ADC
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

Cas d’utilisation : sécurisation d’un réseau d’entreprise à l’aide du protocole ICAP pour l’inspection à distance des programmes malveillants

L’appliance NetScaler agit comme un proxy et intercepte tout le trafic client. L’appliance utilise des stratégies pour évaluer le trafic et transmet les demandes client au serveur d’origine sur lequel réside la ressource. L’appliance déchiffre la réponse du serveur d’origine et transmet le contenu en texte brut au serveur ICAP pour une vérification antimalware. Le serveur ICAP répond par un message indiquant « Aucune adaptation requise », une erreur ou une demande modifiée. En fonction de la réponse du serveur ICAP, le contenu demandé est soit transféré au client, soit un message approprié est envoyé.

Pour ce cas d’utilisation, vous devez effectuer une configuration générale, une configuration liée au proxy et à l’interception SSL, ainsi qu’une configuration ICAP sur l’appliance NetScaler.

Configuration générale

Configurez les entités suivantes :

  • Adresse NSIP
  • Adresse IP du sous-réseau (SNIP)
  • Serveur de noms DNS
  • Paire de clés de certificat CA pour signer le certificat du serveur pour l’interception SSL

Configuration du serveur proxy et de l’interception SSL

Configurez les entités suivantes :

  • Serveur proxy en mode explicite pour intercepter tout le trafic HTTP et HTTPS sortant.
  • Profil SSL pour définir les paramètres SSL, tels que les chiffrements et les paramètres, pour les connexions.
  • Stratégie SSL pour définir les règles d’interception du trafic. Définissez cette valeur sur true pour intercepter toutes les demandes des clients.

Pour plus de détails, consultez les rubriques suivantes :

Dans l’exemple de configuration suivant, le service de détection des programmes malveillants se trouve à www.example.coml’adresse.

Exemple de configuration générale :

add dns nameServer 203.0.113.2 add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

Exemple de configuration du serveur proxy et de l’interception SSL :

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs set ssl parameter -defaultProfile ENABLED add ssl profile swg_profile -sslInterception ENABLED bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey set ssl vserver explicitswg -sslProfile swg_profile add ssl policy ssli-pol_ssli -rule true -action INTERCEPT bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

Exemple de configuration ICAP :

add service icap_svc 203.0.113.225 TCP 1344 enable ns feature contentinspection add icapprofile icapprofile1 -uri /example.com -Mode RESMOD add contentInspection action CiRemoteAction -type ICAP -serverName icap_svc -icapProfileName icapprofile1 add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type response

Configurer les paramètres du proxy

  1. Accédez à Sécurité > Proxy de transfert SSL> Assistant de transfert de proxySSL.

  2. Cliquez sur Commencer, puis cliquez sur Continuer.

  3. Dans la boîte de dialogue Paramètres du proxy, saisissez un nom pour le serveur proxy explicite.

  4. Pour le mode de capture, sélectionnez Explicite.

  5. Entrez une adresse IP et un numéro de port.

    Proxy explicite

  6. Cliquez sur Continuer.

Configurez les paramètres d’interception SSL

  1. Sélectionnez Activer l’interception SSL.

    Interception SSL

  2. Dans Profil SSL, sélectionnez un profil existant ou cliquez sur « + » pour ajouter un nouveau profil SSL frontal. Activez l’ interception des sessions SSL dans ce profil. Si vous sélectionnez un profil existant, passez à l’étape suivante.

    Profil SSL

  3. Cliquez sur OK, puis sur Terminé.

  4. Dans Sélectionner une paire de clés de certificat CA d’interception SSL, sélectionnez un certificat existant ou cliquez sur « + » pour installer une paire de clés de certificat CA pour l’interception SSL. Si vous sélectionnez un certificat existant, passez à l’étape suivante.

    Paire de clés de certificat d'interception SSL

  5. Cliquez sur Installer, puis sur Fermer.

  6. Ajoutez une stratégie pour intercepter tout le trafic. Cliquez sur Bind. Cliquez sur Ajouter pour ajouter une nouvelle stratégie ou sélectionner une stratégie existante. Si vous sélectionnez une stratégie existante, cliquez sur Inséreret ignorez les trois étapes suivantes.

    Ajouter une stratégie SSL

  7. Entrez le nom de la stratégie et sélectionnez Avancé. Dans l’éditeur d’expressions, saisissez true.

  8. Pour Action, sélectionnez INTERCEPTER.

    Stratégie SSL true

  9. Cliquez sur Créer.

  10. Cliquez quatre fois sur Continuer, puis sur Terminé.

Configuration des paramètres ICAP

  1. Accédez à Équilibrage de charge > Services et cliquez sur Ajouter.

  2. Entrez un nom et une adresse IP. Dans Protocole, sélectionnez TCP. Dans Port, tapez 1344. Cliquez sur OK.

  3. Accédez à SSL Forward Proxy > Serveurs virtuels proxy. Ajoutez un serveur virtuel proxy ou sélectionnez un serveur virtuel et cliquez sur Modifier. Après avoir saisi les détails, cliquez sur OK.

    Cliquez à nouveau sur OK .

  4. Dans Paramètres avancés, cliquez sur Stratégies.

  5. Dans Choisir une stratégie, sélectionnez Inspection du contenu. Cliquez sur Continuer.

  6. Dans Sélectionner une stratégie, cliquez sur le signe « + » pour ajouter une stratégie.

    Ajouter une stratégie d'inspection du contenu

  7. Entrez un nom pour la stratégie. Dans Action, cliquez sur le signe « + » pour ajouter une action.

    Ajouter une action de stratégie d'inspection du contenu

  8. Tapez le nom de l’action. Dans Nom du serveur, tapez le nom du service TCP créé précédemment. Dans le profil ICAP, cliquez sur le signe « + » pour ajouter un profil ICAP.

  9. Tapez un nom de profil, une URI. Dans Mode, sélectionnez REQMOD.

    Profil ICAP

  10. Cliquez sur Créer.

  11. Dans la page Créer une action ICAP, cliquez sur Créer.

  12. Sur la page Créer une stratégie ICAP, saisissez true dans l’ éditeur d’expression. Cliquez ensuite sur Créer.

    Création de stratégies ICAP

  13. Cliquez sur Bind.

  14. Lorsque vous êtes invité à activer la fonction d’inspection du contenu, sélectionnez Oui.

  15. Cliquez sur Terminé.

    Done

Exemples de transactions ICAP entre l’appliance NetScaler et le serveur ICAP dans RESPMOD

Demande de l’appliance NetScaler au serveur ICAP :

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0 Host: 10.106.137.15 Connection: Keep-Alive Encapsulated: res-hdr=0, res-body=282 HTTP/1.1 200 OK Date: Fri, 01 Dec 2017 11:55:18 GMT Server: Apache/2.2.21 (Fedora) Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT ETag: "20169-45-55f457f42aee4" Accept-Ranges: bytes Content-Length: 69 Keep-Alive: timeout=15, max=100 Content-Type: text/plain; charset=UTF-8 X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Réponse du serveur ICAP à l’appliance NetScaler :

ICAP/1.0 200 OK Connection: keep-alive Date: Fri, 01 Dec, 2017 11:40:42 GMT Encapsulated: res-hdr=0, res-body=224 Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$ ISTag: "9.8-13.815.00-3.100.1027-1.0" X-Virus-ID: Eicar_test_file X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file; HTTP/1.1 403 Forbidden Date: Fri, 01 Dec, 2017 11:40:42 GMT Cache-Control: no-cache Content-Type: text/html; charset=UTF-8 Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$ Content-Length: 5688 <html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/> … … </body></html>
La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Cas d’utilisation : sécurisation d’un réseau d’entreprise à l’aide du protocole ICAP pour l’inspection à distance des programmes malveillants