Pomoc online ESET

Wyszukaj Polski
Wybierz temat

Integracja serwera ICAP z rozwiązaniem EMC Isilon

Omówienie

Można skanować pliki zapisywane w klastrze Isilon w poszukiwaniu wirusów, szkodliwego oprogramowania i innych zagrożeń zabezpieczeń, integrując program ESET Server Security for Linux (ESSL) z użyciem protokołu Internet Content Adaptation Protocol (ICAP).

Wymagania wstępne

1.Zainstalowany program ESSL z włączonym interfejsem webowym.

2.Zainstalowany system Isilon OneFS.

Włączanie serwera ICAP w oprogramowaniu ESSL

W tym przykładzie serwer ICAP będzie nasłuchiwał pod adresem 10.1.169.28 z użyciem portu 1344.

1.Kliknij opcję Konfiguracja > Silnik detekcji > Skanowanie zdalne, kliknij przełącznik obok opcji Włącz skanowanie zdalne przy użyciu usługi ICAP.

2.Kliknij przycisk Edytuj obok pozycji Adresy i porty nasłuchiwania, a następnie kliknij przycisk Dodaj.

3.Wprowadź właściwy adres IP i port. W tym przykładzie użyto Adresu nasłuchiwania 10.1.168.28 i Portu nasłuchiwania 1344. Kliknij przycisk Zapisz.

4.Kliknij opcję Parametry dodatkowe, a następnie kliknij przełącznik obok pozycji Zgodność z Dell EMC Isilon.

5.Kliknij przycisk Dalej.

Włączanie serwera ICAP w systemie OneFS

1.Zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno polecenia Data Protection > Antivirus > ICAP Servers > Add an ICAP Server (Ochrona danych > Ochrona antywirusowa > Serwery ICAP > Dodaj serwer ICAP).

2.Zaznacz pole Enable ICAP Server (Włącz serwer ICAP) i wprowadź adres URL serwera ICAP w polu ICAP Server URL (Adres URL serwera ICAP) w następującym formacie: icap://<IP_ADDRESS>:<PORT>/scan
W tym przykładzie: icap://10.1.168.28:1344/scan

3.Kliknij polecenie Add Server (Dodaj serwer).

4.Kliknij opcję Settings (Ustawienia) i wybierz pozycję Enable Antivirus Service (Włącz usługę antywirusową).

5.W polu Path prefixes (Prefiksy ścieżki) wprowadź ścieżkę skanowania. Aby skanować wszystkie ścieżki, użyj opcji „/ifs” (bez cudzysłowów).

6.Kliknij przycisk Save changes (Zapisz zmiany).

Ustawienia powiązane ze skanowaniem w rozwiązaniu EMC Isilon

Ograniczenia w zakresie rozmiarów, nazw i rozszerzeń plików

Skanowanie podczas dostępu lub skanowanie na żądanie poprzez politykę

Ustawienia odpowiedzi na zagrożenia

Jak to działa?

W momencie zapisania pliku lub uzyskania do niego dostępu w klastrze EMC Isilon system OneFS umieszcza plik w kolejce do przeskanowania, a następnie przesyła plik do serwera ICAP skonfigurowanego zarówno w systemie OneFS, jak i programie ESSL. Program ESSL skanuje plik i przesyła wyniki skanowania do rozwiązania EMC Isilon. W systemie OneFS zostaje podjęta decyzja dotycząca przetwarzania przeskanowanego pliku na podstawie ustawień odpowiedzi na zagrożenia.

Testowanie konfiguracji

Aby przetestować konfigurację, należy uzyskać dostęp z komputera do klastra systemu OneFS za pośrednictwem jednego z obsługiwanych protokołów. W tym przykładzie zostanie użyty protokół NFS.

1.Skonfiguruj protokół NFS:

a.Zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno opcje Protokoły > Udziały systemu UNIX (NFS) > Utwórz eksport.

b.Pozostaw ustawienia domyślne, sprawdź, czy ścieżka to /ifs, a następnie kliknij przycisk Save (Zapisz).

2.Zamontuj udział NFS na komputerze z systemem Linux:

mkdir isilon

sudo mount -t nfs <IP address of OneFS cluster>:/ifs isilon

 

3.Wykonaj skanowanie testowe:

a.Pobierz plik testowy ochrony antywirusowej eicar z witryny www.eicar.org, skopiuj go do udziału NFS klastra Isilon, a następnie spróbuj odczytać jego zawartość.

wget www.eicar.org/download/eicar.com

cp eicar.com isilon

cat isilon/eicar.com

 

b.Na podstawie ustawień ochrony antywirusowej systemu OneFS wynikiem będzie odmowa dostępu (ustawienie domyślne) lub odcięcie/usunięcie pliku. Przykład:

cat: isilon/eicar.com: Odmowa dostępu

 

c.Aby sprawdzić wykryte zagrożenie, zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno opcje Ochrona danych > Ochrona antywirusowa.

Typowe kody odpowiedzi protokołu ICAP

Kod zakończenia

Znaczenie

100

Kontynuuj po zapoznaniu się z protokołem ICAP.

101

Gotowy do przełączenia protokołu na żądany przez klienta.

200

Żądanie zakończyło się pomyślnie. Zwracane informacje zależą od metody.

201

Utworzono. Utworzono nowy zasób. Identyfikator URI jest określony w treści.

202

Zaakceptowano. Żądanie zostało zaakceptowane, ale przetwarzanie nie zostało zakończone.

204

Nie są potrzebne żadne modyfikacje.

400

Złe żądanie.

404

Nie znaleziono usługi ICAP.

405

Metoda niedozwolona dla usługi (na przykład zażądano RESPMOD dla usługi, która obsługuje tylko REQMOD).

408

Limit czasu żądania. Serwer ICAP zrezygnował z oczekiwania na żądanie od klienta ICAP.

500

Błąd działania serwera. Błąd na serwerze ICAP, taki jak „brak miejsca na dysku”.

501

Metoda nie została zaimplementowana. Ta odpowiedź jest niezgodna w przypadku żądania OPTIONS, ponieważ implementacja OPTIONS jest obowiązkowa.

502

Zła brama. Jest to serwer proxy ICAP i korzystanie z serwera proxy spowodowało błąd.

503

Usługa przeciążona. Serwer ICAP przekroczył maksymalny limit połączeń skojarzony z tą usługą; klient ICAP nie powinien przekraczać tego limitu w przyszłości.

505

Wersja protokołu ICAP nie jest obsługiwana przez serwer.