Sichere Such Vollstreckung in K-12
Resolution
Inhaltsverzeichnis
- Suchmaschinen-Zugriff kontrollieren
- DurchSetzung der Suchmaschinen Sicherheit
- DurchSetzung über die Firewall und DNS – ein Beispiel aus der realen Welt
Einführung
Das Kinder-Internet-schutzgesetz (CIPA) ist ein Bundesgesetz, das vom US-Kongress im Dezember 2000 erlassen wurde, um Bedenken über den Zugang in Schulen und Bibliotheken zum Internet und andere Informationen zu berücksichtigen. Die vollständige Liste der Anforderungen, die Schulen und Bibliotheken erfüllen müssen, um CIPA-konform zu sein, ist unter www.FCC.gov. definiert. Speziell für die Filterung von Inhalten können Schulen und Bibliotheken, die der CIPA unterliegen, nicht die Rabatte erhalten, die das "E-Rate"-Programm bietet (Rabatte, die den Zugang zum Internet für Schulen und Bibliotheken erschwinglich machen), es sei denn, Sie bestätigen, dass Sie bestimmte Internet Sicherheitsmaßnahmen in Kraft. Dazu gehören Maßnahmen zur Blockierung oder Filterung von Bildern, die: (a) obszön sind, (b) Kinderpornografie enthalten, oder (c) Wenn Computer mit Internetzugang von Minderjährigen genutzt werden, für Minderjährige schädlich sind.
Da die überwiegende Mehrheit der Suchmaschinen Inhalte, die über SSL verschlüsselt sind, bedienen kann, stellt dies eine Herausforderung dar, die CIPA-Compliance durch Netzwerk-/Sicherheits Administratoren durchzusetzen. Glücklicherweise bietet Palo Alto Networks mehrere Empfehlungen an, um die Sicherheit der Suchmaschinen durchzusetzen. Dieses Dokument hebt jede Empfehlung im Detail hervor, mit jeweils Vorbehalt, und hebt den empfohlenen Prozess hervor, um diese Fähigkeit zu ermöglichen.
1 – Steuerung der Suchmaschinen-Zugriff
Voraussetzungen
Dieser Artikel geht davon aus, dass Ihre Palo Alto Networks Firewall über eine gültige PAN-DB-URL-Filter Lizenz verfügt, und ein URL-Filter Profil wird bereits auf Ihren aktuellen sicherheitspolitischen Regelsatz angewendet.
Sanktionierte Suchmaschinen definieren
Als ersten Schritt, um die Sicherheit der Suchmaschinen zu gewährleisten, sollten alle URLs, die mit der vordefinierten Suchmaschinen Kategorie übereinstimmen, vermieden werden. Das liegt daran, dass nicht alle Suchmaschinen adäquat gesteuert werden können. Es wird empfohlen, eine Liste der sanktionierten Suchmaschinen von der Organisation zu definieren und über eigene URL-Kategorien zu steuern. Dies schränkt die Fähigkeit des Endverbrauchers ein, nach Inhalten ausweichend zu suchen und bietet eine überschaubarere Lösung für Administratoren. Zum Zeitpunkt dieses Schreibens werden die folgenden Suchmaschinen von Palo Alto Networks unterstützt, um die sichere Suchfunktion zu verbessern:
- Bing
- Yahoo
Weitere Informationen zu den oben genannten Suchmaschinen finden Sie in der technischen Dokumentation ihrer zugehörigen PAN-OS-Version.
Blockieren Sie die vorgegebene Suchmaschinen-Kategorie
- Navigieren Sie zu Objekten-> Sicherheitsprofile-> URL -Filterung
- Erstellen oder bearbeiten Sie ein bestehendes Profil und setzen Sie die Suchmaschinen- Kategorie auf Block
- Click OK
Erstellen Sie eine eigene URL-Kategorie
- Navigieren Sie zu Objekten-> benutzerdefinierte Objekte-> URL Kategorie-> Add
- Erstellen Sie für jede sanktionierte Suchmaschine eine eigene URL-Kategorie
- Administratoren können mehrere ccTLD-Country-Sud-Domains (z.b. Google.es) auf der Grundlage organisatorischer Anforderungen eingeben, aber dieses Beispiel gibt nur . com
- Administratoren können mehrere ccTLD-Country-Sud-Domains (z.b. Google.es) auf der Grundlage organisatorischer Anforderungen eingeben, aber dieses Beispiel gibt nur . com
- Click OK
- Weitere Informationen zu benutzerdefinierten URLs und Wildcard-Einträgen finden Sie in der technischen Dokumentation Ihrer aktuellen OS-Version.
Fügen Sie die BenutzerDefinierte URL-Kategorie in das URL-Filter Profil ein
- Navigieren Sie zu Objekten-> Sicherheitsprofile-> URL -Filterung
- Bearbeiten Sie das vorhandene Profil, in dem die vorgegebene Suchmaschinen- Kategorie im vorherigen Schritt blockiert wurde
- Setzen Sie die benutzerdefinierten Suchmaschinen-URL-Kategorien in Alarmbereitschaft
- Click OK
- Die Konfiguration übertragen
2 – DurchSetzung der Suchmaschinen Sicherheit
Voraussetzungen
Dieser Artikel geht davon aus, dass Ihre Palo Alto Networks Firewall über eine gültige PAN-DB-URL-Filter Lizenz verfügt, und ein URL-Filter Profil mit der benutzerdefinierten URL-Konfiguration von 1 –, das den sicheren Such Zugriff steuert, wird auf Ihren sicherheitspolitischen Regelsatz angewendet. Dieser Artikel geht auch davon aus, dass PKI bereits vorhanden ist und die entsprechenden SSL-Zertifikate für Firewalls-Endbenutzer-Maschinen eingesetzt werden. Wenn Sie nicht in der Lage sind, Zertifikate für Endverbraucher-Rechner zu installieren, lesen Sie die Option #2 unten.
Option #1 – sichere Such Verfolgung über die Firewall
Die DurchSetzung der strengsten Sucheinstellungen über die Firewall erfordert, dass alle Sessions entschlüsselt werden, was die Vorteile von Warnungen, Reporting, zusätzlicher Sichtbarkeit in der Benutzeraktivität, Inhalten, Bedrohungen, Dateitypen usw. bietet. Mit der Anforderung, zu entschlüsseln, kommen jedoch bestimmte Vorbehalte um die Kontrolle sanktionierter Suchmaschinen, von denen Administratoren wissen sollten. Zum Beispiel:
- Die schnelle Suchfähigkeit von Google funktioniert in bestimmten Fällen nicht
- Googles OK-Google-Fähigkeit funktioniert in bestimmten Fällen nicht
- Googles Chrome-Browser verwendet proprietäres Verschlüsselungsprotokoll, genannt QUIC, das deaktiviert werden muss, um den Verkehr zu entschlüsseln
- Bing hält sich nicht an den SSL-Standard; So ist die Empfehlung, die Bing-Anwendung über SSL zu blockieren
- Wenn es sich um Probleme in Ihrer Organisation handelt, lesen Sie die Option #2 oder Option #3
Sichere Such Vollstreckung ermöglichen
- Navigieren Sie zu Policies-> Sicherheit-> Addund erstellen Sie eine sicherheitsRegel, die die QUIC -Anwendung blockiert, da dies Google Chrome zwingen wird, auf Standard-SSL zurückzugreifen und anschließend eine Entschlüsselung zu ermöglichen .
- Navigieren Sie zu Objekten-> Sicherheitsprofile-> URL-Filterung->das URL-Filter Profil bearbeiten-> URL-FilterEinstellungen-> sichere Such Vollstreckung aktivieren
- Click OK
- Navigieren Sie zu Policies-> Entschlüsselung-> Add, und erstellen Sie eine Entschlüsselungs Regel, die den Verkehr entschlüsselt, der mit den in 1 –-Steuerung der Such Maschine
- Navigieren Sie zu Device-> Antwortseiten-> URL Filterung sichere Suche Block Seite
- Wenn die vorgegebene (Standard-) Antwortseite nicht verändert wird und die Konfiguration verpflichtet ist, wird den Benutzern eine Block Seite angezeigt, wenn Sie versuchen, Recherchen durchzuführen, ohne dass die strengsten Einstellungen in den Suchmaschineneinstellungen aktiviert sind.
- Palo Alto Networks unterstützt auch die transparente Durchsetzung von Suchanfragen über ein Skript, das auf der Antwortseite hinzugefügt werden kann, so dass die Vollstreckung ohne jegliche Endbenutzer-Interaktion
- Navigieren Sie zu Device-> Antwortseiten-> URL Filtern sichere Suche Block Seite-> exportieren Sie die vordefinierte Antwortseite
- Navigieren Sie zum transparenten sicheren Such Bereich der technischen Dokumentation für Ihre Pan-OS-Version und kopieren Sie das transparente sichere Such Skript
- Öffnen Sie die heruntergeladene vordefinierte Antwortseite in einem Texteditor und ersetzen Sie den Inhalt durch das transparente sichere Suchskript
- Navigieren Sie zu Device-> Antwortseiten-> URL Filtern sichere Suche Block Seite-> die bearbeitete Antwort Seite importieren
- Eine transparente Durchsetzung ist in der Regel die bevorzugte Option, da Sie keine Maßnahmen seitens des Endverbrauchers erfordert.
- Weitere Informationen finden Sie in der PAN-OS-technischen Dokumentation für Ihre aktuelle Software-Version
- Die Konfiguration übertragen
Option #2 – sichere Such Verfolgung über DNS
Die DurchSetzung der strengsten Sucheinstellungen über DNS nutzt CNAME-Einträge auf lokalen DNS-Servern in Verbindung mit einer sicherheitspolitischen Regel-die auf der Firewall gesetzt wird, um den DNS-Verkehr streng zu steuern. Das bedeutet auch, dass eine SSL-Entschlüsselung nicht erforderlich ist, was für Organisationen, die keine Zertifikate auf Endbenutzer-Rechnern installieren können, von Vorteil sein könnte. AllerDings gibt es spezielle Vorbehalte diese Option. Zum Beispiel:
- Yahoo bietet keine CNAME-Option an, daher ist Option #1 für Organisationen erforderlich, die Yahoo als sanktionierte Suchmaschine benötigen
- Die nicht Entschlüsselung des Verkehrs bedeutet, dass Administratoren nicht die Vorteile von Warnungen, Reporting, zusätzlicher Sichtbarkeit in die Benutzeraktivität, Inhalte, Bedrohungen, Dateitypen usw. haben. für suchmaschinenverkehr
Lokale DNS-Server-Konfiguration
- Konsultieren Sie Ihre DNS-Server-Dokumentation für Details zur Erstellung von CNAME-Einträgen
- Konsultieren Sie die Dokumentation der einzelnen Suchmaschinenanbieter für CNAME-Anforderungen
DNS-SicherheitsPolitische Regel-Set
- Navigieren Sie zu Policies-> Sicherheit-> hinzuFügenund erstellen Sie ein sicherheitspolitisches Regel-Set, das DNS-Abfragen von lokalen DNS-Servern ins Internet ermöglicht, und Abfragen von internen Hosts zu lokalen DNS-Servern
- Erstellen Sie eine Regel, die den DNS-Traffic von internen Hosts zu lokalen DNS-Servern erlaubt
- Wenn sich die Server und die internen Hosts in der gleichen Zone befinden, kann eine Regel nicht erforderlich sein.
- Erstellen Sie eine Regel, die den DNS-Traffic von lokalen DNS-Servern ins Internet erlaubt
- Erstellen Sie eine Regel, die alle anderen DNS-Traffic verweigert
- Erstellen Sie eine Regel, die den DNS-Traffic von internen Hosts zu lokalen DNS-Servern erlaubt
- Die Konfiguration übertragen
3 – DurchSetzung über die Firewall und DNS – ein Beispiel aus der realen Welt
Da es sowohl für die Option #1 als auch für die Option #2 im vorigen Abschnitt einen Vorbehalt gibt, kann es notwendig sein, eine Kombination beider Methoden zu nutzen, die auf organisatorischen Bedürfnissen basieren, um die beste Durchsetzung zu gewährleisten und gleichzeitig den Endverbrauchern die größte Flexibilität zu bieten. Das folgende Beispiel wurde einem realen Kunden Szenario entnommen. Im folgenden Stellen Sie eine Liste Ihrer Anforderungen und die anschließende Konfiguration dar, die notwendig ist, um diese Anforderungen zu erfüllen. Auch hier gehen die folgenden Abschnitte davon aus, dass PKI bereits vorhanden ist und die entsprechenden SSL-Zertifikate für Firewalls und Endbenutzer-Maschinen eingesetzt werden.
Anforderungen
- Die sanktionierte Suchmaschinenliste sollte nur für uns ccTLDs sein und die folgenden enthalten:
- Bing
- Yahoo
- Die Meldung/Alarmierung nach Schlüsselwörtern ist keine Voraussetzung, vorausgesetzt, dass explizite Recherchen überhaupt verhindert werden
- Die Inspektion von Suchmaschinen-Inhalten für Bedrohungen ist keine Voraussetzung, vorausgesetzt, das primäre Ziel ist es, CIPA-konform zu sein
- Alle Google-Funktionen (z. Schnelle Suche, OK Google, ) muss ohne Problem funktionieren
KonfigurationsSchritte
- Navigieren Sie zu Objekten-> Sicherheitsprofile-> URL -Filterung
- Erstellen oder bearbeiten Sie ein bestehendes Profil und setzen Sie die Suchmaschinen- Kategorie auf Block
- Click OK
- Navigieren Sie zu Objekten-> benutzerdefinierte Objekte-> URL Kategorie-> Add
- Erstellen Sie für jede sanktionierte Suchmaschine eine eigene URL-Kategorie
- Click OK
- Navigieren Sie zu Objekten-> Sicherheitsprofile-> URL -Filterung
- Bearbeiten Sie das vorhandene Profil, in dem die vorgegebene Suchmaschinen- Kategorie in Schritt 2 blockiert wurde
- Setzen Sie die benutzerdefinierten Suchmaschinen-URL-Kategorien in Alarmbereitschaft
- Innerhalb des Profils navigieren Sie zu URL-Filtereinstellungen-> sichere Such Vollstreckung aktivieren
- Click OK
- Erstellen Sie CNAME-Einträge für Bing und Google auf Basis Ihrer DNS-Server-Dokumentation.
- Navigieren Sie zu Policies-> Sicherheit-> hinzuFügenund erstellen Sie eine sicherheitsRegel, die die QUIC- Anwendung blockiert
- Navigieren Sie zu Policies-> Sicherheit-> hinzuFügenund erstellen Sie ein sicherheitspolitisches Regel-Set, das DNS-Abfragen von lokalen DNS-Servern ins Internet ermöglicht, und Abfragen von internen Hosts zu lokalen DNS-Servern
- Erstellen Sie eine Regel, die den DNS-Traffic von internen Hosts zu lokalen DNS-Servern erlaubt
- Wenn sich die Server und die internen Hosts in der gleichen Zone befinden, kann eine Regel nicht erforderlich sein.
- Erstellen Sie eine Regel, die den DNS-Traffic von lokalen DNS-Servern ins Internet erlaubt
- Erstellen Sie eine Regel, die alle anderen DNS-Traffic verweigert
- Erstellen Sie eine Regel, die den DNS-Traffic von internen Hosts zu lokalen DNS-Servern erlaubt
- Navigieren Sie zu Policies-> Entschlüsselung à-> Add, und erstellen Sie eine Entschlüsselungs Regel, die den Verkehr entschlüsselt, der der Yahoo Custom sanktionierten Suchmaschinen-URL -Kategorie entspricht, die in Schritt 5 erstellt wurde .
- Hinweis – wir entschlüsseln nur Yahoo Traffic, weil wir die DNS-Methode für Bing und Google nutzen werden
- Hinweis – wir entschlüsseln nur Yahoo Traffic, weil wir die DNS-Methode für Bing und Google nutzen werden
- Navigieren Sie zu Device-> Antwortseiten-> URL Filtern sichere Suche Block Seite-> exportieren Sie die vordefinierte Antwortseite
- Navigieren Sie zum transparenten sicheren Such Bereich der technischen Dokumentation für Ihre Pan-OS-Version und kopieren Sie das transparente sichere Such Skript
- Öffnen Sie die heruntergeladene vordefinierte Antwortseite in einem Texteditor und ersetzen Sie den Inhalt durch das transparente sichere Suchskript
- Navigieren Sie zu Device-> Antwortseiten-> URL Filtern sichere Suche Block Seite-> die bearbeitete Antwort Seite importieren
- Die Konfiguration übertragen
Anlage
DNS Proxy
In einigen Umgebungen (z.b. Public Cloud) kann es erforderlich sein, öffentliche DNS zu nutzen. Das Palo Alto Networks DNS Proxy-Feature ermöglicht es Administratoren, statische Einträge für bestimmte Anforderungen zu erstellen, wie die DNS-CNAME-Methode für die sichere Such Verfolgung.
Beispiel-Konfiguration
- Navigieren Sie zu Objekten-> Adressen-> hinzuFügenund erstellen Sie ein Objekt für jeden DNS-Server
- Navigieren Sie zu Objekten-> Adressen-> hinzuFügenund erstellen Sie ein Objekt für jedes Vertrauens würdige Netzwerk-Gateway
- Zum Beispiel, wenn Ihr internes Trust-L3-Netzwerk 10.234.234.0/24 ist und das Gateway (Firewall) 10.234.234.1/32 ist, dann möchten Sie ein Objekt erstellen, das die Gateway-Adresse referenziert
- Zum Beispiel, wenn Ihr internes Trust-L3-Netzwerk 10.234.234.0/24 ist und das Gateway (Firewall) 10.234.234.1/32 ist, dann möchten Sie ein Objekt erstellen, das die Gateway-Adresse referenziert
- Navigieren Sie zu Objekten-> Adressgruppen-> Hinzufügen, Erstellen eines Objekts und fügen Sie jedes DNS- Server-Adress Objekt hinzu
- Navigieren Sie zu Policies-> Sicherheit-> Addund erstellen Sie ein sicherheitspolitisches Regel-Set, das DNS-Abfragen vom Trust-L3-Netzwerk-Gateway (Firewall) zu den zuvor definierten öffentlichen DNS-Servern erlaubt .
- Erstellen Sie eine Regel, die DNS-Traffic vom Gateway der internen Hosts (Firewall) zu öffentlichen DNS-Servern erlaubt
- Erstellen Sie eine Regel, die alle anderen DNS-Traffic verweigert
- Stellen Sie sicher, dass die DNS-Server-IP für alle Clients im Trust-L3-Netzwerk die IP-Adresse der Firewall ist (10.234.234.1 im obigen Beispiel)
- Navigieren Sie zu Network-> DNS Proxy-> Hinzufügen, und erstellen Sie ein neues DNS-Proxy-Profil, Aktivieren Sie es und verweisen Sie auf die Schnittstelle der Trust- L3-Zone und die öffentlichen DNS-Server
- Innerhalb des Profils, navigieren Sie zu statischen Einträgen, und fügen Sie statische Einträge für sanktionierte Suchmaschinen
- Führen Sie ein NSLOOKUP für die sichere Suche FQDNs in Frage
- Die Konfiguration übertragen
YouTube
Da YouTube im Besitz von Google ist, bietet es die gleichen Methoden der sicheren Such Verfolgung an, mit folgenden vorbehalten:
- Transparente sichere Such Vollstreckung wird derzeit nicht auf der Firewall unterstützt. Das bedeutet, dass, wenn die Firewall genutzt wird, um Suchanfragen durchzusetzen, die Benutzer mit einer Antwortseite konfrontiert werden und die Einstellungen vor der Durchführung einer Suche manuell ändern müssen.
- Die DNS-CNAME-Methode wird unterstützt. AllerDings halten einige Organisationen das, was als Ergebnis dieser Methode gefiltert wird, für zu restriktiv, obwohl YouTube sowohl YouTube.com als auch restrictmoderate.YouTube.com Optionen bietet.
Beispiel-Konfiguration
DNS-Methode
- Konsultieren Sie Ihre DNS-Server-Dokumentation für Details zur Erstellung von CNAME-Einträgen
- Konsultieren Sie die YouTube-Dokumentation für CNAME-Anforderungen – siehe Option 1: DNS
- Navigieren Sie zu Policies-> Sicherheit-> hinzuFügenund erstellen Sie ein sicherheitspolitisches Regel-Set, das DNS-Abfragen von lokalen DNS-Servern ins Internet ermöglicht, und Abfragen von internen Hosts zu lokalen DNS-Servern
- Erstellen Sie eine Regel, die den DNS-Traffic von internen Hosts zu lokalen DNS-Servern erlaubt
- Wenn sich die Server und die internen Hosts in der gleichen Zone befinden, kann eine Regel nicht erforderlich sein.
- Erstellen Sie eine Regel, die den DNS-Traffic von lokalen DNS-Servern ins Internet erlaubt
- Erstellen Sie eine Regel, die alle anderen DNS-Traffic verweigert
- Erstellen Sie eine Regel, die den DNS-Traffic von internen Hosts zu lokalen DNS-Servern erlaubt
- Die Konfiguration übertragen
Firewall-Methode
- Navigieren Sie zu Objekten-> benutzerdefinierte Objekte-> URL Kategorie-> Add
- Erstellen Sie eine eigene URL-Kategorie für YouTube
- Click OK
- Navigieren Sie zu Objekten-> Sicherheitsprofile-> URL-Filterung-> bearbeiten Siedas vorhandene Profil im Einsatz in der Organisation-> URL-FilterEinstellungen-> sichere Such Vollstreckung aktivieren
- Click OK
- Navigieren Sie zu Policies-> Sicherheit-> hinzuFügenund erstellen Sie eine sicherheitsRegel, die die QUIC- Anwendung blockiert
- Navigieren Sie zu Policies-> Entschlüsselung-> Add, und erstellen Sie eine Entschlüsselungs Regel, die den Verkehr entschlüsselt, der der BENUTZERdefinierten YouTube-URL -Kategorie entspricht, die in Schritt 2 erstellt wurde .
- Navigieren Sie zu Device-> Antwortseiten-> URL Filterung sichere Suche Block Seite
- Entweder können die vordefinierten oder transparenten Antwortseiten verwendet werden, das Ergebnis wird das gleiche sein (Antwortseite, die manuelle Änderungen am Teil des Endbenutzers erfordert)
- Die Konfiguration übertragen
SSL-Entschlüsselung
Es wird dringend empfohlen, eine PKI zu bauen und zu nutzen, wenn SSL-Zertifikate für die Entschlüsselung verwendet werden. Palo Alto Networks gibt Administratoren jedoch die Möglichkeit, selbst signierte Zertifikate zu erstellen, die für erste Tests verwendet werden können.
Beispiel-Konfiguration
- Navigieren Sie zu Device-> Zertifikats Management-> Zertifikate-> generieren, um ein Zertifikat zu erstellen
- Geben Sie einen Zertifikats Namen
- Geben Sie die Management-IP-Adresse der Firewall für den gemeinsamen Namen ein
- Prüfen Sie das Kontrollkästchen der Zertifikatsbehörde
- Klick generieren
- Auf der Seite Device-> Zertifikats Management-> Zertifikate Klicken Sie auf das Zertifikat, das gerade generiert wurde .
- ÜberPrüfen Sie das Forward-Trust-Zertifikat, das Forward-Treuhand Zertifikatund die vertrauenswürdigen Root-CA - Kästchen
- Click OK
- Das Zertifikat kann nun über die Export Option von der Device-> Zertifikats Management-> Zertifikate- Seite exportiert und in Testgeräte importiert werden.