Journaux Host IPS Utilitaire Clientcontrol.exe
Problèmes généraux
Quels services Host Intrusion Prevention doivent être installés et exécutés sur le système client pour un fonctionnement correct du logiciel ?
Ces services doivent toujours être actifs pour que la prévention des intrusions fonctionne, avec IPS et/ou pare-feu :
• Service McAfee Host Intrusion Prevention (FireSvc.exe)
• Service McAfee Firewall Core (mfefire.exe)
• Service McAfee Validation Trust Protection (mfevtps.exe) Les services suivants doivent être actifs lors des appels :
• Service de l'icône McAfee Host Intrusion Prevention de la barre d'état système (FireTray.exe).
• Console client McAfee Host Intrusion Prevention (McAfeeFire.exe) Comment empêcher le pare-feu de bloquer le trafic non IP ?
Lorsqu'aucune règle de pare-feu ne l'indique spécifiquement, certains types de trafics non IP ne sont pas reconnus par le pare-feu et sont par conséquent bloqués. En outre, les modes adaptatif et d'apprentissage ne détectent ni ne créent dynamiquement de règles de pare-feu pour les protocoles non IP. Pour empêcher le rejet des protocoles non IP, sélectionnez Autoriser le trafic associé à des protocoles non pris en charge dans la stratégie Options de pare-feu. Vous pouvez ensuite consulter la section Protocole non IP entrant/sortant autorisé du journal d'activité : 0xXXX, où 0xXXX indique le numéro Ethernet IANA du protocole (voirhttp://www.iana.org/assignments/ethernet-numbers). Utilisez ces informations pour déterminer le trafic non IP nécessaire et créez une règle de pare-feu autorisant ce dernier.
Que faire lorsqu'une application ne fonctionne pas ou de manière incorrecte suite à l'installation de Host Intrusion Prevention ou à la mise à jour de son contenu ? Si l'une de vos applications se comporte différemment après l'installation ou la mise à jour du client Host Intrusion Prevention ou de son contenu, vous devez déterminer si une signature ou un autre élément est à l'origine du problème.
Si le problème est causé par une signature IPS :
1 Activez la journalisation IPS (écriture sur HipShield.log) et la journalisation du pare-feu (écriture sur FireSvc.log) sur le client ou dans la stratégie d'interface utilisateur de ce dernier sur le serveur ePolicy Orchestrator, puis reproduisez les étapes entraînant le problème.
2 Recherchez VIOLATION dans HipShield.log pour obtenir des détails sur les violations d'événements (<Event>).
3 Si une nouvelle signature bloque l'activité à cause d'un événement, accédez à l'onglet Evénements de Host IPS sous la partie des rapports du serveur ePolicy Orchestrator, trouvez l'événement et créez une exception. Assurez-vous que l'exception est aussi granulaire que possible en utilisant les paramètres avancés de l'événement.
4 Si les paramètres avancés de l'événement sont limités, affichez la signature liée à ce dernier.
Si un élément VCE (Common Vulnerabilities and Exposures) est référencé dans la description de la signature IPS, cela indique qu'un patch de mise à jour de sécurité est disponible.
Appliquez le patch et désactivez la signature.
Si le problème n'est pas lié à une signature IPS :
1 Désactivez les modules Host Intrusion Prevention (IPS, IPS réseau et pare-feu) puis tentez de reproduire le problème.
2 Désactivez IPS et arrêtez le service client Host Intrusion Prevention (FireSvc.exe), puis tentez de reproduire le problème.
3 Si le problème disparaît, sélectionnez Autoriser le trafic associé à des protocoles non pris en charge dans la stratégie Options de pare-feu à partir du serveur ePolicy Orchestrator, puis mettez en œuvre la stratégie sur le client. Tentez de reproduire le problème après définition de cette option. Remarque : même si le pare-feu est désactivé, le trafic peut toujours être ignoré lorsque Host Intrusion Prevention est actif.
4 Si ces étapes ne vous permettent pas de résoudre le problème, désactivez l'adaptateur McAfee NDIS Intermediate Filter Miniport puis tentez de le reproduire.
5 Si ces étapes ne vous permettent pas de résoudre le problème, désinstallez l'adaptateur McAfee NDIS Intermediate Filter Miniport puis tentez de le reproduire. Pour en savoir plus, consultez l'article 51676 de la base de connaissances (KnowledgeBase) sur
http://knowledge.mcafee.com.
6 Si le problème disparaît avec la désinstallation de NDIS, consultez l'article de la base de connaissances 68557 sur http://knowledge.mcafee.comet tentez de reproduire le problème avec NDIS désinstallé et le pilote relais de Microsoft (Pass Thru) installé.
Si le problème survient uniquement lorsque le module IPS est activéet qu'aucune violation d'événement (<Event>) n'apparaît dans HipShield.log :
1 Identifiez les fichiers exécutables associés à l'application.
2 Excluez ces derniers de la liste de protection des applications Host IPS.
3 Testez à nouveau le fonctionnement de l'application. Notez les résultats.
4 Incluez les fichiers exécutables exclus à l'étape 2.
5 Isolez le moteur IPS possiblement à l'origine du problème. Pour en savoir plus, consultez l'article 54960 de la base de connaissances (KnowledgeBase) sur
http://knowledge.mcafee.com.
6 Identifiez le moteur IPS à l'origine du problème.
Comment isoler les composants de Host IPS pour déterminer lequel est à l'origine d'un problème ?
REMARQUE :cette procédure comporte des étapes pouvant requérir plusieurs redémarrages, reconnexions ou reproductions des problèmes. Les étapes suivantes doivent être réalisées sur le système client local avec la console Host IPS. Si vous trouvez l'origine du problème sans pouvoir le résoudre, transmettez les journaux obtenus au support technique McAfee.
Désactivez tous les composants et testez le problème :
1 Désactiver IPS : cliquez sur l'onglet Stratégie IPS et désactivez les options Activer Host IPS et Activer IPS réseau.
2 Désactiver le pare-feu : cliquez sur l'onglet Stratégie de pare-feu et désélectionnez l'option Activer le pare-feu.
3 Effacer la liste des Hôtes bloqués : cliquez sur l'onglet Hôtes bloqués et effacez la liste en sélectionnant chaque entrée et en cliquant sur Supprimer.
4 Activer la journalisation des activités : cliquez sur l'onglet Journal d'activité et vérifiez que toutes les options de journalisation du trafic et de filtre sont sélectionnées.
5 Testez le système pour vérifier la récurrence du problème :
• Si le problème persiste, passez à l'étape 6.
• Si le problème disparaît, passez à l'étape 1 de laphase de tests itératifs.
6 Vérifiez les éléments suivants :
• Arrêtez le service McAfee Host IPS et tentez de reproduire le problème. Si le problème disparaît, rapportez le problème en précisant qu'il est directement lié à ce service.
• Désinstallez le client Host IPS du système local et tentez de reproduire le problème. Si le problème disparaît, rapportez le problème en précisant qu'il est lié aux fichiers installés et non à un composant spécifique.
Phase de tests itératifs de chaque composant : Tester Host IPS
1 Cliquez sur l'onglet Journal d'activité et effacez le journal.
2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer Host IPS.
3 Testez le système pour vérifier la récurrence du problème :
• Si le problème disparaît, passez à l'étape 5, Tester IPS réseau.
• Si le problème persiste :
1 Désélectionnez l'option Activer Host IPS.
2 Tentez de reproduire le problème pour déterminer si ce dernier disparaît. Si le problème est résolu, Host IPS peut potentiellement y être lié.
3 Enregistrez une copie du journal d'activité et nommez-le Host IPS Activity Log wProb pour l'envoyer au support technique.
4 Sélectionnez l'option Activer Host IPS et vérifiez la récurrence du problème.
Tester tous les moteurs IPS
1 Cliquez sur Aide et sélectionnez Dépannage.
2 Sélectionnez Rapport d'erreurs sous la journalisation IPS.
3 Sélectionnez Journaliser les violations de sécurité.
4 Cliquez sur Fonctionnalités.
5 Dans la boîte de dialogue Moteurs HIPS, désélectionnez l'option Activer/désactiver tous les moteurs et cliquez sur OK.
6 Testez le système pour vérifier la récurrence du problème.
7 Effectuez l'une des procédures suivantes :
• Si le problème persiste, déterminez si le problème est lié au composant IPS mais pas aux moteurs spécifiques. Consultez le fichier hipshield.log pour déterminer si le composant IPS est à l'origine du problème.
• Si le problème disparaît, le problème est peut-être lié à un moteur spécifique. Passez à l'étape suivante,Tester chaque moteur IPS.
Tester chaque moteur IPS
1 Cliquez sur Aide et sélectionnez Dépannage.
2 Sélectionnez Rapport d'erreurs sous la journalisation IPS.
3 Sélectionnez Journaliser les violations de sécurité.
4 Cliquez sur Fonctionnalités.
5 Sélectionnez les moteurs un par un et tentez de reproduire le problème.
6 Enregistrez une copie du journal hipshield pour chaque test et appliquez-lui le nom du moteur testé, pour l'envoyer au support technique.
7 A la fin des tests, activez tous les moteurs pour passer à l'étape suivante.
Tester le mode adaptatif IPS
1 Cliquez sur l'onglet Journal d'activité et effacez le journal.
2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer le mode adaptatif.
3 Testez le système pour vérifier la récurrence du problème.
4 Effectuez l'une des procédures suivantes :
• Si le problème persiste, désélectionnez Activer le mode adaptatif et tentez de reproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, Host IPS en mode adaptatif peut potentiellement y être lié. Enregistrez une copie du journal d'activité et nommez-le Host IPS Adaptive Activity Log wProb pour l'envoyer au support technique.
• Si le problème disparaît, désélectionnez l'option Activer Host IPS et passez à l'étape suivante.
Tester IPS réseau
1 Cliquez sur l'onglet Journal d'activité et effacez le journal.
2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer IPS réseau.
3 Testez le système pour vérifier la récurrence du problème.
4 Effectuez l'une des procédures suivantes :
• Si le problème persiste, désélectionnez Activer IPS réseau et tentez de reproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, IPS réseau peut potentiellement y être lié. Enregistrez une copie du journal d'activité et nommez-le Network IPS Activity Log wProb pour l'envoyer au support technique.
• Si le problème disparaît, sélectionnez l'option Activer IPS réseau et passez à l'étape suivante.
Tester le blocage automatique d'IPS réseau
1 Cliquez sur l'onglet Journal d'activité et effacez le journal.
2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer IPS réseau.
3 Activez la case Bloquer automatiquement les pirates.
4 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a Désélectionnez l'option Bloquer automatiquement les pirates et tentez de
reproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, IPS réseau en mode de blocage des pirates peut potentiellement y être lié.
b Cliquez sur l'onglet Hôtes bloqués, relevez les entrées relatives aux pirates bloqués puis recherchez les faux positifs.
c Enregistrez une copie du journal d'activité et nommez-le Network IPS Adaptive Activity Log wProb pour l'envoyer au support technique.
5 Si le problème disparaît, désélectionnez l'option Activer IPS réseau et passez à l'étape suivante.
Tester la stratégie de pare-feu
1 Cliquez sur l'onglet Journal d'activité et effacez le journal.
2 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez l'option Activer le pare-feu.
3 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a Désélectionnez l'option Activer le pare-feu.
b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, le pare-feu de Host IPS peut potentiellement y être lié.
c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log wProb.
4 Si le problème disparaît, sélectionnez l'option Activer le pare-feu et passez à l'étape suivante.
Tester le mode d'apprentissage du pare-feu
1 Cliquez sur l'onglet Journal d'activité et effacez le journal.
2 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Mode d'apprentissage et Entrant. Désélectionnez l'option Sortant.
3 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a Désélectionnez l'option Entrant.
b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, le mode d'apprentissage entrant du pare-feu peut potentiellement y être lié.
c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log LearnIN wProb pour l'envoyer au support technique.
d Cliquez sur l'onglet Journal d'activité et effacez le journal.
4 Cliquez sur l'onglet Journal d'activité et effacez le journal.
5 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Mode d'apprentissage et Sortant. Désélectionnez l'option Entrant.
6 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a Désélectionnez l'option Sortant.
b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, le mode d'apprentissage sortant du pare-feu peut potentiellement y être lié.
c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log LearnOUT wProb pour l'envoyer au support technique.
d Cliquez sur l'onglet Journal d'activité et effacez le journal.
7 Accédez à l'onglet Stratégie de pare-feu.
8 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Mode d'apprentissage ainsi que Entrant et Sortant.
9 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a Désélectionnez les options Entrant et Sortant.
b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, les modes d'apprentissage entrant et sortant du pare-feu peuvent potentiellement y être liés.
c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log LearnINOUT wProb pour l'envoyer au support technique.
Tester avec une règle de pare-feu d'autorisation de tous les trafics
REMARQUE :cette étape peut devoir être configurée à partir de la console de gestion ePO car il est impératif que la première règle de la liste des règles de pare-feu soit une règle de test d'autorisation de tous les trafics. Si d'autres stratégies ont été configurées à partir de la console, ces dernières sont prioritaires sur les règles créées localement.
1 Créez une nouvelle règle et nommez-la Autoriser tous les trafics.
2 Définissez l'action sur Autoriser.
3 Définissez le protocole sur TCP IP.
4 Définissez la direction sur Les deux.
5 Enregistrez la règle. Si la règle est créée dans une stratégie via la console ePO, déplacez la règle Autoriser tous les trafics afin qu'elle apparaisse en premier dans la liste des stratégies. Si la règle est créée localement, assurez-vous qu'aucune autre ne la précède.
6 Testez le système pour vérifier la récurrence du problème. Si le problème persiste : a Désactivez la règle Autoriser tous les trafics.
b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est le cas, une erreur de configuration existe probablement au niveau des règles.
c Réalisez une capture d'écran de la liste de pare-feu dans l'onglet Stratégie de pare-feu.
d Enregistrez une copie du journal d'activité et nommez-le Firewall Activity Log AnyAny Test.
e Exportez les paramètres de la stratégie Host IPS : a Connectez-vous à la console ePO.
b Accédez à l'objet Catalogue de stratégies dans l'arborescence des systèmes ePO.
c Recherchez Host IPS et développez-le.
d Cliquez sur Exporter toutes les stratégies.
7 Cliquez sur l'onglet Stratégie de pare-feu, désactivez la case Activer le pare-feu et passez à l'étape suivante.
Tester la stratégie Hôtes bloqués
1 Cliquez sur l'onglet Journal d'activité et effacez le journal.
2 Cliquez sur l'onglet Hôtes bloqués et supprimez tous les hôtes bloqués de la liste.
3 Testez le système pour vérifier la récurrence du problème. Si c'est le cas, il n'est probablement pas lié aux hôtes bloqués.
Si vous n'avez toujours pas déterminé l'origine du problème, contactez le support technique McAfee, expliquez votre problème et joignez les données obtenues lors de cette procédure.