Інтерактивна довідка ESET

Виберіть тему

Захищений ICAP з проксі-сервером TLS stunnel

Службу stunnel можна використовувати для керування зашифрованим підключенням для підвищення рівня захисту під час сканування ICAP.

1.Інсталюйте й активуйте ESET Server Security for Linux.

2.Щоб увімкнути сканування ICAP, клацніть Параметр > Ядро виявлення > Віддалене сканування й клацніть перемикач Увімкнути віддалене сканування за допомогою служби ICAP.

3.Інсталюйте stunnel за допомогою менеджера пакетів. У Ubuntu 20.04 відкрийте вікно термінала й від імені привілейованого користувача виконайте таку команду:

sudo apt install stunnel

4.Зберігайте закриті й відкриті ключі для шифрування обміну даними за допомогою stunnel у файлі з обмеженим доступом. Цьому сертифікату має довіряти клієнт ICAP, який підключатиметься до ESSL через це захищене підключення. Приклад того, як зберігати ключі й задавати дозволи:

sudo cat private_key.pem ca_key.pem >> /etc/pki/tls/private/stunnel.pem

sudo chmod 400 /etc/pki/tls/private/stunnel.pem

5.Створіть конфігураційний файл /etc/stunnel/stunnel.conf, який можна буде прочитати лише від імені root (chmod 0600), із такими рядками:

[efs_icap]

accept = 0.0.0.0:11344

connect = 0.0.0.0:1344

cert = /etc/pki/tls/private/stunnel.pem

efs_icap: назва служби, яку ми налаштовуємо в наступних рядках. stunnel підтримує переадресацію кількох підключень.

accept: IP-адреса й порт, які прийматимуть підключення ICAPS. У цьому прикладі це localhost і порт 11344

connect: IP-адреса й порт, на якому ESSL прослуховує запити ICAP. У цьому прикладі використовується той самий комп’ютер і порт за замовчуванням (1344)


note

stunnel може працювати навіть на виділеному сервері й підключатися до кількох машин з ESSL або бути ізольованим у chroot. Усі параметри stunnel див. в посібнику.

6.Запустіть stunnel від systemd і увімкніть його автоматичний запуск після завантаження системи:

sudo systemctl start stunnel

sudo systemctl enable stunnel

7.Відкрийте порт для порту ICAPS у брандмауері. У Ubuntu 20.04 відкрийте вікно термінала й від імені привілейованого користувача виконайте такі команди:

sudo ufw allow 11344/tcp
sudo ufw reload

8.Налаштуйте клієнт ICAP (наприклад, сховище) згідно з інструкціями у його документації та підключіть його до порту 11344, на якому ESSL виконується з stunnel і довіряє використовуваному сертифікату. Потім перевірте, чи працює підключення антивірусу, наприклад, для зразка eicar.