McAfee - Možnosti konfigurace HIPS8.0

Z HelpDesk

Stránka věnovaná možnostem nastavení modulu Host Intrusion Prevention System - HIPS8.0. Jsou zde popsány jednotlivé skupiny nastavení (tzv. policies), co jednotlivé položky znamenají a jaké je jejich doporučené nastavení. V lepších případech je i vysvětleno proč :-). Další informace naleznete také v anglickém návodu od společnosti McAfee.

Host Intrusion Prevention 8.0: General

Client UI (Windows)

General Settings

  • Display options
    • Účel: Možnosti zobrazení komponent McAfee
    • Nastavení: "Show Tray Icon", "Show products in Add/Remove Program list"
  • Upon intrusion event
    • Účel: Nastavení chování při detekci/zabránění průniku
    • Nastavení: "Flash tray icon"

Advanced Options

  • Advanced options - Product integrity check enabled
    • Účel: Ověřovat integritu svých součástí
    • Nastavení: zapnuto
  • Advanced options - Manual creation of client rules (for all features) enabled
    • Účel: Umožnit uživatelům přidávat vlastní pravidla
    • Nastavení: zapnuto
  • Administrator password to unlock the UI
    • Účel: Ochrana přístupu ke změně (nelze vypnout)
    • Nastavení: mcafee-zcu (raději bych měli vypnuto)
  • Client UI language setting
    • Účel: Výběr jazyka
    • Nastavení: "Automatic"
  • Disabling features
    • Účel: Umožnění dočasně vypnout jednotlivé kompotenty
    • Nastavení: zapnuto pro IPS i FW, vypnuto přenastavení při policy enforcement
  • Time-based password
    • Účel: Nastavení jednorázových hesel pro odemknutí GUI
    • Nastavení: vypnuto

Troubleshooting

  • Firewall logging
    • Účel: Nastavení úrovně logování firewallu
    • Nastavení: "Information"
  • IPS logging
    • Účel: Nastavení úrovně logování IPS
    • Nastavení: "Information", logovat "Security violations"
  • Activity log size (MB):
    • Účel: Omezení velikosti logu
    • Nastavení: 10 MB
  • Enable IPS engines
    • Účel: Nastavení aktivních součástí
    • Nastavení: všechn zapnuty

Trusted Application (All Platforms)

Seznam důvěryhodných aplikací od výrobce - nezměněno.

Trusted Networks (Windows)

  • Include local subnet automatically
    • Účel: Lokální podsíť je automaticky považována za důvěryhodnou.
    • Nastavení: zapnuto
  • Trusted networks
    • Účel: Doplnění dalších důvěryhodných CIDR
    • Nastavení: nedoplněno nic dalšího

Host Intrusion Prevention 8.0: Firewall

DNS Blocking (Windows)

  • Blocked Domains
    • Účel: Nastavení seznamu blokovaných domén (pro síťovou komunikaci)
    • Nastavení: prázdný seznam

Firewall Options (Windows)

  • Firewall status
    • Účel: Nastavení provozního režimu firewallu
    • Nastavení: Learn mode pro příchozí i odchozí spojení
  • Firewall status - Allow traffic for unsupported protocols
    • Účel: Možnost povolit komunikaci protokolů, které firewall neumí filtrovat
    • Nastavení: vypnuto
  • Firewall status - Allow bridged traffic
    • Účel: Povolení bridgovaného provozu (vrstva 2)
    • Nastavení: vypnuto
  • Firewall client rules
    • Účel: Ponechání uživatelem vytvořených pravidel i při vynucení politik.
    • Nastavení: zapnuto
  • Startup protection
    • Účel: Filtrovat veškerý příchozí provoz dokud není spuštěna komponenta HIPS
    • Nastavení: vypnuto
  • Protection options: - Enable IP spoof protection
    • Účel: Zapnutí ochrany proti podvržení IP adresy ve filtrované spojení
    • Nastavení: zapnuto
  • Protection options: - Send events to ePO for TrustedSource violations
    • Účel: Posílat provoz odpovídající databázi TrustedSource na ePO jako událost.
    • Nastavení: zapnuto
  • Protection options: - Incoming TrustedSource block threshold
    • Účel: Nastavení prahu pro blokování příchozích spojení s ohledem na databázi TrustedSource
    • Nastavení: vypnuto (např. ping je High Risk a nefungoval by)
  • Protection options: - Outgoing TrustedSource block threshold
    • Účel: Nastavení prahu pro blokování odchozích spojení s ohledem na databázi TrustedSource
    • Nastavení: vypnuto (odchozí je v zásadě "vždy" žádané)
  • Stateful firewall settings
    • Účel: Povolení stavového filtrování pro FTP
    • Nastavení: zapnuto, timeouty 30s

Firewall Rules (Windows)

V této konfigurační politice jsou specifikována jednotlivá pravidla pro filtrování síťové komunikace. Více o způsobu zádávání pravidel v modulu HIPS 8.0 se dočtete v dokumentu McAfee - Pravidla firewallu v HIPS 8.0.

Host Intrusion Prevention 8.0: IPS

IPS Options (All Platforms)

  • IPS options - Enable host IPS
    • Účel: Ativovat Intrusion Prevention System na stanicích
    • Nastavení: zapnuto
  • IPS options - Enable adaptive mode (rules are learned automatically)
    • Účel: Adaptivní mód - automatické přidávání pravidel IPS
    • Nastavení: vypnuto
  • IPS options - Retain existing client rules when this policy is enforced
    • Účel: Ponechat uživatelem vytvořená pravidla IPS na stanici při vynucení politik.
    • Nastavení: zapnuto
  • Windows only - Enable network IPS
    • Účel: Aktivovat IPS pro síťové rozhraní
    • Nastavení: zapnuto, automaticky blokovat útočníky na 10 minut,
  • Windows only - Retain blocked hosts
    • Účel: Ponechat útočníky zablokované i při vynucení politik.
    • Nastavení: zapnuto (tj. vynucení politik nesmaže seznam, útočník je odstraněn po 10 minutách dle předchozího nastavení)
  • Windows only - Automatically include network-facing and service-based applications in the application protection list
    • Účel: Povolit klientovi automaticky přidávat do seznamu chráněných aplikací všechny takové, které pracují se sítí nebo mají charakter služby.
    • Nastavení: zapnuto
  • Windows only - Startup IPS protection enabled
    • Účel: Povolit ochranu vybraných (společností McAfee) souborů a registrů než naběhne komponenta IPS
    • Nastavení: vypnuto

IPS Protection (All Platforms)

  • Reaction based on signature severity level:
    • Účel: Nastavení reakce systému na detekovaný průnik
    • Nastavení: High - Prevent, Medium - Log, Low - Log, Information - Ignore

IPS Rules (All Platforms)

Obsahuje seznam dostupných pravidel, ponecháno implicitní nastavení McAfee