Symantec DLP TMG Entegrasyonu

Symantec Network DLP for Web diye adlandırılan Network seviyesinde Web tarafında Http,Https,Ftp gibi protokolleri inceleyip içerisinde confidential dataları tesbit etmek ve gerektiğinde oluşan web trafiğini engellemek işlemlerinin yapılabildiği modülüdür. Web gateway sistemleriyle ICAP ile konuşarak işlemlerin yapılabilmesine olanak sağlanmaktadır. Bu yazımda Microsoft Threat Management Gateway ile Symantec Network DLP for Web çözümünün entegrasyon işlemleri anlatılacaktır.

İlk olarak Symantec Data Loss Prevention System>Server>Overview kısmından Add Server diyerek Network DLP for Web sunucumuzu ekliyoruz.

Network Prevent for Web işaretlenir ve Next e tıklanır.

Name kısmına sunucumuzun adını verebiliriz. Host kısmına ister sunucumuzun adını istersek ip adresi bilgisini girebiliriz. Port 8100 dan çalışacaktır.

Trial Mode oluşan incidentların blocklanması aksiyonu verildiyse kural içinde gerçekte blocklama işlemi yapmayacak olup incident rapor ekranında blocklandığına dair işaret ve bilgileri görmemizi sağlayacaktır. İlk testler sırasında sistem Trial Mode da kullanılmalıdır. Herhangi bir false positive oluşturan durumlar var mı yok mu detaylıca incelenmelidir. Herşey düzgün şekilde çalıştığına hem fikir olursak ICAP imizi Trial moddan çıkarıp gerçek blocklama işlemleri yapabiliriz.

Response filter ve Connection ayarlarını bu alandan yapabilmekteyiz.

Server ekleme işlemimiz tamamlandığında yukarıdaki gibi bir ekran karşımıza gelecektir. Sıra geldi TMG sunucusu üzerinde yapılacak işlemlere…

TMG Konfigürasyonu

İlk olarak TMG sunucusu ile Symantec Network DLP Prevent for Web arasında ICAP protokollerine izin verilmesi gerekmektedir. Bunun için TMG kural listesinin en üstüne yeni bir access rule eklenir.

Kuralımıza bir isim veriyoruz. Next diyoruz.

Allow kuralı oluşturacağımız için Allow işaretleyip Next diyoruz.

TMG nin default protokolleri arasında ICAP bulunmamaktadır. O nedenle bir manuel ICAP protokolünü oluşturuyoruz.

Inbound ve Outbound olacak şekilde 2 protokol oluşturuyoruz. Port no 1344

Secondary Connections a gerek olmadığından No işaretleyip Next diyoruz.

Selected Protocols olarak oluşturduğumuz inbound ve outbound ICAP protokollerini seçiyoruz.

Source olarak TMG localhostu ve network prevent serverımızı seçiyoruz. Computers alanından network prevent server objesini oluşturmamız gerekiyor.

Destination olarakta TMG localhostu ve network prevent serverımızı seçiyoruz.

User Sets kısmında All Users seçip Next diyoruz.

Böylece access rule oluşturmuş oluyoruz.

Symantec DLP TMG Agent Kurulumu

Symantec DLP TMG Agentın kurulum dosyası olan symc_tmg_plugin_x64  çalıştırılır.

Setup çalıştırıldığında karşımıza gelen ilk ekranı Next ile geçiyoruz.

Lisans sözleşmesini kabul edip Next diyoruz.

En kritik nokta Web Filter Monitoring Options kısmıdır. Burada Request lerimi Response larımı yoksa her ikisinide mi monitor etmek istediğimizi belirtebilmekteyiz. Request giden istek paketlerini inceleyecektir. Response ise dönen paketleri inceleyecektir. Biz Request Monitoring işaretleyip Next diyoruz.

TMG Config Server Location kısmında local makina olacak şekilde TMG config server is installed locally on this machine seçip Next diyoruz.

Install diyerek plugin kurulumunu yapıyoruz.

Finish diyerek Web Filter Plugin kurulumunu tamamlıyoruz.

Kurulum sonrasında TMG kurulumunun yapıldığı ana dizinde symc_dlp_plugin_gui diye bir exe dosyası olması gerekmektedir. Bu exe dosyasını çalıştırıyoruz. Plugin ayarlarmızı yapacağız.

Web Filter Plugin Configuration wizard karşımıza çıkmaktadır.

Prevent sekmesine geldiğimizde;

Web Prevent altındaki alana tıklayıp açılan kutucuğun içerisine Symantec Network Prevent for Web sunucumuzun ip adresini ve port numarası 1344 olacak şekilde yazıyoruz.

Örneğin  ip adresi:1344  yazıyoruz ve Apply a tıklıyoruz.

Network kısmında genel bağlantı ayarları bulunmaktadır. En önemli kısım Fallback Action kısmıdır. Burası ALLOW olarak şeçilmelidir. Eğer TMG sunucu ile network prevention sunucu arasında bir iletişim sorunu olursa trafiği allow etmesi bu sayede sağlanabilmektedir. Aksi halde bütün trafiği blocklayacaktır.

Logging kısmında Log Directory ve Log File Size ayarlarını yapabilmekteyiz.

Inspection kısmında Request Types olarak PUT ve POST seçiyoruz.

Buffer kısmında Stream Buffer Size ve Proxy Retry Count değerlerini girebilmekteyiz. Default değerleri kullanmamız yeterlidir.

TMG tarafındaki konfigürasyon ayarları tamamlanmıştır. Symantec DLP politikalarımızda Response rule olarak Block Web Communication kuralını ekliyoruz.

Böylece entegrasyon kısmı tamamlanmıştır. Client makinamıza proxy ip adresimizi yazarak internete çıkmak istediğimizde içerisinden geçen request paketleri dlp kurallarına göre analiz edilecek ve tesbit edilen confidential data varsa gerekli aksiyonların alınması sağlanacaktır.