Инструкция по ICAP-интеграции KATA

📝 Введение

Руководство описывает процесс интеграции платформы KATA с внешними системами через ICAP, включая:

✅ активацию ICAP на Central Node/Sensor;

✅ подключение прокси как ICAP-клиента;

✅ проверку работы;

✅ устранение неисправностей (troubleshooting);

✅ рекомендации по заявкам в техническую поддержку.

---

📚 Краткое описание решения

• KATA обеспечивает защиту от целевых атак (APT) и угроз «нулевого дня»;
• может получать данные через ICAP (HTTP/FTP/HTTPS-трафик);
• ICAP-сервером выступает Central Node с ролью Sensor или выделенный Sensor.

ВАЖНО: Шифрование ICAP-трафика и аутентификация клиентов не поддерживаются по умолчанию — нужно самостоятельно обеспечить защищённый канал (VPN/SSH-туннель/iptables).

---

⚙️ Включение ICAP на Central Node

Шаг 1. Авторизация в веб-интерфейсе CN

Перейдите по адресу:

https://<IP_CN>:8443

Авторизуйтесь с учетной записью Local Administrator (по умолчанию: login: Administrator, password: Administrator).

Шаг 2. Включение ICAP

• В интерфейсе откройте Sensor Servers → выберите сенсор (например, localhost).
• Перейдите в раздел ICAP integration with proxy server.
• Активируйте опцию приема трафика, установив State: Enabled.

Запомните адрес ICAP-сервера для настройки на прокси:

icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

ВАЖНО: Если оставить State: Disabled, то трафик можно будет отправлять, но вердикт не возвращается — результат будет виден только в интерфейсе KATA под учетной записью Офицера безопасности.

---

🚦 Настройка ICAP на Sensor через SSH

Если Sensor развернут отдельно, подключитесь к нему по SSH:

ssh admin@<IP-Sensor>

Включите ICAP в CLI:

Program settings → Configure ICAP integration → Enabled

Выберите режим проверки:

• Standard ICAP scanning – стандартная проверка, объект доступен Sandbox во время анализа.
• Advanced ICAP scanning – усиленная проверка, объект не доступен Sandbox во время анализа.

---

🔗 Настройка прокси (на примере Squid)

Шаг 1. Подключитесь к серверу Squid через SSH и откройте файл:

sudo nano /etc/squid/squid.conf

Шаг 2. Добавьте настройки интеграции:

icap_enable on
adaptation_send_username on
adaptation_send_client_ip on

icap_service kata_req reqmod_precache icap://<IP-Сенсора>:1344/av/reqmod
icap_service kata_resp respmod_precache icap://<IP-Сенсора>:1344/av/respmod

adaptation_access kata_req allow all
adaptation_access kata_resp allow all

icap_service_failure_limit -1

Шаг 3. Добавьте логирование ICAP-трафика:

logformat icap_squid %tl %6tr %rm %ru ...
icap_log /var/log/squid/icap.log icap_squid

Шаг 4. При необходимости настройте исключения для SSL Bumping

Создайте файл с доменами для исключения:

nano /etc/squid/donotbump.list

и внесите, например:

.domain.com

В squid.conf добавьте:

acl do_not_bump dstdomain "/etc/squid/donotbump.list"
ssl_bump splice do_not_bump

Шаг 5. Перезапустите Squid:

systemctl restart squid
systemctl status squid

---

✅ Проверка работы

1. Убедитесь, что тестовый ПК использует прокси.

2. Выполните загрузку тестового файла EICAR через HTTPS.

3. В интерфейсе CN:

   • Dashboards → Processed → Источник: ICAP → Период: Last hour – должны появиться события.
   • Alerts → фильтр по File name: EICAR – должно отображаться срабатывание.

---

🛠 Troubleshooting

Проверка сетевой связности

На CN/Sensor:

tcpdump -i <interface> port 1344 -nn

При успешной передаче должны отображаться пакеты при генерации трафика.

Проверка логов KATA

Соберите логи:

sudo su
kata-collect-siem-logs log-history --output-dir /tmp/logs --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp/logs --no-compress

---

⚡ Примеры настройки для популярных решений

UserGate

• Укажите ICAP-сервер:

  icap://<IP-Сенсора>:1344/av/respmod
  icap://<IP-Сенсора>:1344/av/reqmod
  

• При необходимости активируйте передачу имени пользователя и IP-адреса.

---

Check Point

См. официальное руководство Check Point по ICAP.

Обратите внимание:

• для корректной работы создайте отдельное правило в Threat Prevention Rules без включения Threat Emulation/Extraction;
• события срабатывания будут доступны только в интерфейсе KATA.

---

Континент 4

Рекомендуется документация:

• “Руководство администратора. Межсетевое экранирование” (стр. 71);
• “Best Practices: Использование контентной фильтрации в версии 4.1.7 → ECAP-сервисы и ICAP-серверы” (стр. 8).

Настройка ICAP производится в консоли управления межсетевого экрана → Контроль доступа → ICAP-серверы.

---

📨 Рекомендации для заявок в техническую поддержку

• Соберите полную информацию об инфраструктуре: версия KATA, модель серверов, трафик.

• Приложите логи:

  • tcpdump с CN/Sensor и Proxy:

    tcpdump -i <interface> port 1344 -nn -w capture.pcap
    

  • логи через kata-collect.

• Описание проблемы, точное время, что происходило, и при каких условиях.

---

🔗 Полезные ссылки

• KATA 6.0 официальная документация
• Документация по tcpdump

---

💡 Хочешь, чтобы я подготовил версию для печати в PDF или HTML с красивым оформлением?