ICAP protegido con proxy TLS de stunnel
Puede utilizar el servicio stunnel para administrar la conexión cifrada para la exploración ICAP a fin de aumentar la seguridad.
1.Instale y active ESET Server Security for Linux.
2.Para habilitar la exploración ICAP, haga clic en Configuración > Motor de detección > Exploración remota > haga clic en el botón de alternancia situado junto a Habilitar la exploración remota mediante el servicio ICAP.
3.Instale stunnel por administrador de paquetes. En Ubuntu 20.04, ejecute el siguiente comando desde la ventana de terminal como un usuario con privilegios:
sudo apt install stunnel |
4.Almacene claves privadas y públicas para cifrar la comunicación por stunnel en un archivo con acceso restringido. Este certificado debe ser de confianza para un cliente ICAP, al que se conectará a ESSL través de esta conexión segura. Ejemplo de cómo almacenar claves y establecer permisos:
sudo cat private_key.pem ca_key.pem >> /etc/pki/tls/private/stunnel.pem sudo chmod 400 /etc/pki/tls/private/stunnel.pem |
5.Cree un archivo de configuración /etc/stunnel/stunnel.conf legible solo por root (chmod 0600) que contenga las siguientes líneas:
[efs_icap] accept = 0.0.0.0:11344 connect = 0.0.0.0:1344 cert = /etc/pki/tls/private/stunnel.pem |
•efs_icap: nombre del servicio, que configuramos en las siguientes líneas. Stunnel admite el reenvío de varias conexiones.
•accept: dirección IP y puerto que aceptarán conexiones ICAPS. En este ejemplo es localhost y el puerto 11344
•connect: dirección IP y puerto donde ESSL escucha las solicitudes ICAP. En este ejemplo es la misma máquina y el puerto predeterminado 1344
Stunnel puede incluso ejecutarse en un servidor dedicado y conectarse a varias máquinas con ESSL o estar aislado en chroot. Para ver todas las opciones de stunnel, consulte el manual. |
6.Inicie stunnel con systemd y habilítelo para que se ejecute automáticamente después del arranque del sistema:
sudo systemctl start stunnel sudo systemctl enable stunnel |
7.Abra el puerto para el puerto ICAPS en un firewall. En Ubuntu 20.04, ejecute los siguientes comandos desde la ventana de terminal como un usuario con privilegios:
sudo ufw allow 11344/tcp |
8.Configure el cliente ICAP (por ejemplo, almacenamiento) de acuerdo con su guía y conéctelo al puerto 11344, donde ESSL se ejecuta con stunnel y confía en el certificado usado. Luego, pruebe si la conexión del antivirus funciona, por ejemplo, en la muestra eicar.