|
<< Кликните, чтобы показать Содержание >> Файл конфигурации EtherSensor PCAP |
Конфигурация службы EtherSensor PCAP содержится в XML-файле pcap.xml, расположенном в общей директории конфигураций Microolap EtherSensor [INSTALLDIR]\config.
Пример файла конфигурации pcap.xml:
<?xml version="1.0" encoding="utf-8"?> <PcapConfig version="1.0"> <PcapAdapters> <PcapAdapter enabled="true" id="capdrop_1" description="PCAP files processing adapter"> <Comment>PCAP</Comment> <CapDrop>[[INSTALLDIR]]\data\capdrop</CapDrop> <Filter enabled="false" name="default" /> <Protocol enabled="true" name="ftp" /> <Protocol enabled="true" name="http" /> <Protocol enabled="true" name="http2" /> <Protocol enabled="true" name="icap" /> <Protocol enabled="true" name="imap4" /> <Protocol enabled="true" name="irc" /> <Protocol enabled="true" name="lotus" /> <Protocol enabled="true" name="pop3" /> <Protocol enabled="true" name="skype" /> <Protocol enabled="true" name="smb" /> <Protocol enabled="true" name="smtp" /> <Protocol enabled="true" name="socks" /> <Protocol enabled="true" name="websocket" /> <Protocol enabled="true" name="xmpp" /> </PcapAdapter> </PcapAdapters>
<Filters>
<Filter name="default"> <RuleGroup enabled="true" name=""> <Rule type="accept" src="any" srcport="any" dst="any" dstport="any" proto="tcp" /> </RuleGroup> </Filter> <Filter name="internet"> <RuleGroup enabled="true" name=""> <Rule type="reject" src="192.168.0.1" srcport="any" dst="any" dstport="any" proto="tcp" /> <Rule type="reject" src="*" srcport="any" dst="192.168.0.1" dstport="any" proto="tcp" /> <Rule type="accept" src="any" srcport="any" dst="any" dstport="any" proto="tcp" /> </RuleGroup> </Filter>
</Filters> </PcapConfig> |
|---|
Тег PcapConfig
Корневой тег конфигурации EtherSensor PCAP. Атрибут "version" содержит версию конфигурации. В Microolap EtherSensor версии 6.X она всегда должна быть равна 1.0.
Тег PcapAdapters
Определяет настройки отслеживаемых каталогов с PCAP-файлами.
Тег PcapAdapter
Тег PcapAdapter является вложенным в тег PcapAdapters и содержит настройки PCAP-интерфейса. Атрибут "enabled" содержит статус активности PCAP-интерфейса: если он выставлен в false, то PCAP-интерфейс не будет использоваться. Атрибут "id" используется для указания имени PCAP-интерфейса. Этот атрибут не должен изменяться, и предназначен только для чтения. Атрибут "description" содержит ваше описание PCAP-интерфейса.
Тег Comment
Тег Comment является вложенным в тег PcapAdapter и содержит ваш комментарий к настройке профиля PCAP-интерфейса.
Тег CapDrop
Тег CapDrop является вложенным в тег PcapAdapter и содержит абсолютный путь к отслеживаемому каталогу с PCAP-файлами.
Тег Filter
Тег Filter является вложенным в тег PcapAdapter и содержит описание используемого IP-фильтра для данного PCAP-интерфейса. Атрибут "enabled "содержит статус использования IP-фильтра: если он установлен в false, то для данного PCAP-интерфейса этот фильтр использоваться не будет.
Атрибут "name" содержит имя профиля IP-фильтра. Профили IP-фильтров указываются в теге Filters (см. ниже).
Тег Protocol
Тег Protocol является вложенным в тег PcapAdapter и содерит имя Интернет-протокола. Атрибут "enabled" содержит статус использования Интернет-протокола: если этот атрибут равен "false", то для данного PCAP-интерфейса данный протокол будет игнорироваться. Атрибут "name" содержит имя профиля Интернет-протокола. Этот атрибут используется только для чтения и не подлежит изменению.
Пример настройки PCAP-интерфейса для перехвата сообщений клиентов HTTP, HTTP2, SMTP, WEBSOCKET:
<PcapAdapter enabled="true" id="capdrop_1" description="PCAP files processing adapter"> <Comment>PCAP</Comment> <CapDrop>[[INSTALLDIR]]\data\capdrop</CapDrop> <Filter enabled="false" name="default" /> <Protocol enabled="false" name="ftp" /> <Protocol enabled="true" name="http" /> <Protocol enabled="true" name="http2" /> <Protocol enabled="false" name="icap" /> <Protocol enabled="false" name="imap4" /> <Protocol enabled="false" name="irc" /> <Protocol enabled="false" name="lotus" /> <Protocol enabled="false" name="pop3" /> <Protocol enabled="false" name="skype" /> <Protocol enabled="false" name="smb" /> <Protocol enabled="true" name="smtp" /> <Protocol enabled="false" name="socks" /> <Protocol enabled="true" name="websocket" /> <Protocol enabled="false" name="xmpp" /> </PcapAdapter> |
|---|
Тег Filter
Тег Filter является вложенным в тег Filters и содержит описание настроек IP-фильтра. Атрибут "name" содержит имя профиля IP-фильтра. Значение этого атрибута может быть использовано в качестве значения атрибута "PcapAdapter/Filter/name" для указания IP-фильтра PCAP-интерфейсу.
Тег RuleGroup
Тег RuleGroup является вложенным в тег Filter и служит для группировки правил фильтрации, относящихся к конкретной решаемой задаче фильтрации трафика.
Атрибут "name" содержит ваше описание группы правил фильтрации. Значение этого атрибута может быть пустым.
Тег Rule
Тег Rule является вложенным в тег RuleGroup и содержит ваше описание правила фильтрации PCAP-трафика.
Атрибут "type" содержит тип правила: если он равен accept, то сетевые пакеты, подходящие под данное правило, будут приняты для дальнейшей обработки. Иначе, если он равен reject, то сетевые пакеты, подходящие под данное правило, будут отклонены.
Атрибуты "src" и "dst" содержат IP адрес, диапазон IP адресов, или же параметры сети для фильтрации IP адресов, подходящих под указанное значение.
Пример:
Отклонить пакеты, проходящие между компьютерами 10.1.5.10, 10.1.5.15-10.1.5.59 и сетью 10.1.6.0/255.255.255.0:
<Rule type="reject" src="10.1.5.10, 10.1.5.15-10.1.5.59" dst="10.1.6.0/255.255.255.0" proto="tcp" />
<Rule type="reject" src="10.1.6.0/255.255.255.0" dst="10.1.5.10, 10.1.5.15-10.1.5.59" proto="tcp" /> |
|---|
В атрибутах "srcport" и "dstport" укажите необходимые для фильтрации TCP-порты или диапазоны TCP-портов.
Пример:
Отклонить пакеты, проходящие между компьютерами 10.1.5.10, 10.1.5.15-10.1.5.59 и сетью 10.1.6.0/255.255.255.0 на портах 80, 443-1024:
<Rule type="reject" src="10.1.5.10, 10.1.5.15-10.1.5.59" srcport="80, 443-1024" dst="10.1.6.0/255.255.255.0" proto="tcp" />
<Rule type="reject" src="10.1.6.0/255.255.255.0" dst="10.1.5.10, 10.1.5.15-10.1.5.59" dstport="80, 443-1024" proto="tcp" /> |
|---|
Правила применяются линейно сверху вниз. Верхняя строка – это первая инструкция фильтра, нижняя – последняя. Каждая строка отклоняет или принимает только тот тип пакетов, который она описывает.
Пример:
Отклонить пакеты соединения между двумя хостами или группой хостов. При этом должны быть отклонены пакеты, передаваемые в обе стороны соединения:
<Rule type="reject" src="10.31.5.212" dst="10.31.5.57" dstport="1025" proto="tcp" />
<Rule type="reject" src="10.31.5.57" srcport="1025" dst="10.31.5.212" proto="tcp" /> |
|---|
Также необходимо помнить, что если нет правил фильтрации, то будет принят весь трафик. И наоборот, если есть правила фильтрации, то обрабатывается только трафик, удовлетворяющий правилам фильтрации.
Пример:
Получить трафик всех соединений с единственным хостом 10.31.5.57:
<Rule type="accept" src="10.31.5.57" srcport="*" dst="*" dstport="*" proto="tcp" />
<Rule type="accept" src="*" srcport="*" dst="10.31.5.57" dstport="*" proto="tcp" /> |
|---|
Пример:
Отсечь группу хостов. Для этого необходимо сначала отсечь эту группу, а потом обязательно принять все остальные пакеты, иначе мы ничего не получим вообще:
<Rule type="reject" src="10.31.5.212" dst="10.31.5.57" dstport="1025" proto="tcp" />
<Rule type="reject" src="10.31.5.57" srcport="1025" dst="10.31.5.212" proto="tcp" />
<Rule type="accept" src="*" srcport="*" dst="*" dstport="*" proto="tcp" /> |
|---|
Пример:
Получить трафик только двух определённых хостов, остальные игнорировать:
<Rule type="accept" src="10.31.5.212" dst="10.31.5.57" dstport="1025" proto="tcp" />
<Rule type="accept" src="10.31.5.57" srcport="1025" dst="10.31.5.212" proto="tcp" /> |
|---|