ICAPレスポンスヘッダを追加設定し、エンフォースメントを行う

説明

ICAPサーバセキュリティゲートウェイまたはクラスタのICAPサーバ機能は、ICAPクライアントのリクエストに対応し、検査用のファイルを送信して、その結果を返すことができます。からのICAPレスポンスヘッダに応じて強制力を調整するために、特定のHTTPヘッダを設定することができます。Check Point Security Gateway上のICAPクライアントセキュリティゲートウェイまたはクラスタのICAPクライアント機能は、ICAPサーバのレスポンス（RFC 3507参照）と対話し、そのコンテンツを変更し、一致するHTTP接続をブロックすることを可能にします。がこれらのHTTPヘッダを受信すると、Security Gatewayは一致したHTTP接続をブロックトラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。します。Draft RFC - ICAP Extensionsを参照してください。

HTTPレスポンスのデフォルトのXヘッダ

デフォルトでは、ICAPクライアントはこれら3つのユーザ定義ICAPresponse ヘッダー拡張を認識します。

デフォルトのXヘッダ

HTTPレスポンスX-Header	説明	例
`X-Virus-ID`	コンテンツに発見された脅威の短い説明が含まれています。 1行に、任意のウイルスや脅威の記述を含めることができます。複数の脅威が見つかった場合は、最初のものだけが返されます。このヘッダーは、`X-Infection-Found` のヘッダーに代わる短いものです。このヘッダーは、コンテンツがスキャンされ、何らかの違反が見つかった場合にのみ利用可能です。	`X-Virus-ID: EICAR Test String` `X-Virus-ID: Encrypted Archive`
`X-Violations-Found`	リクエストの処理中に発生したすべてのポリシー違反 (たとえば、ウイルスが見つかったなど) の詳細な説明をコンテナで提供します。スキャンしたコンテンツがアーカイブであった場合、含まれているファイルについてもスキャン結果が表示されます。 1つのファイルに対して複数の脅威が検出 UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。された場合は、最初の脅威のみを返す。このヘッダーは、コンテンツがスキャンされ、何らかの違反が見つかった場合にのみ表示されます。このヘッダーは、1行目に報告された違反の数から始まり、違反ごとに4行を追加した複数行の値になっています。 1行目には、報告された違反の番号が記載されています。次の行に詳細が書かれています。 `Filename` ICAPクライアントがICAPサーバに送信したアーカイブ内の1つのファイルを記述することができる。 `ThreadDescription` 脅威に関する人間にとって読みやすい説明。例えば、ウイルス名やポリシー違反の説明などです。空白を含んでもよく、引用してはならない。 `ProblemID:` ポリシー違反の1桁の整数値識別子。例えば、ウイルスIDなど。現在、すべての脅威に対して0が返される。 `ResolutionID:` 0:ファイルが修復されませんでした。 1:ファイルが修復されました。 2:違反箇所が削除された（通常、コンテナからファイルが削除された場合に使用されます）。	`X-Violations-Found: 2` `test.zip/dir1/eicar.com` `EICAR Test String` `11101` `2` `test.zip/dir2/eicar.com` `EICAR Test String` `11101` `2`
`X-Infection-Found`	リクエストのICAPメッセージボディで見つかった脅威の記述をコンテナで格納する。複数の脅威が見つかった場合は、最初のものだけが返されます。このヘッダーは、コンテンツがスキャンされ、何らかの違反が見つかった場合にのみ表示されます。値は、セミコロンで区切られたパラメータリストであり、ちょうど3つのパラメータが指定された順序で並んでいる。 `TypeID:` 0:ウイルスに感染している。 1:メールポリシー違反（例：添付ファイル名の不正）。 2:コンテナ違反（例えば、解凍に時間がかかりすぎるZIPファイルなど）。 `ResolutionID:` 0:ファイルが修復されませんでした。 1:RESPMODレスポンスで返されるファイルは、リクエストでカプセル化された感染ファイルの修復されたバージョンです。 2:オリジナルファイルは、コンテナやメールポリシー違反によりブロックされるか、拒否されるはずです。 `ThreadDescription:` 脅威に関する人間にとって読みやすい説明。例えば、ウイルス名やポリシー違反の説明などです。空白を含んでもよく、引用してはならない。ヘッダー定義の最後のセミコロンで終了するため、セミコロンを含んではならない。	`X-Infection-Found: Type=0; Resolution=1; Threat=EICAR Test String;` 説明する。ICAPリクエストにEICARテストストリングに感染するデータが含まれていました。ファイルが修復された（たとえば、`eicar.com` ファイルがアーカイブから削除され、残りのアーカイブがレスポンスで送り返される）。

HTTPレスポンスX-Header

説明

例

X-Virus-ID

コンテンツに発見された脅威の短い説明が含まれています。

1行に、任意のウイルスや脅威の記述を含めることができます。

複数の脅威が見つかった場合は、最初のものだけが返されます。

このヘッダーは、X-Infection-Found のヘッダーに代わる短いものです。

このヘッダーは、コンテンツがスキャンされ、何らかの違反が見つかった場合にのみ利用可能です。

X-Virus-ID: EICAR Test String

X-Virus-ID: Encrypted Archive

X-Violations-Found

リクエストの処理中に発生したすべてのポリシー違反 (たとえば、ウイルスが見つかったなど) の詳細な説明をコンテナで提供します。

スキャンしたコンテンツがアーカイブであった場合、含まれているファイルについてもスキャン結果が表示されます。

1つのファイルに対して複数の脅威が検出 UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。された場合は、最初の脅威のみを返す。

このヘッダーは、コンテンツがスキャンされ、何らかの違反が見つかった場合にのみ表示されます。

このヘッダーは、1行目に報告された違反の数から始まり、違反ごとに4行を追加した複数行の値になっています。

1行目には、報告された違反の番号が記載されています。
次の行に詳細が書かれています。

Filename

ICAPクライアントがICAPサーバに送信したアーカイブ内の1つのファイルを記述することができる。

ThreadDescription

脅威に関する人間にとって読みやすい説明。例えば、ウイルス名やポリシー違反の説明などです。空白を含んでもよく、引用してはならない。

ProblemID:

ポリシー違反の1桁の整数値識別子。例えば、ウイルスIDなど。現在、すべての脅威に対して0が返される。

ResolutionID:

0:ファイルが修復されませんでした。
1:ファイルが修復されました。
2:違反箇所が削除された（通常、コンテナからファイルが削除された場合に使用されます）。

X-Violations-Found: 2
test.zip/dir1/eicar.com
EICAR Test String
11101
2
test.zip/dir2/eicar.com
EICAR Test String
11101
2

X-Infection-Found

リクエストのICAPメッセージボディで見つかった脅威の記述をコンテナで格納する。

複数の脅威が見つかった場合は、最初のものだけが返されます。

このヘッダーは、コンテンツがスキャンされ、何らかの違反が見つかった場合にのみ表示されます。

値は、セミコロンで区切られたパラメータリストであり、ちょうど3つのパラメータが指定された順序で並んでいる。

TypeID:

0:ウイルスに感染している。
1:メールポリシー違反（例：添付ファイル名の不正）。
2:コンテナ違反（例えば、解凍に時間がかかりすぎるZIPファイルなど）。

ResolutionID:

0:ファイルが修復されませんでした。
1:RESPMODレスポンスで返されるファイルは、リクエストでカプセル化された感染ファイルの修復されたバージョンです。
2:オリジナルファイルは、コンテナやメールポリシー違反によりブロックされるか、拒否されるはずです。

ThreadDescription:

脅威に関する人間にとって読みやすい説明。例えば、ウイルス名やポリシー違反の説明などです。空白を含んでもよく、引用してはならない。ヘッダー定義の最後のセミコロンで終了するため、セミコロンを含んではならない。

X-Infection-Found: Type=0; Resolution=1; Threat=EICAR Test String;

説明する。ICAPリクエストにEICARテストストリングに感染するデータが含まれていました。ファイルが修復された（たとえば、eicar.com ファイルがアーカイブから削除され、残りのアーカイブがレスポンスで送り返される）。

HTTPレスポンスXヘッダーの追加

ICAPクライアントが認識するHTTPレスポンスのXヘッダを追加することができます。

追加のXヘッダー

HTTPレスポンスX-Header	説明	例
`X-Response-Info`	ICAPサーバがHTTPリクエストに適用したアクションの一語の説明がコンテナで格納されています。このヘッダーは、ICAPサーバが送信するすべてのレスポンスで利用可能です。	`X-Response-Info: Allowed` `X-Response-Info: Blocked` `X-Response-Info: Options`
`X-Response-Desc`	ICAPサーバがコンテンツに適用したアクションに関する1行の説明が含まれています。このヘッダーは、すべての "blocked "レスポンスで利用可能である。コンテンツをスキャンし、何らかの違反が見つかった場合、返される文字列は`X-Blocked-Reason` の値と同じである。	`X-Response-Desc: Infected` `X-Response-Desc: Encrypted Archive`
`X-Include`	ICAPクライアントがHTTPリクエストに追加すべき、リクエストされたHTTPヘッダーのリストが含まれています（情報がある場合）。このヘッダーは、HTTP`Options` のレスポンスにのみ存在します。このヘッダーは、情報が利用可能でヘッダーがサポートされている場合に、 ICAPサーバがICAPクライアントにリクエストに追加してほしいICAPヘッダー拡張フィールド名をカンマ区切りにしたリストである。	`X-Include: X-Client-IP`
`X-Blocked-Reason`	Metadefender固有のカスタムヘッダーです。コンテンツのブロック理由をコンテナで格納する。このヘッダーは、コンテンツがスキャンされ、何らかの違反が見つかった場合にのみ利用可能です。	`X-Blocked-Reason: Infected`
`X-ICAP-Profile`	適用されるワークフローの名称（ユーザプロファイル）が格納される。このヘッダーは、ファイルがスキャンされた場合のみ利用可能です。	`X-ICAP-Profile: Proxy`

HTTPレスポンスの追加Xヘッダーの設定

HTTPレスポンスのX-Headersを特定のカーネルパラメータの値として追加します。

項目	説明
名前	`icap_unwrap_append_header_str`
タイプ	文字列
注	追加されるHTTPヘッダーの長さは最大80文字です。このようなHTTPヘッダーは、最大21個まで追加できます。 ICAPクライアントもこのHTTPレスポンス・ステータスを使用します。 `HTTP/1.0 403 Forbidden` (RFC 3507による)。

一般的な使用方法については、R81.10 Quantum Security Gateway Guide > ChapterWorking with Kernel Parameters on Security Gateway をご覧ください。

設定されているHTTPレスポンスのXヘッダーの一覧を見るには

このカーネルパラメータの値を文字列'__print__' に設定する。

fw ctl set str icap_unwrap_append_header_str '__print__'

設定されているHTTPヘッダーの一覧を表示します。

dmesg | grep append_icap_unwrap_headers

例:

[Expert@GW:0]# fw ctl set str icap_unwrap_append_header_str '__print__'
[Expert@GW:0]# dmesg | grep append_icap_unwrap_headers
[fw6_0];append_icap_unwrap_headers: ==> new icap_unwrap_headers array is: [ X-Virus-ID ; X-Violations-Found ; X-Infection-Found ;]
[fw4_0];append_icap_unwrap_headers: ==> new icap_unwrap_headers array is: [ X-Virus-ID ; X-Violations-Found ; X-Infection-Found ;]
[Expert@GW:0]#

検出専用モードでHTTPレスポンスのX-Headerを一時的に追加する場合

注 - このモードでは、ICAPクライアントは一致したHTTP接続をブロックしません。

この文字列カーネルパラメータの値を、Xヘッダーの名前に設定する。

fw ctl set str icap_unwrap_append_header_str '<Name of X-header>'

設定されているHTTPヘッダーの一覧を表示します。

dmesg | grep append_icap_unwrap_headers

例:

[Expert@GW:0]# fw ctl set str icap_unwrap_append_header_str 'X-Response-Info'
[Expert@GW:0]# fw ctl set str icap_unwrap_append_header_str 'X-Response-Desc'
[Expert@GW:0]# fw ctl set str icap_unwrap_append_header_str '__print__'
[Expert@GW:0]# dmesg | grep append_icap_unwrap_headers
[fw6_0];append_icap_unwrap_headers: ==> new icap_unwrap_headers array is: [ X-Virus-ID ; X-Violations-Found ; X-Infection-Found ; X-Response-Info ; X-Response-Desc ;]
[fw4_0];append_icap_unwrap_headers: ==> new icap_unwrap_headers array is: [ X-Virus-ID ; X-Violations-Found ; X-Infection-Found ; X-Response-Info ; X-Response-Desc ;]
[Expert@GW:0]#

設定されているHTTPレスポンスのXヘッダーを一時的にすべて削除する場合

このカーネルパラメーターの値を空文字列に設定する'':

fw ctl set str icap_unwrap_append_header_str ''

設定されているHTTPヘッダーの一覧を表示します。

fw ctl set str icap_unwrap_append_header_str '__print__'

dmesg | grep append_icap_unwrap_headers

例:

[Expert@GW:0]# fw ctl set str icap_unwrap_append_header_str ''
[Expert@GW:0]# fw ctl set str icap_unwrap_append_header_str '__print__'
[Expert@GW:0]# dmesg | grep append_icap_unwrap_headers
[Expert@GW:0]#

HTTPレスポンスのXヘッダーを一時的にデフォルト設定に戻すには

このカーネルパラメーターの値を文字列'X-Virus-ID','X-Violations-Found','X-Infection-Found' に設定する。

fw ctl set str icap_unwrap_append_header_str 'X-Virus-ID'

fw ctl set str icap_unwrap_append_header_str 'X-Violations-Found'

fw ctl set str icap_unwrap_append_header_str 'X-Infection-Found'

設定されているHTTPヘッダーの一覧を表示します。

fw ctl set str icap_unwrap_append_header_str 'X-Infection-Found'

dmesg | grep append_icap_unwrap_headers