McAfee Support Webinar...el grupo Definidas por el Administrador en clientes gestionados ni las...
Transcript of McAfee Support Webinar...el grupo Definidas por el Administrador en clientes gestionados ni las...
Córdoba Support Team
Cómo configurar McAfee ENS Firewall®
para proteger su ambiente
McAfee Support Webinar
Cesar Moreno | Technical Support Engineer
Copyright © 2020 McAfee, LLC
Agenda
Entendiendo el tráfico de red Cliente – Servidor
• Protocolos, puertos y dirección del tráfico. Herramientas de análisis
Cómo funciona McAfee ENS Firewall
▪ Protección, detección y corrección de ENS Firewall
Cómo instalar McAfee ENS Firewall en Estaciones de Trabajo y Servidores
• Instalación de ENS Firewall desde ePO y Standalone.
Cómo configurar grupos y reglas
• Configurar reglas y grupos de reglas. Usar el Modo de Adaptación
Pruebas de conexión (con lab)
• Puertos abiertos, permitidos y bloqueados por el Firewall
Solución a problemas comunes con ENS Firewall (con lab)
• Permitir tráfico de aplicaciones de terceros. Analizar los logs del FirewallEventMonitor.log
Q & A
Entendiendo el tráfico de red Cliente – Servidor
192.168.1.0/24192.168.0.0/24
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Protocolos, puertos y dirección del tráfico
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Chrome.exe
https://eposerver:8443
Workstation
192.168.0.114
IP Destino: 192.168.1.100
Puerto: 8443 / Protocolo: TCP
DC01
192.168.1.120
FileServer01
192.168.1.130eposerver
192.168.1.100
Tomcat7.exe
ENS Firewall
en el cliente
ENS Firewall
en el server
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Otro ejemplo de servidor web
dentro de la misma subred
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Datos de una conexión de red:
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Ya podemos ver que los datos más importantes de una conexión de red son los siguientes:
• IP de Origen
• IP de Destino
• Puertos de Origen
• Puerto de Destino
• Protocolo (ejemplos, TCP, UDP e ICMP)
• Dirección del tráfico (del Origen al Destino)
• Ejecutables involucradas
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Herramientas de análisis
• Sysinternals para Microsoft Windows
- TCPView
- Process Monitor
• Windows/Linux utilities
- Conectarse a un puerto remoto: telnet 192.168.0.1 8080
- Captura del tráfico de red: Tcpdump / Wireshark
- Puertos locales y PIDs: netstat –ano | find “:8080” / sudo netstat -tnlp | grep :8080
- Verificar puertos remotos abiertos: nmap –sV 192.168.0.1/netcat (nc -zv 192.168.0.1 22)
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Cómo funciona el McAfee ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo funciona ENS Firewall
• McAfee ENS Firewall es un módulo del producto Endpoint Security (ENS)
• ENS Firewall funciona filtrando el tráfico de red en el EndPoint
• Firewall analiza todo el tráfico de entrada y salida
• Compara con su lista de reglas de firewall
• Si ninguna regla coincide, por defecto el tráfico se bloquea
• Si coincide una regla, Firewall bloquea o permite el tráfico
• Registra los eventos en logs locales y en ePO
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo funcionan las reglas de ENS Firewall
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección, Detección y Corrección de
McAfee ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Protección brindada por Firewall de McAfee ENS
• Reglas - Doc KB91885
• Grupos de reglas y aislamiento de conexiones– Doc
• Grupos de reglas de firewall predefinidos por McAfee – Doc
• Filtrado e inspección de paquetes con seguimiento de estado - Doc
• Control basado en la reputación de GTI - Doc KB90837
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Reglas de Firewall de McAfee ENS
• Definen los criterios que utiliza Firewall para bloquear o permitir el tráfico
• Los paquetes se comparan con los criterios de las reglas
• Si no hay Reglas coincidentes, se bloquea el tráfico
• Reglas predefinidas y creadas por el administrador
• Cada regla ofrece un conjunto de condiciones
• La planificación de las reglas nos permiten bloqueos
fuera de horarios comerciales.
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Grupos de Reglas de Firewall de McAfee ENS
• Organizan Reglas
• No afectan la forma en que Firewall trata las reglas
• Firewall Procesa la configuraciones del grupo antes de sus reglas
• La configuración del grupo tiene prioridad sobre sus reglas
• Grupos Sincronizados
• Grupos de aislamiento de conexión
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Grupos y Aislamiento de conexión con Firewall
• Firewall Procesa las reglas para permitir anteriores en la lista
• La configuración del grupo no puede tener ejecutables ni transporte asociados
• Activar la Ubicación en el grupo, nos permite aislarlo
• Si el grupo no cuenta con las reglas para permitir el tráfico, éste se bloquea.
• Lo que no coincide con el grupo, procesa las demás reglas.
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Grupos de Reglas Predefinidas de Firewall en ePO
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Redes principales de McAfee
Contiene las reglas de redes principales proporcionadas por McAfee e incluye las reglas para
permitir las aplicaciones y DNS de McAfee.
Servidor de ePolicy Orchestrator
Contiene reglas para permitir la ejecución de los servicios de McAfee ePO.
Conectividad básica de red (requerida)
Contiene reglas para permitir la ejecución de los servicios de red básicos, como DNS.
VPN
Contiene reglas para permitir la ejecución de los servicios de VPN.
ICMP
Contiene reglas para permitir todo el tráfico ICMP.
Autenticación AD de Windows
Contiene reglas para permitir la autenticación de Windows Active Directory.
NetBIOS
Contiene reglas para permitir sesiones y servicios NetBIOS entrantes y salientes y bloquear los
servicios de NetBIOS que no sean de confianza.
Web/FTP
Contiene reglas para permitir los servicios HTTPS y FTP salientes.
Clientes de correo
Contiene reglas para permitir la ejecución de los servicios de correo saliente, como POP.
Herramientas de red
Contiene reglas para permitir las conexiones de escritorio remoto (RDP).
No puede cambiar ni eliminar
el grupo Redes Principales de McAfee pero
existe la opción Desactivar las reglas de redes
principales de McAfee en la directiva de Opciones
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Grupos de Reglas Predefinidas de Firewall en un sistema cliente
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Redes principales de McAfee
Contiene las reglas de redes principales proporcionadas por McAfee e incluye las
reglas para permitir las aplicaciones y DNS de McAfee. No puede cambiar ni
eliminar pero también puede “Desactivar las reglas de redes principales de
McAfee” en las Opciones.
Definidas por el administrador
Contiene reglas definidas por el administrador en el servidor de administración.
Aparece sólo si el sistema cliente está gestionado por McAfee ePO.
Definida por el usuarioContiene reglas definidas en el Cliente de Endpoint Security. En este caso, el
grupo se muestra como Activado incluso si no contiene ninguna regla.
Dado que estas reglas se crean en el sistema cliente, pueden sobrescribirse
cuando se implemente la directiva en función de la configuración de esta.
Adaptación
Contiene reglas de excepciones de cliente que se crean automáticamente cuando
el sistema está en modo de adaptación. Una vez que se activa el modo de
adaptación, el grupo se llena con las reglas generadas automáticamente.
Predeterminado (Block all Traffic y Adaptive Rule)
Contiene reglas predeterminadas proporcionadas. No se puede eliminar.
No puede cambiar ni eliminar
el grupo Definidas por el Administrador en
clientes gestionados ni las Predeterminadas
que bloquean todo el tráfico no coincidente
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Tabla de estados del Firewall
• Protocolo (por ejemplo, TCP, UDP e ICMP)
• Direcciones IP de equipos locales y remotos
• Números de puerto de equipos locales y remotos
• ID de proceso (PID)
• Marca de tiempo
• Tiempo de espera
• Dirección (entrante o saliente)
• Se comparan entradas con nuevas directivas
• Se reconocen cambios de IP locales.
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Filtrado de paquetes de red con control de estado
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
• Procesamiento según reglas configurables
- Bloqueo o permiso
- Se crea una entrada en la tabla de estados (TE).
• Procesamiento según reglas dinámicas o TE
• Las TE reflejan el estado de la pila de red
• Se permiten paquetes que coinciden con reglas en la TE
• Se considera una coincidencia si:
- el Protocolo,
- la Dirección local,
- el Puerto local,
- la Dirección remota y
- el Puerto remoto coinciden
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Inspección de paquetes con seguimiento de estado
• Combina el filtrado con seguimiento de estado con el acceso a comandos al nivel de aplicación
• Asegura protocolos como el FTP (Directiva Inspección de protocolo FTP)
• Sesión: control para los comandos + datos para la información
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Control basado en la reputación de GTI
• GTI es una base de datos de puntuaciones de reputación para direcciones IP
• También controla dominios, mensajes específicos, URL e imágenes
• GTI infirma la reputación de la dirección IP de origen o destino
• Trata coincidencias como intrusión
• Registra tráfico coincidente
• Puede bloquear o permitir si no se llega a GTI
• Utiliza caché para mejorar la performance
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Protección
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Detección de problemas de seguridad con Firewall de McAfee ENS
• Paneles y monitores - Doc
• Consultas e informes - Doc
• Alertas - Doc
• Registro de tráfico - Doc
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Detecciones
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Paneles y monitores
• Los paneles son colecciones de monitores en ePO
• Puede controlar los equipos gestionados
• Verifique el estado del cliente de Firewall desde ePO
• Utilice los Paneles predefinidos en ePO
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Detecciones
Firewall incluye los siguientes paneles predeterminados y consultas.
• Estado de Firewall de Endpoint Security
• Firewall de Endpoint Security: eventos de McAfee GTI
• Firewall de Endpoint Security: eventos en las últimas 24 horas
• Firewall de Endpoint Security: estado de conformidad
• Firewall de Endpoint Security: HotFixes instalados
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Consultas e informes
• Utilice las consultas para obtener información detallada del estado
• Consultas son preguntas sobre los eventos de ePO
• Las consultas tienen gráficos y tablas
• Puede exportar, descargar o combinar consultas en informes como PDF
• ePO tiene Consultas predefinidas para usar
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Detecciones
• Firewall de Endpoint Security: reglas de Firewall para cliente por proceso
• Firewall de Endpoint Security: reglas de Firewall para cliente por proceso/usuario
• Firewall de Endpoint Security: reglas de firewall para cliente por protocolo/nombre del sistema
• Firewall de Endpoint Security: estado de conformidad
• Firewall de Endpoint Security: recuento de reglas de firewall para cliente
• Firewall de Endpoint Security: errores
• Firewall de Endpoint Security: eventos de McAfee GTI en los últimos 6 meses
• Firewall de Endpoint Security: eventos en las últimas 24 horas
• Firewall de Endpoint Security: HotFixes instalados
• Firewall de Endpoint Security: eventos de intrusión en las últimas 24 horas
• Firewall de Endpoint Security: estado
• Firewall de Endpoint Security: eventos de bloqueo de tráfico en las últimas 24 hs
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Alertas
• Firewall puede generar muchas alertas
• Purgar el registro periódicamente
• Desactivadas por defecto, a menos que se trate como detección
• El Filtrado de Eventos se puede configurar en ePO
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Detecciones
Se recomienda no enviar a
ePO todos los eventos de FW
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Registro del tráfico del Firewall
• Los eventos se guardan localmente en FirewallEventMonitor.log
• Path: %ProgramData%\McAfee\Endpoint Security\Logs
• Puede encontrar errores en común de ENS en EndpointSecurityPlatform_Errors.log
• Cuando ninguna regla coincide, el tráfico es bloqueado por Block All Traffic
• Contiene información como la siguiente:
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Detecciones
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Corrección de Falsos Positivos en Firewall de McAfee ENS
Reduzca o elimine los falsos positivos con algunas de las siguientes funciones:
• Modo de adaptación - Doc
• Redes definidas - Doc
• Archivos ejecutables de confianza - Doc
• Catálogo de Firewall - Doc
• Opciones de Firewall cliente – Doc
• Paneles y monitores para corregir bloqueos - Doc
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Correcciones
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Modo de Adaptación de Firewall
• Crea reglas locales automáticamente
• Permite todo el tráfico
• En ePO “Firewall Client Rules” se crearán posibles reglas
• Se deben asignar estas reglas a la directiva deseada
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Correcciones
Usar temporalmente solo en algunos
sistemas mientras configura el Firewall.
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Redes Definidas
• Define Redes como “De confianza” para no bloquear el tráfico
• O definir como “No es de confianza” para usarlas luego en las reglas
• Puede agregar redes individuales, subredes e intervalos
• Puede agregar tipo de dirección del tráfico
• Se excluye de las reglas y de la búsqueda en GTI
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Correcciones
Monitorear tráfico a IPs maliciosasAnte un ataque, se pueden usarlas redes definidas para definir redes y bloquear el tráfico no deseado.
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Ejecutables de confianza
• Se definen ejecutables de confianza para su entorno
• Se usa para evitar Falsos Positivos
• Puede usar comodines, rutas o solo nombres
• Se excluye de las reglas y de la búsqueda en GTI
• Firewall solo analiza ejecutables locales (no remotos)
• No se conocen los ejecutables remotos
• Puede agregar firmante como ejecuto de confianza
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Correcciones
Se recomienda no permitir siempre
Ejecutables con vulnerabilidades
o de alto riesgo (CMD, explorer o PS)
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Catálogo de Firewall
• En el menú Catálogo de Firewall de ePO
• Es un repositorio de grupos y reglas
• Puede agregar desde o al catálogo creando reglas y grupos
• Se heredan las propiedades desde el catálogo
• Se puede interrumpir la herencia y hacerlas independientes
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Correcciones
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Opciones del Firewall cliente
• Un sistema no gestionado debe configurarse en el ENS
• Asegurarse de tener acceso total a las configuraciones de ENS
• Firewall estará desactivado en sistemas con HIPS
• Se puede activar y configurar desde el menú acciones
• Puede mostrar configuraciones avanzadas
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Correcciones
ENS Firewall rara vez se
gestiona localmente
Se recomienda gestionar desde ePO
Cómo instalar McAfee ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Incorporar McAfee ENS Firewall a ePO
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Doc
Incorporación de paquetes mediante el Catálogo de software
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Verificar que McAfee ENS Firewall esté incorporado en ePO
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
KB82761
Información de la versión de producto de ENS
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo Instalar ENS Firewall por primera vez
1. Verificar que los ambientes estén soportados – KB82761
2. Desactivar Windows Firewall para evitar conflictos.
3. Las extensiones de ePO para ENS deben ser iguales o mayores a las del cliente.
4. Instalar ENS Platform + FW desde ePO client tasks o con ENS standalone
5. Activar el modo de adaptación (solo en pocos equipos para evaluar el tráfico) – Doc
6. Ejecute las apps para crear reglas.
7. Aplique las reglas de Firewall a las Directivas en ePO.
8. Desactive el modo de adaptación y verifique se permite el tráfico deseado.
9. Crear las reglas lo más específicas posibles (arriba las de bloqueo, debajo las generales).
10. Utilice grupos de reglas para organizar las reglas.
11. Identifique y defina redes, URLs y ejecutables de confianza para evitar el bloqueo.
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Especial cuidado al instalarInstalar Firewall en Servidores de producción puede causar bloqueos a servicios
Recorrido por las Directivas de
McAfee ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Configuración de Directivas de Firewall
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Directiva de Opciones de
McAfee ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Configuración de Directivas de Opciones de Firewall
• Activar Firewall
• Opciones de protección
• Bloqueo de DNS
• Opciones de ajuste
• Reputación de red McAfee GTI
• Firewall con seguimiento de estado
• Control de estado del firewall
• Redes definidas
• Ejecutables de confianza
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Opciones
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Activar o desactivar el ENS Firewall
• Al activar el Firewall:
- Se inspeccionará todo el tráfico de red
- Se procesarán reglas coincidentes con el tráfico
• Al Desactivar el Firewall:
- Se dejarán de procesar las reglas
- Las opciones de la directiva se deshabilitarán
- No se registrará el tráfico de red
- El Driver NDIS Filter Driver seguirá instalado al desactivar
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Activar FirewallUn Firewall desactivado implica un sistema desprotegido
KB92453
En ENS Feb se incorporó la
inicialización retrasada de NIC
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Opciones de Protección de Firewall (Windows)
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Especial cuidado al permitirSi permite el tráfico sin controlarlo, puede volver vulnerable el sistema
• Permitir tráfico de protocolos incompatibles:
Si esta opción está desactivada, todo el tráfico que use protocolos no admitidos se bloqueará.
• Permitir tráfico antes de iniciar Firewall:
Si se desactiva esta opción, Firewall permite todo el tráfico antes de iniciar sus servicios, lo que podría
volver el sistema vulnerable.
• Permitir tráfico mediante Puentes o Bridges (VMs):
Permite: Paquetes entrantes si la dirección MAC de destino se encuentra en el intervalo de dirección MAC
de VM admitido y no en una dirección MAC local del sistema. Paquetes salientes si la dirección MAC de
origen se encuentra en el intervalo de dirección MAC admitido y no en una dirección MAC local del
sistema.
• Activar Alertas de Intrusión:
Muestra las alertas automáticamente cuando Firewall detecta un posible ataque.
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Opciones de Ajuste
• Activar el modo de adaptación
• Desactivar las reglas de redes principales de McAfee
• Registrar todo el tráfico bloqueado
• Registrar todo el tráfico permitido
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Use el Modo de Adaptación sólo en algunos
sistemas mientras configura el Firewall.
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Opciones de Reputación – McAfee GTI
• Tratar coincidencia de McAfee GTI como intrusión
• Registrar tráfico coincidente
• Bloquear todos los ejecutables no fiables
• Umbral de reputación de red entrante/Umbral de reputación de red saliente
• Si el servidor de calificaciones McAfee GTI no está accesible
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Firewall con Seguimiento de Estado
• Usar inspección de protocolo FTP
• Segundos (1 a 240) de timeout para conexiones TCP.
• Segundos (1 a 300) de timeout para conexiones UDP e ICMP.
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Control de Estado del firewall
• Permitir que los usuarios puedan desactivar el firewall desde el icono
• Requerir justificación de los usuarios
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Bloqueo de DNS
• Nombre de Donimio, por ejemplo block.dominio.com
• Comodines: *.dominio.com ó *.dominio.???
• Solo Windows y Mac
• Se puede usar para mitigar un ataque en la red
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Recomendado
Bloquee los dominios queConsidere no deseados
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Redes Definidas
• Definir las direcciones de red de Confianza
• Definir redes de No Confianza para usarlas en reglas y grupos
• Controlar Redes de No Confianza con reglas
• Puede definer Redes locales o remotas
• Excluye las redes definidas de la búsqueda en GTI
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Recomendado
Para controlar el tráfico en Redes definidas
que no sean de confianza, asócielas
con reglas de firewall o grupos
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Ejecutables de confianza
• Permite el tráfico de ejecutables de confianza
• Permitie tráfico bidireccional
• No agregar ejecutables con vulnerabilidades conocidas
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Se recomienda no permitir siempre
Ejecutables con vulnerabilidades
o de alto riesgo (CMD o PS)
Directiva de Reglas de
McAfee ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Configuración de Directivas de Reglas de Firewall
• Lista de Reglas y prioridades – Doc
• Agregar o editar grupos y reglas de Firewall – Doc
• Ejecutables asociados a una regla o un grupo – Doc
• Redes asociadas a una regla o un grupo – Doc
• Ubicación asociada a un grupo – Doc
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Reglas
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Lista de Reglas y prioridades
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Bloqueos
Granulares
Permisos
Generales
Recomendado
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Agregue o edite grupos y reglas de Firewall
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
• Botón Agregar Regla para reglas y para agregar un grupo, Agregar Grupo
• Las superiores (específicas) tienen prioridad sobre las inferiores (más generales)
• Grupos pueden tener redes y ejecutables asociados
• Se pueden aislar los grupos según la red o ubicación
• Se pueden crear reglas específicas según:
- Dirección del tráfico
- Bloquear o Permitir
- Redes asociadas locales y remotas
- Transporte, protocolos y puertos.
- Ejecutables asociados
- Definir planificación
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Agregue o edite un ejecutable asociado a una regla o un grupo
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
• Puede incluir caracteres comodín
• Puede examiner para buscar ejecutable
• Puede usar el Hash MD5 del archivo
• Puede usar la Descripción del archivo (no es un campo de comentarios).
• Puede activar la comprobación de Firmas
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Agrega o edita una red asociada a una regla o un grupo
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Agrega o edita una Ubicación asociada a un grupo
• Sufijo DNS específico de la conexión
• Gateway predeterminada
• Servidor DHCP
• Servidor DNS
• Servidor WINS principal
• Servidor WINS secundario
• Posibilidad de alcance del dominio (HTTPS).
• Clave de Registro
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Activar el aislamiento en un grupo:
• Bloquea también adaptadores no coincidentes
• Transporte y Ejecutables no disponibles
• Bloquea si coincide el grupo pero no las reglas
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo agregar reglas y grupos al catálogo
• Se agregan desde las Directivas de Firewall
• Se pueden agregar diferentes objetos como ejecutables y redes al catálogo
• Cuando agrega un elemento, crea un vínculo
• Se puede interrumpir la herencia para crear elementos independientes
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo usar las reglas y grupos del catálogo
• El menu en ePO es Catálogo de Firewall
• Se pueden agregar reglas desde el catálogo a las Directivas
• Cuando agrega un elemento a una regla, es un un vínculo a otro elemento.
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Se recomienda al menos diferenciar:
Reglas para Servidores:• Conexiones entrantes (por ejemplo Puerto 80 y 443)
• Servicios (por ejemplo apache.exe)
• Red Local: Servidores (ejemplo, servidor único 192.168.0.1)
• Red Remota: Clientes
• Activar el Modo de adaptación para crear reglas
• Duplicar McAfee Default Server (Read-only)
Reglas para Clientes:• Conexiones salientes (por ejemplo: 1024-65535/TCP)
• Apps (Chrome, Firefox, etc)
• Red Local de Clientes (ejemplo, rango 192.168.0.2-254)
• Red Remota de Servidores
• Verificar Bloqueos en logs para crear Reglas.
• Duplicar McAfee Default (Read-only)
Recomendaciones para el despliegue inicial
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
| Directiva Opciones | Directiva Reglas |
Recomendado
Modo de Adaptación de
McAfee ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo activar el Modo de Adaptación
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
• Activar temporalmente para crear reglas
• Activarlo evita bloqueos de tráfico y ayuda a configurar
• Puede generar varias reglas de cliente
• Puede necesitar modificar las reglas que crea
• Puede impactar de forma negativa a la performance de ePO
• Ejecute los sistemas durante una semana
• Se activa desde la Directiva de Opciones de Firewall
• Se usa para paquetes de red no cubiertos por las reglas de firewall
• ePO nos advierte que activarlo puede afectar la performance:
Use el Modo de Adaptación sólo en algunos
sistemas mientras configura el Firewall, para
evitar el envío de muchos eventos a ePO.
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo verificar en el cliente el Modo de Adaptación
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Usar el log de tráfico permitido para analizar el Modo de Adaptación
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Time: 06/26/2020 05:50:59 PM
Event: Traffic
IP Address: 192.168.2.102
Description: HOST PROCESS FOR WINDOWS SERVICES
Path: C:\Windows\System32\svchost.exe
Message: Allowed Incoming UDP -
Source 192.168.2.102 : (59275)
Destination 192.168.2.105 : rdp (3389)
Matched Rule: Adaptive Rule
Time: 06/26/2020 05:48:53 PM
Event: Traffic
IP Address: 192.168.2.102
Description: HOST PROCESS FOR WINDOWS SERVICES
Path: C:\Windows\System32\svchost.exe
Message: Blocked Incoming TCP - Source 192.168.2.102 : (61187)
Destination 192.168.2.105 : rdp (3389)
Matched Rule: Block all traffic
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo agregar reglas creadas en Modo de Adaptación a Directiva
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Troubleshooting de ENS Firewall
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Preguntas Frecuentes del Modo de Adaptación
• ¿Cómo se activa el modo de adaptación?
Active esta opción en la configuración Firewall Opciones. Active esta opción en la configuración de Firewall Opciones y aplique esta
directiva al cliente.
• ¿Cómo funciona el modo de adaptación con Firewall?
El modo de adaptación crea reglas en el sistema cliente que permiten paquetes de red no cubiertos por las reglas de firewall
existentes. Las reglas de firewall para clientes se crean según el proceso. Los procesos asociados con las reglas de firewall para clientes se
basan en una ruta, una descripción de archivo, una firma digital y un hash MD5.
• ¿En qué caso no se crea una regla de forma automática con el modo de adaptación?
- No hay aplicación asociada con el paquete cuando se examina en el registro de actividades del cliente.
- Ya existe una regla que bloquea o permite el paquete.
- Tiene reconocimiento de ubicación y aislamiento de conexión activado
- El paquete no es TCP, UDP o ICMP.
- Hay más de un usuario registrado en el sistema o no hay ningún usuario registrado en el sistema.
• ¿Problemas de compatibilidad de terceros con ENS Firewall?
Si no ha configurado previamente reglas de Firewall personalizadas, puede activar el modo de adaptación para determinar si
el Firewall está bloqueando dichas aplicaciones para crear reglas de cliente de forma automática, para que las aplicaciones necesarias y los
sitios web no se bloqueen a la vez que conservan una protección mínima frente a vulnerabilidades.
El modo de adaptación analiza los eventos y, a continuación, si la actividad se considera normal y necesaria para la empresa,
el Firewall crea reglas de cliente que luego se pueden aplicar de forma permanente a las directivas.
Recomendado
Desactive el modo de adaptación
tras la actualización de directivas
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo Permitir el tráfico a software de terceros creando reglas
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
Time: 06/26/2020 05:48:53 PM
Event: Traffic
IP Address: 192.168.2.102
Description: App PROCESS Description on exe
Path: C:\Windows\System32\3rd_app.exe
Message: Blocked Incoming TCP - Source 192.168.2.102 : (61187)
Destination 192.168.2.1 : (4444)
Matched Rule: Block all traffic
Time: 06/26/2020 05:48:53 PM
Event: Traffic
IP Address: 192.168.2.102
Description: App PROCESS Description on exe
Path: C:\Windows\System32\3rd_app.exe
Message: Allowed Incoming TCP - Source 192.168.2.102 : (61187)
Destination 192.168.2.1 : (4444)
Matched Rule: Permitir 3RD_APP
Có
mo
con
figu
rar M
cAfe
e E
NS F
irew
all p
ara
pro
teg
er su
am
bie
nte
Cómo Desinstalar ENS Firewall
Funcionamiento Instalación Configuraciones Pruebas Troubleshooting
• Usando el Panel de Control como primera opción local
• Usando una tarea de ePO para multiples sistemas
• Usando Endpoint Product Removal tool (ENS)
Especial cuidado al usar EPREPR fuerza la eliminación de los productos del endpoint, usar sólo como última instancia
Práctica en el laboratorio- Cómo permitir HTTP Entrante (Web Server)
- Cómo analizar los logs del Firewall de ENS
- Aplicar Reglas del Modo de Adaptación
Q & A
Preguntas y Respuestas
McAfee ENS Firewall
Muchas Gracias a todos por participar!