ICAPサーバーとEMC Isilonとの統合
概要
Internet Content Adaptation Protocol (ICAP)経由でESET Server Security for Linux (ESSL)を統合すると、Isilonクラスタに保存したファイルのコンピューターウイルス、マルウェア、およびその他のセキュリティ脅威を検査できます。
前提条件
1.ESSLがインストールされ、Webインターフェイスが有効になっていること。
2.Isilonがインストールされていること。
ESSLでICAPサーバーを有効にする
この例では、ICAPサーバーはIPアドレス10.1.169.28、ポート1344でリスニングします。
1.設定 > 検出エンジン > リモート検査をクリックし、ICAPサーバーを使用したリモート検査を有効にするとDell EMC Isilon互換の両方をオンにします。
2.リスニングアドレスとポートの横の編集をクリックします。
3.[追加]をクリックします。
4.該当するIPアドレスとポートを入力します。この例では、IPアドレス10.1.168.28、ポート1344です。
5.[保存]をクリックします。
OneFSでICAPサーバーを有効にする
1.OneFS管理パネルにログインし、データ保護 > ウイルス対策 > ICAPサーバー > ICAPサーバーの追加をクリックします。
2.[ICAPサーバーを有効にする]を選択し、次のパターンでICAPサーバーのURLアドレスをICAPサーバーURLフィールドに入力します。icap://<IP_ADDRESS>:<PORT>/scan
例: icap://10.1.168.28:1344/scan
3.サーバーの追加をクリックします。
4.設定をクリックし、ウイルス対策サービスを有効にするを選択します。
5.検査するパスをパスプレフィックスに入力します。すべてのパスを検査するには、/ifsと入力します(引用符なし)。
6.変更の保存をクリックします。
EMC Isilonでの検査関連の設定
仕組み
ファイルがEMC Isilonクラスタに書き込まれる(またはアクセスされる)ときに、OneFSが検査対象のファイルを照会し、そのファイルをOneFSとESSLの両方で設定されたICAPサーバーに送信します。ESSLはファイルを検査し、検査されたファイルに対するフィードバックをEMC Isilonに提供します。OneFSは、脅威対応設定に基づいて、検査されたファイルを処理する方法を決定します。
設定のテスト
設定をテストするには、サポートされているプロトコル経由で、コンピューターからOneFSクラスタにアクセスする必要があります。この例では、NFSプロトコルを使用します。
1.NFSの設定:
a.OneFS管理パネルにログインし、プロトコル > UNIX共有(NFS) > エクスポートの作成をクリックします。
b.既定の設定を使用します。パスが/ifsであることを確認し、保存をクリックします。
2.LinuxコンピューターでNFS共有をマウントする:
mkdir isilon sudo mount -t nfs <IP address of OneFS cluster>:/ifs isilon |
3.テスト検査を完了します。
a.www.eicar.orgからeicarウイルス対策テストファイルを取得し、IsilonのNFS共有にコピーして、その内容を読み取ろうとします。
wget www.eicar.org/download/eicar.com cp eicar.com isilon cat isilon/eicar.com |
b.OneFSウイルス対策設定に基づいて、結果はそのファイルでアクセス権が拒否される(既定)か、ファイルが切り捨てられ、削除されます。例:
cat: isilon/eicar.com:権限が拒否されました |
c.検出された脅威を確認するには、OneFS管理パネルにログインし、データ保護 > ウイルス対策をクリックします。
一般的なICAP応答コード
終了コード |
意味 |
---|---|
100 |
ICAPプレビューの後で続行します。 |
101 |
プロトコルをクライアントが要求したプロトコルに切り替える準備ができました。 |
200 |
要求は成功しました。返される情報は、メソッドによって異なります。 |
201 |
作成されました。新しいリソースが作成されます。URIは本文で指定されます。 |
202 |
許可されます。要求は許可されますが、処理は完了していません。 |
204 |
変更は必要ありません。 |
400 |
正しくない要求。 |
404 |
ICAPサービスが見つかりません。 |
405 |
サービスで許可されていないメソッド(例えば、REQMODのみをサポートするサービスに対してRESPMODが要求されました)。 |
408 |
要求のタイムアウト。ICAPサーバーがICAPクライアントからの要求の待機を停止しました。 |
500 |
サーバーエラー。ICAPサーバーのエラー(「ディスク容量不足」など)。 |
501 |
メソッドが実装されていません。OPTIONSの実装は必須であるため、この応答はOPTIONS要求に対しては無効です。 |
502 |
ゲートウェイが正しくありません。これはICAPプロキシであり、プロキシでエラーが発生しました。 |
503 |
サービスが過負荷になっています。ICAPサーバーは、このサービスに関連付けられている最大接続制限を超えました。ICAPクライアントは、今後この制限を超えないようにする必要があります。 |
505 |
ICAPバージョンがサーバーでサポートされていません。 |