ADC

Caso de uso: Proteger una red empresarial mediante el uso de ICAP para la inspección remota de malware

El dispositivo NetScaler actúa como un proxy e intercepta todo el tráfico del cliente. El dispositivo utiliza directivas para evaluar el tráfico y reenvía las solicitudes de los clientes al servidor de origen en el que reside el recurso. El dispositivo descifra la respuesta del servidor de origen y reenvía el contenido de texto sin formato al servidor ICAP para una comprobación antimalware. El servidor ICAP responde con un mensaje que indica “No se requiere adaptación”, error o solicitud modificada. Según la respuesta del servidor ICAP, el contenido solicitado se reenvía al cliente o se envía el mensaje correspondiente.

Para este caso de uso, debe realizar una configuración general, una configuración relacionada con la intercepción de proxy y SSL y una configuración ICAP en el dispositivo NetScaler.

Configuración general

Configure las siguientes entidades:

  • Dirección NSIP
  • Dirección IP de subred (SNIP)
  • Servidor de nombres DNS
  • Par de claves de certificado de CA para firmar el certificado del servidor para la interceptación SSL

Configuración de servidor proxy e intercepción SSL

Configure las siguientes entidades:

  • Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
  • Perfil SSL para definir la configuración SSL, como cifrados y parámetros, para las conexiones.
  • Directiva SSL para definir reglas para interceptar el tráfico. Establézalo en true para interceptar todas las solicitudes de los clientes.

Para obtener más información, consulte los siguientes temas:

En el siguiente ejemplo de configuración, el servicio de detección antimalware reside en www.example.com.

Ejemplo de configuración general:

add dns nameServer 203.0.113.2

add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
<!--NeedCopy-->

Ejemplo de configuración de servidor proxy e intercepción SSL:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

Ejemplo de configuración de ICAP:

add service icap_svc 203.0.113.225 TCP 1344

enable ns feature contentinspection

add icapprofile icapprofile1 -uri /example.com -Mode RESMOD

add contentInspection action CiRemoteAction -type ICAP -serverName  icap_svc -icapProfileName icapprofile1

add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction

bind cs vserver explicitswg -policyName  CiPolicy -priority 200 -type response
<!--NeedCopy-->

Configurar los ajustes del proxy

  1. Vaya a Seguridad > Proxy de reenvío SSL> Asistente para proxyde reenvío SSL.

  2. Haga clic en Comenzar y, a continuación, en Continuar.

  3. En el cuadro de diálogo Configuración del proxy, introduzca un nombre para el servidor proxy explícito.

  4. Para el modo de captura, seleccione Explícito.

  5. Introduzca una dirección IP y un número de puerto.

    Proxy explícito

  6. Haga clic en Continuar.

Configurar los ajustes de interceptación SSL

  1. Seleccione Habilitar la intercepción SSL.

    Intercepción SSL

  2. En Perfil SSL, selecciona un perfil existente o haga clic en “+” para agregar un nuevo perfil SSL de interfaz. Habilite la intercepción de sesiones SSL en este perfil. Si selecciona un perfil existente, omita el paso siguiente.

    Perfil SSL

  3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

  4. En Seleccione el par de claves de certificado de CA de intercepción SSL, seleccione un certificado existente o haga clic en “+” para instalar un par de claves de certificado de CA para la interceptación SSL. Si selecciona un certificado existente, omita el paso siguiente.

    Par de claves de certificado de interceptación SSL

  5. Haga clic en Instalar y, a continuación, en Cerrar.

  6. Agrega una directiva para interceptar todo el tráfico. Haga clic en Bind. Haga clic en Agregar para agregar una nueva directiva o seleccione una directiva existente. Si selecciona una directiva existente, haga clic en Insertary omita los tres pasos siguientes.

    Agregar directiva SSL

  7. Escriba un nombre para la directiva y seleccione Avanzada. En el editor de expresiones, escriba true.

  8. En Acción, seleccione INTERCEPCIÓN.

    Directiva SSL true

  9. Haga clic en Crear.

  10. Haga clic en Continuar cuatro veces y, a continuación, haga clic en Listo.

Configure los ajustes del ICAP

  1. Vaya a Equilibrio de carga > Servicios y haga clic en Agregar.

  2. Escriba un nombre y una dirección IP. En Protocolo, selecciona TCP. En Puerto, escriba 1344. Haga clic en Aceptar.

  3. Vaya a SSL Forward Proxy > Servidores virtuales proxy. Agregue un servidor virtual proxy o seleccione un servidor virtual y haga clic en Modificar. Después de introducir los detalles, haga clic en Aceptar.

    Vuelva a hacer clic en Aceptar.

  4. En Configuración avanzada, haga clic en Directivas.

  5. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

  6. En Seleccione una directiva, haga clic en el signo “+” para agregar una directiva.

    Agregar una directiva de inspección de contenido

  7. Introduzca un nombre para la directiva. En Acción, haga clic en el signo “+” para agregar una acción.

    Agregar acción de directiva de inspección de contenido

  8. Escriba un nombre para la acción. En Nombre del servidor, escriba el nombre del servicio TCP creado anteriormente. En Perfil ICAP, haga clic en el signo “+” para agregar un perfil ICAP.

  9. Escriba un nombre de perfil, URI. En Modo, seleccione REQMOD.

    Perfil ICAP

  10. Haga clic en Crear.

  11. En la página Crear acción ICAP, haga clic en Crear.

  12. En la página Crear directiva ICAP, escriba true en el Editor de expresiones. A continuación, haga clic en Crear.

    Creación de directivas ICAP

  13. Haga clic en Bind.

  14. Cuando se le pida que active la función de inspección de contenido, seleccione .

  15. Haga clic en Listo.

    Done

Ejemplo de transacciones ICAP entre el dispositivo NetScaler y el servidor ICAP en RESPMOD

Solicitud del dispositivo NetScaler al servidor ICAP:

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0

Host: 10.106.137.15

Connection: Keep-Alive

Encapsulated: res-hdr=0, res-body=282

HTTP/1.1 200 OK

Date: Fri, 01 Dec 2017 11:55:18 GMT

Server: Apache/2.2.21 (Fedora)

Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT

ETag: "20169-45-55f457f42aee4"

Accept-Ranges: bytes

Content-Length: 69

Keep-Alive: timeout=15, max=100

Content-Type: text/plain; charset=UTF-8

X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
<!--NeedCopy-->

Respuesta del servidor ICAP al dispositivo NetScaler:

ICAP/1.0 200 OK

Connection: keep-alive

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Encapsulated: res-hdr=0, res-body=224

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

ISTag: "9.8-13.815.00-3.100.1027-1.0"

X-Virus-ID: Eicar_test_file

X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;

HTTP/1.1 403 Forbidden

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Cache-Control: no-cache

Content-Type: text/html; charset=UTF-8

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

Content-Length: 5688

<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>

…

…

</body></html>
<!--NeedCopy-->
Caso de uso: Proteger una red empresarial mediante el uso de ICAP para la inspección remota de malware