Caso de uso: Asegurar la seguridad de la red empresarial mediante ICAP para la inspección remota de malware

El dispositivo Citrix Secure Web Gateway (SWG) actúa como proxy e intercepta todo el tráfico del cliente. El dispositivo utiliza directivas para evaluar el tráfico y reenvía solicitudes de cliente al servidor de origen en el que reside el recurso. El dispositivo descifra la respuesta desde el servidor de origen y reenvía el contenido de texto sin formato al servidor ICAP para una comprobación antimalware. El servidor ICAP responde con un mensaje que indica “No se requiere adaptación”, o error o solicitud modificada. Dependiendo de la respuesta del servidor ICAP, el contenido solicitado se reenvía al cliente o se envía un mensaje apropiado.

Para este caso de uso, debe realizar alguna configuración general, configuración relacionada con la interceptación de proxy y SSL, así como configuración ICAP en el dispositivo Citrix SWG.

Configuración general

Configure las siguientes entidades:

  • Dirección NSIP
  • Dirección IP de subred (SNIP)
  • Servidor de nombres DNS
  • Pareja de certificado-clave de CA para firmar el certificado de servidor para la interceptación SSL

Servidor proxy y configuración de intercepción SSL

Configure las siguientes entidades:

  • Servidor proxy en modo explícito para interceptar todo el tráfico HTTP y HTTPS saliente.
  • Perfil SSL para definir definições SSL, como criptogramas e parâmetros, para conexões.
  • Política SSL para definir reglas para interceptar tráfico. Establezca en true para interceptar todas las solicitudes de cliente.

Para obtener más información, consulte los siguientes temas:

En la siguiente configuración de ejemplo, el servicio de detección de antimalware reside enwww.example.com.

Configuración general deejemplo:

add ns ip 192.0.2.5 255.255.255.0

add ns ip 198.51.100.5 255.255.255.0 -type SNIP

add dns nameServer 203.0.113.2

add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

Configuraciónde intercepción SSL y servidor proxy de ejemplo:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

Configuración ICAP de ejemplo:

add service icap_svc 203.0.113.225 TCP 1344

enable ns feature contentinspection

add icapprofile icapprofile1 -uri /example.com -Mode RESMOD

add contentInspection action CiRemoteAction -type ICAP -serverName  icap_svc -icapProfileName icapprofile1

add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction

bind cs vserver explicitswg -policyName  CiPolicy -priority 200 -type response

Configurar la dirección SNIP y el servidor de nombres DNS

  1. En un explorador Web, escriba la dirección NSIP. Por ejemplo, http://192.0.2.5.

  2. En User Name y Password, introduzca las credenciales de administrador. Aparecerá la siguiente pantalla. Si la siguiente pantalla no aparece, vaya a la sección de configuración del proxy.

    Imagen localizada

  3. Haga clic dentro de la sección Dirección IP de subred e introduzca una dirección IP.

    Imagen localizada

  4. Haga clic en Done.

  5. Haga clic dentro de la sección Nombre de host, Dirección IP DNS y Zona horaria, e introduzca valores para estos campos.

    Imagen localizada

  6. Haga clic en Listo y, a continuación, haga clic en Continuar.

Configurar la configuración del proxy

  1. Vaya a Secure Web Gateway > Asistente para Secure Web Gateway.

  2. Haga clic en Comenzar y, a continuación, haga clic en Continuar.

  3. En el cuadro de diálogo Configuración de proxy, escriba un nombre para el servidor proxy explícito.

  4. En Modo de captura, seleccione Explícito.

  5. Introduzca una dirección IP y un número de puerto.

    Imagen localizada

  6. Haga clic en Continuar.

Configurar los parámetros de intercepción SSL

  1. Seleccione Habilitar intercepción SSL.

    Imagen localizada

  2. En Perfil SSL, seleccione un perfil existente o haga clic en “+” para agregar un nuevo perfil SSL front-end. Habilite la intercepción de sesiones SSL en este perfil. Si selecciona un perfil existente, omita el siguiente paso.

    Imagen localizada

  3. Haga clic en Aceptar y, a continuación, haga clic en Listo.

  4. En Select SSL interception CA Certificate-Key Pair, seleccione un certificado existente o haga clic en “+” para instalar un par de claves de certificado de CA para la interceptación SSL. Si selecciona un certificado existente, omita el paso siguiente.

    Imagen localizada

  5. Haga clic en Instalar y, a continuación, en Cerrar.

  6. Agregue una directiva para interceptar todo el tráfico. Haga clic en Bind. Haga clic en Agregar para agregar una nueva directiva o seleccione una existente. Si selecciona una directiva existente, haga clic en Insertar y omita los tres pasos siguientes.

    Imagen localizada

  7. Introduzca un nombre para la directiva y seleccione Avanzadas. En el editor de expresiones, escriba true.

  8. En Acción, seleccione INTERCEPCIÓN.

    Imagen localizada

  9. Haga clic en Crear.

  10. Haga clic en Continuar cuatro veces y, a continuación, haga clic en Listo.

Configurar la configuración de ICAP

  1. Vaya a Equilibrio de carga > Servicios y haga clic en Agregar.

    Imagen localizada

  2. Escriba un nombre y una dirección IP. En Protocolo, seleccione TCP. En Puerto, escriba 1344. Haga clic en Aceptar.

    Imagen localizada

  3. Vaya a Secure Web Gateway > Servidores virtuales proxy. Agregue un servidor virtual proxy o seleccione un servidor virtual y haga clic en Editar. Después de introducir los detalles, haga clic en Aceptar.

    Imagen localizada

    Vuelva a hacer clic en Aceptar.

    Imagen localizada

  4. En Configuración avanzada, haga clic en Directivas.

    Imagen localizada

  5. En Elegir directiva, seleccione Inspección de contenido. Haga clic en Continuar.

    Imagen localizada

  6. En Seleccionar directiva, haga clic en el signo “+” para agregar una directiva.

    Imagen localizada

  7. Introduzca un nombre para la directiva. En Acción, haga clic en el signo “+” para agregar una acción.

    Imagen localizada

  8. Escriba un nombre para la acción. En Nombre del servidor, escriba el nombre del servicio TCP creado anteriormente. En Perfil ICAP, haga clic en el signo “+” para agregar un perfil ICAP.

    Imagen localizada

  9. Escriba un nombre de perfil, URI. En Modo, seleccione REQMOD.

    Imagen localizada

  10. Haga clic en Crear.

    Imagen localizada

  11. En la página Crear Acción ICAP, haga clic en Crear.

    Imagen localizada

  12. En la página Crear directiva ICAP, escriba true en el Editor de expresiones. A continuación, haga clic en Crear.

    Imagen localizada

  13. Haga clic en Bind.

    Imagen localizada

  14. Si se le solicita que active la función de inspección de contenido, seleccione .

    Imagen localizada

  15. Haga clic en Done.

    Imagen localizada

Transacciones ICAP de ejemplo entre el dispositivo Citrix SWG y el servidor ICAP en RESPMOD

Solicitud del dispositivo Citrix SWG al servidor ICAP:

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0

Host: 10.106.137.15

Connection: Keep-Alive

Encapsulated: res-hdr=0, res-body=282

HTTP/1.1 200 OK

Date: Fri, 01 Dec 2017 11:55:18 GMT

Server: Apache/2.2.21 (Fedora)

Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT

ETag: "20169-45-55f457f42aee4"

Accept-Ranges: bytes

Content-Length: 69

Keep-Alive: timeout=15, max=100

Content-Type: text/plain; charset=UTF-8

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Respuesta del servidor ICAP al dispositivo Citrix SWG:

ICAP/1.0 200 OK

Connection: keep-alive

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Encapsulated: res-hdr=0, res-body=224

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

ISTag: "9.8-13.815.00-3.100.1027-1.0"

X-Virus-ID: Eicar_test_file

X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;

HTTP/1.1 403 Forbidden

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Cache-Control: no-cache

Content-Type: text/html; charset=UTF-8

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

Content-Length: 5688

<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>

…

…

</body></html>