Jamf Safe Internet añade soporte DNS personalizado

A finales de 2022, escribí un blog que exploraba cómo configurar Jamf Safe Internet personalizando los perfiles de configuración y ajustando el XML. Desde entonces, Jamf Safe Internet (JSI) ha evolucionado añadiendo el filtrado de contenidos en el dispositivo (ODCF), así como utilizando DNS sobre HTTPS (DoH) como método de vectorización predeterminado.

Durante una reciente actualización, Jamf Safe Internet ha recibido una nueva función "DNS personalizado" que solucionará el problema original a través de la consola JSI. ¿Qué significa esto para los clientes? Que la mayor parte del trabajo pesado relacionado con XML y los perfiles de configuración esté resuelto en su mayor parte para usted.

Colaboración con los servicios internos + Jamf Safe Internet (JSI)

A medida que aumenta la adopción de JSI, también lo hacen los casos de uso. Uno crucial es la capacidad de conectarse a servicios internos, como los servidores de archivos y servidores web, por mencionar solo algunos tipos de host de servicio.

Debido a la forma en que está diseñado Jamf Safe Internet, las instituciones de enseñanza no pueden acceder a los servicios internos sin alguna configuración adicional. Jamf Safe Internet utiliza ahora dos tecnologías para ayudar a mantener la seguridad en línea de alumnos y profesores. El tráfico de red fluye a través de uno y luego por el otro.

En primer lugar, se evalúa el tráfico en el propio dispositivo para determinar la categoría del destino. En función de las políticas establecidas, JSI bloqueará o permitirá este tráfico. Si el tráfico está permitido, JSI empuja todas las peticiones DNS al gateway DoH dentro de nuestra Nube de Seguridad, evaluando los dominios contra las políticas de seguridad configuradas en JSI.

Para comprender mejor por qué es necesaria una configuración adicional a nuestra implementación de Jamf Safe Internet, es necesario tener conocimientos básicos de redes, en particular sobre qué es el DNS y cómo funciona. Si este concepto es nuevo para usted o desea refrescarlo, este video informativo de Amazon Web Services explica conceptos de DNS de alto nivel en menos de cinco minutos.

Acceso a los servicios internos sin Jamf Safe Internet

En primer lugar, veamos cómo se conecta normalmente un dispositivo a un servicio interno, sin JSI.

Por ejemplo, un centro educativo dispone de un servidor de archivos en el centro (denominado "archivo") en el que los alumnos almacenan sus datos. Cuando un dispositivo se conecta a la red del centro educativo, el protocolo de control dinámico de host (DHCP) le proporciona una dirección IP y un servidor DNS. Por lo general, un servidor DNS en dicho centro contiene las entradas del dominio interno (configurado y mantenido por el departamento de IT del centro educativo) que en este ejemplo se denomina: myschool.local.

Cuando un alumno intenta acceder al servidor de archivos, teclea su nombre de host, "file.myschool.local". El dispositivo inicia un intercambio con el servidor DNS. Si el dispositivo y el servidor DNS fueran personas, la conversación sería algo como esto:

• Dispositivo cliente: "Hola servidor DNS, el alumno quiere ir a file.myschool.local pero prefiero los números, no las palabras. ¿Puedes decirme la dirección IP de file.myschool.local, por favor?"
• Seridor DNS: "Claro, y si no sé lo que es, puedo preguntar a uno de mis amigos de Internet. Veamos, myschool.local... reconozco ese dominio. La dirección IP de file.myschool.local es 10.0.0.20".

Con la información que necesita para comunicarse directamente con el servidor de archivos, el dispositivo se conecta a él a través de su dirección IP resuelta por DNS, presentando al alumno la carpeta compartida que ha solicitado.

Acceso a los servicios internos con Jamf Safe Internet

Utilizando el ejemplo anterior pero añadiendo Jamf Safe Internet a la mezcla. Todo comienza igual que antes. Cuando el dispositivo se conecta a la red del centro educativo, DHCP proporciona la información de red necesaria.

Sin embargo, tenemos Jamf Safe Internet instalado a través de un perfil de configuración implementado mediante la MDM. En su carga útil se incluye una configuración DNS, lo que la convierte en una preferencia administrada.

Nota: Las preferencias administradas a través de la MDM en los dispositivos Apple siempre prevalecerán sobre cualquier ajuste del mismo tipo que aparezca en el dispositivo (esto se debe a la forma en que los dispositivos Apple buscan los recursos, empezando por:

• administrado
• usuario
• local
• sistema

Esto significa que aunque se le haya asignado al dispositivo una dirección de servidor DNS mediante DHCP, utilizará la proporcionada por la MDM de forma predeterminada. En este caso, utiliza la puerta de enlace DoH de Jamf Security Cloud.

Cuando el alumno se pone en contacto con el servidor de archivos escribiendo " file.myschool.local", el dispositivo inicia un intercambio con el servidor DNS. Solo que esta vez, el servidor DNS es la Gateway de DoH aprovisionado en la preferencia administrada, que se encuentra fuera de la red interna de la institución. Si el dispositivo y el servidor DNS fueran seres humanos, la conversación sería algo como esto:

• Dispositivo cliente: "Hola servidor DNS, el alumno quiere ir a file.myschool.local pero prefiero los números, no las palabras. ¿Puedes decirme la dirección IP de file.myschool.local, por favor?"
• Gateway de DoH: ”No reconozco el dominio myschool.local. De hecho, nadie en Internet sabe nada de myschool.local. No conozco la dirección IP del servicio que estás buscando".
• Dispositivo del cliente: ”Oh, vale, lo siento. Tendré que decirle al usuario que no puedo encontrar o conectarme con el servicio que me ha solicitado".

El estudiante recibe entonces un mensaje de error de "no se puede conectar con el servidor".

El DNS personalizado hace que Jamf Safe Internet conozca sus servicios internos

En un blog anterior, aquí es donde me desvié para hablar de cómo crear derivaciones para servicios internos descargando y manipulando XML y perfiles de configuración. Sin embargo, ahora esto se ve eclipsado por la nueva función de DNS personalizado, que convierte el acceso a los servicios internos en un juego de niños para los administradores de JSI.

En pocas palabras, al utilizar la configuración DNS personalizada en la consola JSI estamos haciendo que la gateway de DoH conozca los servicios internos que usted tiene. La configuración DNS personalizada permite rellenar el nombre de host (file.myschool.local) y su propia dirección IP. Al hacerlo, la gateway de DoH devuelve la dirección IP de los servicios locales, lo que permite que el dispositivo se conecte a ella correctamente en lugar de mostrar un mensaje de error porque no se puede encontrar.

Nota: Para aquellos que prefieran el método de derivación para servicios internos utilizando un XML y un perfil de configuración modificados, tenga en cuenta que hacerlo de esta forma no protege el tráfico de red contra amenazas basadas en la web, como el phishing para el dominio derivado. A pesar de las posibilidades de que usted reconozca y confíe en que los servicios internos no son un sitio de spam o phishing, es importante señalarlo.

Cómo configurar un DNS personalizado

Para configurar una asignación de DNS personalizada en Jamf Safe Internet, navegue hasta Integrations (Integraciones) → Custom DNS (DNS personalizado) → Haga clic en “AddHostname” (Agregar nombre de hots).

Desde aquí puede añadir el nombre de host y su dirección IP asociada. Además, marque la casilla Conectar con DNS seguro antes de hacer clic enGuardar.

Recuerde que, a diferencia de lo que ocurre con una política de contenidos en la que puede permitir todo un dominio, por ejemplo, myschool.com, usted está asignando un único host a su dirección IP. Por lo tanto, si tiene varios servicios en los que confía, tendrá que añadir una entrada en la ventana DNS personalizado para cada uno de ellos. En el ejemplo siguiente, tengo un archivo compartido, un servidor web y un servidor multimedia.

Cabe señalar que si tiene un gran número de asignaciones de nombres de host personalizadas, puede importarlas desde un CSV utilizando el botón Import (Importar) de la ventana Integrations (Integraciones) → Custom DNS (DNS personalizados).

No olvide revisar sus políticas de contenidos

Como hemos comentado antes, Jamf Safe Internet utiliza dos tecnologías, y las solicitudes pasan por una (y si se permite) y luego a la otra. La porción que hemos configurado en la sección anterior forma parte de la tecnología DoH o segundo paso de la cadena.

Dependiendo de la configuración de su política de filtrado de contenidos, podría estar bloqueando el acceso a servicios internos debido a su categoría antes incluso de que puedan llegar a la pasarela DoH o recuperar el registro DNS personalizado. El tráfico pasa primero por la tecnología ODCF, que se encarga de bloquear los contenidos en función de su categoría.

A modo de ejemplo, las instituciones educativas bloquearán a menudo los contenidos marcados como "Sin categoría" por la política. Dado que su servicio interno es, precisamente interno, no está categorizado como el resto de Internet (externo). Por lo tanto, sus servicios internos se verán como no categorizados y se bloquearán en el dispositivo. Esto siempre puede verificarse utilizando la herramienta de comprobación de dominios integrada en JSI.

Para evitar que los servicios internos se clasifiquen incorrectamente y se bloqueen de manera predeterminada, configure reglas personalizadas de la política de contenidos para permitir siempre el tráfico que va a los servicios internos, de forma que el tráfico de red fluya a través de ODCF y hacia DoH.

Esto se logra navegando hacia Policies (Políticas) → Web protection policy (Política de protección web) → Custom rules (Reglas personalizadas). A partir de ahí, introduzca el nombre de host file.myschool.local o, si desea permitir todos los servicios internamente dentro de su dominio, introduzca el nombre de dominio raíz myschool.local. Haga clic en Save and Apply (Guardar y aplicar) antes de abandonar la página.

Nota: En función de sus necesidades y requisitos de seguridad, es posible que el uso del dominio resuelva el problema en lo que respecta a los servicios múltiples. Por el contrario, la mejor práctica podría ser configurar el propio host cuando solo se utilice un servicio.

Con la función de DNS personalizado añadida a Jamf Safe Internet, la implementación de reglas personalizadas permite a los interesados acceder a los servicios internos sin la sobrecarga administrativa que conlleva recurrir a engorrosas soluciones provisionales.

...Pero tal vez tenga que seguir indagando en XML para acceder a los servicios internos

En muchos casos, utilizar la función integrada de DNS personalizado será todo lo que necesite para acceder a los servicios internos. No obstante, si intenta utilizar este flujo de trabajo para un "servicio básico", es probable que siga teniendo problemas. El principal que hemos probado y encontrado sigue necesitando una derivación añadida directamente al perfil de configuración si está vinculando dispositivos macOS a Active Directory.

Una derivación se diferencia del DNS personalizado en que si el dispositivo necesita ponerse en contacto con el host ad.myschool.local, es capaz de sortear la configuración de DNS administrado impuesta por la MDM, yendo directamente al servidor DNS que le fue dado por DHCP. Este enfoque directo parece más confiable para algunos servicios básicos.

Creación de una derivación de servicio interna

Si se adicionan más valores del par de claves en el perfil de activación, se permite el acceso a los servicios internos al tiempo que se mantiene el propio dispositivo protegido con Jamf Safe Internet. La información que se añadirá esencialmente indica al dispositivo que si está intentando obtener la dirección IP de un dominio concreto (que enumeraremos), en lugar de utilizar el servidor DNS que aparece en la preferencia administrada, utilice la entrada del servidor DNS que contiene registros sobre su dominio local (normalmente, asignados por DHCP).

Para crear una derivación, primero debemos obtener un perfil de activación de Jamf Safe Internet. Navegue hasta Devices (Dispositivos) → Activation profiles (Perfiles de activación) → haga clic en un perfil de activación (puede ser el perfil predeterminado o un perfil de su elección en función de su entorno).

A continuación, en “Select your UEM solution (Seleccione su solución UEM)", elija ya sea Jamf Pro o Jamf School (dependiendo de su implementación). Bajo “Select your OS (Seleccione su sistema operativo)”, elija ya sea iOS y iPadOS supervisado (16 o posterior) o bien macOS dependiendo de su implementación. En caso de que necesite una derivación local tanto en macOS como en iPad deberá repetir los pasos, una vez para cada sistema operativo

Nota: Si sus dispositivos iOS y iPadOS utilizan un sistema operativo anterior al 16 y necesita crear una derivación local, consulte la publicación original para obtener ayuda.

Después de seleccionar su sistema operativo, haga clic en el botón Download configuration profile (Descargar perfil de configuración) para descargar el perfil de activación en su computadora.

Una vez descargado, busque el perfil, ábralo con el editor XML de su preferencia y desplácese por el código hasta encontrar la sección que se muestra a continuación:

Aquí verá dónde se evalúan las conexiones junto a una lista de dominios que están configurados para no conectarse nunca a la gateway de DoH. En otras palabras, al intentar llegar a cualquiera de los dominios de la lista, las conexiones a estos dominios sortean la gateway de DoH. Como parte de la configuración estándar del DoH, ya vemos una lista de dominios para Jamf y Apple, entre otros.

Como puede ver en la imagen superior, cree una nueva línea con su dominio local entre corchetes y, a continuación, guarde el perfil en su computadora. Por último, cárguelo en Jamf School/Jamf Pro utilizando la opción Upload Custom Profile (Cargar perfil personalizado).

A continuación, aplique este perfil al dispositivo en lugar del perfil estándar que se crea como parte de:

• la conexión ‘singleclick’ en Jamf School
• el perfil de activación estándar que usted descarga e instala en Jamf Pro

Por último, implemente Jamf Trust junto con su perfil personalizado para los dispositivos iOS y iPadOS.

Los dispositivos con una configuración de perfil de activación como la anterior estarán entonces protegidos a través de Jamf Safe Internet, pero también podrán acceder a cualquier recurso situado en la red interna, como servidores de archivos o web que no sean accesibles desde el exterior.

Si tiene dispositivos ya activados en Jamf Safe Internet y luego necesita emitir un nuevo perfil de activación con las derivaciones locales, revise los Problemas conocidos en la sección Inscripción de dispositivos de la documentación de Jamf Safe Internet .

En resumen

Con una interfaz fácil de usar y accesible desde la consola basada en la nube, el DNS personalizado es una nueva característica fundamental de Jamf Safe Internet. Una que permite a los administradores personalizar el acceso a los servicios locales con solo unos clics, al tiempo que permite la flexibilidad de profundizar para crear desvíos locales que satisfagan sus necesidades únicas.