Tabla de contenido

 

• Introducción

1. Controlar el acceso del motor de búsqueda
   1. Definición de motores de búsqueda sancionados
      
      1. Bloquear la categoría de motores de búsqueda predefinidos
      2. Agregar la categoría URL personalizada al perfil de filtrado de URL
2. Aplicación de la seguridad del motor de búsqueda
   
   1. Opción #1 – aplicación de búsqueda segura a través del firewall
      
      1. Habilitar la aplicación de búsqueda segura
   2. Opción #2 – aplicación de búsqueda segura a través de DNS
      
      1. Configuración del servidor DNS local
      2. Directiva de seguridad de DNS establecida en regla
3. Aplicación mediante el firewall y DNS – un ejemplo del mundo real
   
   1. Requisitos
   2. Pasos de configuración

• Apéndice
  • Proxy DNS
    
    • Configuración de muestra
  • YouTube
    
    • Configuración de muestra
  • Descifrado de SSL
    
    • Configuración de muestra

 

 

Introducción

 

La ley de protección de Internet para niños (Chipre), es una ley federal promulgada por el Congreso de los Estados Unidos en diciembre de 2000 para abordar las preocupaciones sobre el acceso en las escuelas y bibliotecas a Internet y otra información. La lista completa de requisitos que deben cumplir las escuelas y las bibliotecas para ser conforme a Chipre se definen en www.FCC.gov. Específico para el filtrado de contenidos, las escuelas y las bibliotecas sujetas a Chipre no pueden recibir los descuentos ofrecidos por el programa "E-Rate" (descuentos que hacen que el acceso a Internet sea asequible para las escuelas y bibliotecas) a menos que certifiquen que tienen cierta Internet medidas de seguridad en su lugar. Estas incluyen medidas para bloquear o filtrar imágenes que: (a) son obscenas, (b) contienen pornografía infantil, o (c) cuando los menores de edad utilizan computadoras con acceso a Internet, son perjudiciales para los menores de edad.

 

Como la gran mayoría de los motores de búsqueda pueden servir el contenido cifrado sobre SSL, esto representa un desafío para hacer cumplir el cumplimiento de Chipre por parte de los administradores de la red/seguridad. Afortunadamente, Palo Alto Networks ofrece múltiples recomendaciones para reforzar la seguridad de los motores de búsqueda. Este documento pone de relieve cada recomendación en detalle, con advertencias a cada uno, así como destaca el proceso recomendado para habilitar esta capacidad.

 

1-controlar el acceso del motor de búsqueda

 

Requisitos previos

 

En este artículo se supone que el cortafuegos de Palo Alto Networks tiene una licencia de filtrado de URL de pan-dB válida y que ya se ha aplicado un perfil de filtrado de URL a la Directiva de seguridad actual establecida en la regla.

 

Definición de motores de búsqueda sancionados

 

Como primer paso para garantizar la seguridad del motor de búsqueda, se debe evitar que todas las URLs que coincidan con la categoría de motores de búsqueda predefinidas. Esto se debe al hecho de que no todos los motores de búsqueda pueden ser adecuadamente controlados. Se recomienda que la organización defina una lista de motores de búsqueda sancionados y que se controle a través de categorías de URL personalizadas. Esto limita la capacidad del usuario final de buscar contenido de manera evasiva y proporciona una solución más manejable para los administradores. En el momento de esta redacción, los siguientes motores de búsqueda son compatibles con Palo Alto Networks para una mejor funcionalidad de búsqueda segura:

 

• Bing
• Google
• Yahoo

 

Para obtener información adicional sobre cada motor de búsqueda mencionado anteriormente, por favor revise la documentación técnica para su versión de PAN-OS asociada.

 

 

Bloquear la categoría de motores de búsqueda predefinidos

 

1. Desplácese a objetos-> perfiles de seguridad-> filtrado de URL
2. Crear o editar un perfil existente, y establecer la categoría de los motores de búsqueda para bloquear

    

3. Haga clic en Aceptar

 

Crear una categoría de URL personalizada

 

1. Desplácese a objetos-> objetos personalizados-> URL categoría-> Add
2. Crear una categoría de URL personalizada para cada motor de búsqueda sancionado
   • Los administradores pueden introducir varios dominios Sud-Domain de ccTLD (es decir, Google.es) basándose en los requisitos de organización, pero este ejemplo especifica . com sólo

       

3. Haga clic en Aceptar
   • Para obtener información adicional sobre URLs personalizadas y entradas de comodín, consulte la documentación técnica de su versión actual del sistema operativo.

 

Agregar la categoría URL personalizada al perfil de filtrado de URL

 

1. Desplácese a objetos-> perfiles de seguridad-> filtrado de URL
2. Edite el perfil existente donde se configuró la categoría de motores de búsqueda predefinidos para bloquear en el paso anterior
3. Establecer las categorías de URL del motor de búsqueda sancionadas personalizadas para alertar

    

4. Haga clic en Aceptar
5. Confirmar la configuración

 

2 – aplicación de la seguridad del motor de búsqueda

 

Requisitos previos

 

Este artículo asume que el cortafuegos de Palo Alto Networks tiene una licencia de filtrado de URL de pan-dB válida y un perfil de filtrado de URL que contiene la configuración de URL personalizada de 1 – controlando el acceso seguro a la búsqueda se aplica a la Directiva de seguridad de su conjunto de reglas. Este artículo también supone que PKI ya está en su lugar y que los certificados SSL apropiados se implementan en los equipos de usuarios finales de firewalls. Si no puede implementar certificados para los equipos de usuarios finales, consulte la opción #2 a continuación.

 

Opción #1 – aplicación de búsqueda segura a través del firewall

 

La aplicación de los ajustes de búsqueda más estrictos a través del firewall requiere que todas las sesiones se descifren, proporcionando los beneficios de las alertas, el reporting, la visibilidad adicional en la actividad del usuario, el contenido, las amenazas, los tipos de archivo, etc. Sin embargo, con el requisito de descifrar viene ciertas salvedades alrededor de controlar los motores de búsqueda sancionados de los cuales los administradores deben ser conscientes. Por ejemplo:

 

• La capacidad de búsqueda rápida de Google no funciona en ciertos casos
• La capacidad de Google OK de Google no funciona en ciertos casos
• El navegador Chrome de Google utiliza el protocolo de encriptación propietario, llamado Quic, que debe ser deshabilitado para descifrar el tráfico
• Bing no se adhiere al estándar SSL; por lo tanto, la recomendación es bloquear la aplicación Bing sobre SSL
  • Si alguno de estos problemas se encuentran en su organización, consulte la opción #2 u opción #3

 

Habilitar la aplicación de búsqueda segura

 

1. Desplácese a directivas-> seguridad-> Add, y cree una regla de seguridad que bloquea la aplicación Quic , ya que esto obligará a Google Chrome a volver al estándar SSL y, posteriormente, permitir descifrado  
2. Desplácese a objetos-> perfiles de seguridad-> filtrado de URL->editar el perfil de filtrado de URL-> configuración de filtrado de URL->Habilitar la aplicación de búsqueda segura    

    

3. Haga clic en Aceptar
4. Desplácese a directivas-> descifrar -> agregary crear una regla de descifrado que descifre el tráfico que coincida con el motor de búsqueda sancionado personalizado categorías de URL creadas en 1 – controlar el acceso a los motores de búsqueda

    

5. Desplácese al dispositivo-> páginas de respuesta-> filtrado de URL página de bloqueo de búsqueda segura
   1. Si la página de respuesta predefinida (predeterminada) no se modifica y la configuración está comprometida, los usuarios se presentarán con una página de bloque al intentar realizar búsquedas sin tener la configuración más estricta en la configuración del motor de búsqueda activada
   2. Palo Alto Networks también soporta la aplicación transparente de búsquedas a través de un script que se puede Agregar a la página de respuesta, permitiendo así la aplicación sin ninguna interacción con el usuario final
      1. Desplácese al dispositivo-> páginas de respuesta-> filtrado de URL página de bloqueo de búsqueda segura-> exportar la página de respuesta predefinida
      2. Desplácese a la sección de búsqueda segura transparente de la documentación técnica de su versión pan-os y copie el script de búsqueda segura transparente
      3. Abra la página de respuesta predefinida descargada en un editor de texto y reemplace el contenido con el script de búsqueda segura transparente
      4. Desplácese al dispositivo-> páginas de respuesta-> filtrado de URL página de bloqueo de búsqueda segura-> importar la página de respuesta editada
   3. La aplicación transparente suele ser la opción preferida porque no requiere ninguna acción en la parte del usuario final
   4. Para obtener más información, consulte la documentación técnica de PAN-OS para su versión de software actual

6. Confirmar la configuración

 

 

Opción #2 – aplicación de búsqueda segura a través de DNS

 

La aplicación de la configuración de búsqueda más estricta mediante DNS aprovecha las entradas de CNAME en los servidores DNS locales junto con una regla de directiva de seguridad establecida en el cortafuegos para controlar estrechamente el tráfico DNS. Esto también significa que no es necesario descifrar SSL, lo que podría ser ventajoso para las organizaciones que no pueden instalar certificados en los equipos de usuarios finales. Sin embargo, hay salvedades específicas de esta opción. Por ejemplo:

 

• Yahoo no ofrece una opción de CNAME, por lo tanto la opción #1 es requerida para las organizaciones que requieren Yahoo como un motor de búsqueda sancionado
• No desencriptar el tráfico significa que los administradores no tendrán los beneficios de las alertas, el reporting, la visibilidad adicional en la actividad del usuario, el contenido, las amenazas, los tipos de archivo, etc. para el tráfico de motores de búsqueda

 

Configuración del servidor DNS local

 

1. Consulte la documentación del servidor DNS para obtener más información sobre cómo crear entradas CNAME
   1. Aquí hay un ejemplo para Windows
   2. Aquí hay un ejemplo para BIND
2. Consulte la documentación del proveedor de cada motor de búsqueda para los requisitos CNAME
   1. Google – Ver bloquear SafeSearch mediante la realización de cambios en el router ( avanzado)
   2. Bing – Ver mapa a nivel de red

 

Directiva de seguridad de DNS establecida en regla

 

1. Desplácese a directivas-> seguridad-> agregary crear una regla de directiva de seguridad establecida que permite consultas DNS desde servidores DNS locales a Internet, y consultas desde hosts internos a servidores DNS locales
   1. Crear una regla que permita el tráfico DNS desde hosts internos a servidores DNS locales
      1. Si los servidores y los hosts internos están en la misma zona, es posible que no se requiera una regla
   2. Crear una regla que permita el tráfico DNS de los servidores DNS locales a Internet
   3. Crear una regla que niegue el resto del tráfico DNS

        

2. Confirmar la configuración

 

 

3 – aplicación A través del firewall y DNS – un ejemplo del mundo real

 

Como hay advertencias para ambas opciones #1 y opción #2 en la sección anterior, puede ser necesario aprovechar una combinación de ambos métodos basados en las necesidades de organización para proporcionar la mejor aplicación, mientras que también proporciona la mayor flexibilidad a los usuarios finales. El ejemplo siguiente se tomó de un escenario de cliente del mundo real. A continuación se presenta una lista de sus requerimientos y la configuración subsiguiente necesaria para cumplir con esos requisitos. De nuevo, las siguientes secciones suponen que PKI ya está en su lugar y los certificados SSL apropiados se implementan en firewalls y máquinas de usuario final.

 

Requisitos

 

• La lista de motores de búsqueda sancionados sólo debe ser para los ccTLD de los Estados Unidos e incluir lo siguiente:
  • Bing
  • Google
  • Yahoo
• Reportar/alertar sobre palabras clave no es un requisito, asumiendo que las búsquedas explícitas se previenen en primer lugar
• La inspección del contenido de los motores de búsqueda para las amenazas no es un requisito, asumiendo que el objetivo principal es ser compatible con Chipre
• Toda la funcionalidad de Google (es decir, Búsqueda rápida, OK Google, ) debe funcionar sin problema

 

 

Pasos de configuración

 

1. Desplácese a objetos-> perfiles de seguridad-> filtrado de URL
2. Crear o editar un perfil existente, y establecer la categoría de los motores de búsqueda para bloquear  
3. Haga clic en Aceptar
4. Desplácese a objetos-> objetos personalizados-> URL categoría-> Add
5. Crear una categoría de URL personalizada para cada motor de búsqueda sancionado   
6. Haga clic en Aceptar
7. Desplácese a objetos-> perfiles de seguridad-> filtrado de URL
8. Edite el perfil existente donde se configuró la categoría de motores de búsqueda predefinidos para bloquear en el paso 2
9. Establecer las categorías de URL del motor de búsqueda sancionadas personalizadas para alertar 
10. Dentro del perfil, desplácese a configuración de filtrado de URL->Habilitar la aplicación de búsqueda segura    
11. Haga clic en Aceptar
12. Cree entradas CNAME para Bing y Google basándose en la documentación del servidor DNS.
    1. Google – Ver bloquear SafeSearch mediante la realización de cambios en el router ( avanzado)
    2. Bing – Ver mapa a nivel de red
13. Desplácese a directivas-> seguridad-> agregary crear una regla de seguridad que bloquee la aplicación Quic   
14. Desplácese a directivas-> seguridad-> agregary crear una regla de directiva de seguridad establecida que permite consultas DNS desde servidores DNS locales a Internet, y consultas desde hosts internos a servidores DNS locales
    1. Crear una regla que permita el tráfico DNS desde hosts internos a servidores DNS locales
       1. Si los servidores y los hosts internos están en la misma zona, es posible que no se requiera una regla
    2. Crear una regla que permita el tráfico DNS de los servidores DNS locales a Internet
    3. Crear una regla que niegue el resto del tráfico DNS

        

     

15. Desplácese a directivas-> desencriptación à-> Add, y cree una regla de descifrado que descifre el tráfico que coincida con la categoría de URL del motor de búsqueda sancionada por la aduana de Yahoo creada en el paso 5
    1. Nota – sólo estamos desencriptando el tráfico de Yahoo porque vamos a aprovechar el método de DNS para Bing y Google

         

16. Desplácese al dispositivo-> páginas de respuesta-> filtrado de URL página de bloqueo de búsqueda segura-> exportar la página de respuesta predefinida
17. Desplácese a la sección de búsqueda segura transparente de la documentación técnica de su versión pan-os y copie el script de búsqueda segura transparente
18. Abra la página de respuesta predefinida descargada en un editor de texto y reemplace el contenido con el script de búsqueda segura transparente
19. Desplácese al dispositivo-> páginas de respuesta-> filtrado de URL página de bloqueo de búsqueda segura-> importar la página de respuesta editada
20. Confirmar la configuración

 

Apéndice

 

Proxy DNS

 

En algunos entornos (es decir, nube pública), puede ser necesario aprovechar el DNS público. La función de proxy DNS de Palo Alto Networks permite a los administradores crear entradas estáticas para ciertos requisitos, como el método DNS CNAME para una aplicación de búsqueda segura.

 

Configuración de muestra

 

1. Desplácese a objetos-> direcciones-> agregary crear un objeto para cada servidor DNS   
2. Desplácese a objetos-> direcciones-> agregary crear un objeto para cada Gateway de red de confianza   
   1. Por ejemplo, si su red Trust-L3 interna es 10.234.234.0/24, y el Gateway (firewall) es 10.234.234.1/32, entonces desea crear un objeto que haga referencia a la dirección de la puerta de enlace

        

3. Desplácese a objetos-> grupos de direcciones-> agregar, crear un objeto y agregar cada objeto de dirección del servidor DNS  
4. Desplácese a directivas-> seguridad-> agregary crear una regla de directiva de seguridad establecida que permite consultas DNS desde el gateway de red Trust-L3 (firewall) a los servidores DNS públicos definidos previamente
   1. Crear una regla que permita el tráfico DNS desde la puerta de enlace de hosts internos (firewall) a servidores DNS públicos
   2. Crear una regla que niegue el resto del tráfico DNS

       

5. Asegúrese de que la IP del servidor DNS para todos los clientes de la red Trust-L3 es la dirección IP del cortafuegos (10.234.234.1 en el ejemplo anterior)
6. Desplácese a la red-> proxy DNS-> agregary crear un nuevo Perfil de proxy DNS, habilitarlo y hacer referencia a la interfaz de la zona Trust-L3 y los servidores DNS públicos

    

7. Dentro del perfil, desplácese a entradas estáticasy añada entradas estáticas para motores de búsqueda sancionados
   1. Realizar un Nslookup para los FQDN de búsqueda segura en cuestión

8. Confirmar la configuración

 

YouTube

 

Como YouTube es propiedad de Google, ofrece los mismos métodos de aplicación de la búsqueda segura, con las siguientes salvedades:

 

• La aplicación de búsqueda segura transparente no se admite actualmente en el cortafuegos. Esto significa que si el Firewall se aprovecha para hacer cumplir las búsquedas, los usuarios se presentarán con una página de respuesta y tendrán que cambiar manualmente la configuración antes de realizar una búsqueda.
• Se admite el método CNAME de DNS. Sin embargo, algunas organizaciones consideran que lo que se filtra como resultado de este método es demasiado restrictivo, a pesar de que YouTube ofrece Opciones de YouTube.com y restrictmoderate.youtube.com .

 

Configuración de muestra

 

DNS (método)

 

1. Consulte la documentación del servidor DNS para obtener más información sobre cómo crear entradas CNAME
2. Consulte la documentación de YouTube para los requisitos de CNAME – vea la opción 1: DNS
3. Desplácese a directivas-> seguridad-> agregary crear una regla de directiva de seguridad establecida que permite consultas DNS desde servidores DNS locales a Internet, y consultas desde hosts internos a servidores DNS locales
   1. Crear una regla que permita el tráfico DNS desde hosts internos a servidores DNS locales
      1. Si los servidores y los hosts internos están en la misma zona, es posible que no se requiera una regla
   2. Crear una regla que permita el tráfico DNS de los servidores DNS locales a Internet
   3. Crear una regla que niegue el resto del tráfico DNS

        

4. Confirmar la configuración

 

Firewall (método)

 

1. Desplácese a objetos-> objetos personalizados-> URL categoría-> Add
2. Crear una categoría de URL personalizada para YouTube

    

3. Haga clic en Aceptar
4. Desplácese a objetos-> perfiles de seguridad-> filtrado de URL->edite el perfil existente en uso en la organización-> configuración de filtrado de URL-> habilitar la aplicación de búsqueda segura    

    

5. Haga clic en Aceptar
6. Desplácese a directivas-> seguridad-> agregary crear una regla de seguridad que bloquee la aplicación Quic   
7. Desplácese a directivas-> desencriptación -> Add, y cree una regla de descifrado que descifre el tráfico que coincida con la categoría de URL de YouTube personalizada creada en el paso 2

    

8. Desplácese al dispositivo-> páginas de respuesta-> filtrado de URL página de bloqueo de búsqueda segura
   1. Se pueden utilizar las páginas de respuesta predefinidas o transparentes, el resultado será el mismo (página de respuesta que requiere cambios manuales en la parte del usuario final)
9. Confirmar la configuración  

Descifrado de SSL

 

Es altamente recomendable construir y aprovechar una PKI al implementar certificados SSL para ser usados para descifrar. Sin embargo, Palo Alto Networks ofrece a los administradores la posibilidad de crear certificados autofirmados, que se pueden utilizar para las pruebas iniciales.

 

Configuración de muestra

 

1. Desplácese hasta dispositivo-> administración de certificados-> certificados-> generar, para crear un certificado
   1. Escriba un nombre de certificado
   2. Introduzca la dirección IP de administración del cortafuegos para el nombre común
   3. Marque la casilla de verificación autoridad de certificados

       

2. Haga clic en generar
3. Desde el dispositivo-> Administración de certificados-> Página de certificados , haga clic en el certificado que se acaba de generar
   1. Compruebe el certificado de confianza de avance, el certificado de desconfianza reenviado y las casillas de verificación raíz de confianza   
4. Haga clic en Aceptar
5. Ahora el certificado se puede exportar a través de la opción de exportación desde el dispositivo-> administración de certificados -> Página de certificados , e importada a dispositivos de prueba