Инструкция по ICAP-интеграции KATA
Введение
Данное руководство содержит информацию об интеграции платформы KATA со сторонними решениями по протоколу ICAP, такими как Proxy server или NGFW. Также поддерживается возможность интеграции с другими решениями, поддерживающими передачу данных по ICAP. Описывает процесс настройки и проверки интеграции, встречающиеся проблемы в PoC, эксплуатации и шаги по их устранению.
Краткое описание решения
Kaspersky Anti Targeted Attack Platform — решение для защиты IT-инфраструктуры организации и своевременного обнаружения атак «нулевого дня», целевых атак и APT. Решение разработано для корпоративных пользователей.
Решение может получать и обрабатывать данные через подключение к прокси-серверу по ICAP, включая HTTP-, FTP- и HTTPS-трафик (с SSL-подменой на прокси).
- Подключаться к прокси-серверу по протоколу ICAP, получать и обрабатывать данные HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
В роли ICAP-сервера может выступать Central Node с функцией Sensor или отдельный компонент Sensor.
Важно: KATA не обеспечивает шифрование ICAP-трафика и аутентификацию клиентов по умолчанию. Необходимо самостоятельно настроить защищенное соединение между прокси-сервером и KATA с помощью туннелей или iptables.
ICAP-клиентом обычно является прокси, который отправляет данные на ICAP-сервер. Решение о пересылке данных и режим работы принимается на клиенте.
Добавлена ICAP-интеграция с обратной связью в двух режимах:
- Стандартная проверка — объект доступен Sandbox, при обнаружении угрозы блокируется.
- Усиленная проверка — объект недоступен Sandbox, при угрозе блокируется.
Примечание: При включении приема ICAP-трафика в режиме «Отключено» работает режим respmod: вердикт не возвращается, но результат доступен в интерфейсе KATA для роли «Офицер безопасности».
Включение функционала
Включение приема ICAP на Central Node
-
Перейдите в веб-интерфейс CN по адресу:
https://<IP_CN>:8443 -
Введите учетные данные Local Administrator (по умолчанию: Administrator/Administrator).
-
Откройте Sensor Servers, выберите сенсор (например, localhost).
-
В разделе ICAP integration with proxy server установите State: Enable.
-
Скопируйте ICAP-адреса:
icap://<IP-Сенсора>:1344/av/respmod icap://<IP-Сенсора>:1344/av/reqmod
Для настройки на ICAP-клиенте используйте указанные адреса из поля Host.
Настройка параметров ICAP
В разделе Параметры → Проверка трафика ICAP можно:
- настроить шаблоны страниц блокировки;
- выставить порог блокировки;
- указать время ожидания проверки.
Включение ICAP на Sensor через SSH
-
Подключитесь через SSH к Sensor.
-
Авторизуйтесь учетной записью admin.
-
Перейдите в:
Program settings → Configure ICAP integration -
Включите опцию Enable и выберите режим:
- Standard ICAP scanning
- Advanced ICAP scanning
-
Скопируйте ICAP-адреса:
icap://<IP-Сенсора>:1344/av/respmod icap://<IP-Сенсора>:1344/av/reqmod
Настройка прокси на базе Squid
-
Подключитесь по SSH к серверу Squid.
-
Откройте конфигурацию:
sudo nano /etc/squid/squid.conf -
Добавьте:
icap_enable on adaptation_send_username on adaptation_send_client_ip on icap_service kata_req reqmod_precache icap://<IP-Сенсора>:1344/av/reqmod icap_service kata_resp respmod_precache icap://<IP-Сенсора>:1344/av/respmod adaptation_access kata_req allow all adaptation_access kata_resp allow all icap_service_failure_limit -1 -
Для логирования добавьте:
logformat icap_squid ... icap_log /var/log/squid/icap.log icap_squid -
Настройте исключения для SSL bumping через список
/etc/squid/donotbump.list, добавив в squid.conf:acl do_not_bump dstdomain "/etc/squid/donotbump.list" ssl_bump splice do_not_bump -
Перезапустите Squid:
systemctl restart squid systemctl status squid
Проверка работы
- Настройте ПК на использование прокси.
- Выполните запрос на загрузку EICAR-файла по HTTPS.
- В CN → Dashboards → Processed → выберите ICAP → проверьте активность.
- В Alerts → фильтр по File name: EICAR → проверьте события.