Workspace ONE -VPN Solution
ช่วงนี้ Data Leak /Hack มาแรง ล่าสุดแก๊งค์ Hacker ได้ทำการปล่อย Username, Password ของอุปกรณ์ Fortinet ประมาณ 500,000 accounts อาศัยช่องโหว่ CVE-2018-13379 (New – 9 Sep 2021)
ข่าวด้านล่าง
https://www.blognone.com/node/124652
https://www.brighttv.co.th/news/hack-ministry-of-health
จะเห็นว่า Solution ที่ใช้งานงาน User Name /Password ยังเป็นที่นิยมในบ้านเราเหตุผลง่ายๆ คือสะดวกและง่ายต่อการเชื่อมต่อ อุปกรณ์ ไม่ว่าเครื่องส่วนตัว หรือ เครื่อง Office เพียงแค่ลง App client ก็สามารถใช้งาน VPN ได้เลย อาจจะมีการเช็ค Device Posture บ้างในตอนเชื่อมต่อ เท่านั้น
ในส่วนของ Workspace ONE เราสามารถ ใช้งาน Per App VPN ได้ บน iOS , Android ,macOS และ Win10 โดยที่เพิ่มเติมขึ้นมาคือ Windows 10 สามารถทำงาน แบบ Full Device VPN เพิ่มได้อีก
สิ่งที่ระบบต้องการ
1.Workspace ONE Console : License = Advanced ขึ้นไป
โดย ที่จะ Configure ให้ระบบรู้จัก UAG , ทำ Device Traffice Rule , Distribute VPN Profile
2.UAG – VMware Unifled Access Gateway
สามารถที่จะเห็น ip , name จาก Public – internet ข้างนอกได้ (อยู่ใน dmz) จะมี cert หรือยังไม่มี cert ก่อนก็สามารถใช้ได้เหมือนกัน
3.Client )Workspace ONE Tunnel ที่จะติดตั้งบน iOS , Android ,macOS และ Win10
Download -> (https://my.workspaceone.com/products/Workspace-ONE-Tunnel)
4.การ Authentication สามารถเลือกใช้ Certificate ที่มาจาก Workspace ONE หรือ ใช้ Cert ที่มาจาก ADCS ขององค์กรก็ได้
จากรูปผมใช้ Cert ที่มาจาก Workspace ONE

หรือ ตอนที่ Deploy UAG เราสามารถใช้ แบบ Enterprise CA ได้ ครับ

ภายรวมของระบบ UAG กับ Device และ Feature ที่ทำได้ บน UAG เช่น Secure Email Gateway , VPN , Horizon เป็นต้น

“VMware Tunnel allows you to securely deploy per-app enterprise access across all your employees’ devices. Built on TLS 1.2 with certificate pinning and authentication for optimum security, Tunnel lets you easily define granular traffic policies specific to each application, assign per-app policies tailored to individual use cases, deliver zero-touch, on-demand experiences to employees and provide easy on-boarding experiences with zero downtime and maintenance “
More infomation
https://www.evengooder.com/2019/02/uag-34-cascade-mode-deployment-for.html
https://techzone.vmware.com/deploying-vmware-unified-access-gateway-workspace-one-operational-tutorial#_265013
https://techzone.vmware.com/deploying-vmware-workspace-one-tunnel-workspace-one-operational-tutorial#_1186685
มาเร่ิมกันก่อน เลย
1.อยากแรก ที่ผมอยากให้ทำคือ Download UAG มาแล้วก็ Deploy UAG ที่ site ของลูกค้ากัน
ส่วน POC ถ้าใช้ device ไม่มากผม ว่า 2 Core / Ram 4 ก็น่าจะเพียงพอแล้วครับ ถ้า มี Public Cert ก็ดีเลยครับ จะได้ ไม่ติดปัญหาเรื่อง Cert
โดยเราอ้างอิง จาก ที่นี้ครับ จนได้หน้า logon ของ UAG แล้ว configure UAG กัน
https://techzone.vmware.com/deploying-vmware-unified-access-gateway-workspace-one-operational-tutorial#_962080



ใส่ Cert


หน้าจอนี้ให้เลือกใส่ API Server URL , หรือ ค่า Configure อื่นๆที่มาจาก Workspace ONE UEM

เสร็จแล้ว Add Tunnel และ Test ที่หน้า Workspace ONE UEM Console


2.เราต้องมาทำ Device Traffice Rule ที่ Workspace ONE Console ต่อโดยจะเลือกเป็น Full Device หรือ Per App ก็ได้ครับ
Save แล้วดู ชื่อที่เราตั้งไวด้วยนะครับ “Test-DTR”

Leave a Reply