Guia de produto do McAfee Endpoint Security Firewall. (McAfee epolicy Orchestrator)

(1)

(2)

SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países. Outras marcas podem ser declaradas propriedade de terceiros.

INFORMAÇÕES DE LICENÇAS Contrato de Licença

AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DE USO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO À CONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOS SEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ O DOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJA APLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.

(3)

1 Visão geral do produto 5

Visão geral do Endpoint Security . . . 5

Como funciona o Endpoint Security . . . 6

Visão geral do Firewall . . . 8

Principais recursos de Firewall . . . 8

Como o Firewall funciona . . . 9

Visão geral dos recursos . . . 10

Como as regras de firewall funcionam . . . 10

Como os grupos de regras de firewall funcionam . . . 11

Filtragem e inspeção de pacotes com monitoração de estado no firewall . . . 17

Usar redes confiáveis para permitir o tráfego automaticamente . . . 21

Uso de executáveis confiáveis e aplicativos para reduzir falsos positivos . . . 21

Uso do Catálogo do firewall para fazer referência a itens existentes . . . 21

Protocolos de Firewall . . . 21

Como o modo adaptável afeta o Firewall . . . 23

Perguntas frequentes — McAfee GTI e Firewall . . . 24

Adições do Firewall ao McAfee ePO . . . 25

Conjuntos de permissões e Firewall . . . 26

Tarefas do cliente e Firewall . . . 27

2 Configurando o Firewall 29 Políticas e Firewall . . . 29

Ativar e configurar o Firewall . . . 31

Bloquear o tráfego DNS . . . 31

Definir redes para usar em regras e grupos . . . 32

Configurar executáveis confiáveis . . . 32

Obter o nome distinto do signatário do McAfee ePO e usá-lo para especificar executáveis confiáveis . . . 33

Gerenciar regras de firewall e grupos . . . 33

Caracteres curinga em regras de firewall . . . 34

Criar grupos de isolamento de conexão . . . 35

Criar grupos temporizados . . . 36

Usar o Catálogo do Firewall . . . 36

Ajustar o Firewall . . . 37

Uso do modo adaptável para criar regras de cliente automaticamente . . . 38

Análise de dados do cliente . . . 40

3 Monitorar as atividades do Firewall com o McAfee ePO 43 Dashboards, monitores e Firewall . . . 43

Consultas, relatórios e Firewall . . . 44

Tarefas do servidor e Firewall . . . 46

Acumule dados de evento ou sistemas do Endpoint Security . . . 46

(4)

4 Usar o Firewall em um sistema cliente 49

Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee . . . 49

Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee . . . . 49

5 Gerenciar o Firewall em um sistema cliente 51 Ativar e configurar o Firewall em um sistema cliente . . . 51

Bloquear tráfego de DNS em um sistema cliente . . . 52

Definir redes para usar em regras e grupos em um sistema cliente . . . 52

Configurar executáveis confiáveis em um sistema cliente . . . 53

Obter o nome distinto do signatário para especificar executáveis confiáveis em um sistema cliente 54 Cria e gerencia regras e grupos do Firewall em um sistema cliente . . . 54

Criação de grupos de isolamento de conexão em um sistema cliente . . . 56

Criar grupos por tempo limitado em um sistema cliente . . . 57

6 Monitorar a atividade do Firewall em um sistema cliente 59 Verificação de atividade recente no Log de eventos . . . 59

(5)

1

Visão geral do produto

Conteúdo

Visão geral do Endpoint Security Como funciona o Endpoint Security Visão geral do Firewall

Principais recursos de Firewall Como o Firewall funciona Visão geral dos recursos

Adições do Firewall ao McAfee ePO

Visão geral do Endpoint Security

O McAfee®

Endpoint Security é uma solução de segurança extensível e integrada que protege servidores, sistemas de computadores, laptops e tablets contra ameaças conhecidas e desconhecidas. Essas ameaças incluem malware, comunicações suspeitas, sites não confiáveis e arquivos baixados.

O Endpoint Security permite a comunicação em tempo real de diversas tecnologias de defesa para fazer análises e proteger contra ameaças.

O Endpoint Security consiste nestes módulos de segurança:

• Prevenção contra ameaças — Impede que ameaças acessem sistemas, varre arquivos automaticamente quando eles são acessados e realiza varreduras direcionadas para verificar se há malware em sistemas cliente.

• Firewall — Monitora a comunicação entre o computador e os recursos da rede e da Internet. Intercepta comunicações suspeitas.

• Controle da Web — Monitora as buscas na Web e atividades de navegação nos sistemas cliente e bloqueia sites e downloads com base na classificação de segurança e conteúdo.

• Proteção adaptável contra ameaças — Analisa conteúdo da sua empresa e decide como responder com base na reputação do arquivo, regras e limites de reputação. A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security.

O módulo Em Comum fornece configurações para recursos comuns, como registro e segurança da interface. Esse módulo será instalado automaticamente se qualquer outro módulo for instalado.

Todos os módulos são integrados em uma única interface do Endpoint Security no sistema cliente. Cada módulo trabalha em conjunto e de forma independente para fornecer várias camadas de segurança.

Consulte também

Como funciona o Endpoint Security na página 6 Visão geral do Firewall na página 8

(6)

Como funciona o Endpoint Security

O Endpoint Security intercepta ameaças, monitora a integridade geral do sistema e fornece relatórios com informações sobre detecção e status. O software cliente é instalado em cada sistema para executar as tarefas a seguir.

Tipicamente, você instala um ou mais módulos do Endpoint Security em sistemas cliente, gerencia detecções e define as configurações que determinam como os recursos de produto funcionam.

McAfee ePO

Você usa o McAfee®

ePolicy Orchestrator®

(McAfee®

ePO™

) para distribuir e gerenciar os módulos do Endpoint Security em sistemas cliente. Cada módulo inclui uma extensão e um pacote de software que são instalados no servidor McAfee ePO. O McAfee ePO distribui o software em sistemas cliente.

Usando o McAfee®

Agent, o software cliente comunica-se com o McAfee ePO para realizar imposição e configuração de política, atualizações de produto e geração de relatórios.

Módulos de cliente

O software cliente protege os sistemas com atualizações regulares, monitoramento contínuo e relatório detalhado.

Ele envia dados sobre as detecções em seus computadores para o servidor McAfee ePO. Esses dados são usados para gerar relatórios para o administrador sobre detecções e questões de segurança em seus computadores.

Servidor TIE e Data Exchange Layer

A estrutura do Endpoint Security integra-se com o McAfee®

Threat Intelligence Exchange (TIE) e o McAfee®

Data Exchange Layer (DXL) ao usar a Proteção adaptável contra ameaças. Esses produtos opcionais permitem que você controle a reputação de arquivo localmente e compartilhe as informações imediatamente em todo o seu ambiente.

Se o servidor TIE não estiver disponível, a Proteção adaptável contra ameaças consulta o McAfee®

Global Threat Intelligence™

(McAfee GTI) para obter informações de reputação.

McAfee GTI

A Prevenção contra ameaças, o Firewall, o Controle da Web e a Proteção adaptável contra ameaças consultam o McAfee GTI para obter informações de reputação a fim de determinar como lidar com arquivos no sistema cliente.

(7)

McAfee Labs

O software cliente se comunica com o McAfee Labs para atualizações de mecanismo e do arquivo de conteúdo. O McAfee Labs lança regularmente pacotes de conteúdo atualizados.

Figura 1-1 Como funciona

Como a proteção se mantém atualizada

As atualizações regulares do Endpoint Security protegem seus computadores das mais recentes ameaças. Para realizar atualizações, o software cliente conecta-se a um servidor McAfee ePO local ou remoto, ou diretamente a um site da Internet. O Endpoint Security verifica:

• Atualizações dos arquivos de conteúdos que detectam ameaças. Os arquivos de conteúdo contêm definições de ameaças como vírus e spyware, e essas definições são atualizadas à medida que novas ameaças são descobertas.

• Atualizações de componentes de software como patches e hotfixes.

Visão geral do Firewall na página 8 Como o Firewall funciona na página 9

(8)

Visão geral do Firewall

O Firewall do McAfee®

Endpoint Security protege sistemas, recursos de rede e aplicativos de ataques externos e internos.

O Firewall varre todo o tráfego de entrada e de saída e compara-o à lista de regras de firewall, que é um conjunto de critérios com ações associadas. Se um pacote cumprir todos os critérios de uma regra, o firewall age de acordo com a regra, bloqueando ou permitindo o pacote.

Você usa o McAfee ePO para distribuir e gerenciar o Firewall em sistemas cliente.

Visão geral do Endpoint Security na página 5

Principais recursos de Firewall

Os principais recursos do Firewall protegem contra ameaças, detectam problemas de segurança e corrigem falsos positivos.

Proteger

Proteja sua rede e aplicativos usando estes recursos do Firewall:

• Regras — Definem os critérios usados pelo Firewall para determinar se o tráfego de entrada e saída devem ser permitido ou bloqueado.

• Grupos de regras — Organizam as regras do firewall para facilitar o gerenciamento, o que possibilita que você aplique-as manualmente ou por agendamento, além de somente processar tráfego com base no tipo de conexão.

• Inspeção e filtragem de pacotes com monitoração de estado — Rastreie o estado e as características da conexão de rede em uma tabela de estados, permitindo somente pacotes que correspondam a uma conexão aberta conhecida.

• Controle baseado em reputação — Bloqueie executáveis não confiáveis ou todo o tráfego de uma rede não confiável de acordo com a reputação.

Detectar

Detecte problemas de segurança usando estes recursos do Firewall:

• Dashboards e monitores — Visualize eventos de detecção e intrusão do McAfee GTI e do Firewall.

• Consultas e relatórios — Recupere informações detalhadas sobre o Firewall, incluindo eventos de bloqueio e intrusão, erros e regras do cliente, e salve tais detalhes em relatórios.

• Alertas — Exiba alertas de tráfego bloqueado com base na reputação do executável ou da rede. • Registro de tráfego — Registre em log todo o tráfego bloqueado ou permitido.

Corrigir

Reduza ou elimine falsos positivos usando estes recursos do Firewall:

• Modo adaptável — Crie regras automaticamente no sistema cliente para permitir atividades legítimas. Após criá-las, analise as regras de cliente e decida quais devem ser convertidas em políticas determinadas pelo servidor.

• Redes definidas — Defina redes confiáveis para permitir o tráfego oriundo de redes que sua organização considera seguras.

(9)

• Executáveis confiáveis — Mantenha uma lista de executáveis seguros para reduzir falsos positivos.

• Catálogo do Firewall — Defina regras e grupos a serem adicionados a várias políticas ou redes e aplicativos a serem adicionados a regras de firewall.

• Opções do cliente — Permita que os usuários desativem o Firewall temporariamente para solucionar problemas.

• Dashboards e monitores — Monitore atividades e detecções de intrusão e use essas informações para ajustar as configurações do Firewall.

Como o Firewall funciona

O Firewall faz a varredura de todo o tráfego de entrada e saído no nível do pacote e compara os pacotes para as regras de firewall configuradas para determinar se deve permitir ou bloquear o tráfego.

1 O administrador configura as regras de firewall no McAfee ePO e impõe a política ao sistema cliente.

2 O usuário executa uma tarefa que inicia a atividade da rede e gera tráfego.

3 O Firewall varre todo o tráfego de entrada e saída e compara pacotes a regras configuradas. Se o tráfego corresponde a uma regra, o Firewall bloqueia ou dá permissão a ele com base em critérios da regra.

4 O Firewall registra os detalhes e gera e envia um evento ao McAfee ePO.

(10)

Grupos de regra de firewall predefinidos no McAfee ePO na página 12 Grupos de regras de firewall predefinidas em um sistema cliente na página 12 Grupos de regras do Firewall e isolamento de conexão na página 15

Filtragem e inspeção de pacotes com monitoração de estado no firewall na página 17

Visão geral dos recursos

Conteúdo

Como as regras de firewall funcionam

Como os grupos de regras de firewall funcionam

Filtragem e inspeção de pacotes com monitoração de estado no firewall Usar redes confiáveis para permitir o tráfego automaticamente Uso de executáveis confiáveis e aplicativos para reduzir falsos positivos Uso do Catálogo do firewall para fazer referência a itens existentes Protocolos de Firewall

Como o modo adaptável afeta o Firewall Perguntas frequentes — McAfee GTI e Firewall

Como as regras de firewall funcionam

As regras do Firewall determinam como lidar com o tráfego de rede. Cada regra fornece um conjunto de condições que o tráfego deve atender e uma ação para permitir ou bloquear o tráfego.

Quando o Firewall localizar tráfego que corresponde às condições de regra, ele realiza uma ação associada. Você pode definir regras amplamente (por exemplo, todo o tráfego IP) ou estritamente (por exemplo, identificando um aplicativo específico ou serviço) e especificar as opções. É possível agrupar as regras de acordo com a função de trabalho, o serviço ou o aplicativo para facilitar o gerenciamento. Assim como as regras, você pode definir grupos de regras por rede, transporte, aplicativo, agendamento e opções de local. O Firewall usa a precedência para aplicar regras:

1 O Firewall aplica a regra na parte superior da lista de regras do firewall.

Se o tráfego atende às condições desas regra, o Firewall permite ou bloqueia o tráfego. Ele não tenta aplicar outras regras da lista.

2 Se o tráfego não atende às condições da primeira regra, o Firewall continua para a próxima regra da lista até encontrar uma regra que coincida com o tráfego.

(11)

Se o modo adaptável estiver ativado, uma regra de permissão será criada para o tráfego. Às vezes o tráfego interceptado corresponde a mais de uma regra na lista. Nesse caso, precedência significa que o Firewall aplica somente a primeira regra de correspondência na lista.

Práticas recomendadas

Coloque a regra mais específica no topo da lista e as regras mais genéricas na parte inferior. Essa ordem assegura que o Firewall filtre o tráfego de maneira apropriada.

Por exemplo, para permitir todas as solicitações HTTP, com exceção de um determinado endereço (por exemplo, endereço IP 10.10.10.1), crie duas regras:

• Bloquear regra: bloquear tráfego de HTTP do endereço IP 10.10.10.1. Esta regra é específica. • Permitir regra: permitir todo o tráfego usando o serviço HTTP. Esta regra é geral.

Coloque a regra de bloqueio acima da regra de permissão na lista de regras de firewall. Quando o firewall intercepta a solicitação HTTP do endereço 10.10.10.1, a primeira regra correspondente que ele localiza é aquela que bloqueia esse tráfego por meio do firewall.

Se a regra geral Permitir for maior do que a regra específica Bloquear, o Firewall associa as solicitações à regra Permitir antes de localizar a regra Bloquear. Ele permite o tráfego, mesmo que você queira bloquear a solicitação HTTP de um determinado endereço.

Como os grupos de regras de firewall funcionam

Os grupos de regras organizam as regras do Firewall para facilitar o gerenciamento. O software inclui grupos de regra predefinidas com regras que permitem a execução de serviços necessários, como McAfee ePO e DNS. Os grupos de regra do Firewall não afetam a maneira como o Firewall lida com as regras. O software processa regras de cima para baixo.

(12)

O Firewall processa as configurações para o grupo antes de processar as configurações para as regras que ele contém. Se houver um conflito entre essas configurações, as configurações do grupo têm precedência. Você pode criar grupos de regras personalizadas:

• Grupos temporizados: ative as configuraçõesde grupo manualmente em um agendamento específico. • Grupos de isolamento de conexão: processa somente o tráfego que corresponde a um tipo de conexão

definida e critério de grupo.

Usar grupos temporizados na página 13

Fazer com que grupos reconheçam locais na página 13

Grupos de regra de firewall predefinidos no McAfee ePO

Os grupos de firewall predefinidos incluem as regras necessárias, como regras principais de rede para permitir aplicativos da McAfee.

Grupo do Firewall Descrição

Rede principal da McAfee Contém as regras principais de rede fornecidas pela McAfee e inclui regras para permitir aplicativos da McAfee e DNS.

Estas regras não podem ser alteradas ou excluídas. Você pode desativar algumas das regras neste grupo ao selecionar a opção Desativar regras principais de rede da

McAfee nas Opções do Firewall. No entanto, a ativação desta opção pode prejudicar as comunicações de rede no cliente.

Servidor ePolicy

Orchestrator Contém regras para permitir que os serviços do McAfee ePO sejam executados. Rede básica (exigida) Contém regras para permitir que os serviços básicos de rede, como DNS, sejam

executados.

VPN Contém regras para permitir que os serviços de VPN sejam executados.

ICMP Contém regras para permitir todo o tráfego de ICMP. Autenticação do Windows

AD Contém regras para permitir a autenticação do Windows Active Directory. NetBIOS Contém regras para permitir serviços e sessões NetBIOS de entrada e saída e

bloquear serviços de NetBIOS não confiáveis.

Web/FTP Contém regras para permitir serviços HTTPS e FTP de saída. Clientes de e-mail Contém regras para permitir serviços de e-mail de saída, como POP.

Ferramentas de rede Contém regras para permitir conexões de Área de Trabalho Remota (RDP).

Grupos de regras de firewall predefinidas em um sistema cliente

Os grupos de firewall predefinidos incluem as regras necessárias, como regras principais de rede para permitir aplicativos da McAfee.

(13)

Grupo do

Firewall Descrição Rede principal da

McAfee Contém as regras principais de rede fornecidas pela McAfee e inclui regras para permitiraplicativos da McAfee e DNS.

Estas regras não podem ser alteradas ou excluídas. Você pode desativar algumas das regras neste grupo ao selecionar a opção Desativar regras principais de rede da McAfee nas Opções do Firewall. No entanto, a ativação desta opção pode prejudicar as comunicações de rede no cliente.

Definidas pelo

administrador Contém regras definidas pelo administrador no servidor de gerenciamento._{Este grupo aparece no Cliente do Endpoint Security somente se o sistema cliente for}

gerenciado pelo McAfee ePO. Neste caso, o grupo exibe Ativado mesmo se não contiver regras.

Essas regras não podem ser alteradas ou excluídas no Cliente do Endpoint Security.

Definido pelo

usuário Contém regras definidas no Cliente do Endpoint Security._{Este grupo exibe Ativado mesmo se não contiver regras.}

Como essas regras são criadas no sistema cliente, elas podem ser substituídas quando a política é imposta, dependendo das configurações de política.

Adaptável Contém regras de exceção do cliente que são criadas automaticamente quando o sistema

está no modo adaptável.

Este grupo exibe Ativado mesmo se o modo adaptável não estiver ativado e o grupo não contiver regras. Quando o modo adaptável estiver ativado, o grupo será preenchido com regras geradas automaticamente.

Como essas regras são criadas no sistema cliente, elas podem ser substituídas quando a política é imposta, dependendo das configurações de política.

Padrão Contém regras padrão fornecidas pela McAfee.

Estas regras não podem ser alteradas ou excluídas.

Usar grupos temporizados

Grupos temporizados são grupos de regras do Firewall ativados por determinado período de tempo.

Por exemplo, um grupo temporizado pode ser ativado para permitir que um sistema cliente conecte-se a uma rede pública e estabeleça uma conexão VPN.

Dependendo das configurações, os grupos podem ser ativados: • Em um agendamento específico.

• Manualmente, selecionando as opções do ícone da bandeja do sistema da McAfee.

Fazer com que grupos reconheçam locais

É possível fazer com que um grupo reconheça o local de suas regras, bem como criar isolamento de conexão.

(14)

O Local e as Opções de rede do grupo permitem fazer com que os grupos reconheçam o adaptador de rede. Use grupos de adaptadores de rede para aplicar regras específicas para adaptadores em computadores com várias interfaces de rede. Após ativar o status de local e nomear o local, os parâmetros para as conexões permitidas podem incluir os seguintes itens para cada adaptador de rede:

• Local:

• Sufixo DNS específico para conexão • Endereço IP do Servidor WINS primário • Endereço IP do Gateway padrão • Endereço IP do Servidor WINS secundário • Endereço IP do Servidor DHCP • Acessibilidade de domínio (HTTPS) • Servidor DNS consultado para resolver URLs • Chave de Registro

Se você especificar mais de um parâmetro de critério de local, todos eles serão aplicados ao grupo de reconhecimento de local.

• Redes (local): • Endereço IP único • Intervalo

• Sub-rede

Se dois grupos com reconhecimento de local forem aplicados a uma conexão, o Firewall usará a precedência normal, processando o primeiro grupo aplicável na lista de regras. Se nenhuma regra do primeiro grupo coincidir, o processamento de regras continuará.

Quando o Firewall encontra parâmetros de um grupo com reconhecimento de local que coincidem com uma conexão ativa, ele aplica as regras no grupo. Trata as regras como um pequeno conjunto de regras e usa a precedência normal. Se algumas regras não se coincidirem com o tráfego interceptado, o Firewall as ignorará.

Se esta opção estiver

selecionada... Então...

Ativar reconhecimento de

local É necessário fornecer o nome do local. Requer que o McAfee ePO

esteja acessível O McAfee ePO está acessível e o FQDN do servidor foi resolvido._{Para determinar se o servidor McAfee ePO está disponível, o Firewall executa} consultas de DNS e WINS para obterem o nome do servidor McAfee ePO, que está registrado no McAfee Agent. Se o WINS e o DNS não obtiverem o nome, o servidor McAfee ePO não estará disponível.

Rede local O endereço IP do adaptador deve coincidir com uma das entradas da lista. Sufixo DNS específico para

conexão O sufixo DNS do adaptador deve coincidir com uma das entradas da lista. Gateway padrão O endereço IP do gateway do adaptador padrão deve coincidir com pelo menos

uma das entradas da lista.

Servidor DHCP O endereço IP do servidor DHCP do adaptador deve coincidir com pelo menos uma das entradas da lista.

Servidor DNS O endereço IP do servidor DNS do adaptador deve coincidir com alguma entrada da lista.

Servidor WINS primário O endereço IP do servidor WINS primário do adaptador deve coincidir com pelo menos uma das entradas da lista.

(15)

Se esta opção estiver

selecionada... Então...

Servidor WINS secundário O endereço IP do servidor WINS secundário do adaptador deve coincidir com pelo menos uma das entradas da lista.

Acessibilidade de domínio

(HTTPS) O domínio especificado deve ser acessível usando HTTPS._{Para determinar se o domínio está acessível, o Firewall verifica o certificado SSL} válido do domínio. Os critérios de grupo de reconhecimento de local

correspondem e as regras são aplicadas somente se o domínio tiver um certificado válido.

Grupos de regras do Firewall e isolamento de conexão

Use o isolamento de conexão para grupos para impedir que algum tráfego indesejado acesse uma rede designada.

Quando o isolamento de conexão está ativado para um grupo e uma placa de interface de rede (NIC) corresponde aos critérios do grupo, o Firewall processa somente o tráfego que corresponde a: • Regra de permissão acima do grupo na lista de regras do firewall

• Critérios do grupo

Qualquer outro tráfego será bloqueado.

(16)

Considere duas configurações como exemplos do uso do isolamento de conexão: um ambiente corporativo e um hotel. A lista de regras de firewall ativas contém regras e grupos nesta ordem:

1 Regras para conexão básica

2 Regras de conexão VPN

3 Grupo com regras de conexão a LAN corporativa

(17)

Exemplo: isolamento de conexão na rede corporativa

As regras de conexão são processadas até que o grupo com regras de conexão a LAN corporativa seja encontrado. Esse grupo contém as configurações:

• Tipo de conexão = Com fio

• Sufixo DNS específico para a conexão = minhaempresa.com • Gateway padrão

• Isolamento de conexão = Ativado

O computador tem adaptadores de rede LAN e sem fio. O computador se conecta à rede corporativa por uma conexão com fio. No entanto, a interface sem fio ainda está ativa, de modo que se conecta a um ponto de acesso fora do escritório. O computador se conecta a ambas as redes porque as regras para o acesso básico estão no topo da lista de regras do firewall. A conexão LAN com fio está ativa e atende aos critérios do grupo da LAN corporativa. O firewall processa o tráfego através da LAN, mas como o isolamento da conexão está ativado, todo o restante do tráfego que não passa através da LAN é bloqueado.

Exemplo: isolamento de conexão em um hotel

As regras de conexão são processadas até que o grupo com regras de conexão a LAN seja encontrado. Esse grupo contém as configurações:

• Tipo de conexão = Virtual

• Sufixo DNS específico para a conexão = vpn.minhaempresa.com

• Endereço IP = Um endereço em um intervalo específico para o concentrador VPN • Isolamento de conexão = Ativado

As regras de conexão genéricas permitem a configuração de uma conta temporizada no hotel para acesso à Internet. As regras de conexão VPN permitem a conexão e o uso do túnel VPN. Após o túnel ser estabelecido, o cliente VPN cria um adaptador virtual que corresponde aos critérios do grupo de VPN. O único tráfego

permitido pelo firewall é o de dentro do túnel VPN e o tráfego básico sobre o adaptador real. As tentativas de outros hóspedes do hotel de acessar o computador pela rede, seja com ou sem fio, são bloqueadas.

Filtragem e inspeção de pacotes com monitoração de estado no firewall

O Firewall oferece filtragem e inspeção de pacotes com monitoração de estado.

Filtragem de pacotes com monitoração de estado é o rastreamento com monitoração de estado de informações

de protocolo TCP/UDP/ICMP na Camada de transporte 4 e inferior da pilha de rede OSI. Cada pacote é examinado. Se o pacote inspecionado corresponde a uma regra de permissão de firewall existente, o pacote será permitido e será feita uma entrada em uma tabela de estado. A tabela de estado rastreia dinamicamente conexões comparadas anteriormente com um conjunto de regras estáticas e reflete o estado da conexão atual dos protocolos TCP/UDP/ICMP. Se um pacote inspecionado corresponder a uma entrada existente na tabela de estado, o pacote é permitido sem maiores investigações. Quando uma conexão é fechado ou atinge o tempo limite, a entrada é removida da tabela de estado.

Inspeção de pacotes com monitoração de estado é o processo de filtragem de pacotes com monitoração de

estado e de comandos de rastreamento na camada de aplicativo 7 da pilha de rede OSI. Essa combinação oferece uma sólida definição do estado de conexão do computador. O acesso aos comandos no nível de aplicativo oferece inspeção sem erros e proteção do protocolo FTP.

Tabela de estado do firewall na página 19

(18)

Como a filtragem de pacote com monitoração de estado funciona

A filtragem com monitoração de estado envolve o processamento de um pacote com dois conjuntos de regra: um conjunto de regra de firewall configurável e um conjunto de regra de firewall dinâmico ou tabela de estado. As regras configuráveis têm duas ações possíveis:

• Permitir: o pacote é permitido e uma entrada é feita na tabela de estado. • Bloquear: o pacote é bloqueado e nenhuma entrada é feita na tabela de estado.

As entradas da tabela de estado resultam da atividade da rede e refletem o estado da pilha de rede. Cada regra na tabela de estado tem apenas uma ação, Permitir, de modo que qualquer pacote correspondido a uma regra na tabela de estado é permitido automaticamente.

O processo de filtragem inclui o seguinte:

1 O firewall compara um pacote de entrada com as entradas na tabela de estado. Se o pacote corresponder a qualquer entrada na tabela, o pacote é imediatamente permitido. Caso contrário, a lista de regras de firewall configurável é examinada.

Uma entrada da tabela de estado é considerada uma correspondência se Protocolo, Endereço local, Porta local, Endereço remoto e Porta remota correspondem a esses elementos do pacote.

2 Se o pacote corresponder a uma regra de permissão, ele será permitido e é criada uma entrada na tabela de estado.

3 Se o pacote corresponder a uma regra de bloqueio, ele será bloqueado.

(19)

Como funciona a inspeção de pacote com monitoração de estado

A inspeção de pacotes com monitoração de estado combina filtragem com monitoração de estado com acesso aos comandos de aplicativo, o que protege protocolos como o FTP.

O FTP envolve duas conexões: controle para os comandos e dados para as informações. Quando um cliente se conecta a um servidor FTP:

• O canal de controle é estabelecido na porta de destino 21 (FTP). • Uma entrada é registrada na tabela de estados.

Se a opção Usar inspeção de protocolo FTP for ativada, o firewall executa uma inspeção de pacote com monitoração de estado em pacotes que chegam através do canal de controle FTP na porta 21.

Com o canal de controle aberto, o cliente se comunica com o servidor FTP. O firewall analisa o comando PORT no pacote e cria uma segunda entrada na tabela de estados para permitir a conexão de dados.

Quando o servidor FTP está no modo ativo, ele abre a conexão de dados; no modo passivo, o cliente inicia a conexão. Quando o servidor FTP recebe o primeiro comando de transferência de dados (LIST), ele abre a conexão de dados em direção ao cliente e transfere os dados. O canal de dados é fechado após a transmissão ser concluída.

A combinação de conexão de controle e conexões de dados é chamada de sessão. Regras dinâmicas FTP são algumas vezes chamadas de regras de sessão. A sessão permanece estabelecida até que seu canal de controle seja excluído da tabela de estados. Durante a limpeza periódica da tabela, se um canal de controle de uma sessão for excluído, todas as conexões de dados serão então excluídas.

Tabela de estado do firewall

Uma tabela de estado do firewall armazena dinamicamente informações sobre as conexões ativas permitidas pelas regras de firewall.

Cada entrada na tabela define uma conexão com base em:

• Protocolo: a maneira predefinida de um serviço comunicar-se com outro. Inclui os protocolos TCP, UDP e ICMP.

• Endereços IP para computadores locais e remotos: um endereço IP exclusivo é atribuído a cada

computador. O IPv4, padrão atual para endereços IP, permite endereços com 32 bits, enquanto o IPv6, um padrão mais recente, permite endereços com 128 bits. Muitos sistemas operacionais, incluindo Windows Vista e, posteriormente, suporte IPv6. O Firewall suporta ambos os padrões.

• Números de porta para computadores locais e remotos: um computador envia e recebe serviços usando portas numeradas. Por exemplo, o serviço HTTP geralmente está disponível na porta 80 e serviços FTP na porta 21. Números de porta variam de 0 a 65535.

• ID de processo (PID): um identificador único para o processo associado a um tráfego de conexão. • Carimbo de data/hora: a hora do último pacote de entrada ou saída associado à conexão.

• Tempo limite: o limite de tempo (em segundos) após o qual a entrada é removida da tabela se nenhum pacote correspondente à conexão for recebido. O tempo limite para conexões TCP é imposto somente quando a conexão não é estabelecida.

• Direção: a direção (entrada ou saída) do tráfego que disparou a entrada. Depois que uma conexão é estabelecida, o tráfego bidirecional será permitido mesmo com regras unidirecionais, desde que a entrada corresponda aos parâmetros de conexão na tabela de estado.

(20)

Considerações sobre a tabela de estado

• Se os conjuntos de regra de firewall forem alterados, todas as conexões ativas serão verificadas em relação ao novo conjunto de regras. Se nenhuma regra de correspondência for encontrada, a entrada de conexão será descartada da tabela de estado.

• Se um adaptador obtém um novo endereço IP, o firewall reconhece a nova configuração e solta todas as entradas de tabela de estado com endereços IP locais inválidos.

• Quando o processo termina, todas as entradas na tabela de estado associada a um processo são excluídas.

Rastreamento de protocolo com monitoração de estado

O Firewall monitora e lida com as conexões baseadas em protocolo.

Protocolo Como o protocolo é tratado

UDP Uma conexão UDP é adicionada à tabela de estado quando uma regra estática de correspondência é encontrada e a ação da regra é Permitir. Conexões de UDP genéricas permanecem na tabela de estado, desde que a conexão não esteja ociosa por um tempo maior do que o período de tempo limite especificado. Essas conexões executam protocolos de nível de aplicativo desconhecidos para o firewall.

ICMPv4/v6 Apenas os tipos de mensagem Echo Request e Echo Reply de ICMP são rastreados.

Ao contrário do confiável protocolo TCP orientado à conexão, os protocolos UDP e ICMPv4/v6 são menos confiáveis e sem conexão. Para proteger esses protocolos, o firewall considera as

conexões genéricas UDP e ICMP como conexões virtuais. As conexões virtuais são mantidas, desde que não fiquem ociosas por um período superior ao tempo limite especificado para a conexão. Defina o tempo limite das conexões virtuais nas configurações de Opções do Firewall. TCP O protocolo TCP funciona com handshake de três vias.

1 O computador cliente iniciará uma nova conexão, enviando um pacote para o seu destino com um conjunto de bits SYN.

2 O destino responde enviando um pacote para o cliente com um conjunto de bits SYN-ACK.

3 O cliente responde enviando um pacote com um conjunto de bits ACK e a conexão com monitoração de estado é estabelecida.

Todos os pacotes de saída são permitidos, mas apenas pacotes que fazem parte da conexão estabelecida são permitidos. Uma exceção é quando o firewall consulta pela primeira vez o protocolo TCP e adiciona todas as conexões pré-existentes todas as conexões que correspondem às regras estáticas. Conexões pré-existentes sem uma regra de correspondência estática são bloqueadas. O tempo limite da conexão TCP é aplicado somente quando a conexão não é estabelecida. Um segundo tempo limite ou um tempo limite forçado de TCP aplica-se somente a conexões TCP estabelecidas. Uma configuração de Registro controla esse tempo limite, que tem um valor padrão de uma hora. A cada quatro minutos, o firewall consulta a pilha de TCP e descarta conexões que o TCP não relata.

DNS A correspondência consulta/resposta certifica que as respostas DNS são permitidas apenas: • Para a porta local que originou a consulta

• De um endereço IP remoto consultado durante o intervalo de Tempo limite de conexão virtual UDP

Respostas de DNS de entrada são permitidas se: • A conexão na tabela de estado não expirou.

• A resposta proveniente do mesmo endereço IP remoto e porta em que a solicitação foi enviada. DHCP A correspondência entre consulta/resposta verifica se os pacotes de retorno são permitidos

somente para consultas legítimas. Assim, as respostas DHCP de entrada são permitidas se: • A conexão na tabela de estado não expirou.

(21)

Usar redes confiáveis para permitir o tráfego automaticamente

Redes confiáveis são endereços IP, faixas de endereço IP e sub-redes que a sua organização considera seguras.

Definindo uma rede como confiável leva o Firewall a criar a regra Permitir bidirecional interna com os critérios de rede remota definida como a rede confiável. Qualquer tráfego entre as redes confiáveis é permitido.

Uso de executáveis confiáveis e aplicativos para reduzir falsos positivos

Executáveis confiáveis são executáveis que não têm vulnerabilidades conhecidas e são considerados seguros.

A configuração de um executável confiável cria uma regra Permitir bidirecional para esse executável no topo da lista de regras do Firewall.

Manter uma lista de executáveis seguros de um sistema reduz e elimina a maioria dos falsos positivos. Por exemplo, quando você executa um aplicativo de backup, muitos falsos positivos podem ser disparados. Para evitar que falsos positivos sejam disparados, torne o aplicativo de backup um aplicativo confiável.

Um executivo confiável está sujeito a vulnerabilidades comuns, como estouro de buffer e uso ilegal. No entanto, o Firewall ainda monitora os executivos confiáveis e dispara eventos para evitar explorações.

O Catálogo do Firewall contém executáveis e aplicativos. Executáveis no catálogo podem ser associados a um aplicativo de contêiner. É possível adicionar executáveis e aplicativos do catálogo à sua lista de executáveis confiáveis. Depois de definidos, é possível referenciar os executáveis em regras e grupos.

Uso do Catálogo do firewall para fazer referência a itens existentes

O Catálogo do Firewall simplifica o processo de criação de regras e grupos de firewall, permitindo que você faça referência a regras, grupos, opções de rede, aplicativos, executáveis e locais existentes.

Ao fazer referência a um item de catálogo, você cria um link dependente entre ele e uma regra ou grupo de firewall. Qualquer alteração a um item no catálogo também altera o item sempre que ele estiver sendo usado. Você pode remover a dependência quebrando o link.

O Catálogo do Firewall, encontrado no McAfee ePO em Política, inclui itens de regras de firewall e grupos de firewall adicionados anteriormente. Você pode adicionar itens individualmente ao catálogo criando vínculos entre os itens do firewall e os grupos de regras. Também é possível importar itens das exportações em formato XML das políticas de Regras.

Protocolos de Firewall

A proteção de Firewall funciona em várias camadas da arquitetura de rede, onde diferentes critérios são usados para restringir o tráfego de rede. Essa arquitetura foi criada com o pacote TCP/IP.

Camada de link

O protocolo da camada de link descreve o método de controle de acesso de mídia (MAC) e algumas instalações de detecção de erro secundárias.

LAN de Ethernet (802.3), Wi-Fi (802.11x) e a LAN virtual (VPN) estão nessa camada. Grupos e regras de firewall diferenciam-se entre links virtuais com fio e sem fio.

Camada de rede

Os protocolos de camada de rede definem esquemas de endereçamento de rede, roteamento e esquemas de controle de rede.

(22)

Elas também oferecem suporte a protocolos não IP arbitrários, mas não conseguem detectar qualquer rede ou parâmetros de camada de transporte para eles. Na melhor das hipóteses, essa camada permite que o

administrador bloqueie ou permita esses protocolos de camada de rede. Os números associados aos protocolos não IP são baseados nos Números Ethernet definidos pela Internet Assigned Numbers Authority (IANA).

O Firewall oferece suporte completo a IPv4 e IPv6 em Microsoft Windows XP, Windows Vista, Windows Server 2008, Windows 7, Windows 8 e Windows 10.

Camadas de transporte

IP pode ser usado como o protocolo de rede para vários protocolos de transporte. Na prática, quatro são normalmente usados:

TCP TCP é um protocolo de transporte confiável, orientado à conexão. Ele garante que os dados contidos nos pacotes de rede são entregues de forma confiável e ordenada. Ele também controla a taxa pela qual os dados são recebidos e transmitidos. Esse controle requer uma certa quantidade de sobrecarga e torna o tempo das operações de TCP imprevisível quando as condições da rede estão abaixo do ideal.

TCP é a camada de transporte para a maioria dos protocolos de aplicativo. HTTP, FTP, SMTP, RDP, SSH, POP e IMAP usam TCP.

Multiplexos de TCP entre os protocolos de camada de aplicativo usando o conceito de "portas". Cada pacote TCP contém um número de porta de origem e destino, de 0 a 65535. Geralmente, o servidor de uma conexão TCP detecta conexões em uma porta fixa.

As portas 0–1023 são reservadas como “portas bem conhecidas”. A IANA atribui números nesse intervalo de protocolos. A maioria dos sistemas operacionais requer um processo para ter permissões especiais para escutar em uma dessas portas.

As regras de firewall são criadas para bloquear determinadas portas e permitir outras, limitando as atividades que podem ocorrer na rede.

UDP O Protocolo de datagrama do usuário (UDP) é um protocolo de transporte de esforço sem conexão. Não há garantias de confiabilidade ou ordem dos pacotes, além de faltar recursos de controle de fluxo. Na prática, ele possui algumas propriedades desejáveis para determinadas classes de tráfego.

O UDP é frequentemente usado como um protocolo de transporte para aplicativos de desempenho crítico. Ele também é usado em aplicativos de multimídia em tempo real. Um pacote descartado gera apenas uma falha momentânea no fluxo de dados e é mais aceitável do que fluxos que interrompem a espera por uma retransmissão. Softwares de telefonia e

videoconferência em IP geralmente usam UDP, como alguns jogos para múltiplos jogadores. O esquema de multiplexação do UDP é idêntico ao do TCP: cada datagrama possui uma porta de origem e destino, que variam de 0 a 65535.

(23)

ICMP O protocolo ICMP, versão 4 (ICMPv4) e versão 6 (ICMPv6), é usado como um canal de

comunicação fora de banda entre os hosts IP. Ele é útil na solução de problemas e necessário para uma rede IP funcionar adequadamente, porque é o mecanismo que relata erros. IPv4 e IPv6 têm variantes de protocolo ICMP distintos. ICMPv4 costuma ser chamado simplesmente de ICMP.

O ICMPv6 é importante em uma rede IPv6. Ele é usado para várias tarefas críticas, como descoberta vizinho (que ARP manipula em uma rede IPv4). É recomendado que os usuários não bloqueiem o tráfego de ICMPv6 se o IPv6 for compatível em sua rede.

Em vez de números de porta, as duas versões de ICMP definem os tipos de mensagens.

Solicitação de eco e Resposta de eco são usados para o ping. As mensagens de Destino inacessível

indicam as falhas de roteamento. Além disso, o ICMP implementa um recurso de rastreamento de rotas, embora UDP e TCP também podem ser usado para esse propósito.

Outros protocolos de

transporte

O IP oferece suporte a mais de uma centena de outros protocolos de transporte, mas a maioria raramente é usada. A lista completa de protocolos reconhecidos pela IANA é, pelo menos, minimamente compatível. É possível criar regras para bloquear ou permitir o tráfego por todos os protocolos de transporte IP. No entanto, o firewall não oferece suporte a nenhum

mecanismo de multiplexação que possa ser usado por esses protocolos.

Vários são usados para sobrepor outros tipos de redes na parte superior de uma rede IP (encapsulamento de rede). Alguns desses protocolos (especialmente GRE, AH e ESP) são usados para criptografia de IP e VPNs.

Consulte Números de protocolo para ver os números de protocolos IP.

Protocolos incompatíveis comuns

Existem vários protocolos de rede incompatíveis com o Firewall. O tráfego que pertence a esses protocolos, normalmente com um EtherType não analisável, é bloqueado sempre, ou é sempre permitido, dependendo da opção selecionada nas configurações de Opções.

Como o modo adaptável afeta o Firewall

No modo adaptável, o Firewall permite automaticamente todo o tráfego que não corresponde a uma regra de bloqueio existente e cria regras dinâmicas de permissão para que tráfego não correspondente.

Quando o Firewall está em execução, ele monitora o tráfego de rede que um computador envia e recebe continuamente. O Firewall permite ou bloqueia o tráfego baseado em regras. Se o tráfego não pode ser comparado com uma regra existente, ele é bloqueado automaticamente.

Você pode criar uma regra de permissão explícita para todo o tráfego. Por motivos de segurança, os pings de entrada (tráfego ICMP) são bloqueados no modo adaptável, a menos que uma regra de permissão explícita seja criada para eles. O tráfego de entrada para uma porta que não está aberto no host também está bloqueado, a menos que uma regra de permissão explícita seja criada para o tráfego. Por exemplo, se o serviço telnet não estiver em execução, o tráfego de entrada TCP para a porta 23 (telnet) é bloqueado automaticamente.

O Firewall exibe as regras criadas em sistemas clientes por meio do modo adaptável e permite que você salve e migre essas regras administrativas.

Filtragem de monitoramento de estado

Quando o modo adaptável é aplicado com o firewall de monitoramento de estado, o processo de filtragem cria uma regra para lidar com o pacote de entrada:

1 O firewall compara um pacote de entrada com as entradas na tabela de estado e não encontra correspondência. Em seguida, examina a lista de regra estática e não encontra correspondência.

2 Nenhuma entrada é feita na tabela de estado, mas se o pacote for um pacote TCP, ele será colocado em uma lista pendente. Caso contrário, o pacote será descartado.

(24)

3 Se novas regras são permitidas, uma regra de permissão estática unidirecional é criada. Se o pacote for um pacote TCP, será feita uma entrada na tabela de estado.

4 Se uma nova regra não é permitida, o pacote será descartado.

Perguntas frequentes — McAfee GTI e Firewall

Aqui você encontra respostas para perguntas frequentes.

As configurações das Opções de Firewall na seção Reputação de rede do McAfee GTI permitem que você bloqueie o tráfego de entrada e de saída de uma conexão de rede baseada na reputação do McAfee GTI.

O que é o McAfee GTI ?

O McAfee GTI é um sistema de inteligência de reputação de Internet global que determina o que é um bom ou um mau comportamento na Internet. O McAfee GTI usa a análise em tempo real de padrões mundiais de comportamento e envio de e-mails, atividade da Web, malware e comportamento de sistema a sistema. Com os dados obtidos na análise, o McAfee GTI calcula dinamicamente as pontuações de reputação que representam o nível de risco da rede quando o usuário visita uma página da Web. O resultado é um banco de dados de pontuações de reputação para endereços IP, domínios, mensagens específicas, URLs e imagens.

Para perguntas frequentes sobre o McAfee GTI, consulte KB53735.

Como o McAfee GTI funciona com o Firewall?

O Firewall usa o valor das opções de Limite de reputação de rede de entrada e Limite de reputação de rede de

saída para criar regras internas no sistema cliente. Se o tráfego de entrada ou de saída correspondem a essas regras, o Firewall consulta o McAfee GTI para a reputação do endereço IP de origem ou de destino. O Firewall usa essa informação para determinar se bloqueará o tráfego de entrada ou de saída.

• Tratar correspondência como intrusão: trata o tráfego correspondente à configuração de bloqueio do limite do McAfee GTI como uma intrusão e exibe um alerta.

• Registrar em log o tráfego correspondente: Trata o tráfego que corresponde à configuração do limite de bloqueio do McAfee GTI como uma detecção e exibe um evento no Log de eventos no Cliente do Endpoint Security. Firewall também envia um evento ao McAfee ePO.

O que significa "reputação"?

Para cada endereço IP na Internet, o McAfee GTI calcula um valor de reputação. O McAfee GTI baseia o valor no comportamento de envio ou hospedagem e em vários dados ambientais coletados dos clientes e parceiros sobre o estado do cenário de ameaças da Internet. A reputação é expressa em quatro classes, com base em nossa análise:

• Não bloquear (risco mínimo) — Trata-se de uma origem ou um destino legítimos de conteúdo/tráfego. • Alto risco: a origem/destino envia ou hospeda conteúdo/tráfego possivelmente malicioso que a

McAfee considera perigoso.

• Risco médio: a origem/destino mostra um comportamento que a McAfee considera suspeito. Qualquer conteúdo/tráfego do site requer um escrutínio especial.

• Não verificado — O site parece ser uma origem ou um destino legítimos de conteúdo/tráfego, mas também exibe propriedades que sugerem a necessidade de inspeção.

O McAfee GTI apresenta latência? Quanto?

Quando o McAfee GTI é contatado para fazer uma pesquisa por reputação, é inevitável que ocorra alguma latência. A McAfee tem feito todo o possível para minimizar essa latência. McAfee GTI: • Verifica a reputação somente quando as opções são selecionadas.

• Usa uma arquitetura de armazenamento em cache inteligente. Em padrões de uso de rede normais, o cache resolve a maioria das conexões desejadas sem uma consulta de reputação ao vivo.

(25)

Se o McAfee GTI não estiver acessível, é possível configurar o Firewall para bloquear todo o tráfego por padrão ou permitir o tráfego a menos que as regras do firewall o bloqueie.

Adições do Firewall ao McAfee ePO

Este produto gerenciado amplia a sua capacidade de proteger a sua rede com esses recursos e aprimoramentos.

Você deve ter as permissões adequadas para acessar a maioria das funções.

McAfee ePO Adição

Ações Ações que podem ser executadas pela Árvore de sistemas ou utilizadas para personalizar as respostas automáticas.

Tarefas do cliente Tarefas do cliente que você pode usar para automatizar o gerenciamento e manutenção em sistemas cliente.

Dashboards Dashboards e monitores que você pode usar para vigiar seu ambiente. Eventos e respostas _{• Eventos para os quais você pode configurar respostas automáticas.}

• Grupos de eventos e tipos de eventos que você pode usar para personalizar respostas automáticas.

Conjuntos de

permissões Categorias de permissão do Firewall do Endpoint Security, Catálogo do Firewall doEndpoint Security e Cliente do Firewall do Endpoint Security disponíveis em todos os conjuntos de permissão existentes.

Políticas Categorias de política de Opções e Regras no grupo de produto Firewall do Endpoint Security.

Consultas e relatórios • Consultas padrão que você pode usar para executar relatórios.

• Grupos de propriedades personalizadas com base nas propriedades do sistema gerenciado que você pode usar para criar suas próprias consultas e relatórios. Tarefas do servidor Adiciona uma tarefa de servidor predefinida à lista de Tarefas do Servidor em

Automação.

Tarefas do servidor A tarefa de servidor do Conversor de propriedade do Firewall do Endpoint Security que converte as regras de cliente do Firewall nas propriedades de cliente armazenadas no banco de dados do McAfee ePO e as adiciona à página Regras de cliente do Firewall. Regras de cliente do

Firewall As Regras de cliente do Firewall em Geração de relatórios exibem as regras de clientedo firewall criadas em um sistema cliente para permitir a atividade que as regras de firewall bloqueia.

Catálogo do Firewall O Catálogo do Firewall em Política exibe itens no Catálogo do Firewall e permite que você edite, crie, exclua e exporte-os.

Para obter informações sobre estes recursos, consulte a documentação do McAfee ePO.

Eventos, respostas e Firewall na página 47 Dashboards, monitores e Firewall na página 43 Conjuntos de permissões e Firewall na página 26 Políticas e Firewall na página 29

Consultas, relatórios e Firewall na página 44 Tarefas do servidor e Firewall na página 46 Tarefas do cliente e Firewall na página 27

(26)

Conjuntos de permissões e Firewall

Os conjuntos de permissões definem os direitos de funcionalidade do produto gerenciado no McAfee ePO. O Firewall adiciona os grupos de permissão do Firewall do Endpoint Security, do Cliente do Firewall do Endpoint Security e da Consulta do Firewall do Endpoint Security a cada conjunto de permissões.

Os grupos de permissão definem os direitos de acesso aos recursos. O McAfee ePO concede todas as permissões para todos os produtos e recursos aos administradores globais. Consequentemente, os

administradores atribuem funções de usuários a conjuntos de permissões existentes ou criam novos conjuntos de permissões.

Seu produto gerenciado adiciona esses controles de permissão para o McAfee ePO.

Conjuntos de permissões Permissões padrão

Revisor executivo

Firewall do Endpoint Security, Cliente do Firewall do Endpoint Security e Consulta do Firewall do Endpoint Security

Sem permissões

Revisor global

Sem permissões

Administrador de grupos

Sem permissões

Revisor de grupos

Sem permissões

Por padrão, este produto gerenciado é Sem permissões.

As permissões devem ser concedidas para que os usuários acessem ou utilizem os recursos controlados com permissão.

Tabela 1-1 Permissões obrigatórias por recurso

Recurso Permissões obrigatórias

Respostas automáticas Respostas automáticas, Notificações de eventos, Eventos de cliente Eventos de cliente e regras de cliente Acesso a Sistemas,Árvore de sistemas, Log de eventos de ameaça Dashboards e monitores Dashboards, Consultas

Políticas Firewall do Endpoint Security: Firewall no grupo de permissão do Firewall do Endpoint Security

Consultas Consultas e relatórios Tarefas do servidor Tarefas do servidor

Árvore de sistemas Sistemas, acesso à Árvore de sistemas

Log de eventos de ameaça Acesso a Sistemas,Árvore de sistemas, Log de eventos de ameaça Para obter informações sobre o gerenciamento de conjuntos de permissões, consulte a documentação do McAfee ePO.

(27)

Tarefas do cliente e Firewall

Automatize o gerenciamento ou a manutenção dos sistemas gerenciados usando as tarefas do cliente.

Dependendo de suas permissões, você pode usar essas tarefas do cliente padrão como estão, editá-las ou criar novas tarefas do cliente usando o McAfee ePO.

O Firewall aproveita as seguintes tarefas de cliente padrão do McAfee Agent.

Tabela 1-2 Tarefas de cliente padrão do McAfee Agent

Tarefa de cliente Descrição

Distribuição de produtos Distribui produtos da McAfee para sistemas cliente.

Atualização de produto Atualiza arquivos de conteúdo, mecanismos e todos os produtos da McAfee automaticamente.

Para obter informações sobre as tarefas de cliente e o Catálogo de Tarefas do cliente, consulte a documentação do McAfee ePO.

(28)

(29)

2

Configurando o Firewall

Conteúdo

Políticas e Firewall

Ativar e configurar o Firewall Bloquear o tráfego DNS

Definir redes para usar em regras e grupos Configurar executáveis confiáveis

Gerenciar regras de firewall e grupos Usar o Catálogo do Firewall

Ajustar o Firewall

Políticas e Firewall

As políticas permitem configurar, aplicar e fazer cumprir as definições para sistemas gerenciados em seu ambiente.

Políticas são coleções de configurações que você cria, configura, aplica e impõe. A maioria das configurações de

política correspondem a configurações que você define no Cliente do Endpoint Security. Outra configuração de política é a interface primária para a configuração do software.

Seu produto gerenciado acrescenta essas categorias ao Catálogo de políticas. As definições disponíveis variam em cada categoria.

Tabela 2-1 Categorias do Firewall

Categoria Descrição

Opções Especifica as opções do Firewall, incluindo: • Ativa ou desativa a proteção por firewall. • Aplica o modo adaptável para ajuste.

• Define os servidores de nome de domínio (DNS) a serem bloqueados.

• Define as rede e as executáveis confiáveis que serão usadas nas regras e nos grupos. Regras Especifica as regras de firewall e grupos de regras que definem o tráfego permitido e o tráfego

bloqueado.

Quando o bloqueio de DNS está ativado em Opções, essa política adiciona dinamicamente uma regra próxima à parte superior da lista de regras de firewall. Essa regra impede que o endereço IP do domínio especificado seja resolvido.

Além disso, o Firewall adiciona o Catálogo do Firewall. O Catálogo do Firewall simplifica a criação de grupo e de regra de firewall ao permitir que você faça referência a regras, grupos, opções de rede, aplicativos, executáveis e locais existentes.

(30)

Personalização de políticas

Cada categoria de política inclui as políticas padrão.

Você pode usar as políticas como estão, editar as políticas padrão My Default ou criar políticas.

Tabela 2-2 Políticas padrão do Firewall

Política Descrição

McAfee Default Define a política padrão que entra em vigor caso nenhuma outra política seja aplicada. Você pode duplicar, mas não pode excluir nem alterar esta política. Servidor McAfee

Default Define a política de Regras padrão do servidor, que permite que todos os serviçospadrão do servidor, tais como Autenticação do Windows AD, Web/FTP e servidores de e-mail, aceitem solicitações de serviço do cliente. Você pode duplicar, mas não pode excluir nem alterar esta política.

Meu padrão Define configurações padrão para a categoria.

Políticas baseadas no usuário

As políticas baseadas no usuário (UBP) permitem que as políticas sejam definidas e impostas utilizando as regras de atribuição de políticas do McAfee ePO com um servidor LDAP. As regras de atribuição são impostas no sistema cliente para o usuário durante o acesso, independentemente do grupo do McAfee ePO.

As políticas baseadas no usuário são impostas quando um usuário com uma regra de atribuição

correspondente acessa o sistema cliente no console. As políticas baseadas no sistema (SBP) são impostas quando dois ou mais usuários estão conectados a um sistema. As regras de atribuição de políticas prevalecem sobre as políticas definidas na Árvore de sistemas.

A política de usuário prevalece sobre a política do sistema. Todas as políticas do sistema se aplicam e qualquer política baseada no usuário substitui a política do sistema.

As regras de atribuição de política são impostas somente se o usuário entra como usuário interativo. A política do sistema será imposto no lugar da política do usuário se o usuário entrar:

• Com um comando runas

• Em uma área de trabalho remota ou terminal de serviço onde o acesso do usuário não esteja definido como interativo

Para obter mais informações sobre as políticas baseadas no usuário e as regra de atribuição de políticas, consulte a Ajuda do McAfee ePO.

Comparação de políticas

É possível comparar todas as configurações de política para o módulo usando o recurso Comparação de políticas no McAfee ePO. Para obter informações, consulte a Ajuda do McAfee ePO.

Para obter informações sobre políticas e o Catálogo de políticas, consulte a documentação do McAfee ePO.

Usar o Catálogo do Firewall na página 36 Ativar e configurar o Firewall na página 31 Bloquear o tráfego DNS na página 31

Configurar executáveis confiáveis na página 32

Definir redes para usar em regras e grupos na página 32 Gerenciar regras de firewall e grupos na página 33

(31)

Ativar e configurar o Firewall

Defina as configurações do Firewall para ativar e desativar a proteção por firewall, ativar o modo adaptável e configurar outras opções do Firewall.

Tarefa

1 Selecione Menu | Política | Catálogo de políticas e, em seguida, selecione Firewall do Endpoint Security na lista

Produto.

2 Na lista Categoria, selecione Opções.

3 Clique no nome de uma política editável.

4 Selecione Ativar Firewall para tornar o firewall ativo e modificar suas opções.

Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema do Endpoint Security, versão 10.6. Se o McAfee Host IPSFirewall estiver instalado e ativado, Firewall do Endpoint Security será desativado, mesmo que esteja ativado nas configurações.

5 Clique em Mostrar opções avançadas.

6 Configure as definições na página, depois clique em Salvar. Consulte também

Perguntas frequentes — McAfee GTI e Firewall na página 24 Bloquear o tráfego DNS na página 31

Definir redes para usar em regras e grupos na página 32 Configurar executáveis confiáveis na página 32

Bloquear o tráfego DNS

Para refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. O Firewall bloqueia a conexão com endereços IP de acordo com os nomes de domínio.

Tarefa

Produto.

3 Clique no nome de uma política editável. 4 Em Bloqueio de DNS, clique em Adicionar.

5 Insira os FQDNs separados por vírgulas dos domínios a serem bloqueados e clique em Salvar. É possível usar os caracteres curinga * e ?. Por exemplo, *domínio.com.

As entradas duplicadas são removidas automaticamente.

6 Clique em Salvar.

(32)

Definir redes para usar em regras e grupos

Defina endereços de rede, sub-redes ou intervalos a serem usados em regras e grupos ou defina reder como

confiáveis.

Tarefa

1 SelecioneMenu | Política | Catálogo de políticase, em seguida, selecione Firewall do Endpoint Security na lista

Produto.

3 Clique no nome de uma política editável.

4 Clique em Mostrar opções avançadas.

5 Em Redes definidas, clique em Adicionar rede definida.

6 Selecione o tipo em Tipo de endereço e, em seguida, insira um endereço IP, uma sub-rede ou um intervalo

confiável no campo Endereço.

7 Selecione Confiável ou Não confiável no menu suspenso.

• Confiável — Firewall permite que todo o tráfego de entrada e saída de confiáveis redes.

• Não confiável — Define redes a serem usadas em regras e grupos. Você pode usar redes definidas como não confiáveis para os critérios de rede local ou remota em uma regra ou um grupo.

A definição de uma rede como não confiável adiciona aquelas redes como exceções às regras do McAfee GTI no Firewall.

8 Clique em Salvar.

Usar redes confiáveis para permitir o tráfego automaticamente na página 21 Usar o Catálogo do Firewall na página 36

Ativar e configurar o Firewall na página 31

Configurar executáveis confiáveis

Defina ou edite a lista de executáveis confiáveis que são considerados seguros para seu ambiente.

Tarefa

1 SelecioneMenu | Política | Catálogo de políticase, em seguida, selecione Firewall do Endpoint Security na lista

Produto.

2 Na lista Categoria, selecione Opções. 3 Clique em Mostrar opções avançadas.

4 Em Executáveis confiáveis, clique em Adicionar.

5 Configure as propriedades do executável e clique em Salvar.

(33)

Tarefas

• Obter o nome distinto do signatário do McAfee ePO e usá-lo para especificar executáveis confiáveis na

página 33

Quando você ativa uma verificação de assinatura digital e adiciona somente arquivos assinados por um signatário de processo especificado, o nome distinto do signatário (SDN) é necessário.

Uso de executáveis confiáveis e aplicativos para reduzir falsos positivos na página 21 Usar o Catálogo do Firewall na página 36

Obter o nome distinto do signatário do McAfee ePO e usá-lo para

especificar executáveis confiáveis

Quando você ativa uma verificação de assinatura digital e adiciona somente arquivos assinados por um signatário de processo especificado, o nome distinto do signatário (SDN) é necessário.

Tarefa

1 SelecioneMenu | Geração de relatório | Log de eventos de ameaça.

2 Clique no evento do Endpoint Security para exibir os detalhes.

3 Em Endpoint Security , selecione Signatário do processo de origem e copie os detalhes.

4 Ao especificar executáveis confiáveis, cole os detalhes do Signatário do processo de origem para o campo

Assinado por.

Por exemplo, o formato exigido para SDN é:

C = US, S = CALIFÓRNIA, L = MOUNTAIN VIEW, O = MOZILLA CORPORATION, OU = ENGENHARIA DE LIBERAÇÃO, CN = MOZILLA CORPORATION

Gerenciar regras de firewall e grupos

Use um grupo de regras de firewall para criar um conjunto de regras com uma única finalidade.

Por exemplo, configure um grupo com regras para permitir uma conexão VPN. Os grupos aparecem na lista de regras precedida por uma seta, em que você pode clicar para mostrar ou ocultar as regras no grupo.

Tarefa

Produto.

2 Na lista Categoria, selecione Regras.