Jamf Safe Internet fügt benutzerdefinierte DNS-Unterstützung hinzu

Ende 2022 habe ich einen Blog geschrieben, in dem ich die Konfiguration von Jamf Safe Internet durch die Anpassung von Konfigurationsprofilen und die Anpassung des XML beschrieben habe. Seitdem hat sich Jamf Safe Internet (JSI) weiterentwickelt, indem es On-Device Content Filter (ODCF) hinzugefügt hat und DNS over HTTPS (DoH) als Standard-Vectoring-Methode verwendet.

Im Rahmen einer kürzlichen Aktualisierung hat Jamf Safe Internet eine neue „Custom DNS”-Funktion erhalten, die das ursprüngliche Problem über die JSI-Konsole lösen wird. Was bedeutet das für die Kund*innen? Der Großteil der schweren Arbeit in Bezug auf XML und Konfigurationsprofile wird meist für Sie erledigt.

Arbeiten mit internen Diensten + Jamf Safe Internet

Mit der zunehmenden Verbreitung von JSI nehmen auch die Anwendungsfälle zu. Ein entscheidender Punkt ist die Möglichkeit, sich mit internen Diensten wie Datei- und Webservern zu verbinden, um nur einige Diensthosttypen zu nennen.

Aufgrund der Art und Weise, wie Jamf Safe Internet konzipiert ist, können Bildungseinrichtungen nicht ohne zusätzliche Konfiguration auf interne Dienste zugreifen. Jamf Safe Internet verwendet jetzt zwei Technologien, um die Sicherheit von Schüler*innen und Lehrer*innen im Internet zu gewährleisten. Der Netzwerkverkehr fließt durch den einen und dann durch den anderen.

Zunächst wird der Verkehr auf dem Gerät selbst nach der Kategorie des Ziels bewertet. Je nach den eingestellten Richtlinien wird JSI diesen Datenverkehr entweder blockieren oder zulassen. Wenn der Datenverkehr erlaubt ist, leitet JSI alle DNS-Anfragen an das DoH-Gateway innerhalb unserer Sicherheits Cloud weiter und bewertet die Domains anhand der in JSI konfigurierten Sicherheitsrichtlinien.

Um besser zu verstehen, warum zusätzliche Konfigurationen für unsere Jamf Safe Internet Bereitstellung erforderlich sind, sind grundlegende Kenntnisse über Netzwerke erforderlich - insbesondere darüber, was DNS ist und wie es funktioniert. Wenn dieses Konzept für Sie neu ist oder Sie es auffrischen möchten, erklärt dieses Informationsvideo von Amazon Web Services die wichtigsten DNS-Konzepte in weniger als fünf Minuten.

Zugriff auf interne Services ohne Jamf Safe Internet

Sehen wir uns zunächst an, wie ein Gerät normalerweise eine Verbindung zu einem internen Dienst herstellt, ohne JSI.

Eine Schule hat zum Beispiel einen Dateiserver vor Ort (mit dem Namen „file”), auf dem die Schüler*innen ihre Daten speichern. Wenn sich ein Gerät mit dem Schulnetz verbindet, erhält es über das Dynamic Host Control Protocol (DHCP) eine IP-Adresse und einen DNS-Server. In der Regel enthält ein DNS-Server vor Ort die Einträge für die interne Domain (die von der IT-Abteilung der Schule konfiguriert und verwaltet wird), die in diesem Beispiel den Namen myschool.local trägt.

Wenn eine Schülerin oder ein Schüler versucht, auf den Dateiserver zuzugreifen, gibt sie oder er den Hostnamen „file.myschool.local” ein. Das Gerät beginnt einen Austausch mit dem DNS-Server. Wenn das Gerät und der DNS-Server Menschen wären, würde das Gespräch etwa so ablaufen:

• Client-Gerät: „Hey DNS Server, der Schüler/die Schülerin möchte zu file.myschool.local gehen, aber ich mag Zahlen, keine Wörter. Können Sie mir bitte die IP-Adresse von file.myschool.local nennen?”
• DNS-Server: „Klar, und wenn ich nicht weiß, was es ist, kann ich einen meiner Freunde im Internet fragen. Mal sehen, myschool.local... diese Domain kenne ich. Die IP-Adresse für file.myschool.local lautet: 10.0.0.20.”

Mit den Informationen, die es braucht, um direkt mit dem Dateiserver zu kommunizieren, verbindet sich das Gerät über seine per DNS aufgelöste IP-Adresse mit ihm und zeigt dem Schüler/der Schülerin den gewünschten gemeinsamen Ordner an.

Zugriff auf internen Service mit Jamf Safe Internet

Nehmen wir das obige Beispiel, fügen aber noch Jamf Safe Internet hinzu. Alles beginnt wie zuvor. Wenn sich das Gerät mit dem Schulnetz verbindet, stellt DHCP die erforderlichen Netzwerkinformationen bereit.

Wir haben jedoch Jamf Safe Internet über ein Konfigurationsprofil installiert, das über MDM bereitgestellt wird. In der Nutzlast ist eine DNS-Einstellung enthalten, sodass es sich um eine verwaltete Präferenz handelt.

Hinweis: Einstellungen, die über MDM auf Apple Geräten verwaltet werden, haben immer Vorrang vor allen Einstellungen der gleichen Art, die auf dem Gerät erscheinen (dies liegt an der Art und Weise, wie Apple Geräte nach Ressourcen suchen, beginnend mit:

• Verwaltet
• Benutzer*in
• Lokal
• System

Das bedeutet, dass das Gerät, obwohl es eine DNS-Serveradresse per DHCP erhalten hat, standardmäßig die vom MDM bereitgestellte Adresse verwendet. In diesem Fall wird das DoH-Gateway von Jamf Security Cloud verwendet.

Wenn der Schüler/die Schülerin den Dateiserver durch Eingabe von „file.myschool.local” kontaktiert, beginnt das Gerät einen Austausch mit dem DNS-Server. In diesem Fall ist der DNS-Server das DoH-Gateway, das in der verwalteten Einstellung außerhalb des internen Netzwerks der Institution bereitgestellt wird. Wären das Gerät und der DNS-Server Menschen, würde ihr Gespräch etwa so ablaufen:

• Client-Gerät: „Hey DNS Server, der Schüler/die Schülerin möchte zu file.myschool.local gehen, aber ich mag Zahlen, keine Wörter. Können Sie mir bitte die IP-Adresse von file.myschool.local nennen?”
• DoH-Gateway: „Ich erkenne die Domain myschool.local nicht. In der Tat weiß niemand im Internet etwas über myschool.local. Ich kenne die IP-Adresse des Dienstes, den Sie suchen, nicht”
• Client-Gerät: „Oh okay, Entschuldigung. Ich muss dem Benutzer/der Benutzerin mitteilen, dass ich den von ihm angeforderten Dienst nicht finden oder keine Verbindung zu ihm herstellen kann.”

Der Schüler/die Schülerin erhält dann die Fehlermeldung „Verbindung zum Server nicht möglich”.

Benutzerdefiniertes DNS macht Jamf Safe Internet aufIhre internen Diensteaufmerksam

In einem früheren Blog habe ich an dieser Stelle darüber gesprochen, wie man Umgehungen für interne Dienste durch Herunterladen und Manipulieren von XML- und Konfigurationsprofilen erstellt. Dies wird nun jedoch durch die neue Funktion Custom DNS in den Schatten gestellt, die den Zugriff auf interne Dienste für JSI-Administrator*innen zu einem Kinderspiel macht.

Kurz gesagt, durch die Verwendung der benutzerdefinierten DNS-Einstellungen in der JSI-Konsole machen wir das DoH-Gateway auf Ihre internen Dienste aufmerksam. Benutzerdefinierte DNS-Einstellungen ermöglichen die Eingabe des Hostnamens (file.myschool.local) und seiner IP-Adresse. Dies führt dazu, dass der DoH-Gateway die IP-Adresse des lokalen Dienstes zurückgibt, sodass das Gerät eine erfolgreiche Verbindung herstellen kann, anstatt eine Fehlermeldung anzuzeigen, weil der Dienst nicht gefunden werden kann.

Hinweis: Diejenigen, die die Umgehungsmethode für interne Dienste unter Verwendung eines geänderten XML- und Konfigurationsprofils bevorzugen, sollten bedenken, dass auf diese Weise der Netzwerkverkehr nicht vor webbasierten Bedrohungen wie Phishing für die umgangene Domain geschützt wird. Auch wenn Sie vielleicht erkennen und darauf vertrauen, dass es sich bei internen Diensten nicht um Spam oder Phishing handelt, ist es dennoch wichtig, darauf hinzuweisen.

So konfigurieren Sie eine benutzerdefinierte DNS-Einstellung

Um eine benutzerdefinierte DNS-Zuordnung in Jamf Safe Internet zu konfigurieren, navigieren Sie zu Integrationen → Benutzerdefiniertes DNS → Klicken Sie auf „AddHostname”.

Von hier aus können Sie den Hostnamen und die zugehörige IP-Adresse hinzufügen. Aktivieren Sie außerdem das Kontrollkästchen mit sicherem DNS verbinden , bevor Sie auf Speichern klicken.

Denken Sie daran, dass Sie, anders als bei einer Inhaltsrichtlinie, bei der Sie eine ganze Domain zulassen können, z. B. myschool.com, einen einzelnen Host seiner IP-Adresse zuordnen. Wenn Sie sich also auf mehrere Dienste verlassen, müssen Sie für jeden einen Eintrag im Fenster Custom DNS hinzufügen. In dem folgenden Beispiel habe ich eine Dateifreigabe, einen Webserver und einen Medienserver.

Wenn Sie eine große Anzahl von benutzerdefinierten Hostnamen-Zuordnungen haben, können Sie diese über die Schaltfläche Importieren im Fenster Integrationen → Benutzerdefinierte DNS aus einer CSV-Datei importieren.

Vergessen Sie nicht, Ihre Inhaltsrichtlinien zu überprüfen

Wie bereits erwähnt, verwendet Jamf Safe Internet zwei Technologien, wobei die Anfragen erst durch die eine (und wenn erlaubt) und dann durch die andere geleitet werden. Der Teil, den wir im vorherigen Abschnitt konfiguriert haben, ist Teil der DoH-Technologie oder der zweite Schritt in der Kette.

Je nach Einstellung Ihrer Content-Filter-Richtlinie kann es sein, dass Sie den Zugriff auf interne Dienste aufgrund ihrer Kategorie blockieren, bevor den DoH-Gateway überhaupt erreichen oder den benutzerdefinierten DNS-Eintrag abrufen kann. Der Datenverkehr durchläuft zunächst die ODCF-Technologie, die für die Sperrung von Inhalten auf der Grundlage ihrer Kategorie zuständig ist.

Bildungseinrichtungen blockieren beispielsweise häufig Inhalte, die von der Politik als „nicht kategorisiert” eingestuft werden. Da Ihr interner Dienst, nun ja, intern ist, wird er nicht wie der Rest des Internets (extern) kategorisiert. Daher werden Ihre internen Dienste als nicht kategorisiert angesehen und auf dem Gerät blockiert. Dies kann jederzeit mit dem in JSI integrierten Domain Checker überprüft werden.

Um zu verhindern, dass interne Dienste fälschlicherweise kategorisiert und standardmäßig blockiert werden, konfigurieren Sie benutzerdefinierte Regeln in der Inhaltsrichtlinie, um Datenverkehr, der an interne Dienste geht, immer zuzulassen, sodass der Netzwerkverkehr durch ODCF und auf DoH fließt.

Navigieren Sie dazu zu Richtlinien → Webschutzrichtlinie → Benutzerdefinierte Regeln. Geben Sie dort entweder den Hostnamen file.myschool.local ein, oder, wenn Sie alle Dienste innerhalb Ihrer Domain zulassen möchten, den Root-Domänennamen myschool.local. Klicken Sie auf Speichern und Anwenden bevor Sie die Seite verlassen.

Hinweis: Je nach Ihren Bedürfnissen und Sicherheitsanforderungen können Sie feststellen, dass die Verwendung der Domain das Problem löst, wenn mehrere Dienste betroffen sind. Umgekehrt kann es sich empfehlen, den Host selbst zu konfigurieren, wenn nur ein Dienst verwendet wird.

Mit der benutzerdefinierten DNS-Funktion, die zu Jamf Safe Internet hinzugefügt wurde, ermöglicht die Implementierung benutzerdefinierter Regeln den Zugang zu internen Diensten, ohne dass der Verwaltungsaufwand durch unübersichtliche Workarounds erhöht wird.

...Aber Sie müssen möglicherweise immer noch auf XML zurückgreifen, um auf interne Dienste zuzugreifen

In vielen Fällen reicht es aus, die integrierte Funktion Custom DNS zu verwenden, um auf interne Dienste zuzugreifen. Versucht man jedoch, diesen Arbeitsablauf für einen „Kerndienst” zu verwenden, kann es trotzdem zu Problemen kommen. Die wichtigste, die wir getestet und gefunden haben, benötigt immer noch einen Bypass, der direkt zum Konfigurationsprofil hinzugefügt wird, wenn Sie macOS Geräte mit Active Directory verbinden.

Ein Bypass unterscheidet sich von benutzerdefiniertem DNS dadurch, dass das Gerät, wenn es den Host ad.myschool.local kontaktieren muss, in der Lage ist, die von MDM erzwungene verwaltete DNS-Einstellung zu umgehen und direkt zu dem DNS-Server zu gehen, der ihm per DHCP zugewiesen wurde. Dieser direkte Ansatz scheint für einige Kerndienstleistungen zuverlässiger zu sein.

Erstellung von einem internen Dienst bypass

Das Hinzufügen zusätzlicher Schlüsselpaarwerte in das Aktivierungsprofil ermöglicht den Zugriff auf die internen Dienste, während das Gerät selbst mit Jamf Safe Internet geschützt bleibt. Die hinzugefügte Information sagt dem Gerät im Wesentlichen, dass es, wenn es versucht, die IP-Adresse einer bestimmten Domain (die wir auflisten werden) zu erhalten, statt des DNS-Servers, der in der verwalteten Einstellung aufgeführt ist, den DNS-Server-Eintrag verwenden soll, der Datensätze über Ihre lokale Domain enthält (normalerweise durch DHCP zugewiesen).

Um eine Umgehung zu erstellen, müssen wir zunächst ein Aktivierungsprofil von Jamf Safe Internet erhalten. Navigieren Sie zu Geräte → Aktivierungsprofile → klicken Sie auf ein Aktivierungsprofil (dies kann das Standardprofil oder ein Profil Ihrer Wahl sein, je nach Ihrer Umgebung).

Wählen Sie als Nächstes unter „Wählen Sie Ihre UEM-Lösung” entweder Jamf Pro oder Jamf School (je nach Ihrer Bereitstellung). Unter „Wählen Sie Ihr Betriebssystem”, wählen Sie entweder iOS und iPadOS beaufsichtigt (16 oder später) oder macOS, je nach Ihrem Einsatz. Wenn Sie eine lokale Umgehung sowohl auf macOS als auch auf dem iPad benötigen, müssen Sie die Schritte wiederholen, einmal für jedes Betriebssystem

Hinweis: Wenn Ihre iOS und iPadOS Geräte ein Betriebssystem vor 16 verwenden und Sie eine lokale Umgehung erstellen müssen, lesen Sie bitte den ursprünglichen Beitrag für Unterstützung.

Nachdem Sie Ihr Betriebssystem ausgewählt haben, klicken Sie auf die Schaltfläche Konfigurationsprofil herunterladen, um das Aktivierungsprofil auf Ihren Computer herunterzuladen.

Suchen Sie nach dem Herunterladen das Profil, öffnen Sie es mit einem XML-Editor Ihrer Wahl und blättern Sie durch den Code, bis Sie den unten stehenden Abschnitt finden:

Hier sehen Sie, wo Verbindungen ausgewertet werden, sowie eine Liste von Domains, die so konfiguriert sind, dass sie niemals eine Verbindung zum DoH-Gateway herstellen. Mit anderen Worten: Wenn Sie versuchen, eine der aufgelisteten Domains zu erreichen, umgehen die Verbindungen zu diesen Domains das DoH-Gateway. Als Teil der Standard-DoH-Konfiguration sehen wir bereits eine Liste von Domains für Jamf und Apple, unter anderem.

Wie Sie aus dem Bild oben ersehen können, erstellen Sie eine neue Zeile mit Ihrer lokalen Domain in eckigen Klammern, und speichern Sie das Profil auf Ihrem Computer. Schließlich laden Sie es mit der Option Benutzerdefiniertes Profil hochladen in Jamf School/Jamf Pro hoch.

Erweitern Sie dann dieses Profil auf das Gerät anstatt des Standardprofils, das als Teil des Programms erstellt wird:

• 'singleclick' Verbindung in Jamf School
• Standard-Aktivierungsprofil, das Sie herunterladen und in Jamf Pro installieren

Und schließlich stellen Sie Jamf Trust zusammen mit Ihrem benutzerdefinierten Profil für iOS und iPadOS Geräte bereit.

Geräte mit einer Aktivierungsprofilkonfiguration wie der obigen sind dann über Jamf Safe Internet geschützt, können aber auch auf alle Ressourcen im internen Netzwerk zugreifen, z. B. auf Datei- oder Webserver, die nicht von außen zugänglich sind.

Wenn Sie Geräte haben, die bereits in Jamf Safe Internet aktiviert sind, und dann ein neues Aktivierungsprofil mit den lokalen Umgehungen erstellen müssen, lesen Sie bitte die bekannten Probleme im Abschnitt zur Geräteanmeldung in der Jamf Safe Internet -Dokumentation.

Einpacken

Mit einer benutzerfreundlichen Oberfläche, die über die cloudbasierte Konsole zugänglich ist, ist Custom DNS eine wichtige neue Funktion von Jamf Safe Internet. Eine, die es Administrator*innen ermöglicht, den Zugriff auf lokale Dienste mit nur wenigen Klicks anzupassen, und die gleichzeitig die Flexibilität bietet, lokale Umgehungen zu erstellen, die Ihren individuellen Anforderungen entsprechen.