Intégration du serveur ICAP à EMC Isilon
Présentation
Vous pouvez analyser les fichiers que vous stockez sur un groupe Isilon pour rechercher des virus informatiques, des logiciels malveillants et d'autres menaces pour la sécurité en intégrant ESET Server Security for Linux (ESSL) via le protocole Internet Content Adaptation Protocol (ICAP).
Conditions préalables requises
1.ESSL est installé et son interface web est activée.
2.Isilon OneFS est installé.
Activation du serveur ICAP dans ESSL
Dans cet exemple, le serveur ICAP procède aux écoutes sur l'adresse IP 10.1.169.28 et le port 1344.
1.Cliquez sur Configuration > Moteur de détection > Analyse à distance, puis sur le bouton bascule en regard de l'optionActiver l'analyse ICAP.
2.Cliquez sur Modifier en regard de l'option Écouter les adresses et les ports, puis cliquez sur Ajouter.
3.Saisissez l'adresse IP et le port applicables. Dans notre exemple, l'adresse d'écoute est 10.1.168.28. Le port d'écoute est 1344. Cliquez sur Enregistrer.
4.Cliquez sur Paramètres supplémentaires, puis sur le bouton bascule en regard de Compatibilité avec Dell EMC Isilon.
5.Cliquez sur Enregistrer.
Activation du serveur ICAP dans OneFS
1.Connectez-vous au panneau d'administration OneFS, puis cliquez sur Data Protection > Antivirus > ICAP Servers > Add an ICAP Server (Protection des données > Antivirus > Serveurs ICAP > Ajouter un serveur ICAP).
2.Sélectionnez Enable ICAP Server (Activer le serveur ICAP), puis saisissez l'adresse URL du serveur ICAP dans le champ ICAP Server URL (URL du serveur ICAP) en utilisant le modèle suivant : icap://<IP_ADDRESS>:<PORT>/scan
Dans notre exemple : icap://10.1.168.28:1344/scan
3.Cliquez sur Add Server (Ajouter un serveur).
4.Cliquez sur Settings (Paramètres), puis sélectionnez Enable Antivirus Service (Activer le service antivirus).
5.Tapez le chemin à analyser dans Path prefixes (préfixes de chemin). Pour analyser tous les chemins, tapez "/ifs" (sans les guillemets).
6.Cliquez sur Save changes (Enregistrer les modifications).
Configurations associées à l'analyse dans EMC Isilon
•Restrictions de taille, de nom ou d'extension de fichier
•Analyse lors de l'accès ou Analyse à la demande via une politique
•Configurations des réponses aux menaces
Fonctionnement
Lorsqu'un fichier est écrit (ou fait l'objet d'un accès) sur le groupe EMC Isilon, OneFS met en file d'attente le fichier à analyser et l'envoie au serveur ICAP configuré dans OneF et ESSL. ESSL analyse le fichier et fournit des résultats sur le fichier analysé à EMC Isilon. OneFS décide du traitement des fichiers analysés selon les configurations des réponses aux menaces.
Test de la configuration
Pour tester votre configuration, vous devez avoir accès depuis votre ordinateur au groupe OneFS via l'un des protocoles pris en charge. Dans notre exemple, nous utilisons le protocole NFS.
1.Configurez NFS :
a.Connectez-vous au panneau d'administration OneFS, cliquez sur Protocols – UNIX Sharing (NFS) > Create Export (Protocoles – Partage UNIX (NFS)> Créer une exportation).
b.Conservez les configurations par défaut, vérifiez que le chemin d'accès est /ifs, puis cliquez sur Save (Enregistrer).
2.Montez le partage NFS sur votre machine Linux :
mkdir isilon sudo mount -t nfs <IP address of OneFS cluster>:/ifs isilon |
3.Effectuez une analyse de test :
a.Procurez-vous le fichier de test antivirus eicar sur www.eicar.org, copiez-le sur le partage NFS d'Isilon et essayez de lire son contenu.
wget www.eicar.org/download/eicar.com cp eicar.com isilon cat isilon/eicar.com |
b.Selon les configurations antivirus OneFS, le résultat est une autorisation refusée sur ce fichier (par défaut) ou la troncature ou la suppression du fichier. Par exemple :
cat: isilon/eicar.com: Autorisation refusée |
c.Pour vérifier la menace détectée, connectez-vous au panneau d'administration OneFS, puis cliquez sur Data Protection (Protection des données) > Antivirus.
Codes de réponse ICAP courants
Code de sortie |
Signification |
---|---|
100 |
Poursuivre après l'aperçu ICAP. |
101 |
Prêt à passer au protocole demandé par le client. |
200 |
La demande a abouti. Les informations renvoyées dépendent de la méthode. |
201 |
Créée. La nouvelle ressource est créée. L'URI est indiqué dans le corps. |
202 |
Acceptée. La demande a été acceptée mais le traitement n'est pas terminé. |
204 |
Aucune modification n'est nécessaire. |
400 |
Demande incorrecte. |
404 |
Service ICAP introuvable. |
405 |
Méthode non autorisée pour le service (par exemple, RESPMOD demandé pour un service qui ne supporte que REQMOD). |
408 |
Délai d'attente de la demande dépassé. Le serveur ICAP a abandonné l'attente d'une demande d'un client ICAP. |
500 |
Erreur de serveur. Erreur sur le serveur ICAP, comme « espace disque insuffisant ». |
501 |
Méthode non implémentée. Cette réponse est illégale pour une demande OPTIONS puisque l'implémentation d'OPTIONS est obligatoire. |
502 |
Passerelle incorrecte. Il s'agit d'un proxy ICAP et le proxy a généré une erreur. |
503 |
Service surchargé. Le serveur ICAP a dépassé la limite maximale de connexion associée à ce service ; le client ICAP ne doit pas dépasser cette limite à l'avenir. |
505 |
La version d'ICAP n'est pas prise en charge par le serveur. |