Jamf Safe Internet prend désormais en charge les DNS personnalisés

Fin 2022, j’ai écrit un article de blog qui expliquait comment configurer Jamf Safe Internet en personnalisant les profils de configuration et en modifiant le XML. Depuis, Jamf Safe Internet (JSI) a évolué avec l’ajout du filtrage de contenu sur l’appareil (ODCF) et l’utilisation du DNS sur HTTPS (DoH) comme méthode d’acheminement par défaut.

Lors d’une récente mise à jour, Jamf Safe Internet a reçu une nouvelle fonctionnalité, le « DNS personnalisé », qui résout le problème d’origine via la console JSI. Qu’est-ce que cela signifie pour les clients ? La majeure partie du travail concernant le XML et les profils de configuration est désormais effectuée à votre place.

Travailler avec les services internes et Jamf Safe Internet

L’adoption croissante de JSI se traduit par une multiplication des cas d’utilisation. L’un de ces usages stratégiques consiste à se connecter à des services internes tels que des serveurs de fichiers ou des serveurs web, pour prendre quelques exemples d’hôtes.

En raison de la conception de Jamf Safe Internet, les établissements d’enseignement ne peuvent pas accéder à ces services internes sans configuration supplémentaire. Jamf Safe Internet utilise désormais deux technologies pour assurer la sécurité des étudiants et des enseignants en ligne. Le trafic réseau parcourt ces deux couches successivement.

Dans un premier temps, le trafic est évalué sur l’appareil lui-même afin de catégoriser sa destination. Selon les règles définies, JSI bloque ou autorise ce trafic. Si le trafic est autorisé, JSI pousse toutes les requêtes DNS vers la passerelle DoH de notre Security Cloud, afin d’évaluer les domaines en fonction des règles de sécurité configurées dans JSI.

Pour mieux comprendre ce qui rend indispensable une configuration supplémentaire de notre déploiement Jamf Safe Internet, il faut avoir quelques connaissances en matière de réseau, et savoir notamment ce qu’est le DNS et comment il fonctionne. Si ce concept est nouveau pour vous ou si vous avez besoin de vous rafraîchir la mémoire, cette vidéo informative d’Amazon Web Services présente les concepts du DNS dans les grandes lignes en moins de cinq minutes.

Accéder à des services internes sans Jamf Safe Internet

Tout d’abord, voyons comment un appareil se connecte normalement à un service interne, sans JSI.

Imaginons qu’une école possède un serveur de fichiers local (appelé « file ») sur lequel les élèves stockent leurs données. Lorsqu’un appareil se connecte au réseau de l’école, le protocole de contrôle dynamique des hôtes (DHCP) lui attribue une adresse IP et un serveur DNS. Généralement, un serveur DNS local contient les entrées du domaine interne (configuré et géré par le service informatique de l’école) ; dans cet exemple, il est nommé : myschool.local.

Lorsqu’un élève tente d’accéder au serveur de fichiers, il saisit son nom d’hôte, « file.myschool.local ». L’appareil initie un échange avec le serveur DNS. Si l’appareil et le serveur DNS étaient des personnes, la conversation ressemblerait à ceci :

• Appareil client : « Bonjour Serveur DNS, l’élève cherche à accéder à file.myschool.local mais je préfère les chiffres aux mots. Peux-tu me donner l’adresse IP de file.myschool.local s’il-te-plaît ? »
• Serveur DNS : « Bien sûr, et si je ne la connais pas, je peux demander à un de mes amis sur Internet. Voyons, myschool.local… Je connais ce domaine. L’adresse IP de file.myschool.local est : 10.0.0.20. »

Une fois muni des informations nécessaires pour communiquer directement avec le serveur de fichiers, l’appareil s’y connecte via son adresse IP (résolue par le DNS) et présente à l’étudiant le dossier partagé qu’il a demandé.

Accéder à des services internes avec Jamf Safe Internet

Reprenons l’exemple ci-dessus, en ajoutant cette fois Jamf Safe Internet à notre environnement. Tout commence de la même façon. Lorsque l’appareil se connecte au réseau de l’école, le DHCP fournit les informations réseau nécessaires.

Mais notre environnement inclut cette fois Jamf Safe Internet, qui a été installé à l’aide d’un profil de configuration déployé via la solution MDM. Sa charge utile comprend un paramètre DNS, qui est de ce fait une préférence gérée.

Remarque : Les préférences gérées via MDM sur les appareils Apple ont toujours la priorité sur les paramètres correspondants de l’appareil. Cela s’explique par l’ordre dans lequel les appareils Apple recherchent des ressources :

• managed (gérées)
• user (utilisateur)
• local
• system (système)

Autrement dit, même si l’appareil a reçu une adresse de serveur DNS du DHCP, il utilisera par défaut celle fournie par la solution MDM. Dans notre cas, il s’agit de la passerelle DoH de Jamf Security Cloud.

Lorsque l’élève contacte le serveur de fichiers en tapant « file.myschool.local », l’appareil initie un échange avec le serveur DNS. Mais cette fois, le serveur DNS est la passerelle DoH prévue dans la préférence gérée, et elle se trouve à l’extérieur du réseau interne de l’institution. Si l’appareil et le serveur DNS étaient des personnes, la conversation ressemblerait à ceci :

• Appareil client : « Bonjour Serveur DNS, l’élève cherche à accéder à file.myschool.local mais je préfère les chiffres aux mots. Peux-tu me donner l’adresse IP de file.myschool.local s’il-te-plaît ? »
• Passerelle DoH : « Je ne connais pas le domaine myschool.local. Et personne sur Internet n’a entendu parler de myschool.local. Je ne connais pas l’adresse IP du service que vous recherchez.
• Appareil client : « Bon, désolé. Je vais dire à l’utilisateur que je ne trouve pas le service qu’il a demandé ou que je n’arrive pas à m’y connecter.

L’étudiant reçoit alors un message d’erreur : « Impossible de se connecter au serveur « .

Avec les DNS personnalisés, Jamf Safe Internet a connaissance de vos services internes.

Dans un précédent article, c’est ici que j’expliquais comment créer des déviations vers les services internes en téléchargeant et en manipulant des profils de configuration et des fichiers XML. Mais la nouvelle fonctionnalité de DNS personnalisé éclipse cette méthode et facilite considérablement l’accès aux services internes pour les administrateurs JSI.

Pour résumer, nous allons utiliser les paramètres de DNS personnalisé dans la console JSI pour informer la passerelle DoH de l’existence des services internes. Les paramètres DNS personnalisés permettent de renseigner le nom d’hôte (file.myschool.local) et son adresse IP. Grâce à cela, la passerelle DoH renvoie l’adresse IP des services locaux et permet à l’appareil de s’y connecter au lieu d’afficher un message d’erreur.

Remarque : Pour ceux qui préfèrent utiliser la méthode de déviation, qui repose sur la modification du fichier XML et du profil de configuration, sachez que cette méthode ne protège pas le trafic réseau contre les menaces basées sur le Web, et notamment les tentatives de phishing exploitant le domaine contourné. Même s’il y a des chances que vous puissiez reconnaître les services internes et leur faire confiance, il reste important de souligner ce point.

Configurer un paramètre DNS personnalisé

Pour configurer une association DNS personnalisée dans Jamf Safe Internet, accédez à Intégrations → DNS personnalisé → Cliquez sur « Ajouterun nom d’hôte ».

Ajoutez ensuite le nom d’hôte et son adresse IP. Cochez également la case Se connecter au DNS sécurisé avant de cliquer sur Enregistrer.

Attention : contrairement à la définition d’une règle de contenu qui permet d’autoriser un domaine entier (myschool.com, par exemple), vous allez associer un hôte précis à son adresse IP. Par conséquent, si vous avez plusieurs services, vous devrez ajouter autant d’entrées dans la fenêtre des DNS personnalisés. Dans l’exemple ci-dessous, j’ai un partage de fichiers, un serveur web et un serveur multimédia.

Sachez également que si vous avez beaucoup de noms d’hôtes personnalisés à définir, vous pouvez les importer à l’aide d’un fichier CSV à l’aide du bouton Importer dans la fenêtre Intégrations → DNS personnalisés.

N’oubliez pas de vérifier vos règles de contenu

Comme nous l’avons évoqué précédemment, Jamf Safe Internet utilise deux technologies, traversées successivement par toutes les requêtes (si elles y sont autorisées). La partie que nous venons de configurer est rattachée à la technologie DoH, qui correspond à la deuxième étape de la chaîne.

Dépendamment de votre règle de filtrage de contenu, vous pouvez bloquer l’accès aux services internes en fonction de leur catégorie avant qu’ils puissent atteindre la passerelle DoH ou obtenir l’enregistrement DNS personnalisé. Le trafic passe d’abord par la technologie ODCF qui se charge de bloquer le contenu en fonction de sa catégorie.

À titre d’exemple, les établissements d’enseignement bloquent souvent les contenus signalés comme « Non classé » par leur règle. Puisque votre service interne est.. interne, il n’est pas catégorisé comme le reste d’Internet (externe). Par conséquent, vos services internes seront considérés comme « non classés » et bloqués sur l’appareil. Vous pouvez le vérifier à l’aide de l’outil de vérification de domaine intégré à JSI.

Pour éviter que les services internes ne soient mal catégorisés et bloqués par défaut, ajoutez des règles personnalisées à la stratégie de contenu pour autoriser le trafic vers les services internes à transiter par l’ODCF et à atteindre la passerelle DoH.

Pour ce faire, accédez à Règles → Règlede protection Web → Règles personnalisées. Ensuite, saisissez le nom d’hôte « file.myschool.local » ou, pour autoriser tous les services internes hébergés sur votre domaine, saisissez le nom de domaine racine « myschool.local ». Cliquez sur Enregistrer et appliquer avant de quitter la page.

Remarque : Selon vos exigences de sécurité, il se peut que cette approche réponde à vos besoins pour autoriser l’accès à plusieurs services. À l’inverse, si vous n’utilisez qu’un seul service, la bonne pratique pourrait consister à configurer l’hôte lui-même.

Avec la fonctionnalité de DNS personnalisé de Jamf Safe Internet, des règles personnalisées permettent d’accéder aux services internes sans avoir à mettre en œuvre des contournements administratifs complexes.

…Mais il vous faudra peut-être explorer un fichier XML pour accéder aux services internes.

Bien souvent, l’utilisation de la fonctionnalité de DNS personnalisé intégrée suffit à autoriser l’accès aux services internes. Mais ce workflow peut poser problème lorsqu’on l’utilise avec un « service essentiel ». D’après nos tests, un scénario impose encore d’ajouter une déviation au profil de configuration : lorsque des appareils macOS sont liés à Active Directory.

En effet, lorsqu’on emploie une déviation, l’appareil qui souhaite contacter l’hôte ad.myschool.local peut contourner le paramètre DNS géré appliqué par la solution MDM, et ainsi accéder directement au serveur DNS qui lui a été attribué par le DHCP. Cette approche directe semble plus fiable pour certains services essentiels.

Créer une déviation vers un service interne

Il suffit d’ajouter quelques paires clé-valeur au Profil d’activation pour accéder aux services internes tout en gardant l’appareil à l’abri derrière Jamf Safe Internet. Les informations ajoutées ont un objectif simple : indiquer à l’appareil qui tente d’obtenir l’adresse IP d’un certain domaine (qui sera listé) qu’il ne doit pas utiliser le serveur DNS figurant dans la préférence gérée, mais plutôt le serveur DNS qui contient des enregistrements à propos de votre domaine local (généralement via DHCP).

Pour créer une déviation, nous devons d’abord obtenir un profil d’activation auprès de Jamf Safe Internet. Accédez à Appareils → Profils d’activation → cliquez sur un Profil d’activation (il peut s’agir du profil par défaut ou d’un autre, selon votre environnement).

Ensuite, sous « Sélectionnez votre solution UEM », choisissez Jamf Pro ou Jamf School (selon votre déploiement). Sous « Sélectionnez votre OS », choisissez iOS et iPadOS supervisés (version 16 ou ultérieure) ou macOS, toujours selon votre déploiement. Si vous avez besoin d’établir une déviation locale sur macOS et sur iPad, vous suivrez à nouveau les mêmes étapes pour le deuxième système d’exploitation.

Remarque : Si vos appareils iOS et iPadOS utilisent une version d’OS antérieure à 16 et que vous devez créer une déviation locale, consultez l’article d’origine pour plus d’informations.

Après avoir sélectionné votre OS, cliquez sur le bouton Télécharger le profil de configuration pour recevoir le profil d’activation sur votre ordinateur.

Une fois que vous l’avez téléchargé, localisez-le, ouvrez-le avec l’éditeur XML de votre choix et retrouvez dans le code la section ci-dessous :

Vous verrez à quel endroit les connexions sont évaluées ainsi qu’une liste de domaines configurés de façon à ne jamais se connecter à la passerelle DoH. Autrement dit, lorsque vous essayez d’atteindre l’un des domaines répertoriés, les connexions à ces domaines contournent la passerelle DoH. Dans le cadre de la configuration DoH standard, nous voyons déjà une liste de domaines pour Jamf et Apple, entre autres.

Comme indiqué sur l’image ci-dessus, ajoutez une ligne pour mentionner votre domaine local, puis enregistrez le profil sur votre ordinateur. Enfin, importez-le dans Jamf School/Jamf Pro à l’aide de l’option Importer un profil personnalisé.

Appliquez ensuite ce profil à l’appareil à la place du profil standard créé dans le cadre de :

• la connexion « en un clic » dans Jamf School
• le profil d’activation standard téléchargé et installé dans Jamf Pro

Enfin, déployez Jamf Trust avec votre profil personnalisé pour les appareils iOS et iPadOS.

Les appareils avec la configuration de profil d’activation ci-dessus seront protégés par Jamf Safe Internet, mais ils pourront également accéder à toutes les ressources du réseau interne, y compris les serveurs de fichiers ou web qui ne sont pas accessibles de l’extérieur.

Si vous avez déjà activé des appareils Jamf Safe Internet et que vous devez donc émettre un nouveau profil d’activation incluant les déviations locales, consultez la section Problèmes connus du chapitre Inscription des appareils dans la documentation de Jamf Safe Internet.

Conclusion

Avec son interface intuitive et accessible depuis la console cloud, les DNS personnalisés représentent une nouvelle fonctionnalité essentielle de Jamf Safe Internet. Elle permet aux administrateurs de personnaliser l’accès aux services locaux en quelques clics, tout en offrant la possibilité de créer des déviations locales pour répondre à vos besoins avec un maximum de flexibilité.