Привет,
Ищу способ принудительно отключить интернет, если пользователь не подключается к globalprotect. Другими словами, заставить пользователей Mac подключаться к GP перед доступом к интернету.
Для контекста, иногда пользователи Mac получают приглашение войти в VPN глобальной защитой, но игнорируют его и продолжают работу. Мы не сможем вести логи Mac, если они не подключены к GP.
Можно ли запустить настройку, которая поможет с этим?
Вам нужно сделать так, чтобы корпоративные ресурсы не позволяли подключение, если оно не исходит из доверенного пула IP-адресов GP. Более или менее, условный доступ. Настоятельно не рекомендуется полностью блокировать устройство из интернета, одна неправильная настройка — и ничего не будет сообщать обратно в контрольную систему. Вместо этого, если у вас есть программное обеспечение безопасности, его можно подключить как условие блокировки и фильтр закрытой сети, чтобы хотя бы можно было получать поддержку, а не полностью отключить.
Вы имеете в виду предотвратить доступ к сайтам? Вы вряд ли сможете обеспечить подключение к VPN, если у устройства нет доступа к интернету.
Еще один путь — рассмотреть аутентификацию на основе сертификатов для GP, что позволит приложению аутентифицировать себя, чтобы у вас не возникла проблема с тем, что люди не входят в систему. Также это улучшит пользовательский опыт. Не советую заниматься этим локально, это хакерство, и в будущем это может навредить пользователям.
Это довольно просто реализовать с помощью брандмауэра Windows. Вы запустите политику, которую пользователь не сможет изменить или настроить. Политика позволит подключаться только к вашему GlobalProtect. Она должна разрешать всей подсети GP подключаться везде. Очевидно, нужно разрешить локовую связь для DHCP и DNS. Также необходимо разрешить сервисам DNS выход в интернет.
Какие логи вы хотите вести?
Если вас действительно заставляют идти по пути полного отключения, PAC-файл с правилами, примененными к сетевым интерфейсам, скорее всего, выполнит задачу и будет чище, чем скрипты.
Боюсь, вам понадобится настроить прокси.
Вы делаете это с помощью Cisco AnyConnect.
Как установить условие для всех Mac в Jamf:
если (VPN GP не подключен)
то: если (IP из доверенного пула GP)
тогда: разрешить соединение
иначе
блокировать интернет
иначе
разрешить подключение к интернету
Как я могу настроить это в Jamf? Извините, я новичок в Jamf, и мне это нужно срочно, так как это вопрос безопасности.
Поскольку служба безопасности хочет сделать это максимально защищенным, у нас уже настроена аутентификация пользователя и сертификатная аутентификация.
Я хочу сделать это на Mac через Jamf.
Логи системы, логи входа пользователя, активность пользователя.
Если настроена аутентификация на основе сертификатов, то у вас не должно возникнуть этой проблемы, в чем причина сигналов о необходимости входа? Обычно ручной вход — это запасной вариант сертификата, которого, по моему опыту, никогда не случалось.
Команда безопасности требует, чтобы мы реализовали полное отсутствие интернета… Я пытался сделать это через VPN, но это слишком рискованно для тестирования в продакшене, и у нас нет рабочей тестовой среды. В любом случае, можно ли как-то изменить настройки DNS, чтобы они препятствовали доступу к интернету, пока не подключишься к VPN?
Я уже настроил всегда включенный VPN в портале конфигурации VPN.
То, что требуется вашей команде безопасности, можно получить без GP, например, с помощью Jamf Protect или CrowdStrike.
Ограничение доступа к корпоративным ресурсам через условный доступ реализуется через Azure или Okta, а не Jamf.
Вы можете спросить у Palo Alto, как правильно ограничить доступ к интернету на устройствах до входа, но отключение всего, кроме связи с GP, очень рискованно.
Или, как уже упоминали, используйте сертификатную аутентификацию, которая позволит устройству автоматически подключаться.
Это можно сделать с помощью встроенного брандмауэра Mac.
Если в конфигурации GlobalProtect от Palo Alto нет однокликовой опции, все придется делать вручную через скрипты.