Utilisation d’ICAP pour l’inspection de contenu à distance

Le protocole ICAP (Internet Content Adaptation Protocol) est un protocole ouvert, simple et léger. Il est généralement utilisé pour transporter des messages HTTP entre le proxy et les appareils qui fournissent un support anti-logiciels malveillants et des services de prévention des fuites de données. ICAP a créé une interface standard pour l’adaptation de contenu afin de permettre une plus grande flexibilité dans la distribution de contenu et de fournir un service à valeur ajoutée. Un client ICAP transmet les requêtes et les réponses HTTP à un serveur ICAP pour traitement. Le serveur ICAP effectue une transformation sur les requêtes et renvoie des réponses au client ICAP, avec une action appropriée sur la requête ou la réponse.

Utilisation d’ICAP sur l’appliance Citrix Secure Web Gateway™

Remarque

La fonctionnalité d’inspection de contenu nécessite une licence SWG Edition.

L’appliance Citrix Secure Web™ Gateway (SWG) agit comme un client ICAP et utilise des stratégies pour interagir avec les serveurs ICAP. L’appliance communique avec des serveurs ICAP tiers spécialisés dans des fonctions telles que l’anti-logiciels malveillants et la prévention des fuites de données (DLP). Lorsque vous utilisez ICAP sur une appliance SWG, les fichiers chiffrés sont également analysés. Auparavant, les fournisseurs de sécurité ignoraient ces fichiers. L’appliance effectue l’interception SSL, déchiffre le trafic client et l’envoie au serveur ICAP. Le serveur ICAP vérifie la détection de virus, de logiciels malveillants ou espions, l’inspection des fuites de données ou tout autre service d’adaptation de contenu. L’appliance agit comme un proxy, déchiffre la réponse du serveur d’origine et l’envoie en texte clair au serveur ICAP pour inspection. Configurez des stratégies pour sélectionner le trafic envoyé aux serveurs ICAP.

Le flux en mode requête fonctionne comme suit :

(1) L’appliance Citrix® SWG intercepte les requêtes du client. (2) L’appliance transmet ces requêtes au serveur ICAP, en fonction des stratégies configurées sur l’appliance. (3) Le serveur ICAP répond par un message indiquant « Aucune adaptation requise », une erreur ou une requête modifiée. L’appliance (4) transmet le contenu au serveur d’origine demandé par le client, ou (5) renvoie un message approprié au client.

Le flux en mode réponse fonctionne comme suit :

(1) Le serveur d’origine répond à l’appliance Citrix SWG. (2) L’appliance transmet la réponse au serveur ICAP, en fonction des stratégies configurées sur l’appliance. (3) Le serveur ICAP répond par un message indiquant « Aucune adaptation requise », une erreur ou une requête modifiée. (4) Selon la réponse du serveur ICAP, l’appliance transmet le contenu demandé au client ou envoie un message approprié.

Configuration d’ICAP sur l’appliance Citrix Secure Web Gateway

Les étapes suivantes expliquent comment configurer ICAP sur l’appliance Citrix SWG.

1. Activez la fonctionnalité d’inspection de contenu.
2. Configurez un serveur proxy.
3. Configurez un service TCP qui représente le serveur ICAP. Pour établir une connexion sécurisée entre l’appliance SWG et le service ICAP, spécifiez le type de service comme SSL_TCP. Pour plus d’informations sur l’ICAP sécurisé, consultez la section « ICAP sécurisé » plus loin sur cette page.
4. Si vous le souhaitez, ajoutez un serveur virtuel d’équilibrage de charge pour équilibrer la charge des serveurs ICAP et liez le service ICAP à ce serveur virtuel.
5. Configurez un profil ICAP personnalisé. Le profil doit inclure l’URI ou le chemin de service pour le service ICAP, et le mode ICAP (requête ou réponse). Il n’existe pas de profils ICAP par défaut similaires aux profils HTTP et TCP par défaut.
6. Configurez une action d’inspection de contenu et spécifiez le nom du profil ICAP. Spécifiez le nom du serveur virtuel d’équilibrage de charge ou le nom du service TCP/SSL_TCP dans le paramètre du nom du serveur.
7. Configurez une stratégie d’inspection de contenu pour évaluer le trafic client et la lier au serveur proxy. Spécifiez l’action d’inspection de contenu dans cette stratégie.

Configurer ICAP à l’aide de l’interface de ligne de commande

Configurez les entités suivantes :

1. Activez la fonctionnalité.

   `enable ns feature contentInspection`

2. Configurez un serveur proxy.

   `add cs vserver <name> PROXY <IPAddress>`

   Exemple :

   `add cs vserver explicitswg PROXY 192.0.2.100 80`

3. Configurez un service TCP pour représenter les serveurs ICAP.

   `add service <name> <IP> <serviceType> <port>`

   Spécifiez le type de service comme SSL_TCP pour une connexion sécurisée avec le serveur ICAP.

   Exemple :

   `add service icap_svc1 203.0.113.100 TCP 1344`

   `add service icap_svc 203.0.113.200 SSL_TCP 11344`

4. Configurez un serveur virtuel d’équilibrage de charge.

   `add lb vserver <name> <serviceType> <IPAddress> <port>`

   Exemple :

   `add lbvserver lbicap TCP 0.0.0.0 0`

   Liez le service ICAP au serveur virtuel d’équilibrage de charge.

   `bind lb vserver <name> <serviceName>`

   Exemple :

   `bind lb vserver lbicap icap_svc`

5. Ajoutez un profil ICAP personnalisé.

   `add ns icapProfile <name> -uri <string> -Mode ( REQMOD | RESPMOD )`

   Exemple :

   `add icapprofile icapprofile1 -uri /example.com -Mode REQMOD`

   Paramètres

   name

   Nom d’un profil ICAP. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, des traits de soulignement, des dièses (#), des points (.), des espaces, des deux-points (:), des arobase (@), des signes égal (=) et des tirets (-).

   Utilisateurs de l’interface de ligne de commande : Si le nom inclut un ou plusieurs espaces, mettez le nom entre guillemets doubles ou simples (par exemple, “mon profil icap” ou ‘mon profil icap’).

   Longueur maximale : 127

   uri

   URI représentant le chemin du service ICAP.

   Longueur maximale : 511 caractères

   Mode

   Mode ICAP. Les paramètres disponibles fonctionnent comme suit :

   • REQMOD : En mode de modification de requête, le client ICAP transmet une requête HTTP au serveur ICAP.

   • RESPMOD : En mode de modification de réponse, le serveur ICAP transmet une réponse HTTP du serveur d’origine au serveur ICAP.

     Valeurs possibles : REQMOD, RESPMOD

6. Configurez une action à effectuer si la stratégie renvoie la valeur true.

   `add contentInspection action <name> -type ICAP -serverName <string> -icapProfileName <string>`

   Exemple :

   `add contentInspection action CiRemoteAction -type ICAP -serverName lbicap -icapProfileName icapprofile1`

7. Configurez une stratégie pour évaluer le trafic.

   `add contentInspection policy <name> -rule <expression> -action <string>`

   Exemple :

   `add contentInspection policy CiPolicy -rule true -action CiRemoteAction`

8. Liez la stratégie au serveur proxy.

   `bind cs vserver <vServerName> -policyName <string> -priority <positive_integer> -type [REQUEST | RESPONSE]`

   Exemple :

   `bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type REQUEST`

Configurer ICAP à l’aide de l’interface graphique

Effectuez les étapes suivantes :

1. Accédez à Équilibrage de charge > Services et cliquez sur Ajouter.

   

2. Saisissez un nom et une adresse IP. Dans Protocole, sélectionnez TCP. Dans Port, saisissez 1344. Cliquez sur OK.

   Pour une connexion sécurisée aux serveurs ICAP, sélectionnez le protocole TCP_SSL et spécifiez le port comme 11344.

   

3. Accédez à Secure Web Gateway > Serveurs virtuels proxy. Ajoutez un serveur virtuel proxy ou sélectionnez un serveur virtuel et cliquez sur Modifier. Après avoir saisi les détails, cliquez sur OK.

   

   Cliquez à nouveau sur OK.

   

4. Dans Paramètres avancés, cliquez sur Stratégies.

   

5. Dans Choisir une stratégie, sélectionnez Inspection de contenu. Cliquez sur Continuer.

   

6. Dans Sélectionner une stratégie, cliquez sur le signe « + » pour ajouter une stratégie.

   

7. Saisissez un nom pour la stratégie. Dans Action, cliquez sur le signe « + » pour ajouter une action.

   

8. Saisissez un nom pour l’action. Dans Nom du serveur, saisissez le nom du service TCP créé précédemment. Dans Profil ICAP, cliquez sur le signe « + » pour ajouter un profil ICAP.

   

9. Saisissez un nom de profil, un URI. Dans Mode, sélectionnez REQMOD.

   

10. Cliquez sur Créer.

    

11. Dans la page Créer une action ICAP, cliquez sur Créer.

    

12. Dans la page Créer une stratégie ICAP, saisissez true dans l’Éditeur d’expressions. Ensuite, cliquez sur Créer.`

    

13. Cliquez sur Lier.

    

14. Lorsque vous êtes invité à activer la fonctionnalité d’inspection de contenu, sélectionnez Oui.

    

15. Cliquez sur Terminé.

    

ICAP sécurisé

Vous pouvez établir une connexion sécurisée entre l’appliance SWG et les serveurs ICAP. Pour ce faire, créez un service SSL_TCP au lieu d’un service TCP. Configurez un serveur virtuel d’équilibrage de charge de type SSL_TCP. Liez le service ICAP au serveur virtuel d’équilibrage de charge.

Configurer l’ICAP sécurisé à l’aide de l’interface de ligne de commande

À l’invite de commande, saisissez :

• `add service <name> <IP> SSL_TCP <port>`
• `add lb vserver <name> <serviceType> <IPAddress> <port>`
• `bind lb vserver <name> <serviceName>`

Exemple :

add service icap_svc 203.0.113.100 SSL_TCP 1344

add lbvserver lbicap SSL_TCP 0.0.0.0 0

bind lb vserver lbicap icap_svc
<!--NeedCopy-->

Configurer l’ICAP sécurisé à l’aide de l’interface graphique

1. Accédez à Équilibrage de charge > Serveurs virtuels, et cliquez sur Ajouter.
2. Spécifiez un nom pour le serveur virtuel, l’adresse IP et le port. Spécifiez le protocole comme SSL_TCP.
3. Cliquez sur OK.
4. Cliquez à l’intérieur de la section Liaison de service de serveur virtuel d’équilibrage de charge pour ajouter un service ICAP.
5. Cliquez sur « + » pour ajouter un service.
6. Spécifiez un nom de service, une adresse IP, un protocole (SSL_TCP) et un port (le port par défaut pour l’ICAP sécurisé est 11344).
7. Cliquez sur OK.
8. Cliquez sur Terminé.
9. Cliquez sur Lier.
10. Cliquez sur Continuer deux fois.
11. Cliquez sur Terminé.

Limitations

Les fonctionnalités suivantes ne sont pas prises en charge :

• Mise en cache des réponses ICAP.
• Insertion de l’en-tête X-Auth-User-URI.
• Insertion de la requête HTTP dans la requête ICAP en mode RESPMOD.