Table des matières

 

• Introduction

1. Contrôle de L'Accès aux moteurs de recherche
   1. Définition des moteurs de recherche sanctionnés
      
      1. Bloquer la catégorie des moteurs de recherche prédéfinis
      2. Ajouter la catégorie d'URL personnalisée au profil de filtrage d'URL
2. Application de la sécurité des moteurs de recherche
   
   1. Option #1 – application sécurisée de la recherche via le pare-feu
      
      1. Activer l'application de la recherche sécurisée
   2. Option #2 – application sécurisée de la recherche via DNS
      
      1. Configuration du serveur DNS local
      2. Règle de stratégie de sécurité DNS-Set
3. Application via le pare-feu et DNS-un exemple du monde réel
   
   1. Exigences en matière
   2. Étapes de configuration

• Annexe
  • Proxy DNS
    
    • Exemple de configuration
  • YouTube
    
    • Exemple de configuration
  • Décryptage SSL
    
    • Exemple de configuration

 

 

Introduction

 

La children's Internet Protection Act (CIPA), est une loi fédérale promulguée par le Congrès des États-Unis en décembre 2000 pour répondre aux préoccupations concernant l'accès dans les écoles et les bibliothèques à l'Internet et d'autres informations. La liste complète des exigences que doivent respecter les écoles et les bibliothèques afin d'être conformes au CIPA est définie à l' www.FCC.gov. Spécifiques au filtrage de contenu, les écoles et les bibliothèques assujetties au CIPA ne peuvent pas recevoir les remises offertes par le programme «E-Rate» (escomptes qui rendent l'accès à l'Internet abordable pour les écoles et les bibliothèques) à moins qu'ils certifient avoir certains Internet mesures de sécurité en place. Il s'agit notamment de mesures visant à bloquer ou à filtrer les images qui: (a) sont obscènes, (b) contiennent de la pornographie juvénile, ou (c) lorsque des ordinateurs ayant accès à Internet sont utilisés par des mineurs, sont nocifs pour les mineurs.

 

Comme la grande majorité des moteurs de recherche peut servir jusqu'à contenu qui est chiffré sur SSL, cela représente un défi pour l'application de conformité CIPA par les administrateurs réseau/sécurité. Heureusement, Palo Alto Networks offre de multiples recommandations pour faire respecter la sécurité des moteurs de recherche. Ce document met en relief chaque recommandation en détail, avec des avertissements à chacun, et souligne le processus recommandé pour permettre cette capacité.

 

1-contrôle de L'Accès aux moteurs de recherche

 

Conditions préalables

 

Cet article suppose que votre pare-feu Palo Alto Networks possède une licence de filtrage d'url Pan-DB valide et qu'un profil de filtrage d'url est déjà appliqué à votre jeu de règles de stratégie de sécurité actuelle.

 

Définition des moteurs de recherche sanctionnés

 

En tant que première étape pour assurer la sécurité des moteurs de recherche, permettant à toutes les URL qui correspondent à la catégorie de moteurs de recherche prédéfinis doivent être évités. Cela est dû au fait que tous les moteurs de recherche ne peuvent pas être contrôlés adéquatement. Il est recommandé qu'une liste des moteurs de recherche sanctionnés soit définie par l'organisation et contrôlée par des catégories d'URL personnalisées. Cela limite la capacité de l'utilisateur final à rechercher du contenu d'une manière évasive et fournit une solution plus gérable pour les administrateurs. Au moment de cette écriture, les moteurs de recherche suivants sont pris en charge par les réseaux de Palo Alto pour une fonctionnalité de recherche sécurisée renforcée:

 

• Bing
• Google
• Yahoo

 

Pour plus d'informations sur chaque moteur de recherche mentionné ci-dessus, veuillez consulter la documentation technique relative à votre version PAN-OS associée.

 

 

Bloquer la catégorie des moteurs de recherche prédéfinis

 

1. Accédez à objets-> profils de sécurité-> filtrage d'URL
2. Créer ou modifier un profil existant, et définir la catégorie moteurs de recherche pour bloquer

    

3. Cliquez sur OK

 

Créer une catégorie d'URL personnalisée

 

1. Naviguez jusqu'à objets-> Custom Objects-> URL Category-> Add
2. Créer une catégorie d'URL personnalisée pour chaque moteur de recherche sanctionné
   • Les administrateurs peuvent entrer plusieurs domaines de pays ccTLD (i.e. google.es) en fonction des besoins organisationnels, mais cet exemple spécifie . com uniquement

       

3. Cliquez sur OK
   • Pour plus de détails sur les URL personnalisées et les entrées génériques, consultez la documentation technique relative à votre version actuelle du système d'exploitation.

 

Ajouter la catégorie d'URL personnalisée au profil de filtrage d'URL

 

1. Accédez à objets-> profils de sécurité-> filtrage d'URL
2. Modifier le profil existant où la catégorie de moteurs de recherche prédéfinis a été définie à bloquer à l'étape précédente
3. Définissez les catégories d'URL de moteur de recherche sanctionnées personnalisées pour alerter

    

4. Cliquez sur OK
5. Valider la configuration

 

2 – application de la sécurité des moteurs de recherche

 

Conditions préalables

 

Cet article suppose que votre pare-feu Palo Alto Networks possède une licence de filtrage d'url Pan-DB valide et un profil de filtrage d'url contenant la configuration d'url personnalisée de 1 – contrôle de l'accès à la recherche sécurisée est appliqué à votre règle de stratégie de sécurité définie. Cet article suppose également que l'icp est déjà en place et que les certificats SSL appropriés sont déployés sur les ordinateurs utilisateurs finaux des pare-feu. Si vous ne pouvez pas déployer de certificats pour les ordinateurs utilisateurs finaux, consultez l' option #2 ci-dessous.

 

Option #1 – application sécurisée de la recherche via le pare-feu

 

L'application des paramètres de recherche les plus stricts via le pare-feu exige que toutes les sessions soient décryptées, en fournissant les avantages des alertes, des rapports, une visibilité supplémentaire dans l'activité utilisateur, le contenu, les menaces, les types de fichiers, etc. Cependant, avec l'exigence de décrypter vient certaines mises en garde autour de contrôler les moteurs de recherche sanctionnés dont les administrateurs doivent être conscients. Par exemple :

 

• La capacité de recherche rapide de Google ne fonctionne pas dans certains cas
• Google OK Google capacités ne fonctionne pas dans certains cas
• Google Chrome Browser utilise le protocole de cryptage propriétaire, appelé QUIC, qui doit être désactivé afin de décrypter le trafic
• Bing n'adhère pas à la norme SSL; ainsi, la recommandation est de bloquer l'application Bing sur SSL
  • Si l'un de ces problèmes se présente dans votre organisation, consultez option #2 ou option #3

 

Activer l'application de la recherche sécurisée

 

1. Accédez à Policies-> Security-> Add, et créez une règle de sécurité qui bloque l' application QUIC , car cela forcera Google Chrome à revenir à la norme SSL et permettra ensuite le décryptage  
2. Accédez à objets-> profils de sécurité-> filtrage d'url->modifier le filtrage d'URL profil-> URL filtrage des paramètres->activer la sécurité de recherche d' exécution    

    

3. Cliquez sur OK
4. Naviguez vers stratégies-> décryptage-> ajouter, et créer une règle de décryptage qui décrypte le trafic qui correspond aux catégories d'URL de moteur de recherche sanctionnées personnalisées créées dans 1 – contrôle de l'accès aux moteurs de recherche

    

5. Accédez au périphérique-> pages de réponse-> filtrage d'URL page de blocage de recherche sécurisée
   1. Si la page de réponse prédéfinie (par défaut) n'est pas modifiée et que la configuration est validée, les utilisateurs seront présentés avec une page de blocage lors de la tentative d'effectuer des recherches sans avoir les paramètres les plus stricts dans les paramètres du moteur de recherche activés
   2. Palo Alto Networks prend également en charge l'application transparente des recherches via un script qui peut être ajouté à la page de réponse, permettant ainsi l'application sans aucune interaction de l'utilisateur final
      1. Accédez au périphérique-> pages de réponse-> filtrage d'URL page de blocage de recherche sécurisée-> Exporter la page de réponse prédéfinie
      2. Accédez à la section de recherche transparente sécurisée de la documentation technique pour votre version Pan-OS et copiez le script de recherche sécurisé transparent
      3. Ouvrez la page de réponse prédéfinie téléchargée dans un éditeur de texte et remplacez le contenu par le script de recherche sécurisé transparent
      4. Accédez au périphérique-> pages de réponse-> filtrage d'URL sécurité page de blocage de recherche-> Importer la page de réponse éditée
   3. L'application transparente est généralement l'option préférée, car elle ne nécessite aucune action sur la partie de l'utilisateur final
   4. Pour plus d'informations, consultez la documentation technique PAN-OS pour votre version logicielle actuelle

6. Valider la configuration

 

 

Option #2 – application sécurisée de la recherche via DNS

 

L'application des paramètres de recherche les plus stricts via DNS exploite les entrées CNAME sur les serveurs DNS locaux en conjonction avec une règle de stratégie de sécurité définie sur le pare-feu pour contrôler étroitement le trafic DNS. Cela signifie également que le décryptage SSL n'est pas nécessaire, ce qui pourrait être avantageux pour les organisations qui ne peuvent pas installer de certificats sur les machines utilisateur final. Cependant, il y a des avertissements spécifiques cette option. Par exemple :

 

• Yahoo n'offre pas une option CNAME, donc l'option #1 est nécessaire pour les organisations qui nécessitent Yahoo comme un moteur de recherche sanctionné
• Ne pas décrypter le trafic signifie que les administrateurs n'auront pas les avantages des alertes, des rapports, une visibilité supplémentaire dans l'activité des utilisateurs, le contenu, les menaces, les types de fichiers, etc. pour le trafic des moteurs de recherche

 

Configuration du serveur DNS local

 

1. Consultez la documentation de votre serveur DNS pour plus d'informations sur la création d'entrées CNAME
   1. Voici un exemple pour Windows
   2. Voici un exemple pour bind
2. Consulter la documentation de chaque fournisseur de moteurs de recherche pour les besoins CNAME
   1. Google -voir Verrouiller SafeSearch en effectuant des modifications à votre routeur ( avancé)
   2. Bing – voir carte au niveau du réseau

 

Règle de stratégie de sécurité DNS-Set

 

1. Accédez à Policies-> Security-> Add, et créez une règle de stratégie de sécurité-ensemble permettant des requêtes DNS des serveurs DNS locaux à Internet, et des requêtes d'hôtes internes aux serveurs DNS locaux
   1. Créer une règle autorisant le trafic DNS des hôtes internes aux serveurs DNS locaux
      1. Si les serveurs et les hôtes internes se trouvent dans la même zone, une règle peut ne pas être requise
   2. Créer une règle autorisant le trafic DNS des serveurs DNS locaux vers Internet
   3. Créer une règle refusant tout autre trafic DNS

        

2. Valider la configuration

 

 

3-l'Application par le pare-feu et DNS-un exemple du monde réel

 

Comme il ya des avertissements pour les deux options #1 et l'option #2 dans la section précédente, il peut être nécessaire de tirer parti d'une combinaison des deux méthodes basées sur les besoins organisationnels pour fournir la meilleure application tout en offrant la plus grande souplesse pour les utilisateurs finaux. L'exemple suivant a été tiré d'un scénario client réel. Ce qui suit représente une liste de leurs besoins et la configuration suivante nécessaire pour répondre à ces exigences. Encore une fois, les sections suivantes supposent que l'icp est déjà en place et que les certificats SSL appropriés sont déployés sur les pare-feu et les ordinateurs utilisateurs finaux.

 

Exigences en matière

 

• La liste des moteurs de recherche sanctionnés ne devrait être que pour les ccTLD US et inclure les éléments suivants:
  • Bing
  • Google
  • Yahoo
• L'établissement de rapports/alertes sur les mots clés n'est pas une exigence, en supposant que les recherches explicites sont empêchées en premier lieu
• L'Inspection du contenu des moteurs de recherche pour les menaces n'est pas une exigence, en supposant que l'objectif principal est d'être conforme au CIPA
• Toutes les fonctionnalités de Google (i.e. Recherche rapide, OK Google, ) doit fonctionner sans problème

 

 

Étapes de configuration

 

1. Accédez à objets-> profils de sécurité-> filtrage d'URL
2. Créer ou modifier un profil existant, et définir la catégorie moteurs de recherche pour bloquer  
3. Cliquez sur OK
4. Naviguez jusqu'à objets-> Custom Objects-> URL Category-> Add
5. Créer une catégorie d'URL personnalisée pour chaque moteur de recherche sanctionné   
6. Cliquez sur OK
7. Accédez à objets-> profils de sécurité-> filtrage d'URL
8. Modifier le profil existant où la catégorie de moteurs de recherche prédéfinis a été définie à bloquer à l'étape 2
9. Définissez les catégories d'URL de moteur de recherche sanctionnées personnalisées pour alerter 
10. Dans le profil, accédez aux paramètres de filtrage d'URL->activer l' application de la recherche sécurisée   
11. Cliquez sur OK
12. Créez des entrées CNAME pour Bing et Google en fonction de la documentation de votre serveur DNS.
    1. Google -voir Verrouiller SafeSearch en effectuant des modifications à votre routeur ( avancé)
    2. Bing – voir carte au niveau du réseau
13. Accédez à Policies-> Security-> Add, et créez une règle de sécurité qui bloque l' application QUIC   
14. Accédez à Policies-> Security-> Add, et créez une règle de stratégie de sécurité-ensemble permettant des requêtes DNS des serveurs DNS locaux à Internet, et des requêtes d'hôtes internes aux serveurs DNS locaux
    1. Créer une règle autorisant le trafic DNS des hôtes internes aux serveurs DNS locaux
       1. Si les serveurs et les hôtes internes se trouvent dans la même zone, une règle peut ne pas être requise
    2. Créer une règle autorisant le trafic DNS des serveurs DNS locaux vers Internet
    3. Créer une règle refusant tout autre trafic DNS

        

     

15. Accédez à Policies-> decryption à-> Add, et créez une règle de décryptage qui décrypte le trafic qui correspond à la catégorie d' URL de moteur de recherche sanctionnée par Yahoo personnalisée créée à l'étape 5
    1. Note-nous ne sommes que le décryptage de trafic Yahoo parce que nous allons tirer parti de la méthode DNS pour Bing et Google

         

16. Accédez au périphérique-> pages de réponse-> filtrage d'URL page de blocage de recherche sécurisée-> Exporter la page de réponse prédéfinie
17. Accédez à la section de recherche transparente sécurisée de la documentation technique pour votre version Pan-OS et copiez le script de recherche sécurisé transparent
18. Ouvrez la page de réponse prédéfinie téléchargée dans un éditeur de texte et remplacez le contenu par le script de recherche sécurisé transparent
19. Accédez au périphérique-> pages de réponse-> filtrage d'URL sécurité page de blocage de recherche-> Importer la page de réponse éditée
20. Valider la configuration

 

Annexe

 

Proxy DNS

 

Dans certains environnements (c.-à-d. nuage public), il peut être nécessaire de tirer parti du DNS public. La fonctionnalité de proxy DNS de Palo Alto Networks permet aux administrateurs de créer des entrées statiques pour certaines exigences, comme la méthode CNAME DNS pour une application sécurisée de la recherche.

 

Exemple de configuration

 

1. Naviguez jusqu'à objets-> adresses-> ajouteret créer un objet pour chaque serveur DNS   
2. Naviguez jusqu'à objets-> adresses-> ajouteret créer un objet pour chaque passerelle réseau approuvée   
   1. Par exemple, si votre réseau interne de confiance-L3 est 10.234.234.0/24 et que la passerelle (pare-feu) est 10.234.234.1/32, vous souhaitez créer un objet référençant l'adresse de la passerelle

        

3. Accédez à objets-> groupes d'adresses-> ajouter, créer un objet et ajouter chaque objet d'adresse de serveur DNS  
4. Accédez à Policies-> Security-> Add, et créez une règle de stratégie de sécurité-Set autorisant les requêtes DNS de la passerelle réseau Trust-L3 (pare-feu) vers les serveurs DNS publics précédemment définis
   1. Créer une règle autorisant le trafic DNS depuis la passerelle des hôtes internes (pare-feu) vers les serveurs DNS publics
   2. Créer une règle refusant tout autre trafic DNS

       

5. Assurez-vous que l'ip du serveur DNS pour tous les clients sur le réseau Trust-L3 est l'adresse IP du pare-feu (10.234.234.1 dans L'exemple ci-dessus)
6. Accédez à Network-> proxy DNS-> Ajoutez, et créez un nouveau profil de proxy DNS, activez-le et référencez l'interface de la zone Trust-L3 et des serveurs DNS publics

    

7. Dans le profil, accédez aux entrées statiqueset ajoutez des entrées statiques pour les moteurs de recherche sanctionnés
   1. Effectuez un Nslookup pour la recherche sécurisée FQDN en question

8. Valider la configuration

 

YouTube

 

Comme YouTube est la propriété de Google, il offre les mêmes méthodes d'application de sécurité de recherche, avec les mises en garde suivantes:

 

• L'application transparente de la recherche sécurisée n'est pas prise en charge actuellement sur le pare-feu. Cela signifie que si le pare-feu est exploité pour appliquer les recherches, les utilisateurs seront présentés avec une page de réponse et doivent modifier manuellement les paramètres avant d'effectuer une recherche.
• La méthode CNAME DNS est prise en charge. Toutefois, certaines organisations considèrent ce qui est filtré à la suite de cette méthode d'être trop restrictive, même si YouTube offre à la fois YouTube.com et restrictmoderate.youtube.com options.

 

Exemple de configuration

 

Méthode DNS

 

1. Consultez la documentation de votre serveur DNS pour plus d'informations sur la création d'entrées CNAME
2. Consultez la documentation YouTube pour les besoins de CNAME – voir option 1: DNS
3. Accédez à Policies-> Security-> Add, et créez une règle de stratégie de sécurité-ensemble permettant des requêtes DNS des serveurs DNS locaux à Internet, et des requêtes d'hôtes internes aux serveurs DNS locaux
   1. Créer une règle autorisant le trafic DNS des hôtes internes aux serveurs DNS locaux
      1. Si les serveurs et les hôtes internes se trouvent dans la même zone, une règle peut ne pas être requise
   2. Créer une règle autorisant le trafic DNS des serveurs DNS locaux vers Internet
   3. Créer une règle refusant tout autre trafic DNS

        

4. Valider la configuration

 

Firewall, méthode

 

1. Naviguez jusqu'à objets-> Custom Objects-> URL Category-> Add
2. Créer une catégorie d'URL personnalisée pour YouTube

    

3. Cliquez sur OK
4. Accédez à objets-> profils de sécurité-> filtrage d'url->modifier le profil existant en cours d'utilisation dans l'organisation-> paramètres de filtrage d'url-> activer l'application de la recherche sécurisée   

    

5. Cliquez sur OK
6. Accédez à Policies-> Security-> Add, et créez une règle de sécurité qui bloque l' application QUIC   
7. Accédez à stratégies-> décryptage-> ajouter, et créer une règle de décryptage qui décrypte le trafic qui correspond à la catégorie personnalisée URL YouTube créé à l'étape 2

    

8. Accédez au périphérique-> pages de réponse-> filtrage d'URL page de blocage de recherche sécurisée
   1. Soit les pages de réponse prédéfinies ou transparentes peuvent être utilisées, le résultat sera le même (page de réponse nécessitant des modifications manuellement sur la partie utilisateur final)
9. Valider la configuration  

Décryptage SSL

 

Il est fortement recommandé de générer et de tirer parti d'une ICP lors du déploiement de certificats SSL à utiliser pour le décryptage. Toutefois, Palo Alto Networks donne aux administrateurs la possibilité de créer des certificats auto-signés, qui peuvent être utilisés pour les tests initiaux.

 

Exemple de configuration

 

1. Accédez à Device-> Management de certificats-> certificats-> generate, pour créer un certificat
   1. Entrez un nom de certificat
   2. Entrez l'adresse IP de gestion du pare-feu pour le nom commun
   3. Cochez la case autorité de certification

       

2. Cliquez sur générer
3. À partir de la page Device-> Certificate Management-> certificats , cliquez sur le certificat qui vient d'être généré
   1. Cochez la case transférer le certificatd'approbation, transférer le certificat de non -approbation et l'Autorité de certification racine approuvée   
4. Cliquez sur OK
5. Le certificat peut maintenant être exporté via l' option export de la page Device-> Certificate Management-> certificats , et importé dans les périphériques de test