Citrix ADC

ユースケース:ICAP を使用したリモートマルウェア検査による企業ネットワークの安全性の確保

Citrix ADCアプライアンスはプロキシとして機能し、すべてのクライアントトラフィックを代行受信します。アプライアンスは、ポリシーを使用してトラフィックを評価し、リソースが存在するオリジンサーバーにクライアント要求を転送します。アプライアンスはオリジンサーバーからの応答を復号化し、プレーンテキストのコンテンツをICAPサーバーに転送してマルウェア対策チェックを行います。ICAPサーバーは、「適応不要」、エラー、または変更要求を示すメッセージで応答します。ICAP サーバーからの応答に応じて、要求されたコンテンツがクライアントに転送されるか、適切なメッセージが送信されます。

このユースケースでは、Citrix ADCアプライアンスで一般的な構成、プロキシとSSLインターセプションに関連する構成、およびICAP構成を実行する必要があります。

一般的な構成

次のエンティティを構成します。

  • NSIPアドレス
  • サブネットIP(SNIP)アドレス
  • DNS ネームサーバー
  • SSLインターセプションのためにサーバ証明書に署名するための CA 証明書とキーのペア

プロキシサーバと SSL インターセプションの設定

次のエンティティを構成します。

  • エクスプリシットモードのプロキシサーバで、すべてのアウトバウンド HTTP および HTTPS トラフィックを代行受信します。
  • SSL プロファイルを使用して、接続の SSL 設定(暗号やパラメータなど)を定義します。
  • SSL ポリシーを使用して、トラフィックを代行受信するためのルールを定義します。すべてのクライアント要求をインターセプトするには、true に設定します。

詳細については、次のトピックを参照してください。

次の構成例では、マルウェア対策検出サービスがwww.example.comにあります。

一般的な設定例

add dns nameServer 203.0.113.2

add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

プロキシサーバーと SSL インターセプション設定の例:

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ

ICAP 設定の例:

add service icap_svc 203.0.113.225 TCP 1344

enable ns feature contentinspection

add icapprofile icapprofile1 -uri /example.com -Mode RESMOD

add contentInspection action CiRemoteAction -type ICAP -serverName  icap_svc -icapProfileName icapprofile1

add contentInspection policy CiPolicy -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action CiRemoteAction

bind cs vserver explicitswg -policyName  CiPolicy -priority 200 -type response

プロキシ設定を構成する

  1. [セキュリティ] > [SSL 転送プロキシ] > [SSL 転送プロキシウィザード] に移動します。

  2. [は じめに] をクリックし、[続行] をクリックします。

  3. [プロキシ設定] ダイアログボックスで、明示的なプロキシサーバーの名前を入力します。

  4. [キャプチャモード] で [明示的] を選択します。

  5. IP アドレスとポート番号を入力します。

    ローカライズされた画像

  6. [続行] をクリックします。

SSLインターセプション設定の構成

  1. SSLインターセプションを有効にする」を選択します。

    ローカライズされた画像

  2. [SSL プロファイル] で、既存のプロファイルを選択するか、[+] をクリックして新しいフロントエンド SSL プロファイルを追加します。このプロファイルで**SSL セッションインターセプション**を有効にします。既存のプロファイルを選択する場合は、次の手順をスキップします。

    ローカライズされた画像

  3. [OK] をクリックし、[完了] をクリックします。

  4. SSLインターセプションCA 証明書とキーペアの選択」で、既存の証明書を選択するか、「+」をクリックして SSLインターセプション用の CA 証明書とキーペアをインストールします。既存の証明書を選択した場合は、次の手順をスキップします。

    ローカライズされた画像

  5. [インストール] をクリックし、[閉じる] をクリックします。

  6. すべてのトラフィックを代行受信するポリシーを追加します。[バインド] をクリックします。[Add] をクリックして新しいポリシーを追加するか、既存のポリシーを選択します。既存のポリシーを選択した場合は、[Insert] をクリックし、次の 3 つの手順をスキップします。

    ローカライズされた画像

  7. ポリシーの名前を入力し、[詳細設定] を選択します。式エディタで true と入力します。

  8. [アクション] で、[インターセプト] を選択します。

    ローカライズされた画像

  9. [作成] をクリックします。

  10. [続行] を 4 回クリックし、[完了] をクリックします。

ICAPの設定を構成する

  1. [負荷分散] > [サービス] に移動し、[追加] をクリックします。

    ローカライズされた画像

  2. 名前と IP アドレスを入力します。「 プロトコル」で、「 TCP」を選択します。[ポート] に 1344と入力します。[OK] をクリックします。

    ローカライズされた画像

  3. [SSL フォワードプロキシ] > [プロキシ仮想サーバー] に移動します。プロキシ仮想サーバーを追加するか、仮想サーバーを選択して「 編集」をクリックします。詳細を入力したら、[OK] をクリックします。

    ローカライズされた画像

    もう一度 [OK] をクリックします

    ローカライズされた画像

  4. [詳細設定]で、[ポリシー] をクリックします。

    ローカライズされた画像

  5. 「ポリシーの選択」で、「 コンテンツ検査」を選択します。[続行] をクリックします。

    ローカライズされた画像

  6. [ポリシーの選択] で、[+] 記号をクリックしてポリシーを追加します。

    ローカライズされた画像

  7. ポリシーの名前を入力します。[アクション] で、[+] 記号をクリックしてアクションを追加します。

    ローカライズされた画像

  8. アクションの名前を入力します。[サーバー名]に、以前に作成した TCP サービスの名前を入力します。ICAPプロファイルで、「+」記号をクリックしてICAPプロファイルを追加します。

    ローカライズされた画像

  9. プロファイル名「URI」を入力します。「 モード」で「 REQMOD」を選択します。

    ローカライズされた画像

  10. [作成] をクリックします。

    ローカライズされた画像

  11. ICAPアクションの作成 」ページで、「 作成 」をクリックします。

    ローカライズされた画像

  12. ICAP ポリシーの作成 ページで、 式エディター に true と入力します。次に、[作成] をクリックします。

    ローカライズされた画像

  13. [バインド] をクリックします。

    ローカライズされた画像

  14. コンテンツ検査機能を有効にするかどうかを確認するメッセージが表示されたら、[Yes] を選択します。

    ローカライズされた画像

  15. [完了] をクリックします。

    ローカライズされた画像

Citrix ADCアプライアンスとRESPMODのICAPサーバーとの間のサンプルICAPトランザクション

Citrix ADCアプライアンスからICAPサーバーへの要求

RESPMOD icap://10.106.137.15:1344/resp ICAP/1.0

Host: 10.106.137.15

Connection: Keep-Alive

Encapsulated: res-hdr=0, res-body=282

HTTP/1.1 200 OK

Date: Fri, 01 Dec 2017 11:55:18 GMT

Server: Apache/2.2.21 (Fedora)

Last-Modified: Fri, 01 Dec 2017 11:16:16 GMT

ETag: "20169-45-55f457f42aee4"

Accept-Ranges: bytes

Content-Length: 69

Keep-Alive: timeout=15, max=100

Content-Type: text/plain; charset=UTF-8

X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

ICAPサーバーからCitrix ADCアプライアンスへの応答

ICAP/1.0 200 OK

Connection: keep-alive

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Encapsulated: res-hdr=0, res-body=224

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

ISTag: "9.8-13.815.00-3.100.1027-1.0"

X-Virus-ID: Eicar_test_file

X-Infection-Found: Type=0; Resolution=2; Threat=Eicar_test_file;

HTTP/1.1 403 Forbidden

Date: Fri, 01 Dec, 2017 11:40:42 GMT

Cache-Control: no-cache

Content-Type: text/html; charset=UTF-8

Server: IWSVA 6.5-SP1_Build_Linux_1080 $Date: 04/09/2015 01:19:26 AM$

Content-Length: 5688

<html><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=UTF-8"/>

…

…

</body></html>

ユースケース:ICAP を使用したリモートマルウェア検査による企業ネットワークの安全性の確保