geen controle over heeft).

  • Non-Windows devices De organisatie gebruikt bijvoorbeeld iPads of Android tablets.

De Filter Gateway is een Captive Portal: een soort firewall, maar dan binnen uw netwerk. Het ‘vangt’ al het binnenkomende netwerkverkeer af en filtert dit eventueel volgens het ingestelde ICT beleid.

De Filter Gateway kan op twee manieren in uw netwerk geplaatst worden. De ‘Simple Router Mode’ is voor de meeste netwerken de beste keus.

De Filter Gateway is geen UTM of firewall tussen uw netwerk en het internet, maar een intermediate gateway tussen de te filteren devices en uw eigen netwerk. Er zal dus altijd ook nog een reguliere firewall (of UTM) in uw netwerk aanwezig moeten zijn.

3.1.1. Filter Gateway vs Endpoint Client

De Filter Gateway is een oplossing voor als u geen Endpoint Client kunt toepassen. In de meeste gevallen is oplossing met Endpoint Clients altijd te prefereren boven die met een Filter Gateway.

De Endpoint Client filtert namelijk lokaal op de machine en biedt daardoor niet alleen veel hogere performance, maar ook extra filtering en monitoring opties (bijvoorbeeld software filtering). De Filter Gateway filtert alleen alle binnenkomende verbindingen van meerdere (mobiele) devices.

Zit een machine met een Endpoint Client óók nog achter een Filter Gateway (niet aan te raden), dan meldt de Endpoint Client zich bij de Filter Gateway. De Filter Gateway stuurt daarna al het verkeer van die client machine ongefilterd door (gekoppeld aan IP/MAC). De Endpoint Client is dan geheel verantwoordelijk voor de filtering. Eventuele conflicten door 'dubbele filtering' worden daarmee voorkomen.

3.1.2. Simple Router Mode

In deze variant heeft de gateway één netwerk interface (met 1 lokaal IP) en het verkeer dat binnenkomt, wordt verder doorgestuurd indien nodig. Dit is een 'out-of-band' oplossing waarbij de gateway 'naast' de andere devices op je netwerk staat (op de (virtuele) switch bijvoorbeeld). Alleen het verkeer dat je er heen stuurt wordt gefilterd (niet al het lokale netwerkverkeer hoeft er doorheen).

Default Gateway

De te filteren devices moeten in dit geval hun internet verkeer zelf doorsturen naar de gateway. Dat kan bijvoorbeeld door het IP adres van de Filter Gateway als default gateway in te stellen (bijvoorbeeld in de DHCP setting). De Filter Gateway zal op zijn beurt het verkeer weer doorsturen naar de ‘echte’ default gateway.

Simple Router Mode

Policy Based Routing (PBR)

Beschikt u over een geavanceerde router of switch waarmee u Policy Based Routing kunt uitvoeren, dan kunt u op die manier zorgen dat het HTTP(S) verkeer bij de YSN Filter Gateway terecht komt. Het is dan niet nodig om de YSN Filter Gateway als default gateway in te stellen.

Alle TCP pakketten voor poort 80/443 moeten dan naar de YSN Filter Gateway gestuurd worden.

Simple Router Mode PBR

De Simple Router Mode is voor de meeste netwerkomgevingen de beste keus. Kies deze modus in geval van twijfel!

3.1.3. Inline Bridge Mode

In deze variant wordt de Filter Gateway als transparante bridge in uw netwerk geplaatst. De clients die gefilterd moeten worden zitten aan de 'downstream' kant en de 'rest' van uw netwerk zit aan de 'upstream' kant.

Bridge Mode

De filter gateway heeft in de Bridge Mode twee netwerk interfaces (samen op één IP adres):

  1. Upstream netwerkverbinding (eth0) Dit is de eerste netwerkverbinding van de filter gateway en wordt gebruikt als toegang tot de rest van uw netwerk en het internet.

  2. Downstream netwerkverbinding (eth1) Dit is de tweede netwerkverbinding van de filter gateway en wordt gebruikt als verbinding met de te filteren devices.

De gateway wordt in-line geplaatst tussen uw eigen netwerk en een netwerk van te filteren devices. De gateway zal al het verkeer tussen de twee netwerkverbindingen als een bridge met elkaar verbinden. Al het reguliere netwerkverkeer wordt over-en-weer gestuurd.

De devices achter de downstream verbinding zullen dus ook gewoon hun DHCP en DNS aanvragen kunnen versturen alsof ze direct in het normale netwerk zouden zitten. Ook koppelingen met uw domain controller of aanvragen voor intranet websites zullen altijd doorgestuurd worden.

De aanvragen die de Filter Gateway in Bridge Mode doet 'lijken' van het originele IP adres van de downstream client af te komen (die worden door de Filter Gateway 'spoofed'). Op die manier is deze variant dus 'echt' transparant en merkt zowel de upstream als de downstream kant niet dat er gefilterd wordt.

Gebruik de Bridge Mode alleen als u weet wat u doet! Verkeerd gebruik van de Bridge Mode kan voor problemen op uw netwerk zorgen!

De Bridge Mode ondersteunt op dit moment geen vlan tags/ids. Alle TCP pakketten die binnenkomen worden doorgestuurd (ongeacht vlan tag). Eventuele vlan configuratie moet dus in de netwerkconfiguratie van uw virtuele switch van uw hyper visor afgehandeld worden.

3.1.4. Meerdere Filter Gateways gebruiken

U kunt een onbeperkt aantal Filter Gateways toepassen in uw netwerk. Met één filter gateway kunt u doorgaans 100 tot 250 users/devices filteren (meer is mogelijk als u meer virtuele hardware resources toewijst). Als niet alle gebruikers gefilterd worden, kunnen er meer gebruikers tegelijkertijd afgehandeld worden.

Gebruikt u load balancing (bijvoorbeeld via load balancing in uw Policy Based Router die het verkeer over de verschillende YSN Filter Gateways verdeelt), houd u er dan rekening mee dat inlogsessies altijd gekoppeld zijn aan één Filter Gateway.

De load balancing moet dus op basis van een ‘Source IP hash’ gebeuren, zodat aanvragen van een gebruiker altijd bij dezelfde gateway terecht komen. Als dit niet gebeurt en een aanvraag van de gebruiker komt bij een andere gateway terecht, dan zal deze gebruiker weer opnieuw moeten inloggen.

3.2. Aan de slag

De Filter Gateway is beschikbaar als virtual appliance in de volgende formaten:

OVF (VMDK disk)

Geschikt voor o.a. VMWare (ESXi 5.1+, Workstation 9+), XenServer, etc.

VHD

Geschikt voor o.a. Hyper-V.

De OVF template is niet geschikt voor VMWare ESXi 5.0. U kunt de template echter wel handmatig aanpassen zodat deze wel te importeren is in ESXi 5.0. Zie VMware Knowledge Base

3.2.1. Systeemeisen

Hardware

De volgende virtuele hardware eigenschappen worden aanbevolen:

  • Minimaal 4 CPU cores

  • Minimaal 4 GB RAM

  • Tot 50 GB HD

  • 1 netwerkverbinding (Simple Router Mode)

  • 2 netwerkverbindingen (Bridge Mode)

Gebruikt u de Bridge Mode op Hyper-V, zorg dan dat Enable Spoofing of MAC addresses ingeschakeld is voor de VM voor beide netwerkverbindingen!

Browserondersteuning

De webinterface ondersteunt de volgende browsers:

  • Internet Explorer 10 of hoger

  • Google Chrome 30 of hoger

  • Firefox 30 of hoger

  • Microsoft Edge

  • Safari en andere WebKit-based browsers

Op andere browsers werken sommige onderdelen slechts gedeeltelijk of hebben een ander uiterlijk.

3.2.2. Netwerkeisen

Inkomend verkeer

De Filter Gateway zelf moet toegankelijk zijn via HTTP/HTTPS (TCP poort 80/443). HTTP wordt gebruikt voor het Captive Portal waar gebruikers moeten inloggen voordat ze op het internet kunnen. HTTPS wordt gebruikt voor toegang tot de web interface voor de managers (via webbrowser).

Uitgaand verkeer

De Filter Gateway moet zelf op het internet kunnen. Dit is o.a. nodig voor DNS lookups, NTP tijdsynchronisatie, licentie controle en updates.

Omdat gebruikers moeten inloggen op de Filter Gateway voor ze internettoegang krijgen, is er een uitgaande verbinding nodig met een domaincontroller (Active Directory/LDAP over TCP).

Voor het uitwisselen van instellingen en logs moet de Filter Gateway contact kunnen maken met de Management Server (verloopt over HTTPS verbinding).

De Filter Gateway kan standalone draaien. Als de Management Server (tijdelijk) niet beschikbaar is, zullen gebruikers gewoon volgens de laatst bekende instellingen gefilterd worden.

Locatie in het netwerk

De locatie van de Filter Gateway is vooral van belang omdat inlogsessies van gebruikers gekoppeld zijn aan een IP- of MAC-adres. De individuele devices moeten dus voor gateway ook allemaal apart ‘zichtbaar’ zijn met een eigen IP- of MAC-adres.

Dit betekent dus dat de filter gateway ‘fysiek’ binnen uw lokale netwerk moet staan of bijvoorbeeld in een datacenter dat via een VPN verbonden is met uw lokale netwerk (zodat de gateway in het datacenter nog steeds de unieke IP adressen van de te filteren devices ‘ziet’).

Het is echter in verband met performance meestal aan te raden om de filter gateway ‘zo dicht mogelijk’ bij de te filteren devices te plaatsen. Tevens is het bij grotere netwerken vaak nodig meerdere filter gateways te gebruiken (zie volgende sectie).

De Filter Gateway gebruikt voor het inloggen een verbinding met uw LDAP/Active Directory domain controller. De locatie van de gateway binnen het netwerk moet dus ook zodanig zijn dat deze verbinding kan maken met de domain controller. De Filter Gateway hoeft niet het domein niet te ‘joinen’, maar moet wel verbinding kunnen maken via TCP/LDAP (poort instelbaar, eventueel met LDAP+TLS).

Internetverkeer van de te filteren devices verloopt via de Filter Gateway. Als u de Filter Gateway in een datacenter (of andere externe locatie) heeft staan, hou er dan rekening mee dat het internetverkeer dus ook mogelijk allemaal via het datacenter verlopen. Dit kan in bepaalde gevallen extra vertraging of kosten met zich mee brengen!

Samengevat
  • Inkomend naar HTTP/HTTPS (TCP poort 80/443)

  • Uitgaand naar Internet (TCP, UDP)

  • Uitgaand naar domain controller (Active Directory/LDAP over TCP).

  • Uitgaand naar Management Server (HTTPS)

3.2.3. Console Terminal: Eerste keer inloggen

Start de virtual appliance en log in op de console terminal met de console terminal admin account:

Gebruikersnaam: ysnadmin

Wachtwoord: changeme14127

Console Terminal: first login

Het systeem zal direct vragen om een nieuw wachtwoord in te stellen.

Kies een veilig (niet te gemakkelijk te raden) wachtwoord en onthoud dit goed! Dit wachtwoord is op een later moment niet meer te achterhalen als u het kwijtraakt.

Bij het invoeren van het wachtwoord worden geen tekens in het scherm getoond! Dit wijkt af van wat u wellicht gewend bent bij Windows systemen.

U heeft deze logingegevens alleen in uitzonderlijke gevallen nodig. De meeste instellingen en functies beheert u straks eenvoudig via de web interface met uw eigen manager account login.

3.2.4. Updates installeren

Regelmatig komen er updates uit van pakketten en onderdelen van de appliance. Het gaat hier niet alleen om de pakketten van YourSafetynet zelf, maar ook pakketten van derden.

Om er zeker van te zijn dat u de meest recente versies heeft (met alle bug- en securityfixes), kunt u het beste nu eerst updates installeren. Voer de volgende stappen uit:

  1. Log in op de console terminal (als u dat al niet gedaan had).

  2. Voer de volgende commando’s één voor één uit (commando typen + ENTER):

    1. wget -N https://www.yoursafetynet.com/fix-apt

    2. sudo bash fix-apt

    3. sudo ysn-updates install-reboot

Het systeem zal alle updates nu downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden.

Op een later moment kunt u ook via de web interface updates laten uitvoeren.

Onderaan in footer van de web interface ziet u welke versie van YourSafetynet u op dit moment heeft. Voor meer informatie over recente updates, zie https://portal.yoursafetynet.com/en/release-notes/yoursafetynet-network-v2/.

3.3. Setup

Nu de appliance gestart is kunt u via de web interface de setup starten.

BELANGRIJK: Installeer altijd eerst eventueel beschikbare updates (zie Updates installeren).

IP Adres van de gateway

Om toegang te krijgen tot de web interface heeft u het IP adres van de Filter Gateway nodig. U kunt het adres opvragen via de Console Terminal met het commando: ysn-system-url

3.3.1. Uitzondering SSL certificaat

Uw browser zal, bij het eerste bezoek aan de web interface, melding maken van een ongeldig SSL/TLS certificaat (omdat het een self-signed certificaat is).

Laat de browser een uitzondering toevoegen voor dit adres.

SSL certificate exception

3.3.2. Setup Starten

  1. Ga met de browser naar de /setup op het aangegeven adres: https://[ip-adres-gateway]/setup

  2. Volg de stappen. Tijdens de setup zullen diverse basisgegevens ingesteld worden. Deze kunt u op een later moment altijd nog wijzigen. Het gaat hier o.a. om:

    • Networkconfiguratie Hier kunt u zaken als de Gateway Mode, de host name, het IP adres, de default gateway en DNS servers invoeren. Standaard wordt dit verkregen via DHCP.

    • Server Link Hier koppelt u de Gateway appliance met een Management Server. U heeft hiervoor het publieke adres van de Management Server nodig en een API Keyset. De API Keyset vindt u in de Management Server onder Organisatie → Filter Nodes → API Keys.

Tijdens de setup zal het systeem mogelijk een aantal keer opnieuw opstarten.

3.4. System Control

Als de setup afgerond is kunt u inloggen op de System Control via de web interface. Hiermee kunt u specifieke instellingen van de Filter Gateway aanpassen en actieve sessies van Filter Gebruikers inspecteren.

fgw system control 01

Toegang tot de System Control interface vereist een login met uw Manager account (dezelfde als die u gebruikt voor de Management Server):

Tijdens de setup heeft de gateway ook alle Manager accounts van de organisatie gesynchroniseerd. Alle managers kunnen dus na de setup inloggen op de web interface van de gateway. Deze synchronisatie zal regelmatig herhaald worden, dus wijzigingen in Managers voor uw organisatie gelden ook voor het ‘System Control’ gedeelte van de gateway.

Synchronisatie tussen Filter Gateway en Management Server gebeurt ongeveer elke 5 minuten in een achtergrondproces.

3.5. Captive Portal

De Filter Gateway gedraagt zich als een Captive Portal: de gebruikers worden eerst doorgestuurd naar een loginpagina en moeten eventueel akkoord gaan met uw ICT reglement.

Bij elke nieuwe sessie (gekoppeld aan IP/MAC adres) worden de volgende stappen doorlopen:

  1. De HTTP verbindingen (naar poort 80) worden naar een inlogpagina doorgestuurd (browser toont inlogpagina).

  2. Op de inlogpagina moet de gebruiker inloggen met zijn Active Directory (of LDAP) accountgegevens.

  3. De gebruiker moet daarna eventueel eerst een ICT reglement accorderen (als dat ingesteld is en hij had nog niet eerder akkoord gegeven).

  4. De gebruiker krijgt een bevestiging dat hij is ingelogd en wordt doorgestuurd naar de eerder opgevraagde website.

fgw portal login

Voor de juiste werking is het van belang dat u op de Management Server onder Organisatie → Domein & Netwerk → Filter Gateway een correct domein is ingesteld. Als dit nog niet correct is ingesteld, doe dat dan nu. Het kan daarna 5 tot 10 minuten duren voordat de gateway deze wijzigingen doorgekregen heeft.

De filter gateway zal via een LDAP verbinding met de ingestelde domain controller controleren of de inloggegevens van de gebruiker kloppen. Als de gegevens kloppen zal de gateway het profiel van de gebruiker inladen. Mocht er een ICT reglement van toepassing zijn, dan zal de gebruiker eerst akkoord moeten gaan met het gebruiksreglement.

Daarna kan de gebruiker weer als normaal verder websites bezoeken, maar wel alleen de websites die zijn toegestaan volgens het gekoppelde profiel.

De inlogsessies zijn gekoppeld aan het IP- of MAC adres van de device van de gebruiker. Is de gebruiker langer dan bepaalde tijd inactief (geen verbindingen), dan wordt de gebruiker automatisch uitgelogd (idle session timeout). Bij een nieuwe aanvraag moet de gebruiker dan weer opnieuw inloggen.

3.6. Troubleshooting

3.6.1. Filter Gateway wil niet updaten

Scenario

U ziet dat er updates beschikbaar zijn onder Updates. U laat de updates installeren en het systeem geeft aan dat de updates geïnstalleerd zijn. Als u nogmaals op updates controleert blijken exact dezelfde updates weer beschikbaar te zijn. De updates worden dus niet geïnstalleerd.

Oorzaak

Er is vermoedelijk een probleem met het update systeem die niet afgehandeld kan worden door de web interface. Deze fout wordt niet herkend waardoor het systeem in eerste instantie denkt dat de updates wel geïnstalleerd zijn.

Oplossing
  1. Log in op de console terminal.

  2. Voer de volgende commando’s één voor één uit (commando typen + ENTER):

    1. wget -N https://www.yoursafetynet.com/fix-apt

    2. sudo bash fix-apt

    3. sudo ysn-updates install-reboot

Hiermee voert u een script uit dat de problemen met het update-systeem oplossen. Het zal daarna alle beschikbare updates downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden.

Ga als de server opgestart is weer naar Updates en laat het systeem opnieuw op updates controleren. Er zouden nu geen updates meer beschikbaar moeten zijn.

4. Endpoint Client

4.1. Introductie

De Endpoint Client is een software pakket voor Windows machines en terminal servers (te installeren via een msi pakket). Dit pakket installeert zichzelf als een lokaal filter op de computer. Alle filtering vindt lokaal plaats op de computer.

Naast een internetfilter heeft de endpoint client nog extra filter mogelijkheden op het gebied van software (reguleren van gebruik van software).

Daarnaast biedt het een ‘screenshot alarm knop’ waarmee de gebruiker direct een screenshot kan maken. Deze wordt doorgestuurd naar de Management Server en is daar door de managers te bekijken. Deze alarmknop is vooral handig bij technische problemen of als er sprake is van pestgedrag.

De Endpoint Client zal instellingen en logs uitwisselen met de Management server.

4.2. Aan de slag

De Endpoint Client is beschikbaar als MSI installatiepakket.

4.2.1. Systeemeisen

Besturingssysteem
  • Windows Vista SP2 (en hoger)

  • Windows 7 SP1 (en hoger)

  • Windows 8 / Windows 8.1

  • Windows 10

  • Windows Server 2008 SP2 / R2 (en hoger)

  • Windows Server 2012 (R2)

Ondersteuning van Windows Vista SP2 vervalt binnenkort: 1 januari 2017. De software zal daarna nog wel functioneren, maar er verschijnen geen bugfixes meer specifiek voor Vista SP2.

Platform

Let op: er zijn twee versies van de installer: een 32 bit en een 64 bit versie. U kunt de 32 bits versie niet op 64 bits systemen installeren en vice versa. U vindt de 64 bit versie in de ‘x64’ map en de 32 bit versie in de ‘x86’ map.

Eisen Software

De Endpoint Client vereist .NET Framework 4.5.1 of beter. Dit framework is een standaard onderdeel van bepaalde versies van Windows (soms nog niet ingeschakeld):

  • Windows 8.1/10

  • Windows Server 2012 SP1/R2

Voor oudere versies van Windows moet u zelf het .NET Framework installeren (als dat al niet gedaan was). Download de officiële web-installer van het .NET Framework via de volgende link (stuurt door naar de downloadpagina van Microsoft):

Browserondersteuning

Standaard worden de volgende browsers ondersteund:

  • Internet Explorer 9 of hoger

  • Google Chrome 30 of hoger

  • Firefox 10 of hoger (vereist herstart)

  • Microsoft Edge

  • Vele andere browsers die Windows proxy instellingen gebruiken

De Endpoint Client installeert een lokale proxy voor het filteren van websites. Deze proxy wordt automatisch geconfigureerd binnen Windows, waardoor de meeste browsers automatisch deze proxy gebruiken (en dus gefilterd worden).

Voor Internet Explorer op Windows RDS/Terminal Server omgevingen moet IE Enhanced Security uitgeschakeld staan voor gebruikers EN administrators! Zie Troubleshooting: [troubleshooting-client-ie-enhanced-security].

4.2.2. Netwerkeisen

Inkomend verkeer

Voor de Endpoint Client hoeven er geen specifieke poorten open gezet te worden voor inkomend verkeer.

Uitgaand verkeer

De Endpoint Client moet zelf op het internet kunnen. Dit is o.a. nodig voor de lokale filter proxy, DNS lookups, NTP tijdsynchronisatie, licentie controle en updates.

Voor het uitwisselen van instellingen en logs moet de Endpoint Client contact kunnen maken met de Management Server (verloopt over HTTPS verbinding).

De Endpoint Client hoeft geen verbinding te hebben met een eventuele domain controller. De client kan dus ook draaien op machines die (tijdelijk) buiten het domein draaien.

De Endpoint Client kan standalone draaien. Als de Management Server (tijdelijk) niet beschikbaar is, zullen gebruikers gewoon volgens de laatst bekende instellingen gefilterd worden.

Samengevat
  • Uitgaand naar Internet (TCP, UDP)

  • Uitgaand naar Management Server (HTTPS)

4.3. Setup

De endpoint client moet per machine geïnstalleerd worden. Het vereist elevated privileges om te installeren (en te de-installeren).

4.3.1. Standaard installatie (full UI)

Start de .msi en volg de stappen.

Bij de installatie van de client wordt er om 3 dingen gevraagd:<o:p></o:p>

  • Server host Vul hier de host name of het IP adres van de Management Server in.

  • API Key De API Key vindt u op de Management Server onder Organisatie → Filter Nodes → Api Keys. Klik op de eerste key voor details. Dan komt er een detailpagina. Kopieer daarvan de API Key.

  • API Secret De API Secret behoort bij de eerder gevonden API Key. Kopieer deze van dezelfde detail pagina.

epc installer server link

4.3.2. Installatie via de command-line (msiexec)

Via de msiexec kunt u het msi pakket installeren door gebruik te maken van de standaard parameters voor UI level of silent installs.

Installeren via de command-line vereist meestal extra parameters. Vooral de SERVERHOST, API_KEY en API_SECR parameters zijn van belang.

Aanbevolen parameters

SERVERHOST

SERVERHOST="<host>"

Hiermee definieert u de hostnaam of het IP-adres van de Management Server. De Endpoint Client heeft dit nodig om instellingen van de Management Server op te kunnen halen.

De SERVERHOST parameter wordt ook opgeslagen in de ServerList registersleutel onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client. Wilt u de host van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel.

Het gebruik van de SERVERHOST parameter is sterk aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ServerList registersleutel correct instellen (eventueel op een later moment).

API_KEY

API_KEY="<key>"

Hiermee definieert u de API key die de Endpoint Client moet gebruiken bij de communicatie met de Management Server. U vindt deze API Key op de Management Server onder Organisatie → Filter Nodes → Api Keys

De API_KEY parameter wordt ook opgeslagen in de ServerApiKey registersleutel onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client. Wilt u de API Key van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel.

Het gebruik van de API_KEY parameter is sterk aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ServerApiKey registersleutel correct instellen (eventueel op een later moment).

API_SECR

API_SECR="<secret>"

Hiermee definieert u de API secret (horend bij de API key) die de client moet gebruiken bij de communicatie met de management server. U vindt deze API secret op de Management Server onder Organisatie → Filter Nodes → Api Keys. Klik op de detail pagina van de API Key om de API Secret zichtbaar te maken.

De API_SECR wordt ook opgeslagen in de ServerApiSecr registersleutel onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client. Wilt u de API Secret van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel.

Het gebruik van de API_SECR parameter is sterk aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ServerApiSecr registersleutel correct instellen (eventueel op een later moment).

Optionele parameters

ARPNOREMOVE

ARPNOREMOVE=1

Dit is een standaard MSI parameter (werkt ook op andere MSI pakketten). Wanneer deze parameter op 1 wordt gezet zal de ‘Verwijderen’ optie uitgeschakeld worden in het Add/Remove Programs gedeelte van het configuratiescherm van Windows.

Als u deze optie inschakelt kunt u dus alleen nog maar via de command-line de software verwijderen.

Deze parameter wordt automatisch op 1 gezet als u de parameter UNINSTALLPASS gebruikt.

Gebruik deze optie alleen als u wilt ‘beschermen’ tegen ongeoorloofd verwijderen door gebruikers die ook beheerderrechten hebben (normale gebruikers kunnen de software niet verwijderen).

UNINSTALLPASS

UNINSTALLPASS="<password>"

Hiermee kunt u een optioneel wachtwoord instellen ter ‘bescherming’ van het verwijderen van de software. Als er een wachtwoord is ingesteld zal er alleen nog verwijderd kunnen worden via de command-line en het opgeven van het juiste wachtwoord.

Deze parameter zal resulteren in een hash die wordt opgeslagen in de waarde uip_h onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client.

Als u de deze parameter gebruikt, wordt de ARPNOREMOVE parameter automatisch op 1 gezet.

Gebruik deze optie alleen als u wilt ‘beschermen’ tegen ongeoorloofd verwijderen door gebruikers die ook beheerderrechten hebben (normale gebruikers kunnen de software niet verwijderen).

4.3.3. Voorbeelden

Silent install

msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe"

Silent install (alleen te verwijderen via commandline)

msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe" ARPNOREMOVE=1

Silent install (alleen te verwijderen via commandline EN wachtwoord)

msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe" UNINSTALLPASS="mypass"

4.3.4. Push installatie

Omdat de client setup als standaard MSI pakket beschikbaar is en deze alle standaard parameters/switches accepteert kunt u de client ook in de meeste push scenario’s installeren.

Als u bij push installatie niet de aanbevolen parameters voor SERVERHOST, API_KEY en API_SECR gebruikt, zorg dan dat de gerelateerde registersleutels correct worden ingesteld.

Zorg ervoor dat de push installatie rekening houdt met het platform van de machine (32 bit of 64 bit). U kunt de 32 bits versie niet op 64 bits systemen installeren en vice-versa.

4.3.5. Installatie via scripts

Wilt u een installatiescript gebruiken om de Endpoint Client te installeren, dan is het is aanbevolen om in het script msiexec aan te roepen met de juiste parameters.

Voorbeeld:

msiexec /i %MYSHARE%\YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe"

4.3.6. Installatie via GPO

Omdat de installatie een aantal parameters vereist in de meeste gevallen (zoals SERVERHOST, API_KEY en API_SECR), is het aan te raden een MST bestand te maken met een tool zoals Orca. Zorg ervoor dat alle aanbevolen parameters correct toegevoegd zijn bij de Property table in Orca (of vergelijkbare tool).

Zie ook:

Orca is een tool die helaas niet meer officieel ondersteund wordt door Microsoft. Een goed alternatief is InstEd It (InstEd It is gratis, InstEd It Plus is niet gratis).
Als u geen MST bestand maakt, zorg dan dat de gerelateerde registersleutels correct zijn ingesteld voor de aanbevolen parameters.

4.4. Client verwijderen

U kunt de Endpoint Client verwijderen via de command-line of via het onderdeel Add/Remove Programs van het configuratiescherm. Om te kunnen verwijderen heeft u altijd beheerderrechten nodig.

Het is mogelijk dat u bij het verwijderen een melding krijgt dat een herstart van het systeem vereist is. Dit is meestal niet noodzakelijk; de verwijderprocedure zal alle services stoppen en opruimen in de elevated stage van de het verwijderproces. Door enkele beschermingsconstructies in Endpoint Client kan Windows de services niet stoppen op de standaard manier; vandaar de melding.

4.4.1. Verwijderen via Configuratiescherm

Deze optie is alleen beschikbaar als u tijdens de installatie geen gebruik gemaakt heeft van de UNINSTALLPASS of ARPNOREMOVE parameters.

4.4.2. Verwijderen via command-line

U kunt via msiexec de Endpoint Client verwijderen met de /x switch. Hiervoor heeft u óf de originele MSI nodig, óf de productcode.

Verwijderen met originele msi pakket

Hiervoor heeft u het originele msi pakket nodig dat u gebruikt heeft voor de originele installatie. U kunt dit niet doen met een nieuwere of oudere versie van het msi pakket; het moet exact dezelfde versie zijn.

Voorbeelden:

De-installatie

msiexec /x YourSafetynetClientSetup.msi

De-installatie (met eerder ingesteld wachtwoord)

msiexec /x YourSafetynetClientSetup.msi UNINSTALLPASS="mypass"

De-installatie (met msi log dump)

msiexec /x YourSafetynetClientSetup.msi /l*v MyLogFile.txt
Verwijderen met productcode (guid)

Hiervoor heeft u de productcode (guid) van het installatiepakket nodig. Deze productcode verandert bij elke nieuwe versie van het installatiepakket.

Als u de productcode (guid) niet weet, kunt u die proberen te vinden via regedit:

  1. Kijk onder HKLM\SOFTWARE\Windows\CurrentVersion\Uninstall

  2. Klik met rechtermuisknop op deze map Uninstall en kies Zoeken…​ en zoek op YourSafetynet

  3. De registersleutelnaam zal de correcte productcode (guid) zijn. Bijvoorbeeld: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8EDE247B-EA55-483B-99AC-2A3C9F3068B6}

Voorbeelden:

De-installatie

msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6}

De-installatie (met eerder ingesteld wachtwoord)

msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} UNINSTALLPASS="mypass"

De-installatie (met msi log dump)

msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} /l*v "C:\Temp\MyLogFile.txt"

De-installatie via PowerShell script (bijvoorbeeld voor Microsoft Endpoint)

$MSIUninstallArguments = @(
    "/x"
    "{8EDE247B-EA55-483B-99AC-2A3C9F3068B6}"
    "/qb!"
    "/norestart"
    "/l*v"
    '"C:\Temp\MyLogFile.txt"'
)
Start-Process "msiexec.exe" -ArgumentList $MSIUninstallArguments -Wait -NoNewWindow

4.5. Instellingen Windows Register

Voor de Endpoint Client kunt u bepaalde instellingen maken via register sleutels.

Dit zijn optionele instellingen en standaard staan deze goed ingesteld. Wijzig alleen waardes als u weet wat u doet!

De meeste register instellingen worden alleen bij het opstarten ingeladen. Maakt u wijzigingen, dan worden deze dus pas actief na een herstart!

4.5.1. Server Verbinding

De volgende register instellingen hebben betrekking op de verbinding van de client met de Management Server.

ServerList

De Endpoint Client maakt verbinding met de Management Server die in deze register sleutel staat gedefinieerd. Deze sleutel kan 1 of meer adressen bevatten (hostnaam of IP-adres). Het opgeven van een poort is optioneel; standaard wordt poort 443 (HTTPS) gebruikt.

Als de client geen verbinding kan krijgen met de eerste host, dan wordt de volgende geprobeerd (als er meerdere opgegeven zijn).

Sleutel

HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client

Naam

ServerList (String)

Formaat

<host>[:port][,<host>[:port],..]

Voorbeeld
; Server Host (port is optional)
[HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet School+ Client]
"ServerList"="ysn-ms01.mydomain.tld"
ServerApiKey

In deze register sleutel staat de API key die de Endpoint Client moet gebruiken bij de communicatie met de Management Server. U vindt de correcte API Key en bijbehorende secret op de Management Server onder Organisatie → Filter Nodes → Api Keys.

Sleutel

HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client

Naam

ServerApiKey (String)

Voorbeeld
; Server API Key
[HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet School+ Client]
"ServerApiKey"="aabbccddeeff00112233445566778899"
ServerApiSecr

In deze register sleutel staat de API secret die de Endpoint Client moet gebruiken bij de communicatie met de Management Server. U vindt de correcte API Key en bijbehorende secret op de Management Server onder Organisatie → Filter Nodes → Api Keys.

Sleutel

HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client

Naam

ServerApiSecr (String)

Voorbeeld
; Server API Secret
[HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet School+ Client]
"ServerApiSecr"="00000eeee0000aa000ccc000....00eeff9"
DisableOnServerUnreachable

De Endpoint Client draait standaard standalone. Dat betekent dat als de server niet draait of niet beschikbaar is, de filtering gewoon blijft werken. In bepaalde situaties kan het wenselijk zijn om de filtering uit te schakelen als de server niet beschikbaar is.

Een bekend voorbeeld hiervan is het thuisgebruik van een laptop van de organisatie. Alleen als de laptop binnen het netwerk van de organisatie gebruikt wordt moet er gefilterd worden. Thuis mag de gebruiker onbeperkt gebruik maken van het internet.

Met deze optionele registersleutel is het mogelijk in te stellen dat de client bij het opstarten moet controleren of de server bereikbaar is. Is de server niet bereikbaar, bijvoorbeeld omdat de machine buiten het netwerk van de organisatie gebruikt wordt, dan wordt de filtering uitgeschakeld.

De controle of de server bereikbaar is gebeurt in de eerste 20 seconden na het starten van de machine. Als de server tussentijds (terwijl de machine aanstaat) even onbereikbaar is, dan wordt de filtering NIET uitgeschakeld. Dit om te voorkomen dat tijdelijke downtime van de server binnen uw organisatie zorgt voor het uitschakelen van de filtering.

Is de filtering uitgeschakeld omdat de server niet bereikbaar was tijdens het opstarten, dan wordt er om de zoveel tijd gecontroleerd of de server weer bereikbaar is. Is de server later alsnog weer bereikbaar, dan wordt de filtering automatisch weer ingeschakeld.

Als uw server op een publiek adres draait, dan zal deze instelling meestal geen effect hebben. De server is dan immers ook bij thuisgebruik gewoon bereikbaar.

Sleutel

HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client

Naam

DisableOnServerUnreachable (DWORD)

Formaat

0 of 1

Standaard

0 (Optie niet ingeschakeld)

Voorbeeld
; Disable filtering when server cannot be reached (default: 0)
[HKEY_LOCAL_MACHINE\SOFTWARE\Media Security Networks\YourSafetynet School+ Client]
"DisableOnServerUnreachable"=dword:00000001

4.5.2. Filtering

De volgende register instellingen zijn gerelateerd aan de filtering.

DisableOnServerUnreachable

Zie boven bij Server Verbinding: DisableOnServerUnreachable

ExternalUrlDetectStrikes

De Endpoint Client maakt voor het filteren o.a. gebruik van een externe URL detectie techniek. Deze externe URL detectie is een hulpmiddel bij de normale filter techniek (interne lokale proxy).

Dit is vooral van belang voor het filteren/blokkeren van HTTPS websites, omdat daarvan de volledige URL en inhoud versleuteld zijn. Het interne HTTPS proxy filter van de client kan alleen de domeinnaam zien van een HTTPS pagina en filtert dan ook alleen op domeinnaam. Om ook de volledige HTTPS URL te kunnen filteren wordt deze externe detectie techniek gebuikt.

Deze externe detectie werkt door in een regelmatige background cycle aan de webbrowser te vragen wat de actieve URL is (en soms ook wat de website titel is). De URL en titel worden dan gescand en er iets niet is toegestaan wordt de browser gevraagd het scherm af te sluiten.

Deze URL detection cycle draait ongeveer elke 5 seconden. Standaard wordt er na 2 cycles (~10 seconden) bepaald of de URL is toegestaan en wordt het browserscherm afgesloten indien nodig.

Via een register sleutel is het mogelijk om het aantal cycles in te stellen voordat de URL gescand wordt en het browserscherm wordt afgesloten. U kunt het aantal cycles ook op 0 instellen; in dat geval wordt er zo snel mogelijk gekeken naar de URL en wordt het scherm afgesloten indien nodig. Dit kan in de praktijk tussen de 0 en 5 seconden liggen.

Wees voorzichtig met lage waardes voor deze instelling! Als uw browser een startpagina heeft die niet is toegestaan en het aantal cycles staat zeer laag of op 0, dan kan het zijn dat u het browsergebruik compleet blokkeert. De browser kan dan heel snel na het opstarten weer gesloten worden, omdat er een verboden URL actief is. U heeft dan weinig/geen tijd om naar een wel toegestane URL te surfen.

Externe URL detectie werkt niet met alle browsers. Op dit moment worden alleen Internet Explorer en Google Chrome ondersteund.

Sleutel (Machine)

HKLM\Software\Media Security Networks\YourSafetynet

Sleutel (User)

HKCU\Software\Media Security Networks\YourSafetynet

Naam

ExternalUrlDetectStrikes (DWORD)

Standaard

2 (~10 sec)

Voorbeeld (Machine niveau)
; Changes number of cycles to 0 (default is 2)
[HKEY_LOCAL_MACHINE\Media Security Networks\YourSafetynet]
"ExternalUrlDetectStrikes"=dword:00000000
Voorbeeld (User niveau)
; Changes number of cycles to 0 (default is 2)
[HKEY_CURRENT_USER\Media Security Networks\YourSafetynet]
"ExternalUrlDetectStrikes"=dword:00000000

De sleutel op user niveau (HKCU) heeft alleen effect als de waarde lager is dan de waarde van de sleutel op machine niveau (HKLM). Een hogere waarde wordt genegeerd, omdat een gebruiker mogelijk zelf deze sleutel zou kunnen aanpassen en daarmee de beveiliging minder streng zou kunnen maken.

4.5.3. Agent

De volgende register instellingen hebben betrekking op de Agent applicatie (draait voor elke gebruiker in de Windows system tray).

AgentShowIcon

Via deze register sleutel is in te stellen of de Agent applicatie een icoontje moet laten zien in de systray van Windows.

Als er gekozen wordt om het icoontje te verbergen (waarde 0), dan zal de gebruiker dus ook niet bij het Agent menu kunnen voor het bekijken van de actieve instellingen, contactgegevens, etc.

Sleutel (Machine)

HKLM\Software\Media Security Networks\YourSafetynet

Sleutel (User)

HKCU\Software\Media Security Networks\YourSafetynet

Naam

AgentShowIcon (DWORD)

Formaat

0 of 1

Standaard

1 (ingeschakeld)

Voorbeeld (Machine niveau)
; Show or Hide Agent Icon (Show: 1, Hide: 0, Default: 1)
[HKEY_LOCAL_MACHINE\Software\Media Security Networks\YourSafetynet]
"AgentShowIcon"=dword:00000000
Voorbeeld (User niveau)
; Show or Hide Agent Icon (Show: 1, Hide: 0, Default: 1)
[HKEY_CURRENT_USER\Software\Media Security Networks\YourSafetynet]
"AgentShowIcon"=dword:00000000
AgentShowTimePopups

Via deze register sleutel is in te stellen of de Agent applicatie een popup moet laten zien als een daglimiet (bijna) op is of een bepaalde dagperiode (bijna) voorbij is. Als dit is ingeschakeld zal er een popup komen bij de volgende gebeurtenissen:

  1. Waarschuwingen daglimieten

    • De gebruiker heeft nog maar 10 minuten verbruikstijd over.

    • De gebruiker heeft nog maar 5 minuten verbruikstijd over.

    • De gebruiker heeft geen verbruikstijd meer over.

  2. Waarschuwingen dagperiode

    • Over 10 minuten begint een periode waarbinnen bepaalde activiteit niet meer is toegestaan.

    • Over 5 minuten begint een periode waarbinnen bepaalde activiteit niet meer is toegestaan.

    • Er begint een periode waarbinnen bepaalde activiteit niet meer is toegestaan.

    • Er begint een periode waarbinnen bepaalde activiteit juist wel weer is toegestaan.

Sleutel (Machine)

HKLM\Software\Media Security Networks\YourSafetynet

Sleutel (User)

HKCU\Software\Media Security Networks\YourSafetynet

Naam

AgentShowTimePopups (DWORD)

Formaat

0 of 1

Standaard

0 (uitgeschakeld)

Voorbeeld (Machine niveau)
; Show time warning popups (Show: 1, Hide: 0, Default: 0)
[HKEY_LOCAL_MACHINE\Media Security Networks\YourSafetynet]
"AgentShowTimePopups"=dword:00000001
Voorbeeld (User niveau)
; Show time warning popups (Show: 1, Hide: 0, Default: 0)
[HKEY_CURRENT_USER\Media Security Networks\YourSafetynet]
"AgentShowTimePopups"=dword:00000001
AgentShowSettingsChangePopups

Via deze register sleutel is in te stellen of de Agent applicatie een popup moet laten zien als er instellingen gewijzigd zijn. Als dit is ingeschakeld zal er een popup komen als het profiel van de huidige gebruiker een wijziging heeft gehad op de server en de client dit zojuist verwerkt heeft.

Sleutel (Machine)

HKLM\Software\Media Security Networks\YourSafetynet

Sleutel (User)

HKCU\Software\Media Security Networks\YourSafetynet

Naam

AgentShowSettingsChangePopups (DWORD)

Formaat

0 of 1

Standaard

0 (uitgeschakeld)

Voorbeeld (Machine niveau)
; Show settings change popups (Show: 1, Hide: 0, Default: 0)
[HKEY_LOCAL_MACHINE\Software\Media Security Networks\YourSafetynet]
"AgentShowSettingsChangePopups"=dword:00000001
Voorbeeld (User niveau)
; Show settings change popups (Show: 1, Hide: 0, Default: 0)
[HKEY_CURRENT_USER\Software\Media Security Networks\YourSafetynet]
"AgentShowSettingsChangePopups"=dword:00000001
AgentShowHttpsFilterPopups

Via deze register sleutel is in te stellen of de Agent applicatie een popup moet laten zien als er HTTPS websites (of website-onderdelen) worden geblokkeerd. Bij blokkade van HTTPS websites toont YSN geen blokkade pagina, maar verbreekt het simpelweg de verbinding. Wilt u de gebruiker extra informeren over de (reden van) blokkade van de HTTPS website, stel dan deze registerwaarde in op 1.

Een normale HTTP website kan ook onderdelen laden via HTTPS (bijvoorbeeld scripts van Facebook of Google). Als deze onderdelen geblokkeerd worden, dan zal met deze optie ingeschakeld voor elk onderdeel een popup getoond worden.

Sleutel (Machine)

HKLM\Software\Media Security Networks\YourSafetynet

Sleutel (User)

HKCU\Software\Media Security Networks\YourSafetynet

Naam

AgentShowHttpsFilterPopups (DWORD)

Formaat

0 of 1

Standaard

0 (uitgeschakeld)

Voorbeeld (Machine niveau)
; Show settings change popups (Show: 1, Hide: 0, Default: 0)
[HKEY_LOCAL_MACHINE\Software\Media Security Networks\YourSafetynet]
"AgentShowHttpsFilterPopups"=dword:00000001
Voorbeeld (User niveau)
; Show settings change popups (Show: 1, Hide: 0, Default: 0)
[HKEY_CURRENT_USER\Software\Media Security Networks\YourSafetynet]
"AgentShowHttpsFilterPopups"=dword:00000001

4.6. Troubleshooting

4.6.1. Agent fout: "Failed to connect to the server"

Scenario

U heeft de Endpoint Client geïnstalleerd en het icoontje van de Agent applicatie in de system tray geeft een fout weer:

YourSafetynet Client: Failed to connect to the server
epc agent systray error
Oorzaak

De foutmelding komt als de client geen verbinding kan krijgen met de Management Server. Meestal komt dit door verkeerd ingevoerde server hostname (tijdens de installatie). Het kan ook zijn dat de Management Server (tijdelijk) niet bereikbaar is.

  1. Kijk voor meer informatie over het onderliggende probleem in het 'Over YourSafetynet' scherm. Klik hiervoor op icoontje in system tray en kies voor 'Over YourSafetynet'.

  2. Ga nu met de muis op het uitroepteken staan voor meer informatie.

epc agent about error

Is uw Management Server tijdelijk niet bereikbaar ivm een netwerkstoring of onderhoud, dan kunt u de melding van client negeren. De client zal blijven filteren volgens de laatst bekende instellingen. Zodra de server weer bereikbaar is zal de client vanzelf weer instellingen en logs gaan uitwisselen.

Oplossing
  • Foutmelding: The remote name could not be resolved 'my.server.hostname'

    1. Controleer of u de hostnaam correct heeft ingevoerd (komt deze overeen met de Management Server configuratie).

    2. Controleer eventueel of de hostnaam gevonden kan worden door een DNS lookup:

      1. Start een Windows Shell (cmd.exe)

      2. Voer het volgende commando uit: nslookup myhost (vervang myhost door de hostname van de server)

      3. Komt hier een foutmelding uit, los dan uw DNS problemen op. Kan dat niet, kies dan eventueel voor het opgeven van een IP adres als server host ipv een hostnaam.

    3. Pas de hostnaam eventueel aan (mag een IP adres zijn) in de ServerList registersleutel onder HKLM\SOFTWARE\Media Security Networks\YourSafetynet School+ Client.

    4. Herstart de machine.

  • Foutmelding: Unable to connect to host 'my.server.hostname'

    1. Controleer of u de hostnaam correct heeft ingevoerd (komt deze overeen met de Management Server configuratie).

    2. Controleer of de Management Server draait.

    3. Controleer of de Management Server bereikbaar is over HTTPS (poort 443).

    4. Pas eventuele firewalls die tussen client en server staan aan, zodat de Management Server bereikbaar is over HTTPS.

De Management Server gebruikt standaard een self-signed certificaat voor het HTTPS verkeer. Sommige intelligente firewalls controleren certificaten en blokkeren dan de verbinding met de server. Voeg indien nodig een uitzondering toe voor verkeer dat naar de Management Server moet.

  • Foutmelding: API Error: invalid_client (Token has expired!)
    Deze fout wordt meestal veroorzaakt doordat de systeemklok van de Management Server niet goed staat. Dit kan met name op Hyper-V systemen sneller voor komen. De server probeert zelf regelmatig de klok bij te werken via NTP, maar mogelijk blokkeert uw firewall uitgaand NTP verkeer.

    1. Controleer of de klok van de Management Server goed staat via het Console Terminal commando date. Staat deze wel goed, kijk dan of de systeemklok van de client machine wel goed staat.

    2. Herstart eventueel de Management Server. Dit zorgt er meestal voor dat de systeemklok weer goed gezet wordt.

4.6.2. Firefox wordt niet gefilterd (direct na installatie)

Scenario

U heeft net Firefox geïnstalleerd op een machine met de YourSafetynet Endpoint Client en daarmee kunt u ongefilterd op alle websites. Dit terwijl er gewoon een profiel actief is (controleer dit via het icoontje in de systemtray).

Oorzaak

Dit komt doordat Firefox zijn configuratiebestanden pas opnieuw inleest bij de start van Firefox. YourSafetynet zal direct de Firefox configuratie bestanden aanpassen zodat deze de juiste proxy configuratie bevatten. Helaas kan gebruikt Firefox deze nieuwe instellingen pas bij de volgende start van het programma.

Oplossing

Firefox afsluiten en opnieuw starten.

4.6.3. Verbindingsproblemen MS Outlook met Hosted Exchange server

Scenario

U maakt gebruik van een Hosted Exchange server die via een publiek IP adres of publieke hostname bereikt wordt. Op machines met de Endpoint Client maakt Outlook soms melding van een mislukte verbinding en met name het versturen van e-mail lukt niet.

Oorzaak

Dit komt omdat de Endpoint Client gebruik maakt van een HTTPS tunnel proxy. Deze wordt o.a. gebruikt voor het filteren van HTTPS websites en het forceren van Google Safe Search. Helaas kan Outlook in Hosted Exchange omgevingen niet goed overweg met een dergelijke intermediate proxy. Verbindingen kunnen hierdoor mislukken.

Oplossing

Voeg de hostname of het IP adres van de mailserver toe aan de Bypass Lijst onder Organisatie → Domein & Netwerk op de Management Server. Gebruik hier dezelfde hostnaam of IP adres zoals gebruikt bij de Outlook Anywhere/RPC configuratie.

Aanvragen voor de hosted exchange server zullen dan geheel langs/voorbij de proxy tunnel van YourSafetynet geleid worden en eventuele conflicten worden daarmee voorkomen.

Na een wijziging van de instellingen op de Management Server kan het nog circa 5 tot 10 minuten duren voordat Endpoint Clients deze wijzigingen doorgekregen hebben.

Wijzigingen in de Bypass Lijst worden verwerkt in het proxy configuratie script van de client. Sommige Windows applicaties (zoals Internet Explorer) kunnen dit configuratie script soms extreem lang in hun cache bewaren. Soms is het daarom nodig om een keer opnieuw in te loggen in Windows, voordat de wijzigingen in het proxy configuratie script echt actief worden.

4.6.4. Video speelt niet af met IE op RDS/Terminal Server

Scenario

U heeft de Endpoint Client geïnstalleerd in een Windows RDS 2012R2 (Terminal Server) omgeving. Video’s afspelen binnen Internet Explorer (op bijvoorbeeld YouTube) werkt niet. Ook andere HTML5 functies en scripts lijken niet goed te werken. In sommige gevallen krijgt de gebruiker bovendien de melding van IE dat protected mode niet (of juist wel) is ingeschakeld.

Oorzaak

Dit probleem wordt meestal veroorzaakt door een bug in IE Enhanced Security mode. IE Enhanced Security staat bij de meeste omgevingen standaard uit voor normale gebruikers (wat ook aan te raden is). Als deze wel is ingeschakeld voor Administrators, dan heeft dit ook een vreemd effect op IE voor normale gebruikers. Diverse scripts en moderne HTML5 onderdelen worden dan niet geladen, of geblokkeerd door IE voor normale gebruikers (ook al staat de IE Enhanced Security daar niet voor ingeschakeld).

Oplossing

Zorg dat voor RDS/Terminal Servers IE Enhanced Security altijd geheel uitgeschakeld staat voor gebruikers EN administrators.

Een wijziging in IE Enhanced Security vereist een herstart van IE voordat dit effect heeft.

Dit probleem heeft niets met YourSafetynet specifiek te maken en kan optreden op alle Terminal Server omgevingen die gebruik maken van een proxy.