Перехват трафика на ICAP-сервере¶

Введение¶

ICAP фильтрует и изменяет запросы и ответы HTTP(S) для защиты от вирусов, контроля доступа, мониторинга и фильтрации нежелательного трафика.

Примечание

ICAP-сервер – это компонент, который включается по отдельной лицензии в составе Staffcop Enterprise.

Начиная с версии Staffcop Enetrprise 5.2 ICAP-сервер поддерживает перехват следующих событий:

файлы в POST-запросах;
посещение сайтов;
данные веб-форм;
чаты MS Teams;
чаты Bitrix24.

Предварительная настройка¶

Для перехвата трафика на ICAP-сервере понадобятся:

установленный и настроенный сервер Staffcop Enterprise;
прокси-сервер или UTM, настроенный для работы в сети пользователя;
ICAP-клиент, настроенный на прокси-сервере и передающий сведения на ICAP-сервер Staffcop.

Сервер Staffcop¶

Установка и подготовка к работе сервера Staffcop описаны в разделе Pуководство администратора.

Прокси-сервер¶

Работа компонента перехвата трафика на ICAP-сервере не зависит от прокси-сервера, который используется в системе заказчика.

В статье будет описана настройка перехвата трафика в случае, когда в сети используется Ideco UTM или Squid Proxy. При этом использовать можно любой другой прокси-сервер.

В отдельных статьях описаны процессы установки и настройки Ideco UTM и Squid Proxy. Установка и настройка UserGate UTM подробно описаны в пользовательской документации.

При возникновении проблем с настройками других прокси, обратитесь в нашу службу технической поддержки.

Настройка ICAP-клиента¶

Чтобы настроить UserGate UTM в качестве ICAP-клиента

В веб-интерфейсе UserGate UTM в разделе Политики безопасности → ICAP-серверы добавьте новый сервер:

В открывшемся окне Свойства ICAP-сервера на вкладке Общие укажите:
в строке Адрес сервера — IP-адрес сервера Staffcop;

в строке Порт — номер порта (по умолчанию — 13440);

активируйте опцию Пропускать при ошибках;

заполните значения в полях Название, Описание, Максимальный размер пакета и Период проверки доступности….
На вкладке Данные заполните поля Reqmod путь и Respmod путь. Полный путь имеет вид icap://ip_address:13440/staffcop. Поскольку IP-адрес и номер порта указаны на вкладке Общие, в строках Reqmod путь и Respmod путь укажите только /staffcop.
В разделе Политик безопасности → ICAP-правила создайте новое правило, по которому будет работать ICAP-сервер.
В окне создания нового правила на вкладке Общие укажите его название, описание и добавьте действие Переслать и игнорировать.
На вкладке ICAP-серверы выберите только что созданный ICAP-сервер.
На вкладке HTTP-метод укажите методы GET и POST.
На вкладке Сервисы в окне выбора добавляемых сервисов выберите только протокол HTTP.
Сохраните созданное правило и в окне ICAP-серверы дождитесь зелёного значка установления связи с сервером.
Готово! ICAP-сервер настроен и работает.

Теперь настройте правила расшифровки трафика на сервере:

В разделе Политики безпасности → Инспектирование SSL создайте новое правило:
- в строке Действие укажите Расшифровать;
- Профиль SSL оставьте без изменений;
- включите Запись в журнал правил по желанию.
На вкладке Сервисы добавьте только HTTPS.
Настройте правила расшифровки трафика под свои требования согласно официальной документации UserGate UTM
В настройках межсетевого экрана разрешите трафик между локальной и внешней сетью. Также, если в локальной сети есть серверы с веб-интерфейсом (например, Staffcop) и пользователи, которые к нему подключаются, укажите в назначении саму локальную сеть.
Включите NAT из локальной сети во внешнюю для корректной работы прокси-сервера.

Готово! Настройка UserGate UTM завершена.

Настройте перенаправление трафика на ICAP-сервер Staffcop:

В разделе Сервисы → Прокси перейдите на вкладку ICAP. В строках URI REQMOD и URI RESPMOD укажите адрес ICAP-сервера Staffcop и порт для подключения. По умолчанию ICAP-сервер Staffcop использует для подключения порт 13440. В общем виде запись адреса будет иметь вид:

icap://10.0.0.1:13440/staffcop

Настройте перехват ICAP. В разделе Правила трафика → Контент-фильтр создайте правило фильтрации. Включите опцию Расшифровать. Это правило позволяет расшифровывать трафик, идущий по HTTPS-соединению, всем встроенным в Ideco UTM компонента и внешним ICAP-серверам.
Готово! Ideco UTM настроен и передаёт трафик на ICAP-сервер, предоставляемый Staffcop. Можно переходить к настройке работы самого Staffcop-сервера.

Для Squid Proxy версий 3.5 и выше, поддержка ICAP включена автоматически.

Для Squid Proxy версий ниже 3.5, при создании конфигурации пакетов в файл /usr/src/squid/squid3-3.5.27/debian/rules необходимо добавить строку –enable-icap-client.

Чтобы настроить на Squid Proxy подключение к ICAP серверу Staffcop, в конфигурационный файл /etc/squid/squid.conf внесите следующие изменения:

icap_enable on
icap_service_failure_limit -1
icap_preview_enable on
icap_preview_size 4096
adaptation_send_client_ip on
adaptation_send_username on

icap_service service_req reqmod_precache bypass=1 icap://ip_address:port/staffcop
icap_service service_resp respmod_precache bypass=1 icap://ip_address:port/staffcop

adaptation_access service_req allow all
adaptation_access service_resp allow all

Здесь icap://ip_address:port/staffcop - IP-адрес и порт сервера Staffcop, на котором запущена ICAP-служба.

После этого перезагрузите конфигурацию и перезапустите сервис:

squid -z
systemctl daemon-reload
systemctl restart squid

Настройка прокси-сервера завершена.

Перехват ICAP¶

Чтобы настроить перехват на сервере Staffcop, обновите список доступных пакетов и установите дополнительную библиотеку:

sudo apt-get update
sudo apt-get install libatomic1

Запустите ICAP-службу сервера Staffcop и проверьте её на ошибки:

staffcop enable-icap
staffcop icap dev

Чтобы служба ICAP работала не только на IPv6, в конфигурационном файле /etc/staffcop/icap.conf в строке Port укажите IP-адрес сервера:

Port ip_address:13440

Сохраните внесённые изменения и перезапустите службы строго в указанном порядке:

systemctl daemon-reload
staffcop icap stop
staffcop icap start

Проверить, что запуск перехвата прошёл успешно можно в логе событий. Для этого в консоли сервера Staffcop выполните команду:

sudo tail -n 10 /var/log/staffcop/icap-access.log

Если перехват запущен и работает в штатном режиме, запись в логах будет примерно такой:

Готово! Трафик с ICAP-сервера перехватывается сервером Staffcop. Все события присваиваются приложению ICAP.

События ICAP¶

Изменено в версии 5.4.

После запуска настройки ICAP-сервера, активации компонента ICAP и получения данных агент записывает события сетевого трафика организации.

Чтобы найти события ICAP:

Перейдите в Конструктор событий.
В Приложении выберите Название.
Введите в поле поиска ICAP.

События ICAP содержат в измерении Компьютер IP-адрес АРМ, с которого был получен или отправлен трафик.

До версии 5.4 в событиях ICAP-сервера в измерении Компьютер указывалось значение ICAP, а идентификации по компьютеру не было.

Как убрать дубликаты событий¶

При одновременном сетевом перехвате от агента и ICAP данные могут дублироваться. Вы можете отключить сетевой перехват на агентах или исключить агентов из ICAP.

Чтобы ICAP не дублировал события от агентов:

Перейдите Панель управления → Параметры сервера.
Выберите Исключить агенты из ICAP.
После переключении опции подождите минуту для обновления кэша или или перезапустите сервер:
```
staffcop restart
```

После этого будут записаны только события агента.