Mange synes nok at Forward Proxy Decrypt kan være vanskelig å komme i gang med.
Det er ikke så vanskelig som det kanskje høres ut så jeg skal forsøke å legge ut en guide her.
Uten Decrypt så kan virus osv gå rett gjennom brannmuren din!
Start med å lage to sertifikater.
Legg Trust sertifikatet inn på PC/Server/Mobiler som skal bruke Decrypt.
Guide for å lage disse finner du her:
Lag så en Decrypt profile, jeg anbefaler å lage en "light", det er pga. at jeg
ønsker at ting virker selv om sertifikater er utgått eller har en feil, en blokkering
av sider som har feil på et sertifikat lager mye støy hos brukerne.
ønsker at ting virker selv om sertifikater er utgått eller har en feil, en blokkering
av sider som har feil på et sertifikat lager mye støy hos brukerne.
Jeg har valgt TLSv1.0 og oppover, det er pga. det dessverre fortsatt er mange websider
som kjørere TLSv1.0
som kjørere TLSv1.0
Device --> Setup --> Session --> Decryption Settings
Lag en eller flere Decrypt regler.
Jeg anbefaler å dele opp for Mobiler og PC/Servere, da mobiler
ofte har App`er som en må lage unntak for.
Jeg anbefaler å dele opp for Mobiler og PC/Servere, da mobiler
ofte har App`er som en må lage unntak for.
Lag også unntak for Bank/Finance, men gjerne kun i det landet du
bruker slike tjenester. I mitt tilfelle kun for NOrway
bruker slike tjenester. I mitt tilfelle kun for NOrway
De fleste velger også å ha No_Decrypt på "legal" og "shopping".
Lag også unntak for noen IP`er
no_decrypt_EDL_Teams_IPs = worldwide/skype/all/ipv4
Dynamic_Group_No_Decrypt_IP skal jeg foklare litt mer om.
I din Log Forwarding profil kan en automatisk tagge IP adresser som
feiler på Decrypt. Disse kan en så legge i No_Decrypt_IP reglen som gjør at
om en webside feiler, så trykker en bare Refresh og siden vil (i de fleste tilfeller)
virke igjen, da uten Decrypt.
feiler på Decrypt. Disse kan en så legge i No_Decrypt_IP reglen som gjør at
om en webside feiler, så trykker en bare Refresh og siden vil (i de fleste tilfeller)
virke igjen, da uten Decrypt.
Sett opp dette fra Decryption loggen:
Ta også med disse fra Traffic loggen:
Så lager du en Dynamic Address Group
Etter noen timer/dager kan du sjekke gruppen for å verifisere at den virker.
Husk å teste at dette virker, om du har rett sikkerhetsprofil
og Decrypt så skal filer her bli blokkert i brannmuren.
https://www.eicar.org/download-anti-malware-testfile/
og Decrypt så skal filer her bli blokkert i brannmuren.
https://www.eicar.org/download-anti-malware-testfile/
Sjekk Monitor --> Logs --> Decryption
Hvis du finner noen feil i loggen der så er ofte løsningen å importere sertifikatet som mangler.
....eller at websiden ikke har sertifikatet som fungere.
Det kan en sjekke på https://www.ssllabs.com/ssltest/
Hvis SSL Labs rapporterer at websiden har mange feil
og du skal ha siden til å fungere så legg URL i
No_Decrypt_URL listen din.
....eller at websiden ikke har sertifikatet som fungere.
Det kan en sjekke på https://www.ssllabs.com/ssltest/
Hvis SSL Labs rapporterer at websiden har mange feil
og du skal ha siden til å fungere så legg URL i
No_Decrypt_URL listen din.
Kjør også inn denne via CLI
set deviceconfig setting ssl-decrypt url-proxy yes
set deviceconfig setting ssl-decrypt url-proxy yes
Kan gjøre via et script.
Ta kontakt via Linkedin om du vil ha en kopi av sertifikat samlingen min,
eller om du har kommentarer/spørsmål til Decrypt.