Configuración de un protocolo

Use esta pantalla para configurar un nuevo protocolo o para modificar las opciones para un protocolo configurado en sistema. Symantec Data Loss Prevention maneja protocolos de manera diferente según si están configurados en sistema (configurado previamente en el sistema de Symantec Data Loss Prevention) o por el usuario. Symantec Data Loss Prevention reconoce los protocolos configurados en sistema (como SMTP y HTTP) según la firma del protocolo. Reconoce los protocolos TCP configurados por el usuario (como Telnet) según el puerto por el cual el tráfico viaja.
Muchos protocolos de aplicación se admiten en IPv4 e IPv6, incluidos:
  • SMTP
  • HTTP
  • FTP
  • Telnet
  • VLAN
  • Personalizado
Los protocolos siguientes se admiten en IPv4, pero no se admiten en IPv6:
  • NNTP
  • GRE
  • MI: MSN
  • MI: Yahoo
  • MI: AOL
Ingresar direcciones IPv6 en formatos totalmente normalizados es una práctica recomendada, al especificar una dirección IPv6 en la interfaz de usuario de
Symantec Data Loss Prevention
, a menos que se indique lo contrario. En una dirección IPv6 completamente normalizada, se descartan los ceros a la izquierda y las secuencias de ceros se comprimen con dos puntos. Cuando se ingresa una dirección normalizada, se muestra generalmente en ese formato.
El formato de entrada preferido para direcciones IPv6 se comprime o abrevia completamente, en la mayoría de los casos. Los ejemplos siguientes se aceptan como entrada para direcciones IPv6 en
Symantec Data Loss Prevention
, dependiendo del uso:
  • Largo: 128 bits representados comúnmente como ocho campos hexadecimales de 4 dígitos, por ejemplo:
    1000:0200:0003:0000:0000:0000:0000:abcd
  • Totalmente comprimido (también llamado "dos puntos dobles"): los campos de ceros internos se substituyen por dos puntos dobles, por ejemplo:
    1000:200:3::abcd
  • Abreviado: se quitan los ceros a la izquierda, por ejemplo:
    1000:200:3:0:0:0:0:abcd
Cuando las direcciones IPv6 aparecen en direcciones URL o direcciones de correo electrónico, se presentan las direcciones como el cliente HTTP (generalmente un navegador web) las transmite. Una dirección IPv6 que aparece en una dirección URL no es un caso común, pues las direcciones URL y las direcciones de correo electrónico utilizan generalmente nombres de host en lugar de direcciones IP explícitas. Este comportamiento es también verdadero para las direcciones IPv4.
En la pantalla
Configurar protocolo
, se puede introducir una combinación de direcciones IPv4 e IPv6 separadas por puntos y comas.
Haga clic en la flecha derecha para ver las opciones para cada sección. Introduzca o modifique la información sobre el protocolo en los campos disponibles.
Campos del protocolo
Campo
Descripción
Nombre
Introduzca o modifique el nombre del protocolo. Es posible usar hasta 256 caracteres. El nombre del protocolo aparece en varios lugares en el sistema, así que asegúrese de que proporciona un nombre fácil de usar.
Se requiere este valor.
Puertos
Este campo aparece solamente para los protocolos TCP configurados por el usuario. Introduzca uno o más números de puerto que estén asociados al protocolo. Separe los números de puerto con comas o guiones. Por ejemplo: 18, 23, 25-29, 82. Si configura un protocolo de Telnet, introduzca 23 como el número de puerto.
Puertos con baja supervisión
Este campo aparece solamente para los protocolos configurados en sistema, como HTML y SMTP. Introduzca números de puerto menores que 1024 que es necesario que Symantec Data Loss Prevention supervise. De manera acumulativa, los puertos que se especifican para cualquier protocolo sirven como filtro positivo. Los puertos le indican a Symantec Data Loss Prevention que supervise el tráfico de todos los tipos de protocolo en cada uno de los puertos especificados. Por ejemplo, si se especifica el puerto 25 para la entrada SMTP, se supervisa el tráfico de todos los tipos de protocolo enumerados de ese puerto. Tenga en cuenta que los puertos menores que 1024 no se supervisan si usted no los especifica para, por lo menos, un protocolo. De forma predeterminada,
Symantec Data Loss Prevention
supervisa el tráfico en los puertos mayores o iguales que 1024.
IP
Introduzca cualquier filtro basado en IP que desee usar. Si deja este espacio en blanco, Symantec Data Loss Prevention coincide y almacena todas las secuencias. En la pantalla
Configurar protocolo
, se puede introducir una combinación de direcciones IPv4 e IPv6 separadas por puntos y comas.
Cuando se configuran filtros de protocolos con direcciones IPv6, tenga en cuenta lo siguiente:
  • Los filtros se especifican con bloques CIDR (enrutamiento entre dominios sin clase). Los tamaños de máscaras de bits de subred de la dirección indican que la entrada debe coincidir con la dirección de red exacta. El límite de la máscara de bits es 32 para direcciones IPv4 y 128 bits para direcciones IPv6.
  • Los filtros IPv4 e IPv6 son totalmente independientes.
  • Se admiten todos los formatos válidos.
  • Como con los filtros IPv4, el servidor de detección puede anular los filtros IPv6.
  • El límite de la lista de filtros de protocolo IP en la interfaz de usuario es 2800 bytes.
El formato de los filtros del protocolo IP (que se encuentran en las definiciones del protocolo y las definiciones del filtro del protocolo) es:
IP Protocol Filter := protocol_filter_entry [; protocol_filter_entry ] Protocol Filter Entry := -|+, destination_subnetwork_description , source_ subnetwork_description Subnetwork description := network_address / subnet_bitmask_size | *
Cada secuencia se evalúa según las entradas del filtro hasta que una entrada coincida con los parámetros de IP de la secuencia.
Un signo menos (-) al inicio de la entrada indica que la secuencia está cortada.
Un signo más (+) al inicio de la entrada indica que la secuencia se mantiene.
Una descripción de red de subred de * significa que cualquier paquete coincide con esta entrada.
Un tamaño de máscara de bits de subred de la dirección indica que la entrada debe coincidir con la dirección de red exacta. El límite es 32 bits para direcciones IPv4 y 128 bits para direcciones IPv6.
Por ejemplo, para IPv4, el filtro +, 10.67.0.0/16, *; -, *, * coincide con todas las secuencias que van a la red 10.67.x.x, pero no coincide con ningún otro tráfico.
Las direcciones IPv6 se admiten para la supervisión de la red; sin embargo, los filtros IPv4 y los filtros IPv6 son totalmente independientes entre sí.
Los bloques IPv4 e IPv6 se especifican con la notación CIDR
<address>/<tamaño máscara>
. Por ejemplo,
fdda:e808::/32
, donde
fdda:e808::
es la dirección y
32
es el tamaño de máscara o
10.0.2.0/24
donde
10.0.2.0
es la dirección y
24
es el tamaño de la máscara.
Cuanto más específico sea usted cuando se definan las características de reconocimiento, más específicos serán los resultados. Por ejemplo, si se define solamente una dirección IP específica, solo se capturan los incidentes de esa dirección IP. Si no define ninguna dirección IP o si define una amplia gama de direcciones IP, se obtienen resultados más amplios.
Filtrado (puede anularse en el nivel de servidor)
Los campos de filtrado le permiten especificar los detalles sobre el tráfico que desee omitir para reducir la carga y para mejorar el rendimiento del sistema. Esta sección, además, está incluida en el menú
Filtro de protocolo
para los servidores individuales.
Filtro IP
Filtra el tráfico no deseado en el protocolo; usa el mismo formato de filtro de protocolo IP que para el IP.
Filtro de remitente L7
Especifique cualquiera de los siguientes elementos para evaluar:
  • El correo electrónico del remitente (para MI de SMTP/MSN)
  • Direcciones IP (para UTCP)
  • Nombres de usuario autenticados por proxy (para HTTP/FTP con proxy)
  • Nombres de usuario (para MI de AIM/Yahoo)
Cuando se configuran filtros L7 con direcciones IPv6, tenga en cuenta lo siguiente:
  • Los filtros se especifican con comodines
  • Solamente las direcciones IPv6 de formato largo son aceptables; no utilice direcciones IPv6 normalizadas (abreviadas o comprimidas completamente). Por ejemplo, la siguiente dirección IPv6 es válida:
    fdda:*:*:*:*:*:*:*
Solo las direcciones IPv4 e IPv6 de formato largo son válidas.
Para IPv4, cuatro campos separados por puntos es una dirección válida de formato largo; por ejemplo:
1.2.*.*
Para IPv6, ocho campos separados por dos puntos es una dirección válida de formato largo; por ejemplo:
1:2:3:4:*:*:*:*
Para IPv4 e IPv6, los filtros se especifican con comodines y los filtros se aplican solamente a protocolos personalizados.
Consulte la descripción
Filtro de destinatario L7
para obtener más información sobre el formato de las entradas del filtro.
Filtro de destinatario L7
Cualquier correo electrónico de destinatario (para FTP/MI de SMTP/MSN) o direcciones IP (para UTCP), nombres de usuario (para MI de Yahoo!/AIM) o URL (para el HTTP) que se evaluará.
Al usar direcciones IPv6 con reglas de remitente/destinatario, observe lo siguiente:
  • Los filtros se especifican con comodines.
  • Solamente las direcciones IPv6 de formato largo son aceptables, no utilice direcciones normalizadas.
  • Se admiten patrones inline y reutilizables.
Es posible usar filtros para incluir (examinar) o para excluir (omitir) mensajes de remitentes específicos o para destinatarios específicos. Es necesario preceder cada entrada con un signo más (+) o el signo menos (-) para incluir o excluir resultados de coincidencias. Por ejemplo:
  • Cualquier máscara de dirección de correo electrónico que comience con un signo más (+) conserva los mensajes coincidentes para la inspección. Si agrega el filtro de remitente +*@abc.com, se examinan todos los mensajes que se envían de cualquier persona con el dominio de abc.com.
  • Cualquier máscara de dirección de correo electrónico que comience con un signo menos (-) excluye los mensajes coincidentes de la inspección. Si agrega el filtro de destinatario
    -
    *@xyz.com, no se examina ningún mensaje que se envía a cualquier persona con el dominio de xyz.com.
Si agrega un asterisco (*) al final de la expresión del filtro, se omite cualquier mensaje que no coincida explícitamente con alguna máscara del filtro. Por ejemplo, si se agrega el filtro de remitente +*@abc.com,*, se examinan todos los mensajes de cualquier persona con el dominio de abc.com, pero se omiten todos los demás.
Es posible también incluir asteriscos como comodín en cualquier parte de las cadenas de dirección. La sintaxis específica del filtro depende del protocolo. Por ejemplo, para las direcciones de correo electrónico, se pueden usar comodines en cualquier parte de la cadena del filtro, de la siguiente manera:
  • +*@symantec.com examina todo el correo electrónico para/de symantec.com.
  • +*.symantec.com examina todo el correo electrónico para/de cualquier subdominio de symantec.com.
  • -*symantec.com excluye todo el correo electrónico para/de cualquier dirección de correo electrónico que termine en symantec.com.
  • [email protected] excluye todo el correo electrónico para/de [email protected].
El orden en el cual se evalúan los filtros es de izquierda a derecha. Por ejemplo, si se agrega el filtro de destinatario
[email protected], +*@xyz.com,*,
se omiten todos los mensajes que se envían a [email protected] y se examinan todos los mensajes que se envían a cualquier persona con el dominio xyz.com. El último asterisco le indica al filtro que omita todos los demás mensajes.
Si están en conflicto los filtros de remitente y destinatario, se omite el mensaje resultante. Por ejemplo, esta situación puede suceder si el filtro de remitente para un mensaje determinado evalúa como “examinar” y el filtro de destinatario evalúa como “omitir”.
Si un filtro de destinatario tiene varias máscaras de exclusión, los destinatarios deben coincidir con alguna máscara de exclusión para que el mensaje se excluya. Por ejemplo, si el filtro de destinatario es -*@xyz.com, -*@abc.com, se omiten todos los mensajes que se envían a los dominios xyz.com
y
abc.com. Asimismo, se omiten los mensajes que se envían a
cualquiera
de los dominios xyz.com o abc.com (pero no a ambos). Si los mensajes tienen destinatarios adicionales en otros dominios, se examinan los mensajes.
Es posible supervisar los mensajes enviados
del
dominio de xyz.com, pero omitir los mensajes enviados
para
ese dominio agregando los filtros siguientes:
L7 Sender Filter: +*@xyz.com, * L7 Recipient Filter: -*@xyz.com
Contenido
Un enfoque basado en inclusión para filtrar los mensajes no deseados usando la coincidencia de texto con la secuencia capturada de paquetes. Cada filtro de contenido debe coincidir o se corta la secuencia. El formato del filtro de contenido es:
Content Filter := content_filter_entry [; content_filter_entry ] Content Filter Entry := I, heading_name , heading_value [, heading_ value ]
El proceso atraviesa la secuencia en busca del nombre del título. Uno de los valores del título debe coincidir con el texto que sigue al nombre del título. Se omite el espacio en blanco entre el título y el valor. Se omite la capitalización.
Por ejemplo, el filtro
I,user-agent:,mozilla,opera;I,content-type:,multipart
coincide solamente con las secuencias que tienen el texto
user-agent:
seguido inmediatamente por
mozilla
u
opera
y el texto
content-type:
seguido inmediatamente por el texto
multipart
.
Otro ejemplo es una secuencia con
user-agent:mozilla
y
content-type:multipart
(se conserva); una secuencia con
user-agent:mozilla
y
content-type:text/plain
(se corta).
Profundidad de búsqueda (paquetes)
En cuántos paquetes buscar profundamente la cadena de texto especificada. El valor debe ser positivo y menor o igual que 65 000.
Se requiere este valor.
Cuanto más profunda es la búsqueda, más tiempo lleva.
Muestreo (procesado/10.000)
De cada 10.000 mensajes, el número que desee supervisar como muestreo representativo. Por ejemplo, introduzca 10.000 para que Symantec Data Loss Prevention busque en cada mensaje en este protocolo. Si introduce 200, busca en 200 de cada 10 000 mensajes. El valor debe ser positivo y menor o igual que 17 280.
Se requiere este valor.
Procesamiento de contenido
Use la sección Procesamiento de contenido para especificar cómo manejar los mensajes en este protocolo.
Seleccione una de las siguientes opciones:
  • Extracción de cadena genérica
    : evalúe el mensaje entero según todas las políticas aplicables.
  • No procesar contenido
    : no evalúe el contenido en absoluto; cuente cada mensaje como incidente.
Representación del incidente
Seleccione una de las siguientes opciones:
  • Unidireccional
    : evalúe solamente el tráfico de salida.
  • Bidireccional
    : evalúe un carácter por vez de ambas direcciones de la conexión. Represéntelas como dos bloques de texto separados, uno para cada dirección. Esta opción se usa, generalmente, para Telnet y protocolos similares.
  • Entrelazado bidireccional
    : evalúe un bloque de texto por vez de ambas direcciones de la conexión. Intente volver a poner los bloques en el orden en el cual fueron transmitidos. Están mezclados. Puede haber varios bloques de texto. Esta opción se usa, generalmente, para la mensajería instantánea y los protocolos similares.
Espera máxima de escritura
El número máximo de intervalos de 5 segundos durante los cuales una secuencia sigue estando activa sin tráfico antes de que la secuencia se escriba en el disco. El valor predeterminado es 6. El valor debe ser positivo y menor o igual que 17 280.
Se requiere este valor.
Espera máxima de corte
El número máximo de intervalos de 5 segundos que una secuencia permanece en la memoria una vez que el contenido de la secuencia se vacía en el disco. El valor predeterminado es 10. El valor debe ser positivo y menor o igual que 17 280.
Se requiere este valor.
Máximo de paquetes de secuencias
El número máximo de paquetes en una secuencia antes de que la secuencia se ponga en cola en el disco. El valor predeterminado es 20 000. El valor debe ser positivo y menor o igual que 100 000.
Se requiere este valor.
Tamaño mínimo de secuencia
El tamaño mínimo de la secuencia. El valor predeterminado es 0. El valor no debe ser negativo.
Se requiere este valor.
Tamaño máximo de secuencia
El tamaño máximo de la secuencia. El valor predeterminado es 30 000 000. El valor no debe ser negativo.
Se requiere este valor.
Intervalo de segmentos
El número de intervalos de 5 segundos entre los intentos de dividir secuencias de segmentos persistentes en mensajes individuales. El valor predeterminado es 12. El valor debe ser positivo y menor o igual que 3600.
Se requiere este valor.
Sin tiempo de espera de notificación de tráfico (en segundos)
El número de segundos que no se ve ningún paquete nuevo en el protocolo antes de que se publique una advertencia de sistema. El valor predeterminado es 600. El valor debe ser mayor o igual que 60 y menor o igual que 604 800.
Se requiere este valor.
Se termina en FIN
Si selecciona esta opción, un paquete FIN o RST hace que la secuencia se escriba en el disco de forma inmediata.
Después de que se haya terminado la adición de valores:
  1. Haga clic en
    Guardar
    para guardar todos los cambios al protocolo.
  2. Reinicie todos los servidores de supervisión afectados si ha realizado cambios en los filtros IP.
  3. Reinicie todos los servidores de prevención y supervisión afectados si ha realizado cambios en los filtros L7.
  4. O haga clic en
    Cancelar
    para cancelar todos los cambios al protocolo.