Skip to main content

Инструкция по ICAP-интеграции KATA

📝 Введение

Руководство описывает процесс интеграции платформы KATA с внешними системами через ICAP, включая:

активацию ICAP на Central Node/Sensor;

Рисунок1.png

подключение прокси как ICAP-клиента;

✅ активацию ICAP на Central Node/Sensor;

✅ проверку работы;

✅ устранение неисправностей (troubleshooting);

✅ рекомендации по заявкам в техническую поддержку.

📚 Краткое описание решения

  • KATA обеспечивает защиту от целевых атак (APT) и угроз «нулевого дня»;
  • может получать данные через ICAP (HTTP/FTP/HTTPS-трафик);
  • ICAP-сервером выступает Central Node с ролью Sensor или выделенный Sensor.

ВАЖНО: Шифрование ICAP-трафика и аутентификация клиентов не поддерживаются по умолчанию — нужно самостоятельно обеспечить защищённый канал (VPN/SSH-туннель/iptables).

⚙️ Включение ICAP на Central Node

Шаг 1. Авторизация в веб-интерфейсе CN

Перейдите по адресу:

https://<IP_CN>:8443

Авторизуйтесь с учетной записью Local Administrator (по умолчанию: login: Administrator, password: Administrator).

Шаг 2. Включение ICAP

  • В интерфейсе откройте Sensor Servers → выберите сенсор (например, localhost).
  • Перейдите в раздел ICAP integration with proxy server.
  • Активируйте опцию приема трафика, установив State: Enabled.

Запомните адрес ICAP-сервера для настройки на прокси:

icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

ВАЖНО: Если оставить State: Disabled, то трафик можно будет отправлять, но вердикт не возвращается — результат будет виден только в интерфейсе KATA под учетной записью Офицера безопасности.

🚦 Настройка ICAP на Sensor через SSH

Если Sensor развернут отдельно, подключитесь к нему по SSH:

ssh admin@<IP-Sensor>

Включите ICAP в CLI:

Program settings → Configure ICAP integration → Enabled

Выберите режим проверки:

  • Standard ICAP scanning – стандартная проверка, объект доступен Sandbox во время анализа.
  • Advanced ICAP scanning – усиленная проверка, объект не доступен Sandbox во время анализа.

🔗 Настройка прокси (на примере Squid)

Шаг 1. Подключитесь к серверу Squid через SSH и откройте файл:

sudo nano /etc/squid/squid.conf

Шаг 2. Добавьте настройки интеграции:

icap_enable on
adaptation_send_username on
adaptation_send_client_ip on

icap_service kata_req reqmod_precache icap://<IP-Сенсора>:1344/av/reqmod
icap_service kata_resp respmod_precache icap://<IP-Сенсора>:1344/av/respmod

adaptation_access kata_req allow all
adaptation_access kata_resp allow all

icap_service_failure_limit -1

Шаг 3. Добавьте логирование ICAP-трафика:

logformat icap_squid %tl %6tr %rm %ru ...
icap_log /var/log/squid/icap.log icap_squid

Шаг 4. При необходимости настройте исключения для SSL Bumping

Создайте файл с доменами для исключения:

nano /etc/squid/donotbump.list

и внесите, например:

.domain.com

В squid.conf добавьте:

acl do_not_bump dstdomain "/etc/squid/donotbump.list"
ssl_bump splice do_not_bump

Шаг 5. Перезапустите Squid:

systemctl restart squid
systemctl status squid

✅ Проверка работы

  1. Убедитесь, что тестовый ПК использует прокси.

  2. Выполните загрузку тестового файла EICAR через HTTPS.

  3. В интерфейсе CN:

    • Dashboards → Processed → Источник: ICAP → Период: Last hour – должны появиться события.
    • Alerts → фильтр по File name: EICAR – должно отображаться срабатывание.

🛠 Troubleshooting

Проверка сетевой связности

На CN/Sensor:

tcpdump -i <interface> port 1344 -nn

При успешной передаче должны отображаться пакеты при генерации трафика.

Проверка логов KATA

Соберите логи:

sudo su
kata-collect-siem-logs log-history --output-dir /tmp/logs --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp/logs --no-compress

⚡ Примеры настройки для популярных решений

UserGate

  • Укажите ICAP-сервер:

    icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

  • При необходимости активируйте передачу имени пользователя и IP-адреса.

Check Point

См. официальное руководство Check Point по ICAP.

Обратите внимание:

  • для корректной работы создайте отдельное правило в Threat Prevention Rules без включения Threat Emulation/Extraction;
  • события срабатывания будут доступны только в интерфейсе KATA.

Континент 4

Рекомендуется документация:

  • “Руководство администратора. Межсетевое экранирование” (стр. 71);
  • “Best Practices: Использование контентной фильтрации в версии 4.1.7 → ECAP-сервисы и ICAP-серверы” (стр. 8).

Настройка ICAP производится в консоли управления межсетевого экрана → Контроль доступа → ICAP-серверы.

📨 Рекомендации для заявок в техническую поддержку

  • Соберите полную информацию об инфраструктуре: версия KATA, модель серверов, трафик.

  • Приложите логи:

    • tcpdump с CN/Sensor и Proxy:

      tcpdump -i <interface> port 1344 -nn -w capture.pcap

    • логи через kata-collect.

  • Описание проблемы, точное время, что происходило, и при каких условиях.

🔗 Полезные ссылки

💡 Хочешь, чтобы я подготовил версию для печати в PDF или HTML с красивым оформлением?

Back to top