ESET Server Security for Linux – Spis treści

Integracja serwera ICAP z rozwiązaniem EMC Isilon

Skopiuj adres URL bieżącego artykułu Udostępnij przez e-mail

Ten artykuł (PDF) Cała dokumentacja (PDF)

Omówienie

Można skanować pliki zapisywane w klastrze Isilon w poszukiwaniu wirusów, szkodliwego oprogramowania i innych zagrożeń zabezpieczeń, integrując program ESET Server Security for Linux (ESSL) z użyciem protokołu Internet Content Adaptation Protocol (ICAP).

Wymagania wstępne

1.Zainstalowany program ESSL z włączonym interfejsem webowym.

2.Zainstalowany system Isilon OneFS.

Włączanie serwera ICAP w oprogramowaniu ESSL

W tym przykładzie serwer ICAP będzie nasłuchiwał pod adresem 10.1.169.28 z użyciem portu 1344.

1.Kliknij opcję Konfiguracja > Silnik detekcji > Skanowanie zdalne, kliknij przełącznik obok opcji Włącz skanowanie zdalne przy użyciu usługi ICAP.

2.Kliknij przycisk Edytuj obok pozycji Adresy i porty nasłuchiwania, a następnie kliknij przycisk Dodaj.

3.Wprowadź właściwy adres IP i port. W tym przykładzie użyto Adresu nasłuchiwania 10.1.168.28 i Portu nasłuchiwania 1344. Kliknij przycisk Zapisz.

4.Kliknij opcję Parametry dodatkowe, a następnie kliknij przełącznik obok pozycji Zgodność z Dell EMC Isilon.

5.Kliknij przycisk Dalej.

Włączanie serwera ICAP w systemie OneFS

1.Zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno polecenia Data Protection > Antivirus > ICAP Servers > Add an ICAP Server (Ochrona danych > Ochrona antywirusowa > Serwery ICAP > Dodaj serwer ICAP).

2.Zaznacz pole Enable ICAP Server (Włącz serwer ICAP) i wprowadź adres URL serwera ICAP w polu ICAP Server URL (Adres URL serwera ICAP) w następującym formacie: icap://<IP_ADDRESS>:<PORT>/scan
W tym przykładzie: icap://10.1.168.28:1344/scan

3.Kliknij polecenie Add Server (Dodaj serwer).

4.Kliknij opcję Settings (Ustawienia) i wybierz pozycję Enable Antivirus Service (Włącz usługę antywirusową).

5.W polu Path prefixes (Prefiksy ścieżki) wprowadź ścieżkę skanowania. Aby skanować wszystkie ścieżki, użyj opcji „/ifs” (bez cudzysłowów).

6.Kliknij przycisk Save changes (Zapisz zmiany).

Ustawienia powiązane ze skanowaniem w rozwiązaniu EMC Isilon

•Ograniczenia dotyczące rozmiaru, nazwy lub rozszerzenia pliku

•Skanowanie podczas dostępu lub skanowanie na żądanie poprzez politykę

•Ustawienia odpowiedzi na zagrożenia

Protokół ICAP nie działa, gdy izolacja sieci jest aktywna.

Jak to działa?

W momencie zapisania pliku lub uzyskania do niego dostępu w klastrze EMC Isilon system OneFS umieszcza plik w kolejce do przeskanowania, a następnie przesyła plik do serwera ICAP skonfigurowanego zarówno w systemie OneFS, jak i programie ESSL. Program ESSL skanuje plik i przesyła wyniki skanowania do rozwiązania EMC Isilon. W systemie OneFS zostaje podjęta decyzja dotycząca przetwarzania przeskanowanego pliku na podstawie ustawień odpowiedzi na zagrożenia.

Testowanie konfiguracji

Aby przetestować konfigurację, należy uzyskać dostęp z komputera do klastra systemu OneFS za pośrednictwem jednego z obsługiwanych protokołów. W tym przykładzie zostanie użyty protokół NFS.

1.Skonfiguruj protokół NFS:

a.Zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno opcje Protokoły > Udziały systemu UNIX (NFS) > Utwórz eksport.

b.Pozostaw ustawienia domyślne, sprawdź, czy ścieżka to /ifs, a następnie kliknij przycisk Save (Zapisz).

2.Zamontuj udział NFS na komputerze z systemem Linux:

mkdir isilon

sudo mount -t nfs <IP address of OneFS cluster>:/ifs isilon

3.Wykonaj skanowanie testowe:

a.Pobierz plik testowy ochrony antywirusowej eicar z witryny www.eicar.org, skopiuj go do udziału NFS klastra Isilon, a następnie spróbuj odczytać jego zawartość.

wget www.eicar.org/download/eicar.com

cp eicar.com isilon

cat isilon/eicar.com

b.Na podstawie ustawień ochrony antywirusowej systemu OneFS wynikiem będzie odmowa dostępu (ustawienie domyślne) lub odcięcie/usunięcie pliku. Przykład:

cat: isilon/eicar.com: Odmowa zezwolenia

c.Aby sprawdzić wykryte zagrożenie, zaloguj się do panelu administracyjnego systemu OneFS i kliknij kolejno opcje Ochrona danych > Ochrona antywirusowa.

Typowe kody odpowiedzi protokołu ICAP

Kod zakończenia	Znaczenie
100	Kontynuuj po zapoznaniu się z protokołem ICAP.
101	Gotowy do przełączenia protokołu na żądany przez klienta.
200	Żądanie zakończyło się pomyślnie. Zwracane informacje zależą od metody.
201	Utworzono. Utworzono nowy zasób. Identyfikator URI jest określony w treści.
202	Zaakceptowano. Żądanie zostało zaakceptowane, ale przetwarzanie nie zostało zakończone.
204	Nie są potrzebne żadne modyfikacje.
400	Złe żądanie.
404	Nie znaleziono usługi ICAP.
405	Metoda niedozwolona dla usługi (na przykład zażądano RESPMOD dla usługi, która obsługuje tylko REQMOD).
408	Limit czasu żądania. Serwer ICAP zrezygnował z oczekiwania na żądanie od klienta ICAP.
500	Błąd działania serwera. Błąd na serwerze ICAP, taki jak „brak miejsca na dysku”.
501	Metoda nie została zaimplementowana. Ta odpowiedź jest niezgodna w przypadku żądania OPTIONS, ponieważ implementacja OPTIONS jest obowiązkowa.
502	Zła brama. Jest to serwer proxy ICAP i korzystanie z serwera proxy spowodowało błąd.
503	Usługa przeciążona. Serwer ICAP przekroczył maksymalny limit połączeń skojarzony z tą usługą; klient ICAP nie powinien przekraczać tego limitu w przyszłości.
505	Wersja protokołu ICAP nie jest obsługiwana przez serwer.

˄˅