Table des matières

Introduction

Google Chromebooks sont un moyen peu coûteux et populaire de fournir une ressource informatique pour les étudiants. Comme plus de K-12 institutions adoptent des programmes pour fournir à chaque étudiant des ressources informatiques, parfois appelé «un à un», il ya une exigence pour permettre en toute sécurité les applications, les utilisateurs et le contenu. Palo Alto Networks offre une sécurité et une souplesse sans précédent aux utilisateurs finaux de Chromebook, quel que soit leur emplacement (sur ou hors réseau). Le Guide de référence suivant a été créé pour inciter les administrateurs à exploiter toutes les technologies de la prochaine génération de Palo Alto Networks au profit des utilisateurs de Chromebook.

Chromebooks et GlobalProtect

Beaucoup d'établissements de K-12 offrent maintenant à ses étudiants la capacité de prendre Chromebooks outre du réseau local (c.-à-d. maison). Bien que les nouvelles initiatives offrent une plus grande souplesse pour l'éducation, elles introduisent également la complexité en ce qui concerne les applications, les utilisateurs et le contenu en toute sécurité. Bien qu'il existe des produits que les administrateurs peuvent appliquer à un cas d'utilisation spécifique (c.-à-d. filtrage de contenu), ils manquent toujours dans d'autres domaines clés (p. ex. prévention des menaces, exfiltration des données, exploitation forestière, corrélation, etc.). L'intégration Native que la plate-forme de Palo Alto Networks offre peut fournir aux administrateurs une visibilité et un contrôle complets des périphériques distants via GlobalProtect. Spécifique à Chrome OS, il ya deux parties à l'activation de cette capacité:

1. Configuration et déploiement de l'Application GlobalProtect à partir de la console de gestion Google Chromebook.
2. Configuration et déploiement d'un serveur proxy Squid pour présenter une page de réponse si l'utilisateur tente de naviguer sur Internet sans que l'Application GlobalProtect soit activée.

Conditions préalables

Cet article de configuration suppose que GlobalProtect est déjà configuré sur le pare-feu selon les meilleures pratiques par la documentation technique de Palo Alto Networks, et qu'il fonctionne sur des périphériques os non chromés.

Configuration et déploiement de l'Application GlobalProtect à partir de la console de gestion Google Chromebook

La console de gestion Chromebook permet aux administrateurs de personnaliser et de déployer l'application GlobalProtect à partir d'un emplacement centralisé. Les étapes de configuration suivantes ont été extraites de la documentation GlobalProtect. Il est fortement recommandé de lire le guide pour des détails supplémentaires.

Afficher les paramètres utilisateur de l'Application GlobalProtect

1. À partir de la console de gestion Chromebook, sélectionnez Device Management > chrome Management > App Management.
   1. La console affiche la liste des applications configurées dans toutes les unités d'organisation (org) dans votre domaine et affiche l'état de chaque application. Cliquez sur un état de l'application pour afficher les unités org auxquelles cet État est appliqué.
2. Sélectionnez l'application GlobalProtect, puis sélectionnez paramètres utilisateur.
   1. Si l'application n'est pas présente, recherchezGlobalProtect dans le magasin Web chrome.
      

Configurer les stratégies et les paramètres pour tout le monde dans une unité org

1. Sélectionnez l'unité org dans laquelle vous souhaitez configurer les paramètres et configurer l' installation de la force
   1. Forcer l'Installation-installer ce soft automatiquement et empêcher les utilisateurs de le supprimer.
      1. La sélection de l'unité org de niveau supérieur applique les paramètres à tout le monde dans cette unité; la sélection d'une unité org enfant applique uniquement les paramètres aux utilisateurs de cette unité org enfant.
2. Créez un fichier texte au format JSON qui utilise la syntaxe suivante et inclut le nom de domaine complet ou l'adresse IP de votre portail GlobalProtect:

   {

      "PortalAddress": {

         "Valeur": "portalfqdn.com"

      }

   }

3. Dans la page Paramètres de l'utilisateur , sélectionnez Télécharger le fichier de configuration, puis accédez aufichier de paramètres GlobalProtect.
4. Enregistrezvos modifications. Les paramètres prennent généralement effet en quelques minutes, mais cela peut prendre jusqu'à une heure pour se propager à travers votre organisation.

Tester la connexion

1. Une fois la console de gestion chrome déployée avec succès, Testez l'application GlobalProtect pour Chrome OS.

Configuration et déploiement du serveur proxy Squid

1. Installez un serveur proxy Squid via une infrastructure publique ou privée.
2. Configurer une page de réponse pour forcer les utilisateurs à activer GlobalProtect et le placer dans /usr/share/squid3/Errors/en.
   1. Plus d'informations concernant la personnalisation de page d'erreur peuvent être trouvées sur le site Web d'Ubuntu. Voici un exemple de page:

       

      <!DOCTYPE html>

      <html></html>

          <head></head>

              <title>Veuillez activer global Protect pour naviguer sur Internet</title>

       

              <style type="text/css">

              <!--

              html, Body, #tbl_wrap {hauteur: 100%; width: 100%; padding: 0; margin: 0;}

              #td_wrap {alignement vertical: milieu; texte-aligner: Centre;}

              -->

              </style>

          </head>

       

          <body></body>

              <table id="tbl_wrap"><tbody><tr></tr></tbody></table>

              <!-- START: Anything between these wrapper comment lines will be centered -->

       

       

      <h1>Veuillez activer global Protect pour naviguer sur Internet</h1>

      <h2>https://chrome.google.com/webstore/detail/globalprotect/nicidmbokaedpmoegdbcebhnchpegcdc">Obtenez le ChromeBook global Protect client ici</h2>

       

              <!-- END: Anything between these wrapper comment lines will be centered -->

             

          </body>

      </html>

       

3. Utilisez le squid. conf suivant:

    

   Sites #Whitelist

   ACL liste de dstdomain chrome.google.com

   ACL liste de dstdomain gstatic.com

   ACL liste de dstdomain googleapis.com

   ACL liste de dstdomain Accounts.google.com

   ACL liste de dstdomain clients1.google.com

   ACL liste de dstdomain clients2.google.com

   ACL liste de dstdomain clients3.google.com

   ACL liste de dstdomain www.ipchicken.com

   liste de nom complet d'acl dstdomain. De. Vpn. SITE (exemple: VPN.School.edu)

   liste de nom complet d'acl dstdomain. De. PROXY (exemple: proxy.School.edu)

    

   #GP public IP VPN terminé

   ACL from_gp SRC XXX.XXX.XXX.XXX (IP de VPN.School.edu)

    

   # règles autorisant les utilisateurs non-GP authentifiés à liste blanche

   http_access autoriser la liste blanche

    

   # règles autorisant les utilisateurs GP

   http_access permettre from_gp

    

   #catch-toutes les règles

   http_access nier tous

    

4. Dans la console de gestion Chromebook, sélectionnez gestion des périphériques > chrome Management > paramètres utilisateur.
5. Faites défiler jusqu'à Network > paramètres proxy.
   1. Dans la liste déroulante mode proxy , sélectionnez toujours utiliser le proxy spécifié
   2. Sous URL du serveur proxy , entrez l'adresse IP ou le nom de domaine complet du serveur proxy.
      1. Veuillez noter que le serveur proxy doit être accessible via une adresse IP publique ou un nom d'hôte sur l'Internet public.
6. Enregistrez la configuration en bas à droite de la fenêtre Google admin.

    

   Remarque: il existe des limitations d'utilisation d'un proxy pour forcer le trafic de navigation à toujours utiliser GlobalProtect. De nombreux hotspots Wi-Fi publics utilisent des portails captifs qui nécessitent une authentification ou acceptent les conditions de connexion au réseau. Il est impossible de configurer le fichier proxy Squid, squid. conf, pour accueillir ou contourner ces conditions. Avoir une option configurable dans la console d'administration de Google pour forcer le client GlobalProtect à toujours être sur simplifierait ce scénario en n'ayant pas besoin d'utiliser le serveur proxy pour la page de bloc. Il s'agit actuellement d'une limitation de Chrome OS et le bogue qui a été déposée peut être consulté ici.   Nous encourageons les lecteurs à ouvrir une demande de fonctionnalité avec Google Chrome équipe de produits pour influencer leur décision de prendre en charge un toujours sur VPN à partir de Chrome OS.

Chromebooks et ID utilisateur

En raison du fait que les périphériques Chrome OS ne peuvent pas être joints à un domaine Active Directory, un plugin Chrome OS libre peut être exploité pour fournir des fonctionnalités utilisateur-ID. Ce plugin se compose d'une extension chrome, un serveur Web basé sur php, et un pare-feu de Palo Alto Networks.

L'Extension chrome pour User-ID, L'exemple de scripts PHP à utiliser, et des instructions générales sur l'obtention de cette configuration peut être trouvé ici. À un niveau élevé, le workflow général est le suivant:

1. Le plugin chrome tire les informations utilisateur et génère un post http à script php. La demande de POST inclut l'adresse IP et le nom d'utilisateur du Chromebook.
2. Le script php tire les informations de la demande get/post. Le serveur PHP traite ensuite les informations et les transmet au script syslog. php qui envoie un message syslog au pare-feu.
3. Le pare-feu agit comme un récepteur syslog. Un filtre syslog personnalisé analyse le trafic syslog UDP entrant du serveur php et applique les mappages d'ID utilisateur à partir des messages syslog reçus.

Configuration du plugin chrome (fichier background. min. js)

1. Changez #yourGoogleDomain # à votre domaine Google.
2. Changez #locationToIndex. php # à l'emplacement du script php sur un serveur de votre choix.

3. Remplacez les deux instances de #yourGoogleDomain # par votre domaine Google.

Déployer le plugin chrome

1. Créez un compte Apps @ yourGoogleDomain .
2. Zip et publier l'application.
3. Une fois publié, déployez -vous dans org/Sub-org de votre choix (le niveau racine est recommandé).

Configuration du script PHP (fichiers index. php et syslog. php)

1. Remplacez #yourPANBoxManagementIP # par l'adresse IP de l'interface qui recevra les messages syslog (généralement l'interface de gestion).

2. Remplacez #ThisWebServerHostname # par le nom d'hôte du serveur Web où réside le script php.
3. Remplacez #FQDNofThisWebServer # par le nom de domaine complet du serveur Web où réside le script php.
4. Remplacez #ThisIPAddress # par l'adresse IP du serveur Web où réside le script php.

Déployer le script PHP

1. Copiez les fichiers dans le même dossier sur un serveur capable d'exécuter php (un serveur exécutant IIS).
   1. L'accès HTTPS peut être sécurisé via un certificat générique ou unique si désiré.

Configurer le pare-feu pour analyser les messages syslog

1. Naviguez jusqu'à Device > identification de l'utilisateur > mappage utilisateur > Edit.
2. Naviguez jusqu'à syslog Filters > Add.
1. Remplacez le type par l' identificateur de champ.
2. Entrez les informations suivantes sous l' identificateur de champ exactement comme indiqué:profil de l'analyse syslog
3. Cliquez sur OK pour fermer la fenêtre du profil d'analyse syslog,
3. Cliquez sur OK pour fermer la fenêtre de configuration de l' agent d'ID utilisateur de Palo Alto Networks.
4. Dans l' onglet mappage utilisateur , cliquez sur ajouter sous surveillance du serveur.
   1. Saisissez l' adresse réseau du serveur php ainsi que le nom de domaine de l'annonce pour le nom de domaine par défaut.
   2. Sélectionnez le Profil D'Analyse syslog créé à l'étape 2. serveur de moniteur d'identification d'utilisateur
5. Valider et tester la configuration.

Chromebooks et SSL Forward proxy

Chrome OS est conçu de manière à ce que certains types de trafic se produisent au niveau de l'utilisateur (c'est-à-dire la navigation générale sur le Web), tandis que d'autres types de trafic se produisent au niveau de l'appareil (p. ex., page de connexion utilisateur, mises à jour logicielles, etc.). Cela pose un problème lors de l'activation du proxy SSL Forward, car le certificat ne peut être déployé au niveau de l'utilisateur, ce qui perturbe les tâches essentielles pour que Chrome OS fonctionne correctement.

Par conséquent, une liste blanche contenant des URL spécifiques est nécessaire pour atténuer le problème.

Conditions préalables

Cet article de configuration suppose que SSL Forward proxy est déjà configuré selon les meilleures pratiques par la documentation technique de Palo Alto Networks, et est fonctionnel sur les périphériques os non-chrome. Il suppose également que les certificats ont déjà été déployés sur les périphériques Chrome OS.

1. Dans le pare-feu, naviguez jusqu'à objets > Custom Objects > URL Category > Add, et entrez la liste actuelle des URL fournies dans le lien ci-dessus.
   Catégorie
   D'URL personnalisée
2. Cliquez sur OK
3. Accédez à stratégies > decryptionet ajoutez la catégorie d'url personnalisée nouvellement créée à l' onglet Service/catégorie d'url .règle de politique de décryptage
4. Cliquez sur OKpolitique de décryptage
5. Valider et tester la configuration