Configurar um protocolo
Use esta tela para configurar um protocolo novo ou para modificar as opções de um protocolo configurado pelo sistema. O Symantec Data Loss Prevention trata protocolos de modo diferente, conforme eles forem configurados pelo sistema (pré-configurados no Symantec Data Loss Prevention) ou pelo usuário. O Symantec Data Loss Prevention reconhece os protocolos configurados pelo sistema (tais como SMTP e HTTP) baseados na assinatura do protocolo. Ele reconhece os protocolos TCP configurados pelo usuário (como Telnet) com base na porta pela qual o tráfego passa.
Muitos protocolos de aplicativo são compatíveis com IPv4 e IPv6, incluindo:
- SMTP
- HTTP
- FTP
- Telnet
- VLAN
- Personalizado
Os seguintes protocolos são compatíveis com IPv4, mas não são compatíveis com IPv6:
- NNTP
- GRE
- IM:MSN
- IM:Yahoo
- IM:AOL
Digitar endereços IPv6 em formatos totalmente normalizados é uma melhor prática durante a especificação de um endereço IPv6 da interface de usuário do
Symantec Data Loss Prevention
, exceto se disposto em contrário. Em um endereço IPv6 totalmente normalizado, os zeros principais são cortados e as sequências dos zero são compactadas com dois pontos. Quando você digitar um endereço normalizado, ele normalmente será exibido nesse formato. O formato preferencial de entrada para endereços IPv6 é totalmente comprimido ou cortado, na maioria dos casos. Os seguintes exemplos são aceitos como entrada para endereços IPv6 no
Symantec Data Loss Prevention
, segundo o uso:- Longo - 128 bits normalmente retratados como campos de 4 dígitos hexadecimais, por exemplo:1000:0200:0003:0000:0000:0000:0000:abcd
- Totalmente compactado (também chamado "dois pontos duplo") - os campos de zeros internos são substituídos por dois pontos duplos, por exemplo:1000:200:3::abcd
- Cortado - os zeros principais são removidos, por exemplo:1000:200:3:0:0:0:0:abcd
Quando endereços IPv6 aparecerem em URLs ou em endereços de e-mail, os endereços serão apresentados enquanto o cliente HTTP (em geral um navegador da Web) os transmite. O aparecimento de um endereço IPv6 em um URL não é um caso comum, pois em geral URLs e endereços de email usam nomes de host em vez de endereços IP explícitos. Esse comportamento também é verdadeiro para endereços IPv4.
Você pode digitar uma combinação de endereços IPv4 e IPv6 separados por ponto e vírgula na tela
Configurar protocolo
. Clique na seta direita para exibir as opções de cada seção. Digite ou modifique as informações sobre o protocolo nos campos disponíveis.
Campo | Descrição |
|---|---|
Nome | Digite ou modifique o nome do protocolo. Você pode usar até 256 caracteres. O nome do protocolo é exibido em vários lugares do sistema; assim, certifique-se de fornecer um nome simples. Esse valor é obrigatório. |
Portas | Este campo é exibido apenas para protocolos TCP configurados pelo usuário. Digite um ou mais números da porta associados ao protocolo. Separe os números da porta por vírgulas ou hífens. Por exemplo: 18, 23, 25-29, 82. Se você configurar um protocolo Telnet, digite 23 como número de porta. |
Portas inferiores monitoradas | Este campo é exibido apenas para protocolos configurados pelo sistema, tais como HTML e SMTP. Digite números da porta inferiores a 1024, que você deseja que o Symantec Data Loss Prevention monitore. Cumulativamente, as portas que você especificar para todos os protocolos servem como um filtro positivo. As portas indicam ao Symantec Data Loss Prevention para monitorar o tráfego de todos os tipos de protocolo em cada uma das portas especificadas. Por exemplo, se você especificar a porta 25 para a entrada SMTP, essa porta será monitorada para o tráfego de todos os tipos de protocolo relacionados. Observe que as portas inferiores a 1024 não são monitoradas se você não especificá-las pelo menos para um protocolo. Por padrão, o Symantec Data Loss Prevention monitora o tráfego nas portas 1024 ou superiores. |
IP | Digite todos os filtros baseados em IP que você quiser usar. Se você deixar este campo em branco, o Symantec Data Loss Prevention faz a correspondência e armazena todos os fluxos. Você pode digitar uma combinação de endereços IPv4 e IPv6 separados por ponto e vírgula na tela Configurar protocolo . Durante a configuração de filtros de protocolo com endereços IPv6, observe que:
O formato dos filtros de protocolo IP (encontrados nas definições de protocolo e de filtro do protocolo) é:
Cada fluxo é avaliado em ordem, em relação às entradas do filtro, até que uma entrada corresponda aos parâmetros de IP do fluxo. Um sinal negativo (-) no início da entrada indica que o fluxo é ignorado. Um sinal positivo (+) no início da entrada indica que o fluxo é mantido. Uma descrição da rede de sub-redes * significa que qualquer pacote corresponderá a esta entrada. Um bitmask da sub-rede com o tamanho do endereço indica que a entrada deve corresponder exatamente ao endereço de rede. Esse limite é de 32 bits para endereços IPv4 e 128 bits para endereços IPv6. Por exemplo, para IPv4, o filtro +,10.67.0.0/16,*;-,*,* corresponde a todos os fluxos que partem para a rede 10.67.x.x, mas não corresponde a qualquer outro tráfego. Os endereços IPv6 são compatíveis com a monitoração da rede; contudo, filtros IPv4 e filtros IPv6 são completamente independentes entre si. Blocos IPv4 e IPv6 são especificados com a notação CIDR <address>/<tamanho da máscara> . Por exemplo, fdda:e808::/32 - em que fdda:e808:: é o endereço e 32 é o tamanho da máscara ou 10.0.2.0/24 , em que 10.0.2.0 é o endereço e 24 é o tamanho da máscara. Quanto mais específico você for ao definir as características de reconhecimento, mais específicos serão os resultados. Por exemplo, se você definir apenas um endereço IP específico, somente os incidentes que envolverem esse endereço IP serão capturados. Se você não definir nenhum endereço IP ou definir uma ampla faixa de endereços IP, serão obtidos resultados mais amplos. |
Filtragem ((pode sobrepor-se no nível do servidor)) | Os campos Filtragem permitem especificar detalhes sobre o tráfego que você deseja ignorar para reduzir a carga e melhorar o desempenho do sistema. Esta seção também está incluída no menu Filtro de protocolo para servidores individuais. |
Filtro IP | Filtra o tráfego indesejável no protocolo; usa o mesmo formato de filtro de protocolo IP que para o IP. |
Filtro remetente da camada 7 | Especifique alguns dos seguintes itens para avaliar:
Quando configurar filtros L7 com endereços IPv6, observe que:
Somente endereços IPv4 e IPv6 com formato longo são válidos. Para IPv4, quatro campos separados por pontos são um endereço válido em formato longo; por exemplo: 1.2.*.* Para IPv6, oito campos separados por dois pontos são um endereço válido de longo-formato; por exemplo: 1:2:3:4:*:*:*:* Tanto para IPv4 quanto para IPv6, os filtros são especificados com caracteres curinga e a filtragem aplica-se somente a protocolos personalizados. Consulte a descrição Filtro destinatário da camada 7 para obter mais informações sobre o formato das entradas de filtros. |
Filtro destinatário da camada 7 | Email para qualquer destinatário (para SMTP/MI MSN/FTP) ou endereços IP (para UTCP), nomes de usuário (para Yahoo! Messenger/AIM) ou URL (para HTTP) a ser avaliados. Quando usar endereços IPv6 com regras de remetente/destinatário, observe que:
Você pode usar filtros para incluir (verificar) ou excluir (ignorar) mensagens de remetentes específicos ou para destinatários específicos. Você deve preceder cada entrada com um sinal positivo (+) ou negativo (-) para incluir ou excluir resultados correspondentes. Por exemplo:
Se você adicionar um asterisco (*) ao final da expressão do filtro, qualquer mensagem que não corresponda explicitamente a qualquer uma das máscaras do filtro será ignorada. Por exemplo, se você adicionar o filtro +*@abc.com ao remetente, *, todas as mensagens de alguém localizado no domínio abc.com serão verificadas e todas as mensagens restantes serão ignoradas. Você também pode incluir caracteres curinga com asterisco em qualquer lugar das strings do endereço. A sintaxe específica do filtro depende do protocolo. Por exemplo, para endereços de email você pode usar caracteres curinga nas strings do filtro da seguinte forma:
A ordem em que os filtros são avaliados é da esquerda para a direita. Por exemplo, se você adicionar o filtro destinatário
todas as mensagens que forem enviadas a [email protected] serão ignoradas e as mensagens que forem enviadas a qualquer pessoa no domínio xyz.com serão verificadas. O último asterisco indica ao filtro para ignorar todas as outras mensagens. Se os filtros de remetente e destinatário estiverem em conflito, a mensagem resultante será ignorada. Por exemplo, esta situação pode acontecer se o filtro de remetente de uma mensagem específica avaliar para “verificar” e o filtro de destinatário avaliar para “ignorar.” Se um filtro de destinatário tiver várias máscaras de exclusão, os destinatários poderão corresponder a qualquer uma das máscaras de exclusão e a mensagem será excluída. Por exemplo, se o filtro de destinatário for -*@xyz.com, -*@abc.com, todas as mensagens enviadas aos domínios xyz.com e abc.com serão ignoradas. No entanto, as mensagens enviadas tanto para xyz.com como para abc.com (mas não para ambos) serão verificadas. Se as mensagens tiverem outros destinatários em outros domínios, serão verificadas.Você pode monitorar mensagens enviadas de um domínio xyz.com, mas ignorar as mensagens enviadas para esse domínio, adicionando os seguintes filtros:
|
Conteúdo | Uma abordagem baseada na inclusão para filtrar mensagens indesejáveis usando correspondência de texto em relação ao fluxo capturado dos pacotes. Cada entrada de filtro de conteúdo deve ser correspondente ou o fluxo é ignorado. O formato do filtro de conteúdo é:
O processo percorre o fluxo procurando o nome do cabeçalho. Um dos valores do cabeçalho deve corresponder ao texto exibido depois do nome do cabeçalho. O espaço em branco entre o cabeçalho e o valor é ignorado. As letras maiúsculas são ignoradas. Por exemplo, um filtro de I,user-agent:,mozilla,opera;I,content-type:,multipart corresponde somente aos fluxos que têm o texto user-agent: seguido imediatamente por mozilla ou opera e o texto content-type: seguido imediatamente pelo texto multipart .Outro exemplo é: um fluxo com user-agent:mozilla e content-type:multipart é mantido; um fluxo com user-agent:mozilla e content-type:text/plain é ignorado. |
Profundidade de pesquisa (pacotes) | Quantos pacotes serão pesquisados para obter a string de texto especificada. O valor deve ser positivo e inferior ou igual a 65000. Esse valor é obrigatório. Quanto mais profunda a pesquisa, mais tempo leva. |
Amostra (processada/10.000) | O número de cada 10.000 mensagens que você deseja monitorar como uma amostragem representativa. Por exemplo, digite 10000 para que o Symantec Data Loss Prevention pesquise cada mensagem neste protocolo. Se você digitar 200, ele pesquisará 200 de cada 10.000 mensagens. O valor deve ser positivo e inferior ou igual a 17280. Esse valor é obrigatório. |
Processamento de conteúdo | Use a seção Processamento de conteúdo para especificar como controlar as mensagens neste protocolo. Selecione uma das seguintes opções:
|
Representação do incidente | Selecione uma das seguintes opções:
|
Espera máxima até gravação | O número máximo de intervalos de 5 segundos em que um fluxo permanece ativo sem tráfego para que o fluxo seja gravado em disco. O valor padrão é 6. O valor deve ser positivo e inferior ou igual a 17280. Esse valor é obrigatório. |
Espera máxima até ignorar | O número máximo de intervalos de 5 segundos em que um fluxo permanece na memória depois que o conteúdo do fluxo é despejado no disco. O valor padrão é 10. O valor deve ser positivo e inferior ou igual a 17280. Esse valor é obrigatório. |
Máximo de pacotes de fluxo | O número máximo de pacotes em um fluxo para que ele seja armazenado em spool no disco. O valor padrão é 20000. O valor deve ser positivo e inferior ou igual a 100000. Esse valor é obrigatório. |
Tamanho mínimo de fluxo | O tamanho mínimo do fluxo. O valor padrão é 0. O valor não deve ser negativo. Esse valor é obrigatório. |
Tamanho máximo de fluxo | O tamanho máximo do fluxo. O valor padrão é 30000000. O valor não deve ser negativo. Esse valor é obrigatório. |
Intervalo do segmento | O número de intervalos de 5 segundos entre as tentativas de segmentação de fluxos persistentes em mensagens individuais. O valor padrão é 12. O valor deve ser positivo e inferior ou igual a 3600. Esse valor é obrigatório. |
Tempo limite de notificação de ausência de tráfego (em segundos) | O número de segundos em que novos pacotes não podem ser visualizados no protocolo até que um aviso do sistema seja publicado. O valor padrão é 600. O valor deve ser superior ou igual a 60 e inferior ou igual a 604800. Esse valor é obrigatório. |
É encerrado em FIN | Se selecionar essa opção, um pacote FIN ou RST fará com que o fluxo seja gravado imediatamente no disco. |
Depois de concluir a adição de valores:
- Clique emSalvarpara salvar todas as alterações no protocolo.
- Reinicie todos os servidores de monitoramento se você tiver feito alterações aos filtros do IP.
- Reinicie todos os servidores de monitoramento e Prevent Servers se você tiver feito alterações a filtros L7.
- Ou clique emCancelarpara cancelar todas as alterações no protocolo.