Tabla de contenido

Introducción

Google Chromebooks es una manera barata y popular de proporcionar un recurso informático para los estudiantes. A medida que más instituciones de K-12 adoptan programas para proporcionar a cada estudiante recursos informáticos, a veces referidos como "uno a uno", existe el requisito de habilitar de forma segura aplicaciones, usuarios y contenido. Palo Alto Networks ofrece seguridad y flexibilidad sin precedentes para Chromebook a los usuarios finales, independientemente de su ubicación (en o fuera de la red). Se ha creado la siguiente guía de referencia para alentar a los administradores a aprovechar todas las tecnologías de próxima generación de Palo Alto Networks en beneficio de los usuarios de Chromebook.

Chromebooks y GlobalProtect

Muchas instituciones K-12 ahora ofrecen a sus estudiantes la capacidad de tomar Chromebooks fuera de la red local (es decir, hogar). Si bien las nuevas iniciativas ofrecen una mayor flexibilidad para la educación, también introducen la complejidad, ya que se relaciona con la habilitación segura de aplicaciones, usuarios y contenido. Aunque existen productos que los administradores pueden aplicar a un caso de uso específico (es decir, filtrado de contenidos), siempre faltan en otras áreas clave (es decir, prevención de amenazas, exfiltración de datos, registro, correlación, etc.). La integración nativa que ofrece la plataforma Palo Alto Networks puede proporcionar a los administradores una completa visibilidad y control de los dispositivos remotos a través de GlobalProtect. Específico para Chrome OS, hay dos partes para habilitar esta capacidad:

1. Configuración y despliegue de la aplicación GlobalProtect desde la consola de gestión de Google Chromebook.
2. Configuración y despliegue de un servidor proxy Squid para presentar una página de respuesta si el usuario intenta navegar por Internet sin la aplicación GlobalProtect activada.

Requisitos previos

Este artículo de configuración supone que GlobalProtect ya está configurado en el cortafuegos de acuerdo con las mejores prácticas por la documentación técnica de Palo Alto Networks, y es funcional en dispositivos no Chrome OS.

Configuración y despliegue de aplicaciones de GlobalProtect desde la consola de administración de Google Chromebook

La consola de administración de Chromebook permite a los administradores personalizar e implementar la aplicación GlobalProtect desde una ubicación centralizada. Los siguientes pasos de configuración se han tomado de la documentación de GlobalProtect. Es muy recomendable leer la guía para más detalles.

Ver la configuración de usuario de la aplicación GlobalProtect

1. Desde la consola de administración de Chromebook, seleccione Administración de dispositivos > Chrome Management > Gestión de aplicaciones.
   1. La consola muestra la lista de aplicaciones configuradas en todas las unidades de organización (org) en su dominio y muestra el estado de cada aplicación. Haga clic en el estado de una aplicación para mostrar las unidades org a las que se aplica ese estado.
2. Seleccione la aplicación GlobalProtect y, a continuación, seleccione configuración de usuario.
   1. Si la aplicación no está presente, busqueGlobalProtect en la tienda web de Chrome.
      

Configurar directivas y configuraciones para todos en una unidad organizativa

1. Seleccione la unidad organizativa donde desea configurar la configuración y configurar la fuerza de instalación
   1. Forzar instalación – instalar esta aplicación automáticamente y evitar que los usuarios lo eliminen.
      1. Al seleccionar la unidad organizativa de nivel superior se aplica la configuración a todos los que están en esa unidad; la selección de una unidad organizativa secundaria sólo aplica los ajustes a los usuarios de esa unidad organizativa secundaria.
2. Cree un archivo de texto en formato JSON que utilice la sintaxis siguiente e incluya el FQDN o la dirección IP de su portal GlobalProtect:

   {

      "PortalAddress": {

         "Value": "portalfqdn.com"

      }

   }

3. En la página Configuración de usuario , seleccione Cargar archivo de configuración y, a continuación, Desplácesehasta el archivo de configuración GlobalProtect.
4. GUARDAtus cambios. Los ajustes suelen tener efecto en cuestión de minutos, pero puede tardar hasta una hora en propagarse a través de la organización.

Probar la conexión

1. Después de Chrome Management Console implementa con éxito la aplicación, probar la aplicación GlobalProtect para Chrome OS.

Configuración y despliegue del servidor proxy Squid

1. Instalar un servidor proxy Squid a través de infraestructuras públicas o privadas.
2. Configurar una página de respuesta para forzar a los usuarios a habilitar GlobalProtect y colocarlo en /usr/share/squid3/Errors/en.
   1. Puede encontrar más información sobre la personalización de la página de error en el sitio web de Ubuntu. A continuación se muestra una página de ejemplo:

       

      <!DOCTYPE html>

      <html></html>

          <head></head>

              <title>Habilite global Protect para navegar por Internet</title>

       

              <style type="text/css">

              <!--

              HTML, Body, #tbl_wrap {altura: 100%; ancho: 100%; relleno: 0; margen: 0;}

              #td_wrap {vertical-align: Centro; texto-align: Center;}

              -->

              </style>

          </head>

       

          <body></body>

              <table id="tbl_wrap"><tbody><tr></tr></tbody></table>

              <!-- START: Anything between these wrapper comment lines will be centered -->

       

       

      <h1>Habilite global Protect para navegar por Internet</h1>

      <h2>https://chrome.google.com/webstore/detail/globalprotect/nicidmbokaedpmoegdbcebhnchpegcdc">Obtenga aquí el cliente de protección global de ChromeBook</h2>

       

              <!-- END: Anything between these wrapper comment lines will be centered -->

             

          </body>

      </html>

       

3. Utilice el siguiente squid. conf:

    

   Sitios de #Whitelist

   lista blanca ACL dstdomain Chrome.Google.com

   lista blanca ACL dstdomain gstatic.com

   lista blanca ACL dstdomain googleapis.com

   lista blanca ACL dstdomain accounts.Google.com

   lista blanca ACL dstdomain clients1.Google.com

   lista blanca ACL dstdomain clients2.Google.com

   lista blanca ACL dstdomain clients3.Google.com

   lista blanca ACL dstdomain www.ipchicken.com

   lista blanca de ACL dstdomain FQDN. Jfk Vpn. SITIO (ejemplo: VPN.School.edu)

   lista blanca de ACL dstdomain FQDN. Jfk PROXY (ejemplo: proxy.School.edu)

    

   #GP pública IP terminada VPN

   ACL from_gp src XXX.XXX.XXX.XXX (IP de VPN.School.edu)

    

   # reglas que permiten a los usuarios no autenticados con GP a la lista blanca

   http_access permitir lista blanca

    

   # reglas que permiten a los usuarios de GP

   http_access permitir from_gp

    

   #catch-toda la regla

   http_access negar todo

    

4. Desde la consola de administración de Chromebook, seleccione Administración de dispositivos > Chrome Management > configuración de usuario.
5. Desplácese a la red > configuración de proxy.
   1. En la lista desPlegable modo proxy , seleccione utilizar siempre el proxy especificado
   2. En URL del servidor proxy , introduzca la dirección IP o el FQDN del servidor proxy.
      1. Tenga en cuenta que el servidor proxy debe ser accesible a través de una dirección IP pública o hostname en el Internet público.
6. Guarde la configuración a través de la parte inferior derecha de la ventana de administración de Google.

    

   Nota: hay limitaciones de uso de un proxy para forzar el tráfico de navegación a utilizar siempre GlobalProtect. Muchos hotspots Wi-Fi públicos utilizan portales cautivos que requieren autenticación o aceptan términos y condiciones de conexión a la red. Es imposible configurar el archivo proxy Squid, Squid. conf, para acomodar o omitir estas condiciones. Tener una opción configurable en la consola de administración de Google para forzar al cliente de GlobalProtect a estar siempre encendido simplificaría este escenario al no necesitar utilizar el servidor proxy para la página de bloque. Esto es actualmente una limitación a Chrome OS y el bug que ha sido archivado puede ser visto aquí.   Animamos a los lectores a abrir una solicitud de función con el equipo de producto de Google Chrome para influir en su decisión de soportar un siempre en VPN desde con Chrome OS.

Chromebooks y User-ID

Debido al hecho de Chrome OS dispositivos no se pueden unir a un dominio de Active Directory, un chrome os plugin libre puede ser aprovechado para proporcionar funcionalidad de ID de usuario. Este plugin consiste en una extensión de Chrome, un servidor Web basado en PHP, y un firewall Palo Alto Networks.

La extensión Chrome para User-ID, las secuencias de comandos PHP de ejemplo para usar, y las instrucciones generales para obtener esta configuración se pueden encontrar aquí. En un nivel alto, el flujo de trabajo general es el siguiente:

1. El plugin Chrome saca la información del usuario y genera un post http al script php. La solicitud POST incluye la dirección IP y el nombre de usuario del Chromebook.
2. El script php saca la información de la solicitud GET/post. El servidor PHP procesa la información y la transfiere al script syslog. php que envía un mensaje syslog al firewall.
3. El cortafuegos actúa como un receptor syslog. Un filtro syslog personalizado analiza el tráfico UDP entrante de syslog desde el servidor PHP y aplica las asignaciones de ID de usuario de los mensajes syslog recibidos.

Configurar el plugin Chrome (archivo background. min. js)

1. Cambia #yourGoogleDomain # a tu dominio de Google.
2. Cambie #locationToIndex. php # a la ubicación de la secuencia de comandos php en un servidor de su elección.

3. Cambie ambas instancias de #yourGoogleDomain # a su dominio de Google.

Despliegue el plugin Chrome

1. Cree una cuenta de apps @ yourGoogleDomain .
2. Zip y publicar la aplicación.
3. Una vez publicado, desplegar a org/sub-org de su elección (nivel de raíz se recomienda).

Configurar el script PHP (index. php y los archivos syslog. php)

1. Cambie #yourPANBoxManagementIP # a la dirección IP de la interfaz que recibirá los mensajes del syslog (usualmente la interfaz de administración).

2. Cambie #ThisWebServerHostname # al nombre de host del servidor web donde reside el script php.
3. Cambie #FQDNofThisWebServer # al FQDN del servidor web donde reside el script php.
4. Cambie #ThisIPAddress # a la dirección IP del servidor web donde reside el script php.

Implementar el script PHP

1. Copie los archivos en la misma carpeta de un servidor capaz de ejecutar PHP (un servidor que ejecuta IIS).
   1. El acceso HTTPS puede ser asegurado mediante comodín o certificado único si se desea.

Configurar el cortafuegos para analizar los mensajes del syslog

1. Desplácese hasta dispositivo > identificación del usuario > asignación de usuario > editar.
2. Desplácese a los filtros de syslog > Add.
1. Cambie el tipo a identificador de campo.
2. Introduzca la siguiente información debajo del identificador de campo exactamente como se muestra:syslog Parse Profile
3. Haga clic en Aceptar para cerrar la ventana del perfil de análisis syslog ,
3. Haga clic en Aceptar para cerrar la ventana de configuración del agente de identificador de usuario de Palo Alto Networks.
4. En la ficha Asignación de usuarios , haga clic en agregar bajo supervisión de servidor.
   1. Introduzca la dirección de red del servidor PHP, así como el nombre de dominio de anuncio para el nombre de dominio predeterminado.
   2. Seleccione el Perfil de análisis de syslog creado en el paso 2. servidor de monitor de identificación de usuario
5. Confirmar y probar la configuración.

Chromebooks y proxy SSL Forward

Chrome OS está diseñado de manera que ciertos tipos de tráfico se producen a nivel de usuario (es decir, navegación web general), mientras que otros tipos de tráfico se producen a nivel de dispositivo (es decir, página de inicio de sesión del usuario, actualizaciones de software, etc.). Esto presenta un problema al habilitar SSL Forward proxy, ya que el certificado sólo se puede implementar en el nivel de usuario, lo que interrumpe las tareas esenciales para Chrome OS para funcionar correctamente.

Como resultado, se requiere una lista blanca que contenga URLs específicas para mitigar el problema.

Requisitos previos

Este artículo de configuración asume que el proxy de SSL Forward ya está configurado de acuerdo con las mejores prácticas por la documentación técnica de Palo Alto Networks, y es funcional en dispositivos no Chrome OS. También supone que los certificados ya han sido implementados en los dispositivos Chrome OS.

1. Dentro del firewall, desplácese a objetos > Custom Objects > URL Category > Add, e ingrese la lista actual de URLs proporcionadas en el enlace de arriba.
   Categoría
   de URL personalizada
2. Haga clic en Aceptar
3. Desplácese a directivas > descifradoy agregue la categoría URL personalizada recién creada a la ficha categoría servicio/URL .regla de directiva de descifrado
4. Haga clic en Aceptarpolítica de desencriptación
5. Confirmar y probar la configuración