- Guarde los registros HipShield y FireSvc existentes y elimine los originales para restablecer los registros.
NOTA: Desactive el registro si se encuentra activado.
- Active el registro completo IPS y de firewall. Consulte el artículo KB72869 para obtener información sobre el registro de Host Intrusion Prevention.
- Abra la IU de cliente de Host Intrusion Prevention y limpie el registro de actividades.
- En la directiva Opciones de firewall, o localmente en el cliente (después de desbloquear la IU de cliente), active la opción modo de adaptación.
- Compruebe el problema:
¿Funciona?
¿Se ha creado una regla adaptativa? En ese caso, agregue la regla correspondiente a la directiva del firewall de los clientes.
- Vuelva a comprobar el problema con la directiva actualizada aplicada.
- Compruebe que el registro de actividades de la IU de cliente no esté bloqueado.
- Busque en FireSvc.log el PID BLOQUEADO.
- Si no hay nada bloqueado y la regla no se ha creado en modo de adaptación:
Asegúrese de que el cliente está ejecutando el último parche de Host Intrusion Prevention:
Host IPS 8.0: Consulte el artículo KB70725 la información sobre la versión del parche y el hotfix.
Use la regla Any-Any
- En la consola del servidor de ePO, duplique la directiva Regla de firewall que se está ejecutando actualmente.
- Modifique esta nueva directiva, asígnesela al cliente de prueba y cree una nueva regla de firewall.
- Seleccione los siguientes parámetros:
Host IPS 7.0:
Nombre = Permitir Any-Any
Acción = Permitir
Protocolo = Todos los protocolos IP
Dirección = Cualquiera
Aplicación = <en blanco>
Dirección = Cualquiera
Host IPS 8.0:
<Ficha Descripción>
Nombre = Permitir Any-Any
Acción = Permitir
Dirección = Cualquiera
Estado = Activado
<Ficha Opciones de red>
Protocolo de red = Cualquier protocolo
<Ficha Opciones de transporte>
Protocolos de transporte = Todos los protocolos
<Ficha Aplicaciones>
Dejar en blanco
<Ficha Planificación>
Estado de planificación = Dejar sin marcar (desactivado)
- Guarde la regla Permitir Any-Any y muévala hasta la parte superior de la directiva del firewall que se acaba de duplicar.
- En la consola del servidor de ePO, duplique la directiva Opciones de firewall que se está ejecutando actualmente.
- Modifique la directiva que se acaba de duplicar, asígnesela al cliente de prueba y modifique las siguientes funciones en la directiva Opciones de firewall.
Host IPS 8.0:
"Permitir el tráfico de protocolos no admitidos" = Activado
Protección de inicio = Desactivada
"Activar la protección contra falsificación de direcciones IP" = Desactivada
"Umbral de bloqueo entrante de TrustedSource" = No bloquear
"Umbral de bloqueo saliente de TrustedSource" = No bloquear
- En Host IPS 8.0, defina también la directiva Bloqueo de DNS como McAfee Default o asegúrese simplemente de que la directiva asignada no tiene entradas de bloqueo de DNS.
- Vuelva a comprobar el problema.
¿Funciona?
En ese caso, expanda todos los grupos de reglas de firewall en la directiva mencionada y analice cada una de las reglas de firewall de arriba abajo. Preste una especial atención a las reglas que tengan BLOQUEAR como acción. Una vez revisado este parámetro, desplace la regla Any-Any hacia abajo varias posiciones en el conjunto de reglas.
NOTAS:
- Si repite este paso varias veces y vuelve a comprobar el problema, debería poder determinar la regla que podría estar bloqueando la aplicación.
- En Host IPS 8.0, pueden bloquear el tráfico otras funciones, como TrustedSource o la funcionalidad Falsificación de IP. El problema puede repetirse si vuelve a activar estas funciones debido a que las reglas de firewall que se han creado para estas funciones se procesan antes que la directiva de reglas de firewall.
Host IPS 8.0: Verifique que la información de la aplicación coincide con la del ejecutable. Por ejemplo, el valor Descripción del archivo debería ser el mismo que el de la descripción de la aplicación. No se trata de un valor COMMENT para la aplicación. Consulte el artículo KB71735.
Si no localiza una regla, agregue la regla correspondiente al conjunto de directivas de firewall y vuelva a comprobar el problema.
Compruébelo permitiendo los protocolos distintos de IP
Es posible que el filtro NDIS del firewall no vea el tráfico. Consulte el artículo
KB66899 para garantizar que ha realizado la comprobación permitiendo protocolos no admitidos.
Pruebe desactivando la funcionalidad TrustedSource (solo en Host IPS 8.0)
La regla de firewall
TrustedSource - Obtener calificación procesa el tráfico de red
antes que las otras reglas de firewall de la directiva
Reglas de firewall (que podrían contener una regla de firewall
Permitir Any-Any).
Pruebe desactivando la funcionalidad Falsificación de IP (solo en Host IPS 8.0)
La regla de firewall
Falsificación de IP procesa el tráfico de red
antes que las otras reglas de firewall de la directiva
Reglas de firewall (que podrían contener una regla de firewall
Permitir Any-Any).
Pruebe desactivando/desinstalando los controladores NDIS de Host Intrusion Prevention.
NOTA: La información de los siguientes artículos de la Base de conocimiento sirve únicamente para realizar pruebas. No debe usarse como la solución a un problema.
En Host IPS 8.0: Active el modo FWPassThru. Consulte el artículo
KB75917.
NOTA: Es posible que se requiera la siguiente solución avanzada de problemas para realizar análisis adicionales. Póngase en contacto con el servicio de soporte de McAfee si necesita ayuda en caso de sea necesario alguno de los siguientes pasos.
Compruebe el problema con el controlador Microsoft NDIS Pass Thru instalado.
Algunos problemas pueden estar originados por defectos en la especificación de interfaz de dispositivo de red (NDIS) de Microsoft. NDIS es la interfaz de aplicaciones de programación para controladores de dispositivos de otros fabricantes. Para determinar si hay un fallo de NDIS, desinstale Host Intrusion Prevention e instale el controlador Microsoft Pass Thru NDIS. Para obtener información detallada, consulte el artículo
KB68557. Póngase en contacto con el servicio de soporte de McAfee para solicitar el controlador NDIS PassThru.
- Host IPS 8.0: Recopilación de datos con el registro de ETL de Microsoft
Consulte el artículo KB72868 para obtener información sobre la recopilación de registros de ETL con Host Intrusion Prevention 8.0 para Windows.
Recopilación de datos con software de captura de red (por ejemplo, Wireshark)
Es posible que algunos problemas de firewall avanzados requieran el rastreo de un paquete de red durante la reproducción. Normalmente, se registran dos rastreos: uno con el problema y el otro sin él. Puede comparar los rastreos para determinar las diferencias con el tráfico del paquete de red.
- Instale el software de captura de red (por ejemplo, Wireshark) en el cliente de prueba.
- Limpie y vuelva a inicializar todos los registros y el registro de actividades de la IU de cliente.
- Inicie la captura de un rastreo de red.
- Reproduzca el problema.
- Detenga la captura del rastreo de red.
- Guarde el registro de actividades de la IU de cliente de Host IPS haciendo clic en la opción EXPORTAR o GUARDAR.
- Recopile lo siguiente:
- Archivo de rastreo de red
- McAfeeFireLog.txt: registro de actividades de la IU de cliente de Host IPS
- HipShield.log
- FireSvc.log
- Escale a soporte de nivel III con los registros y los resultados completos de la herramienta MER.
- Identifique la dirección IP de cliente y la dirección IP del servidor de red con el que la aplicación se intenta comunicar.
- Desactive el firewall y cree un segundo rastreo de red con todo funcionando correctamente para compararlo con el rastreo que no funciona.
- Si es posible, aísle el tráfico de red que pudiera haberse bloqueado en el primer rastreo comparando el rastreo de red que funciona con el que no. Agregue las reglas pertinentes a la directiva.
