Caso de uso: Hacer que la red empresarial sea segura mediante el uso de ICAP para la inspección remota de malware
El dispositivo Citrix Secure Web Gateway (SWG) actúa como proxy e intercepta todo el tráfico del cliente. El dispositivo utiliza directivas para evaluar el tráfico y reenvía las solicitudes de cliente al servidor de origen en el que reside el recurso. El dispositivo descifra la respuesta del servidor de origen y reenvía el contenido de texto sin formato al servidor ICAP para una comprobación antimalware. El servidor ICAP responde con un mensaje que indica “No se requiere adaptación”, error o solicitud modificada. Dependiendo de la respuesta del servidor ICAP, el contenido solicitado se reenvía al cliente o se envía un mensaje apropiado.
Para este caso de uso, debe realizar alguna configuración general, configuración relacionada con la intercepción SSL y proxy, y configuración ICAP en el dispositivo Citrix SWG.
Configuración general
Configure las siguientes entidades:
- Dirección NSIP
- Dirección IP de subred (SNIP)
- Servidor de nombres DNS
- Par de claves de certificado de CA para firmar el certificado de servidor para la intercepción SSL
Configuración de servidor proxy e intercepción SSL
Configure las siguientes entidades:
- Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
- Perfil SSL para definir la configuración SSL, como cifrados y parámetros, para las conexiones.
- Directiva SSL para definir reglas para interceptar tráfico. Establezca en true para interceptar todas las solicitudes del cliente.
Para obtener más información, consulte los siguientes temas:
En la siguiente configuración de ejemplo, el servicio de detección de antimalware reside en www.example.com
.
Ejemplo de configuración general:
add ns ip 192.0.2.5 255.255.255.0
add ns ip 198.51.100.5 255.255.255.0 -type SNIP
add dns nameServer 203.0.113.2
add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
<!--NeedCopy-->
Ejemplo de configuración de intercepción SSL y servidor proxy:
add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs
set ssl parameter -defaultProfile ENABLED
add ssl profile swg_profile -sslInterception ENABLED
bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey
set ssl vserver explicitswg -sslProfile swg_profile
add ssl policy ssli-pol_ssli -rule true -action INTERCEPT
bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->
Ejemplo de configuración ICAP:
add service icap_svc 203.0.113.225 TCP 1344
enable ns feature contentinspection
add icapprofile icapprofile1 -uri /example.com -Mode RESMOD
add contentInspection action CiRemoteAction -type ICAP -serverName icap_svc -icapProfileName icapprofile1
add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction
bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type response
<!--NeedCopy-->
Configurar la dirección de SNIP y el servidor de nombres DNS
-
En un explorador web, escriba la dirección NSIP. Por ejemplo,
http://192.0.2.5
. -
En Nombre de usuario y Contraseña, introduzca las credenciales de administrador. Aparecerá la siguiente pantalla. Si no aparece la pantalla siguiente, vaya a la sección Configuración del proxy.
-
Haga clic dentro de la sección Dirección IP de subred e introduzca una dirección IP.
-
Haga clic en Done.
-
Haga clic dentro de la sección Nombre de host, Dirección IP DNS y Zona horaria e introduzca valores para estos campos.
-
Haga clic en Listo y, a continuación, en Continuar.
Configurar la configuración del proxy
-
Desplácese hasta Secure Web Gateway > Asistente para Secure Web Gateway.
-
Haga clic en Comenzar y, a continuación, haga clic en Continuar.
-
En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.
-
En Modo de captura, seleccione Explícito.
-
Introduzca una dirección IP y un número de puerto.
-
Haga clic en Continuar.
Configurar la configuración de intercepción SSL
-
Seleccione Habilitar intercepción SSL.
-
En Perfil SSL, seleccione un perfil existente o haga clic en “+” para agregar un nuevo perfil SSL front-end. Habilite la intercepción de sesiones SSL en este perfil. Si selecciona un perfil existente, omita el siguiente paso.
-
Haga clic en Aceptar y, a continuación, haga clic en Listo.
-
En Seleccionar par de claves de certificado de CA de interceptación SSL, seleccione un certificado existente o haga clic en “+” para instalar un par de claves de certificado de CA para la interceptación de SSL. Si selecciona un certificado existente, omita el siguiente paso.
-
Haga clic en Instalar y, a continuación, haga clic en Cerrar.
-
Agregue una directiva para interceptar todo el tráfico. Haga clic en Bind. Haga clic en Agregar para agregar una nueva directiva o seleccione una existente. Si selecciona una directiva existente, haga clic en Insertar y omita los tres pasos siguientes.
-
Escriba un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.
-
En Acción, seleccione INTERCEPCIÓN.
-
Haga clic en Crear.
-
Haga clic en Continuar cuatro veces y, a continuación, haga clic en Listo.
Configurar la configuración de ICAP
-
Desplácese hasta Equilibrio de carga > Servicios y haga clic en Agregar.
-
Escriba un nombre y una dirección IP. En Protocolo, seleccione TCP. En Puerto, escriba 1344. Haga clic en OK.
-
Vaya a Secure Web Gateway > Proxy Virtual Servers. Agregue un servidor virtual proxy o seleccione un servidor virtual y haga clic en Modificar. Después de introducir los detalles, haga clic en Aceptar.
Vuelva a hacer clic en Aceptar.
-
En Configuración avanzada, haga clic en Directivas.
-
En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.
-
En Seleccionar directiva, haga clic en el signo “+” para agregar una directiva.
-
Introduzca un nombre para la directiva. En Acción, haga clic en el signo “+” para agregar una acción.
-
Escriba un nombre para la acción. En Nombre del servidor, escriba el nombre del servicio TCP creado anteriormente. En Perfil ICAP, haga clic en el signo “+” para agregar un perfil ICAP.
-
Escriba un nombre de perfil, URI. En Modo, seleccione REQMOD.
-
Haga clic en Crear.
-
En la página Crear acción ICAP, haga clic en Crear.
-
En la página Crear directiva ICAP, escriba true en el Editor de expresiones. A continuación, haga clic en Crear.
-
Haga clic en Bind.
-
Si se le solicita que habilite la función de inspección de contenido, seleccione Sí.
-
Haga clic en Done.
Ejemplo de transacciones ICAP entre el dispositivo Citrix SWG y el servidor ICAP en RESPMOD
Solicitud del dispositivo Citrix SWG al servidor ICAP:
RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0
Host: 10.106.137.15
Connection: Keep-Alive
Encapsulated: res-hdr=0, res-body=282
HTTP/1.1 200 OK
Date: Fri, 01 Dec 2017 11:55:18 GMT
Server: Apache/2.2.21 (Fedora)
Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT
ETag: "20169-45-55f457f42aee4"
Accept-Ranges: bytes
Content-Length: 69
Keep-Alive: timeout=15, max=100
Content-Type: text/plain; charset=UTF-8
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
<!--NeedCopy-->
Respuesta del servidor ICAP al dispositivo Citrix SWG:
ICAP/1.0 200 OK
Connection: keep-alive
Date: Fri, 01 Dec, 2017 11:40:42 GMT
Encapsulated: res-hdr=0, res-body=224
Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$
ISTag: "9.8-13.815.00-3.100.1027-1.0"
X-Virus-ID: Eicar_test_file
X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;
HTTP/1.1 403 Forbidden
Date: Fri, 01 Dec, 2017 11:40:42 GMT
Cache-Control: no-cache
Content-Type: text/html; charset=UTF-8
Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$
Content-Length: 5688
<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>
…
…
</body></html>
<!--NeedCopy-->
En este artículo
- Configuración general
- Configuración de servidor proxy e intercepción SSL
- Configurar la dirección de SNIP y el servidor de nombres DNS
- Configurar la configuración del proxy
- Configurar la configuración de intercepción SSL
- Configurar la configuración de ICAP
- Ejemplo de transacciones ICAP entre el dispositivo Citrix SWG y el servidor ICAP en RESPMOD