ADC

Anwendungsfall: Sicherstellung der Sicherheit eines Unternehmensnetzwerks mithilfe von ICAP zur Malware-Inspektion per Fernzugriff

Die NetScaler-Appliance fungiert als Proxy und fängt den gesamten Client-Verkehr ab. Die Appliance verwendet Richtlinien, um den Datenverkehr auszuwerten, und leitet Clientanfragen an den Ursprungsserver weiter, auf dem sich die Ressource befindet. Die Appliance entschlüsselt die Antwort vom Ursprungsserver und leitet den Klartextinhalt zur Malware-Prüfung an den ICAP-Server weiter. Der ICAP-Server antwortet mit der Meldung „Keine Anpassung erforderlich“, einem Fehler oder einer geänderten Anfrage. Abhängig von der Antwort des ICAP-Servers wird der angeforderte Inhalt entweder an den Client weitergeleitet oder es wird eine entsprechende Nachricht gesendet.

Für diesen Anwendungsfall müssen Sie einige allgemeine Konfigurationen, Proxy- und SSL-Interception-Konfigurationen sowie eine ICAP-Konfiguration auf der NetScaler-Appliance durchführen.

Allgemeine Konfiguration

Konfigurieren Sie die folgenden Entitäten:

  • NSIP-Adresse
  • Subnetz-IP-Adresse (SNIP)
  • DNS-Nameserver
  • CA-Zertifikatsschlüsselpaar zum Signieren des Serverzertifikats für SSL-Abfangen

Konfiguration des Proxyservers und des SSL-Abhörens

Konfigurieren Sie die folgenden Entitäten:

  • Proxy-Server im expliziten Modus, um den gesamten ausgehenden HTTP- und HTTPS-Verkehr abzufangen.
  • SSL-Profil zur Definition von SSL-Einstellungen wie Chiffrieren und Parametern für Verbindungen.
  • SSL-Richtlinie zur Definition von Regeln für das Abfangen von Datenverkehr. Auf true setzen, um alle Client-Anfragen abzufangen.

Weitere Informationen finden Sie in den folgenden Themen:

In der folgenden Beispielkonfiguration befindet sich der Antimalware-Erkennungsdienst unter. www.example.com

Beispiel für eine allgemeine Konfiguration:

add dns nameServer 203.0.113.2

add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
<!--NeedCopy-->

Beispiel für eine Proxyserver- und SSL-Abfangkonfiguration:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

Beispiel für eine ICAP-Konfiguration:

add service icap_svc 203.0.113.225 TCP 1344

enable ns feature contentinspection

add icapprofile icapprofile1 -uri /example.com -Mode RESMOD

add contentInspection action CiRemoteAction -type ICAP -serverName  icap_svc -icapProfileName icapprofile1

add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction

bind cs vserver explicitswg -policyName  CiPolicy -priority 200 -type response
<!--NeedCopy-->

Konfigurieren Sie die Proxy-Einstellungen

  1. Navigieren Sie zu Sicherheit > SSL Forward Proxy > SSL Forward Proxy Wizard.

  2. Klicken Sie auf Erste Schritte und dann auf Weiter.

  3. Geben Sie im Dialogfeld Proxy-Einstellungen einen Namen für den expliziten Proxyserver ein.

  4. Wählen Sie für den AufnahmemodusExplizitaus.

  5. Geben Sie eine IP-Adresse und eine Portnummer ein.

    Expliziter Proxy

  6. Klicken Sie auf Weiter.

Konfigurieren Sie die SSL-Abfangeinstellungen

  1. Wählen Sie SSL-Abfangen aktivierenaus.

    SSL-Interception

  2. Wählen Sie unter SSL-Profilein vorhandenes Profil aus oder klicken Sie auf „+“, um ein neues Front-End-SSL-Profil hinzuzufügen. Aktivieren Sie das Abfangen von SSL-Sitzungen in diesem Profil. Wenn Sie ein vorhandenes Profil auswählen, überspringen Sie den nächsten Schritt.

    SSL-Profil

  3. Klicken Sie auf OK und dann auf Fertig.

  4. Wählen Sie unter Select SSL Interception CA Certificate-Key Pair ein vorhandenes Zertifikat aus oder klicken Sie auf “+”, um ein CA-Zertifikatsschlüsselpaar für die SSL-Interception zu installieren. Wenn Sie ein vorhandenes Zertifikat auswählen, überspringen Sie den nächsten Schritt.

    SSL-Abfangzertifikat-Schlüsselpaar

  5. Klicken Sie auf Installieren und dann auf Schließen.

  6. Fügen Sie eine Richtlinie hinzu, um den gesamten Verkehr abzufangen. Klicken Sie auf Bind. Klicken Sie auf Hinzufügen, um eine neue Richtlinie hinzuzufügen, oder wählen Sie eine vorhandene Richtlinie aus. Wenn Sie eine vorhandene Richtlinie auswählen, klicken Sie auf Einfügenund überspringen Sie die nächsten drei Schritte.

    SSL-Richtlinie hinzufügen

  7. Geben Sie einen Namen für die Richtlinie ein und wählen Sie Erweitert. Geben Sie im Ausdruckseditor true ein.

  8. Wählen Sie für AktionABFANGEN aus.

    SSL-Richtlinie wahr

  9. Klicken Sie auf Erstellen.

  10. Klicken Sie viermal auf Weiter und dann auf Fertig.

Konfigurieren Sie die ICAP-Einstellungen

  1. Navigieren Sie zu Load Balancing > Services und klicken Sie auf Hinzufügen.

  2. Geben Sie einen Namen und eine IP-Adresse ein. Wählen Sie unter Protokolldie Option TCP aus. Geben Sie im Feld Portden Wert 1344 ein. Klicken Sie auf OK.

  3. Navigieren Sie zu SSL Forward Proxy > Proxy Virtual Servers. Fügen Sie einen virtuellen Proxyserver hinzu oder wählen Sie einen virtuellen Server aus und klicken Sie auf Bearbeiten. Nachdem Sie die Details eingegeben haben, klicken Sie auf OK.

    Klicken Sie erneut auf OK.

  4. Klicken Sie in den Erweiterten Einstellungenauf Richtlinien.

  5. Wählen Sie unter Choose Policy die Option Content Inspection aus. Klicken Sie auf Weiter.

  6. Klicken Sie unter Richtlinie auswählen auf das “+”-Zeichen, um eine Richtlinie hinzuzufügen.

    Richtlinie für Inhaltsinspektion hinzufügen

  7. Geben Sie einen Namen für die Richtlinie ein. Klicken Sie unter Aktionauf das „+“ -Zeichen, um eine Aktion hinzuzufügen.

    Aktion zur Inhaltsinspektion hinzufügen

  8. Geben Sie einen Namen für die Aktion ein. Geben Sie im Feld Servername den Namen des zuvor erstellten TCP-Dienstes ein. Klicken Sie im ICAP-Profil auf das “+”-Zeichen, um ein ICAP-Profil hinzuzufügen.

  9. Geben Sie einen Profilnamen ein, URI. Wählen Sie unter Modusdie Option REQMOD aus.

    ICAP-Profil

  10. Klicken Sie auf Erstellen.

  11. Klicken Sie auf der Seite ICAP-Aktion erstellen auf Erstellen.

  12. Geben Sie auf der Seite ICAP-Richtlinie erstellen im Ausdruckseditor den Wert true ein. Klicken Sie dann auf Erstellen.

    Erstellung von ICAP-Richtlinien

  13. Klicken Sie auf Bind.

  14. Wenn Sie aufgefordert werden, die Funktion zur Inhaltsüberprüfung zu aktivieren, wählen Sie Ja aus.

  15. Klicken Sie auf Fertig.

    Done

Beispiel für ICAP-Transaktionen zwischen der NetScaler-Appliance und dem ICAP-Server in RESPMOD

Anfrage von der NetScaler-Appliance an den ICAP-Server:

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0

Host: 10.106.137.15

Connection: Keep-Alive

Encapsulated: res-hdr=0, res-body=282

HTTP/1.1 200 OK

Date: Fri, 01 Dec 2017 11:55:18 GMT

Server: Apache/2.2.21 (Fedora)

Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT

ETag: "20169-45-55f457f42aee4"

Accept-Ranges: bytes

Content-Length: 69

Keep-Alive: timeout=15, max=100

Content-Type: text/plain; charset=UTF-8

X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
<!--NeedCopy-->

Antwort vom ICAP-Server auf die NetScaler Appliance:

ICAP/1.0 200 OK

Connection: keep-alive

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Encapsulated: res-hdr=0, res-body=224

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

ISTag: "9.8-13.815.00-3.100.1027-1.0"

X-Virus-ID: Eicar_test_file

X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;

HTTP/1.1 403 Forbidden

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Cache-Control: no-cache

Content-Type: text/html; charset=UTF-8

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

Content-Length: 5688

<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>

…

…

</body></html>
<!--NeedCopy-->
Anwendungsfall: Sicherstellung der Sicherheit eines Unternehmensnetzwerks mithilfe von ICAP zur Malware-Inspektion per Fernzugriff