Decoder: Configurar reglas de red

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Las reglas de red se aplican en el nivel de paquete en un Decoder y se componen de conjuntos de reglas de Capa 2, Capa 3 y Capa 4. Es posible aplicar varias reglas en el nivel de paquete a un Decoder. Las reglas de red se pueden aplicar a varias capas de red (por ejemplo, cuando una regla de red filtra puertos específicos de una dirección IP específica). Las reglas de red no se aplican a Log Decoders, solo se aplican a Packet Decoders. 

Puede crear y administrar reglas de red en la vista Configuración de servicios > pestaña Reglas de red.

Claves de metadatos compatibles en condiciones de reglas de red

En la siguiente tabla se describen las claves de metadatos compatibles con NetWitness Suite que se pueden usar en condiciones de reglas de red. 

                                                                                     
Clave de metadatosDescripción
eth.addr Dirección de origen o destino de Ethernet. Comúnmente se conoce como la dirección MAC.
eth.dst Dirección Ethernet de destino. Es lo mismo que el campo de dirección Ethernet, excepto que solo selecciona paquetes en los cuales la dirección de destino coincide con los valores seleccionados.
eth.src Es lo mismo que el destino de Ethernet, excepto que se centra en la dirección de origen.
eth.type Tipo de trama Ethernet. 
hdlc.type  Tipo de la trama HDLC.
ip.addr  Dirección IPv4 de origen o destino en formato estándar. Las direcciones IP se pueden ingresar en notación CIDR para las subredes.
ip.dst Dirección IPv4 de destino en formato estándar. Las direcciones IP se pueden ingresar en notación CIDR para las subredes.
ip.proto Campo de protocolo IPv4. 
ip.src Dirección IPv4 de origen en formato estándar. Las direcciones IP se pueden ingresar en notación CIDR para las subredes.
ipv6.addr Dirección IPv6 de origen o destino en formato hexadecimal. Por lo general, las direcciones IPv6
se escriben como ocho grupos de cuatro dígitos hexadecimales, lo cual expresa
la longitud de la dirección de 128 bits completa. Es compatible con la notación para representar múltiples
bloques de 0000 en una dirección. No es compatible con la notación CIDR.
ipv6.dst Dirección IPv6 de destino en formato hexadecimal.
ipv6.proto Campo de protocolo IPv6. Esto se mapea al campo Encabezado siguiente en el encabezado de IPv6
y usa los mismos valores que el campo de protocolo IPv4. 
ipv6.src Dirección IPv6 de origen en formato hexadecimal.
tcp.dstport Puerto TCP de destino. 
tcp.port Puerto TCP de origen o destino.
tcp.srcport Puerto TCP de origen.
udp.dstport Puerto UDP de destino. 
udp.port Puerto UDP de origen o destino.
udp.srcport Puerto UDP de origen.

Los siguientes son ejemplos de reglas de red.

Para truncar todo SSL del puerto de origen, cree una regla como la siguiente:

  • Nombre de la regla: Truncar SSL
  • Condición: tcp.srcport=443
  • Acción de regla: Truncar

Para filtrar el tráfico de subred, cree una regla como la siguiente:

  • Nombre de la regla: Filtro de subred
  • Condición: ip.addr=192.168.2.0/24
  • Acción de regla: Filtro

Para agregar o editar una regla de red:

  1. Vaya a ADMIN > Servicios, seleccione un servicio de Decoder y El menú desplegable Acciones > Ver > Configuración
    Se muestra la vista Configuración de servicios del servicio seleccionado.

  2. Seleccione la pestaña Reglas de red.
    Se abre la pestaña Reglas de red.
    Este es un ejemplo de la pestaña Reglas de red.
  3. En la pestaña Reglas de red, realice una de las siguientes acciones:
  • Si desea agregar una regla nueva, haga clic en El ícono Agregar.
  • Si edita una regla, selecciónela en la lista de reglas y haga clic en El ícono Editar.
    Se muestra el cuadro de diálogo Editor de regla.
    Este es un ejemplo del cuadro de diálogo Editor de regla.
  1. En el campo Nombre de la regla, escriba un nombre para la regla. Por ejemplo, en el caso de una regla que trunca todo SSL desde el puerto de origen, escriba Truncar SSL.
  2. En el campo Condición, cree la condición de la regla que desencadena una acción cuando hay una coincidencia. Puede escribir directamente en el campo o crear la condición en él mediante metadatos de las acciones de la ventana. A medida que crea la definición de la regla, NetWitness Suite muestra errores de sintaxis y advertencias. Por ejemplo, para truncar todo SSL desde el puerto de origen, tcp.srcport=443.
    Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. En Configurar reglas de Decoder se proporcionan detalles adicionales.Claves de metadatos compatibles en condiciones de reglas de red describe las claves de metadatos que admite NetWitness Suite para usarlas en condiciones de reglas de red.
  3. Si desea que la evaluación de reglas termine con esta regla, seleccione la casilla de verificación Detener procesamiento de regla.
  4. En la sección Datos de sesión, elija una de las siguientes acciones que se aplicará cuando se encuentre un paquete coincidente:
  • Mantener: La carga útil del paquete y los metadatos asociados se guardan cuando coinciden con la regla.
  • Filtrar: El paquete no se guarda cuando coincide con la regla.
  • Truncar: La carga útil del paquete no se guarda cuando coincide con la regla, pero los encabezados del paquete y los metadatos asociados se mantienen.
  1. En la sección Opciones de sesión, seleccione todas las opciones que se apliquen de estas cuatro.
  • Ensamblaje: El ensamblador ensambla la cadena de paquetes cuando coincide con la regla.
  • Metadatos de red: El paquete genera metadatos de red cuando coincide con la regla.
  • Metadatos de aplicación: El paquete genera metadatos de aplicación cuando coincide con la regla.
  • Alerta: El paquete genera una alerta personalizada cuando los metadatos coinciden con la regla.
  1. Para guardar la regla y agregarla a la lista de reglas, haga clic en Aceptar.
    La regla se agrega al final de la lista o se inserta donde especificó en el menú contextual.
  2. Verifique que la regla está en la secuencia de ejecución correcta con otras reglas de la lista. Si es necesario, transfiera la regla.
  3. Para aplicar el conjunto de reglas actualizadas al Decoder, haga clic en Aplicar.
    NetWitness Suite guarda una instantánea de las reglas aplicadas actualmente, a continuación, aplica el conjunto actualizado al Decoder y quita el indicador de pendiente de las reglas que estaban pendientes.
You are here
Table of Contents > Configurar reglas de Decoder > Configurar reglas de red

Attachments

    Outcomes