Inhaltsverzeichnis

Einführung

Google Chromebooks sind eine kostengünstige und beliebte Möglichkeit, eine Computer Ressource für Studenten bereitzustellen. Da mehr K-12-Institutionen Programme annehmen, um jedem Schüler Computerressourcen zur Verfügung zu stellen, die manchmal als "eins zu eins" bezeichnet werden, ist es erforderlich, Anwendungen, Benutzer und Inhalte sicher zu aktivieren. Palo Alto Networks bietet Chromebook-Endverbrauchern eine beispiellose Sicherheit und Flexibilität, unabhängig von Ihrem Standort (on oder Off Network). Der folgende Leitfaden wurde erstellt, um Administratoren zu ermutigen, alle Technologien von Palo Alto Networks der nächsten Generation zugunsten von Chromebook-Nutzern zu nutzen.

Chromebooks und GlobalProtect

Viele K-12-Institutionen bieten ihren Studierenden nun die Möglichkeit, Chromebooks aus dem lokalen Netzwerk (z.b. zu Hause) zu nehmen. Während neue Initiativen eine größere Flexibilität für die Bildung bieten, bringen Sie auch Komplexität mit sich, da Sie sich auf die sichere Ermöglichung von Anwendungen, Nutzern und Inhalten bezieht. Obwohl es Produkte gibt, die Administratoren auf einen bestimmten Anwendungsfall anwenden können (z.b. Content-Filterung), fehlen Sie in anderen Schlüsselbereichen (z.b. Bedrohungs Prävention, Daten exfiltration, Protokollierung, Korrelation, etc.) immer. Die native Integration, die die Plattform Palo Alto Networks bietet, kann Administratoren die vollständige Sichtbarkeit und Kontrolle von entfernten Geräten über GlobalProtect bieten. Speziell für Chrome OS gibt es zwei Teile, die diese Fähigkeit ermöglichen:

1. Konfiguration und Einsatz der GlobalProtect-APP von der Google Chromebook-Management-Konsole.
2. Konfiguration und Einsatz eines Squid Proxy-Servers, um eine Antwortseite zu präsentieren, wenn der Benutzer versucht, im Internet zu surfen, ohne dass die GlobalProtect-App aktiviert ist.

Voraussetzungen

Dieser Konfigurations Artikel geht davon aus, dass GlobalProtect bereits auf der Firewall nach Best Practices pro der technischen Dokumentation von Palo Alto Networks konfiguriert ist und auf nicht-Chrome OS-Geräten funktioniert.

GlobalProtect App Konfiguration und Einsatz von der Google Chromebook-Management-Konsole

Die Chromebook-Management-Konsole ermöglicht es Administratoren, die GlobalProtect-APP von einem zentralen Ort aus anzupassen und einzusetzen. Die folgenden Konfigurationsschritte wurden aus der Globalprotect-Dokumentation entnommen. Es wird dringend empfohlen, den Leitfaden für weitere Details durchzulesen.

Sehen Sie sich die Benutzereinstellungen für die GlobalProtect APP an

1. Von der Chromebook-Management-Konsole wählen Sie Device Management > Chrome Management > App Management.
   1. Die Konsole zeigt die Liste der apps an, die in allen Organisationseinheiten (org) in Ihrer Domäne konfiguriert sind, und zeigt den Status jeder APP an. Klicken Sie auf einen app- Status , um die org-Einheiten anzuzeigen, auf die dieser Status angewendet wird.
2. Wählen Sie die GlobalProtect-APP und wählen Sie dann die Benutzereinstellungen.
   1. Wenn die APP nicht vorhanden ist, Suchen Sie nachglobalprotect im Chrome Web Store.
      

Konfigurieren Sie RichtLinien und Einstellungen für alle in einer org-Einheit

1. Wählen Sie die org-Einheit, in der Sie Einstellungen konfigurieren und die Kraft Installation konfigurieren möchten
   1. Force -Installation – installieren Sie diese APP automatisch und verhindern Sie, dass Nutzer Sie entfernen.
      1. Die Auswahl der Top-Level-org-Einheit wendet Einstellungen für alle in dieser Einheit an; die Auswahl einer Child org-Einheit wendet die Einstellungen nur für Benutzer innerhalb dieser Child org-Einheit an.
2. Erstellen Sie eine Textdatei im JSON-Format, die die folgende Syntax verwendet und die FQDN oder IP-Adresse Ihres GlobalProtect-Portals enthält:

   {

      "PortalAddress": {

         "Value": "portalfqdn.com"

      }

   }

3. Wählen Sie auf der Seite BENUTZEReinstellungen Upload-Konfigurationsdatei und stöbern Sie dannin der globalprotect-Einstellungsdatei.
4. SPEICHERNSie Ihre Änderungen. Einstellungen treten in der Regel innerhalb von Minuten in Kraft, aber es kann bis zu einer Stunde dauern, um sich durch Ihre Organisation zu vermehren.

Testen der Verbindung

1. Nachdem die Chrome-Management-Konsole die APP erfolgreich einsetzt, Testen Sie die Globalprotect-App für Chrome OS.

Squid Proxy Server Konfiguration und Deployment

1. Installieren Sie einen Squid Proxy Server über öffentliche oder private Infrastruktur.
2. Richten Sie eine Antwortseite ein, um die Benutzer zu zwingen, GlobalProtect zu aktivieren und in/usr/share/squid3/Errors/en zu platzieren .
   1. Weitere Informationen zur Fehlerseiten Anpassung finden Sie auf der Ubuntu-Website. NachFolgend eine Beispielseite:

       

      <!DOCTYPE html>

      <html>

          <head>

              <title>Bitte aktivieren Sie Global Protect, um im Internet zu surfen</title>

       

              <style type="text/css">

              <!--

              HTML, Body, #tbl_wrap {Höhe: 100%; Breite: 100%; Polsterung: 0; Marge: 0;}

              #td_wrap {vertikal-align: Mitte; Text-align: Mitte;}

              -->

              </style>

          </head>

       

          <body></body>

              <table id="tbl_wrap"><tbody><tr></tr></tbody></table>

              <!-- START: Anything between these wrapper comment lines will be centered -->

       

       

      <h1>Bitte aktivieren Sie Global Protect, um im Internet zu surfen</h1>

      <h2>https://chrome.google.com/webstore/detail/globalprotect/nicidmbokaedpmoegdbcebhnchpegcdc">Holen Sie sich hier den Chromebook Global Protect Client</h2>

       

              <!-- END: Anything between these wrapper comment lines will be centered -->

             

          </body>

      </html>

       

3. Verwenden Sie die folgende squid. conf:

    

   #Whitelist Seiten

   ACL Whitelist dstdomain Chrome.Google.com

   ACL Whitelist dstdomain gstatic.com

   ACL Whitelist dstdomain googleapis.com

   ACL Whitelist dstdomain Accounts.Google.com

   ACL Whitelist dstdomain Clients1.Google.com

   ACL Whitelist dstdomain Clients2.Google.com

   ACL Whitelist dstdomain clients3.Google.com

   ACL Whitelist dstdomain www.IPChicken.com

   ACL Whitelist dstdomain FQDN. Der. Vpn. SITE (Beispiel: VPN.School.edu)

   ACL Whitelist dstdomain FQDN. Der. PROXY (Beispiel: Proxy.School.edu)

    

   #GP öffentlich gekündigte VPN IP

   ACL from_gp src XXX.XXX.XXX.XXX (IP of VPN.School.edu)

    

   # Regeln, die es nicht-GP-authentifizierten Benutzern ermöglichen, Whitelist

   http_access lassen Whitelist

    

   # Regeln, die GP-Nutzern ermöglichen

   http_access erlauben from_gp

    

   #catch-alle Regeln

   http_access leugnen alle

    

4. Von der Chromebook-Management-Konsole wählen Sie Device Management > Chrome Management > Benutzereinstellungen.
5. Scrollen Sie nach unten zu Netzwerk > Proxy-Einstellungen.
   1. Wählen Sie unter dem Proxy-Modus Drop-Down-Liste immer den angegebenen Proxy
   2. Unter Proxy-Server -URL geben Sie die IP-Adresse oder FQDN des Proxy-Servers ein.
      1. Bitte beachten Sie, dass der Proxy-Server über eine öffentliche IP-Adresse oder einen Hostnamen im öffentlichen Internet zugänglich sein muss.
6. Speichern Sie die Konfiguration über die untere rechts Seite des Google admin- Fensters.

    

   Hinweis: Es gibt Einschränkungen bei der Verwendung eines Proxy, um den Surf Verkehr zu zwingen, immer GlobalProtect zu verwenden. Viele öffentliche WLAN-Hotspots nutzen Captive-Portale, die eine Authentifizierung erfordern oder Bedingungen für die Verbindung zum Netzwerk akzeptieren. Es ist unmöglich, die Squid Proxy-Datei, Squid. conf, zu konfigurieren, um diese Bedingungen zu unterbringen oder zu umgehen. Eine konfigurierbare Option in der Google-Admin-Konsole zu haben, um den GlobalProtect-Client zu zwingen, immer eingeschaltet zu sein, würde dieses Szenario vereinfachen, indem man den Proxy-Server für die Block-Seite nicht verwenden muss. Dies ist derzeit eine Einschränkung für Chrome OS und der Fehler, der eingereicht wurde, kann hier eingesehen werden .   Wir ermuntern die Leser, eine Feature-Anfrage mit Google Chrome Product Team zu öffnen, um Ihre Entscheidung zu beeinflussen, eine immer auf VPN von mit Chrome OS zu unterstützen.

Chromebooks und User-ID

Aufgrund der Tatsache, dass Chrome OS-Geräte nicht in eine aktive Verzeichnis Domäne angeschlossen werden können, kann ein kostenloses Chrome OS-Plugin genutzt werden, um die Benutzer-ID-Funktionalität zu gewährleisten. Dieses Plugin besteht aus einer Chrome-Erweiterung, einem PHP-basierten Webserver und einer Palo Alto Networks-Firewall.

Die Chrome-Erweiterung für User-ID, die Muster-PHP-Skripte, die verwendet werden sollen, und allgemeine Anweisungen, dieses Setup zu erhalten, finden Sie hier. Auf hohem Niveau ist der allgemeine Workflow wie folgt:

1. Das Chrome-Plugin zieht die Benutzerinformationen an und generiert einen HTTP-Beitrag zum PHP-Skript. Die POST-Anfrage enthält die IP-Adresse und den Benutzernamen aus dem Chromebook.
2. Das PHP-Skript zieht die Informationen von der GET/POST-Anfrage. Der PHP-Server verarbeitet die Informationen und übergibt sie an das syslog. php-Skript, das eine syslog-Nachricht an die Firewall sendet.
3. Die Firewall fungiert als syslog-Empfänger. EIN benutzerdefinierten Syslog-Filter pariert den eingehenden syslog-UDP-Verkehr vom PHP-Server und wendet die Benutzer-ID-Mappings aus den empfangenen Syslog-Nachrichten an.

Setup des Chrome-Plugins (Background. min. js-Datei)

1. Ändern Sie #yourGoogleDomain # in Ihre Google-Domain.
2. Ändern Sie #locationToIndex. php # auf den Standort des PHP-Skripts auf einem Server Ihrer Wahl.

3. Ändern Sie beide Instanzen von #yourGoogleDomain # auf Ihre Google-Domain.

Das Chrome-Plugin einsetzen

1. Erstellen Sie ein apps @ Yourgoogledomain- Konto.
2. ZIP und veröffentlichen Sie die app.
3. Einmal veröffentlicht, setzen Sie auf org/Sub-org Ihrer Wahl (Root-Ebene wird empfohlen).

Das PHP-Skript (Index. php und syslog. php-Dateien) einrichten

1. Ändern Sie #yourPANBoxManagementIP # auf die IP-Adresse der Schnittstelle, die die Syslog-Nachrichten (in der Regel die Management-Schnittstelle) erhält.

2. Ändern Sie #ThisWebServerHostname # auf den Hostnamen des Webservers, in dem sich das PHP-Skript befindet.
3. Ändern Sie #FQDNofThisWebServer # auf den FQDN des Webservers, in dem sich das PHP-Skript befindet.
4. Ändern Sie #ThisIPAddress # auf die IP-Adresse des Webservers, in dem sich das PHP-Skript befindet.

Das PHP-Skript einsetzen

1. Kopieren Sie die Dateien in den gleichen Ordner auf einem Server, der PHP ausführen kann (ein Server, der IIS läuft).
   1. HTTPS Access kann auf Wunsch per Wildcard oder Unique Certificate gesichert werden.

Konfigurieren Sie die Firewall, um die syslog-NachRichten zu Parsen

1. Navigieren Sie zum Gerät > Benutzeridentifikation > User Mapping > Edit.
2. Navigieren Sie zu syslog-Filtern > Add.
1. Ändern Sie den Typ auf Feld Kennung.
2. Geben Sie die folgenden Informationen unterhalb der Feld Kennzeichnung genau wie gezeigt ein:syslog Parse profile
3. Klicken Sie auf OK, um das Profil Fenster syslog Parse zu schließen,
3. Klicken Sie auf OK, um die Palo Alto Networks Benutzer-ID Agent Setup-Fenster zu schließen.
4. Von der registerKarte Benutzer-Mapping Klicken Sie auf Hinzufügen unter Server-Überwachung.
   1. Geben Sie die Netzwerkadresse des PHP-Servers sowie den anzeigen Domain-Namen für den Standard-Domain-Namen ein.
   2. Wählen Sie das in Schritt 2 erstellte syslog-Parse-Profil aus. User Identification Monitor Server
5. Die Konfiguration übertragen und testen .

Chromebooks und SSL Forward Proxy

Chrome OS ist so konzipiert, dass bestimmte Arten von Traffic auf der Benutzerebene (z.b. Allgemeines Web-Browsing) auftreten, während andere Arten von Traffic auf der Geräteebene auftreten (z.b. User-Login-Seite, Software-Updates, etc.). Dies stellt ein Problem dar, wenn SSL-Forward-Proxy ermöglicht wird, da das Zertifikat nur auf der Benutzerebene eingesetzt werden kann, was die für das Funktionieren von Chrome OS notwendigen Aufgaben stört.

Um das Problem zu mildern, ist daher eine Whitelist erforderlich, die spezifische URLs enthält.

Voraussetzungen

Dieser Konfigurations Artikel geht davon aus, dass SSL Forward Proxy bereits nach bewährten Praktiken pro der technischen Dokumentation von Palo Alto Networks konfiguriert ist und auf nicht-Chrome OS-Geräten funktioniert. Sie geht auch davon aus, dass die Zertifikate bereits auf den Chrome OS-Geräten eingesetzt wurden.

1. Innerhalb der Firewall navigieren Sie zu Objekten > BenutzerDefinierte Objekte > URL Kategorie > Add, und geben Sie die aktuelle Liste der URLs ein, die im Link oben angegeben sind.
   BenutzerDefinierte URL
   -Kategorie
2. Click OK
3. Navigieren Sie zu Policies > Entschlüsselungund fügen Sie die neu erstellte benutzerDefinierte URL-Kategorie in den Reiter Service/URL-Kategorie ein .Entschlüsselungs Richtlinie
4. Klicken Sie auf OKEntschlüsselungs Richtlinien
5. Die Konfiguration übertragen und testen