Configuración de un protocolo
Use esta pantalla para configurar un nuevo protocolo o para modificar las opciones para un protocolo configurado en sistema. Symantec Data Loss Prevention maneja protocolos de manera diferente según si están configurados en sistema (configurado previamente en el sistema de Symantec Data Loss Prevention) o por el usuario. Symantec Data Loss Prevention reconoce los protocolos configurados en sistema (como SMTP y HTTP) según la firma del protocolo. Reconoce los protocolos TCP configurados por el usuario (como Telnet) según el puerto por el cual el tráfico viaja.
Muchos protocolos de aplicación se admiten en IPv4 e IPv6, incluidos:
- SMTP
- HTTP
- FTP
- Telnet
- VLAN
- Personalizado
Los protocolos siguientes se admiten en IPv4, pero no se admiten en IPv6:
- NNTP
- GRE
- MI: MSN
- MI: Yahoo
- MI: AOL
Ingresar direcciones IPv6 en formatos totalmente normalizados es una práctica recomendada, al especificar una dirección IPv6 en la interfaz de usuario de
Symantec Data Loss Prevention
, a menos que se indique lo contrario. En una dirección IPv6 completamente normalizada, se descartan los ceros a la izquierda y las secuencias de ceros se comprimen con dos puntos. Cuando se ingresa una dirección normalizada, se muestra generalmente en ese formato. El formato de entrada preferido para direcciones IPv6 se comprime o abrevia completamente, en la mayoría de los casos. Los ejemplos siguientes se aceptan como entrada para direcciones IPv6 en
Symantec Data Loss Prevention
, dependiendo del uso:- Largo: 128 bits representados comúnmente como ocho campos hexadecimales de 4 dígitos, por ejemplo:1000:0200:0003:0000:0000:0000:0000:abcd
- Totalmente comprimido (también llamado "dos puntos dobles"): los campos de ceros internos se substituyen por dos puntos dobles, por ejemplo:1000:200:3::abcd
- Abreviado: se quitan los ceros a la izquierda, por ejemplo:1000:200:3:0:0:0:0:abcd
Cuando las direcciones IPv6 aparecen en direcciones URL o direcciones de correo electrónico, se presentan las direcciones como el cliente HTTP (generalmente un navegador web) las transmite. Una dirección IPv6 que aparece en una dirección URL no es un caso común, pues las direcciones URL y las direcciones de correo electrónico utilizan generalmente nombres de host en lugar de direcciones IP explícitas. Este comportamiento es también verdadero para las direcciones IPv4.
En la pantalla
Configurar protocolo
, se puede introducir una combinación de direcciones IPv4 e IPv6 separadas por puntos y comas. Haga clic en la flecha derecha para ver las opciones para cada sección. Introduzca o modifique la información sobre el protocolo en los campos disponibles.
Campo | Descripción |
|---|---|
Nombre | Introduzca o modifique el nombre del protocolo. Es posible usar hasta 256 caracteres. El nombre del protocolo aparece en varios lugares en el sistema, así que asegúrese de que proporciona un nombre fácil de usar. Se requiere este valor. |
Puertos | Este campo aparece solamente para los protocolos TCP configurados por el usuario. Introduzca uno o más números de puerto que estén asociados al protocolo. Separe los números de puerto con comas o guiones. Por ejemplo: 18, 23, 25-29, 82. Si configura un protocolo de Telnet, introduzca 23 como el número de puerto. |
Puertos con baja supervisión | Este campo aparece solamente para los protocolos configurados en sistema, como HTML y SMTP. Introduzca números de puerto menores que 1024 que es necesario que Symantec Data Loss Prevention supervise. De manera acumulativa, los puertos que se especifican para cualquier protocolo sirven como filtro positivo. Los puertos le indican a Symantec Data Loss Prevention que supervise el tráfico de todos los tipos de protocolo en cada uno de los puertos especificados. Por ejemplo, si se especifica el puerto 25 para la entrada SMTP, se supervisa el tráfico de todos los tipos de protocolo enumerados de ese puerto. Tenga en cuenta que los puertos menores que 1024 no se supervisan si usted no los especifica para, por lo menos, un protocolo. De forma predeterminada, Symantec Data Loss Prevention supervisa el tráfico en los puertos mayores o iguales que 1024. |
IP | Introduzca cualquier filtro basado en IP que desee usar. Si deja este espacio en blanco, Symantec Data Loss Prevention coincide y almacena todas las secuencias. En la pantalla Configurar protocolo , se puede introducir una combinación de direcciones IPv4 e IPv6 separadas por puntos y comas. Cuando se configuran filtros de protocolos con direcciones IPv6, tenga en cuenta lo siguiente:
El formato de los filtros del protocolo IP (que se encuentran en las definiciones del protocolo y las definiciones del filtro del protocolo) es:
Cada secuencia se evalúa según las entradas del filtro hasta que una entrada coincida con los parámetros de IP de la secuencia. Un signo menos (-) al inicio de la entrada indica que la secuencia está cortada. Un signo más (+) al inicio de la entrada indica que la secuencia se mantiene. Una descripción de red de subred de * significa que cualquier paquete coincide con esta entrada. Un tamaño de máscara de bits de subred de la dirección indica que la entrada debe coincidir con la dirección de red exacta. El límite es 32 bits para direcciones IPv4 y 128 bits para direcciones IPv6. Por ejemplo, para IPv4, el filtro +, 10.67.0.0/16, *; -, *, * coincide con todas las secuencias que van a la red 10.67.x.x, pero no coincide con ningún otro tráfico. Las direcciones IPv6 se admiten para la supervisión de la red; sin embargo, los filtros IPv4 y los filtros IPv6 son totalmente independientes entre sí. Los bloques IPv4 e IPv6 se especifican con la notación CIDR <address>/<tamaño máscara> . Por ejemplo, fdda:e808::/32 , donde fdda:e808:: es la dirección y 32 es el tamaño de máscara o 10.0.2.0/24 donde 10.0.2.0 es la dirección y 24 es el tamaño de la máscara. Cuanto más específico sea usted cuando se definan las características de reconocimiento, más específicos serán los resultados. Por ejemplo, si se define solamente una dirección IP específica, solo se capturan los incidentes de esa dirección IP. Si no define ninguna dirección IP o si define una amplia gama de direcciones IP, se obtienen resultados más amplios. |
Filtrado (puede anularse en el nivel de servidor) | Los campos de filtrado le permiten especificar los detalles sobre el tráfico que desee omitir para reducir la carga y para mejorar el rendimiento del sistema. Esta sección, además, está incluida en el menú Filtro de protocolo para los servidores individuales. |
Filtro IP | Filtra el tráfico no deseado en el protocolo; usa el mismo formato de filtro de protocolo IP que para el IP. |
Filtro de remitente L7 | Especifique cualquiera de los siguientes elementos para evaluar:
Cuando se configuran filtros L7 con direcciones IPv6, tenga en cuenta lo siguiente:
Solo las direcciones IPv4 e IPv6 de formato largo son válidas. Para IPv4, cuatro campos separados por puntos es una dirección válida de formato largo; por ejemplo: 1.2.*.* Para IPv6, ocho campos separados por dos puntos es una dirección válida de formato largo; por ejemplo: 1:2:3:4:*:*:*:* Para IPv4 e IPv6, los filtros se especifican con comodines y los filtros se aplican solamente a protocolos personalizados. Consulte la descripción Filtro de destinatario L7 para obtener más información sobre el formato de las entradas del filtro. |
Filtro de destinatario L7 | Cualquier correo electrónico de destinatario (para FTP/MI de SMTP/MSN) o direcciones IP (para UTCP), nombres de usuario (para MI de Yahoo!/AIM) o URL (para el HTTP) que se evaluará. Al usar direcciones IPv6 con reglas de remitente/destinatario, observe lo siguiente:
Es posible usar filtros para incluir (examinar) o para excluir (omitir) mensajes de remitentes específicos o para destinatarios específicos. Es necesario preceder cada entrada con un signo más (+) o el signo menos (-) para incluir o excluir resultados de coincidencias. Por ejemplo:
Si agrega un asterisco (*) al final de la expresión del filtro, se omite cualquier mensaje que no coincida explícitamente con alguna máscara del filtro. Por ejemplo, si se agrega el filtro de remitente +*@abc.com,*, se examinan todos los mensajes de cualquier persona con el dominio de abc.com, pero se omiten todos los demás. Es posible también incluir asteriscos como comodín en cualquier parte de las cadenas de dirección. La sintaxis específica del filtro depende del protocolo. Por ejemplo, para las direcciones de correo electrónico, se pueden usar comodines en cualquier parte de la cadena del filtro, de la siguiente manera:
El orden en el cual se evalúan los filtros es de izquierda a derecha. Por ejemplo, si se agrega el filtro de destinatario
se omiten todos los mensajes que se envían a [email protected] y se examinan todos los mensajes que se envían a cualquier persona con el dominio xyz.com. El último asterisco le indica al filtro que omita todos los demás mensajes. Si están en conflicto los filtros de remitente y destinatario, se omite el mensaje resultante. Por ejemplo, esta situación puede suceder si el filtro de remitente para un mensaje determinado evalúa como “examinar” y el filtro de destinatario evalúa como “omitir”. Si un filtro de destinatario tiene varias máscaras de exclusión, los destinatarios deben coincidir con alguna máscara de exclusión para que el mensaje se excluya. Por ejemplo, si el filtro de destinatario es -*@xyz.com, -*@abc.com, se omiten todos los mensajes que se envían a los dominios xyz.com y abc.com. Asimismo, se omiten los mensajes que se envían a cualquiera de los dominios xyz.com o abc.com (pero no a ambos). Si los mensajes tienen destinatarios adicionales en otros dominios, se examinan los mensajes.Es posible supervisar los mensajes enviados del dominio de xyz.com, pero omitir los mensajes enviados para ese dominio agregando los filtros siguientes:
|
Contenido | Un enfoque basado en inclusión para filtrar los mensajes no deseados usando la coincidencia de texto con la secuencia capturada de paquetes. Cada filtro de contenido debe coincidir o se corta la secuencia. El formato del filtro de contenido es:
El proceso atraviesa la secuencia en busca del nombre del título. Uno de los valores del título debe coincidir con el texto que sigue al nombre del título. Se omite el espacio en blanco entre el título y el valor. Se omite la capitalización. Por ejemplo, el filtro I,user-agent:,mozilla,opera;I,content-type:,multipart coincide solamente con las secuencias que tienen el texto user-agent: seguido inmediatamente por mozilla u opera y el texto content-type: seguido inmediatamente por el texto multipart .Otro ejemplo es una secuencia con user-agent:mozilla y content-type:multipart (se conserva); una secuencia con user-agent:mozilla y content-type:text/plain (se corta). |
Profundidad de búsqueda (paquetes) | En cuántos paquetes buscar profundamente la cadena de texto especificada. El valor debe ser positivo y menor o igual que 65 000. Se requiere este valor. Cuanto más profunda es la búsqueda, más tiempo lleva. |
Muestreo (procesado/10.000) | De cada 10.000 mensajes, el número que desee supervisar como muestreo representativo. Por ejemplo, introduzca 10.000 para que Symantec Data Loss Prevention busque en cada mensaje en este protocolo. Si introduce 200, busca en 200 de cada 10 000 mensajes. El valor debe ser positivo y menor o igual que 17 280. Se requiere este valor. |
Procesamiento de contenido | Use la sección Procesamiento de contenido para especificar cómo manejar los mensajes en este protocolo. Seleccione una de las siguientes opciones:
|
Representación del incidente | Seleccione una de las siguientes opciones:
|
Espera máxima de escritura | El número máximo de intervalos de 5 segundos durante los cuales una secuencia sigue estando activa sin tráfico antes de que la secuencia se escriba en el disco. El valor predeterminado es 6. El valor debe ser positivo y menor o igual que 17 280. Se requiere este valor. |
Espera máxima de corte | El número máximo de intervalos de 5 segundos que una secuencia permanece en la memoria una vez que el contenido de la secuencia se vacía en el disco. El valor predeterminado es 10. El valor debe ser positivo y menor o igual que 17 280. Se requiere este valor. |
Máximo de paquetes de secuencias | El número máximo de paquetes en una secuencia antes de que la secuencia se ponga en cola en el disco. El valor predeterminado es 20 000. El valor debe ser positivo y menor o igual que 100 000. Se requiere este valor. |
Tamaño mínimo de secuencia | El tamaño mínimo de la secuencia. El valor predeterminado es 0. El valor no debe ser negativo. Se requiere este valor. |
Tamaño máximo de secuencia | El tamaño máximo de la secuencia. El valor predeterminado es 30 000 000. El valor no debe ser negativo. Se requiere este valor. |
Intervalo de segmentos | El número de intervalos de 5 segundos entre los intentos de dividir secuencias de segmentos persistentes en mensajes individuales. El valor predeterminado es 12. El valor debe ser positivo y menor o igual que 3600. Se requiere este valor. |
Sin tiempo de espera de notificación de tráfico (en segundos) | El número de segundos que no se ve ningún paquete nuevo en el protocolo antes de que se publique una advertencia de sistema. El valor predeterminado es 600. El valor debe ser mayor o igual que 60 y menor o igual que 604 800. Se requiere este valor. |
Se termina en FIN | Si selecciona esta opción, un paquete FIN o RST hace que la secuencia se escriba en el disco de forma inmediata. |
Después de que se haya terminado la adición de valores:
- Haga clic enGuardarpara guardar todos los cambios al protocolo.
- Reinicie todos los servidores de supervisión afectados si ha realizado cambios en los filtros IP.
- Reinicie todos los servidores de prevención y supervisión afectados si ha realizado cambios en los filtros L7.
- O haga clic enCancelarpara cancelar todos los cambios al protocolo.