ユースケース:ICAP を使用したリモートマルウェア検査による企業ネットワークの安全性の確保
Citrix Secure Web Gateway(SWG)アプライアンスはプロキシとして機能し、すべてのクライアントトラフィックを代行受信します。アプライアンスは、ポリシーを使用してトラフィックを評価し、リソースが存在するオリジンサーバーにクライアント要求を転送します。アプライアンスはオリジンサーバーからの応答を復号化し、プレーンテキストのコンテンツをICAPサーバーに転送してマルウェア対策チェックを行います。ICAP サーバは、「適応不要」、エラー、または変更要求を示すメッセージで応答します。ICAP サーバーからの応答に応じて、要求されたコンテンツがクライアントに転送されるか、適切なメッセージが送信されます。
このユースケースでは、Citrix SWGアプライアンスで、一般的な構成、プロキシおよびSSLインターセプト関連の構成、およびICAP構成を実行する必要があります。
一般的な構成
次のエンティティを構成します。
- NSIPアドレス
- サブネットIP(SNIP)アドレス
- DNS ネームサーバー
- SSLインターセプションのためにサーバ証明書に署名するための CA 証明書とキーのペア
プロキシサーバと SSL インターセプションの設定
次のエンティティを構成します。
- エクスプリシットモードのプロキシサーバで、すべてのアウトバウンド HTTP および HTTPS トラフィックを代行受信します。
- SSL プロファイルを使用して、接続の SSL 設定(暗号やパラメータなど)を定義します。
- SSL ポリシーを使用して、トラフィックを代行受信するためのルールを定義します。すべてのクライアント要求をインターセプトするには、true に設定します。
詳細については、次のトピックを参照してください。
次の構成例では、マルウェア対策検出サービスがwww.example.comにあります。
一般的な設定例:
add ns ip 192.0.2.5 255.255.255.0
add ns ip 198.51.100.5 255.255.255.0 -type SNIP
add dns nameServer 203.0.113.2
add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
<!--NeedCopy-->
プロキシサーバーと SSL インターセプション設定の例:
add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs
set ssl parameter -defaultProfile ENABLED
add ssl profile swg_profile -sslInterception ENABLED
bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey
set ssl vserver explicitswg -sslProfile swg_profile
add ssl policy ssli-pol_ssli -rule true -action INTERCEPT
bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->
ICAP 設定の例:
add service icap_svc 203.0.113.225 TCP 1344
enable ns feature contentinspection
add icapprofile icapprofile1 -uri /example.com -Mode RESMOD
add contentInspection action CiRemoteAction -type ICAP -serverName icap_svc -icapProfileName icapprofile1
add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction
bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type response
<!--NeedCopy-->
SNIP アドレスと DNS ネームサーバーの構成
-
Web ブラウザで、NSIP アドレスを入力します。たとえば、
http://192.0.2.5などです。 -
[User Name] ボックスと [Password] ボックスに管理者資格情報を入力します。次の画面が開きます。次の画面が表示されない場合は、プロキシ設定セクションに進んでください。
-
[ サブネット IP アドレス ] セクションをクリックし、IP アドレスを入力します。
-
[完了] をクリックします。
-
[ ホスト名]、[DNS IP アドレス]、[タイムゾーン ] セクションをクリックし、これらのフィールドに値を入力します。
-
[完了] 、[続行] の順にクリックします。
プロキシ設定を構成する
-
[ Secure Web Gateway ] > [ Secure Web Gateway ウィザード]に移動します。
-
[は じめに] をクリックし、[続行] をクリックします。
-
[プロキシ設定] ダイアログボックスで、明示的なプロキシサーバーの名前を入力します。
-
[ キャプチャモード]で、[ 明示的]を選択します。
-
IP アドレスとポート番号を入力します。
-
[続行] をクリックします。
SSLインターセプション設定の構成
-
[ SSL インターセプトを有効にする] を選択します。
-
「 SSLプロファイル」で、既存のプロファイルを選択するか、「+」をクリックして新しいフロントエンドSSLプロファイルを追加します。このプロファイルで SSLセッションインターセプト を有効にします。既存のプロファイルを選択する場合は、次の手順をスキップします。
-
[OK] をクリックし、[完了] をクリックします。
-
[ SSL インターセプト CA 証明書とキーペアの選択] で、既存の証明書を選択するか、[+] をクリックして SSL インターセプト用の CA 証明書とキーのペアをインストールします。既存の証明書を選択した場合は、次の手順をスキップします。
-
[インストール] をクリックし、[閉じる] をクリックします。
-
すべてのトラフィックを代行受信するポリシーを追加します。[バインド] をクリックします。[Add] をクリックして新しいポリシーを追加するか、既存のポリシーを選択します。既存のポリシーを選択した場合は、[Insert] をクリックし、次の 3 つの手順をスキップします。
-
ポリシーの名前を入力し、[詳細設定] を選択します。式エディタで true と入力します。
-
[アクション] で、[インターセプト] を選択します。
-
[作成] をクリックします。
-
[続行] を 4 回クリックし、[完了] をクリックします。
ICAPの設定を構成する
-
[負荷分散] > [サービス] に移動し、[追加] をクリックします。
-
名前と IP アドレスを入力します。「 プロトコル」で、「 TCP」を選択します。[ポート] に 1344と入力します。[OK] をクリックします。
-
[ Secure Web Gateway ] > [ プロキシ仮想サーバー] に移動します。プロキシ仮想サーバーを追加するか、仮想サーバーを選択して「 編集」をクリックします。詳細を入力したら、[OK] をクリックします。
もう一度 [OK] をクリックします 。
-
[詳細設定]で、[ポリシー] をクリックします。
-
「ポリシーの選択」で、「 コンテンツ検査」を選択します。[続行] をクリックします。
-
[ポリシーの選択] で、[+] 記号をクリックしてポリシーを追加します。
-
ポリシーの名前を入力します。[アクション] で、[+] 記号をクリックしてアクションを追加します。
-
アクションの名前を入力します。[サーバー名]に、以前に作成した TCP サービスの名前を入力します。ICAPプロファイルで、「+」記号をクリックしてICAPプロファイルを追加します。
-
プロファイル名「URI」を入力します。「 モード」で「 REQMOD」を選択します。
-
[作成] をクリックします。
-
「 ICAPアクションの作成 」ページで、「 作成 」をクリックします。
-
ICAP ポリシーの作成 ページで、 式エディター に true と入力します。次に、[作成] をクリックします。
-
[バインド] をクリックします。
-
コンテンツ検査機能を有効にするかどうかを確認するメッセージが表示されたら、[Yes] を選択します。
-
[完了] をクリックします。
RESPMOD の Citrix SWG アプライアンスと ICAP サーバー間のサンプル ICAP トランザクション
Citrix SWGアプライアンスからICAPサーバーへの要求:
RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0
Host: 10.106.137.15
Connection: Keep-Alive
Encapsulated: res-hdr=0, res-body=282
HTTP/1.1 200 OK
Date: Fri, 01 Dec 2017 11:55:18 GMT
Server: Apache/2.2.21 (Fedora)
Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT
ETag: "20169-45-55f457f42aee4"
Accept-Ranges: bytes
Content-Length: 69
Keep-Alive: timeout=15, max=100
Content-Type: text/plain; charset=UTF-8
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
<!--NeedCopy-->
ICAPサーバーからCitrix SWGアプライアンスへの応答:
ICAP/1.0 200 OK
Connection: keep-alive
Date: Fri, 01 Dec, 2017 11:40:42 GMT
Encapsulated: res-hdr=0, res-body=224
Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$
ISTag: "9.8-13.815.00-3.100.1027-1.0"
X-Virus-ID: Eicar_test_file
X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;
HTTP/1.1 403 Forbidden
Date: Fri, 01 Dec, 2017 11:40:42 GMT
Cache-Control: no-cache
Content-Type: text/html; charset=UTF-8
Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$
Content-Length: 5688
<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>
…
…
</body></html>
<!--NeedCopy-->