Uso de ICAP para la inspección remota de contenido

Internet Content Adaptation Protocol (ICAP) es un protocolo abierto simple y ligero. Normalmente se utiliza para transportar mensajes HTTP entre el proxy y los dispositivos que proporcionan soporte antimalware y servicios de prevención de fugas de datos. ICAP ha creado una interfaz estándar para la adaptación de contenidos para permitir una mayor flexibilidad en la distribución de contenidos y proporcionar un servicio de valor añadido. Un cliente ICAP reenvía solicitudes y respuestas HTTP a un servidor ICAP para su procesamiento. El servidor ICAP realiza alguna transformación en las solicitudes y envía respuestas al cliente ICAP, con la acción adecuada en la solicitud o respuesta.

Uso de ICAP en el dispositivo Citrix Secure Web Gateway

Nota

La función de inspección de contenido requiere una licencia SWG Edition.

El dispositivo Citrix Secure Web Gateway (SWG) actúa como cliente ICAP y utiliza directivas para interactuar con servidores ICAP. El dispositivo se comunica con servidores ICAP de terceros que se especializan en funciones como antimalware y prevención de fugas de datos (DLP). Cuando se utiliza ICAP en un dispositivo SWG, también se analizan los archivos cifrados. Los proveedores de seguridad anteriormente omirieron estos archivos. El dispositivo realiza la interceptación SSL, descifra el tráfico del cliente y lo envía al servidor ICAP. El servidor ICAP comprueba la detección de virus, malware o spyware, la inspección de fugas de datos o cualquier otro servicio de adaptación de contenido. El dispositivo actúa como proxy, descifra la respuesta del servidor de origen y la envía en texto sin formato al servidor ICAP para su inspección. Configure directivas para seleccionar el tráfico que se envía a los servidores ICAP.

El flujo de modo de solicitud funciona de la siguiente manera:

Imagen localizada

(1) El dispositivo Citrix SWG intercepta las solicitudes del cliente. (2) El dispositivo reenvía estas solicitudes al servidor ICAP, según las directivas configuradas en el dispositivo. (3) El servidor ICAP responde con un mensaje que indica “No se requiere adaptación”, error o solicitud modificada. El dispositivo (4) reenvía el contenido al servidor de origen solicitado por el cliente o (5) devuelve un mensaje adecuado al cliente.

El flujo del modo de respuesta funciona de la siguiente manera:

Imagen localizada

(1) El servidor de origen responde al dispositivo Citrix SWG. (2) El dispositivo reenvía la respuesta al servidor ICAP, en función de las directivas configuradas en el dispositivo. (3) El servidor ICAP responde con un mensaje que indica “No se requiere adaptación”, error o solicitud modificada. (4) Dependiendo de la del servidor ICAP, el dispositivo reenvía el contenido solicitado al cliente o envía un mensaje apropiado.

Configuración de ICAP en el dispositivo Citrix Secure Web Gateway

En los siguientes pasos se explica cómo configurar ICAP en el dispositivo Citrix SWG.

  1. Habilite la función de inspección de contenido.
  2. Configurar un servidor proxy.
  3. Configure un servicio TCP que represente el servidor ICAP. Para establecer una conexión segura entre el dispositivo SWG y el servicio ICAP, especifique el tipo de servicio como SSL_TCP. Para obtener más información acerca de ICAP seguro, consulte la sección “Secure ICAP” más adelante en esta página.
  4. Opcionalmente, agregue un servidor virtual de equilibrio de carga para equilibrar la carga de los servidores ICAP y enlazar el servicio ICAP a este servidor virtual.
  5. Configure un perfil ICAP personalizado. El perfil debe incluir el URI o la ruta de acceso del servicio ICAP y el modo ICAP (solicitud o respuesta). No hay perfiles predeterminados ICAP similares a los perfiles predeterminados HTTP y TCP.
  6. Configure una acción de inspección de contenido y especifique el nombre del perfil ICAP. Especifique el nombre del servidor virtual de equilibrio de carga o el nombre del servicio TCP/SSL_TCP en el parámetro nombre del servidor.
  7. Configure una directiva de inspección de contenido para evaluar el tráfico del cliente y vincularlo al servidor proxy. Especifique la acción de inspección de contenido en esta directiva.

Configurar ICAP mediante la CLI

Configure las siguientes entidades:

  1. Habilite la función.

    enable ns feature contentInspection

  2. Configurar un servidor proxy.

    add cs vserver <name> PROXY <IPAddress>

    Ejemplo:

    add cs vserver explicitswg PROXY 192.0.2.100 80

  3. Configure un servicio TCP para representar los servidores ICAP.

    add service <name> <IP> <serviceType> <port>

    Especifique el tipo de servicio como SSL_TCP para una conexión segura con el servidor ICAP.

    Ejemplo:

    add service icap_svc1 203.0.113.100 TCP 1344

    add service icap_svc 203.0.113.200 SSL_TCP 11344

  4. Configurar un servidor virtual de equilibrio de carga.

    add lb vserver <name> <serviceType> <IPAddress> <port>

    Ejemplo:

    add lbvserver lbicap TCP 0.0.0.0 0

    Enlace el servicio ICAP al servidor virtual de equilibrio de carga.

    bind lb vserver <name> <serviceName>

    Ejemplo:

    bind lb vserver lbicap icap_svc

  5. Agregue un perfil ICAP personalizado.

    add ns icapProfile <name> -uri <string> -Mode ( REQMOD | RESPMOD )

    Ejemplo:

    add icapprofile icapprofile1 -uri /example.com -Mode REQMOD

    Parámetros

    nombre

              Nombre de un perfil ICAP. Debe comenzar con un carácter alfanumérico o de subrayado ASCII (_), y debe contener sólo caracteres ASCII alfanuméricos, subrayado, hash (#), punto (.), espacio,  dos puntos (:), al signo (@), signo igual (=) y guión (-).
    
    Usuarios de          CLI: si el nombre incluye uno o más espacios, encierre el nombre entre comillas dobles o simples (por ejemplo, “mi perfil de icap” o 'mi perfil icap').
    
    Longitud          máxima: 127
    

    uri

              URI que representa la ruta de acceso del servicio ICAP.
    
    Longitud          máxima: 511 caracteres
    

    Modo

    Modo          ICAP. Los ajustes disponibles funcionan de la siguiente manera:
    
    • REQMOD: En el modo de modificación de solicitud, el cliente ICAP reenvía una solicitud HTTP al servidor ICAP.

    • RESPMOD: En el modo de modificación de respuesta, el servidor ICAP reenvía una respuesta HTTP desde el servidor de origen al servidor ICAP.

      Valores       posibles: REQMOD, RESPMOD
      
  6. Configure una acción para realizar si la directiva devuelve true.

    add contentInspection action <name> -type ICAP -serverName <string> -icapProfileName <string>

    Ejemplo:

    add contentInspection action CiRemoteAction -type ICAP -serverName lbicap -icapProfileName icapprofile1

  7. Configure una directiva para evaluar el tráfico.

    add contentInspection policy <name> -rule <expression> -action <string>

    Ejemplo:

    add contentInspection policy CiPolicy -rule true -action CiRemoteAction

  8. Vincular la directiva al servidor proxy.

    bind cs vserver <vServerName> -policyName <string> -priority <positive_integer> -type [REQUEST | RESPONSE]

    Ejemplo:

    bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type REQUEST

Configurar ICAP mediante la GUI

Siga estos pasos:

  1. Vaya a Equilibrio de carga > Servicios y haga clic en Agregar.

    Imagen localizada

  2. Escriba un nombre y una dirección IP. En Protocolo, seleccione TCP. En Puerto, escriba 1344. Haga clic en Aceptar.

    Para una conexión segura a los servidores ICAP, seleccione protocolo TCP_SSL y especifique el puerto como 11344.

    Imagen localizada

  3. Vaya a Secure Web Gateway > Servidores virtuales proxy . Agregue un servidor virtual proxy o seleccione un servidor virtual y haga clic en Editar. Después de introducir los detalles, haga clic en Aceptar.

    Imagen localizada

    Vuelva a hacer clic en Aceptar.

    Imagen localizada

  4. En Configuración avanzada, haga clic en Directivas.

    Imagen localizada

  5. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

    Imagen localizada

  6. En Seleccionar directiva, haga clic en el signo “+” para agregar una directiva.

    Imagen localizada

  7. Introduzca un nombre para la directiva. En Acción, haga clic en el signo “+” para agregar una acción.

    Imagen localizada

  8. Escriba un nombre para la acción. En Nombre del servidor, escriba el nombre del servicio TCP creado anteriormente. En Perfil ICAP, haga clic en el signo “+” para agregar un perfil ICAP.

    Imagen localizada

  9. Escriba un nombre de perfil, URI. En Modo, seleccione REQMOD.

    Imagen localizada

  10. Haga clic en Crear.

    Imagen localizada

  11. En la página Crear Acción ICAP, haga clic en Crear.

    Imagen localizada

  12. En la página Crear directiva ICAP, escriba true en el Editor de expresiones . A continuación, haga clic en Crear.

    Imagen localizada

  13. Haga clic en Bind.

    Imagen localizada

  14. Cuando se le pida que habilite la función de inspección de contenido, seleccione .

    Imagen localizada

  15. Haga clic en Done.

    Imagen localizada

Seguro ICAP

Puede establecer una conexión segura entre el dispositivo SWG y los servidores ICAP. Para ello, cree un servicio SSL_TCP en lugar de un servicio TCP. Configurar un servidor virtual de equilibrio de carga de tipo SSL_TCP. Enlace el servicio ICAP al servidor virtual de equilibrio de carga.

Configurar ICAP seguro mediante la CLI

En el símbolo del sistema, escriba:

  • add service <name> <IP> SSL_TCP <port>
  • add lb vserver <name> <serviceType> <IPAddress> <port>
  • bind lb vserver <name> <serviceName>

Ejemplo:

add service icap_svc 203.0.113.100 SSL_TCP 1344

add lbvserver lbicap SSL_TCP 0.0.0.0 0

bind lb vserver lbicap icap_svc

Configurar ICAP seguro mediante la GUI

  1. Vaya a Equilibrio de carga > Servidores virtuales y haga clic en Agregar.
  2. Especifique un nombre para el servidor virtual, la dirección IP y el puerto. Especifique el protocolo como SSL_TCP.
  3. Haga clic en Aceptar.
  4. Haga clic dentro de la sección Enlace del servicio de servidor virtual de equilibrio de carga para agregar un servicio ICAP.
  5. Haga clic en “+” para agregar un servicio.
  6. Especifique un nombre de servicio, una dirección IP, un protocolo (SSL_TCP) y un puerto (el puerto predeterminado para ICAP seguro es 11344).
  7. Haga clic en Aceptar.
  8. Haga clic en Done.
  9. Haga clic en Bind.
  10. Haga clic en Continuar dos veces.
  11. Haga clic en Done.

Limitaciones

No se admiten las siguientes características:

  • Caché de respuesta ICAP.
  • Inserción de encabezado X-Auth-User-URI.
  • Insertando la solicitud HTTP en la solicitud ICAP en RESPMOD.