Настройка интеграции с прокси-сервером по протоколу ICAP

Интеграция с прокси-сервером по протоколу ICAP с обратной связью позволяет вам предотвратить попадание вредоносных объектов в локальную сеть организации и ограничить переход на вредоносные или фишинговые веб-сайты пользователям хоста. Kaspersky Anti Targeted Attack Platform выступает в роли ICAP-сервера, а ваш прокси-сервер – в роли ICAP-клиента. В процессе работы прокси-сервер передает запросы по протоколу ICAP на ICAP-сервер. ICAP-сервер выполняет проверку и возвращает результат на прокси-сервер. В случае обнаружения угроз пользователю хоста отобразится HTML-страница оповещения.

Включение и отключение интеграции с прокси-сервером по протоколу ICAP

Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

При использовании отдельного прокси-сервера Kaspersky Anti Targeted Attack Platform не обеспечивает шифрование ICAP-трафика и аутентификацию ICAP-клиентов по умолчанию. Администратору приложения необходимо самостоятельно обеспечить безопасное сетевое соединение между вашим прокси-сервером и Kaspersky Anti Targeted Attack Platform с помощью туннелирования трафика или средствами iptables.

Чтобы включить или отключить интеграцию с прокси-сервером по протоколу ICAP на сервере с установленными компонентами Central Node и Sensor:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Нажмите на компонент Sensor localhost.

   Откроется страница с параметрами компонента Sensor.

3. Выберите раздел ICAP-интеграция с прокси-сервером.
4. В разделе Параметры > <имя сервера с компонентом Sensor> в поле Состояние выполните одно из следующих действий:
   • Если вы хотите включить интеграцию с прокси-сервером по протоколу ICAP, переведите переключатель в положение Включено.

     По умолчанию переключатель находится в положении Выключено.

   • Если вы хотите отключить интеграцию с прокси-сервером по протоколу ICAP, переведите переключатель в положение Выключено.
5. В поле Хост отображается URL-адрес службы Response Modification (RESPMOD), обрабатывающей входящий трафик, в формате icap://<host>:1344/av/respmod, где <host> – IP-адрес сервера с установленным компонентом Sensor. Для настройки интеграции с Kaspersky Anti Targeted Attack Platform скопируйте этот URL-адрес и укажите его в параметрах прокси-сервера, который используется в вашей организации.

Интеграция с прокси-сервером по протоколу ICAP будет настроена.

Чтобы включить или отключить интеграцию с прокси-сервером по протоколу ICAP на отдельном сервере с компонентом Sensor:

1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу ENTER.

3. Перейдите в раздел Program settings → Configure ICAP integration.

   Для выбора строки вы можете использовать клавиши ↑, ↓ и ENTER. Выбранная строка подсвечивается красным.

4. В открывшемся окне выберите строку Enabled нажмите на клавишу ENTER.

   Справа от названия параметра Enabled отобразится значение [x].

5. Укажите в параметрах используемого в вашей организации прокси-сервера URL-адрес, который отображается в поле RESPMOD.

Интеграция с прокси-сервером и отдельным сервером с компонентом Sensor по протоколу ICAP будет настроена.

Если вы развернули компоненты Central Node и Sensor в виде кластера, вы можете настроить отказоустойчивую интеграцию с прокси-сервером.

Чтобы настроить отказоустойчивую интеграцию с прокси-сервером:

1. Настройте на сервере DNS функцию Round Robin для доменного имени, соответствующего кластеру Central Node.
2. В параметрах прокси-сервера укажите это доменное имя.

Интеграция с прокси-сервером будет настроена по доменному имени. Прокси-сервер обратится к случайному серверу кластера. При отказе этого сервера прокси-сервер будет обращаться к другому работоспособному серверу кластера.

Включение и отключение проверки ICAP-трафика в режиме реального времени

Включение и отключение проверки ICAP-трафика в режиме реального времени доступно, если включена интеграция с прокси-сервером по протоколу ICAP.

Если проверка ICAP-трафика в режиме реального времени включена, Kaspersky Anti Targeted Attack Platform передает информацию о проверенных объектах ICAP-клиенту в режиме реального времени. Это позволяет предотвратить скачивание вредоносных объектов и переход по недоверенным ссылкам.

Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на сервере с установленными компонентами Central Node и Sensor:

1. В окне веб-интерфейса приложения выберите раздел Серверы Sensor.

   Отобразится таблица Список серверов.

2. Нажмите на компонент Sensor localhost.
3. Выберите раздел ICAP-интеграция с прокси-сервером.

   При включении интеграции в окне Параметры > <имя сервера Sensor> отобразится раздел Проверка в режиме реального времени.

4. В блоке параметров Проверка в режиме реального времени выберите один из следующих вариантов:
   • Отключено.

     При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.

   • Включено, стандартная проверка трафика ICAP.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы будут доступны.

   • Включено, усиленная проверка трафика ICAP.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA. Во время проверки компонентом Sandbox файлы не будут доступны.

5. Нажмите на кнопку Применить.
6. Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, в поле Хост отобразится URL-адрес службы Request Modification (REQMOD), обрабатывающей исходящий трафик, в формате icap://<host>:1344/av/reqmod, где <host> – IP-адрес сервера с установленным компонентом Sensor. Для настройки интеграции с Kaspersky Anti Targeted Attack Platform скопируйте URL-адрес и укажите его в параметрах прокси-сервера, который используется в вашей организации.

Проверка ICAP-трафика в режиме реального времени будет включена или отключена.

Чтобы включить или отключить проверку ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor:

1. Войдите в консоль управления сервера Sensor по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке приложения.

   Откроется меню параметров компонента Sensor. Если меню не открылось, введите команду kata-admin-menu и нажмите на клавишу ENTER.

3. Перейдите в раздел Program settings → Configure ICAP integration.

   Для выбора строки вы можете использовать клавиши ↑, ↓ и ENTER. Выбранная строка подсвечивается красным.

4. В открывшемся окне убедитесь, что справа от параметра Enabled установлено значение [x].
5. Выберите один из следующих вариантов:
   • Disable real-time scanning.

     При выборе этого варианта проверка ICAP-трафика в режиме реального времени будет отключена. По умолчанию выбран этот вариант.

   • Standard ICAP scanning.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются модулями Anti-Malware Engine и YARA.

   • Advanced ICAP scanning.

     При включении этого типа проверки репутация файлов и URL-адресов проверяется в базе знаний Kaspersky Security Network, файлы проверяются компонентом Sandbox и модулями Anti-Malware Engine и YARA.

6. Выберите необходимый вариант и нажмите на клавишу ENTER. Справа от выбранного значения отобразится (O).

   Для выбора строки вы можете использовать клавиши ↑ и ↓. Выбранная строка подсвечивается красным.

7. Если вы включили проверку ICAP-трафика в режиме реального времени и установили режим усиленной проверки или режим стандартной проверки, укажите в параметрах используемого в вашей организации прокси-сервера URL-адрес, который отображается в поле REQMOD.

Проверка ICAP-трафика в режиме реального времени на отдельном сервере с компонентом Sensor будет включена или отключена.

Если вы включили проверку ICAP-трафика в режиме реального времени, при отключении интеграции с прокси-сервером проверка не будет работать. Все параметры проверки ICAP-трафика сохраняются. При следующем включении интеграции с прокси-сервером проверка ICAP-трафика также будет включена.

Настройка параметров проверки ICAP-трафика в режиме реального времени

Настройку параметров проверки ICAP-трафика в режиме реального времени на отдельных серверах с установленным компонентом Sensor можно выполнить только в режиме Technical Support Mode. Для выполнения действий в режиме Technical Support Mode вам рекомендуется обратиться в Службу технической поддержки.

Вы можете настроить параметры проверки ICAP-трафика на сервере с установленными компонентами Central Node и Sensor в режиме реального времени для антивирусной проверки данных. Результаты проверки будут отображаться пользователю хоста на HTML-странице уведомления.

Чтобы настроить параметры проверки ICAP-трафика в режиме реального времени:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Проверка трафика ICAP.

   Отобразится страница с параметрами проверки ICAP-трафика.

   По умолчанию в блоке параметров Уведомления загружены страницы, соответствующие следующим событиям:

   • В поле Блокировка ссылки загружена страница, которая будет отображаться в случае обнаружения угрозы по запрашиваемому пользователем адресу.
   • В поле Блокировка файла загружена страница, которая будет отображаться в случае обнаружения угрозы в проверяемом файле.
   • В поле Проверка файла загружена страница, которая будет отображаться в случае запуска проверки файла. Если файл безопасен, пользователю будет доступна ссылка на скачивание файла.
   • В поле Истек срок хранения файла загружена страница, которая будет отображаться в случае, если файл был проверен, но время хранения этого файла в хранилище приложения истекло.

   По умолчанию в Kaspersky Anti Targeted Attack Platform загружены HTML-страницы из комплекта поставки. Вы можете загрузить свои страницы уведомлений и настроить их отображение. Максимальный размер страницы уведомления не должен превышать 1,5 МБ. В случае загрузки страницы уведомления размером более 1,5 МБ отобразится ошибка.

2. В блоке параметров Порог блокировки файлов в поле Важность обнаружения Sandbox выберите значение из раскрывающегося списка. Значения соответствуют возможному влиянию обнаружения на безопасность компьютера или локальной сети вашей организации по опыту "Лаборатории Касперского".

   Параметр может принимать одно из следующих значений:

   • Высокая  – обнаружение высокой степени важности. По умолчанию выбран этот вариант.
   • Средняя  – обнаружение средней степени важности.
   • Низкая  – обнаружение низкой степени важности.
3. В блоке параметров Время ожидания проверки в поле Время ожидания укажите значение, по истечении которого ссылка на проверяемый файл будет разблокирована и будет доступна возможность скачать проверяемый файл.

   Значение по умолчанию: 10 минут. Вы можете установить любое значение, которое больше 1 минуты.

4. Нажмите на кнопку Применить.

Проверка будет выполняться в соответствии с настроенными параметрами.