ADC

Caso de uso: Hacer que una red empresarial sea segura mediante el uso de ICAP para la inspección remota de malware

El dispositivo Citrix ADC actúa como un proxy e intercepta todo el tráfico del cliente. El dispositivo utiliza directivas para evaluar el tráfico y reenvía las solicitudes de cliente al servidor de origen en el que reside el recurso. El dispositivo descifra la respuesta del servidor de origen y reenvía el contenido de texto sin formato al servidor ICAP para una comprobación antimalware. El servidor ICAP responde con un mensaje que indica “No se requiere adaptación”, error o solicitud modificada. Dependiendo de la respuesta del servidor ICAP, el contenido solicitado se reenvía al cliente o se envía un mensaje apropiado.

Para este caso de uso, debe realizar alguna configuración general, configuración relacionada con proxy e intercepción SSL y configuración ICAP en el dispositivo Citrix ADC.

Configuración general

Configure las siguientes entidades:

  • Dirección NSIP
  • Dirección IP de subred (SNIP)
  • Servidor de nombres DNS
  • Par de claves de certificado de CA para firmar el certificado de servidor para la intercepción SSL

Configuración de servidor proxy e intercepción SSL

Configure las siguientes entidades:

  • Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
  • Perfil SSL para definir la configuración SSL, como cifrados y parámetros, para las conexiones.
  • Directiva SSL para definir reglas para interceptar tráfico. Establezca en true para interceptar todas las solicitudes del cliente.

Para obtener más información, consulte los siguientes temas:

En la siguiente configuración de ejemplo, el servicio de detección de antimalware reside en www.example.com.

Ejemplo de configuración general:

add dns nameServer 203.0.113.2

add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
<!--NeedCopy-->

Ejemplo de configuración de intercepción SSL y servidor proxy:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

Ejemplo de configuración ICAP:

add service icap_svc 203.0.113.225 TCP 1344

enable ns feature contentinspection

add icapprofile icapprofile1 -uri /example.com -Mode RESMOD

add contentInspection action CiRemoteAction -type ICAP -serverName  icap_svc -icapProfileName icapprofile1

add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction

bind cs vserver explicitswg -policyName  CiPolicy -priority 200 -type response
<!--NeedCopy-->

Configurar la configuración del proxy

  1. Vaya a Seguridad > Proxy de reenvío SSL> Asistente de proxy de reenvío SSL.

  2. Haga clic en Comenzar y, a continuación, haga clic en Continuar.

  3. En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.

  4. En Modo de captura, seleccione Explícito.

  5. Introduzca una dirección IP y un número de puerto.

    Proxy explícito

  6. Haga clic en Continuar.

Configurar la configuración de intercepción SSL

  1. Seleccione Activar intercepción SSL.

    Intercepción SSL

  2. En Perfil SSL, seleccione un perfil existente o haga clic en “+” para agregar un nuevo perfil SSL front-end. Habilite la intercepción de sesiones SSL en este perfil. Si selecciona un perfil existente, omita el siguiente paso.

    Perfil SSL

  3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

  4. En Seleccionar par de claves de certificado de CA de interceptación SSL, seleccione un certificado existente o haga clic en “+” para instalar un par de claves de certificado de CA para la interceptación de SSL. Si selecciona un certificado existente, omita el siguiente paso.

    Certificado de intercepción SSL par de claves

  5. Haga clic en Instalar y, a continuación, haga clic en Cerrar.

  6. Agregue una directiva para interceptar todo el tráfico. Haga clic en Vincular. Haga clic en Agregar para agregar una nueva directiva o seleccione una existente. Si selecciona una directiva existente, haga clic en Insertar y omita los tres pasos siguientes.

    Agregar directiva SSL

  7. Escriba un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.

  8. En Acción, seleccione INTERCEPCIÓN.

    Directiva SSL verdadera

  9. Haga clic en Crear.

  10. Haga clic en Continuar cuatro veces y, a continuación, haga clic en Listo.

Configurar la configuración de ICAP

  1. Desplácese hasta Equilibrio de carga > Servicios y haga clic en Agregar.

    Agregar servicio TCP

  2. Escriba un nombre y una dirección IP. En Protocolo, seleccione TCP. En Puerto, escriba 1344. Haga clic en Aceptar.

    Agregar

  3. Desplácese hasta Proxy de reenvío SSL > Servidores virtuales proxy. Agregue un servidor virtual proxy o seleccione un servidor virtual y haga clic en Modificar. Después de introducir los detalles, haga clic en Aceptar.

    Servidor proxy

    Vuelva a hacer clic en Aceptar.

    Servidor proxy OK

  4. En Configuración avanzada, haga clic en Directivas.

    Agregar directivas

  5. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

    Agregar una directiva de inspección de contenido

  6. En Seleccionar directiva, haga clic en el signo “+” para agregar una directiva.

    Agregar una directiva de inspección de contenido

  7. Introduzca un nombre para la directiva. En Acción, haga clic en el signo “+” para agregar una acción.

    Acción de directiva de inspección de contenido

  8. Escriba un nombre para la acción. En Nombre del servidor, escriba el nombre del servicio TCP creado anteriormente. En Perfil ICAP, haga clic en el signo “+” para agregar un perfil ICAP.

    Perfil de acción ICAP

  9. Escriba un nombre de perfil, URI. En Modo, seleccione REQMOD.

    Perfil ICAP

  10. Haga clic en Crear.

    Creación de perfiles ICAP

  11. En la página Crear acción ICAP, haga clic en Crear.

    Creación de acciones ICAP

  12. En la página Crear directiva ICAP, escriba true en el Editor de expresiones. A continuación, haga clic en Crear.

    Creación de directivas ICAP

  13. Haga clic en Vincular.

    Vinculación de directivas ICAP

  14. Cuando se le pida que active la función de inspección de contenido, seleccione .

    Habilitar inspección de contenido

  15. Haga clic en Done.

    Completado

Transacciones ICAP de ejemplo entre el dispositivo Citrix ADC y el servidor ICAP en RESPMOD

Solicitud del dispositivo Citrix ADC al servidor ICAP:

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0

Host: 10.106.137.15

Connection: Keep-Alive

Encapsulated: res-hdr=0, res-body=282

HTTP/1.1 200 OK

Date: Fri, 01 Dec 2017 11:55:18 GMT

Server: Apache/2.2.21 (Fedora)

Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT

ETag: "20169-45-55f457f42aee4"

Accept-Ranges: bytes

Content-Length: 69

Keep-Alive: timeout=15, max=100

Content-Type: text/plain; charset=UTF-8

X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
<!--NeedCopy-->

Respuesta del servidor ICAP al dispositivo Citrix ADC:

ICAP/1.0 200 OK

Connection: keep-alive

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Encapsulated: res-hdr=0, res-body=224

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

ISTag: "9.8-13.815.00-3.100.1027-1.0"

X-Virus-ID: Eicar_test_file

X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;

HTTP/1.1 403 Forbidden

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Cache-Control: no-cache

Content-Type: text/html; charset=UTF-8

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

Content-Length: 5688

<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>

…

…

</body></html>
<!--NeedCopy-->
Caso de uso: Hacer que una red empresarial sea segura mediante el uso de ICAP para la inspección remota de malware