Utilisation d’ICAP pour l’inspection du contenu à distance

Internet Content Adaptation Protocol (ICAP) est un protocole ouvert simple et léger. Il est généralement utilisé pour transporter des messages HTTP entre le proxy et les périphériques qui fournissent la prise en charge des programmes malveillants et des services de prévention des fuites de données. L’ICAP a créé une interface standard pour l’adaptation du contenu afin de permettre une plus grande flexibilité dans la distribution du contenu et de fournir un service à valeur ajoutée. Un client ICAP transfère des requêtes HTTP et des réponses à un serveur ICAP pour traitement. Le serveur ICAP effectue une transformation sur les demandes et renvoie les réponses au client ICAP, avec l’action appropriée sur la demande ou la réponse.

Utilisation d’ICAP sur l’appliance Citrix Secure Web Gateway

Remarque

La fonction d’inspection du contenu nécessite une licence SWG Edition.

L’appliance Citrix Secure Web Gateway (SWG) agit en tant que client ICAP et utilise des stratégies pour interagir avec les serveurs ICAP. L’appliance communique avec des serveurs ICAP tiers spécialisés dans des fonctions telles que la lutte contre les programmes malveillants et la prévention des fuites de données (DLP). Lorsque vous utilisez ICAP sur une appliance SWG, les fichiers chiffrés sont également analysés. Auparavant, les fournisseurs de sécurité ont contourné ces fichiers. L’appliance effectue une interception SSL, décrypte le trafic client et l’envoie au serveur ICAP. Le serveur ICAP vérifie la détection de virus, de logiciels malveillants ou de logiciels espions, l’inspection des fuites de données ou tout autre service d’adaptation de contenu. L’appliance agit en tant que proxy, décrypte la réponse du serveur d’origine et l’envoie en texte brut au serveur ICAP pour inspection. Configurez les stratégies pour sélectionner le trafic envoyé aux serveurs ICAP.

Le flux du mode de demande fonctionne comme suit :

image localisée

(1) L’appliance Citrix SWG intercepte les demandes du client. (2) L’appliance transmet ces demandes au serveur ICAP, en fonction des stratégies configurées sur l’appliance. (3) Le serveur ICAP répond par un message indiquant « Aucune adaptation requise », une erreur ou une demande modifiée. L’appliance (4) transmet le contenu au serveur d’origine demandé par le client ou (5) renvoie un message approprié au client.

Le flux du mode de réponse fonctionne comme suit :

image localisée

(1) Le serveur d’origine répond à l’appliance Citrix SWG. (2) L’appliance transmet la réponse au serveur ICAP, en fonction des stratégies configurées sur l’appliance. (3) Le serveur ICAP répond par un message indiquant « Aucune adaptation requise », ou une erreur ou une demande modifiée. (4) En fonction du paramètre du serveur ICAP, l’appliance transfère le contenu demandé au client ou envoie un message approprié.

Configuration d’ICAP sur l’appliance Citrix Secure Web Gateway

Les étapes suivantes expliquent comment configurer ICAP sur le dispositif Citrix SWG.

  1. Activez la fonction d’inspection du contenu.
  2. Configurez un serveur proxy.
  3. Configurez un service TCP qui représente le serveur ICAP. Pour établir une connexion sécurisée entre l’appliance SWG et le service ICAP, spécifiez le type de service SSL_TCP. Pour plus d’informations sur ICAP sécurisé, consultez la section « Secure ICAP » plus loin dans cette page.
  4. Vous pouvez également ajouter un serveur virtuel d’équilibrage de charge pour équilibrer la charge des serveurs ICAP et lier le service ICAP à ce serveur virtuel.
  5. Configurer un profil ICAP personnalisé. Le profil doit inclure l’URI ou le chemin d’accès du service ICAP et le mode ICAP (demande ou réponse). Il n’existe aucun profil ICAP par défaut similaire aux profils HTTP et TCP par défaut.
  6. Configurez une action d’inspection du contenu et spécifiez le nom du profil ICAP. Spécifiez le nom du serveur virtuel d’équilibrage de charge ou le nom du service TCP/SSL_TCP dans le paramètre de nom du serveur.
  7. Configurez une stratégie d’inspection de contenu pour évaluer le trafic client et le lier au serveur proxy. Spécifiez l’action de contrôle du contenu dans cette stratégie.

Configurer ICAP à l’aide de l’interface de ligne de commande

Configurez les entités suivantes :

  1. Activez la fonctionnalité.

    enable ns feature contentInspection

  2. Configurez un serveur proxy.

    add cs vserver <name> PROXY <IPAddress>

    Exemple :

    add cs vserver explicitswg PROXY 192.0.2.100 80

  3. Configurez un service TCP pour représenter les serveurs ICAP.

    add service <name> <IP> <serviceType> <port>

    Spécifiez le type de service SSL_TCP pour une connexion sécurisée avec le serveur ICAP.

    Exemple :

    add service icap_svc1 203.0.113.100 TCP 1344

    add service icap_svc 203.0.113.200 SSL_TCP 11344

  4. Configurer un serveur virtuel d’équilibrage de charge.

    add lb vserver <name> <serviceType> <IPAddress> <port>

    Exemple :

    add lbvserver lbicap TCP 0.0.0.0 0

    Liez le service ICAP au serveur virtuel d’équilibrage de charge.

    bind lb vserver <name> <serviceName>

    Exemple :

    bind lb vserver lbicap icap_svc

  5. Ajoutez un profil ICAP personnalisé.

    add ns icapProfile <name> -uri <string> -Mode ( REQMOD | RESPMOD )

    Exemple :

    add icapprofile icapprofile1 -uri /example.com -Mode REQMOD

    Paramètres

    nom

              Nom d'un profil ICAP. Doit commencer par un caractère alphanumérique ASCII ou soulignement (_) et ne contenir que des caractères alphanumériques ASCII, soulignement, hachage (#), point (.), espace,  deux-points ( :), signe à (@), signe égal (=) et tiret (-).
    
    Utilisateurs de l'          interface de ligne de commande : si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon profil icap » ou « mon profil icap »).
    
              Longueur maximale : 127
    

    URI

              URI représentant le chemin du service ICAP.
    
    Longueur          maximale : 511 caractères
    

    Mode

    Mode          ICAP. Les paramètres disponibles fonctionnent comme suit :
    
    • REQMOD : En mode de modification de demande, le client ICAP transmet une requête HTTP au serveur ICAP.

    • RESPMOD : En mode de modification de la réponse, le serveur ICAP transmet une réponse HTTP du serveur d’origine au serveur ICAP.

      Valeurs       possibles : REQMOD, RESPMOD
      
  6. Configurez une action à exécuter si la stratégie renvoie true.

    add contentInspection action <name> -type ICAP -serverName <string> -icapProfileName <string>

    Exemple :

    add contentInspection action CiRemoteAction -type ICAP -serverName lbicap -icapProfileName icapprofile1

  7. Configurez une stratégie pour évaluer le trafic.

    add contentInspection policy <name> -rule <expression> -action <string>

    Exemple :

    add contentInspection policy CiPolicy -rule true -action CiRemoteAction

  8. Liez la stratégie au serveur proxy.

    bind cs vserver <vServerName> -policyName <string> -priority <positive_integer> -type [REQUEST | RESPONSE]

    Exemple :

    bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type REQUEST

Configurer ICAP à l’aide de l’interface graphique

Procédez comme suit :

  1. Accédez à Équilibrage de charge > Services, puis cliquez sur Ajouter.

    image localisée

  2. Tapez un nom et une adresse IP. Dans Protocole, sélectionnez TCP. Dans Port, tapez 1344. Cliquez sur OK.

    Pour une connexion sécurisée aux serveurs ICAP, sélectionnez protocole TCP_SSL et spécifiez le port 11344.

    image localisée

  3. Accédez à Secure Web Gateway > Serveurs virtuels proxy. Ajoutez un serveur virtuel proxy ou sélectionnez un serveur virtuel et cliquez sur Modifier. Après avoir saisi les détails, cliquez sur OK.

    image localisée

    Cliquez à nouveau sur OK.

    image localisée

  4. Dans Paramètres avancés, cliquez sur Stratégies.

    image localisée

  5. Dans Choisir une stratégie, sélectionnez Inspection du contenu. Cliquez sur Continuer.

    image localisée

  6. Dans Sélectionner une stratégie, cliquez sur le signe « + » pour ajouter une stratégie.

    image localisée

  7. Entrez un nom pour la stratégie. Dans Action, cliquez sur le signe « + » pour ajouter une action.

    image localisée

  8. Tapez un nom pour l’action. Dans Nom du serveur, tapez le nom du service TCP créé précédemment. Dans Profil ICAP, cliquez sur le signe « + » pour ajouter un profil ICAP.

    image localisée

  9. Tapez un nom de profil, URI. En Mode, sélectionnez REQMOD.

    image localisée

  10. Cliquez sur Créer.

    image localisée

  11. Dans la page Créer une action ICAP, cliquez sur Créer.

    image localisée

  12. Dans la page Créer une stratégie ICAP, entrez true dans l’ éditeur d’expressions. Cliquez ensuite sur Créer.

    image localisée

  13. Cliquez sur Bind.

    image localisée

  14. Lorsque vous êtes invité à activer la fonction d’inspection du contenu, sélectionnez Oui.

    image localisée

  15. Cliquez sur Terminé.

    image localisée

ICAP sécurisé

Vous pouvez établir une connexion sécurisée entre l’appliance SWG et les serveurs ICAP. Pour ce faire, créez un service SSL_TCP au lieu d’un service TCP. Configurez un serveur virtuel d’équilibrage de charge de type SSL_TCP. Liez le service ICAP au serveur virtuel d’équilibrage de charge.

Configurer ICAP sécurisé à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add service <name> <IP> SSL_TCP <port>
  • add lb vserver <name> <serviceType> <IPAddress> <port>
  • bind lb vserver <name> <serviceName>

Exemple :

add service icap_svc 203.0.113.100 SSL_TCP 1344

add lbvserver lbicap SSL_TCP 0.0.0.0 0

bind lb vserver lbicap icap_svc

Configurer ICAP sécurisé à l’aide de l’interface graphique

  1. Accédez à Équilibrage de charge > Serveurs virtuels, puis cliquez sur Ajouter.
  2. Spécifiez un nom pour le serveur virtuel, l’adresse IP et le port. Spécifiez le protocole en tant que SSL_TCP.
  3. Cliquez sur OK.
  4. Cliquez dans la section Liaison de service serveur virtuel d’équilibrage de charge pour ajouter un service ICAP.
  5. Cliquez sur « + » pour ajouter un service.
  6. Spécifiez un nom de service, une adresse IP, un protocole (SSL_TCP) et un port (le port par défaut pour ICAP sécurisé est 11344).
  7. Cliquez sur OK.
  8. Cliquez sur Terminé.
  9. Cliquez sur Bind.
  10. Cliquez deux fois sur Continuer.
  11. Cliquez sur Terminé.

Limitations

Les fonctionnalités suivantes ne sont pas prises en charge :

  • Mise en cache des réponses ICAP.
  • Insertion de l’en-tête X-auth-User-URI.
  • Insertion de la requête HTTP dans la requête ICAP dans RESPMOD.