McAfee - Pravidla firewallu v HIPS 8.0

Z HelpDesk

Zadávání pravidel v modulu HIPS 8.0 je oproti předchozí verzi na první pohled komplikovanější, ale ve výsledku je správa pravidel mnohem příjemnější a efektivnější. Pro rychlé seznámení s tímto systémem slouží právě tato stránka.

Manipulace s konfigurací

Pravidla firewallu jsou specifikována v politice Host Intrusion Prevention 8.0: Firewall v kategorii Firewall Rules. Obdobně jako v minulé verzi, i zde existují pravidla a skupiny pravidel. Přičemž oboje lze však nyní vytvářet dvěma způsoby - klasicky vytvořit vše od začátku, tj. projít průvodcem vytváření pravidla, nebo vložit již vytvořené pravidlo nebo skupinu pravidel z katalogu. Objekty vložené z katalogu lze okopírovat nebo ponechat prolinkované, takže každá změna v katalogu se hned promítne. Přehled katalogizovaných objektů je uveden dále v samostatné sekci.

Pro základní manipulaci slouží tlačítka v dolní liště

  • Move Up a Move Down - změna pořadí pravidla nebo skupiny
    • Lze použít i pro vložení pravidla do skupiny a jeho vyjmutí (posun za konec / před začátek seznamu)
    • Samozřejmě nefunguje pro objekty prolinkované do katalogu, které se dají editovat pouze speciálním způsobem (viz kapitola o správě katalogů)
  • Duplicate - zkopírování pravidla nebo skupiny pravidel
  • Delete smazání pravidla nebo skupiny
    • Opět nefunguje pro pravidla prolinkované do katalogu (celou skupinu lze odstranit vždy)
  • New Rule a New Group - vytvoření nového pravidla, či skupiny - jak je vytvářet je postupovat je popsáno v následující kapitole.
  • Add Rule from catalog a Add Group from catalog - vložení pravidla nebo skupiny pravidel z katalogu
  • Export - vytvoření XML souboru z aktuální konfigurace a nabídka k jeho stažení

S každým pravidlem nebo skupinou pravidel lze ještě provádět další aktivity, které lze spustit kliknutím na hyperlink uvedený u každého pravidla ve sloupečku Actions. Povolené akce závisí na skutečnosti, zda jde o objekt prolinkovaný do katalogu nebo osamostatněný.

  • View - prohlížení detailu, u pravidel nebo skupin prolinkovaných do katalogu
  • Break Catalog Dependency - zrušení prolinkovaní do katalogu, stávající objekt bude zkopírován do aktuálního pravidla
  • Edit - editace pravidel nebo skupin, které nejsou prolinkována do katalogu
  • Add To Catalog - vložení pravidla či skupiny do katalogu, po vložení je však není možné editovat v rámci politik, ale je nutno použít přístup popsaný v poslední kapitole.

Vytváření pravidel

Při vytváření či editaci každého pravidla potřeba projít následujícími dialogy:

  1. Description
    • Základní charakteristika pravidla
    • Name: Název pravidla
    • Action: Povolit či blokovat provoz, současně lze zapnout logování a blokovaná aktivita se dá také klasifikovat jako "intrusion"
    • Direction: Směr provozu (příchozí, odchozí, v obou směrech)
    • Status: pravidlo je aktivní nebo neaktivní (přítomno, ale nebráno v potaz)
    • Notes: Popis pravidla
  2. Network Options
    • Nastavení síťových parametrů pravidla
    • Network protocol: výběr protokolů, pro které bude pravidlo aktivní
    • Media types: výběr druhu připojení (pevné, wi-fi, virtuální), pro které bude pravidlo aktivní
    • Network name: slouží ke specifikace lokálních a vzdálených IP adres (nebo CIDR)
      • Lze tedy rozlišovat pravidla i podle lokální IP adresy (např. jiná pravidla pro katedru, jiná obecně ve WEBnetu, jiná v privátní síti apod.), typicky tedy stačí vyplnit "remote".
      • Lze vkládat sítě definované v katalogu
  3. Transport Options
    • Určení transportního protokolu (pouze pokud je v přechozím kroku vybráno IP)
    • Transport protocol: výběr transportního protokolu
    • Local service: lokální port (pouze pro UDP nebo TCP)
    • Remote service: vzdálený port (pouze pro UDP nebo TCP)
  4. Applications
    • Omezení pravidel firewallu pro konkrétní aplikace
    • Name: seznam aplikací, pro které je pravidlo aktivní
      • Lze vkládat aplikace z katalogu (každá aplikace může obsahovat více spustitelných souborů)
  5. Schedule
    • Časové omezení platnosti pravidla
    • Schedule status: zapnutí časového omezení
    • Schedule type: vypnutí pravidla (disable) nebo jeho opačné fungování (reverse action), tj. block <-> allow
    • Schedule: nastavení platnosti
  6. Summary
    • Celkový přehled a možnost uložení změn

Katalogy - jejich funkce a přehled

Systém katalogů umožňuje poskládání pravidel z jednotlivých předpřipravených částí. Pokud se pak tato část změní, je změna automaticky promítnuta i do pravidel, která ji používají. Na druhou stranu, pokud vám tento způsob nevyhovuje, nevadí - můžete si vytvořit vlastní "soukromé" části rovnou při vytváření pravidla.

K dispozici jsou následující katalogy:

  • Group
    • Skupina pravidel, obsahuje položky z katalogu "Rule"
    • Typicky jde o seskupení pravidel k většímu celku, např. "Služba AFS", "Tiskové služby CIV" apod.
    • Přestože jde o skupinu, má také částečně charakter pravidla a lze určit, jakého provozu se týká (kdo zná iptables, je to podobné jako BASE)
  • Rule
    • Jednotlivá pravidla firewallu, tak jak je známe z běžných firewallů
    • Může využívat položky z katalogů "Application", "Executable", "Network" a "Location"
  • Application
    • Jednotlivé aplikace, přičemž tímto pojmem se rozumí softwarový balík, tedy potenciálně více spustitelných souborů
    • Využívá položky z katalogu "Executable"
  • Executable
    • Jednotlivé spustitelné soubory
    • Identifikace podle jména nebo otisku
  • Network
    • Jednotlivé IP rozsahy, které figurují v pravidlech jako zdrojová či cílová IP adresa
    • Je možno zadat i více rozsahů do jedné "sítě"
  • Location
    • Specifikace umístění - McAfee umožňuje mít rozdílná pravidla pro různé síťové adaptéry a různá síťová prostředí
    • Prakticky není na ZČU pro toto rozlišování využití, nehledě k tomu, že uživatelé budou pozorovat nekonzistentní chování firewallu.

Katalogy jsou vzájemně provázané - přehled vazeb je pěkně vidět na následujícím obrázku. Prakticky každá skupina může obsahovat specifikaci umístění a nějaká pravidla, každé pravidlo může obsahovat specifikaci sítě a specifikaci aplikace a každá aplikace obsahuje seznam spustitelných souborů.

McAfee-Katalog.png

Katalogy - Správa

Jakmile je jednou nějaký objekt uložen do katalogu, dá se editovat pouze přes tzv. Host IPS Catalog, který je v ePO dostupný přes Menu - Policy - Host IPS Catalog. Změny v objektech se pak projeví ve všech pravidlech, které mají daný objekt nalinkovaný.

V současné verzi není možné řídit přístupy uživatelů ePO serveru k jednotlivým objektům katalogu, protože jde o novou komponentu, která ještě není zcela dokonalá. Nicméně tyto zásahy jsou monitorovány, tak se prosím nepouštějte do editace záznamů, které Vám nepatří :-) Pro snažší identifikaci, prosím, pojmenujte své objekty prefixem svého pracoviště. Například objekty CIV-* slouží pracovišti CIV a objekty pojmenované ZCU-* jsou připraveny CIVem pro širší použití celou univerzitou. Pokud se vám zalíbí, nalinkujte si je a pokud je chcete změnit, udělejte si nejdříve duplikát.

Citováno z „https://helpdesk.zcu.cz/index.php?title=McAfee_-_Pravidla_firewallu_v_HIPS_8.0&oldid=34068