Configuration d'un protocole

Cet écran permet de configurer un nouveau protocole ou de modifier les options d'un protocole configuré par le système. Symantec Data Loss Prevention gère les protocoles différemment selon qu'ils sont configurés par le système (préconfiguré dans le système Symantec Data Loss Prevention) ou configurés par l'utilisateur. Symantec Data Loss Prevention identifie les protocoles configurés par le système (tels que SMTP et HTTP) en fonction de la signature du protocole. Cette solution identifie les protocoles TCP configurés par l'utilisateur (Telnet, par exemple) en fonction du port par lequel le trafic circule.
Beaucoup de protocoles d'application sont pris en charge sous IPv4 et IPv6, dont :
  • SMTP
  • HTTP
  • FTP
  • Telnet ;
  • VLAN
  • Personnalisé
Les protocoles suivants sont pris en charge sous IPv4, mais pas sous IPv6 :
  • NNTP
  • GRE
  • MI : MSN
  • MI : Yahoo
  • MI : AOL
La saisie des adresses IPv6 dans des formats pleinement normalisés constitue une pratique d'excellence lorsque vous spécifiez une adresse IPv6 dans l'interface utilisateur de
Symantec Data Loss Prevention
, sauf indication contraire. Dans une adresse IPv6 pleinement normalisée, les zéros non significatifs sont réduits et des séquences de zéros sont compressés entre deux points. Quand vous introduisez une adresse normalisée, elle est généralement affichée dans ce format.
Dans la plupart des cas, le format privilégié d'entrée pour les adresses IPv6 est entièrement compressé ou réduit. Les exemples suivants sont acceptés comme entrée pour les adresses IPv6 dans
Symantec Data Loss Prevention
, selon l'utilisation :
  • Long - 128 bits généralement symbolisés par huit champs hexadécimaux de 4 chiffres, par exemple :
    1000:0200:0003:0000:0000:0000:0000:abcd
  • Entièrement compressé (également appelé "signe deux points double") - les champs avec zéros internes sont remplacés par un signe deux points double, par exemple :
    1000:200:3::abcd
  • Réduit - les zéros non significatifs sont supprimés, par exemple :
    1000:200:3:0:0:0:0:abcd
Quand les adresses IPv6 apparaissent dans des URL ou des adresses électroniques, les adresses sont présentées pendant que le client HTTP (habituellement un navigateur Web) les transmet. Une adresse IPv6 apparaissant dans une URL n'est pas un cas commun, car les URL et les adresses électroniques utilisent habituellement des noms d'hôtes plutôt que des adresses IP explicites. Ce comportement vaut également pour les adresses IPv4.
Vous pouvez entrer un mélange d'adresses IPv4 et IPv6 séparées par des points-virgules sur l'écran
Configurer le protocole
.
Cliquez sur la flèche droite pour visualiser les options pour chaque section. Entrez ou modifiez les informations concernant le protocole dans les champs disponibles.
Champs Protocole
Champ
Description
Nom
Entrez ou modifiez le nom du protocole. Vous pouvez utiliser jusqu'à 256 caractères. Le nom du protocole s'affiche à certains endroits du système, veillez donc à lui fournir un nom convivial.
Cette valeur est obligatoire.
Ports
Ce champ s'affiche uniquement pour les protocoles TCP configurés par l'utilisateur. Entrez un ou plusieurs numéros de port associés au protocole. Séparez les numéros de port par des virgules ou des traits d'union. Par exemple : 18, 23, 25-29, 82. Si vous configurez un protocole Telnet, entrez 23 comme numéro de port.
Ports faibles surveillés
Ce champ s'affiche uniquement pour les protocoles configurés par le système, tels que HTML et SMTP. Entrez des numéros de port inférieurs à 1024 que vous souhaitez que Symantec Data Loss Prevention surveille. De plus, les ports que vous spécifiez pour tous les protocoles servent de filtre positif. Les ports indiquent à Symantec Data Loss Prevention de surveiller le trafic de tous les types de protocole sur chacun des ports spécifiés. Par exemple, si vous spécifiez le port 25 pour l'entrée SMTP, ce port est surveillé pour le trafic de tous les types de protocole répertoriés. Notez que des ports inférieurs à 1024 ne sont pas surveillés si vous ne les spécifiez pas pour au moins un protocole. Par défaut,
Symantec Data Loss Prevention
surveille le trafic sur les ports égaux ou supérieurs à 1024.
IP
Entrez tous les filtres basés sur IP que vous voulez utiliser. Si vous laissez ce champ vide, Symantec Data Loss Prevention fait correspondre et enregistre tous les flux. Vous pouvez entrer un mélange d'adresses IPv4 et IPv6 séparées par des points-virgules sur l'écran
Configurer le protocole
.
Lors de la configuration de filtres de protocole avec les adresses IPv6, notez que :
  • Des filtres sont spécifiés avec des blocs de CIDR (routage inter-domaines sans classe). Les masques de bits de sous-réseau de la taille de l'adresse indiquent que l'entrée doit correspondre à l'adresse réseau précise. La limite de masque de bits est fixée à 32 bits pour les adresses IPv4 et à 128 bits pour les adresses IPv6.
  • Les filtres IPv4 et IPv6 sont complètement indépendants.
  • Tous les formats valides sont pris en charge.
  • Comme avec les filtres IPv4, les filtres IPv6 peuvent être ignorés par le serveur de détection.
  • La limite de la liste de filtres d'adresses IP de protocole dans l'interface utilisateur est de 2 800 octets.
Le format des filtres de protocole IP (trouvés dans les définitions de protocole et les définitions de filtre de protocole) est :
IP Protocol Filter := protocol_filter_entry [; protocol_filter_entry ] Protocol Filter Entry := -|+, destination_subnetwork_description , source_ subnetwork_description Subnetwork description := network_address / subnet_bitmask_size | *
Chaque flux est évalué dans l'ordre par rapport aux entrées de filtre jusqu'à ce qu'une entrée corresponde aux paramètres IP du flux.
Un signe négatif (-) au début de l'entrée indique que le flux est abandonné.
Un signe positif (+) au début de l'entrée indique que le flux est conservé.
Une description du réseau de sous-réseau de * signifie que n'importe quel paquet correspond à cette entrée.
Un masque de bits de sous-réseau de la taille de l'adresse indique que l'entrée doit correspondre à l'adresse réseau précise. Cette limite est fixée à 32 bits pour les adresses IPv4 et à 128 bits pour les adresses IPv6.
Par exemple, pour les adresses IPv4, le filtre +,10.67.0.0/16,*;-,*,* correspond à tous les flux en direction du réseau 10.67.x.x mais ne correspond à aucun autre trafic.
Les adresses IPv6 sont prises en charge pour la surveillance de réseau ; cependant, les filtres IPv4 et les filtres IPv6 sont complètement indépendants l'un de l'autre.
Les blocs IPv4 et IPv6 sont spécifiés avec la notation CIDR
<address>/<taille_masque>
. Par exemple,
fdda:e808::/32
, dans lequel
fdda:e808::
est l'adresse et
32
est la taille de marque, ou
10.0.2.0/24
10.0.2.0
est l'adresse et
24
est la taille du masque.
Plus vous êtes précis quand vous définissez les caractéristiques de reconnaissance, plus vos résultats sont précis. Par exemple, si vous définissez uniquement une adresse IP spécifique, seuls les incidents qui impliquent cette adresse IP sont capturés. Si vous ne définissez aucune adresse IP ou si vous définissez une vaste gamme d'adresses IP, vous obtenez davantage de résultats.
Filtrage (peut s'annuler au niveau du serveur)
Les champs Filtrage permettent de spécifier des détails sur le trafic que vous voulez ignorer pour réduire la charge et améliorer les performances du système. Cette section est également incluse dans le menu
Filtre de protocole
des différents serveurs.
Filtre IP
Filtre le trafic indésirable du protocole ; utilise le même format de filtre de protocole IP que pour IP.
Filtre expéditeur L7
Spécifiez les éléments suivants à évaluer :
  • Adresse électronique de l'expéditeur (pour SMTP/MSN IM) ;
  • Adresses IP (pour UTCP) ;
  • Noms d'utilisateur authentifiés par proxy (pour les proxy HTTP/FTP) ;
  • Noms d'utilisateur (pour AIM/Yahoo IM) ;
Lors de la configuration des filtres L7 avec les adresses IPv6, notez que :
  • Les filtres comportent des caractères génériques
  • Seules les adresses IPv6 longues sont acceptables ; n'utilisez pas les adresses IPv6 normalisées (entièrement compressées ou réduites). Par exemple, l'adresse IPv6 suivante est valide :
    fdda:*:*:*:*:*:*:*
Seules les adresses IPv4 et IPv6 longues sont valides.
Les adresses IPv4 doivent être composées de quatre champs séparés par des points pour être des adresses longues valides. Par exemple :
1.2.*.*
Les adresses IPv6 doivent être composées de huit champs séparés par deux points pour être des adresses longues valides. Par exemple :
1:2:3:4:*:*:*:*
Pour les adresses IPv4 et IPv6, des filtres comportent des caractères génériques et le filtrage s'applique seulement aux protocoles personnalisés.
Reportez-vous à la description
Filtre destinataire L7
pour en savoir plus sur le format des entrées de filtre.
Filtre destinataire L7
Toute adresse électronique destinataire (pour SMTP/MSN IM/FTP) ou adresse IP (pour UTCP), tout nom d'utilisateur (pour Yahoo IM/AIM) ou toute URL (pour HTTP) à évaluer.
Lors de l'utilisation d'adresses IPv6 avec des règles expéditeur/destinataire, notez que :
  • Les filtres comportent des caractères génériques
  • Seules les adresses IPv6 longues sont acceptables ; n'utilisez pas les adresses IPv6 normalisées.
  • Les modèles réutilisables et inline sont pris en charge.
Vous pouvez utiliser des filtres pour inclure (inspecter) ou exclure (ignorer) les messages en provenance d'expéditeurs précis ou en direction de destinataires précis. Vous devez indiquer un signe plus (+) ou moins (-) avant chaque entrée pour inclure ou exclure les résultats correspondants. Par exemple :
  • Tout masque d'adresse électronique qui commence par un signe positif (+) conserve les messages correspondants à examiner. Si vous ajoutez le filtre expéditeur +*@abc.com, tous les messages envoyés par une personne du domaine abc.com sont examinés.
  • Tout masque d'adresse électronique qui commence par un signe négatif (-) exclut les messages correspondants à examiner. Si vous ajoutez le filtre destinataire
    -
    *@xyz.com, tous les messages envoyés à une personne du domaine xyz.com ne sont pas examinés.
Si vous ajoutez un astérisque (*) à la fin de l'expression de filtre, tout message ne correspondant pas explicitement aux masques de filtre est ignoré. Par exemple, si vous ajoutez le filtre expéditeur +*@abc.com, *, tous les messages de personnes appartenant au domaine abc.com sont examinés, mais tous les autres messages sont ignorés.
Vous pouvez également inclure une astérisque en tant que caractère générique ailleurs dans les chaînes d'adresse. La syntaxe précise du filtre dépend du protocole. Par exemple, pour les adresses électroniques, vous pouvez utiliser des caractères génériques dans la chaîne de filtres de la manière suivante :
  • *@symantec.com inspecte tous les courriers électroniques destinés à ou provenant de symantec.com.
  • +*.symantec.com inspecte tous les courriers électroniques destinés à ou provenant des sous-domaines de symantec.com.
  • -*symantec.com exclut tous les courriers électroniques destinés à ou provenant d'adresses électronique se terminant par symantec.com.
  • [email protected] exclut tous les courriers électroniques destinés à ou provenant de [email protected].
L'ordre dans lequel les filtres sont évalués va de gauche à droite. Par exemple, si vous ajoutez le filtre destinataire
[email protected], +*@xyz.com,*,
tous les messages envoyés à [email protected] sont ignorés, et tous les messages envoyés à une personne appartenant au domaine xyz.com sont inspectés. Le dernier astérisque indique au filtre d'ignorer tous les autres messages.
Si les filtres expéditeur et destinataire sont en conflit, le message résultant est ignoré. Par exemple, ceci peut se produire si le filtre expéditeur d'un message particulier indique "examiner" et le filtre destinataire indique "ignorer".
Si un filtre destinataire possède plusieurs masques d'exclusion, les messages envoyés par des destinataires qui correspondent à au moins l'un des masques seront exclus. Par exemple, si le filtre destinataire est - *@xyz.com, - *@abc.com, tous les messages envoyés aux domaines xyz.com
et
abc.com sont ignorés. En outre, les messages envoyés aux domaines xyz.com
ou
abc.com (mais pas aux deux domaines) sont ignorés. Si les messages ont des destinataires supplémentaires dans d'autres domaines, les messages sont examinés.
Vous pouvez surveiller les messages
en provenance
du domaine xyz.com mais ignorer les messages
destinés à
ce domaine en ajoutant les filtres suivants :
L7 Sender Filter: +*@xyz.com, * L7 Recipient Filter: -*@xyz.com
Contenu
Une approche basée sur l'inclusion pour filtrer les messages indésirables en utilisant la correspondance du texte avec les flux de paquets capturés. Chaque entrée de filtre de contenu doit être mise en correspondance, sinon le flux est abandonné. Le format du filtre de contenu est :
Content Filter := content_filter_entry [; content_filter_entry ] Content Filter Entry := I, heading_name , heading_value [, heading_ value ]
Le processus traverse le flux à la recherche du nom d'en-tête. Une des valeurs d'en-tête doit correspondre au texte suivant le nom d'en-tête. L'espace blanc est ignoré entre l'en-tête et la valeur. Les majuscules sont ignorées.
Par exemple, un filtre
I,user-agent:,mozilla,opera;I,content-type:,multipart
correspond seulement aux flux qui contiennent le texte
user-agent:
suivi immédiatement de
mozilla
ou
opera
et le texte
content-type:
suivi immédiatement du texte
multipart
.
L'autre exemple concerne un flux avec
user-agent:mozilla
et
content-type:multipart
maintenu ; un flux avec
user-agent:mozilla
et
content-type:text/plain
abandonné.
Profondeur de recherche (paquets)
Combien de paquets doit-on rechercher en profondeur pour la chaîne de texte spécifiée. La valeur doit être positive et inférieure ou égale à 65 000.
Cette valeur est obligatoire.
Plus la recherche est approfondie, plus elle prend de temps.
Echantillonnage (Traité/10000)
Parmi 10 000 messages, le nombre que vous voulez surveiller comme échantillonnage représentatif. Par exemple, entrez 10 000 pour que Symantec Data Loss Prevention recherche chaque message de ce protocole. Si vous entrez 200, celui-ci recherche 200 messages pour chaque groupe de 10 000 messages. La valeur doit être positive et inférieure ou égale à 17 280.
Cette valeur est obligatoire.
Traitement de contenu
La section Traitement de contenu permet de spécifier la manière de traiter les messages de ce protocole.
Sélectionnez l'une des options suivantes :
  • Extraction de chaîne générique
     : évalue l'intégralité du message par rapport à toutes les politiques applicables.
  • Ne pas traiter le contenu
     : ne pas du tout évaluer le contenu ; compter chaque message comme incident.
Représentation d'incident
Sélectionnez l'une des options suivantes :
  • Unidirectionnel
     : évalue seulement le trafic sortant.
  • Bidirectionnel
     : évalue un caractère à la fois dans les deux sens de la connexion. Représentez-les sous forme de deux blocs de texte distincts, un pour chaque sens. Cette option est généralement utilisée pour Telnet et les protocoles semblables.
  • Bidirectionnel entrelacé
     : évalue un bloc de texte à la fois dans les deux sens de la connexion. Essayez de remettre les blocs dans leur ordre de transmission. Ils sont mélangés. Il peut y avoir plusieurs blocs de texte. Cette option est généralement utilisée pour la messagerie instantanée et les protocoles semblables.
Délai maximal avant l'écriture
Nombre maximal d'intervalles de 5 secondes pendant lequel un flux reste actif sans trafic avant d'être enregistré sur le disque. La valeur par défaut est 6. La valeur doit être positive et inférieure ou égale à 17 280.
Cette valeur est obligatoire.
Délai maximal avant l'abandon
Nombre maximal d'intervalles de 5 secondes pendant lequel un flux reste dans la mémoire une fois le contenu de flux vidé du disque. La valeur par défaut est 10. La valeur doit être positive et inférieure ou égale à 17 280.
Cette valeur est obligatoire.
Paquets de flux maximal
Nombre maximal de paquets d'un flux avant que ce flux soit spoolé vers le disque. La valeur par défaut est 20 000. La valeur doit être positive et inférieure ou égale à 100 000.
Cette valeur est obligatoire.
Taille de flux minimal
Taille minimale du flux. La valeur par défaut est 0. La valeur ne doit pas être négative.
Cette valeur est obligatoire.
Taille de flux maximal
Taille maximale du flux. La valeur par défaut est 30 000 000. La valeur ne doit pas être négative.
Cette valeur est obligatoire.
Intervalle de segment
Nombre d'intervalles de 5 secondes entre des tentatives visant à segmenter les flux persistants dans différents messages. La valeur par défaut est 12. La valeur doit être positive et inférieure ou égale à 3 600.
Cette valeur est obligatoire.
Aucune temporisation de notification trafic (en secondes)
Nombre de secondes pendant lequel aucun nouveau paquet ne s'affiche sur le protocole précédant un avertissement système. La valeur par défaut est 600. La valeur doit être supérieure ou égale à 60 et inférieure ou égale à 604 800.
Cette valeur est obligatoire.
Est interrompu sur le FIN
Si vous sélectionnez cette option, un paquet FIN ou un paquet RST entraîne l'enregistrement immédiat du flux sur le disque.
Après avoir ajouté les valeurs :
  1. Cliquez sur
    Enregistrer
    pour enregistrer toutes les modifications apportées au protocole.
  2. Si vous avez apporté des modifications aux filtres d'IP, redémarrez tous les serveurs de surveillance affectés.
  3. Si vous avez apporté des modifications aux filtres L7, redémarrez tous les serveurs de surveillance et Prevent affectés.
  4. Vous pouvez également cliquer sur
    Annuler
    pour annuler toutes les modifications apportées au protocole.