- Salvare tutti i registri di HipShield e FireSvc ed eliminare gli originali per reimpostare i registri.
NOTA: se è attiva, disattivare la registrazione.
- Attivare la registrazione completa di IPS e firewall. Per informazioni sulla registrazione di Host Intrusion Prevention, consultare l'articolo KB72869.
- Aprire l’interfaccia utente del client Host Intrusion Prevention e cancellare il registro attività.
- Nella policy Opzioni Firewall o in locale sul client (dopo aver sbloccato l’interfaccia utente client), attivare l’opzione Modalità adattiva.
- Verificare se il problema è presente:
Funziona?
È stata creare una regola adattiva? Se sì, aggiungere la regola alla policy firewall del cliente.
- Controllare se il problema si verifica dopo avere applicato la policy aggiornata.
- Verificare se nel registro attività dell’interfaccia utente client sono presenti blocchi.
- Se non sono presenti blocchi e non sono state create regole in modalità adattiva:
Verificare che nel client sia in esecuzione la patch più recente di Host Intrusion Prevention:
Host IPS 8.0: le informazioni sulla versione di patch e hotfix sono disponibili nell’articolo KB70725.
Usare la regola Qualsiasi
- Nella console del server ePO, duplicare la policy Regola firewall in esecuzione.
- Modificare questa nuova policy, assegnarla al client di verifica e creare una nuova regola firewall.
- Selezionare quanto segue:
HostIPS 7.0:
Nome = Consenti Qualsiasi
Azione = Permetti
Protocollo = Tutti i protocolli IP
Direzione = Entrambe
Applicazione = <vuoto>
Indirizzo = Qualsiasi
Host IPS 8.0:
<Scheda Descrizione>
Nome = Consenti Qualsiasi
Azione = Consenti
Direzione = Entrambe
Stato = Attiva
<Scheda Opzioni di rete>
Protocollo di rete = Qualsiasi protocollo
<Scheda Opzioni di trasporto>
Protocolli di trasporto = Tutti i protocolli
<Scheda Applicazioni>
Lasciare vuoto
<Scheda Pianificazione>
Stato pianificazione = Lasciare deselezionato (disattivato)
- Salvare la regola Consenti Qualsiasi e spostarla in cima alla nuova policy firewall duplicata.
- Nella console del server ePO, duplicare la policy Opzioni Firewall in esecuzione.
- Modificare questa nuova policy duplicata, assegnarla al client di verifica e modificare le seguenti funzionalità nella policy Opzioni Firewall.
Host IPS 8.0:
"Consenti il traffico per protocolli non supportati" = Attivato
Protezione all’avvio = Disattivata
"Attiva protezione spoofing IP" = Disattivato
"Soglia di blocco in ingresso di TrustedSource" = Non bloccare
"Soglia di blocco in uscita di TrustedSource" = Non bloccare
- Per Host IPS 8.0, impostare anche la policy Blocco DNS su McAfee Default o verificare che nella policy assegnata non siano presenti voci Blocco DNS.
- Controllare se il problema si verifica ancora.
Funziona?
Se sì, espandere tutti i gruppi di regole firewall nella policy e analizzare tutte le regole firewall dalla prima all’ultima. Fare particolare attenzione alle regole con azione BLOCCA. In base alla verifica, spostare la regola Qualsiasi diverse posizioni più in basso nel set di regole.
NOTE:
- Provare a farlo più volte e controllare se il problema si verifica ancora. In questo modo dovrebbe essere possibile stabilire quale regola blocca l’applicazione.
- In Host IPS 8.0 il traffico potrebbe essere bloccato da altre funzionalità, come TrustedSource o Spoofing IP. Il problema potrebbe verificarsi di nuovo se si riattivano queste funzionalità, perché le regole firewall create per le funzionalità vengono elaborate prima della policy Regola firewall.
Host IPS 8.0: verificare che i dettagli dell'applicazione corrispondano a quelli dell'eseguibile. Ad esempio, il valore Descrizione file deve corrispondere esattamente alla descrizione dell’applicazione; non è un valore di COMMENTO dell’applicazione. Consultare l'articolo KB71735.
Se una regola non viene trovata, aggiungere la regola corretta al set di policy firewall ed eseguire una nuova verifica.
Eseguire la verifica consentendo i protocollo non IP
Il filtro NDIS del firewall potrebbe non rilevare alcun traffico. Per controllare di avere eseguito la verifica consentendo i protocolli non supportati, consultare l’articolo
KB66899.
Eseguire la verifica disattivando la funzionalità TrustedSource (solo per Host IPS 8.0)
Il traffico di rete viene elaborato dalla regola firewall
TrustedSource - Ottieni classificazione prima delle altre regole firewall contenute nella policy
Regole firewall (che potrebbe contenere una regola
Consenti Qualsiasi).
Eseguire la verifica disattivando la funzionalità Spoofing IP (solo per Host IPS 8.0)
Il traffico di rete viene elaborato dalla regola firewall
Spoofing IP prima delle altre regole firewall contenute nella policy
Regole firewall (che potrebbe contenere una regola
Consenti Qualsiasi).
Eseguire la verifica disattivando/disinstallando i driver NDIS di Host Intrusion Prevention
NOTA: le informazioni incluse nei seguenti articoli della KnowledgeBase devono essere usate solo per la verifica. Non rappresentano soluzioni ai problemi.
Per Host IPS 8.0: attivare la modalità FWPassThru. Consultare l'articolo
KB75917.
NOTA: per ulteriori analisi potrebbe essere necessario eseguire la seguente risoluzione avanzata dei problemi. Se una delle seguenti azioni è necessaria, contattare l'assistenza McAfee.
Verificare se il problema è presente dopo avere installato il driver Microsoft NDIS Pass Thru
Alcuni problemi potrebbero essere causati da difetti di Microsoft Network Device Interface Specification (NDIS). NDIS è l’interfaccia dell’applicazione di programmazione per i driver dei dispositivi di rete di terze parti. Per stabilire se è presente un errore di NDIS, disinstallare Host Intrusion Prevention e installare il driver Microsoft Pass Thru NDIS. Per informazioni dettagliate, consultare l’articolo
KB68557. Il driver NDIS PassThru può essere richiesto contattando l'assistenza McAfee.
- Host IPS 8.0: raccolta dei dati utilizzando la registrazione Microsoft ETL
Per informazioni sulla raccolta dei registri ETL per Host Intrusion Prevention 8.0 per Windows, consultare l’articolo KB72868
Recupero dei dati con un software di acquisizione di rete (ad esempio Wireshark)
Per la riproduzione di alcuni problemi avanzati del firewall, potrebbe essere necessaria anche una traccia del pacchetto di rete. Di solito vengono registrate due tracce: una con il problema e un’altra senza. Le tracce possono essere confrontate per stabilire eventuali differenze nel traffico del pacchetto di rete.
- Installare il software di acquisizione di rete (ad esempio Wireshark) nel client da usare per la verifica.
- Cancellare e reinizializzare tutti i registri e il registro attività dell’interfaccia utente client.
- Avviare l'acquisizione di una traccia di rete.
- Riprodurre il problema.
- Interrompere l'acquisizione della traccia di rete.
- Salvare il registro attività dell’interfaccia utente client Host IPS facendo clic su ESPORTA o SALVA.
- Recuperare quanto segue:
- File della traccia di rete
- McAfeeFireLog.txt - Registro attività dell’interfaccia utente client Host IPS
- HipShield.log
- FireSvc.log
- Inoltrare all’assistenza di livello III con i registri e tutti i risultati dello strumento MER.
- Individuare l’indirizzo IP del client e l’indirizzo IP del server di rete con il quale l’applicazione tenta di comunicare.
- Disattivare il firewall e creare una seconda traccia di rete in assenza di errori per confrontarla con la traccia che ha registrato l'errore.
- Se possibile, isolare il traffico di rete che potrebbe essere stato bloccato nella prima traccia confrontando le due tracce. Aggiungere le regole necessarie alla policy.
