FortiOSGuías técnicas

FortiOS: Huellas digitales (DLP Fingerprinting)

El sistema de prevención de fuga de datos (DLP) de FortiGate evita que los datos confidenciales salgan de (o entren en) su red. Se puede personalizar el sensor predeterminado o crear uno propio agregando filtros individuales según el tipo de archivo, el tamaño del archivo, una expresión regular, una regla avanzada o una regla compuesta. Una vez configurado, puede aplicar el sensor DLP a una política de firewall que bloquea, registra o permite el envío o recepción del archivo.

NOTA: En FortiOS 6.2.2 y versiones posteriores, DLP solo se puede configurar en la CLI. En esta noticia explicamos como configurar las huellas digitales DLP. En este articulo anterior explicamos el DLP watermarking. Las huellas digitales DLP se pueden usar para detectar datos confidenciales. El archivo que el sensor DLP se encargará de filtrar se sube al FortiGate y el firewall genera y almacena una huella digital de suma de verificación (checksum) de ese archivo. El FortiGate genera una huella digital para todos los archivos que se detectan en el tráfico de la red y compara con todas las sumas de verificación almacenadas en su base de datos. Si se encuentra una coincidencia, se toma la acción configurada.

Las huellas digitales DLP pueden detectar cualquier tipo de archivo y se pueden guardar para cada revisión de un archivo a medida que este se actualiza.

La función de huella digital del documento requiere un dispositivo FortiGate que tenga almacenamiento interno.

Para usar huellas digitales:

  • Seleccione los archivos a proteger
  • Agregue filtros de huellas digitales a los sensores DLP
  • Agregue los sensores a las políticas de firewall que aceptan el tráfico en el que se aplicarán las huellas digitales.

Para configurar un documento de huella digital DLP:

config dlp fp-doc-source   

 edit <name_str>       

  set server-type smb       

  set server <string>       

  set period {none | daily | weekly | monthly}       

  set vdom {mgmt | current}       

  set scan-subdirectories {enable | disable}       

  set remove-deleted {enable | disable}       

  set keep-modified {enable | disable}       

  set username <string>       

  set password <password>       

  set file-path <string>       

  set file-pattern <string>       

  set sensitivity <Critical | Private | Warning>       

  set tod-hour <integer>       

  set tod-min <integer>       

  set weekday {sunday | monday | tuesday | wednesday | thursday | friday | saturday}       

  set date <integer>   

 next

end

Para configurar un sensor de huellas digitales DLP:

config dlp sensor    

 edit <sensor name>        

  config filter            

   edit <id number of filter>                

    set proto {smtp | pop3 | imap http-get | http-post | ftp | nntp | mapi}                

    set filter-by fingerprint                

    set sensitivity {Critical | Private | Warning}                

    set match-percentage <integer>                

    set action {allow | log-only | block | ban | quarantine-ip}

   next        

  end    

 next

end

Ver la base de datos de huellas digitales DLP en FortiGate:

El comando diagnose test application dlpfingerprint se puede usar para enseñar la información de huellas digitales que se encuentra en FortiGate:

Fingerprint Daemon Test Usage;

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-  

1 : This menu  

2 : Dump database  

3 : Dump all files  

5 : Dump all chunk  

6 : Refresh all doc sources in all VDOMs  

7 : Show the db file size and the limit  

9 : Display stats

10 : Clear stats

99 : Restart this daemon

Por ejemplo, la opción 3 volcará todos los archivos de huellas digitales:

DLP_WANOPT-CLT (global) # diagnose test application dlpfingerprint 3

DLPFP diag_test_handler called

File DB:


id, filename,                               vdom, archive, deleted, scanTime,   docSourceSrvr, sensitivity, chunkCnt, reviseCnt, 1,  /fingerprint/upload/1.txt,              vdom1,  0,      0,      1494868196,   1,      2,      1,    0, 2,  /fingerprint/upload/30percentage.xls,   vdom1,  0,      0,      1356118250,   1,      2,    13,      0, 3,  /fingerprint/upload/50.pdf,             vdom1,  0,      0,      1356118250,   1,      2,      122,  0, 4,  /fingerprint/upload/50.pdf.tar.gz,      vdom1,  0,      0,      1356118250,   1,      2,    114,     0, 5,  /fingerprint/upload/check-list_AL-SIP_HA.xls,   vdom1,  0,      0,      1356118251,     1,    2,       32,     0, 6,  /fingerprint/upload/clean.zip,          vdom1,  0,      0,      1356118251,   1,      2,      1,    0, 7,  /fingerprint/upload/compare.doc,        vdom1,  0,      0,      1522097410,   1,      2,    18,      0, 8,  /fingerprint/upload/dlpsensor-watermark.pdf,    vdom1,  0,      0,      1356118250,     1,    2,       11,     0, 9,  /fingerprint/upload/eicar.com,          vdom1,  0,      0,      1356118250,   1,      2,      1,    0, 10, /fingerprint/upload/eicar.zip,          vdom1,  0,      0,      1356118250,   1,      2,      1,    0,

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *