- 存在するあらゆる HipShield と FireSvc のログを保存し、オリジナルを削除してログをリセットします。
注: ログ取得が有効になっている場合は無効にします。
- フル IPS とファイアウォール ロギングを有効にします。Host Intrusion Prevention のロギングの詳細は KB72869 を参照してください。
- Host Intrusion Prevention クライアント UI を開き、アクティビティ ログ をクリアします。
- ファイアウォール オプション ポリシーで、あるいはクライアント上でローカルで (クライアント UI をロック解除後)、適応モード オプションを有効にします。
- 問題をテストします。
機能しましたか?
適応ルールが作成されましたか?作成された場合は、適切なルールをお客様のファイアウォール ポリシーに追加します。
- 更新されたポリシーを適用して再テストします。
- クライアント UI のアクティビティ ログでブロックがログされているかチェックします。
- FireSvc.log で BLOCKED PID を検索します。
- ブロックがログされておらず、適応モードのルールが作成されていない場合:
クライアントで最新の Host Intrusion Prevention パッチを実行していることを確認します。
Host IPS 8.0: パッチと HotFix のバージョン情報は KB70725 を参照してください。
ANY-ANY ルールを使用
- ePO サーバー コンソールで、現在実行している ファイアウォール ルール ポリシーを複製します。
- この新しいポリシーを変更し、テスト クライアントに割り当てて、新しいファイアウォール ルールを作成します。
- 以下を選択します。
HostIPS 7.0:
Name = Allow Any-Any
Action = Permit
Protocol = All IP Protocols
Direction = Either
Application = <blank>
Address = Any
Host IPS 8.0:
<説明タブ>
Name = Allow Any-Any
Action = Allow
Direction = Either
Status = Enabled
<ネットワーク オプション タブ>
Network Protocol = Any Protocol
<Transport Options tab>
Transport Protocols = All Protocols
<アプリケーション タブ>
空白にします
<スケジュール タブ>
Schedule Status = チェックなし (無効)
- Allow Any-Any ルールを保存して、新しく複製したファイアウォール ポリシーのトップに移動します。
- ePO サーバー コンソールで、現在実行している ファイアウォール オプション ポリシーを複製します。
- この新しく複製したポリシーを変更し、テスト クライアントに割り当てて、ファイアウォール オプション ポリシーの以下の機能を変更します。
Host IPS 8.0:
"サポートされていないトラフィックのプロトコルを許可する" = 有効
起動時の保護 = 無効
"IP スプーフィング対策を有効にする" = 無効
"受信する TrustedSource ブロックしきい値" = ブロックしない
"送信する TrustedSource ブロックしきい値" = ブロックしない
- Host IPS 8.0 では、DNS ブロック ポリシーを マカフィー デフォルト に設定するか、割り当てられたポリシーに DNS ブロック エントリがないことを確認します。
- 問題を再テストします。
機能しましたか?
機能する場合は、名前が付けられたポリシーのすべてのファイアウォール ルール グループを展開して、ファイアウォール ルールのそれぞれを上から下の順に分析します。これらのルールにアクションとして ブロック があることに特に注意して確認します。この確認に基いて、ANY-ANY ルールをルール セットのさまざまな位置に下方に移動します。
注:
- これを数回行って問題を再テストすることにより、どのルールがアプリケーションをブロックしているか特定することができます。
- Host IPS 8.0 の場合は、TrustedSource または IP スプーフィング 機能などの他の機能がトラフィックをブロックしている可能性があります。 これらの機能を再度有効にすると、これらの機能に対して作成されたファイアウォール ルールがファイアウォール ルール ポリシーより前に処理されるため、問題が再度発生する可能性があります。
Host IPS 8.0: アプリケーションの詳細が実行可能ファイルの詳細と適切に一致することを確認します。例えば、ファイルの説明 の値は、アプリケーションの説明と正確に一致する必要があり、これはアプリケーションのコメント値ではありません。 KB71735 を参照してください。
ルールが見つからない場合は、適切なルールをファイアウォール ポリシー セットに追加して再テストします。
IP 以外のプロトコルを許可することによるテスト
ファイアウォール NDIS フィルターは、トラフィックをまったくチェックしていない可能性があります。サポートされていないプロトコルを許可することによりテストしたことを確認するには、
KB66899 を参照してください。
TrustedSource の機能を無効にすることによるテスト (Host IPS 8.0 のみ)
ネットワーク トラフィックは、
ファイアウォール ルール ポリシー (
ANY-ANY を許可 ファイアウォール ルールを含む場合がある) に含まれる他のファイアウォール ルールの
前に、
TrustedSource - 評価を取得 ファイアウォール ルールにより処理されます。
IP スプーフィング機能を無効にすることによるテスト (Host IPS 8.0 のみ)
ネットワーク トラフィックは、
ファイアウォール ルール ポリシー (
ANY-ANY を許可 ファイアウォール ルールを含む場合がある) に含まれる他のファイアウォール ルールの
前に、
IP スプーフィング ファイアウォール ルールにより処理されます。
Host Intrusion Prevention NDIS ドライバーを有効/無効にすることによるテスト
注: 以下の KnowledgeBase 記事の情報はテスト目的のみのものです。これらは、問題の解決に使用することを意図していません。
Host IPS 8.0 の場合: FWPassThru モードを有効にします。
KB75917 を参照してください。
注: さらに分析するためには、以下の高度なトラブルシューティングが必要な場合があります。 以下のいずれかが必要な場合は、McAfee サポートまでご連絡ください。
Microsoft NDIS パススルー ドライバーをインストールされた場合の問題のテスト
Microsoft Network Device Interface Specification (NDIS) の欠陥により問題が発生する場合があります。 NDIS はサードパーティ ネットワーク デバイス ドライバーのアプリケーション プログラミング インターフェースです。 NDIS がデフォルトであるか確認するには、Host Intrusion Prevention をアンインストールして Microsoft パススルー NDIS ドライバーをインストールします。詳細は、
KB68557 を参照してください。 NDIS パススルー ドライバーが必要な場合は、McAfee サポートまでご連絡ください。
- Host IPS 8.0: Microsoft ETL ロギングを使用したデータの収集
Host Intrusion Prevention 8.0 for Windows で ETL ログを収集する方法は、KB72868 を参照してください。
ネットワーク キャプチャ ソフトウェアを使用したデータの収集 (例: Wireshark)
高度なファイアウォールの問題では、再現する際にネットワーク パケット トレースが必要な場合があります。通常、問題が発生する場合と発生しない場合の 2 種類のトレースが記録されます。 トレースを比較することにより、ネットワーク パケット トラフィックの差を特定することができます。
- テスト クライアントにネットワーク キャプチャ ソフトウェアをインストールします (例: Wireshark)。
- すべてのログと clientUI アクティビティ ログをクリアして再初期化します。
- ネットワーク トレースのキャプチャを開始します。
- 問題の再現
- ネットワーク トレース キャプチャを停止します。
- エクスポート または 保存 オプションをクリックして、Host IPS ClientUI アクティビティ ログを保存します。
- 以下を収集します。
- ネットワーク トレース ファイル
- McAfeeFireLog.txt - Host IPS クライアント UI アクティビティ ログ
- HipShield.log
- FireSvc.log
- ログと完全な MER ツールの結果を添えて、ティア III サポートにエスカレーションします。
- クライアント IP アドレス およびアプリケーションが通信しようとする ネットワーク サーバーの IP アドレスを特定します。
- ファイアウォールを無効にして、すべてが正常に動作している場合の 2 番目のネットワーク トレースを作成して、正常に動作していない場合のトレースと比較できるようにします。
- 可能な場合は、定常に動作している場合と動作していない場合のネットワーク トレースを比較することにより、ブロックされている可能性のあるネットワーク トラフィックを分離します。適切なルールをポリシーに追加します。