- Salve os logs HipShield e FireSvc existentes e exclua os originais para redefinir os logs.
NOTA: desative o registro em log, se ele estiver ativado.
- Ative o registro em log completo do IPS e do firewall. Consulte o artigo KB72869 para obter informações sobre o registro em log do Host Intrusion Prevention.
- Abra a interface do usuário do Cliente do Host Intrusion Prevention e limpe o Log de atividades.
- Na política Opções do firewall ou localmente no cliente (após desbloquear a interface do usuário do cliente), ative a opção Modo adaptável.
- Teste o problema:
Funciona?
É criada uma regra adaptável?Em caso afirmativo, adicione a regra adequada à política de firewall do cliente.
- Teste novamente o problema com a política atualizada aplicada.
- Verifique se há bloqueios no log de atividades da interface do usuário do cliente.
- Procure por BLOCKED PID no FireSvc.log .
- Se não houver bloqueios e nenhuma regra tiver sido criada no Modo adaptável:
Verifique se o cliente está executando o patch mais recente do Host Intrusion Prevention:
Host IPS 8.0: consulte o artigo KB70725 para obter informações de versão de patch e HotFix.
Use a regra Qualquer um-Qualquer um
- No console do servidor ePO, duplique a política Regra de firewall em execução.
- Modifique essa nova política, a atribua ao cliente de teste e crie uma nova regra de firewall.
- Selecione o seguinte:
Host IPS 7.0:
Nome = Permitir Qualquer um-Qualquer um
Ação = Permitir
Protocolo = Todos os protocolos IP
Direção = Qualquer uma
Aplicativo = <em branco>
Endereço = Qualquer um
Host IPS 8.0:
<Guia Descrição>
Nome = Permitir Qualquer um-Qualquer um
Ação = Permitir
Direção = Qualquer uma
Status = Ativado
<Guia Opções de rede>
Protocolo de rede = Qualquer protocolo
<Guia Opções de transporte>
Protocolos de transporte = Todos os protocolos
<Guia Aplicativos>
Deixar em branco
<Guia Agendamento>
Status do agendamento = Deixar desmarcado (Desativado)
- Salve a regra Permitir Qualquer um-Qualquer um e mova-a para o topo da recém-duplicada política de firewall.
- No console do servidor ePO, duplique a política Opções de firewall atualmente em execução.
- Modifique essa política recém-duplicada, a atribua ao cliente de teste e modifique os seguintes recursos na política Opções de firewall.
Host IPS 8.0:
"Permitir tráfego para protocolos incompatíveis" = Ativado
Proteção na inicialização = Desativado
"Ativar proteção contra falsificação de IP" = Desativado
"Limite de bloqueio do TrustedSource de entrada" = Não bloquear
"Limite de bloqueio do TrustedSource de saída" = Não bloquear
- Para o Host IPS 8.0, defina também a política Bloqueio de DNS como McAfee Default ou apenas garanta que a política atribuída não tenha entradas de bloqueio de DNS.
- Teste o problema novamente.
Funciona?
Em caso positivo, expanda todos os grupos de regras de firewall na política nomeada e analise cada uma das regras de firewall, de cima para baixo. Preste muita atenção às regras que têm BLOQUEAR como ação. Com base nessa verificação, mova a regra Qualquer um-Qualquer um várias posições para baixo no conjunto de regras.
NOTAS:
- Ao fazer isso várias vezes e testar novamente o problema, você deverá poder determinar qual regra pode estar bloqueando o aplicativo.
- Para o Host IPS 8.0, outros recursos podem estar bloqueando o tráfego, como a funcionalidade TrustedSource ou Falsificação de IP. O problema poderá ocorrer novamente se você reativar esses recursos, porque as regras de firewall criadas para esses recursos são processadas antes de sua política Regra de firewall.
Host IPS 8.0: verifique se os detalhes do aplicativo correspondem aos detalhes executáveis de maneira adequada. Por exemplo, o valor de Descrição do arquivo deve ser a descrição exata do aplicativo; isso não é um valor COMMENT para o aplicativo. Consulte o artigo KB71735.
Se uma regra não for encontrada, adicione a regra adequada ao conjunto de políticas de firewall e teste novamente.
Teste permitindo protocolos não IP
O filtro NDIS do firewall pode não estar vendo nenhum tráfego. Consulte o artigo
KB66899 para garantir que tenha feito o teste permitindo protocolos não suportados.
Teste desativando a funcionalidade TrustedSource (apenas no Host IPS 8.0)
O tráfego de rede é processado pela regra de firewall
TrustedSource - Obter classificação antes das outras regras de firewall contidas na política
Regras de firewall (que podem conter uma regra de firewall
Permitir Qualquer um-Qualquer um).
Teste desativando a funcionalidade de falsificação de IP (apenas no Host IPS 8.0)
O tráfego de rede é processado pela regra de firewall
Falsificação de IP antes das outras regras de firewall contidas na política
Regras de firewall (que podem conter uma regra de firewall
Permitir Qualquer um-Qualquer um).
Teste desativando/desinstalando os drivers NDIS do Host Intrusion Prevention
NOTA: as informações nos seguintes artigos da Base de dados de conhecimento são somente para teste. Eles não foram criados para serem usados como uma solução para um problema.
Para o Host IPS 8.0: ative o modo FWPassThru. Consulte o artigo
KB75917.
NOTA: as seguintes soluções de problema avançadas podem ser necessárias para análise adicional. Entre em contato com o suporte da McAfee para obter assistência se qualquer um dos seguintes itens for necessário.
Teste o problema com o driver Microsoft NDIS Pass Thru instalado
Alguns problemas podem ser causados por defeitos no Microsoft Network Device Interface Specification (NDIS). O NDIS é a interface de programação de aplicativo para drivers de dispositivo de rede de terceiros. Para determinar se um NDIS tem uma falha, desinstale o Host Intrusion Prevention e instale o driver Microsoft Pass Thru NDIS. Para obter detalhes, consulte o artigo
KB68557. Entre em contato com o Suporte da McAfee para solicitar o driver NDIS PassThru.
- Host IPS 8.0: coleta de dados usando registro em log do Microsoft ETL
Consulte o artigo KB72868 para obter informações sobre a coleta de logs do ETL para o Host Intrusion Prevention 8.0 for Windows
Colete dados usando um software de captura de rede (por exemplo, o Wireshark)
Alguns problemas avançados de firewall também podem requerer um rastreamento de pacotes de rede durante a reprodução. Normalmente, dois rastreamentos são registrados: um com o problema e outro sem. Você pode comparar os rastreamentos para determinar qualquer diferença com o tráfego de pacotes de rede.
- Instale o software de captura de rede (por exemplo, o Wireshark) no cliente de teste.
- Limpe e reinicialize todos os logs e o log de atividades clientUI.
- Inicie capturando um rastreamento de rede.
- Reproduza o problema.
- Interrompa a captura do rastreamento de rede.
- Salve o log de atividades ClientUI do Host IPS clicando na opção EXPORTAR ou SALVAR.
- Colete as seguintes informações:
- Arquivo de rastreamento de rede
- McAfeeFireLog.txt - log de atividades ClientUI do Host IPS
- HipShield.log
- FireSvc.log
- Encaminhe para o Suporte de Camada III com os logs e os resultados completos da ferramenta MER.
- Identifique o endereço do IP do cliente e o endereço IP do servidor de rede com o qual o aplicativo está tentando se comunicar.
- Desative o firewall e crie um segundo rastreamento de rede com tudo funcionando corretamente, para que ele possa ser comparado ao rastreamento que não funciona.
- Se possível, isole o tráfego de rede que possa ter sido bloqueado no primeiro rastreamento, comparando o rastreamento de rede que funciona ao que não funciona. Adicione as regras adequadas à política.
