Захищений ICAP з проксі-сервером TLS stunnel

Службу stunnel можна використовувати для керування зашифрованим підключенням для підвищення рівня захисту під час сканування ICAP.

1.Інсталюйте й активуйте ESET Server Security for Linux.

2.Щоб увімкнути сканування ICAP, клацніть Параметр > Ядро виявлення > Віддалене сканування й клацніть перемикач Увімкнути віддалене сканування за допомогою служби ICAP.

3.Інсталюйте stunnel за допомогою менеджера пакетів. В Ubuntu 20.04 відкрийте вікно термінала й від імені привілейованого користувача виконайте таку команду:

4.Зберігайте закриті й відкриті ключі для шифрування обміну даними за допомогою stunnel у файлі з обмеженим доступом. Цьому сертифікату має довіряти клієнт ICAP, який підключатиметься до ESSL через це захищене підключення. Приклад того, як зберігати ключі й задавати дозволи:

5.Створіть конфігураційний файл /etc/stunnel/stunnel.conf, який можна буде прочитати лише від імені root (chmod 0600), із такими рядками:

•efs_icap: назва служби, яку ми налаштовуємо в наступних рядках. Служба stunnel підтримує переадресацію кількох підключень.

•accept: IP-адреса й порт, які прийматимуть підключення ICAPS. У цьому прикладі це localhost і порт 11344

•connect: IP-адреса й порт, на якому ESSL прослуховує запити ICAP. У цьому прикладі використовується той самий комп’ютер і порт за замовчуванням (1344)

6.Запустіть stunnel від systemd і увімкніть його автоматичний запуск після завантаження системи:

7.Відкрийте порт для порту ICAPS у брандмауері. В Ubuntu 20.04 відкрийте вікно термінала й від імені привілейованого користувача виконайте такі команди:

8.Налаштуйте клієнт ICAP (наприклад, сховище) згідно з інструкціями в його документації і підключіть його до порту 11344, на якому ESSL виконується зі stunnel і довіряє використовуваному сертифікату. Потім перевірте, чи працює підключення антивірусу, наприклад, для зразка eicar.