Integracja serwera ICAP z rozwiązaniem EMC Isilon
Omówienie
Można skanować pliki zapisywane w klastrze Isilon w poszukiwaniu wirusów, szkodliwego oprogramowania i innych zagrożeń zabezpieczeń, integrując program ESET Server Security for Linux (ESSL) z użyciem protokołu Internet Content Adaptation Protocol (ICAP).
Wymagania wstępne
1.Zainstalowany program ESSL z włączonym interfejsem webowym.
2.Zainstalowany system Isilon OneFS.
Włączanie serwera ICAP w oprogramowaniu ESSL
W tym przykładzie serwer ICAP będzie nasłuchiwał pod adresem 10.1.169.28 z użyciem portu 1344.
1.Kliknij kolejno opcje Ustawienia > Silnik detekcji > Skanowanie zdalne, a następnie włącz ustawienia Włącz skanowanie zdalne za pomocą usługi ICAP i Zgodność z rozwiązaniem Dell EMC Isilon.
2.Kliknij przycisk Edytuj obok pozycji Adresy i porty nasłuchiwania.
3.Kliknij pozycję Dodaj.
4.Wprowadź właściwy adres IP i port. W tym przykładzie użyto adresu IP 10.1.168.28 i portu 1344.
5.Kliknij przycisk Dalej.
Włączanie serwera ICAP w systemie OneFS
1.Zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno polecenia Data Protection > Antivirus > ICAP Servers > Add an ICAP Server (Ochrona danych > Ochrona antywirusowa > Serwery ICAP > Dodaj serwer ICAP).
2.Zaznacz pole Enable ICAP Server (Włącz serwer ICAP) i wprowadź adres URL serwera ICAP w polu ICAP Server URL (Adres URL serwera ICAP) w następującym formacie: icap://<IP_ADDRESS>:<PORT>/scan
W tym przykładzie: icap://10.1.168.28:1344/scan
3.Kliknij polecenie Add Server (Dodaj serwer).
4.Kliknij opcję Settings (Ustawienia) i wybierz pozycję Enable Antivirus Service (Włącz usługę antywirusową).
5.W polu Path prefixes (Prefiksy ścieżki) wprowadź ścieżkę skanowania. Aby skanować wszystkie ścieżki, użyj opcji „/ifs” (bez cudzysłowów).
6.Kliknij przycisk Save changes (Zapisz zmiany).
Ustawienia powiązane ze skanowaniem w rozwiązaniu EMC Isilon
•Ograniczenia w zakresie rozmiarów, nazw i rozszerzeń plików
•Skanowanie podczas dostępu lub skanowanie na żądanie poprzez politykę
•Ustawienia odpowiedzi na zagrożenia
Jak to działa?
W momencie zapisania pliku lub uzyskania do niego dostępu w klastrze EMC Isilon system OneFS umieszcza plik w kolejce do przeskanowania, a następnie przesyła plik do serwera ICAP skonfigurowanego zarówno w systemie OneFS, jak i programie ESSL. Program ESSL skanuje plik i przesyła wyniki skanowania do rozwiązania EMC Isilon. W systemie OneFS zostaje podjęta decyzja dotycząca przetwarzania przeskanowanego pliku na podstawie ustawień odpowiedzi na zagrożenia.
Testowanie konfiguracji
Aby przetestować konfigurację, należy uzyskać dostęp z komputera do klastra systemu OneFS za pośrednictwem jednego z obsługiwanych protokołów. W tym przykładzie zostanie użyty protokół NFS.
1.Skonfiguruj protokół NFS:
a.Zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno opcje Protokoły > Udziały systemu UNIX (NFS) > Utwórz eksport.
b.Pozostaw ustawienia domyślne, sprawdź, czy ścieżka to /ifs, a następnie kliknij przycisk Save (Zapisz).
2.Zamontuj udział NFS na komputerze z systemem Linux:
mkdir isilon sudo mount -t nfs <IP address of OneFS cluster>:/ifs isilon |
3.Wykonaj skanowanie testowe:
a.Pobierz plik testowy ochrony antywirusowej eicar z witryny www.eicar.org, skopiuj go do udziału NFS klastra Isilon, a następnie spróbuj odczytać jego zawartość.
wget www.eicar.org/download/eicar.com cp eicar.com isilon cat isilon/eicar.com |
b.Na podstawie ustawień ochrony antywirusowej systemu OneFS wynikiem będzie odmowa dostępu (ustawienie domyślne) lub odcięcie/usunięcie pliku. Przykład:
cat: isilon/eicar.com: Odmowa dostępu |
c.Aby sprawdzić wykryte zagrożenie, zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno opcje Ochrona danych > Ochrona antywirusowa.
Typowe kody odpowiedzi protokołu ICAP
Kod zakończenia |
Znaczenie |
|---|---|
100 |
Kontynuuj po zapoznaniu się z protokołem ICAP. |
101 |
Gotowy do przełączenia protokołu na żądany przez klienta. |
200 |
Żądanie zakończyło się pomyślnie. Zwracane informacje zależą od metody. |
201 |
Utworzono. Utworzono nowy zasób. Identyfikator URI jest określony w treści. |
202 |
Zaakceptowano. Żądanie zostało zaakceptowane, ale przetwarzanie nie zostało zakończone. |
204 |
Nie są potrzebne żadne modyfikacje. |
400 |
Złe żądanie. |
404 |
Nie znaleziono usługi ICAP. |
405 |
Metoda niedozwolona dla usługi (na przykład zażądano RESPMOD dla usługi, która obsługuje tylko REQMOD). |
408 |
Limit czasu żądania. Serwer ICAP zrezygnował z oczekiwania na żądanie od klienta ICAP. |
500 |
Błąd działania serwera. Błąd na serwerze ICAP, taki jak „brak miejsca na dysku”. |
501 |
Metoda nie została zaimplementowana. Ta odpowiedź jest niezgodna w przypadku żądania OPTIONS, ponieważ implementacja OPTIONS jest obowiązkowa. |
502 |
Zła brama. Jest to serwer proxy ICAP i korzystanie z serwera proxy spowodowało błąd. |
503 |
Usługa przeciążona. Serwer ICAP przekroczył maksymalny limit połączeń skojarzony z tą usługą; klient ICAP nie powinien przekraczać tego limitu w przyszłości. |
505 |
Wersja protokołu ICAP nie jest obsługiwana przez serwer. |