Almacenar conversaciones MSN

[fstrier]

Hola, estoy necesitando guardar las conversaciones de los usuarios de MSN de la red protegida por un FortiGate.

Necesito FortiAnalyzer para lograr esto? la configuración es mediante "content archiving" o con habilitar logging en la regla de tráfico y Application Control para msn alcanza?

DLP solo bloquea, por lo que no debo usarlo?

Desde ya mil gracias.

[gabyrossi]

Hola, claro tenes que usar todo lo que comentas mas el analyzer.
el dlp "content archiving" arcihivara ademas de msn, paginas, atrchivos, etc. editalo y usalo lo que necesitas.

saludos

[fstrier]

Estoy probando en un FG conectado a un FA y no aun no anda. Pregunta:

-En Remote Logging & Archiving, FortiAnalyzer, Enable IPS Packet Archive debe estar activado?? alcanza con que minimun log level sea "Informational"? o esta parte no tiene nada que ver con DLP?

Gracias!

[gabyrossi]

Hola, como estas?

que firmware usas en el fortigate y en el analyzer?

el dlp es lo que causa el logueo des convesaciones, arvhicos, etc y demas...

[fstrier]

El FortiGate es 4.00 MR2, el Analyzer no puedo entrar remoto, pero entiendo que es similar versión.

Pero debería poner el nivel de log a FortiAnalyzer en "debug" para ver el contenido de los mensajes de MSN?

[gabyrossi]

hola, revisa si el analyzer tiene esa version tambien

no, no necsitas cambiar el nivel de logueo.

saludos

[fstrier]

El analyzer es Firmware FortiAnalyzer-400B v4.0,build0218 (MR2 Patch 2).

O sea, identico nivel de OS y parche.

En el log de la pantalla del FG aparecen las sesiones, pero no manda las conversaciones al FA... la regla de tráfico tiene app_ctrol habilitado y DLP para IM-All, y opcion de logueo en la regla... estoy medio perdido ya, confieso que tengo poca experiencia con OS 4.0

[gabyrossi]

hola, que sensor de dlp estas usando?

saludos

[fstrier]

Es un sensor creado para tal fin, con "enable logging" activado, que contiene:

-Compound rules: ALL-IM-Compound: compuesta por "ALL-IM" y "All-IM". Una de estas está armada custom.
-Rules: "ALL-IM"

Me dan ganas de arrancar de cero porque se nota que lo han tocado bastante, ese compound no le encuentro sentido porque contiene 2 reglas casi iguales, una de las cuales (All-IM) solo tiene modificado transfer size >=0. Ni siquiera se para que lo hicieron.

[gabyrossi]

hola, no
revisa el que doce content_archive. similar a ese deberias usar pero solo im .

saludos

[fstrier]

Hoy entré al FA luego de haber modificado la regla de IM. Desde el device FG hace muchos dias que no recibe nada para DLP, pero si para logging.

Cuando quiero ver usando Tools, File Explorer, no me abre el contenido de IM. No se que estaré haciendo mal pero aun no pude chequear que llega y que no.

Cabe aclarar que nunca trabajé con el FA antes...

[gabyrossi]

Hola, hiciste lo que te dije anteriormente?

saludos

[fstrier]

Si, lo anterior está hecho, pero no estoy canchero con el FA, no puedo abrir lo que tiene en el browser, capaz que no soporta mozilla firefox, creo que tengo que sentarme a leer mas cosas y seguir probando. Muchas gracias x tu ayuda.

[gabyrossi]

Hola, ok

acordate que manuales y articulos los podes encontar aqui:

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos

[fstrier]

Hoy le dediqué mas tiempo al asunto, primero solucionando un problema con el SSO al FA desde el portal VPN SSL del FG.

El tema es que, tanto usando Internet Explorer como Mozilla Firefox no logro utilizar las Tools del FA: en el menú Tools, Item FileExplorer, Archive, aparece:
email_files 4096 Wed Jun 22 12:10:26 2011
ftp_files 4096 Wed Jun 22 12:10:26 2011
http_files 4096 Wed Jun 22 12:10:26 2011
im_files 4096 Wed Jun 22 12:10:26 2011
mms_files 4096 Wed Jun 22 12:10:26 2011
quard_files 4096 Wed Jun 22 12:10:26 2011

No puedo hacer click sobre ninguna de estas carpetitas, que no son mas que, por ejemplo, javascript:openDir('im_files')

O sea, no se como ver datos historicos, reportes, etc...