K-12 の安全な検索の施行
Resolution
目次
概要
子供のインターネット保護法 () は、連邦法は、米国議会が12月2000には、学校や図書館でのインターネットやその他の情報へのアクセスに関する懸念に対処するために制定されています。学校と図書館が適合するために満たす必要がある要件の完全なリストは、www.fcc.gov で定義されています。特定のインターネットを持っていることを証明しない限り、コンテンツフィルタリングに固有の、学校や図書館は、"E-レート" プログラム (学校や図書館に手頃な価格のインターネットへのアクセスを行う割引) によって提供される割引を受けることができない安全対策を実施します。これには、(a) わいせつ、(b) 児童ポルノグラフィー、(c) インターネットアクセスを持つコンピュータが未成年者によって使用されている場合、未成年に有害である画像をブロックまたはフィルタするための措置が含まれます。
大部分の検索エンジンは SSL を介して暗号化されたコンテンツを提供できるため、ネットワーク/セキュリティ管理者による適合性の遵守を実施するための課題となります。幸いなことに、パロアルトネットワークは、検索エンジンの安全性を強制するために複数の勧告を提供します。このドキュメントでは、各推奨事項について詳細に説明し、それぞれに注意点を示し、この機能を有効にするための推奨プロセスを強調します。
1–検索エンジンへのアクセスを制御する
前提条件
この資料では、パロアルトネットワークファイアウォールに有効な汎 DB url フィルタリングライセンスがあり、url フィルタプロファイルが現在のセキュリティポリシールールセットに既に適用されていることを前提としています。
認可検索エンジンの定義
検索エンジンの安全性を確保するための第一歩として、定義済みの検索エンジンカテゴリに一致するすべての url を回避する必要があります。これは、すべての検索エンジンが十分に制御することができるという事実によるものです。認可された検索エンジンのリストは、組織が定義し、カスタム URL カテゴリを使用して制御することをお勧めします。これにより、エンドユーザーのコンテンツを回避する方法で検索する機能が制限され、管理者にとってより管理しやすいソリューションとなります。この文書の執筆時点では、以下の検索エンジンは、強化された安全な検索機能のためのパロアルトネットワークによってサポートされています。
- ビング
- ヤフー
上記の各検索エンジンの詳細については、関連する PAN-OS バージョンの技術文書を参照してください。
定義済みの検索エンジンカテゴリをブロックする
- オブジェクトに移動->セキュリティプロファイル-> URL フィルタリング
- 既存のプロファイルを作成または編集し、検索エンジンカテゴリを [ブロック ] に設定します。
- [ OK ]
カスタム URL カテゴリを作成する
- オブジェクトに移動- >カスタムオブジェクト-> URL カテゴリ->追加
- 認可検索エンジンごとにカスタム URL カテゴリを作成する
- 管理者は、組織の要件に基づいて複数の国の google.es を入力できますが、この例では.comのみを指定します
- 管理者は、組織の要件に基づいて複数の国の google.es を入力できますが、この例では.comのみを指定します
- [ OK ]
- カスタム url とワイルドカードエントリの詳細については、現在の OS バージョンの技術ドキュメントを参照してください。
url フィルタプロファイルにカスタム url カテゴリを追加する
- オブジェクトに移動->セキュリティプロファイル-> URL フィルタリング
- 前の手順で定義済みの検索エンジンカテゴリが [ ブロック ] に設定されている既存のプロファイルを編集します。
- カスタム認可検索エンジンの URL カテゴリをアラート に設定する
- [ OK ]
- 構成をコミットする
2-強制検索エンジンの安全性
前提条件
この資料では、パロアルトネットワークファイアウォールに有効な汎 DB URL フィルタリングライセンスがあること、および1からのカスタム url 構成を含む url フィルタプロファイル (安全な検索アクセスの制御) がセキュリティポリシールールセットに適用されていることを前提としています。この資料では、PKI が既に導入されており、適切な SSL 証明書がファイアウォールエンドユーザーのコンピュータに展開されていることも前提としています。エンドユーザーのコンピュータに証明書を展開できない場合は、以下のオプション #2を参照してください。
オプション #1-ファイアウォールを介して安全な検索の施行
ファイアウォール経由で最も厳密な検索設定を適用するには、すべてのセッションが復号化され、アラート、レポート、ユーザーアクティビティ、コンテンツ、脅威、ファイルの種類などへの追加の可視性を提供することが必要です。しかし、復号化するための要件では、管理者が認識する必要があります認可された検索エンジンを制御する周りの特定の警告が来る。例えば:
- Google のクイック検索機能は、特定のケースでは機能しません
- google の[Ok] を google の機能は、特定のケースでは機能しません
- Google の Chrome ブラウザは、トラフィックを復号化するために無効にする必要がありますQuicと呼ばれる独自の暗号化プロトコルを使用しています
- Bing は SSL 規格に準拠していません。したがって、勧告は、SSL を介して Bing アプリケーションをブロックすることです
- これらのいずれかが組織内の問題である場合は、オプション #2 またはオプションを参照してください #3
安全な検索の強制を有効にする
- [ポリシー] → [セキュリティ] → [追加] に移動し、 Quic アプリケーションをブロックするセキュリティルールを作成して、Google Chrome が標準 SSL に戻され、その後復号化が許可されるようにします
- オブジェクトに移動->セキュリティプロファイル-> url フィルタリング-> url フィルタリングプロファイルの編集-> url フィルタリング設定->安全な検索の強制を有効に する
- [ OK ]
- [ポリシー] → [復号化]-> [追加] に移動し、 カスタム認可検索エンジンに一致するトラフィックを解読する解読ルールを作成する1で作成された URL カテゴリ-検索エンジンアクセスの制御
- デバイスに移動->応答ページ-> URL フィルタリングセーフ検索ブロックページ
- 定義済み (既定) の応答ページが変更されず、構成がコミットされている場合、検索エンジンの設定で最も厳密な設定を使用せずに検索を実行しようとすると、ユーザーにブロックページが表示されます。
- パロアルトネットワークはまた、応答ページに追加することができるスクリプトを介して検索の透過的な施行をサポートしています, したがって、任意のエンドユーザーの対話なしで施行を可能にする
- デバイスに移動- >応答ページ-> URL フィルタリングセーフ検索ブロックページ-> 定義済みの応答ページ をエクスポート する
- PAN-OS のバージョンの技術文書の透明な安全な検索セクションに移動し、 透明セーフ検索スクリプト をコピー します。
- ダウンロードした定義済みの応答ページをテキストエディタで開き、コンテンツを透明なセーフサーチスクリプトに置き換えます。
- デバイスに移動- >応答ページ-> URL フィルタリングセーフ検索ブロックページ-> 編集した応答ページをインポート する
- 通常、透過的な強制は、エンドユーザーの一部に対してアクションを必要としないため、推奨されるオプションです
- 詳細については、現在のソフトウェアバージョンの PAN-OS テクニカルドキュメントを参照してください。
- 構成をコミットする
オプション #2-DNS を介して安全な検索の施行
dns 経由で最も厳格な検索設定を適用すると、ローカル dns サーバー上の CNAME エントリを、ファイアウォール上でセキュリティポリシールールセットと組み合わせて使用して、dns トラフィックを厳密に制御できます。これは、SSL 復号化が不要であり、エンドユーザーのコンピュータに証明書をインストールできない組織にとって有利な場合もあることを意味します。ただし、このオプションには特定の注意事項があります。例えば:
- yahoo は、このようにオプション #1 は、認可された検索エンジンとしてヤフーを必要とする組織に必要な CNAME オプションを提供していません
- トラフィックを復号化しないことは、管理者が警告、レポート、ユーザーアクティビティ、コンテンツ、脅威、ファイルの種類などへの追加の可視性の利点を持っていないことを意味します。検索エンジンのトラフィックについて
ローカル DNS サーバーの構成
- CNAME エントリの作成方法の詳細については、DNS サーバーのマニュアルを参照してください。
- ここでは、Windows の例です
- バインドの例を次に示します。
- CNAME 要件については、各検索エンジンプロバイダーのドキュメントを参照してください。
DNS セキュリティポリシールール-セット
- [ポリシー] → [セキュリティ] → [ 追加]、[セキュリティポリシールールの作成] に移動し、ローカル dns サーバーからインターネットに dns クエリを許可するように設定し、 内部ホストからローカル dns サーバーにクエリを行う
- 内部ホストからローカル dns サーバーへの dns トラフィックを許可するルールを作成する
- サーバーと内部ホストが同じゾーンにある場合は、ルールが必要ないことがあります。
- ローカル dns サーバーからインターネットへの dns トラフィックを許可するルールを作成する
- 他のすべての DNS トラフィックを拒否するルールを作成する
- 内部ホストからローカル dns サーバーへの dns トラフィックを許可するルールを作成する
- 構成をコミットする
3–ファイアウォールと DNS を介して施行–現実世界の例
前のセクションのオプション #1 とオプション #2 の両方に関する注意事項があるので、組織のニーズに基づいて両方の方法を組み合わせて、最良の実施を提供しながら、エンドユーザーに最も柔軟性を提供する必要がある場合もあります。次の例は、実世界の顧客シナリオから取得したものです。以下は、要件の一覧と、これらの要件を満たすために必要な後続の構成を表しています。ここでも、PKI が既に導入されており、適切な SSL 証明書がファイアウォールおよびエンドユーザーのコンピュータに展開されていることを前提としています。
要件
- 認可されたサーチエンジンのリストは私達にだけべきである ccTLDs、次を含みなさい:
- ビング
- ヤフー
- 最初の場所で明示的な検索が禁止されていることを前提として、キーワードの報告/警告は必須ではありません。
- 脅威の検索エンジンのコンテンツの検査は、主な目標は、適合性に準拠することであると仮定して、要件ではありません
- すべての Google の機能 (すなわち、クイック検索、[Ok] を Google は、) 問題もなく動作する必要があります
構成手順
- オブジェクトに移動->セキュリティプロファイル-> URL フィルタリング
- 既存のプロファイルを作成または編集し、検索エンジンカテゴリを [ブロック ] に設定します。
- [ OK ]
- オブジェクトに移動- >カスタムオブジェクト-> URL カテゴリ->追加
- 認可検索エンジンごとにカスタム URL カテゴリを作成する
- [ OK ]
- オブジェクトに移動->セキュリティプロファイル-> URL フィルタリング
- 定義済みの検索エンジンカテゴリが手順2でブロックするように設定されている既存のプロファイルを編集します。
- カスタム認可検索エンジンの URL カテゴリをアラート に設定する
- プロファイル内で、[URL フィルタリングの設定] に移動し、[セーフサーチの強制 を有効 にする]
- [ OK ]
- DNS サーバーのドキュメントに基づいて、Bing と Google の CNAME エントリを作成します。
- [ポリシー] → [セキュリティ] → [追加] に移動し、 Quicアプリケーション をブロックするセキュリティルールを作成します 。
- [ポリシー] → [セキュリティ] → [ 追加]、[セキュリティポリシールールの作成] に移動し、ローカル dns サーバーからインターネットに dns クエリを許可するように設定し、 内部ホストからローカル dns サーバーにクエリを行う
- 内部ホストからローカル dns サーバーへの dns トラフィックを許可するルールを作成する
- サーバーと内部ホストが同じゾーンにある場合は、ルールが必要ないことがあります。
- ローカル dns サーバーからインターネットへの dns トラフィックを許可するルールを作成する
- 他のすべての DNS トラフィックを拒否するルールを作成する
- 内部ホストからローカル dns サーバーへの dns トラフィックを許可するルールを作成する
- [ポリシー] → [復号化à-> 追加] に移動し、 手順 5 で作成した Yahoo カスタム認可検索エンジンの URL カテゴリに一致するトラフィックを解読する解読ルールを作成 します。
- 我々は Bing と Google の DNS メソッドを活用されるので、注-私たちは、Yahoo のトラフィックを復号化されます
- 我々は Bing と Google の DNS メソッドを活用されるので、注-私たちは、Yahoo のトラフィックを復号化されます
- デバイスに移動- >応答ページ-> URL フィルタリングセーフ検索ブロックページ-> 定義済みの応答ページ をエクスポート する
- PAN-OS のバージョンの技術文書の透明な安全な検索セクションに移動し、 透明セーフ検索スクリプト をコピー します。
- ダウンロードした定義済みの応答ページをテキストエディタで開き、コンテンツを透明なセーフサーチスクリプトに置き換えます。
- デバイスに移動- >応答ページ-> URL フィルタリングセーフ検索ブロックページ-> 編集した応答ページをインポート する
- 構成をコミットする
付録
DNS プロキシ
一部の環境 (パブリッククラウドなど) では、パブリック DNS を活用する必要がある場合があります。パロアルトネットワークの dns プロキシ機能は、管理者が安全な検索の施行のための dns の CNAME メソッドのように、特定の要件のための静的エントリを作成することができます。
サンプル設定
- [オブジェクト] → [アドレス] → [追加] に移動し、 各 DNS サーバー のオブジェクトを作成 します。
- [オブジェクト] → [アドレス] → [追加] に移動し、 信頼できるネットワークゲートウェイごとにオブジェクトを作成 します。
- たとえば、内部の信頼 L3 ネットワークが 10.234.234.0/24 で、ゲートウェイ (ファイアウォール) が 10.234.234.1/32 の場合、ゲートウェイアドレスを参照するオブジェクトを作成する必要があります。
- たとえば、内部の信頼 L3 ネットワークが 10.234.234.0/24 で、ゲートウェイ (ファイアウォール) が 10.234.234.1/32 の場合、ゲートウェイアドレスを参照するオブジェクトを作成する必要があります。
- オブジェクトに移動->アドレスグループ->追加、オブジェクトを作成し、各 DNS サーバーのアドレスオブジェクトを追加 します。
- [ポリシー] → [セキュリティ] → [追加] を選択し、[ セキュリティポリシールールの作成]-[信頼-L3 ネットワークゲートウェイ (ファイアウォール)] から、以前に定義したパブリック dns サーバーに dns クエリを許可 するように設定します
- 内部ホスト (ファイアウォール) のゲートウェイからパブリック dns サーバーへの dns トラフィックを許可するルールを作成する
- 他のすべての DNS トラフィックを拒否するルールを作成する
- 信頼 L3 ネットワーク上のすべてのクライアントの DNS サーバー ip がファイアウォールの ip アドレスであることを確認します (上記の例では 10.234.234.1)。
- [ネットワーク]-> [ dns プロキシ]-> [追加] に移動し、 新しい dns プロキシプロファイルを作成して有効にし、信頼 L3 ゾーンとパブリック dns サーバー のインターフェイスを参照 します。
- プロファイル内で、静的なエントリに移動し、認可された 検索エンジンの静的エントリを追加します。
- 問題の安全な検索 fqdn に対して NSLOOKUP を実行する
- 構成をコミットする
YouTube
YouTube が Google によって所有されるので、それは次の警告との安全な調査の施行の同じ方法を、提供する:
- 透過的なセーフサーチの強制は、ファイアウォールでは現在サポートされていません。これは、ファイアウォールが検索を強制するために活用されている場合、ユーザーは、応答ページが表示され、検索を実行する前に、手動で設定を変更する必要があることを意味します。
- DNS CNAME メソッドがサポートされています。ただし、一部の組織では、youtube.com と restrictmoderate.youtube.com の両方のオプションを提供しているにもかかわらず、この方法の結果としてフィルタ処理が制限されることを検討してい ます。
サンプル設定
DNS メソッド
- CNAME エントリの作成方法の詳細については、DNS サーバーのマニュアルを参照してください。
- CNAME 要件については、YouTube のドキュメントを参照してください-オプション 1: DNS
- [ポリシー] → [セキュリティ] → [ 追加]、[セキュリティポリシールールの作成] に移動し、ローカル dns サーバーからインターネットに dns クエリを許可するように設定し、 内部ホストからローカル dns サーバーにクエリを行う
- 内部ホストからローカル dns サーバーへの dns トラフィックを許可するルールを作成する
- サーバーと内部ホストが同じゾーンにある場合は、ルールが必要ないことがあります。
- ローカル dns サーバーからインターネットへの dns トラフィックを許可するルールを作成する
- 他のすべての DNS トラフィックを拒否するルールを作成する
- 内部ホストからローカル dns サーバーへの dns トラフィックを許可するルールを作成する
- 構成をコミットする
ファイアウォールの方法
- オブジェクトに移動- >カスタムオブジェクト-> URL カテゴリ->追加
- YouTube 用のカスタム URL カテゴリを作成する
- [ OK ]
- オブジェクトに移動->セキュリティプロファイル-> url フィルタリング->組織で使用されている既存のプロファイルの編集-> url フィルタリングの設定->安全な検索の 強制を有効に する
- [ OK ]
- [ポリシー] → [セキュリティ] → [追加] に移動し、 Quicアプリケーション をブロックするセキュリティルールを作成します 。
- [ポリシー] → [復号化] → [追加] に移動し、手順 2 で作成したカスタム YouTube URL カテゴリに一致するトラフィックを解読する解読ルールを作成します 。
- デバイスに移動->応答ページ-> URL フィルタリングセーフ検索ブロックページ
- 定義済みまたは透過的な応答ページを使用すると、結果は同じになります (エンドユーザーの部分で手動で変更が必要な応答ページ)。
- 構成をコミットする
SSL の解読
復号化に使用する SSL 証明書を展開する場合は、PKI を構築して活用することを強くお勧めします。ただし、パロアルトネットワークでは、管理者は自己署名入りの証明書を作成できるため、初期テストに使用できます。
サンプル設定
- デバイスに移動->証明書の管理-> 証明書->生成、証明書を作成する
- 証明書名 を入力してください
- 共通名 のファイアウォールの管理 IP アドレスを入力します。
- [証明機関] チェックボックスをオンにする
- [生成 ]
- [デバイス->証明書の管理->証明書] ページで、生成された証明書をクリックし ます。
- [転送信頼証明書]、[転送 Untrust 証明書]、および [信頼されたルート CA ] チェックボックスを確認する
- [ OK ]
- [ デバイス-> 証明書管理-> 証明書] ページからエクスポートオプションを使用して証明書をエクスポートし、 テストデバイスにインポート できるようになりました。