Caso de uso: Hacer que la red empresarial sea segura mediante el uso de ICAP para la inspección remota de malware

El dispositivo Citrix Secure Web Gateway (SWG) actúa como proxy e intercepta todo el tráfico del cliente. El dispositivo utiliza directivas para evaluar el tráfico y reenvía las solicitudes de cliente al servidor de origen en el que reside el recurso. El dispositivo descifra la respuesta del servidor de origen y reenvía el contenido de texto sin formato al servidor ICAP para una comprobación antimalware. El servidor ICAP responde con un mensaje que indica “No se requiere adaptación”, error o solicitud modificada. Dependiendo de la respuesta del servidor ICAP, el contenido solicitado se reenvía al cliente o se envía un mensaje apropiado.

Para este caso de uso, debe realizar alguna configuración general, configuración relacionada con la intercepción SSL y proxy, y configuración ICAP en el dispositivo Citrix SWG.

Configuración general

Configure las siguientes entidades:

  • Dirección NSIP
  • Dirección IP de subred (SNIP)
  • Servidor de nombres DNS
  • Par de claves de certificado de CA para firmar el certificado de servidor para la intercepción SSL

Configuración de servidor proxy e intercepción SSL

Configure las siguientes entidades:

  • Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
  • Perfil SSL para definir la configuración SSL, como cifrados y parámetros, para las conexiones.
  • Directiva SSL para definir reglas para interceptar tráfico. Establezca en true para interceptar todas las solicitudes del cliente.

Para obtener más información, consulte los siguientes temas:

En la siguiente configuración de ejemplo, el servicio de detección de antimalware reside en www.example.com.

Ejemplo de configuración general:

add ns ip 192.0.2.5 255.255.255.0

add ns ip 198.51.100.5 255.255.255.0 -type SNIP

add dns nameServer 203.0.113.2

add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
<!--NeedCopy-->

Ejemplo de configuración de intercepción SSL y servidor proxy:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

Ejemplo de configuración ICAP:

add service icap_svc 203.0.113.225 TCP 1344

enable ns feature contentinspection

add icapprofile icapprofile1 -uri /example.com -Mode RESMOD

add contentInspection action CiRemoteAction -type ICAP -serverName  icap_svc -icapProfileName icapprofile1

add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction

bind cs vserver explicitswg -policyName  CiPolicy -priority 200 -type response
<!--NeedCopy-->

Configurar la dirección de SNIP y el servidor de nombres DNS

  1. En un explorador web, escriba la dirección NSIP. Por ejemplo, http://192.0.2.5.

  2. En Nombre de usuario y Contraseña, introduzca las credenciales de administrador. Aparecerá la siguiente pantalla. Si no aparece la pantalla siguiente, vaya a la sección Configuración del proxy.

    Imagen localizada

  3. Haga clic dentro de la sección Dirección IP de subred e introduzca una dirección IP.

    Imagen localizada

  4. Haga clic en Done.

  5. Haga clic dentro de la sección Nombre de host, Dirección IP DNS y Zona horaria e introduzca valores para estos campos.

    Imagen localizada

  6. Haga clic en Listo y, a continuación, en Continuar.

Configurar la configuración del proxy

  1. Desplácese hasta Secure Web Gateway > Asistente para Secure Web Gateway.

  2. Haga clic en Comenzar y, a continuación, haga clic en Continuar.

  3. En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.

  4. En Modo de captura, seleccione Explícito.

  5. Introduzca una dirección IP y un número de puerto.

    Imagen localizada

  6. Haga clic en Continuar.

Configurar la configuración de intercepción SSL

  1. Seleccione Habilitar intercepción SSL.

    Imagen localizada

  2. En Perfil SSL, seleccione un perfil existente o haga clic en “+” para agregar un nuevo perfil SSL front-end. Habilite la intercepción de sesiones SSL en este perfil. Si selecciona un perfil existente, omita el siguiente paso.

    Imagen localizada

  3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

  4. En Seleccionar par de claves de certificado de CA de interceptación SSL, seleccione un certificado existente o haga clic en “+” para instalar un par de claves de certificado de CA para la interceptación de SSL. Si selecciona un certificado existente, omita el siguiente paso.

    Imagen localizada

  5. Haga clic en Instalar y, a continuación, haga clic en Cerrar.

  6. Agregue una directiva para interceptar todo el tráfico. Haga clic en Bind. Haga clic en Agregar para agregar una nueva directiva o seleccione una existente. Si selecciona una directiva existente, haga clic en Insertar y omita los tres pasos siguientes.

    Imagen localizada

  7. Escriba un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.

  8. En Acción, seleccione INTERCEPCIÓN.

    Imagen localizada

  9. Haga clic en Crear.

  10. Haga clic en Continuar cuatro veces y, a continuación, haga clic en Listo.

Configurar la configuración de ICAP

  1. Desplácese hasta Equilibrio de carga > Servicios y haga clic en Agregar.

    Imagen localizada

  2. Escriba un nombre y una dirección IP. En Protocolo, seleccione TCP. En Puerto, escriba 1344. Haga clic en OK.

    Imagen localizada

  3. Vaya a Secure Web Gateway > Proxy Virtual Servers. Agregue un servidor virtual proxy o seleccione un servidor virtual y haga clic en Modificar. Después de introducir los detalles, haga clic en Aceptar.

    Imagen localizada

    Vuelva a hacer clic en Aceptar.

    Imagen localizada

  4. En Configuración avanzada, haga clic en Directivas.

    Imagen localizada

  5. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

    Imagen localizada

  6. En Seleccionar directiva, haga clic en el signo “+” para agregar una directiva.

    Imagen localizada

  7. Introduzca un nombre para la directiva. En Acción, haga clic en el signo “+” para agregar una acción.

    Imagen localizada

  8. Escriba un nombre para la acción. En Nombre del servidor, escriba el nombre del servicio TCP creado anteriormente. En Perfil ICAP, haga clic en el signo “+” para agregar un perfil ICAP.

    Imagen localizada

  9. Escriba un nombre de perfil, URI. En Modo, seleccione REQMOD.

    Imagen localizada

  10. Haga clic en Crear.

    Imagen localizada

  11. En la página Crear acción ICAP, haga clic en Crear.

    Imagen localizada

  12. En la página Crear directiva ICAP, escriba true en el Editor de expresiones. A continuación, haga clic en Crear.

    Imagen localizada

  13. Haga clic en Bind.

    Imagen localizada

  14. Si se le solicita que habilite la función de inspección de contenido, seleccione .

    Imagen localizada

  15. Haga clic en Done.

    Imagen localizada

Ejemplo de transacciones ICAP entre el dispositivo Citrix SWG y el servidor ICAP en RESPMOD

Solicitud del dispositivo Citrix SWG al servidor ICAP:

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0

Host: 10.106.137.15

Connection: Keep-Alive

Encapsulated: res-hdr=0, res-body=282

HTTP/1.1 200 OK

Date: Fri, 01 Dec 2017 11:55:18 GMT

Server: Apache/2.2.21 (Fedora)

Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT

ETag: "20169-45-55f457f42aee4"

Accept-Ranges: bytes

Content-Length: 69

Keep-Alive: timeout=15, max=100

Content-Type: text/plain; charset=UTF-8

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
<!--NeedCopy-->

Respuesta del servidor ICAP al dispositivo Citrix SWG:

ICAP/1.0 200 OK

Connection: keep-alive

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Encapsulated: res-hdr=0, res-body=224

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

ISTag: "9.8-13.815.00-3.100.1027-1.0"

X-Virus-ID: Eicar_test_file

X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;

HTTP/1.1 403 Forbidden

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Cache-Control: no-cache

Content-Type: text/html; charset=UTF-8

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

Content-Length: 5688

<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>

…

…

</body></html>
<!--NeedCopy-->
Caso de uso: Hacer que la red empresarial sea segura mediante el uso de ICAP para la inspección remota de malware