McAfee Support Webinar...el grupo Definidas por el Administrador en clientes gestionados ni las...

Córdoba Support Team

Cómo configurar McAfee ENS Firewall®

para proteger su ambiente

McAfee Support Webinar

Cesar Moreno | Technical Support Engineer

Copyright © 2020 McAfee, LLC

Agenda

Entendiendo el tráfico de red Cliente – Servidor

• Protocolos, puertos y dirección del tráfico. Herramientas de análisis

Cómo funciona McAfee ENS Firewall

▪ Protección, detección y corrección de ENS Firewall

Cómo instalar McAfee ENS Firewall en Estaciones de Trabajo y Servidores

• Instalación de ENS Firewall desde ePO y Standalone.

Cómo configurar grupos y reglas

• Configurar reglas y grupos de reglas. Usar el Modo de Adaptación

Pruebas de conexión (con lab)

• Puertos abiertos, permitidos y bloqueados por el Firewall

Solución a problemas comunes con ENS Firewall (con lab)

• Permitir tráfico de aplicaciones de terceros. Analizar los logs del FirewallEventMonitor.log

Q & A

Entendiendo el tráfico de red Cliente – Servidor

192.168.1.0/24192.168.0.0/24

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Protocolos, puertos y dirección del tráfico

Funcionamiento Instalación Configuraciones Pruebas Troubleshooting

Chrome.exe

https://eposerver:8443

Workstation

192.168.0.114

IP Destino: 192.168.1.100

Puerto: 8443 / Protocolo: TCP

DC01

192.168.1.120

FileServer01

192.168.1.130eposerver

192.168.1.100

Tomcat7.exe

ENS Firewall

en el cliente

ENS Firewall

en el server

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-DFEC962E-2E2F-4BFF-AF9D-5FBA0C167FDC.html

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Otro ejemplo de servidor web

dentro de la misma subred


Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Datos de una conexión de red:


Ya podemos ver que los datos más importantes de una conexión de red son los siguientes:

• IP de Origen

• IP de Destino

• Puertos de Origen

• Puerto de Destino

• Protocolo (ejemplos, TCP, UDP e ICMP)

• Dirección del tráfico (del Origen al Destino)

• Ejecutables involucradas

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Herramientas de análisis

• Sysinternals para Microsoft Windows

- TCPView

- Process Monitor

• Windows/Linux utilities

- Conectarse a un puerto remoto: telnet 192.168.0.1 8080

- Captura del tráfico de red: Tcpdump / Wireshark

- Puertos locales y PIDs: netstat –ano | find “:8080” / sudo netstat -tnlp | grep :8080

- Verificar puertos remotos abiertos: nmap –sV 192.168.0.1/netcat (nc -zv 192.168.0.1 22)


https://docs.microsoft.com/en-us/sysinternals/downloads/networking-utilities

Cómo funciona el McAfee ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo funciona ENS Firewall

• McAfee ENS Firewall es un módulo del producto Endpoint Security (ENS)

• ENS Firewall funciona filtrando el tráfico de red en el EndPoint

• Firewall analiza todo el tráfico de entrada y salida

• Compara con su lista de reglas de firewall

• Si ninguna regla coincide, por defecto el tráfico se bloquea

• Si coincide una regla, Firewall bloquea o permite el tráfico

• Registra los eventos en logs locales y en ePO


https://docs.mcafee.com/bundle/endpoint-security-10.6.0-firewall-client-product-guide-windows/page/GUID-D502428D-B2E7-4CE1-AC3A-3E78750D8C1E.html

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte


Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo funcionan las reglas de ENS Firewall


Protección, Detección y Corrección de

McAfee ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Protección brindada por Firewall de McAfee ENS

• Reglas - Doc KB91885

• Grupos de reglas y aislamiento de conexiones– Doc

• Grupos de reglas de firewall predefinidos por McAfee – Doc

• Filtrado e inspección de paquetes con seguimiento de estado - Doc

• Control basado en la reputación de GTI - Doc KB90837


Protección

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-8935C324-2230-4BA2-85ED-03D0142A8412.html

https://kb.mcafee.com/corporate/index?page=content&id=KB91885

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-87ED151F-10EC-4062-B19B-9C4E87867D7F.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-1DBFB074-1E24-4BB4-A995-CC9F07C5C882.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-889B09DF-64C3-4056-9381-2F95E194BDE1.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-0885BCB8-F7F8-4968-9C62-B2A2774DD696.html

https://kc.mcafee.com/corporate/index?page=content&id=KB90837

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Reglas de Firewall de McAfee ENS

• Definen los criterios que utiliza Firewall para bloquear o permitir el tráfico

• Los paquetes se comparan con los criterios de las reglas

• Si no hay Reglas coincidentes, se bloquea el tráfico

• Reglas predefinidas y creadas por el administrador

• Cada regla ofrece un conjunto de condiciones

• La planificación de las reglas nos permiten bloqueos

fuera de horarios comerciales.


Protección

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Grupos de Reglas de Firewall de McAfee ENS

• Organizan Reglas

• No afectan la forma en que Firewall trata las reglas

• Firewall Procesa la configuraciones del grupo antes de sus reglas

• La configuración del grupo tiene prioridad sobre sus reglas

• Grupos Sincronizados

• Grupos de aislamiento de conexión


Protección

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Grupos y Aislamiento de conexión con Firewall

• Firewall Procesa las reglas para permitir anteriores en la lista

• La configuración del grupo no puede tener ejecutables ni transporte asociados

• Activar la Ubicación en el grupo, nos permite aislarlo

• Si el grupo no cuenta con las reglas para permitir el tráfico, éste se bloquea.

• Lo que no coincide con el grupo, procesa las demás reglas.


Protección

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Grupos de Reglas Predefinidas de Firewall en ePO


Protección

Redes principales de McAfee

Contiene las reglas de redes principales proporcionadas por McAfee e incluye las reglas para

permitir las aplicaciones y DNS de McAfee.

Servidor de ePolicy Orchestrator

Contiene reglas para permitir la ejecución de los servicios de McAfee ePO.

Conectividad básica de red (requerida)

Contiene reglas para permitir la ejecución de los servicios de red básicos, como DNS.

VPN

Contiene reglas para permitir la ejecución de los servicios de VPN.

ICMP

Contiene reglas para permitir todo el tráfico ICMP.

Autenticación AD de Windows

Contiene reglas para permitir la autenticación de Windows Active Directory.

NetBIOS

Contiene reglas para permitir sesiones y servicios NetBIOS entrantes y salientes y bloquear los

servicios de NetBIOS que no sean de confianza.

Web/FTP

Contiene reglas para permitir los servicios HTTPS y FTP salientes.

Clientes de correo

Contiene reglas para permitir la ejecución de los servicios de correo saliente, como POP.

Herramientas de red

Contiene reglas para permitir las conexiones de escritorio remoto (RDP).

No puede cambiar ni eliminar

el grupo Redes Principales de McAfee pero

existe la opción Desactivar las reglas de redes

principales de McAfee en la directiva de Opciones

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Grupos de Reglas Predefinidas de Firewall en un sistema cliente


Protección

Redes principales de McAfee

Contiene las reglas de redes principales proporcionadas por McAfee e incluye las

reglas para permitir las aplicaciones y DNS de McAfee. No puede cambiar ni

eliminar pero también puede “Desactivar las reglas de redes principales de

McAfee” en las Opciones.

Definidas por el administrador

Contiene reglas definidas por el administrador en el servidor de administración.

Aparece sólo si el sistema cliente está gestionado por McAfee ePO.

Definida por el usuarioContiene reglas definidas en el Cliente de Endpoint Security. En este caso, el

grupo se muestra como Activado incluso si no contiene ninguna regla.

Dado que estas reglas se crean en el sistema cliente, pueden sobrescribirse

cuando se implemente la directiva en función de la configuración de esta.

Adaptación

Contiene reglas de excepciones de cliente que se crean automáticamente cuando

el sistema está en modo de adaptación. Una vez que se activa el modo de

adaptación, el grupo se llena con las reglas generadas automáticamente.

Predeterminado (Block all Traffic y Adaptive Rule)

Contiene reglas predeterminadas proporcionadas. No se puede eliminar.

No puede cambiar ni eliminar

el grupo Definidas por el Administrador en

clientes gestionados ni las Predeterminadas

que bloquean todo el tráfico no coincidente

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Tabla de estados del Firewall

• Protocolo (por ejemplo, TCP, UDP e ICMP)

• Direcciones IP de equipos locales y remotos

• Números de puerto de equipos locales y remotos

• ID de proceso (PID)

• Marca de tiempo

• Tiempo de espera

• Dirección (entrante o saliente)

• Se comparan entradas con nuevas directivas

• Se reconocen cambios de IP locales.


Protección

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Filtrado de paquetes de red con control de estado


Protección

• Procesamiento según reglas configurables

- Bloqueo o permiso

- Se crea una entrada en la tabla de estados (TE).

• Procesamiento según reglas dinámicas o TE

• Las TE reflejan el estado de la pila de red

• Se permiten paquetes que coinciden con reglas en la TE

• Se considera una coincidencia si:

- el Protocolo,

- la Dirección local,

- el Puerto local,

- la Dirección remota y

- el Puerto remoto coinciden

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Inspección de paquetes con seguimiento de estado

• Combina el filtrado con seguimiento de estado con el acceso a comandos al nivel de aplicación

• Asegura protocolos como el FTP (Directiva Inspección de protocolo FTP)

• Sesión: control para los comandos + datos para la información


Protección

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Control basado en la reputación de GTI

• GTI es una base de datos de puntuaciones de reputación para direcciones IP

• También controla dominios, mensajes específicos, URL e imágenes

• GTI infirma la reputación de la dirección IP de origen o destino

• Trata coincidencias como intrusión

• Registra tráfico coincidente

• Puede bloquear o permitir si no se llega a GTI

• Utiliza caché para mejorar la performance


Protección

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Detección de problemas de seguridad con Firewall de McAfee ENS

• Paneles y monitores - Doc

• Consultas e informes - Doc

• Alertas - Doc

• Registro de tráfico - Doc


Detecciones

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-A71DC289-BDF7-455C-B0EA-C03A5197E509.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-7183F4EA-A64C-4A03-B329-C6073E212637.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-49C3840D-F1C7-4443-8378-0DAEAA348A56.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-6721AF29-8741-4F41-B5E3-B6F799C4D193_2.html

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Paneles y monitores

• Los paneles son colecciones de monitores en ePO

• Puede controlar los equipos gestionados

• Verifique el estado del cliente de Firewall desde ePO

• Utilice los Paneles predefinidos en ePO


Detecciones

Firewall incluye los siguientes paneles predeterminados y consultas.

• Estado de Firewall de Endpoint Security

• Firewall de Endpoint Security: eventos de McAfee GTI

• Firewall de Endpoint Security: eventos en las últimas 24 horas

• Firewall de Endpoint Security: estado de conformidad

• Firewall de Endpoint Security: HotFixes instalados

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Consultas e informes

• Utilice las consultas para obtener información detallada del estado

• Consultas son preguntas sobre los eventos de ePO

• Las consultas tienen gráficos y tablas

• Puede exportar, descargar o combinar consultas en informes como PDF

• ePO tiene Consultas predefinidas para usar


Detecciones

• Firewall de Endpoint Security: reglas de Firewall para cliente por proceso

• Firewall de Endpoint Security: reglas de Firewall para cliente por proceso/usuario

• Firewall de Endpoint Security: reglas de firewall para cliente por protocolo/nombre del sistema

• Firewall de Endpoint Security: estado de conformidad

• Firewall de Endpoint Security: recuento de reglas de firewall para cliente

• Firewall de Endpoint Security: errores

• Firewall de Endpoint Security: eventos de McAfee GTI en los últimos 6 meses

• Firewall de Endpoint Security: eventos en las últimas 24 horas

• Firewall de Endpoint Security: HotFixes instalados

• Firewall de Endpoint Security: eventos de intrusión en las últimas 24 horas

• Firewall de Endpoint Security: estado

• Firewall de Endpoint Security: eventos de bloqueo de tráfico en las últimas 24 hs

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Alertas

• Firewall puede generar muchas alertas

• Purgar el registro periódicamente

• Desactivadas por defecto, a menos que se trate como detección

• El Filtrado de Eventos se puede configurar en ePO


Detecciones

Se recomienda no enviar a

ePO todos los eventos de FW

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Registro del tráfico del Firewall

• Los eventos se guardan localmente en FirewallEventMonitor.log

• Path: %ProgramData%\McAfee\Endpoint Security\Logs

• Puede encontrar errores en común de ENS en EndpointSecurityPlatform_Errors.log

• Cuando ninguna regla coincide, el tráfico es bloqueado por Block All Traffic

• Contiene información como la siguiente:


Detecciones

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Corrección de Falsos Positivos en Firewall de McAfee ENS

Reduzca o elimine los falsos positivos con algunas de las siguientes funciones:

• Modo de adaptación - Doc

• Redes definidas - Doc

• Archivos ejecutables de confianza - Doc

• Catálogo de Firewall - Doc

• Opciones de Firewall cliente – Doc

• Paneles y monitores para corregir bloqueos - Doc


Correcciones

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-client-interface-reference-guide-windows/page/GUID-4C618EF0-B4F7-45E7-8ACF-DA8C6B155BD7.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-EE721DA2-4AFD-48F3-8692-AA5B22148B18.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-E20BD5CA-ADAE-4D1E-B061-C9094A11DCAB.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-D10672D5-07AE-4C6B-9E6F-E6C459AA2731.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-BEC2329D-B5FD-4739-962B-72A846F84425.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-A71DC289-BDF7-455C-B0EA-C03A5197E509.html

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Modo de Adaptación de Firewall

• Crea reglas locales automáticamente

• Permite todo el tráfico

• En ePO “Firewall Client Rules” se crearán posibles reglas

• Se deben asignar estas reglas a la directiva deseada


Correcciones

Usar temporalmente solo en algunos

sistemas mientras configura el Firewall.

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Redes Definidas

• Define Redes como “De confianza” para no bloquear el tráfico

• O definir como “No es de confianza” para usarlas luego en las reglas

• Puede agregar redes individuales, subredes e intervalos

• Puede agregar tipo de dirección del tráfico

• Se excluye de las reglas y de la búsqueda en GTI


Correcciones

Monitorear tráfico a IPs maliciosasAnte un ataque, se pueden usarlas redes definidas para definir redes y bloquear el tráfico no deseado.

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Ejecutables de confianza

• Se definen ejecutables de confianza para su entorno

• Se usa para evitar Falsos Positivos

• Puede usar comodines, rutas o solo nombres

• Se excluye de las reglas y de la búsqueda en GTI

• Firewall solo analiza ejecutables locales (no remotos)

• No se conocen los ejecutables remotos

• Puede agregar firmante como ejecuto de confianza


Correcciones

Se recomienda no permitir siempre

Ejecutables con vulnerabilidades

o de alto riesgo (CMD, explorer o PS)

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Catálogo de Firewall

• En el menú Catálogo de Firewall de ePO

• Es un repositorio de grupos y reglas

• Puede agregar desde o al catálogo creando reglas y grupos

• Se heredan las propiedades desde el catálogo

• Se puede interrumpir la herencia y hacerlas independientes


Correcciones

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Opciones del Firewall cliente

• Un sistema no gestionado debe configurarse en el ENS

• Asegurarse de tener acceso total a las configuraciones de ENS

• Firewall estará desactivado en sistemas con HIPS

• Se puede activar y configurar desde el menú acciones

• Puede mostrar configuraciones avanzadas


Correcciones

ENS Firewall rara vez se

gestiona localmente

Se recomienda gestionar desde ePO

Cómo instalar McAfee ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Incorporar McAfee ENS Firewall a ePO


Doc

Incorporación de paquetes mediante el Catálogo de software

https://docs.mcafee.com/bundle/epolicy-orchestrator-5.10.0-product-guide/page/GUID-F029CCDE-953F-4BAB-B4F1-A68D3A330E19.html?_LANG=eses

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Verificar que McAfee ENS Firewall esté incorporado en ePO


KB82761

Información de la versión de producto de ENS

https://kc.mcafee.com/corporate/index?page=content&id=KB82761

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo Instalar ENS Firewall por primera vez

1. Verificar que los ambientes estén soportados – KB82761

2. Desactivar Windows Firewall para evitar conflictos.

3. Las extensiones de ePO para ENS deben ser iguales o mayores a las del cliente.

4. Instalar ENS Platform + FW desde ePO client tasks o con ENS standalone

5. Activar el modo de adaptación (solo en pocos equipos para evaluar el tráfico) – Doc

6. Ejecute las apps para crear reglas.

7. Aplique las reglas de Firewall a las Directivas en ePO.

8. Desactive el modo de adaptación y verifique se permite el tráfico deseado.

9. Crear las reglas lo más específicas posibles (arriba las de bloqueo, debajo las generales).

10. Utilice grupos de reglas para organizar las reglas.

11. Identifique y defina redes, URLs y ejecutables de confianza para evitar el bloqueo.


Especial cuidado al instalarInstalar Firewall en Servidores de producción puede causar bloqueos a servicios

https://kc.mcafee.com/corporate/index?page=content&id=KB82761&actp=null&viewlocale=es_ES&locale=es_ES

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-installation-guide-windows/page/GUID-8C0843FA-E4A2-40B0-8F8A-9C084A1A0CF3.html

Recorrido por las Directivas de

McAfee ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Configuración de Directivas de Firewall


Directiva de Opciones de

McAfee ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Configuración de Directivas de Opciones de Firewall

• Activar Firewall

• Opciones de protección

• Bloqueo de DNS

• Opciones de ajuste

• Reputación de red McAfee GTI

• Firewall con seguimiento de estado

• Control de estado del firewall

• Redes definidas

• Ejecutables de confianza


| Directiva Opciones | Directiva Reglas |

Opciones

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Activar o desactivar el ENS Firewall

• Al activar el Firewall:

- Se inspeccionará todo el tráfico de red

- Se procesarán reglas coincidentes con el tráfico

• Al Desactivar el Firewall:

- Se dejarán de procesar las reglas

- Las opciones de la directiva se deshabilitarán

- No se registrará el tráfico de red

- El Driver NDIS Filter Driver seguirá instalado al desactivar



Activar FirewallUn Firewall desactivado implica un sistema desprotegido

KB92453

En ENS Feb se incorporó la

inicialización retrasada de NIC


Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Opciones de Protección de Firewall (Windows)



Especial cuidado al permitirSi permite el tráfico sin controlarlo, puede volver vulnerable el sistema

• Permitir tráfico de protocolos incompatibles:

Si esta opción está desactivada, todo el tráfico que use protocolos no admitidos se bloqueará.

• Permitir tráfico antes de iniciar Firewall:

Si se desactiva esta opción, Firewall permite todo el tráfico antes de iniciar sus servicios, lo que podría

volver el sistema vulnerable.

• Permitir tráfico mediante Puentes o Bridges (VMs):

Permite: Paquetes entrantes si la dirección MAC de destino se encuentra en el intervalo de dirección MAC

de VM admitido y no en una dirección MAC local del sistema. Paquetes salientes si la dirección MAC de

origen se encuentra en el intervalo de dirección MAC admitido y no en una dirección MAC local del

sistema.

• Activar Alertas de Intrusión:

Muestra las alertas automáticamente cuando Firewall detecta un posible ataque.

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Opciones de Ajuste

• Activar el modo de adaptación

• Desactivar las reglas de redes principales de McAfee

• Registrar todo el tráfico bloqueado

• Registrar todo el tráfico permitido



Use el Modo de Adaptación sólo en algunos

sistemas mientras configura el Firewall.

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Opciones de Reputación – McAfee GTI

• Tratar coincidencia de McAfee GTI como intrusión

• Registrar tráfico coincidente

• Bloquear todos los ejecutables no fiables

• Umbral de reputación de red entrante/Umbral de reputación de red saliente

• Si el servidor de calificaciones McAfee GTI no está accesible



Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Firewall con Seguimiento de Estado

• Usar inspección de protocolo FTP

• Segundos (1 a 240) de timeout para conexiones TCP.

• Segundos (1 a 300) de timeout para conexiones UDP e ICMP.



Control de Estado del firewall

• Permitir que los usuarios puedan desactivar el firewall desde el icono

• Requerir justificación de los usuarios

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Bloqueo de DNS

• Nombre de Donimio, por ejemplo block.dominio.com

• Comodines: *.dominio.com ó *.dominio.???

• Solo Windows y Mac

• Se puede usar para mitigar un ataque en la red



Recomendado

Bloquee los dominios queConsidere no deseados

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Redes Definidas

• Definir las direcciones de red de Confianza

• Definir redes de No Confianza para usarlas en reglas y grupos

• Controlar Redes de No Confianza con reglas

• Puede definer Redes locales o remotas

• Excluye las redes definidas de la búsqueda en GTI



Recomendado

Para controlar el tráfico en Redes definidas

que no sean de confianza, asócielas

con reglas de firewall o grupos

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Ejecutables de confianza

• Permite el tráfico de ejecutables de confianza

• Permitie tráfico bidireccional

• No agregar ejecutables con vulnerabilidades conocidas



Se recomienda no permitir siempre

Ejecutables con vulnerabilidades

o de alto riesgo (CMD o PS)

Directiva de Reglas de

McAfee ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Configuración de Directivas de Reglas de Firewall

• Lista de Reglas y prioridades – Doc

• Agregar o editar grupos y reglas de Firewall – Doc

• Ejecutables asociados a una regla o un grupo – Doc

• Redes asociadas a una regla o un grupo – Doc

• Ubicación asociada a un grupo – Doc



Reglas

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-8935C324-2230-4BA2-85ED-03D0142A8412.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-6BC53D87-48BB-45EE-821B-72FC5C226C8E.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-75260B76-A228-4D8C-A75F-813668D797B4.html

https://docs.mcafee.com/bundle/endpoint-security-10.7.x-common-product-guide-windows/page/GUID-C499DF7D-A89A-40A9-B9C5-EF0DB3C6E64F.html

https://docs.mcafee.com/bundle/endpoint-security-10.6.0-firewall-product-guide-windows/page/GUID-FE636D22-FACE-4275-BD7B-D7E81D4160B9.html

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Lista de Reglas y prioridades



Bloqueos

Granulares

Permisos

Generales

Recomendado

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Agregue o edite grupos y reglas de Firewall



• Botón Agregar Regla para reglas y para agregar un grupo, Agregar Grupo

• Las superiores (específicas) tienen prioridad sobre las inferiores (más generales)

• Grupos pueden tener redes y ejecutables asociados

• Se pueden aislar los grupos según la red o ubicación

• Se pueden crear reglas específicas según:

- Dirección del tráfico

- Bloquear o Permitir

- Redes asociadas locales y remotas

- Transporte, protocolos y puertos.

- Ejecutables asociados

- Definir planificación

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Agregue o edite un ejecutable asociado a una regla o un grupo



• Puede incluir caracteres comodín

• Puede examiner para buscar ejecutable

• Puede usar el Hash MD5 del archivo

• Puede usar la Descripción del archivo (no es un campo de comentarios).

• Puede activar la comprobación de Firmas

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Agrega o edita una red asociada a una regla o un grupo



Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Agrega o edita una Ubicación asociada a un grupo

• Sufijo DNS específico de la conexión

• Gateway predeterminada

• Servidor DHCP

• Servidor DNS

• Servidor WINS principal

• Servidor WINS secundario

• Posibilidad de alcance del dominio (HTTPS).

• Clave de Registro



Activar el aislamiento en un grupo:

• Bloquea también adaptadores no coincidentes

• Transporte y Ejecutables no disponibles

• Bloquea si coincide el grupo pero no las reglas

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo agregar reglas y grupos al catálogo

• Se agregan desde las Directivas de Firewall

• Se pueden agregar diferentes objetos como ejecutables y redes al catálogo

• Cuando agrega un elemento, crea un vínculo

• Se puede interrumpir la herencia para crear elementos independientes



Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo usar las reglas y grupos del catálogo

• El menu en ePO es Catálogo de Firewall

• Se pueden agregar reglas desde el catálogo a las Directivas

• Cuando agrega un elemento a una regla, es un un vínculo a otro elemento.



Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Se recomienda al menos diferenciar:

Reglas para Servidores:• Conexiones entrantes (por ejemplo Puerto 80 y 443)

• Servicios (por ejemplo apache.exe)

• Red Local: Servidores (ejemplo, servidor único 192.168.0.1)

• Red Remota: Clientes

• Activar el Modo de adaptación para crear reglas

• Duplicar McAfee Default Server (Read-only)

Reglas para Clientes:• Conexiones salientes (por ejemplo: 1024-65535/TCP)

• Apps (Chrome, Firefox, etc)

• Red Local de Clientes (ejemplo, rango 192.168.0.2-254)

• Red Remota de Servidores

• Verificar Bloqueos en logs para crear Reglas.

• Duplicar McAfee Default (Read-only)

Recomendaciones para el despliegue inicial



Recomendado

Modo de Adaptación de

McAfee ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo activar el Modo de Adaptación


• Activar temporalmente para crear reglas

• Activarlo evita bloqueos de tráfico y ayuda a configurar

• Puede generar varias reglas de cliente

• Puede necesitar modificar las reglas que crea

• Puede impactar de forma negativa a la performance de ePO

• Ejecute los sistemas durante una semana

• Se activa desde la Directiva de Opciones de Firewall

• Se usa para paquetes de red no cubiertos por las reglas de firewall

• ePO nos advierte que activarlo puede afectar la performance:

Use el Modo de Adaptación sólo en algunos

sistemas mientras configura el Firewall, para

evitar el envío de muchos eventos a ePO.

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo verificar en el cliente el Modo de Adaptación


Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Usar el log de tráfico permitido para analizar el Modo de Adaptación


Time: 06/26/2020 05:50:59 PM

Event: Traffic

IP Address: 192.168.2.102

Description: HOST PROCESS FOR WINDOWS SERVICES

Path: C:\Windows\System32\svchost.exe

Message: Allowed Incoming UDP -

Source 192.168.2.102 : (59275)

Destination 192.168.2.105 : rdp (3389)

Matched Rule: Adaptive Rule

Time: 06/26/2020 05:48:53 PM

Event: Traffic

IP Address: 192.168.2.102

Description: HOST PROCESS FOR WINDOWS SERVICES

Path: C:\Windows\System32\svchost.exe

Message: Blocked Incoming TCP - Source 192.168.2.102 : (61187)

Destination 192.168.2.105 : rdp (3389)

Matched Rule: Block all traffic

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo agregar reglas creadas en Modo de Adaptación a Directiva


Troubleshooting de ENS Firewall

Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Preguntas Frecuentes del Modo de Adaptación

• ¿Cómo se activa el modo de adaptación?

Active esta opción en la configuración Firewall Opciones. Active esta opción en la configuración de Firewall Opciones y aplique esta

directiva al cliente.

• ¿Cómo funciona el modo de adaptación con Firewall?

El modo de adaptación crea reglas en el sistema cliente que permiten paquetes de red no cubiertos por las reglas de firewall

existentes. Las reglas de firewall para clientes se crean según el proceso. Los procesos asociados con las reglas de firewall para clientes se

basan en una ruta, una descripción de archivo, una firma digital y un hash MD5.

• ¿En qué caso no se crea una regla de forma automática con el modo de adaptación?

- No hay aplicación asociada con el paquete cuando se examina en el registro de actividades del cliente.

- Ya existe una regla que bloquea o permite el paquete.

- Tiene reconocimiento de ubicación y aislamiento de conexión activado

- El paquete no es TCP, UDP o ICMP.

- Hay más de un usuario registrado en el sistema o no hay ningún usuario registrado en el sistema.

• ¿Problemas de compatibilidad de terceros con ENS Firewall?

Si no ha configurado previamente reglas de Firewall personalizadas, puede activar el modo de adaptación para determinar si

el Firewall está bloqueando dichas aplicaciones para crear reglas de cliente de forma automática, para que las aplicaciones necesarias y los

sitios web no se bloqueen a la vez que conservan una protección mínima frente a vulnerabilidades.

El modo de adaptación analiza los eventos y, a continuación, si la actividad se considera normal y necesaria para la empresa,

el Firewall crea reglas de cliente que luego se pueden aplicar de forma permanente a las directivas.

Recomendado

Desactive el modo de adaptación

tras la actualización de directivas


Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo Permitir el tráfico a software de terceros creando reglas


Time: 06/26/2020 05:48:53 PM

Event: Traffic

IP Address: 192.168.2.102

Description: App PROCESS Description on exe

Path: C:\Windows\System32\3rd_app.exe

Message: Blocked Incoming TCP - Source 192.168.2.102 : (61187)

Destination 192.168.2.1 : (4444)

Matched Rule: Block all traffic

Time: 06/26/2020 05:48:53 PM

Event: Traffic

IP Address: 192.168.2.102

Description: App PROCESS Description on exe

Path: C:\Windows\System32\3rd_app.exe

Message: Allowed Incoming TCP - Source 192.168.2.102 : (61187)

Destination 192.168.2.1 : (4444)

Matched Rule: Permitir 3RD_APP


Có

mo

con

figu

rar M

cAfe

e E

NS F

irew

all p

ara

pro

teg

er su

am

bie

nte

Cómo Desinstalar ENS Firewall


• Usando el Panel de Control como primera opción local

• Usando una tarea de ePO para multiples sistemas

• Usando Endpoint Product Removal tool (ENS)

Especial cuidado al usar EPREPR fuerza la eliminación de los productos del endpoint, usar sólo como última instancia

Práctica en el laboratorio- Cómo permitir HTTP Entrante (Web Server)

- Cómo analizar los logs del Firewall de ENS

- Aplicar Reglas del Modo de Adaptación

Q & A

Preguntas y Respuestas

McAfee ENS Firewall

Muchas Gracias a todos por participar!

McAfee Support Webinar...el grupo Definidas por el Administrador en clientes gestionados ni las...

Documents

Transcript of McAfee Support Webinar...el grupo Definidas por el Administrador en clientes gestionados ni las...