ADC

Cas d’utilisation : sécurisation d’un réseau d’entreprise à l’aide du protocole ICAP pour l’inspection à distance des programmes malveillants

L’appliance NetScaler agit comme un proxy et intercepte tout le trafic client. L’appliance utilise des stratégies pour évaluer le trafic et transmet les demandes client au serveur d’origine sur lequel réside la ressource. L’appliance déchiffre la réponse du serveur d’origine et transmet le contenu en texte brut au serveur ICAP pour une vérification antimalware. Le serveur ICAP répond par un message indiquant « Aucune adaptation requise », une erreur ou une demande modifiée. En fonction de la réponse du serveur ICAP, le contenu demandé est soit transféré au client, soit un message approprié est envoyé.

Pour ce cas d’utilisation, vous devez effectuer une configuration générale, une configuration liée au proxy et à l’interception SSL, ainsi qu’une configuration ICAP sur l’appliance NetScaler.

Configuration générale

Configurez les entités suivantes :

  • Adresse NSIP
  • Adresse IP du sous-réseau (SNIP)
  • Serveur de noms DNS
  • Paire de clés de certificat CA pour signer le certificat du serveur pour l’interception SSL

Configuration du serveur proxy et de l’interception SSL

Configurez les entités suivantes :

  • Serveur proxy en mode explicite pour intercepter tout le trafic HTTP et HTTPS sortant.
  • Profil SSL pour définir les paramètres SSL, tels que les chiffrements et les paramètres, pour les connexions.
  • Stratégie SSL pour définir les règles d’interception du trafic. Définissez cette valeur sur true pour intercepter toutes les demandes des clients.

Pour plus de détails, consultez les rubriques suivantes :

Dans l’exemple de configuration suivant, le service de détection des programmes malveillants se trouve à www.example.coml’adresse.

Exemple de configuration générale :

add dns nameServer 203.0.113.2

add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
<!--NeedCopy-->

Exemple de configuration du serveur proxy et de l’interception SSL :

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->

Exemple de configuration ICAP :

add service icap_svc 203.0.113.225 TCP 1344

enable ns feature contentinspection

add icapprofile icapprofile1 -uri /example.com -Mode RESMOD

add contentInspection action CiRemoteAction -type ICAP -serverName  icap_svc -icapProfileName icapprofile1

add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction

bind cs vserver explicitswg -policyName  CiPolicy -priority 200 -type response
<!--NeedCopy-->

Configurer les paramètres du proxy

  1. Accédez à Sécurité > Proxy de transfert SSL> Assistant de transfert de proxySSL.

  2. Cliquez sur Commencer, puis cliquez sur Continuer.

  3. Dans la boîte de dialogue Paramètres du proxy, saisissez un nom pour le serveur proxy explicite.

  4. Pour le mode de capture, sélectionnez Explicite.

  5. Entrez une adresse IP et un numéro de port.

    Proxy explicite

  6. Cliquez sur Continuer.

Configurez les paramètres d’interception SSL

  1. Sélectionnez Activer l’interception SSL.

    Interception SSL

  2. Dans Profil SSL, sélectionnez un profil existant ou cliquez sur « + » pour ajouter un nouveau profil SSL frontal. Activez l’ interception des sessions SSL dans ce profil. Si vous sélectionnez un profil existant, passez à l’étape suivante.

    Profil SSL

  3. Cliquez sur OK, puis sur Terminé.

  4. Dans Sélectionner une paire de clés de certificat CA d’interception SSL, sélectionnez un certificat existant ou cliquez sur « + » pour installer une paire de clés de certificat CA pour l’interception SSL. Si vous sélectionnez un certificat existant, passez à l’étape suivante.

    Paire de clés de certificat d'interception SSL

  5. Cliquez sur Installer, puis sur Fermer.

  6. Ajoutez une stratégie pour intercepter tout le trafic. Cliquez sur Bind. Cliquez sur Ajouter pour ajouter une nouvelle stratégie ou sélectionner une stratégie existante. Si vous sélectionnez une stratégie existante, cliquez sur Inséreret ignorez les trois étapes suivantes.

    Ajouter une stratégie SSL

  7. Entrez le nom de la stratégie et sélectionnez Avancé. Dans l’éditeur d’expressions, saisissez true.

  8. Pour Action, sélectionnez INTERCEPTER.

    Stratégie SSL true

  9. Cliquez sur Créer.

  10. Cliquez quatre fois sur Continuer, puis sur Terminé.

Configuration des paramètres ICAP

  1. Accédez à Équilibrage de charge > Services et cliquez sur Ajouter.

  2. Entrez un nom et une adresse IP. Dans Protocole, sélectionnez TCP. Dans Port, tapez 1344. Cliquez sur OK.

  3. Accédez à SSL Forward Proxy > Serveurs virtuels proxy. Ajoutez un serveur virtuel proxy ou sélectionnez un serveur virtuel et cliquez sur Modifier. Après avoir saisi les détails, cliquez sur OK.

    Cliquez à nouveau sur OK .

  4. Dans Paramètres avancés, cliquez sur Stratégies.

  5. Dans Choisir une stratégie, sélectionnez Inspection du contenu. Cliquez sur Continuer.

  6. Dans Sélectionner une stratégie, cliquez sur le signe « + » pour ajouter une stratégie.

    Ajouter une stratégie d'inspection du contenu

  7. Entrez un nom pour la stratégie. Dans Action, cliquez sur le signe « + » pour ajouter une action.

    Ajouter une action de stratégie d'inspection du contenu

  8. Tapez le nom de l’action. Dans Nom du serveur, tapez le nom du service TCP créé précédemment. Dans le profil ICAP, cliquez sur le signe « + » pour ajouter un profil ICAP.

  9. Tapez un nom de profil, une URI. Dans Mode, sélectionnez REQMOD.

    Profil ICAP

  10. Cliquez sur Créer.

  11. Dans la page Créer une action ICAP, cliquez sur Créer.

  12. Sur la page Créer une stratégie ICAP, saisissez true dans l’ éditeur d’expression. Cliquez ensuite sur Créer.

    Création de stratégies ICAP

  13. Cliquez sur Bind.

  14. Lorsque vous êtes invité à activer la fonction d’inspection du contenu, sélectionnez Oui.

  15. Cliquez sur Terminé.

    Done

Exemples de transactions ICAP entre l’appliance NetScaler et le serveur ICAP dans RESPMOD

Demande de l’appliance NetScaler au serveur ICAP :

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0

Host: 10.106.137.15

Connection: Keep-Alive

Encapsulated: res-hdr=0, res-body=282

HTTP/1.1 200 OK

Date: Fri, 01 Dec 2017 11:55:18 GMT

Server: Apache/2.2.21 (Fedora)

Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT

ETag: "20169-45-55f457f42aee4"

Accept-Ranges: bytes

Content-Length: 69

Keep-Alive: timeout=15, max=100

Content-Type: text/plain; charset=UTF-8

X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
<!--NeedCopy-->

Réponse du serveur ICAP à l’appliance NetScaler :

ICAP/1.0 200 OK

Connection: keep-alive

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Encapsulated: res-hdr=0, res-body=224

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

ISTag: "9.8-13.815.00-3.100.1027-1.0"

X-Virus-ID: Eicar_test_file

X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;

HTTP/1.1 403 Forbidden

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Cache-Control: no-cache

Content-Type: text/html; charset=UTF-8

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

Content-Length: 5688

<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>

…

…

</body></html>
<!--NeedCopy-->
Cas d’utilisation : sécurisation d’un réseau d’entreprise à l’aide du protocole ICAP pour l’inspection à distance des programmes malveillants