Em mais um exercício, vamos demonstrar como o escaneamento ICAP AV funciona no SecureTransport usando exemplos simples com o cliente Web do SecureTransport e o comando curl em um terminal Linux.
Cenário inicial: upload sem escaneamento ativado
Passos:
- Desative o servidor ICAP no SecureTransport:
- Vá para Setup > ICAP Settings.
- Selecione o servidor ICAP e clique em Disable.
- Envie arquivos infectados sem o escaneamento ativado: Use o seguinte comando no terminal Linux para fazer o upload de um arquivo de teste de vírus:
curl -k “sftp://<SecureTransport Hostname ou IP>:<porta SFTP>” –user “usuario:senha” -T eicar_com.zip
- Substitua usuário:senha pelas credenciais do SecureTransport.
- Confirme o comportamento sem escaneamento:
- Faça o download do arquivo pelo Web Client do SecureTransport.
- Observe que o cliente Web permite o download do arquivo sem bloqueá-lo.
- Após o download, o software antivírus do desktop (McAfee, Norton, Windows Defender) detecta e coloca o arquivo em quarentena.
Conclusão:
Sem o escaneamento ativado no SecureTransport, arquivos infectados podem ser enviados e baixados. A detecção ocorre somente pelo AV local, provando que o arquivo é um vírus.
Validação do escaneamento de saída (Outbound)
Passos:
- Ative o servidor ICAP:
- Vá para Setup > ICAP Settings.
- Selecione o servidor ICAP e clique em Enable.
- Tente baixar o arquivo enviado anteriormente:
- Use o Web Client do SecureTransport ou outro protocolo como SFTP ou FTP para tentar o download.
- O SecureTransport bloqueia o download do arquivo porque o escaneamento ICAP detecta o arquivo como um vírus.
Resultado esperado:
- No Web Client: Aparece um erro indicando que o download foi bloqueado.
- No terminal Linux (usando curl): O download falha, exibindo uma mensagem de erro.
- Verifique o rastreamento de arquivos (File Tracking):
- Detalhes do erro podem ser acessados clicando nos hiperlinks associados ao arquivo.
- Notificações por e-mail (se configuradas):
- O administrador recebe uma notificação por e-mail informando que o download foi bloqueado.
Conclusão:
O SecureTransport protege os dados ao impedir que arquivos infectados sejam baixados.
Validação do escaneamento de entrada (Inbound)
Passos:
- Com o servidor ICAP ativado, configure-o para escanear arquivos de entrada e saída.
- Remova quaisquer filtros para garantir que todos os arquivos sejam escaneados.
- Faça o upload de um arquivo de teste de vírus:
- Use o Web Client do SecureTransport ou um cliente de protocolo como FTP ou SFTP.
- Observe o seguinte comportamento:
- No Web Client: O upload é bloqueado, e o monitor de uploads exibe o status como falha.
- Em clientes FTP/SFTP: O upload parece ser bem-sucedido, mas o arquivo não aparece na pasta porque é mantido oculto pelo SecureTransport até o escaneamento ser concluído.
- Verifique o rastreamento de arquivos (File Tracking):
- Erros associados ao upload bloqueado são detalhados no rastreamento de arquivos.
- Notificações e logs:
- O SecureTransport pode enviar notificações por e-mail sobre uploads bloqueados.
- Informações adicionais sobre falhas podem ser encontradas nos logs do servidor SecureTransport.
Comportamento quando não há vírus
Se o escaneamento ICAP não detectar um vírus:
- O upload e o download serão concluídos com sucesso.
- Os detalhes no rastreamento de arquivos incluirão mensagens de status indicando que o arquivo foi escaneado e aprovado.
Ao validar os escaneamentos de entrada e saída no Axway SecureTransport:
- Você assegura que arquivos infectados ou com informações sensíveis não entrem ou saiam da sua organização.
- Esta funcionalidade protege a integridade dos dados e a reputação da sua empresa.
Com a integração ao ICAP, o SecureTransport proporciona uma camada robusta de segurança em conformidade com os requisitos regulatórios e políticas organizacionais.
Autor: Bob Barrett
Arquiteto Principal na Axway
