Verkon käytön rajoittaminen

Teksti: Panu Mäntylahti • Testit: Timo Helenius • Valokuvat: Timo Simpanen

Internetin käyttö työajalla on harvoin pelkästään töihin liittyvää. Viihdesurffailu ja tiedostojen kopiointi syövät resursseja. Liikenteen rajoittamiseen on useita vaihtoehtoja.

Mukana vertailussa:
• ISS Proventia Web Filter 2.2
• Puresight Content Filtering 4.6
• Surf Control Web Filter 5.0
• Websense Enterprise 5.5

Internet-yhteyden käytön rajoittamista perustellaan usein viidellä eri argumentilla. Moraalisten syiden takia törkysivujen selaamista ei pidetä hyväksyttävänä. Laitonta materiaalia ei yritysverkkoon haluta, sillä se voi johtaa oikeudellisiin seurauksiin. Työntekoon tarkoitetun verkkoyhteyden viihdekäyttöä voidaan pitää työnantajan resurssien väärinkäyttönä. Verkon aktiivinen käyttö vapaa-ajan tarpeisiin kuormittaa yhteyttä. Epämääräiset sivustot ovat myös tietoturvauhka.

Moraalisyiden ongelmana on törkysisällön määritteleminen, sillä se on hyvin kulttuurisidonnaista. Yleismailmallisesti ei voida sanoa, ovatko La Perlan ja Wolfordin alusvaatesivustot ruokotonta pornoa vai

asiallisia tuote-esittelyjä.

Laittoman materiaalin määrittely on osin vaikeaa, sillä lainsäädäntö vaihtelee valtioittain. Esimerkiksi osa Yhdysvalloissa vapaasti myytävistä urheilupiristeistä on Suomessa reseptilääkkeitä tai doping-aineita; Hollannin liberaali kannabispolitiikka on länsimainen kummajainen.

Työnantajan resurssien väärinkäyttö ja verkon kuormitus ovat melko suoraviivaisia tapauksia. Jälkimmäisestä on helppo tehdä tilastoja koneellisesti, ja väärinkäyttö on yksinkertaisesti käyttöohjeiden vastaista toimintaa. Verkon tukkiminen vaikkapa videoiden kopioinnilla häiritsee muiden työntekoa ja saattaa luoda erheellisesti kuvan internet-yhteyden päivitystarpeesta. Suodattaminen vähentää riskiä pääasiassa Internet Explorer -selaimeen iskevien haitta- ja mainossovellusten invaasiosta.

Pulmia myös pikaviestit ja p2p

Verkon käytön rajoittamisen yhteydessä puhutaan pääasiassa www-sivujen sensuroinnista. Sen rinnalle on kuitenkin noussut tarve puuttua jutustelu- ja tiedostojen vaihto-ohjelmien käyttöön. Usein näiden kontrollointi voikin olla surffauksen suodattamista tärkeämpää, sillä niiden rajoittaminen teknisesti on hankalaa.

Vertaisverkko-ohjelmat ruuhkauttavat helposti nopeankin verkkoyhteyden. Volyymiveloitteisen yhteyden laskun maksaja tuskin ilahtuu huomatessaan kustantavansa musiikki- ja videotiedostojen levittämistä tuikituntemattomille tahoille. Myöskään laillisen sisällön, esimerkiksi sen kuuluisan Linux-levykuvan, tarjoaminen verkkoon ei ole useimpien yritysten liiketoiminnan avainalueita.

Pikaviestinten avulla sisäverkkoon voidaan siirtää epämääräisistä lähteistä ohjelmia ohi ulkoreunan virustarkistuksen. Jutustelusovelluksien avulla on helppo kuluttaa huomattavasti työaikaa joutavaan turinointiin. Useissa yrityksissä kuitenkin käytetään pikaviestimiä sisäisesti, jolloin ohjelmien käyttö pitää rajata intranetiin.

Testiryhmän ratkaisuista Websense ja Surf Control osaavat rajoittaa pikaviesti­mien toimintaa. Vakio-ominaisuudesta ei ole kyse: Websensessä toiminta vaatii Premium Groups -laajennuksen ja Surf Controlissa Enterprise Threat Shield -lisäkkeen.

Ensin selvät säännöt

Oltiin rajoittamisen kriteereistä mitä mieltä tahansa, verkkoyhteyden maksajalla on oikeus päättää sen käytöstä. Rajoituksiin tyytymättömät voivat hankkia sensuroimattoman yhteyden omilla rahoillaan vaikkapa kotiinsa.

Ensimmäinen askel verkkoyhteyden käytön rajoittamisessa on sääntöjen luominen ja niistä tiedottaminen käyttäjille. Usein pelkkä käyttäjien ohjeistaminen rajaa ei-toivottuja verkkoaktiviteetteja tehokkaasti pois tai työajan ulkopuolelle.

Käyttösääntöjen luomisessa on määriteltävä sallittu ja kielletty toiminta riittävän tarkasti epäselvyyksien välttämiseksi. Esimerkiksi uhkapelien kieltämisen yhteydessä olisi syytä tarkentaa, koskeeko kielto myös Veikkauksen sivustoja vai pelkästään nettikasinoja.

Kaikissa ympäristöissä käyttösäännöt eivät riitä takaamaan rajoituksia. Käyttäjät joko eivät ymmärrä tai halua noudattaa ohjeita. Joissain tapauksissa harhaanjohtavilla domain-nimillä ja dns-väärennöksillä voidaan eksyttää verkon käyttäjä aivan eri sivustolle, kuin alun perin oli tämän tavoitteena. Usein harhaanjohtamisen tarkoituksena on levittää haittaohjelmia, mutta kyse voi myös olla liikenteen haalimisesta omille sivuille. Suodattimet tuntevat osan hämäävistä sivustoista ja luokittelevat ne joko mainoksiksi tai roskapostiin ja khalastamiseen (phishing).

Voimatoimien valikoima

Käyttöpolitiikan toimeenpano voimatoimien aulla on mahdollista useilla eri vaihtoehdoilla. Rajoittaminen voidaan tehdä työasemassa ohjelmallisesti, välityspalvelimen ja palomuurin avulla, tai verkkoon liitettävän valmispalvelimen voimin. Kotikutoisia ratkaisuja voi koostaa vaikkapa Linuxin ja Squid -välimuistin avulla.

Lähes kaikissa työasemien suojaamiseen tarkoitetuissa virustorjunta- ja palomuuripaketeissa on nykyisin lapsilukkotoimintoja. Www-sivujen selailua voidaan rajoittaa määräämällä kielletyt ja sallitut kategoriat tai avainsanat. Jutustelu- ja tiedostonjako-ohjelmat voidaan pysäyttää palomuurin avulla. Työasematason ratkaisujen haasteena ovat sopivien estopolitiikkojen jakelu ja suodatustehokkuuden seuranta. Paikallisesti asennetun ohjelman kiertämiseen on myös useita keinoja.

Monissa edullisissakin palomuurilaitteissa on mahdollisuus suodattaa www-sivupyyntöjä. Toiminto voi raakata sisältöä valmistajan oman mustan listan perusteella, avainsanoilla tai kolmannen osapuolen palvelun avulla. Mustat listat toimivat kohtuullisen hyvin, mutta vedenpitäviä ne eivät ole. Uusia sivustoja voi perustaa parilla hiirenheilautuksella. Tekoälyt ovat niin primitiivisiä, ettei suodattamispäätöstä voi jättää niiden harteille.

Vertailujoukon sisällönrajoittimet sijoitetaan lähelle verkon ulkoreunaa. Ne asennetaan sisäverkon välityspalvelimeen (proxy), tai sen eteen. Kiellettyjen kategorioiden sivupyynnöt pysäytetään. Suora, välityspalvelimen ja sensuurin kiertävä liikennöinti internetiin kielletään palomuurisäännöillä.

Websense ja Surf Control toimivat protokolla-analysaattoreina. Ne seuraavat verkkoliikennettä reaaliaikaisesti ja sieppaavat niin http- kuin vertaisverkkoliikenteenkin. Jos sopimatonta liikennettä havaitaan, ohjelmat pysäyttävät liikenteen lähettämällä sekä asiakkaalle että palvelimelle väärennetyn yhteyden katkaisukehoituksen.

Amerikan mallia

Yksinkertaiset pakettisuodatukseen perustuvat palomuurit eivät osaa pysäyttää vertaisverkkoja tai jutusteluohjelmia, sillä useimmat ohjelmat on laadittu varta vasten muurien murto mielessä. Sovellustason eli layer 7-tason protokolla-analyysiin taipuvat palomuurit osaavat pysäyttää nämä ohjelmat, sillä ne ymmärtävät ohjelmien liikennettä.

Sensurointisovellukset jaottelevat web-sivustojen sisällöt eri luokkiin. Tavallisesti tarjolla on ainakin seksiä, huumeita, väkivaltaa, vihaa, uhkapelejä, työnhakua ja viihdettä. Rajoittunein kategorisointi on Puresightissä, jonka luokittelu koostuu vain kymmenestä ryhmästä. Proventiassa, Surf Controlissa ja Websensessä on kymmeniä hierarkisia luokkia.

Mustien listojen sisällöt ovat valmistajakohtaisia salaisuuksia. Listojen ilmoitettu laajuus liikkuu tuotteesta riippuen parista miljoonasta lähes kahteenkymmeneen miljoonaan osoitteeseen. Vääristä kategorioista voi ilmoittaa valmistajalle muutamalla hiirenheilautuksella. Kaikissa sovelluksissa ylläpito voi määrätä listoihin poikkeuksia ja lisärajoituksia.

Tuotteiden amerikkalaisen alkuperän näkee kategorioista ja dokumentaation viittauksista kalliisiin oikeudenkäynteihin. Vahvasti politisoituneet ja runsaasti kiistoja herättäneet abortti- ja huumeaiheet ovat näkyvästi esillä.

Pahimmat torantuottajat on Websensessä hajautettu neutraalien, kannattajien ja vastustajien ryhmiin. Surf Control puolestaan lokeroi abortin sukupuolivalistuksen alaisuuteen, kun Proventiassa raskauden keskeyttäminen sijoittuu lääketieteen alle. Puresight ei lokeroi raskauden keskeyttämistä lainkaan.

Hienojakoisuus tulee tarpeeseen, sillä muutoin mielekkään suodatuspolitiikan laatiminen muuttuu haastavaksi. Esimerkiksi Puresightin kanta nakuilun suodattamiseen on yksioikoinen: Adult-kategoriaan luokitellaan yhtä lailla uimapukukuvastot kuin huoria välittävät sutenöörisivustotkin.

Kun pääsy resurssiin estetään, käyttäjä saa ilmoituksen sensuroinnista. Surf Controlin ilmoitus on tylyin, sillä se koostuu pelkästä pääsy kielletty -ilmoituksesta. Websense, Puresight ja Proventia kertovat myös kieltoperusteen ja tarjoavat käyttäjälle linkin väärästä kiellosta kertomiselle. Websensen ja Proventian käyttäjät voivat kiertää rajoitukset tapauskohtaisesti salasanan avulla, tai viihdekiintiön avulla.

Laki ja lokit

Pelkkä rajoituspolitiikka ja tekninen kieltojärjestelmä eivät riitä tehokkaan rajoittamisen toteuttamiseen. Verkon tilannetta on kyettävä seuraamaan. Ovatko käyttäjät kiinnostuneet rajoitetusta materiaalista tai yritetäänkö suojauksia kiertää aktiivisesti? Miten hyvin rajoitukset suodattavat liikennettä? Onko suodatuksella mitään vaikutusta? Kysymyksiin vastaaminen vaatii suodatusjärjestelmältä riittävät lokitoiminnot.

Käytön seuraaminen tapahtuu rajoitusjärjestelmien lokien avulla. Sensuurisovellukset kirjaavat tietokantaan joko kaikki pyynnöt tai ainoastaan pääsynestot. Lokien avulla voidaan muodostaa hyvinkin kattava kuva yksittäisen käyttäjän toimista, sillä kaikki vertailujoukon järjestelmät kykenevät tunnistamaan käyttäjät. Tunnistuskeinoja ovat sisäisten käyttäjälistojen ohella mac- ja ip-osoitteet sekä hakemistopalvelut aina nt -toimialueista Active Directoryyn ja ldap-protokollaa tukeviin järjestelmiin.

Koska lokit muodostavat henkilörekisterin, on ylläpidon tiedotettava sen olemassaolosta käyttäjille, ja huolehdittava järjestelmän asiallisesta suojauksesta. Lokitietoja ei myöskään saa käyttää muuhun kuin käyttäjille ilmoitettuun tarkoitukseen. Lisätietoja rekisterinpitäjän velvoitteista saa tietosuojavaltuutetulta (www.tietosuoja.fi). Surf Controlissa on erillinen Privacy Edition -toimitila, jonka käyttöönotto riisuu automaattisesti lokeista tunnistetiedot.

Parhaat raportointiominaisuudet ovat Websensessä ja Surf Controlissa. Valmiita raporttipohjia on niin liikenteen luokittelulle kuin mahdollisille riskeillekin. Myös arviot vapaa-ajan käytön tuomista kustannuksista, suodattamisen säästämästä työajasta sekä siirrettyjen tietomäärien luokittelut syntyvät kaksikon välineillä nopeasti.

Puresightin selainpohjainen käyttöliittymä on joukon kömpelöin. Raporttien tarkastelu vaatii liikkumista edes takaisin html-lomakesivuilla, ja kaikki asetukset nollaantuvat siirtymien välillä. Puresightin ja Proventian raporttien tietosisältö rajoittuu perustasolle, eikä niissä ole mahdollisuuksia pureutua syvälle havaintoihin.

Sopivimman sisällönrajoittimen valinta vaatii tarpeiden kartoitusta ja myös käyttäjien kuulemista. Mikäli vaatimukset painottuvat www-suodatukseen, kaikki tuotteet ovat kelpo ratkaisuja. Laajennettuina Websense ja Surf Control ovat vaihtoehtoja myös vertaisverkkojen ja jutustelun torppaamiseen.

Suodatustehokkuus on kaikilla ratkaisuilla vähintään kohtuullinen, vaikkei yksikään ole täysin vedenpitävä. Sopivan suodatuspolitiikan määrittely on välineen valintaa tärkeämpää.

websense enterprise 5.5
Modulaarinen Websense Enterprise on monipuolinen ja hyvin toimiva ratkaisu verkon käytön rajoittamiseen. Raportointitoiminnot ovat kattavat, ja tuotteen hallintasovellus on joustava.