Comment créer des règles de pare-feu ENS pour le trafic réseau d’un application tiers (managé par ePO)
Articles techniques ID:
KB91885
Date de la dernière modification : 2022-07-16 12:43:34 Etc/GMT
Date de la dernière modification : 2022-07-16 12:43:34 Etc/GMT
Environnement
Pare-feu Endpoint Security (ENS) 10.x
Synthèse
Une fois que vous avez appliqué les étapes de la solution, vous pouvez utiliser normalement les applications avec le pare-feu ENS activé et le mode adaptatif désactivé.
Problème
Le pare-feu ENS bloque le trafic réseau application. Il existe des entrées comme indiqué ci-dessous concernant le trafic bloqué pour le application dans le FirewallEventMonitor.log %PROGRAMDATA%\McAfee\Endpoint Security\Logs . Dans l’exemple ci-dessous, Firefox.exe bloque le trafic TCP local sur le port 8443.
Time: 09/16/2019 04:31:03 PM
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Remarque : Par défaut, les règles autorisent le trafic TCP sortant et autorisent ce trafic dans la console ePolicy Orchestrator .
Event: Traffic
IP Address: 192.168.2.102
Description: FIREFOX
Path: C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
Message: Blocked Outgoing TCP - Source 192.168.2.105 : (54366) Destination 192.168.2.102 : (8443)
Matched Rule: Block all traffic
Remarque : Par défaut, les règles autorisent le trafic TCP sortant et autorisent ce trafic dans la console ePolicy Orchestrator .
Modification du système
Le trafic peut être bloqué lorsque l’une des modifications ci-dessous se produit :
- Une fois que vous avez installé le module pare-feu ENS sur les systèmes managés, certains trafics application sont bloqués en raison des configurations de stratégie dans ePO.
- Une fois que vous avez modifié les configurations de stratégie, certains ports application sont bloqués.
Cause
Le pare-feu ENS n’est pas configuré pour autoriser le trafic application.
Solution
Créez des règles de pare-feu ENS qui autorisent le trafic réseau application tiers. Vous pouvez définir des règles générales (par exemple, tout le trafic IP) ou plus précises (par exemple, identifier une application ou un service spécifique) et spécifier des options. Vous pouvez regrouper les règles en fonction d'une fonction, d'un service ou d'une application de travail, pour une gestion plus facile. Comme pour les règles, vous pouvez définir les groupes de règles par options de réseau, de transport, de application, de planification et d’emplacement. Le pare-feu ENS utilise la priorité pour appliquer les règles :
Remarque : Le système local est le système sur lequel vous ajoutez des règles.
- ENS Firewall applique la règle en haut de la liste des règles de pare-feu. Si le trafic répond aux conditions de cette règle, le pare-feu ENS autorise ou bloque le trafic. Il n'essaie pas d'appliquer une autre règle de la liste, quelle qu'elle soit.
- Si le trafic ne respecte pas les conditions de la première règle, ENS pare-feu continue à la règle suivante de la liste jusqu’à ce qu’il trouve une concordance.
- Si aucune règle ne correspond, le pare-feu ENS bloque automatiquement le trafic.
Remarque : Le système local est le système sur lequel vous ajoutez des règles.
- Cliquez sur l’icône de la zone McAfee notification, puis cliquez sur a proposde. Vérifiez que le système ePO est géré par ePO et notez le nom du système.
- Ouvrez la console ePO.
- Sélectionnez menu, stratégie, catalogue de stratégies.
- Sélectionnez pare-feu Endpoint Security dans la liste produit.
- Sélectionnez les systèmes concernés dans la arborescence des systèmes.
- Sélectionnez actions, agent, modifier les stratégies sur un seul système.
- Cliquez sur le lien nom de la stratégie des règles.
REMARQUES :- Si la McAfee Default stratégie (lecture seule) est toujours affectée, dupliquez la stratégie et commencez à utiliser une nouvelle stratégie. Une fois que vous avez configuré la nouvelle stratégie, affectez-la aux systèmes.
- Une alerte rouge s’affiche en haut de la page modification des règles pour vous informer du nombre de systèmes affectés par la règle. Les modifications apportées à la règle ont un impact sur tous ces systèmes. En l’absence d’alerte rouge, la stratégie n’est toujours affectée à aucun système.
- Si le système n’est pas managé (installation autonome), créez des règles localement.
- Il est vivement conseillé d’utiliser le mode adaptatif après l’installation du pare-feu ENS pour créer automatiquement des règles. Ensuite, testez toutes les applications. Une fois le test terminé, désactivez le mode adaptatif, car il autorise tout le trafic réseau.
- Cliquez sur Ajouter une règle en dessous de la liste des règles.
- Entrez le nomd’une règle.
- Laissez l’option activer la règle sélectionnée.
- Définissez actions sur autoriser.
REMARQUE : Pour bloquer le trafic autorisé, placez une règle en haut de la liste ou désélectionnez l’option activer la règle pour la règle autorisant le trafic. Pour trouver la règle qui autorise le trafic, sélectionnez consigner le trafic autorisé dans la section option et recherchez le trafic dansFirewallEventMonitor.log .
- Sélectionnez la direction du trafic (in, out ou l’autre). Si vous envoyez et recevez du trafic, sélectionnez l’une ou l’autre de ces options. Sinon , sélectionnez le trafic sortant.
- Accédez à spécifier les réseaux dans la section réseaux .
- Cliquez sur Ajouter en local , puis sur Ajouter une adresse IP. Pour que cette règle soit affectée, ajoutez l’adresse 192.168.2.105 IP locale ou votre intervalle d’adresses IP (par exemple, les stations de travail avec DHCP dans l’intervalle 192.168.2.100192.168.2.200 ) de tous les systèmes clients, puis l’emplacement où vous souhaitez autoriser ce trafic.
- Cliquez sur Ajouter à distance , puis sur Ajouter une adresse IP. Pour spécifier un seul réseau distant pour cette règle, ajoutez l’adresse IP distante unique. 192.168.2.102.
- Accédez à la section transport . Sélectionnez le protocole si vous ne souhaitez pas autoriser tous les protocoles. Dans cet exemple, sélectionnez TCP. Si vous spécifiez le protocole, vous pouvez sélectionner les ports locaux et distants. Dans cet exemple, entrez 8443 dans le champ port distant. Dans le journal, vous pouvez trouver le port correspondant à chaque adresse IP (port).
INDICATION Vous pouvez saisir un numéro de port unique, une série de numéros de port à l’aide d’une virgule ou un intervalle de ports à l’aide d’un trait d’Union.
- Accédez à la section applications . Vous pouvez réduire le trafic autorisé en spécifiant des applications par MD5, nom de fichier exécutable ou chemin d’accès au fichier. Dans cet exemple, nous ajoutons
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE . Vous pouvez également ajouterFirefox.exe ouC:\PROGRAM FILES\MOZILLA FIREFOX\* . - Planifiez une heure d’application de cette règle ou laissez l’option activer la planification désactivée.
Résolution 1
Désactivez le module pare-feu ENS comme suit si vous souhaitez autoriser temporairement tout le trafic sans aucun blocage :
- Ouvrez la console ePO.
- Sélectionnez menu, stratégie, catalogue de stratégies.
- Sélectionnez pare-feu Endpoint Security dans la liste produit, puis sélectionnez la stratégie options .
- Désélectionnez activer le pare-feu pour désactiver le module pare-feu ens.
- Cliquez sur Enregistrer.
- Configurez les règles comme décrit dans la section "de la solution" ci-dessus.
- Sélectionnez activer le pare-feu pour activer le module pare-feu ens.
- Testez les applications et recherchez tout trafic réseau bloqué dans
FirewallEventMonitor.log .
Résolution 2
Créez une stratégie autoriser si vous souhaitez autoriser temporairement l’ensemble du trafic sans aucun blocage :
- Ouvrez la console ePO.
- Sélectionnez menu, stratégie, catalogue de stratégies.
- Sélectionnez pare-feu Endpoint Security dans la liste produit.
- Cliquez sur Ajouter une règle.
- Accédez à la section Description et configurez les paramètres suivants :
- Nom- autoriser tout
- Statut- activer la règle
- Actions- autoriser
- Considérer les correspondances comme des intrusions désactivées
- Consigner le trafic de correspondance- désactivé
- Direction : soit
- Accédez à la section réseaux et configurez les paramètres suivants :
- Protocole réseau- tous les protocoles
- Types de connexion : sélectionnez tous les types affichés.
- Spécifier les réseaux : aucune configuration n’est nécessaire.
- Accédez à la section transport et configurez le paramètre suivant :
- Protocole de transport : tous les protocoles
- Accédez à la section applications et conservez les paramètres par défaut. Aucune configuration n'est requise.
- Accédez à la section planification et configurez le paramètre suivant :
- Activer la planification- désactivée
Résolution 3
Activez le mode adaptatif du pare-feu ENS pour créer automatiquement des règles. En activant le mode adaptatif, vous autorisez tout le trafic sans aucun blocage.
Tenez compte des limitations de la fonctionnalité du mode adaptatif. Il existe des conditions dans lesquelles le pare-feu ENS ne peut pas créer automatiquement de règles client. Pour plus d’informations, reportez-vous à la section "FAQ-mode adaptatif" du Guide produit Endpoint Security 10.7.x.
Tenez compte des limitations de la fonctionnalité du mode adaptatif. Il existe des conditions dans lesquelles le pare-feu ENS ne peut pas créer automatiquement de règles client. Pour plus d’informations, reportez-vous à la section "FAQ-mode adaptatif" du Guide produit Endpoint Security 10.7.x.
- Ouvrez la console ePO.
- Sélectionnez menu, stratégie, catalogue de stratégies.
- Sélectionnez pare-feu Endpoint Security dans la liste produit, puis sélectionnez la stratégie options .
- Cliquez sur Afficher les paramètres avancés.
- Accédez à la section options de réglage et sélectionnez activer le mode adaptatif.
- Appliquez la stratégie modifiée au client et retestez le problème. Si le problème est résolu, passez à l’étape suivante. Si le problème n’est pas résolu, passez à la section suivante.
- Ouvrez la console ENS et ouvrez le menu pare-feu.
- Accédez à la section règles et examinez le groupe de pare-feu adaptatif.
- Développez le groupe de pare-feu adaptatif et passez en revue les règles client pour déterminer la raison pour laquelle les nouvelles règles ont été créées. Il se peut que des règles client de pare-feu soient créées pour plusieurs raisons. Modifiez les règles existantes en fonction de vos besoins. Ou, créez des règles de pare-feu dans la stratégie si d’autres règles de pare-feu existent dans la stratégie pour le trafic réseau ou application spécifique. Si vous pensez que les règles ont été créées par erreur, contactez Support technique pour obtenir de plus amples recherches. Pour en savoir plus, reportez-vous à la section "informations connexes".
- Effectuez tous les application les tests et vérifiez que les règles adaptatives ont été créées.
- Ouvrez la console ePO.
- Sélectionnez menu, règles client pare-feu.
- Utilisez la liste déroulante pour sélectionner le système client. Cliquez sur actions, Ajouter à la stratégie, puis sélectionnez la règle créée sur le système client.
Informations connexes
Exemples de règles de pare-feu
Consultez les exemples ci-dessous lors de la création de règles de pare-feu.
Créer des règles qui vous permettent d’accéder à une adresse IP sur une interface
Pour créer des règles de pare-feu qui vous permettent d’accéder à une adresse IP sur une interface, il est conseillé de créer deux règles. Créez d’abord une règle pour autoriser le trafic DHCP sortant sur le port local UDP 68 et sur le port distant 67. Créez ensuite une règle pour autoriser les requêtes DNS.
Règles de pare-feu recommandées
En plus des règles de pare-feu par défaut, il est conseillé de configurer les règles suivantes :
Pour plus d’informations, reportez-vous à cet article Microsoft .
Consultez les exemples ci-dessous lors de la création de règles de pare-feu.
Créer des règles qui vous permettent d’accéder à une adresse IP sur une interface
Pour créer des règles de pare-feu qui vous permettent d’accéder à une adresse IP sur une interface, il est conseillé de créer deux règles. Créez d’abord une règle pour autoriser le trafic DHCP sortant sur le port local UDP 68 et sur le port distant 67. Créez ensuite une règle pour autoriser les requêtes DNS.
- Créez une règle qui autorise le protocole DHCP sortant sur le port local UDP 68 vers le port distant 67 :
- Nom de la règle : entrez le nom de la règle.
- Statut-activé
- Action-autoriser
- Direction-sortant
- Protocole réseau (IPv4)-non applicable
- Protocole de transport-sélection du protocole
- Sélectionnez UDP, local, puis entrez le numéro de port 68
- Sélectionnez UDP, distant, puis entrez le numéro de port 67
- Créez une règle autorisant les requêtes DNS :
- Nom de la règle : entrez le nom de la règle.
- Statut-activé
- Action-autoriser
- Direction-sortant
- Protocole réseau (IPv4)-non applicable
- Protocole de transport-sélection du protocole
- Sélectionnez UDP, distant, puis entrez le numéro de port 53
- Nom de la règle : entrez le nom de la règle.
- Statut-activé
- Action-autoriser
- Direction-sortant
- Protocole réseau (IPv4)-non applicable
- Protocole de transport-sélection du protocole
- Sélectionnez TCP, distant, puis entrez le numéro de port 80
- Nom de la règle : entrez le nom de la règle.
- Statut-activé
- Action-autoriser
- Direction-sortant
- Dans protocole réseau (IPv4), sélectionnez distant, sous-réseau, puis entrez la valeur du masque de sous-réseau.
- Protocole de transport-sélection du protocole
- Sélectionnez TCP, distant, puis entrez le numéro de port
Règles de pare-feu recommandées
En plus des règles de pare-feu par défaut, il est conseillé de configurer les règles suivantes :
- Autoriser le port NTP bidirectionnel 123 – 123
- Autoriser le port de service de nom NetBIOS bidirectionnel 137 – 137
- Autoriser le port du client FTP sortant 1 – 65535 à 21
- Autoriser les messages sortants pour POP3, IMAP et SMTP
- Autoriser les messages sortants pour RDP
- Autoriser les messages sortants pour LDAP
- Autoriser l’utilisation bidirectionnelle pour AFP/SMB, si vous utilisez le partage de fichiers
Pour plus d’informations, reportez-vous à cet article Microsoft .
Pour contacter Support technique, accédez à la page créer une demande de service et connectez-vous au ServicePortal.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :