ข้อควรระวัง
1. การป้องกันการDownload จำเป็นจะต้องทำ Decryption ซึ่งจะต้องDownload Install เพื่อไปลง Root Certificate ที่เครื่อง User ที่ต้องการป้องกันการ Download
2. การทำ Decryption จะมีผลกับ Performance ของ Box แนะนำให้ใช้เฉพาะบางวง หรือบางปลายทางบางประเภทที่ต้องการ Decrypt
3. ระมัดระวังในการเลือกทำ Decryption เนื่องจากบาง Program มีการป้องกันการถูกDecrypt ข้อมูลรหว่างทาง ทำให้ไม่สามารถใช้งานได้ปกติ เช่น ทำ Decryption บน NGAF แล้วไม่สามารถส่งรูปภาพผ่าน Application Line ได้
การตั้งค่าจะแบ่งเป็น 2 ส่วน
1. ทำ Decryption Policy กับวง Client ที่ต้องต้องการทำDecryption
2. ทำ Content security policy ที่ป้องกันการ download file typeที่กำหนด
การทำ Decryption Policy
1. ไปที่ Policy > Decryption > กด Add
2. กรอกข้อมูลตามที่ต้องการใช้งาน
- Name: ชื่อ Policy
- Zone: เลือก zone ที่ต้องการถอดรหัสข้อมูล (Client zone)
- Network object: เลือก IP ที่ต้องการถอดรหัสข้อมูล (Client IP)
- Type: เลือก Decrypt data to the Internet
- Website/Site: เลือกประเภท Website ที่ต้องการถอดรหัสข้อมูล
- คลิก OK
- ตรง URL ด้านล่างให้ กรอก IP/Domain เพื่อให้ Redirect เพื่อเข้าหน้าDownload Root Certificate
- สามารถ download root certificate เพื่อไปติดตั้งที่เครื่องclient ก่อน (.exe) โดยกดที่ x64 (สำหรับwindows)
- ระบบจะเพิ่มหน้า download ไปยัง url ที่กรอก (website ที่ใช้จะต้องdisable hsts)
- ถ้า enable decryptionแล้ว แต่ user ไม่มีcertificate จะทำให้ไม่สามารถเข้าใช้งาน websiteที่ทำการdecryptionได้
- เครื่อง android จะไม่สามารถลง root cert ได้ เนื่องจากขอจำกัดของ android เอง
3. ติดตั้ง Root Certificate ลงบนเครื่อง Client โดย run as administrator
Program ที่ต้องติดตั้งบนเครื่อง Client (ลง Certificate)
- ถ้า user join ad แนะนำให้ deploy root certificate ผ่าน AD (rootca.crt)
- การลง cert บน iOS: https://support.apple.com/en-us/HT204477
4. ปิด Browser เดิมทั้งหมด
5. หลังจาก ที่ Enable Decryption policy ให้ทดลองเข้า Website เช่น yahoo.com ดูว่า certificate ได้เปลี่ยนไปใช้ของ sangfor หรือไม่
รายละเอียดเพิ่มเติม และหลักการทำ Decryption HTTPS
ถอดรหัสข้อมูล HTTPS (Decrypt data to the Internet from the LAN)
การทำ Content Security (Block Download ผ่าน Browser HTTP/HTTPS)
1. ไปที่ Objects > Security Policy Template > Content Security > กด Add เพื่อสร้าง template ใหม่ > เลือก File Protection อย่างเดียว
2. กด Advanced > เลือก เฉพาะ Filter file (ให้ Block อะไรบ้าง เช่น executable .exe) > เลือกประเภทที่ต้องการ Block , เลือก Direction ที่ต้องการ Block > จากนั้นกด Save
3. สร้าง Policy เพื่อ block ไปที่ Policies > Network Security Policies > Policies > Add Internet Access Scenario
- เลือก Source Zone ของ Client และเลือก range ที่ต้องการblock และ Destination เป็น WAN
- เลือกเปิดแค่ Content Security โดยเลือก Template ที่สร้างไว้ด้านบน เลือก Action เป็น Deny
- กด Log ในหน้าถัดไป และ save
การทดสอบ Block Download
- ตรวจสอบว่า websiteได้เปลี่ยนไปใช้ certificate sangfor แล้ว
- ทำการ download file
- ถ้าพยายามdownload ไฟล์ จะมีหน้าเตือนว่าไม่สามารถ downloadได้
- ใน Log มีแสดงว่ามีโดย filter file ออกไป
บทความที่เกี่ยวข้อง
ทำ Decryption บน NGAF แล้วไม่สามารถส่งรูปภาพผ่าน Application Line ได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น