McAfee Host Intrusion Prevention 8.0

Transcription

McAfee Host Intrusion Prevention 8.0
Produkthandbuch zur Verwendung mit ePolicy Orchestrator 4.0
COPYRIGHT
Copyright © 2010 McAfee, Inc. Alle Rechte vorbehalten.
Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten und
angeschlossenen Unternehmen ganz oder teilweise reproduziert, übermittelt, übertragen, in einem Abrufsystem gespeichert oder in eine andere
Sprache übersetzt werden.
MARKEN
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN,
WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Ländern.
Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken
in diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer.
INFORMATIONEN ZUR LIZENZ
Lizenzvereinbarung
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER
ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT
WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN
UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET
ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE
AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN
BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS
PRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.0
Inhaltsverzeichnis
Über Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Host IPS-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Host IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Host IPS-Richtlinienverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Host IPS-Richtliniennachverfolgung und Abstimmung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Verwalten Ihres Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Informationsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Host IPS-Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Host IPS-Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Richtlinienverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Suchen von Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Konfigurieren von Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Standardschutz und Optimierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Host IPS-Richtlinienmigration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Systemverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Host IPS-Berechtigungssätze. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Host IPS-Server-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Host IPS-Ereignisbenachrichtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Aktualisierungen des Host IPS-Schutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Konfigurieren von IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Übersicht der IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Verfahren zur Bereitstellung von IPS-Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Verhaltensregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Reaktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Ausnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Anwendungsschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Ereignisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Aktivieren des IPS-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Konfigurieren der Richtlinie für IPS-Optionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Festlegen der Reaktion auf IPS-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3
Inhaltsverzeichnis
Konfigurieren der Richtlinie für den IPS-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Festlegen des IPS-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Konfigurieren der Richtlinie für IPS-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Zuweisen mehrerer Instanzen der Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Häufig gestellte Fragen: Richtlinien mit mehreren Instanzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Funktionsweise von IPS-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Funktionsweise von IPS-Anwendungsschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Funktionsweise von IPS-Ausnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Überwachen von IPS-Ereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Verwalten von IPS-Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Erstellen von Ausnahmen anhand von Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Erstellen vertrauenswürdiger Anwendungen aus Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Überwachen von IPS-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Verwalten von IPS-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Konfigurieren von Firewall-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Übersicht der Firewall-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Funktionsweise von Firewall-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Funktionsweise von Firewall-Regelgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Funktionsweise des Host IPS-Katalogs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Statusbehaftete Firewall-Paketfilterung und -prüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Auswirkungen des Lernmodus und des adaptiven Modus auf die Firewall. . . . . . . . . . . . . . . . . . . . . 72
Firewall-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Aktivieren des Firewall-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Konfigurieren der Richtlinie für Firewall-Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Häufig gestellte Fragen – McAfee TrustedSource und die Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Definieren des Firewall-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Konfigurieren der Richtlinie für Firewall-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Erstellen und Bearbeiten von Firewall-Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Erstellen und Bearbeiten von Firewall-Regelgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Erstellen von Konnektivitätsisolationsgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Blockieren des DNS-Datenverkehrs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Verwenden des Host IPS-Katalogs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Verwalten von Firewall-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Häufig gestellte Fragen – Verwendung von Platzhaltern in Firewall-Regeln. . . . . . . . . . . . . . . . . . . . 83
Konfigurieren von allgemeinen Richtlinien
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Übersicht über allgemeine Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Definieren der Client-Funktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4
Inhaltsverzeichnis
Konfigurieren der Richtlinie "Client-Benutzeroberfläche". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Festlegen der allgemeinen Optionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . 87
Festlegen der erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche. . . . . . . . . . 88
Festlegen der Fehlerbehebungsoptionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . 89
Definieren vertrauenswürdiger Netzwerke. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Konfigurieren der Richtlinie "Vertrauenswürdige Netzwerke". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Definieren vertrauenswürdiger Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen". . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Erstellen und Bearbeiten von Regeln für vertrauenswürdige Anwendungen. . . . . . . . . . . . . . . . . . . 93
Zuweisen mehrerer Instanzen der Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Arbeiten mit Host Intrusion Prevention-Clients
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Übersicht Windows-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Taskleistenmenü. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Client-Konsole für Windows-Clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Entsperren der Windows-Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Einstellen von Optionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Fehlerbehebung für den Windows-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Windows-Client-Warnungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Informationen zur Registerkarte "IPS-Richtlinie". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Informationen zur Registerkarte "Firewall-Richtlinie". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Informationen zur Registerkarte "Blockierte Hosts". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Bearbeiten der Liste "Blockierte Hosts". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Informationen zur Registerkarte "Anwendungsschutzliste". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Arbeiten mit der Registerkarte "Aktivitätsprotokoll". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Übersicht Solaris-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Richtlinienerzwingung mit dem Solaris-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Fehlerbehebung für den Solaris-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Übersicht Linux-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Richtlinienerzwingung mit dem Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Anmerkungen zum Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Fehlerbehebung für den Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen. . . . 117
Regelstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Allgemeine Abschnitte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Optionale allgemeine Abschnitte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Platzhalter und Variablen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Benutzerdefinierte Windows-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
5
Inhaltsverzeichnis
Windows-Klasse "Buffer Overflow". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Windows-Klasse "Files". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Windows-Klasse "Hook". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Windows-Klasse "Illegal Host IPS API Use". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Windows-Klasse "Illegal Use". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Windows-Klasse "Isapi" (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Windows-Klasse "Program". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Windows-Klasse "Registry". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Windows-Klasse "Services". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Windows-Klasse "SQL". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Klassen und Richtlinien für die einzelnen Windows-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Benutzerdefinierte Nicht-Windows-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Solaris/Linux-Klasse "UNIX_file". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Solaris/Linux-Klasse "UNIX_apache" (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Solaris/Linux-Klasse "UNIX_Misc". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Solaris-Klasse "UNIX_bo". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Solaris-Klasse "UNIX_map". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Solaris-Klasse "UNIX_GUID". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Klassen und Richtlinien für die einzelnen UNIX-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Anhang B: Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Allgemeine Probleme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Host IPS-Protokolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Dienstprogramm Clientcontrol.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
6
Über Host Intrusion Prevention
®
McAfee Host Intrusion Prevention ist ein hostbasiertes Entdeckungs- und Präventionssystem,
das Systemressourcen und Anwendungen sowohl vor externen als auch vor internen Angriffen
schützt. Als verwaltbare und skalierbare Lösung schützt es Arbeitsstationen, Notebooks und
unternehmenskritische Server, einschließlich Web- und Datenbankserver vor Eindringversuchen.
Zero-Day-Angriffe und bekannte Angriffe werden mit patentierter Technologie blockiert.
Host Intrusion Prevention (hier auch als Host IPS oder HIP bezeichnet) schützt Daten und beugt
der Manipulation von System- und Netzwerkressourcen sowie Anwendungen vor, mit denen
Informationen gespeichert und bereitgestellt werden. Dies wird mit einer
Endpunkt-Firewall-Funktion und einem System zum Schutz vor Eindringversuchen (IPS) erreicht.
Die IPS-Funktion wird monatlich aktualisiert; Patches im Zusammenhang mit neuen Bedrohungen
sind somit weniger dringlich. Die Firewall-Funktion von Host Intrusion Prevention ist separat
oder zusammen mit der IPS-Funktion von Host Intrusion Prevention erhältlich.
Host Intrusion Prevention ist vollständig in ePolicy Orchestrator integriert und verwendet zur
Übertragung und Erzwingung von Richtlinien dessen Framework. Dieser Ansatz bietet eine
vollständige Verwaltungslösung, mit der die unternehmensweite Bereitstellung auf bis zu
100.000 Systemen in mehreren Sprachen möglich ist und die somit eine umfassende, globale
Abdeckung bietet.
Inhalt
Host IPS-Schutz
Host IPS-Richtlinien
Host IPS-Richtlinienverwaltung
Host IPS-Richtliniennachverfolgung und Abstimmung
Host IPS-Schutz
Nachdem alle für Host Intrusion Prevention erforderlichen Komponenten installiert sind und
funktionieren, können Sie die Schutzfunktion anwenden, Ereignisse überwachen und Richtlinien
und Inhalte nach Bedarf aktualisieren.
Basisschutz
Host Intrusion Prevention wird mit einem Satz von Standardrichtlinien geliefert, die einen
grundlegenden Schutz für Ihre Umgebung bieten. Diese Einstellungen umfassen:
• Für IPS-Schutz:
• Signaturen mit einem hohen Schweregrad werden verhindert und alle anderen Signaturen
ignoriert.
• McAfee-Anwendungen werden für alle Regeln außer IPS-Selbstschutzregeln als
vertrauenswürdige Anwendungen eingestuft.
7
• Vordefinierte Anwendungen und Prozesse werden geschützt.
• Für Firewall-Schutz:
• Basis-Netzwerkkonnektivität ist zulässig.
HINWEIS: Wenn Host Intrusion Prevention 8.0 zuerst installiert wird, ist der Schutz nicht aktiviert.
Aktivieren Sie in der Richtlinie für IPS- oder Firewall-Optionen den Schutz, und wenden Sie die
Richtlinie auf dem Client an.
Erweiterter Schutz
Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengeren
vordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen.
Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und ihre
Optimierung vorzunehmen. Bei der Optimierung geht es um das Gleichgewicht zwischen
Eindringungsschutz und dem Zugriff auf erforderliche Informationen und Anwendungen je nach
Gruppentyp.
Eine Richtlinie ist eine Sammlung von Einstellungen, die Sie über die ePolicy Orchestrator-Konsole
konfigurieren und durchsetzen. Durch das Anwenden von Richtlinien wird sichergestellt, dass
Ihre Sicherheitsbedürfnisse im Hinblick auf verwaltete Systeme erfüllt werden. Mit Host Intrusion
Prevention werden drei Richtlinienfunktionen bereitgestellt, wobei jede einzelne eine Reihe von
Sicherheitsoptionen umfasst. Dies sind im Einzelnen: IPS, Firewall und Allgemein. Die IPSund Firewall-Funktionen enthalten eine Richtlinie "Regeln", in der Regeln für Maßnahmen
bestimmt werden, und eine Richtlinie "Optionen", mit der diese Regeln aktiviert oder deaktiviert
werden.
Die Eigentümerschaft an diesen Richtlinien wird im Richtlinienkatalog zugewiesen. Nachdem
eine Richtlinie erstellt wurde, kann sie nur durch den Urheber dieser Richtlinie oder den globalen
Administrator bearbeitet oder gelöscht werden. Richtlinien können ausschließlich über den
Richtlinienkatalog gelöscht werden.
IPS-Richtlinien
Die IPS-Funktion beinhaltet drei Richtlinien zum Schutz von Windows- und
Nicht-Windows-Computern. Sie enthält Details zu Ausnahmen, Signaturen,
Anwendungsschutzregeln, Ereignissen und von Clients generierten Ausnahmen.
• IPS-Optionen (Alle Plattformen). Aktiviert oder deaktiviert den IPS-Schutz und das
Anwenden des adaptiven Modus für die Feineinstellung.
• IPS-Schutz (Alle Plattformen). Legt die Schutzreaktion auf Ereignisse fest, die von Signaturen
erzeugt werden.
• IPS-Regeln (Alle Plattformen). Legt Ausnahmen, Signaturen und Anwendungsschutzregeln
fest. Diese Richtlinie ist eine Richtlinie mit mehreren Instanzen und ermöglicht das Zuweisen
mehrerer IPS-Regelrichtlinien statt nur einer einzelnen Richtlinie für ein System. Die geltende
Richtlinie stellt dann das Ergebnis der zusammengeführten Inhalte der Richtlinien dar. Falls
zwischen den Einstellungen Konflikte auftreten, wird die explizite Einstellung mit dem höchsten
Schutz angewendet.
8
Firewall-Richtlinien
Die Firewall-Funktion umfasst drei Richtlinien, mit denen nur Windows-Computer geschützt
werden. Die Richtlinien filtern den Netzwerkverkehr und lassen dabei legitimen Netzwerkverkehr
die Firewall passieren und blockieren den Rest.
• Firewall-Optionen (nur Windows). Aktiviert oder deaktiviert den Firewall-Schutz und das
Anwenden des adaptiven oder Lernmodus für die Feineinstellung.
• Firewall-Regeln (nur Windows). Legt die Firewall-Regeln fest.
• Firewall-DNS-Blockierung (nur Windows). Definiert die zu blockierenden
Domänennamenserver.
Allgemeine Richtlinien
Die Funktion "Allgemein" enthält drei Richtlinien, die für IPS- und Firewall-Funktionen gelten.
• Client-UI (nur Windows). Definiert den Zugriff auf die Benutzeroberfläche von Host Intrusion
Prevention auf Windows-Client-Systemen, einschließlich Fehlerbehebungsoptionen. Darüber
hinaus wird ein Kennwortschutz aller Nicht-Windows-Client-Systeme ermöglicht.
• Vertrauenswürdige Netzwerke (nur Windows). Eine Liste der IP-Adressen und Netzwerke,
über die eine sichere Kommunikation erfolgen kann. Wird mit den IPS- und
Firewall-Funktionen verwendet.
• Vertrauenswürdige Anwendungen (Alle Plattformen). Eine Liste der Anwendungen, die
für die Ausführung der meisten Operationen vertrauenswürdig sind. Wird mit der IPS-Funktion
verwendet. Diese Richtlinie ist ebenfalls eine Richtlinie mit mehreren Instanzen und ermöglicht
das Zuweisen mehrerer Regeln für vertrauenswürdige Anwendungen statt nur einer einzelnen
Richtlinie für ein System. Die geltende Richtlinie stellt dann das Ergebnis der
zusammengeführten Inhalte der Richtlinien dar. Falls zwischen den Einstellungen Konflikte
auftreten, wird die Einstellung mit dem höchsten Schutz angewendet.
Über die ePolicy Orchestrator-Konsole können Sie die Host Intrusion Prevention-Richtlinien von
einem zentralen Standort aus konfigurieren.
Durchsetzen von Richtlinien
Wenn Sie Host Intrusion Prevention-Richtlinien über die Host Intrusion Prevention-Konsole
ändern, werden die Änderungen auf den verwalteten Systemen während der nächsten
Kommunikation zwischen Agent und Server übernommen. Standardmäßig ist dieses Intervall
auf einen Wert von 60 Minuten eingestellt. Um die Richtlinien mit sofortiger Wirkung
durchzusetzen, können Sie von der ePolicy Orchestrator-Konsole aus eine Agenten-Reaktivierung
durchführen.
Richtlinien und ihre Kategorien
Informationen zu Host Intrusion Prevention werden nach Funktion und Kategorie gruppiert.
Jede Richtlinienkategorie bezieht sich auf eine bestimmte Untermenge von Richtlinien.
Eine Richtlinie ist eine für einen bestimmten Zweck konfigurierte Gruppe von Einstellungen. Sie
können so viele Richtlinien wie nötig erstellen, ändern oder löschen.
Jede Richtlinie besitzt eine vordefinierte McAfee-Standard-Richtlinie, die sich nicht bearbeiten
oder löschen lässt. Mit Ausnahme von IPS-Regeln und vertrauenswürdigen Anwendungen
9
besitzen alle Richtlinien auch die bearbeitbare Richtlinie Mein Standard, die auf der
McAfee-Standardrichtlinie basiert. Zu einigen Richtlinienkategorien gehören unveränderliche,
vorkonfigurierte Richtlinien. Falls diese vorkonfigurierten Richtlinien Ihrem Bedarf entsprechen,
können Sie direkt eingesetzt werden. Diese Richtlinien können nur gelesen werden, lassen sich
aber wie alle Richtlinien duplizieren. Das Duplikat selbst kann dann je nach Bedarf angepasst
werden.
IPS-Regeln und Richtlinien für vertrauenswürdige Anwendungen sind Richtlinien mit mehreren
Instanzen, da Sie im Zusammenhang mit einer einzelnen Richtlinie mehrere Richtlinieninstanzen
zuweisen können. Die Richtlinieninstanzen werden dabei automatisch in einer einzigen effektiven
Richtlinie zusammengefasst.
TIPP: Die Richtlinien "McAfee-Standard" für "IPS-Regeln" und "Vertrauenswürdige Anwendungen"
werden automatisch als Teil des Inhaltsaktualisierungsvorgangs aktualisiert. Es wird empfohlen,
die Zuweisung dieser Richtlinien für alle Clients sowie das Erstellen zusätzlicher
Richtlinieninstanzen, um das Verhalten der beiden Richtlinien anzupassen.
Anwenden von Richtlinien
Richtlinien werden auf beliebige Systeme oder Systemstrukturgruppen entweder durch Vererbung
oder Zuweisung angewendet. Vererbung bestimmt, ob die Richtlinieneinstellungen für ein
System von dessen übergeordnetem Element übernommen werden. In der Standardeinstellung
ist die Vererbung für die gesamte Systemstruktur aktiviert. Sie können diese Vererbung durch
direkte Zuweisung von Richtlinien durchbrechen. Da Host Intrusion Prevention durch ePolicy
Orchestrator verwaltet wird, haben Sie die Möglichkeit, Richtlinien zu erstellen und diese
unabhängig von der Vererbung zuzuweisen. Wenn Sie diesen Vererbungsmechanismus durch
Zuweisen einer neuen Richtlinie unterbrechen, erben alle untergeordneten Systeme diese neue
Richtlinie.
Richtlinieneigentümerschaft
Jede Richtlinie muss einem Eigentümer zugewiesen sein. Die Eigentümerschaft stellt sicher,
dass niemand außer dem globalen Administrator, dem Urheber der Richtlinie oder der als
Eigentümer der Richtlinie angelegten Person die Richtlinie ändern kann. Jeder Administrator
kann alle Richtlinien im Katalog verwenden; ändern kann sie jedoch nur der Urheber, der
Eigentümer oder der globale Administrator.
TIPP: Anstelle die Richtlinie eines anderen Administrators zu nutzen, empfiehlt es sich, die
Richtlinie zu kopieren und dann die Kopie zuzuweisen. Wenn Sie eine Richtlinie, deren Eigentümer
nicht Sie sind, einem Knoten der von Ihnen verwalteten Systemstruktur zuweisen und der
Eigentümer der Richtlinie diese ändert, gelten diese Änderungen für alle Systeme, denen diese
Richtlinie zugewiesen wurde.
Host IPS-Richtliniennachverfolgung und
Abstimmung
Die Ausbringung und Verwaltung von Host Intrusion Prevention-Clients werden von ePolicy
Orchestrator verarbeitet. In der ePO-Konsolenstruktur können Sie Systeme hierarchisch nach
Attributen gruppieren. Sie können z. B. eine erste Ebene nach geografischem Standort und eine
zweite Ebene nach Betriebssystemplattform oder nach IP-Adresse gruppieren. Es wird empfohlen,
Systeme in Gruppen – basierend auf Host Intrusion Prevention-Konfigurationskriterien –
anzuordnen, beispielsweise nach Systemtyp (Server oder Desktop), Nutzung wichtiger
Anwendungen (Web, Datenbank oder Mail-Server) oder strategischem Standort (DMZ oder
10
Internet). Sie können Clients mit einem gemeinsamen Verwendungsprofil innerhalb der
Konsolenstruktur in einer gemeinsame Gruppe platzieren. Sie können auch eine Gruppe nach
diesem Verwendungsprofil benennen, z. B. Web-Server.
Bei Verwendung der genannten Konsolenstruktur mit einer Gruppierung nach Typ, Funktion
oder geografischem Standort können Sie die zugehörigen Verwaltungsfunktionen analog zu
dieser Gruppierung aufteilen. Mit Host Intrusion Prevention können Sie die Verwaltungsaufgaben
basierend auf Produktfunktionen, wie IPS oder Firewall, aufteilen.
Die Ausbringung von Host Intrusion Prevention auf Tausenden von Computern ist einfach zu
verwalten, da die meisten Clients wenigen Anwendungsprofilen zugeordnet werden können.
Die Verwaltung einer großen Ausbringung reduziert sich auf die Verwaltung einiger weniger
Richtlinienregeln. Mit der Erweiterung der Ausbringung sollten neu hinzugefügte Systeme einem
oder mehreren vorhandenen Profilen zugeordnet werden. Sie können dann einfach unter den
entsprechenden Gruppenknoten in der Konsolenstruktur platziert werden.
Vordefinierter Schutz
Host Intrusion Prevention bietet zwei Arten von Schutz:
• Der Basisschutz besteht bereits durch die Einstellungen der McAfee-Standardrichtlinie. Für
diesen Schutz ist praktisch keine Optimierung erforderlich und er verursacht nur wenige
Ereignisse. Dieser Basisschutz kann für viele Umgebungen bereits ausreichend sein.
• Auch ein erweiterter Schutz steht in Form vorkonfigurierter IPS- und Firewall-Richtlinien zur
Verfügung, oder durch das Erstellen benutzerdefinierter Richtlinien. Server benötigen z. B.
über den Basisschutz hinausgehende Schutzmechanismen.
In beiden Szenarien ist ein gewisser Grad an Optimierung der Schutzeinstellungen zur Anpassung
an die tatsächliche Arbeitsumgebung erforderlich.
Adaptiver Modus
Um die Schutzeinstellungen noch feiner abzustimmen, können Host Intrusion Prevention-Clients
auf Client-Seite Ausnahmeregeln für Server-Richtlinien erstellen, die berechtigte Aktivitäten
blockieren. Das Erstellen von Client-Regeln ist erlaubt, wenn Clients in den adaptiven Modus
versetzt werden. Im adaptiven Modus werden Client-Regeln erstellt, ohne dass der Benutzer
eingreifen muss. Nach dem Erstellen der Client-Regeln prüfen Sie diese sorgsam, und entscheiden
Sie, welche der Regeln in Server-Richtlinien umgewandelt werden sollen.
In großen Unternehmen geht es häufig noch vor der Berücksichtigung von Sicherheitsbelangen
vorrangig um einen störungsfreien Geschäftsablauf. Regelmäßig müssen z. B. neue Anwendungen
auf bestimmten Client-Computern installiert werden, und Sie haben möglicherweise weder die
Zeit, noch die Ressourcen, um umgehend eine Abstimmung vornehmen zu können. Mit Host
Intrusion Prevention können bestimmte Clients für den IPS-Schutz in den adaptiven Modus
versetzt werden. Diese Computer erstellen das Profil einer neu installierten Anwendung und
leiten die erstellten Client-Regeln an den ePolicy Orchestrator-Server weiter. Der Administrator
kann diese Client-Regeln auf vorhandene oder neue Richtlinien übertragen und dann die Richtlinie
auf andere Computer anwenden, um die neue Software zu verwalten.
Systeme im adaptiven Modus verfügen über praktisch keinen Schutz, daher sollte der adaptive
Modus nur zur Optimierung einer Umgebung genutzt werden und dann deaktiviert werden, um
den Schutz des Systems zu erhöhen.
Optimierung
Als Teil der Ausbringung von Host Intrusion Prevention müssen Sie einige eindeutige Profile
bestimmen und für sie Richtlinien erstellen. Dies erreichen Sie am besten, wenn Sie eine
11
Testausbringung einrichten und dann damit beginnen, die Zahl der falsch-positiven und
generierten Ereignisse zu verringern. Dieser Vorgang wird Abstimmung oder Tuning genannt.
Striktere IPS-Regeln zielen auf eine Reihe von Verletzungen ab und generieren daher mehr
Ereignisse als in einer Basisumgebung auftreten würden. Wenn Sie den erweiterten Schutz
anwenden, wird die Verwendung der IPS-Schutzrichtlinie empfohlen, um die Auswirkungen zu
staffeln. Dazu gehört die Zuordnung jeder Sicherheitsebene (Hoch, Mittel, Niedrig und
Information) zu einer Reaktion (Verhindern, Protokollieren, Ignorieren). Indem zunächst alle
Sicherheitsebenen mit Ausnahme von "Hoch" auf "Ignorieren" gesetzt werden, werden nur die
Sicherheitssignaturen von "Hoch" angewendet. Die anderen Ebenen können nach und nach bei
der Abstimmung erhöht werden.
Sie können die Zahl der falsch-positiven Ergebnisse verringern, indem Sie Ausnahmeregeln,
vertrauenswürdige Anwendungen und Firewall-Regeln erstellen.
• Ausnahmeregeln sind Mechanismen für das Außerkraftsetzen einer IPS-Signatur unter
bestimmten Umständen.
• Vertrauenswürdige Anwendungen sind Anwendungsprozesse, die alle IPS oder Firewall-Regeln
umgehen.
• Firewall-Regeln bestimmen, ob Datenverkehr zulässig ist und ob die Paketübertragung erlaubt
oder blockiert wird.
Dashboards und Abfragen
Dashboards ermöglichen es Ihnen, durch die simultane Anzeige mehrerer Abfrageergebnisse
Ihre Umgebung zu sichten. Diese Abfragen können fortlaufend aktualisiert werden oder mit
einer bestimmten Häufigkeit ausgeführt werden.
Abfragen ermöglichen es Ihnen, Daten über ein bestimmtes Element abzurufen, die sich dann
nach einer bestimmten Untermenge filtern lassen, z. B. Ereignisse der Ebene "Hoch", die von
bestimmten Clients für eine bestimmte Zeitspanne berichtet werden. Berichte können als
E-Mail-Nachrichten terminiert und gesendet werden.
12
Verwalten Ihres Schutzes
Zu den Verwaltungsaufgaben in Host Intrusion Prevention gehört das Überwachen und
Analysieren von Vorgängen, entsprechendes Reagieren, das Ändern und Aktualisieren von
Richtlinien sowie das Ausführen systematischer Aufgaben.
Inhalt
Informationsverwaltung
Richtlinienverwaltung
Systemverwaltung
Nach der Installation von Host Intrusion Prevention können Sie Sicherheitsprobleme aus der
Umgebung nachverfolgen und dazu Berichte erstellen. Mit Dashboards erhalten Sie eine tägliche
Übersicht über die Sicherheitssituation und können mittels Abfragen Einzelheiten zu konkreten
Problemen ermitteln.
Host IPS-Dashboards
Dashboards, eine Zusammenstellung von Monitoren, spielen bei der Verwaltung der Umgebung
eine wichtige Rolle. Monitore umfassen Diagrammabfragen bis zu kleinen Web-Anwendungen,
beispielsweise MyAvert Threat Service. Entsprechende Berechtigungen vorausgesetzt, können
Sie mehrere Dashboards erstellen und bearbeiten. Als Dashboard, das nach einer festgelegten
Zeitspanne aktualisiert wird, lassen sich beliebige Diagrammabfragen verwenden. Solche
"Live"-Dashboards sind daher für besonders nützliche Abfragen geeignet.
Host Intrusion Prevention beinhaltet zwei Standard-Dashboards mit folgenden Monitoren:
Tabelle 1: Dashboards und Monitore in Host IPS
Dashboard
Monitore
Host IPS
•
Firewall-Status
•
Host IPS-Status
•
Dienststatus
•
Zähler für IPS-Client-Regeln
•
Content-Versionen
•
Top 10 der NIPS-Ereignisse nach Quell-IP
•
Desktop, ausgelöste Signaturen (Hoch)
•
Desktop, ausgelöste Signaturen (Mittel)
•
Desktop, ausgelöste Signaturen (Niedrig)
•
Server, ausgelöste Signaturen (Hoch)
Ausgelöste Signaturen von Host IPS
13
Dashboard
Monitore
•
Server, ausgelöste Signaturen (Mittel)
•
Server, ausgelöste Signaturen (Niedrig)
Weitere Informationen zur Erstellung und Nutzung von Dashboards erhalten Sie in der
Dokumentation zu ePolicy Orchestrator.
Host IPS-Abfragen
Host Intrusion Prevention bietet Abfragefunktionen mittels ePolicy Orchestrator. Nützliche
Abfragen lassen sich entweder aus Ereignissen und Eigenschaften erstellen, die in der
ePO-Datenbank gespeichert sind, oder Sie können vordefinierte Abfragen verwenden.
Sie können Abfragen für eine Gruppe ausgewählter Client-Systeme erstellen oder die
Berichtsergebnisse nach Produkt- oder Systemkriterien einschränken. Sie können Berichte in
diversen Dateiformaten exportieren, auch in HTML- und Microsoft Excel-Dateien.
Abfrageoptionen:
• Festlegen eines Verzeichnisfilters, um nur ausgewählte Informationen zu sammeln. Auswählen,
welche Gruppen oder Tags in den Bericht aufgenommen werden sollen.
• Festlegen eines Datenbankfilters, in dem Sie mithilfe logischer Operatoren präzise
Filterkriterien für die Berichtsdaten definieren.
• Erstellen grafischer Berichte anhand von Informationen aus der Datenbank, Filtern, Drucken
und Exportieren von Berichten in andere Softwareanwendungen.
• Ausführen von Abfragen nach Computern, Ereignissen und Installationen.
Vordefinierte und benutzerdefinierte Abfragen zur Analyse Ihres Schutzes
Die Berichtsfunktion enthält vordefinierte Abfragen aus Host Intrusion Prevention und ermöglicht
Ihnen das Erstellen benutzerdefinierter Abfragen.
Diese können individuell verwaltet und angeordnet werden. Wenn Sie beispielsweise die
Einstellungen für einen Bericht anpassen, können Sie diese Einstellungen als Vorlage exportieren.
Nachdem Sie eine benutzerdefinierte Vorlage erstellt haben, ordnen Sie diese so an, dass sie
je nach Bedarf täglich, wöchentlich oder monatlich ausgeführt werden kann.
Nachdem ein Bericht generiert wurde, wird die in dem von Ihnen gegebenenfalls angegebenen
Filter festgelegte Zusammenfassung angezeigt. Ausgehend von der Zusammenfassung können
Sie im gleichen Bericht auf die eine oder zwei Ebenen tiefer liegenden ausführlichen
Informationen herunterbrechen.
Sie können die Sichtbarkeit von Berichtsinformationen für unterschiedliche Benutzer festlegen,
beispielsweise für globale Administratoren gegenüber Site-Administratoren. Einige Benutzer
können nur auf Systemen, auf denen sie entsprechende Berechtigungen haben, Berichte
einsehen. Die Berichtsinformationen werden auch durch das Anwenden von Filtern gesteuert.
Benutzerdefinierte Abfragen
Mit dem Abfrage-Generator lassen sich vier Host IPS-Abfragen erstellen: Host IPS 8.0
Firewall-Client-Regeln, Host IPS 8.0 Ausführbare Dateien für Firewall-Client-Regeln, Host IPS
8.0 IPS-Client-Regeln und Host IPS 8.0 IPS-Ausnahmen.
14
Parameter für diese Abfragen sind:
Tabelle 2: Host IPS-Abfragen und -Parameter
Abfrage
Parameter
Host IPS 8.0-Katalog-Firewall-Regeln und
Firewall-Client-Regeln
•
Aktion
•
Richtung
HINWEIS: Diese Abfrage gibt
IPS-Katalog-Firewall-Regeln,
IPS-Katalog-Firewall-Gruppen und
Firewall-Client-Regeln zurück. Mögliche
Aktionswerte sind zulassen, blockieren und
springen. Springen gilt für Gruppen, die nicht über
die Aktion zum Zulassen bzw. Blockieren verfügen.
Bei IPS-Katalogregeln und -gruppen ist der Filter
leafNodeId auf 0 gesetzt. Um nur
Firewall-Client-Regeln anzuzeigen, setzen Sie den
Filter auf > 0.
•
Aktiviert
•
Letzte Änderung
•
Zuletzt geändert von
•
Endknoten-ID
•
Lokale Dienste
•
Protokollstatus
•
IP-Protokoll
•
Intrusionsübereinstimmung
•
Medientyp
•
Name
•
Hinweis
•
Remote-Dienste
•
Regel-ID
•
Zeitplanende
•
Zeitplanstart
•
Wechseln bei Ablauf
•
Transportprotokoll
•
Fingerabdruck
•
Name
•
Hinweis
•
Pfad
•
Regel-ID
•
Name des Unterzeichnenden
•
Erstellt am
•
Beschreibung
•
Name der ausführbaren Datei
•
Pfad der ausführbaren Datei
•
Fingerabdruck
•
Vollständiger Name der ausführbaren Datei
•
Alle ausführbaren Dateien einschließen
•
Alle Signaturen einschließen
•
Alle Benutzer einschließen
•
Datum der letzten Änderung
•
Lokale Version
•
Reaktion
•
Signatur-ID
•
Name des Unterzeichnenden
•
Status
•
Benutzername
•
IPS-Ausnahmeregeln
Ausführbare Dateien für Host IPS
8.0-Firewall-Client-Regeln
Host IPS 8.0 IPS-Client-Regeln
Host IPS 8.0-IPS-Ausnahmen
15
Abfrage
Parameter
•
Richtlinie für IPS-Regeln
Gemeinsame Host IPS-Eigenschaften
Folgende Host IPS-Eigenschaften können in benutzerdefinierte Abfragen von Host IPS und
sonstige benutzerdefinierte Abfragen eingeschlossen werden:
• Agenten-Typ
• Status des adaptiven IPS-Modus
• Blockierte Angreifer
• Sprache
• Client-Version
• Anzahl lokaler Ausnahmeregeln
• Content-Version
• Netzwerk-IPS-Status
• Status des adaptiven Firewall-Modus
• Ausstehender Neustart
• Firewall-Fehler (Fehler)
• Plug-In-Version
• Status des Firewall-Lernmodus (Eingehend) • Produktstatus
• Status des Firewall-Lernmodus
(Ausgehend)
• Ausgeführter Dienst
• Anzahl Firewall-Regeln
• Produktversion
• Firewall-Status
• Service Pack
• Host IPS-Fehler (Fehler)
• Host IPS-Status
• Host IPS-Ereignisinfo (ausgeblendet,
gelesen)
• Installationsverzeichnis
• Signaturname
• Hotfix/Patch-Version
Vordefinierte Abfragen
Neben benutzerdefinierten Abfragen gibt es eine Reihe bereits definierter Abfragen, die sie im
Originalzustand verwenden oder wunschweise bearbeiten können. Folgende vordefinierte
Abfragen stehen in Host IPS zur Auswahl:
HIP-Abfrage
Zusammenfassung
Client-Regeln anhand von
Prozessen
Zeigt Firewall-Client-Regeln nach Prozess an.
Prozessen/Port-Bereichen
Zeigt Firewall-Client-Regeln nach Prozess und Port-Bereich an.
Prozessen/Benutzern
Zeigt Firewall-Client-Regeln nach Prozess und Benutzer an.
Protokoll-/Systemnamen
Zeigt Firewall-Client-Regeln nach Protokoll- und Systemnamen an.
Protokollen/Port-Bereichen
Zeigt Firewall-Client-Regeln nach Protokoll und Port-Bereich an.
Protokollen/Prozessen
Zeigt Firewall-Client-Regeln nach Protokoll und Prozess an.
Client-Versionen
Zeigt die obersten drei Client-Versionen mit einer einzelnen Kategorie für alle anderen
Versionen an.
Ausstehende Client-Neustarts Zeigt verwaltete Systeme an, auf denen Host IPS bereitgestellt wurde und das System
neu gestartet werden muss.
16
HIP-Abfrage
Zusammenfassung
Content-Versionen
Zeigt die obersten drei der Content-Versionen mit einer einzelnen Kategorie für alle
anderen Versionen an.
Zähler für FW-Client-Regeln
Zeigt die Anzahl an Firewall-Client-Regeln an, die im Laufe der Zeit erstellt wurden.
Zähler für IPS-Client-Regeln
Zeigt die Anzahl an IPS-Client-Regeln an, die im Laufe der Zeit erstellt wurden.
Desktop, ausgelöste
Signaturen (Hoch)
Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad
(Kritisch) an
Signaturen (Mittel)
Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad
(Warnung) an
Signaturen (Niedrig)
Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad
(Hinweis) an
Ereignisse von
vertrauenswürdigen
Netzwerken von Host IPS
Zeigt Ereignisse an, die von Systemen mit einem vertrauenswürdigen Netzwerk von
Host IPS generiert wurden.
Firewall-Fehler
Zeigt die verwalteten Systeme an, bei denen die Firewall per Richtlinie aktiviert wurde,
aber nicht ordnungsgemäß gestartet werden konnte.
Firewall-Status
Zeigt an, wo der Firewall-Schutz auf verwalteten Systemen aktiviert oder deaktiviert
ist.
Host IPS-Fehler
Zeigt die verwalteten Systeme an, bei denen die IPS-Funktion per Richtlinie aktiviert
wurde, aber nicht ordnungsgemäß gestartet werden konnte.
Host IPS-Status
Zeigt an, wo der IPS-Schutz auf verwalteten Systemen aktiviert oder deaktiviert ist.
IPS-Ausnahmenbericht
Zeigt die Richtlinien der IPS-Regel an, die IPS-Ausnahmen verwenden.
Server, ausgelöste Signaturen Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad
(Hoch)
(Kritisch) an
Server, ausgelöste Signaturen Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad
(Mittel)
(Warnung) an
Server, ausgelöste Signaturen Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad
(Niedrig)
(Hinweis) an
Dienststatus
Zeigt an, wo Host IPS installiert ist und ob die Anwendung auf verwalteten System
ausgeführt wird oder nicht.
TOP 10 der IPS-Ereignisse
nach Ziel
Zeigt die Top 10 der Systeme mit den meisten IPS-Ereignissen an.
Top 10 der NIPS nach Quell-IP Zeigt die Top 10 der Netzwerkangriffe nach Quell-IP-Adresse für die letzten drei
Monate an.
Top 10 der aufgerufenen
Signaturen
Zeigt die Top 10 der am häufigsten ausgelösten IPS-Signaturen an.
Die Verwaltung von Richtlinien besteht aus dem Konfigurieren und Anwenden von Richtlinien
und der Optimierung des Schutzes hinsichtlich der Systemressourcen und -anwendungen. Ein
Teil dieses Vorgangs erfordert eine Analyse von Ereignissen und Client-Regeln.
17
Suchen von Richtlinien
In ePolicy Orchestrator werden Host Intrusion Prevention-Richtlinien an zwei Orten angezeigt
und verwaltet: der Registerkarte Richtlinien (bei ausgewählten Gruppen in der Systemstruktur
auf der Registerkarte Systeme | Systemstruktur | Richtlinien) und der Registerkarte
Richtlinienkatalog (Systeme | Richtlinienkatalog).
Im Hinblick auf eine ausgewählte Gruppe oder ein System sind auf der Registerkarte Richtlinien
folgende Vorgänge möglich:
• Die Richtlinien einer bestimmten Funktion des Produkts anzeigen
• Ausführliche Richtlinieninformationen anzeigen
• Informationen zur Vererbung einsehen
• Richtlinienzuweisungen bearbeiten
• Benutzerdefinierte Richtlinien bearbeiten
Auf der Registerkarte Richtlinienkatalog können Sie:
• Richtlinien erstellen
• Richtlinieninformationen anzeigen und bearbeiten
• Die Zuweisung einer Richtlinie ermitteln
• Einstellungen und Eigentümer einer Richtlinie anzeigen
• Zuweisungen mit deaktivierter Richtlinienerzwingung anzeigen
Zweck
Vorgehensweise
Erstellen einer Richtlinie
Klicken Sie auf Neue Richtlinie, geben Sie ihr einen Namen, und bearbeiten
Sie die Einstellungen.
Bearbeiten einer Richtlinie
Klicken Sie auf Bearbeiten (nur für Standard- oder vorkonfigurierte Richtlinien
verfügbar).
Anzeigen einer Richtlinie
Klicken Sie auf Ansicht (nur für McAfee-Standard- oder vorkonfigurierte
Richtlinien verfügbar).
Umbenennen einer Richtlinie
Klicken Sie auf Umbenennen, und ändern Sie den Namen der Richtlinie
(nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien).
Duplizieren einer Richtlinie
Klicken Sie auf Duplizieren, bearbeiten Sie den Namen der Richtlinie und
deren Einstellungen.
Löschen einer Richtlinie
Klicken Sie auf Löschen (nicht verfügbar für Standard- oder vorkonfigurierte
Richtlinien).
HINWEIS: Wenn Sie eine Richtlinie löschen, dann übernehmen alle Gruppen,
auf die diese Richtlinie aktuell angewendet wird, von ihrem übergeordneten
Element die Richtlinie der betreffenden Kategorie. Wenn die Richtlinie des
übergeordneten Elements nach dem Löschen nicht vererbt werden soll, prüfen
Sie vor dem Löschen einer Richtlinie sämtliche Systeme, denen diese
zugewiesen ist, und weisen Sie den Systemen eine andere Richtlinie zu. Wenn
Sie eine Richtlinie löschen, die auf oberster Ebene angewendet wird, wird
anschließend die Standardrichtlinie der entsprechenden Kategorie angewendet.
Zuweisen eines Richtlinieneigentümers Klicken Sie auf den Eigentümer der Richtlinie, und wählen Sie einen anderen
Eigentümer aus der Liste aus (nicht verfügbar für Standard- oder
vorkonfigurierte Richtlinien).
18
Exportieren einer Richtlinie
Klicken Sie auf Exportieren, geben Sie einen Namen ein, und speichern Sie
die Richtlinie (eine XML-Datei) am gewünschten Speicherort.
Exportieren aller Richtlinien
Klicken Sie auf Alle Richtlinien exportieren, geben Sie einen Namen ein,
und speichern Sie die XML-Richtliniendatei am gewünschten Speicherort.
Zweck
Vorgehensweise
Importieren von Richtlinien
Klicken Sie oben auf der Richtlinienkatalogseite auf Importieren, wählen
Sie die XML-Richtliniendatei aus, und klicken Sie auf OK.
Einzelheiten zu diesen Funktionen finden Sie in der Dokumentation von ePolicy Orchestrator.
Konfigurieren von Richtlinien
Nach der Installation der Software von Host Intrusion Prevention empfiehlt sich, diese so zu
konfigurieren, dass sie ohne Beeinträchtigung täglicher Routineaufgaben den größtmöglichen
Schutz bietet. Die Standardrichtlinien von Host Intrusion Prevention wurden für eine Vielzahl
an Umgebungen konzipiert und erfüllen sicher auch Ihre Anforderungen. Um Richtlinien
entsprechend den individuelle Einstellungen zu optimieren, empfehlen sich folgende
Vorgehensweisen:
• Entwerfen Sie eine genaue Host Intrusion Prevention-Sicherheitskonfiguration. Schätzen Sie
ein, wer für die Konfiguration bestimmter Teile des Systems verantwortlich ist, und gewähren
Sie den entsprechenden Zugriff.
• Ändern Sie die standardmäßigen Richtlinien für den IPS-Schutz oder die Firewall-Regeln, die
höhere Ebenen voreingestellter Schutzmaßnahmen bieten.
• Ändern Sie den Schweregrad bestimmter Signaturen. Wenn beispielsweise eine Signatur
durch die tägliche Arbeit von Benutzern ausgelöst wird, verringern Sie den Schweregrad.
• Konfigurieren Sie Dashboards, um einen schnellen Überblick über Compliance und bestehende
Probleme zu erhalten.
• Konfigurieren Sie Benachrichtigungen, damit bei bestimmten Ereignissen zuständige
Mitarbeiter benachrichtigt werden. Beispiel: Eine Benachrichtigung kann gesendet werden,
wenn auf einem bestimmten Server eine Aktivität ein Ereignis der Stufe "Hoch" auslöst.
Erstellen einer neuen Richtlinie
Um eine neue Richtlinie zu erstellen, kopieren Sie eine vorhandene Richtlinie, und geben der
Kopie einen anderen Namen. Dies kann im Richtlinienkatalog oder auf einer Richtlinienseite
erfolgen.
Task
Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken.
• Führen Sie im Richtlinienkatalog einen der folgenden Schritte aus:
• Klicken Sie auf Neue Richtlinie. Wählen Sie die Richtlinie aus, die Sie kopieren möchten,
geben Sie den neuen Namen ein, und klicken Sie auf OK.
• Klicken Sie auf den Link Duplizieren einer Richtlinie. Geben Sie den Namen der neuen
Richtlinie ein, und klicken Sie auf OK.
• Klicken Sie auf den Link Anzeigen oder Bearbeiten einer Richtlinie. Klicken Sie auf der
Richtlinienseite dann auf Duplizieren. Geben Sie den Namen der neuen Richtlinie ein,
und klicken Sie auf OK. Die kopierte Richtlinie wird angezeigt. Bearbeiten Sie sie, und
klicken Sie auf Speichern.
19
Ändern der Richtlinienzuweisung
Mit diesem Task werden in Host Intrusion Prevention die Richtlinienzuweisungen einer Gruppe
oder eines Einzelsystems aus der ePolicy Orchestrator-Struktur geändert.
Task
• Führen Sie einen der folgenden Vorgänge aus:
• Bei einer Gruppe wechseln Sie zu Systeme | Systemstruktur, und wählen Sie eine
Gruppe aus. Klicken Sie anschließend auf der Registerkarte Richtlinien auf Zuweisung
bearbeiten.
• Bei einem System wechseln Sie zu Systeme | Systemstruktur, und wählen Sie eine
Gruppe aus, die das System enthält. Wählen Sie auf der Registerkarte System das
System und anschließend Weitere Aktionen | Richtlinien auf einem einzelnen
System ändern aus.
Standardschutz und Optimierung
Host Intrusion Prevention funktioniert mit Standardrichtlinien für einen Basisschutz. Mittels
benutzerdefinierter Einstellungen durch manuelle oder automatische Optimierung lässt sich die
Schutzwirkung weiter erhöhen.
Standardschutz
Host Intrusion Prevention wird mit einem Satz an Standardrichtlinien geliefert, die einen
Basisschutz für Ihre Umgebung bieten. Sowohl IPS- als auch Firewall-Schutz sind standardmäßig
deaktiviert und müssen zur Erzwingung von Standardregelrichtlinien aktiviert werden.
Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengeren
vordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen.
Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und zu
optimieren. Bei der Optimierung geht es um das Gleichgewicht zwischen Eindringungsschutz
und dem Zugriff auf erforderliche Informationen und Anwendungen je nach Gruppentyp.
Manuelle Optimierung
Bei der manuellen Optimierung werden Ereignisse über einen bestimmten Zeitraum überwacht
und Client-Regeln erstellt.
• Beim IPS-Schutz werden Ereignisse auf Falsch-Positiv-Meldungen überwacht und Regeln für
Ausnahmen oder vertrauenswürdige Anwendungen erstellt, um zu verhindern, dass diese
Ereignisse erneut auftreten.
• Beim Firewall-Schutz werden der Netzwerkverkehr überwacht und vertrauenswürdige
Netzwerke hinzugefügt, um legitimen Netzwerkverkehr zuzulassen.
• Überwachen Sie die Auswirkungen neuer Ausnahmen, vertrauenswürdiger Anwendungen
und Netzwerke.
• Wenn diese Regeln Falsch-Positiv-Meldungen verhindern können und gleichzeitig den
Netzwerkverkehr auf ein Minimum reduzieren und legitime Aktivitäten zulassen, sollten sie
Bestandteil einer neuen oder bestehenden Richtlinie werden.
• Wenden Sie die neue Richtlinie auf eine Reihe von Computern an, und kontrollieren Sie die
Ergebnisse.
20
• Wiederholen Sie diesen Vorgang mit jedem Produktionsgruppentyp.
Automatische Optimierung
Durch die automatische Optimierung ist es nicht mehr erforderlich, alle Ereignisse und Aktivitäten
für alle Benutzer kontinuierlich zu überwachen.
• Nutzen Sie für IPS- und Firewall-Richtlinien den adaptiven Modus.
• Im adaptiven Modus werden IPS-Ereignisse nicht ausgelöst, und die Aktivitäten werden mit
Ausnahme schädlicher Exploits nicht blockiert. Client-Regeln werden automatisch erstellt,
um legitime Aktivitäten zu erlauben.
• Prüfen Sie die Liste der Client-Regeln.
• Entwickeln Sie geeignete Client-Regeln zu Regeln für Verwaltungsrichtlinien.
• Deaktivieren Sie nach einigen Wochen den adaptiven Modus.
• Überwachen Sie die Testgruppe einige Tage lang, um sicherzugehen, dass die
Richtlinieneinstellungen angemessen sind und den gewünschten Schutz bieten.
• Wiederholen Sie diesen Vorgang mit jedem Produktionsgruppentyp.
Clients und Planen der Ausbringung
Der Host Intrusion Prevention-Client ist für den Schutz entscheidend. Zur Bereitstellung von
Clients empfiehlt sich eine mehrphasige Vorgehensweise:
• Legen Sie einen ersten Client-Einführungsplan fest. Auch wenn die Host Intrusion
Prevention-Clients auf jedem Host (Server, Desktops und Notebooks) im Unternehmen
bereitgestellt werden können, empfiehlt sich, dass Sie diese zunächst auf nur wenigen
repräsentativen Systemen installieren und deren Konfiguration optimieren. Nach der
Optimierung können Sie weitere Clients ausbringen und die in der ersten Phase erstellten
Richtlinien, Ausnahmen und Client-Regeln nutzen.
• Legen Sie für Ihre Clients eine Namenskonvention fest. Clients werden in der
Systemstruktur, in bestimmten Berichten und in den durch Aktivitäten des Clients erzeugten
Ereignisdaten anhand ihres Namens erkannt. Clients können die Namen der Hosts annehmen,
auf denen sie installiert sind. Sie können ihnen aber auch während der Installation bestimmte
Client-Namen zuweisen. Es wird empfohlen, für Clients eine Namenskonvention festzulegen,
die von allen Benutzern, die mit Host Intrusion Prevention arbeiten, problemlos verstanden
wird.
• Installieren Sie die Clients. Clients können zusammen mit einem Standardsatz an IPSund Firewall-Richtlinien installiert werden. Neue Richtlinien mit aktualisierten Regeln können
später vom Server per Push übertragen werden.
• Gruppieren Sie die Clients logisch. Clients können nach beliebigen Kriterien gruppiert
werden. Die Gruppierung muss allerdings zur Hierarchie der Systemstruktur passen. Beispiel:
Sie können Clients nach ihrem geografischen Standort, ihrer Funktion im Unternehmen oder
nach den Systemmerkmalen gruppieren.
Client-Daten und ihre Auswertung
Nachdem Sie die Clients erstellt und gruppiert haben, ist die Bereitstellung abgeschlossen. Ab
diesem Zeitpunkt sollten durch die Aktivität der Clients bedingt Ereignisse angezeigt werden.
Wenn Sie Clients in den adaptiven Modus versetzt haben, werden Client-Regeln angezeigt, die
angeben, welche Client-Ausnahmeregeln erstellt werden. Die Analyse dieser Daten hilft Ihnen
bei der Optimierung der Ausbringung.
21
Die Ereignisdaten werden unter Berichte auf der Registerkarte Host IPS auf der Registerkarte
Ereignisse angezeigt. Sie können bis zur Detailansicht einzelner Ereignisse vordringen, um
beispielsweise herauszufinden, welcher Prozess durch das Ereignis ausgelöst wurde, wann das
Ereignis eingetreten ist und auf welchem Client. Durch Analyse der Ereignisse und das Ergreifen
geeigneter Maßnahmen können Sie die Tätigkeit von Host Intrusion Prevention optimieren und
besser auf Angriffe reagieren. Auf der Registerkarte Ereignisse werden alle Ereignisse in Host
IPS angegeben, einschließlich NIPS, Angriffe auf die Firewall und TrustedSource-Blockierungen.
Zur Analyse von Client-Regeln dienen die Registerkarten IPS-Client-Regeln und
Firewall-Client-Regeln. Sie erkennen dort erstellte Regeln, die dann aggregiert werden
können, um so die am häufigsten auftretenden Regeln herauszustellen. Diese können dann
direkt in eine Richtlinie zur Anwendung auf weitere Clients verschoben werden.
Darüber hinaus bietet Ihnen das Berichtsmodul von ePolicy Orchestrator detaillierte Berichte
auf der Grundlage von Ereignissen, Client-Regeln und der Konfiguration von Host Intrusion
Prevention. Mithilfe dieser Berichtsabfragen können Sie andere Mitglieder Ihres Teams und
Vorgesetzte über Aktivitäten in Ihrer Umgebung informieren.
Adaptiver Modus
Ein wichtiger Bestandteil bei der Optimierung besteht darin, Host Intrusion Prevention-Clients
für IPS und Firewall in den adaptiven Modus zu setzen. So können Computer
Client-Ausnahmeregeln für Verwaltungsrichtlinien erstellen. Im adaptiven Modus erfolgt dies
automatisch und ohne Benutzereingaben.
In diesem Modus werden Ereignisse zuerst auf schwerwiegende Angriffe wie beispielsweise
Pufferüberläufe geprüft. Wenn die Aktivität als regulär und für das Unternehmen erforderlich
eingestuft wird, werden Client-Ausnahmeregeln erstellt. Indem repräsentative Clients in den
adaptiven Modus gesetzt werden, können Sie eine zugehörige Optimierungskonfiguration
erstellen. Anschließend können eine beliebige, alle oder gar keine Client-Regeln in Host Intrusion
Prevention ausgewählt und in Server-Richtlinien umgewandelt werden. Nach der Optimierung
deaktivieren Sie den adaptiven Modus, um den Schutz vor Systemeindringlingen zu verstärken.
• Führen Sie die Clients mindestens eine Woche im adaptiven Modus aus. Dieser Zeitraum ist
notwendig, damit die Clients alle normalerweise auftretenden Aktivitäten erkennen. Versuchen
Sie, den Modus während geplanter Aktivitäten anzuwenden – beispielsweise während einer
Datensicherung oder bei der Skriptverarbeitung.
• Während die einzelnen Aktivitäten stattfinden, werden IPS-Ereignisse erzeugt und Ausnahmen
erstellt. Bei Ausnahmen handelt es sich um Aktivitäten, die als berechtigtes Verhalten gelten.
Beispiel: eine Richtlinie betrachtet bestimmte Skriptverarbeitungsvorgänge als unzulässig,
bestimmte Systeme Ihrer Entwicklungsabteilungen sind aber auf diese Vorgänge angewiesen.
Durch das Erstellen von Ausnahmen für solche Systeme wird deren fortgesetzte Nutzung
ermöglicht, während die Richtlinie diese Aktivität auf anderen Systemen weiterhin verhindert.
Nehmen Sie diese Ausnahmen in einer Server-Richtlinie auf, die nur für die Gruppe der
Entwicklungsabteilung gilt.
• Möglicherweise benötigen Sie bestimmte Software-Anwendungen im Normalfall nur in
gewissen Unternehmensbereichen, aber nicht in anderen. Beispiel: Sie lassen Instant
Messaging für die Kundendienstabteilung zu, verhindern die Verwendung aber in der
Finanzabteilung. Sie können die Anwendung auf den Systemen im Bereich technischer
Support als vertrauenswürdig einstufen, damit Benutzer vollständigen Zugriff darauf haben.
• Die Firewall-Funktion fungiert als Filter zwischen einem Computer und dem Netzwerk oder
dem Internet. Die Firewall prüft sämtlichen eingehenden und ausgehenden Datenverkehr
auf Paketebene. Beim Prüfen der einzelnen ein- oder ausgehenden Pakete kontrolliert die
Firewall die Liste der Firewall-Regeln, die einen Satz von Kriterien und zugehörigen Aktionen
22
enthält. Wenn ein Paket mit allen Kriterien einer Regel übereinstimmt, führt die Firewall die
von der Regel vorgegebene Aktion durch, d. h., sie lässt das Paket entweder passieren oder
sie blockiert es.
Häufig gestellte Fragen: Adaptiver Modus
Der adaptive Modus ist eine Einstellung, die beim Testen neuer Richtlinien auf IPS- und
Firewall-Funktionen angewendet werden kann. Mit ihm kann der Host Intrusion Prevention-Client
automatisch Regeln zur Zulassung von Aktivitäten erstellen und dennoch einen minimalen Schutz
vor Sicherheitslücken beibehalten. Folgende Fragen und Antworten illustrieren die Verwendung
der Funktion.
Wie wird der adaptive Modus aktiviert?
Der adaptive Modus wird durch Aktivierung der zugehörigen Option in der Richtlinie für
IPS-Optionen oder Firewall-Optionen und durch Anwendung dieser Richtlinie auf dem Host
Intrusion Prevention-Client aktiviert.
Wie funktioniert der adaptive Modus mit IPS und Firewall?
Im Zusammenhang mit IPS erstellt der adaptive Modus client-seitige Regeln, die für bestehende
IPS-Signaturen als Ausnahmen fungieren. Im Zusammenhang mit der Firewall erstellt der
adaptive Modus client-seitige Regeln, mit denen Netzwerkpakete, für die es keine Firewall-Regeln
gibt, zugelassen werden.
IPS-Client-Ausnahmen werden pro Benutzer, Prozess und Signatur erstellt und sind pfadbasiert.
Firewall-Client-Regeln werden pro Prozess erstellt. Die den Firewall-Client-Regeln zugewiesenen
Prozesse beruhen auf Pfad, Dateibeschreibung, digitaler Signatur und MD5-Hash.
Wann werden Regeln im adaptiven Modus nicht automatisch erstellt?
Mit IPS:
• Die Signatur in der geltenden Richtlinie für IPS-Regeln lässt keine Erstellung von Client-Regeln
zu. (Bei den meisten IPS-Signaturen mit hohem Schweregrad ist dies die Standardeinstellung.
Diese Signaturen werden so optimiert, dass die gefährlichsten Systembedrohungen entdeckt
und verhindert werden. Daher ist es unwahrscheinlich, dass für die reguläre Geschäftstätigkeit
eine automatisierte Ausnahme erforderlich ist.)
• Die Reaktion auf die Signatur ist "Ignorieren."
• Die zugehörige Aktion löst eine Netzwerk-IPS-Signatur aus.
• Ein Benutzer versucht, den McAfee Host IPS-Dienst unabhängig von der Einstellung der
Client-Regel für den Dienstselbstschutz in Signatur 1000 anzuhalten.
• Es gibt bereits eine Ausnahme in einer angewendeten Richtlinie für IPS-Regeln, mit der der
Vorgang ausgeschlossen wird.
• Der der Aktion zugewiesene Prozess wird in einer geltenden Richtlinie für vertrauenswürdige
Anwendungen als vertrauenswürdig für IPS angesehen. Die Signatur wird nicht aus den
vertrauenswürdigen Anwendungen ausgeschlossen.
Mit der Firewall:
• Dem Paket wird bei Analyse im Client-Aktivitätsprotokoll keine Anwendung zugewiesen.
Typische Beispiele:
• Eingehende Anforderungen hinsichtlich Diensten, die nicht ausgeführt werden, wie
beispielsweise das Dateiübertragungsprotokoll FTP oder Telnet.
23
• Eingehendes Internet Control Message Protocol (ICMP), wie beispielsweise
Echoanforderungen.
• Ein- oder ausgehendes ICMP unter Microsoft Windows Vista.
• Pakete des Transmission Control Protocol (TCP) an Port 139 (NetBIOS SSN) oder 445
(MSDS), die mitunter für die Dateifreigabe in Windows benötigt werden.
• Pakete des Internet Protocol Security (IPsec), die im Zusammenhang mit Client-Lösungen
für virtuelle private Netzwerke (VPN) stehen.
• In der Richtlinie für Firewall-Regeln gibt es bereits eine Regel, mit der Pakete blockiert oder
zugelassen werden.
• Die geltende Richtlinie umfasst eine standortabhängige Gruppe mit aktivierter
Konnektivitätsisolation, die Gruppe stimmt mit einer aktiven Netzwerkschnittstellenkarte
(NIC) überein, und das Paket wird an eine NIC gesendet oder von einer NIC empfangen,
die nicht mit der Gruppe übereinstimmt.
• Das Paket ist weder ein TCP-, noch ein UDP- oder ICMP-Paket.
• Mehr als ein Benutzer ist im System angemeldet, oder kein Benutzer ist angemeldet.
Gibt es weitere Einschränkungen?
• Bei einigen Client-Regeln entdeckt IPS den diesen zugewiesenen Benutzer mitunter nicht
(dies wird in ePolicy Orchestrator in der Client-Regel als "Domäne unbekannt/Benutzer
unbekannt" angezeigt). Bei diesen Client-Regeln können nach wie vor Ausnahmen erstellt
werden; sie gelten dann aber für alle Benutzer.
• Bei einigen eingehenden TCP-Verbindungen wie "Remote Desktop" oder "Hypertext Transfer
Protocol over Secure Socket Layer" (HTTPS) sind zur Erstellung einer Firewall-Regel
möglicherweise mehrere Versuche erforderlich.
Host IPS-Richtlinienmigration
Richtlinien von McAfee Host Intrusion Prevention Version 6.1 oder 7.0 können erst dann mit
Clients der Version 8.0 verwendet werden, nachdem Version 6.1 oder 7.0 auf Version 8.0
migriert wurde. In Host Intrusion Prevention 8.0 lassen sich Richtlinien mithilfe der unter
Automatisierung befindlichen Funktion Host IPS-Richtlinienmigration von ePolicy
Orchestrator einfach migrieren. Bei der Migration werden die Richtlinie umgewandelt und
verschoben. Nachdem eine Richtlinie migriert wurde, wird sie in der entsprechenden Funktion
von Host IPS 8.0 des Richtlinienkatalogs angezeigt. Der Name der Richtlinie weist am Ende die
Ergänzung [6.1] oder [7.0] auf.
Mit Ausnahme folgender Richtlinien werden alle Richtlinien in Richtlinien von Version 8.0
umgewandelt:
• Richtlinien für Optionen zur Anwendungsblockierungen werden nicht migriert (in Version 8.0
wurden diese Richtlinien entfernt).
• Richtlinien für Anwendungsblockierregeln werden in Richtlinien für IPS-Regeln mit der
Bezeichnung "Schutz vor dem Einklinken von Anwendungen und Aufrufschutz <Name> [6.1
oder 7.0]" migriert (in Version 8.0 wurden diese Richtlinien entfernt). Nach der Migration in
die Richtlinien für IPS-Regeln sind die entsprechenden Listen der Anwendungsschutzregeln
leer. Die Ausnahmeliste enthält Ausnahmen für alle standardmäßigen vertrauenswürdigen
Anwendungen, die auf "Für Einklinken von Anwendungen vertrauenswürdig" gesetzt sind.
Damit diese migrierte Richtlinie verwendet werden kann, muss außerdem die
24
IPS-Regelrichtlinie "Mein Standard" in einem Kontext mit mehreren Richtlinien zugewiesen
werden, da sie die neueste Anwendungsschutzliste enthält.
HINWEIS: Anwendungen, deren Einklinken in Richtlinien für Anwendungsblockierregeln
blockiert wird, werden nicht migriert und müssen den in der IPS-Regelrichtlinie enthaltenen
Anwendungsschutzregeln nach der Migration von Hand hinzugefügt werden. Wird eine
Richtlinie für vertrauenswürdige Anwendungen mit der Kennzeichnung "Für Einklinken von
Anwendungen vertrauenswürdig" auf Version 8.0 migriert, muss für diese Anwendung in
Signatur 6010 (Allgemeiner Schutz vor dem Einklinken von Anwendungen) einer Richtlinie
für Host IPS-Regeln eine Ausnahme erstellt werden, um den Schutz vor dem Einklinken von
Anwendungen aufrecht zu erhalten.
• Richtlinien für Firewall-Quarantäne-Optionen werden nicht migriert (in Version 8.0 wurden
diese Richtlinien entfernt).
• Richtlinien für Firewall-Quarantäne-Regeln werden nicht migriert (in Version 8.0 wurden
diese Richtlinien entfernt).
• IPS-Client-Regeln und Firewall-Client-Regeln werden nicht migriert.
HINWEIS: Die Richtlinienzuweisungen werden bei der Migration übernommen. Wird die Vererbung
an einem Punkt in der Systemstruktur unterbrochen, wird die Zuweisung zwar nicht
überschrieben, aber die Vererbung kann an einem anderen Punkt in der Systemstruktur
unterbrochen werden, da migrierte Zuweisungen zusammengeführt werden. Prüfen Sie nach
einer Migration daher immer die Richtlinienzuweisung.
Direktes Migrieren von Richtlinien
Nach Installation der Erweiterung von Host Intrusion Prevention 8.0 lassen sich alle vorhandenen
Richtlinien am einfachsten durch eine direkte Richtlinienmigration migrieren.
1
Klicken Sie auf Automatisierung | Host IPS-Richtlinienmigration.
2
Klicken Sie im ePO-Richtlinienkatalog unter Aktionen für Host IPS 6.1 oder 7.0 auf
Migrieren.
3 Klicken Sie nach abgeschlossener Migration auf Schließen.
Alle Richtlinien der Version 6.1/7.0 von IPS, Firewall und der Funktion "Allgemein" werden in
Version 8.0 umgewandelt und mit dem Zusatz [6.1] oder [7.0 ] hinter ihrem Namen angezeigt.
HINWEIS: Wird die Migration ein zweites Mal ausgeführt, werden sämtliche zuvor migrierte
Richtlinien mit dem gleichen Namen überschrieben. Bei diesem Prozess gibt es keine Ausnahmen.
Alle vorhandenen Richtlinien von Version 6.1 oder 7.0 werden migriert. Wenn Sie nur ausgewählte
Richtlinien migrieren möchten, muss dies durch ein XML-Dateiverfahren erfolgen.
Migrieren von Richtlinien mit einer XML-Datei
Wenn die Erweiterung von Host Intrusion Prevention 6.1/7.0 nicht installiert ist und Sie
ausgewählte Richtlinien zuvor in eine XML-Datei exportiert haben, oder wenn Sie nicht alle
Richtlinien der Version 6.1/7.0, sondern nur bestimmte Richtlinien migrieren möchten, erfolgt
die Migration mithilfe einer XML-Datei. Dabei werden einzelne Richtlinien von Host Intrusion
Prevention 6.1/7.0 zuerst in das XML-Format exportiert, die Inhalte dann in Richtlinienversionen
von Host Intrusion Prevention 8.0 umgewandelt und die migrierten XML-Dateien dann in den
ePO-Richtlinienkatalog importiert.
1
Klicken Sie auf Automatisierung | Host IPS-Richtlinienmigration.
2
Klicken Sie in einer XML-Datei unter Aktionen für Host IPS 6.1 oder 7.0 auf Migrieren.
3
Wählen Sie die zuvor exportierte XML-Datei von Host IPS Version 6.1 oder 7.0 aus, und
klicken Sie auf OK. Die XML-Datei wird in das Format 8.0 umgewandelt.
25
Systemverwaltung
4
Klicken Sie mit der rechten Maustaste auf die umgewandelte Datei "MigratedPolicies.xml",
und speichern Sie sie zu Importzwecken.
5
Importieren Sie die XML-Datei in den ePO-Richtlinienkatalog.
Systemverwaltung
Beim Verwalten der Ausbringung von Host Intrusion Prevention sind gelegentlich systematische
Aufgaben durchzuführen. Zu diesen gehört das Einrichten von Benutzerberechtigungen,
Server-Tasks, Benachrichtigungen und Inhaltsaktualisierungen.
Host IPS-Berechtigungssätze
Ein Berechtigungssatz ist eine Gruppe von Berechtigungen, die einem Benutzerkonto für
bestimmte Produkte oder Produktfunktionen zugewiesen werden. Berechtigungssätze können
einzeln oder kombiniert zugewiesen werden. Globale Administratoren erhalten automatisch
sämtliche Berechtigungen für Produkte und Funktionen. Berechtigungssätze dienen nur der
Vergabe, nicht aber dem Entzug von Berechtigungen.
Globale Administratoren können bestehende Berechtigungssätze beim Erstellen oder Bearbeiten
von Benutzerkonten oder der Berechtigungssätze zuweisen.
Mithilfe der Host Intrusion Prevention-Erweiterung wird den Berechtigungssätzen ein weiterer
Host Intrusion Prevention-Abschnitt hinzugefügt, ohne dabei Berechtigungen anzuwenden. Die
globalen Administratoren müssen für vorhandenen Berechtigungssätze Host IPS-Berechtigungen
gewähren oder neue Berechtigungssätze erstellen und hinzufügen.
Mit Host Intrusion Prevention lässt sich für jede Produktfunktion eine Berechtigung erteilen,
und auch dafür, ob der Benutzer nur Leseberechtigung oder Schreib-/Leseberechtigung hat.
Dies gilt sowohl für die unter den Berichten angegebenen Host Intrusion
Prevention-Richtlinienseiten als auch die Host Intrusion Prevention-Ereignis- und
Client-Regelseiten.
Host IPS-Funktion
Verfügbare Berechtigungen
IPS
Keine, nur Einstellungen anzeigen oder Einstellungen anzeigen und ändern.
Firewall
Allgemein
Der globale Administrator muss auch ePolicy Orchestrator-Berechtigungen für das Arbeiten mit
anderen Objekten aus Host Intrusion Prevention vergeben, wie beispielsweise für Abfragen und
Dashboards. Um beispielsweise die auf den Host IPS-Seiten unter den Berichten stehenden
Firewall-Client-Regeln zu analysieren und zu verwalten, braucht ein Benutzer die Berechtigung,
das Ereignisprotokoll, das System und die Systemstruktur anzuzeigen sowie die Berechtigung,
die Firewall-Funktion in Host Intrusion Prevention anzuzeigen und zu ändern.
Tabelle 3: Berechtigungen für das Arbeiten mit verschiedenen Funktionen
26
Host IPS-Funktion
Erforderliche Berechtigungssätze
Host IPS-Dashboards
Dashboards, Abfragen
Host IPS-Abfragen
Abfragen
Host IPS-Client-Ereignisse und Client-Regeln
Systeme, Zugriff auf Systemstruktur, Ereignisprotokoll
Host IPS-Server-Tasks
Server-Tasks
Systemverwaltung
Host IPS-Funktion
Erforderliche Berechtigungssätze
Host IPS-Pakete im Repository
Software
Host IPS-Benachrichtigungen
Benachrichtigungen
Weitere Informationen über Berechtigungssätze entnehmen Sie der Dokumentation zu ePolicy
Orchestrator.
Zuweisen von Berechtigungssätzen
Mit dieser Vorgehensweise werden Host Intrusion Prevention-Funktionen auf dem ePO-Server
Berechtigungen zugewiesen.
Bevor Sie beginnen
Bestimmen Sie die Host Intrusion Prevention-Funktionen, die Zugriff haben sollen, sowie die
zusätzlichen Berechtigungssätze, die zugewiesen werden müssen, damit auf alle Teile der Host
Intrusion Prevention-Funktion zugegriffen werden kann. Um beispielsweise Client-Regeln
anzuzeigen, muss ein Benutzer die Berechtigung für die Firewall-Funktion im Host Intrusion
Prevention-Berechtigungssatz sowie für die Berechtigungssätze von Ereignisprotokoll, Systemen
und Systemstruktur haben.
Task
1
Wechseln Sie zu Konfiguration | Berechtigungssätze.
2
Klicken Sie neben Host Intrusion Prevention auf Bearbeiten.
3
Wählen Sie für die einzelnen Funktionen die gewünschte Berechtigung aus.
• Keine
• Nur Einstellungen anzeigen
• Einstellungen anzeigen und ändern
4
Klicken Sie auf Speichern.
5
Weisen Sie nach Bedarf andere Berechtigungssätze zu.
Host IPS-Funktion
Zuzuweisender Berechtigungssatz
Host IPS-Ereignisse
Host Intrusion Prevention – IPS, Ereignisprotokoll,
Systeme, Systemstrukturzugriff
Host IPS-Client-IPS-Regeln
Host Intrusion Prevention – IPS, Ereignisprotokoll,
Host IPS-Client-Firewall-Regeln
Host Intrusion Prevention – Firewall, Ereignisprotokoll,
Host IPS-Dashboards
Dashboard, Abfragen
Host IPS-Abfragen
Abfragen
Host IPS-Server-Tasks
Host Intrusion Prevention enthält mehrere bereits konfigurierte und konfigurierbare Server-Tasks,
die Sie nach einem Zeitplan oder sofort im Zusammenhang mit dem Schutz von Host Intrusion
27
Systemverwaltung
Prevention ausführen können. Benutzerdefinierte Server-Tasks können in Host Intrusion
Prevention im Generator für Server-Tasks auf der Registerkarte Aktionen durch Klicken auf
Neuer Task und Auswahl mindestens einer Host IPS-Eigenschaften erstellt werden. Weitere
Informationen über Verwendung und Erstellung von Server-Tasks entnehmen Sie der
Dokumentation zu ePolicy Orchestrator.
Um mit vorhandenen Server-Tasks zu arbeiten, gehen Sie zu Automatisierung |
Server-Tasks, und klicken Sie unter Aktionen auf den gewünschten Befehl. Einen
benutzerdefinierten Server-Task erstellen Sie durch Klicken auf Neuer Task und Durchführung
der Schritte im Assistenten für Server-Tasks.
Tabelle 4: Vorkonfigurierte und benutzerdefinierte Server-Tasks
Server-Task
Beschreibung
Host IPS-Eigenschaftenübersetzung (vorkonfiguriert)
Mit diesem Server-Task werden in der Datenbank von
ePolicy Orchestrator gespeicherte Client-Regeln von Host
Intrusion Prevention übersetzt, um damit Daten in Host
Intrusion Prevention sortieren, anordnen und filtern zu
können. Der Task wird automatisch alle 15 Minuten
ausgeführt und erfordert keinerlei Benutzereingaben. Sind
sofort Ergebnisse zu Aktionen auf dem Client erforderlich,
kann er auch von Hand ausgeführt werden.
Repository-Abruf (benutzerdefiniert)
Mit diesem Server-Task können Sie einen
benutzerdefinierten Task erstellen, um Pakete von einer
Quellsite zu empfangen und im Master-Repository
abzulegen. Sollen Inhaltsaktualisierungen automatisch
empfangen werden, wählen Sie als Pakettyp Host
IPS-Inhalt aus.
Abfrage ausführen (benutzerdefiniert)
Dieser Server-Task dient zur Erstellung eines
benutzerdefinierten Tasks, mit dem vorkonfigurierte
Abfragen in Host Intrusion Prevention entsprechend einem
Zeitplan ausgeführt werden können.
Ereignisprotokoll bereinigen (benutzerdefiniert)
Mit diesem Server-Task können Sie einen
benutzerdefinierten Task zur Reinigung von
Ereignisprotokollen auf Grundlage einer Host Intrusion
Prevention-Abfrage erstellen. Wählen Sie eine aus dem
Ereignisprotokoll zu löschende Abfrage für Host
IPS-Ereignisse aus.
Host IPS-Ereignisbenachrichtigungen
Mit Benachrichtigungen werden Sie über alle Ereignisse informiert, die auf Client-Systemen mit
Host Intrusion Prevention auftreten. Sie können Regeln konfigurieren, mit denen E-Mails oder
SNMP-Traps ausgelöst oder externe Befehle ausgeführt werden, wenn bestimmte Ereignisse
auf dem ePolicy Orchestrator-Server empfangen und verarbeitet werden. Sie können die
Ereigniskategorien angeben, die zur Erstellung einer Benachrichtigung führen, sowie die
Häufigkeit, mit der Benachrichtigungen gesendet werden. Ausführliche Informationen hierzu
finden Sie in der Dokumentation von ePolicy Orchestrator 4.0.
Tipps zur Verwendung von Benachrichtigungen
Treten in der Umgebung von Host Intrusion Prevention Ereignisse auf, werden sie an den Server
von ePolicy Orchestrator übertragen. Auf die Ereignisse werden Benachrichtigungsregeln
angewendet, die der Gruppe oder dem Standort mit den betroffenen Systemen zugewiesen
sind. Wenn die Bedingungen einer Regel erfüllt sind, wird – abhängig von den in der Regel
28
Systemverwaltung
enthaltenen Vorgaben – eine Benachrichtigungsmeldung gesendet oder ein externer Befehl
ausgeführt.
Sie können unabhängige Regeln auf verschiedenen Ebenen der Systemstruktur konfigurieren.
Zudem können Sie konfigurieren, wann Benachrichtigungen gesendet werden, indem Sie
Schwellenwerte festlegen, die auf Aggregationen und Einschränkungen basieren.
Benachrichtigungsregeln
ePolicy Orchestrator beinhaltet Standardregeln, die Sie aktivieren und sofort verwenden können.
Bevor Sie eine der Standardregeln aktivieren:
• Geben Sie den E-Mail-Server an, von dem die Benachrichtigungen gesendet werden.
• Prüfen Sie, ob die E-Mail-Adresse des Empfängers stimmt.
Alle Regeln werden auf die folgende Art erstellt:
1
Beschreiben der Regel
2
Festlegen der Filter für die Regel
3
Festlegen von Schwellenwerten für die Regel
4
Erstellen der zu sendenden Nachricht und Festlegen der Zustellungsart
Benachrichtigungskategorien
In Host Intrusion Prevention werden folgende produktspezifische Benachrichtigungskategorien
unterstützt:
• Host-Eindringungsversuch entdeckt und verarbeitet
• Netzwerkeindringungsversuch entdeckt und verarbeitet
• Unbekannt
Benachrichtigungsparameter
Benachrichtigungen lassen sich für alle oder keine der Host-(oder Netzwerk-)IPS-Signaturen
konfigurieren. Host Intrusion Prevention unterstützt bei der Konfiguration einer
Benachrichtigungsregel die Angabe einer einzelnen IPS-Signatur-ID als Bedrohungs- oder
Regelname. Indem das Signatur-ID-Attribut eines Ereignisses intern einem Bedrohungsnamen
zugeordnet wird, wird eine Regel zur eindeutigen Kennzeichnung einer IPS-Signatur erstellt.
Die spezifischen Zuordnungen der Parameter in Host Intrusion Prevention, die im Betreff/Text
einer Nachricht erlaubt sind, sind folgende:
Parameter
Werte für Host- und Netzwerk-IPS-Ereignisse
Tatsächliche Bezeichnung der
Bedrohung oder Regel
Signatur-ID
Quellsysteme
Remote-IP-Adresse
Betroffene Objekte
Prozessname
Uhrzeit, zu der die Benachrichtigung Zeit des Vorfalls
gesendet wurde
Ereignis-IDs
ePO-Zuordnung der Ereignis-ID
Zusätzliche Informationen
Übersetzter Signaturname (eines Client-Computers)
29
Systemverwaltung
Aktualisierungen des Host IPS-Schutzes
Host Intrusion Prevention unterstützt mehrere Versionen von Client-Inhalten und -Code, wobei
der aktuell verfügbare Inhalt in der ePO-Konsole angezeigt wird. Neue Inhalte werden immer
in aufeinander folgenden Versionen unterstützt, sodass Inhaltsaktualisierungen hauptsächlich
neue Informationen oder geringfügige Änderungen an bestehenden Informationen enthalten.
Aktualisierungen werden mithilfe eines Pakets durchgeführt. Dieses Paket enthält
Inhaltsversionsinformationen und Skriptaktualisierungen. Beim Einchecken wird die Paketversion
mit der Version der aktuellen Inhaltsinformationen in der Datenbank verglichen. Wenn das
Paket neuer ist, werden die Skripts aus diesem Paket extrahiert und ausgeführt. Diese neuen
Inhaltsinformationen werden anschließend bei der nächsten Kommunikation zwischen Agent
und Server an Clients weitergeleitet.
Aktualisierungen beinhalten Daten, die sich auf die Richtlinie für IPS-Regeln (IPS-Signaturen
und Anwendungsschutzregeln) und die Richtlinie für vertrauenswürdige Anwendungen
(vertrauenswürdige Anwendungen) beziehen. Da diese Aktualisierungen in der
McAfee-Standardrichtlinie vorkommen, müssen die Richtlinien im Hinblick auf den aktualisierten
Schutz sowohl für IPS-Regeln als auch vertrauenswürdige Anwendungen zugewiesen werden.
Der grundlegende Prozess umfasst das Einchecken des Inhaltspakets in das
ePO-Master-Repository und das anschließende Senden der aktualisierten Informationen an die
Clients. Die Clients erhalten Aktualisierungen nur über die Kommunikation mit dem ePO-Server
und nicht direkt über FTP- oder HTTP-Protokolle.
TIPP: Um bestmöglich von Inhaltsaktualisierungen zu profitieren, weisen Sie stets die
McAfee-Standardrichtlinien für IPS-Regeln und vertrauenswürdige Anwendungen zu. Werden
diese Standardrichtlinien geändert, werden die Änderungen nicht mit einer Aktualisierung
überschrieben, da Änderungen an den Einstellungen dieser Richtlinien Vorrang vor
Standardeinstellungen haben.
Einchecken von Aktualisierungspaketen
Sie können einen ePO-Pull-Task erstellen, mit dem Pakete zur Inhaltsaktualisierung automatisch
in das Master-Repository eincheckt werden. Durch diesen Task wird das Aktualisierungspaket
so oft wie angegeben direkt von McAfee heruntergeladen. Das Paket wird anschließend dem
Master-Repository hinzugefügt, wodurch die Datenbank mit neuen Host Intrusion
Prevention-Inhalten aktualisiert wird.
Task
30
1
Öffnen Sie Software | Master-Repository, und klicken Sie dann auf Abrufen planen.
2
Benennen Sie den Task, beispielsweise HIP-Inhaltsaktualisierungen, und klicken Sie
auf Weiter.
3
Wählen Sie als Tasktyp Repository-Abruf aus, dann die Paketquelle (McAfeeHttp oder
McAfeeFtp), den Zweig, für den das Paket bestimmt ist (Aktuell, Vorherig, Bewertung)
und ein ausgewähltes Paket (Host Intrusion Prevention-Inhalt), und klicken Sie dann
auf Weiter.
4
Planen Sie den Task wie erforderlich, und klicken Sie auf Weiter.
5
Prüfen Sie die Angaben, und klicken Sie auf Speichern.
Systemverwaltung
Manuelles Einchecken von Paketen
Durch diesen Task wird das Aktualisierungspaket so oft wie angegeben direkt von McAfee
heruntergeladen. Das Paket wird anschließend dem Master-Repository hinzugefügt, wodurch
die Datenbank mit neuen Host Intrusion Prevention-Inhalten aktualisiert wird.
Wenn Sie keinen automatischen Pull-Task nutzen möchten, können Aktualisierungspakete auch
von Hand heruntergeladen und eingecheckt werden.
Task
1
Laden Sie die Datei von McAfeeHttp oder McAfeeFtp herunter.
2
Öffnen Sie Software | Master-Repository, und klicken Sie dann auf Paket einchecken.
3
Wählen Sie den Typ und den Speicherort des Pakets aus, und klicken Sie auf Weiter.
Daraufhin wird die Seite Paketoptionen angezeigt.
4
Wählen Sie den Zweig aus, wo das Paket installiert werden soll, und klicken Sie auf
Speichern. Das Paket wird auf der Registerkarte Master-Repository angezeigt.
Aktualisieren der Clients mit Inhalten
Nachdem das Aktualisierungspaket in das Master-Repository eingecheckt wurde, können Sie
Aktualisierungen an den Client senden, indem Sie entweder einen Aktualisierungs-Task einrichten
oder zur umgehenden Aktualisierung eine Agenten-Reaktivierung senden.
Task
1
Öffnen Sie Systeme | Systemstruktur | Client-Tasks, und wählen Sie die Gruppe aus,
die Inhaltsaktualisierungen erhalten soll. Klicken Sie anschließend auf Neuer Task.
2
Geben Sie einen Namen und eine Beschreibung für den Task ein, und wählen Sie als Tasktyp
Aktualisierung (McAfee Agent) aus. Klicken Sie dann auf Weiter.
3
Wählen Sie Ausgewählte Pakete und anschließend Host Intrusion Prevention-Inhalt
aus, und klicken Sie dann auf Weiter.
4
Planen Sie den Task bedarfsgerecht ein, und klicken Sie auf Weiter.
5
Prüfen Sie die Angaben, und klicken Sie auf Speichern.
Aktualisieren von Inhalten auf einem Client
Ein Client kann auch bei Bedarf Aktualisierungen anfordern, wenn ein McAfee Agent-Symbol in
der Taskleiste des Clients angezeigt wird.
Task
• Klicken Sie mit der rechten Maustaste auf das Symbol für McAfee Agent in der Taskleiste,
und wählen Sie Jetzt aktualisieren aus. Das Dialogfeld McAfee AutoUpdate-Status
wird angezeigt, und Inhaltsaktualisierungen werden abgerufen und auf den Client
angewendet.
31
Konfigurieren von IPS-Richtlinien
IPS-Richtlinien aktivieren und deaktivieren den IPS-Schutz, legen die Reaktionsebene für
Ereignisse fest und bieten Schutz durch Ausnahmen, Signaturen und Anwendungsschutzregeln.
Damit der IPS-Schutz immer aktuell ist, gibt es monatliche Inhaltsaktualisierungen. Diese
enthalten neue und überarbeitete Signaturen und Anwendungsschutzregeln.
Inhalt
Übersicht der IPS-Richtlinien
Aktivieren des IPS-Schutzes
Festlegen der Reaktion auf IPS-Signaturen
Festlegen des IPS-Schutzes
Überwachen von IPS-Ereignissen
Überwachen von IPS-Client-Regeln
Mit IPS (Intrusion Prevention System) werden alle Systemaufrufe (Kernel-Ebene) und API-Aufrufe
(Benutzerebene) überwacht und potenziell gefährliche Aufrufe blockiert.
Host Intrusion Prevention bestimmt, welcher Prozess einen Aufruf verwendet, den
Sicherheitskontext, in dem der Prozess ausgeführt wird, und die Ressource, auf die zugegriffen
wird. Ein Treiber auf Kernel-Ebene, der umgeleitete Einträge in der Systemaufruftabelle im
Benutzermodus erhält, überwacht die Systemaufrufkette. Wenn Aufrufe erfolgen, vergleicht
der Treiber die Aufrufanforderung mit einer Datenbank, die kombinierte Signaturen und
Verhaltensregeln enthält, um zu bestimmen, ob eine Aktion erlaubt, blockiert oder protokolliert
werden soll. Diese Hybridmethode zur Identifikation von Angriffen entdeckt die bekanntesten
Angriffe und auch zuvor unbekannte oder Zero-Day-Angriffe.
Der Schutz erfolgt auch über Ausnahmen, mit denen Signaturen überschrieben werden, die
zulässige Aktivitäten blockieren. Ein weiterer Bestandteil sind Anwendungsschutzregeln, die
bestimmen, welche Prozesse zu schützen sind.
Verfügbare Richtlinien
Es gibt drei IPS-Richtlinien:
IPS-Optionen: Ermöglicht IPS-Schutz, indem der Schutz von Host- und Netzwerk-IPS an- und
ausgeschaltet wird und speziell auf Windows zugeschnittene Optionen angewendet werden.
IPS-Schutz: Bestimmt, wie das System reagieren soll (blockieren, ignorieren, protokollieren),
wenn Signaturen eines bestimmten Schweregrades (hoch, mittel, niedrig) ausgelöst werden.
IPS-Regeln: Bestimmt den IPS-Schutz, indem Signaturen und Verhaltensanalyse angewendet
werden, um das System vor bekannten Angriffen und Zero-Day-Angriffen zu schützen. Ergänzt
werden die Signaturen durch Ausnahmen, mit denen Signaturen überschrieben werden, die
32
zulässige Aktivitäten blockieren, sowie durch Anwendungsschutzregeln, mit denen die zu
schützenden Prozesse bestimmt werden. Diese Richtlinienkategorie kann ebenso wie die Richtlinie
Vertrauenswürdige Anwendungen mehrere Richtlinieninstanzen enthalten. Um den Schutz
auf dem neuesten Stand zu halten, werden Inhaltsaktualisierungen mit neuen und aktualisierten
Signaturen und Anwendungsschutzregeln bereitgestellt.
Verfahren zur Bereitstellung von IPS-Schutz
Realisiert wird der IPS-Schutz durch Abschirmung und Umhüllung, Abfangen von Systemaufrufen
und die Installation bestimmter Module und Treiber.
Abschirmung und Umhüllung
Host Intrusion Prevention schützt Sie mit Abschirmungs- und Umhüllungssignaturen vor Angriffen.
Die Umhüllungsstrategie sorgt dafür, dass Anwendungen außerhalb ihres eigenen
Anwendungsbereichs nicht auf Dateien, Daten, Registrierungseinstellungen und Dienste zugreifen
können. Bei der Abschirmung wird verhindert, dass auf Anwendungsdateien, Daten,
Registrierungseinstellungen und Dienste außerhalb ihres eigenen Anwendungsbereichs
missbräuchlich zugegriffen wird.
Abfang von Systemaufrufen
Mit Host Intrusion Prevention werden alle System- und API-Aufrufe überwacht und verdächtige
Aktivitäten blockiert. Das Programm bestimmt den Prozess, den ein Aufruf verwendet, den
Sicherheitskontext, in dem der Prozess ausgeführt wird, und die Ressource, auf die zugegriffen
wird. Ein Treiber für Host Intrusion Prevention auf Kernel-Ebene, der umgeleitete Einträge in
der Systemaufruftabelle im Benutzermodus erhält, überwacht die Systemaufrufkette. Wenn
Aufrufe erfolgen, vergleicht der Treiber die Aufrufanforderung mit einer Datenbank, die
kombinierte Signaturen und Verhaltensregeln enthält, um zu bestimmen, ob eine Aktion erlaubt,
blockiert oder protokolliert werden soll.
Programme auf Benutzerebene greifen mit der Kernel-Funktion auf Festplattenlaufwerke,
Netzwerkverbindungen und freigegebene Speicher zu. Da der Prozessor den direkten Zugriff
auf die Funktionen auf Kernel-Ebene verhindert, werden in den Programmen auf Benutzerebene
Systemaufrufe verwendet, die eine Kommunikation zwischen Benutzer- und Kernel-Modus
erlauben. Systemaufrufe haben alle Kernel-Funktionen, die für Programme auf Benutzerebene
erforderlich sind. Sie werden mithilfe einer Systemaufruftabelle im Betriebssystem implementiert.
Host Intrusion Prevention wird in den Systemaufruf eingefügt, indem ein Treiber auf Kernel-Ebene
installiert und die Einträge der Systemaufruftabelle umgeleitet werden. Fordert eine Anwendung
nun eine Datei an, wird diese an den Treiber von Host Intrusion Prevention weitergeleitet.
Dieser prüft die Anforderung anhand seiner Signaturen und Verhaltensregeln und ermittelt so,
ob die Anforderung zuzulassen oder zu blockieren ist.
HTTP-Modul für Web-Server
Host Intrusion Prevention schützt mit dem HTTP-Schutzmodul vor Angriffen auf
Web-Anwendungen und Systeme. Dazu wird der in eine Anwendung eingehende
HTTP-Datenstrom analysiert und anhand von Mustern in eingehenden HTTP-Anforderungen
abgeglichen. Das HTTP-Schutzmodul wird zwischen dem SSL-Verschlüsselungs- und
Entschlüsselungselement des Web-Servers, das Anfragen in reinen Text umwandelt und dem
Web-Server Modul installiert. So wird gewährleistet, dass Anforderungen im Modul von Host
Intrusion Prevention in Klartext angezeigt und bösartige Anforderungen schon vor der
Verarbeitung blockiert werden. HTTP-Signaturen verhindern Directory-Traversal- und
Unicode-Angriffe, Verunstaltungen von Webseiten, Datendiebstahl und Server-Hacks.
33
SQL-Modul für SQL-Server
Host Intrusion Prevention schützt mithilfe des SQL-Prüfmoduls vor Angriffen auf Datenbankserver.
Das Prüfmodul wird zwischen den Netzwerkbibliotheken der Datenbank und dem Datenbankmodul
installiert. Es dient der Untersuchung von SQL-Anforderungen und blockiert solche, die ein
Ereignis auslösen könnten. Mithilfe von SQL-Schutzregeln, die je nach Benutzer verschieden
sind, werden Ursprung und Gültigkeit einer Abfrage sowie andere Parameter abgefragt.
SQL-Datenbanksignaturen beruhen auf dem Kernschutz von Standardsignaturen sowie
hinzugefügten datenbankspezifischen Abfang- und Schutzregeln. Mit dem SQL-Modul von Host
IPS werden eingehende Datenbankabfragen vor ihrer Verarbeitung durch das Datenbankmodul
abgefangen. Jede Abfrage wird mit bekannten Angriffssignaturen verglichen und auf eine
ordnungsgemäße Bildung sowie verdächtige Anzeichen einer SQL-Einschleusung geprüft.
Mit SQL-Datenbanksignaturen werden Datenbanken zum Schutz ihrer Dateien, Dienste und
Ressourcen abgeschirmt. Außerdem werden sie umhüllt, um eine ordnungsgemäße Funktion
sicherzustellen.
Signaturen
Signaturen sind Sammlungen von Eindringungsschutzregeln, die mit einem Datenstrom
abgeglichen werden können. Beispielsweise kann eine Signatur nach einer bestimmten
Zeichenfolge in einer HTTP-Anforderung suchen. Wenn die Zeichenfolge mit einer Zeichenfolge
eines bekannten Angriffs übereinstimmt, werden bestimmte Maßnahmen getroffen. Diese Regeln
bieten Schutz vor bekannten Angriffen.
Signaturen werden für bestimmte Anwendungen und bestimmte Betriebssysteme entworfen.
Beispiele sind Web-Server, wie Apache und IIS. Die meisten Signaturen schützen das gesamte
Betriebssystem. Einige schützen hingegen bestimmte Anwendungen.
Host IPS-Signaturen
Der Host Intrusion Prevention-Schutz befindet sich auf einzelnen Systemen wie Servern,
Arbeitsstationen oder Notebooks. Der Host Intrusion Prevention-Client prüft den in ein System
hinein- oder aus ihm hinausgehenden Datenverkehr und untersucht das Verhalten der
Anwendungen und des Betriebssystems hinsichtlich möglicher Angriffe. Wenn ein Angriff entdeckt
wird, kann der Client diesen im Bereich der Netzwerksegmentverbindung blockieren oder Befehle
zur Beendigung des durch den Angriff ausgelösten Verhaltens ausgeben. Ein Buffer Overflow
wird beispielsweise verhindert, indem schädliche Programme blockiert werden, die in den von
einem Angriff ausgenutzten Adressraum eingefügt wurden. Die Installation von
Hintertürprogrammen für Anwendungen wie Internet Explorer wird blockiert, indem der von
der Anwendung ausgegebene Befehl zum Schreiben einer Datei abgefangen und abgelehnt
wird.
Leistungsspektrum dieser Signaturen:
• Schützen vor Angriffen und deren Konsequenzen, beispielsweise vor dem Anlegen einer
Datei.
• Schützen Laptops außerhalb des geschützten Netzwerks vor Angriffen.
• Schützen vor lokalen Angriffen über CDs oder USB-Geräte. Diese Angriffe sind häufig darauf
ausgelegt, die Berechtigungen des Benutzers auf Root oder Administrator heraufzusetzen,
um andere Systeme des Netzwerks zu beeinträchtigen.
• Bilden die letzte Verteidigungslinie gegen Angriffe, die andere Sicherheitsmechanismen
überwunden haben.
34
• Verhindern interne Angriffe auf Geräte, die sich im selben Netzwerksegment befinden, oder
deren Missbrauch.
• Schützen vor Angriffen, bei denen ein verschlüsselter Datenstrom im zu schützenden System
endet und die entschlüsselten Daten und das Verhalten untersucht werden.
• Schützen Systeme in alten oder ungewöhnlichen Netzwerkarchitekturen wie beispielsweise
Token Ring oder FDDI.
Host Intrusion Prevention beinhaltet eine lange Standardliste mit Host IPS-Signaturen für
sämtliche Plattformen. Schweregrad, Protokollstatus und die Einstellungen für die Erstellung
von Client-Regeln dieser Signaturen können bearbeitet werden. Außerdem kann die Liste mit
benutzerdefinierten Signaturen ergänzt werden. Bei Installation einer Inhaltsaktualisierung wird
bei Bedarf auch die Signaturliste aktualisiert.
Netzwerk-IPS-Signaturen
Auch der NIPS-Schutz befindet sich auf einzelnen Systemen. Sämtliche Daten, die zwischen
dem geschützten System und dem restlichen Netzwerk ausgetauscht werden, werden auf einen
Angriff untersucht. Wird ein Angriff entdeckt, werden die verdächtigen Daten gelöscht oder am
Passieren des Systems gehindert.
Leistungsspektrum dieser Signaturen:
• Schützen Systeme, die sich nachgelagert in einem Netzwerksegment befinden.
• Schützen damit verbundene Server und Systeme.
• Schützen vor Denial of Service-Angriffen gegen das Netzwerk und gegen
bandbreitenorientierte Angriffe, die den Netzwerkverkehr verhindern oder einschränken.
Host Intrusion Prevention beinhaltet eine Standardliste mit einigen wenigen
Netzwerk-IPS-Signaturen für Windows-Plattformen. Schweregrad, Protokollstatus und die
Einstellung zur Erstellung von Client-Regeln dieser Signaturen können bearbeitet werden.
Benutzerdefinierte Netzwerksignaturen können derzeit aber nicht hinzugefügt werden. Bei
Installation einer Inhaltsaktualisierung wird bei Bedarf auch die Signaturliste aktualisiert.
Verhaltensregeln
Verhaltensregeln dienen zur Blockierung von Zero-Day-Angriffen und zur Erzwingung eines
regelgerechten Verhaltens von Betriebssystem und Anwendungen. Heuristische Verhaltensregeln
definieren ein Profil mit legitimer Aktivität. Aktivitäten, die nicht mit diesen Regeln
übereinstimmen, werden als verdächtig angesehen und lösen eine Reaktion aus. Beispielsweise
kann eine Verhaltensregel besagen, dass nur ein Web-Server-Prozess auf HTML-Dateien zugreifen
darf. Wenn ein anderer Prozess auf eine HTML-Datei zugreift, werden entsprechende Maßnahmen
ergriffen. Dieser als Abschirmung und Umhüllung von Anwendungen bezeichnete Schutz beugt
einer missbräuchlichen Nutzung von Anwendungen und ihrer Daten vor und verhindert, dass
mithilfe von Anwendungen andere Anwendungen angegriffen werden.
Daneben blockieren Verhaltensregeln die Ausnutzung von Pufferüberläufen und verhindern
damit eine durch Buffer Overflow-Angriffe ausgelöste Ausführung von Code. Auf diese Weise
werden Server und Desktops besonders häufig angegriffen.
Reaktionen
Eine Reaktion ist die Antwort eines Host Intrusion Prevention-Clients, wenn eine Signatur mit
einem bestimmten Schweregrad ausgelöst wird.
Ein Client reagiert auf eine der drei folgenden Arten:
35
• Ignorieren: Keine Reaktion; das Ereignis wird nicht protokolliert, und der Vorgang wird
nicht verhindert.
• Protokollieren: Das Ereignis wird protokolliert, aber der Vorgang wird nicht verhindert.
• Verhindern: Das Ereignis wird protokolliert, und der Vorgang wird verhindert.
Eine Sicherheitsrichtlinie kann z. B. Folgendes besagen: wenn ein Client eine Signatur mit einem
niedrigen Schweregrad erkennt, protokolliert er das Vorkommen dieser Signatur und erlaubt
den Vorgang. Wenn er dagegen eine Signatur mit einem hohen Schweregrad erkennt, verhindert
er den Vorgang.
HINWEIS: Die Protokollierung kann direkt für jede Signatur aktiviert werden. Mit der Richtlinie
für den IPS-Schutz wird die Reaktion auf Signaturen automatisch anhand des Schweregrades
festgelegt.
Ausnahmen
Mit einer Ausnahme werden Aktivitäten überschrieben, die von der Reaktion auf eine Signatur
blockiert werden.
In einigen Fällen kann das als Angriff definierte Verhalten Teil einer normalen Arbeitsroutine
eines Benutzers sein oder eine Aktivität, die für eine geschützte Anwendung unbedenklich ist.
Um diese Signatur außer Kraft zu setzen, können Sie eine Ausnahme erstellen, die solche
ausnahmsweisen Aktivitäten erlaubt. Eine Ausnahme kann z. B. besagen, dass für einen
bestimmten Client ein Vorgang ignoriert wird.
Sie können Ausnahmen manuell erstellen oder Clients in den adaptiven Modus versetzen und
ihnen erlauben, Client-Ausnahmeregeln zu erstellen. Um zu gewährleisten, dass eine Signatur
nie außer Kraft gesetzt wird, bearbeiten Sie die Signatur und deaktivieren Sie jeweils die Option
Client-Regeln zulassen. Sie können die Client-Ausnahmen in der ePolicy Orchestrator-Konsole
nachverfolgen und sie in einer regulären, gefilterten oder aggregierten Ansicht anzeigen.
Verwenden Sie diese Client-Regeln, um neue Richtlinien zu erstellen oder sie zu bestehenden
Richtlinien hinzuzufügen, die Sie auf andere Clients anwenden können.
Host Intrusion Prevention-Clients verfügen über einen Satz von IPS-Signaturregeln, die
bestimmen, ob eine Aktivität auf dem Client-Computer schädlich oder harmlos ist. Wenn
schädliche Aktivitäten entdeckt werden, erhält die ePO-Konsole Warnungen in Form so genannter
Ereignisse, die auf der Registerkarte Host IPS-Regeln unter Berichte angezeigt werden.
Die für Signaturen in der Richtlinie für den IPS-Schutz festgelegte Schutzebene bestimmt, welche
Aktion ein Client ergreift, wenn ein Ereignis auftritt. Reaktionen umfassen das Ignorieren,
Protokollieren oder Verhindern der Aktivität.
Ereignisse, die sich als falsch positiv herausstellen und aus einer legitimen Aktivität stammen,
können durch das Erstellen einer Ausnahme zur Signaturregel oder durch das Einstufen von
Anwendungen als "vertrauenswürdig" überschrieben werden. Clients im adaptiven Modus
erstellen automatisch Ausnahmen, so genannte Client-Regeln. Administratoren können
Ausnahmen jederzeit manuell erstellen.
Die Überwachung auftretender Ereignisse und von Client-Ausnahmeregeln hilft dabei, den durch
IPS gewährten Schutz anzupassen.
Anwendungsschutzregeln
Anwendungsschutzregeln dienen dem Schutz festgelegter und generierter Listen mit Prozessen
vor Pufferüberläufen, indem API-Hooking auf Benutzerebene zugelassen oder verhindert wird.
36
Der Schutz vor Pufferüberläufen ist Teil von Host Intrusion Prevention und bezieht sich auf
sämtliche Prozesse, die eingeklinkt werden. Die IPS-Richtlinie enthält eine Standardliste mit
Anwendungsschutzregeln für Windows-Plattformen. Diese Liste wird bei Installation von
Inhaltsaktualisierungen aktualisiert. Sie kann automatisch mit im Netzwerk aktiven und
dienstbasierten Anwendungen erweitert werden. Dazu muss in der Richtlinie für IPS-Optionen
die Option Netzwerkorientierte und dienstbasierte Anwendungen automatisch in die
Anwendungsschutzliste aufnehmen aktiviert werden.
Ereignisse
Reagiert ein Client auf eine ausgelöste Signatur, wird ein IPS-Ereignis erstellt.
Ereignisse werden auf der Registerkarte Ereignisse der Registerkarte Host IPS unter Berichte
protokolliert. Administratoren können diese Ereignisse überwachen, um Verletzungen von
Systemregeln zu analysieren. Sie können dann die Reaktionen auf Ereignisse anpassen oder
Regeln für Ausnahmen oder vertrauenswürdige Anwendungen erstellen, um die Anzahl an
Ereignissen zu senken und die Anpassung für die Schutzeinstellungen vorzunehmen.
HINWEIS: Auf dem Client von Host Intrusion Prevention werden Ereignisse aggregiert, damit
nicht alle Ereignisse an den ePO-Server übertragen werden. So werden Ereignisse, die innerhalb
von 20 Sekunden nacheinander auftreten, nicht wiederholt an den Server übertragen. Tritt ein
Ereignis nach 20 Sekunden erneut auf, wird ein weiteres Ereignis erfasst. Administratoren
können alle Ereignisse in der ePO-Konsole oder im Client-System auf der Registerkarte Host
IPS unter Berichte einsehen.
Mit der Richtlinie für IPS-Optionen wird bestimmt, wie der IPS-Schutz angewendet wird. Darin
enthalten sind Optionen für Windows- und Nicht-Windows-Plattformen.
Für alle Plattformen
Folgende Optionen sind für Clients aller Plattformen verfügbar:
• Host IPS aktiviert: Aktivieren Sie auf Wunsch den IPS-Schutz durch die Erzwingung von
Host IPS-Regeln.
HINWEIS: Das Steuerelement steht auch direkt auf dem Client zur Verfügung.
• Adaptiver Modus aktiviert (Regeln werden automatisch erlernt): Hiermit wird der
adaptive Modus aktiviert. In diesem erstellen Clients automatisch Ausnahmeregeln, um
blockierte Vorgänge zuzulassen. Verwenden Sie diese Option nur bei der genauen Einstellung
von Ausbringungen.
HINWEIS: Das Steuerelement steht auch direkt auf dem Client zur Verfügung.
• Bestehende Client-Regeln speichern, wenn diese Richtlinie durchgesetzt wird:
Wählen Sie diese Option aus, um Clients zu erlauben, auf dem Client erstellte Ausnahmeregeln
wie folgt beizubehalten: im adaptiven Modus automatisch oder manuell auf einem
Windows-Client, wenn diese Richtlinie erzwungen wird.
Nur bei Windows-Plattformen:
Folgende Optionen sind für Clients mit Windows-Plattformen verfügbar:
37
• Netzwerk-IPS aktiviert: Mit dieser Option lassen sich Netzwerk-IPS-Regeln erzwingen.
Die Option kann unabhängig von der Anwendung von Host IPS-Regeln genutzt werden.
• Netzwerkeindringlinge automatisch blockieren: Blockieren Sie mit dieser Option auf
einem Host ein- und ausgehenden Datenverkehr, bis dieser für die angegebene Dauer
(Minuten) auf dem Client manuell aus einer Liste mit blockierten Elementen entfernt wird.
Nur verfügbar, wenn die Funktion Netzwerk-IPS aktiviert ist.
HINWEIS: Diese Steuerelemente stehen auch direkt auf dem Client zur Verfügung.
• Blockierte Hosts zurückhalten: Mit dieser Option können Sie zulassen, dass ein Client
eine Host-IP-Adresse so lange blockiert, bis die unter Netzwerkeindringlinge automatisch
blockieren festgelegten Parameter erfüllt sind. Wenn diese Option nicht ausgewählt ist,
wird der Host nur bis zur nächsten Richtlinienerzwingung blockiert.
• Netzwerkorientierte und dienstbasierte Anwendungen automatisch in die
Anwendungsschutzliste aufnehmen: Mit dieser Option können Sie zulassen, dass ein
Client Anwendungen mit hohem Risiko automatisch der Liste der geschützten Anwendungen
in der Richtlinie "IPS-Regen" hinzufügt.
• IPS-Schutz beim Start aktiviert: Mit dieser Option können Sie einen hartkodierten Satz
an Dateien und Registrierungsregeln so lange anwenden, bis der Host IPS-Dienst auf dem
Client gestartet wurde.
Auswahlmöglichkeiten der Richtlinie
Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie und der bearbeitbaren
Richtlinie "Mein Standard". Sie beruht auf der Standardrichtlinie von McAfee. Vorkonfigurierte
Richtlinien können angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können
erstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.
Die vorkonfigurierte Richtlinie hat folgende Einstellungen:
McAfee-Standard
Host IPS- und Netzwerk-IPS-Schutz sind deaktiviert, und folgende Optionen werden bei
Aktivierung des IPS-Schutzes angewendet:
• Netzwerkeindringlinge automatisch für 10 Minuten blockieren (nur bei Windows)
• Blockierte Hosts zurückhalten (nur bei Windows)
• Client-Ausnahmen beibehalten
TIPP: Zur Aktivierung des IPS-Schutzes muss der für Host Intrusion Prevention zuständige
Administrator zuerst die Optionen für Host IPS und Netzwerk-IPS in der Richtlinie aktivieren
und die Richtlinie dann auf den Client-Systemen anwenden. Im Gegensatz zu älteren
Produktversionen erfolgt der IPS-Schutz auf Client-Systemen nicht automatisch.
Konfigurieren der Richtlinie für IPS-Optionen
Mit den Einstellungen in dieser Richtlinie werden der IPS-Schutz ein- oder ausgeschaltet und
der adaptive Modus angewendet.
Task
1
38
Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie in der Liste Produkt
den Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den Eintrag
IPS-Optionen aus. Eine Liste mit Richtlinien wird geöffnet.
2
Um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern, klicken Sie in der
Richtlinienliste IPS-Optionen unter Aktionen auf Bearbeiten.
HINWEIS: Für bearbeitbare Richtlinien sind folgende andere Optionen verfügbar:
Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind
nur die Optionen "Anzeigen" und "Duplizieren" verfügbar.
3
Nehmen Sie auf der angezeigten Seite IPS-Optionen alle erforderlichen Änderungen
(einschließlich der IPS-Einstellungen für Status, Start und Netzwerk) vor, und klicken Sie
anschließend auf Speichern.
Die IPS-Schutz-Richtlinie legt die Schutzreaktion für die Schweregrade der Signaturen fest.
Diese Einstellungen geben einem Client vor, was zu tun ist, wenn ein Angriff oder ein verdächtiges
Verhalten entdeckt wird.
Jede Signatur besitzt einen von vier Schweregraden:
• Hoch: Signatur von eindeutig identifizierbaren Sicherheitsbedrohungen oder schädlichen
Aktionen. Diese Signaturen sind spezifisch für gut identifizierte Schwachstellen und sind in
den meisten Fällen nicht verhaltensauffällig. Verhindern Sie diese Signaturen auf allen
Systemen.
• Mittel: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen außerhalb ihres
Bereichs arbeiten. Verhindern Sie diese Signaturen auf kritischen Systemen sowie auf Webund SQL-Servern.
• Gering: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen und
Systemressourcen gesperrt werden und nicht geändert werden können. Wenn Sie diese
Signaturen verhindern, steigert dies die Sicherheit des zugrunde liegenden Systems, es ist
jedoch eine zusätzliche Einstellung erforderlich.
• Information: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen und
Systemressourcen geändert werden, was auf ein Sicherheitsrisiko oder einen ungefährlichen
Versuch hinweisen kann, auf sensible Systeminformationen zuzugreifen. Ereignisse dieser
Ebene treten im Laufe der normalen Systemaktivität auf und weisen in der Regel nicht auf
einen Angriff hin.
Der Schweregrade gibt die für ein System potentielle Gefahr an und dient zur Festlegung
bestimmter Reaktionen für unterschiedliche Stufen potentieller Schäden. Sie können die
Schweregrade und die Reaktionen für alle Signaturen ändern. Wenn eine verdächtige Aktivität
beispielsweise wahrscheinlich keinen Schaden anrichtet, können Sie als Reaktion Ignorieren
auswählen. Wenn eine Aktivität wahrscheinlich Schaden anrichtet, können Sie als Reaktion
Verhindern auswählen.
Diese Richtlinienkategorie besteht aus sechs vorkonfigurierten Richtlinien und der bearbeitbaren
Richtlinie Mein Standard. Sie beruht auf der Standardrichtlinie von McAfee. Vorkonfigurierte
39
Zu den vorkonfigurierten Richtlinien gehören:
Tabelle 5: Richtlinien für den IPS-Schutz
Name
Funktion
Basisschutz (McAfee-Standard)
Verhindert Signaturen mit hohem Schweregrad und
ignoriert die anderen.
Erweiterter Schutz
Verhindert Signaturen mit hohem und mittlerem
Schweregrad und ignoriert die anderen.
Maximaler Schutz
Verhindert Signaturen mit hohem, mittlerem und niedrigem
Schweregrad und protokolliert die anderen.
Erweiterten Schutz vorbereiten
Verhindert Signaturen mit hohem Schweregrad,
protokolliert Signaturen mit mittlerem Schweregrad und
Maximalen Schutz vorbereiten
Verhindert Signaturen mit hohem und mittlerem
Schweregrad, protokolliert Signaturen mit niedrigem
Schweregrad und ignoriert die anderen.
Warnung
Protokolliert Signaturen mit hohem Schweregrad und
Konfigurieren der Richtlinie für den IPS-Schutz
Mit den Einstellungen in dieser Richtlinie werden für Signaturen mit einem bestimmten
Schweregrad entsprechende Reaktionsmaßnahmen festgelegt. Diese Einstellungen geben einem
Client vor, was zu tun ist, wenn ein Angriff oder ein verdächtiges Verhalten entdeckt wird.
Task
1
IPS-Schutz aus.
2
Richtlinienliste IPS-Schutz unter Aktionen auf Bearbeiten.
HINWEIS: Bei bearbeitbaren Richtlinien gibt es die Optionen Umbenennen, Duplizieren,
Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind nur die Optionen
"Anzeigen" und "Duplizieren" verfügbar.
3
Nehmen Sie auf der angezeigten Seite IPS-Schutz alle erforderlichen Änderungen vor,
und klicken Sie anschließend auf Speichern.
In der Richtlinie für IPS-Regeln werden Sicherheitsvorkehrungen für den Eindringungsschutz
getroffen. Diese Richtlinie ist eine Richtlinie mit mehreren Instanzen, der mehrere Instanzen
zugewiesen werden können.
Jede Richtlinie für IPS-Regeln beinhaltet konfigurierbare Eigenschaften bezüglich:
• Signaturen
• Anwendungsschutzregeln
40
• Ausnahmeregeln
Auf der Seite Host IPS unter Berichte finden Sie auch:
• IPS-Ereignisse
• IPS-Client-Regeln
Diese Richtlinienkategorie enthält eine vordefinierte Standardrichtlinie, die einen IPS-Basisschutz
gewährleistet. Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden;
benutzerdefinierte Richtlinien, die Sie erstellen, können bearbeitet, umbenannt, dupliziert,
gelöscht und exportiert werden. Zudem können Sie einem Satz verschiedener Richtlinienregeln
auch mehr als eine Instanz der Richtlinie zuweisen.
Konfigurieren der Richtlinie für IPS-Regeln
Mit den Einstellungen in dieser Richtlinie werden Signaturen, Anwendungsschutzregeln und
Ausnahmen festgelegt.
Task
1
IPS-Regeln aus. Eine Liste mit Richtlinien wird geöffnet.
2
Richtlinienliste IPS-Regeln unter Aktionen auf Bearbeiten.
HINWEIS: Für bearbeitbare Richtlinien sind folgende andere Optionen verfügbar:
Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind
nur die Optionen "Anzeigen" und "Duplizieren" verfügbar.
3
Nehmen Sie auf der angezeigten Seite IPS-Regeln alle erforderlichen Änderungen vor,
und klicken Sie anschließend auf Speichern. Weitere Informationen finden Sie unter
Konfigurieren von IPS-Signaturen, Konfigurieren von IPS-Anwendungsschutzregeln und
Konfigurieren von IPS-Ausnahmen.
Zuweisen mehrerer Instanzen der Richtlinie
Mehrfachschutz mittels einer einzelnen Richtlinie ist möglich, indem einer Gruppe oder einem
System in der Struktur von ePolicy Orchestrator eine oder mehrere Instanzen der Richtlinie
zugewiesen werden.
Die Richtlinie für IPS-Regeln und die Richtlinie für vertrauenswürdige Anwendungen haben
beide mehrere Instanzen, von denen auch mehrere zugewiesen werden können. Eine Richtlinie
mit mehreren Instanzen eignet sich beispielsweise für einen IIS-Server, wenn Sie eine allgemeine
Standardrichtlinie, eine Server-Richtlinie und eine IIS-Richtlinie anwenden, wobei die beiden
letzten speziell für Systeme konfiguriert sind, die als IIS-Server ausgeführt werden. Beim
Zuweisen mehrerer Instanzen wird quasi eine Zusammenfassung aller Elemente der einzelnen
Instanzen zugewiesen.
HINWEIS: Die McAfee-Standardrichtlinie für IPS-Regeln und vertrauenswürdige Anwendungen
wird im Rahmen von Inhaltsaktualisierungen aktualisiert. Es wird empfohlen, diese beiden
41
Richtlinien immer anzuwenden, um den Schutzmechanismus so auf dem neuesten Stand zu
halten.
Für Richtlinien mit mehreren Instanzen wird eine Verknüpfung zur gültigen Richtlinie angezeigt.
Über diese können Sie die Daten der kombinierten Richtlinieninstanzen einsehen.
Task
1
Wechseln Sie zu Systeme | Systemstruktur, und wählen Sie dann in der Systemstruktur
eine Gruppe aus.
HINWEIS: Bei einem einzelnen System wählen Sie eine Gruppe aus, die das System enthält.
Wählen Sie auf der Registerkarte System das System und anschließend Weitere Aktionen
| Richtlinien auf einem einzelnen System ändern aus.
2
Wählen Sie unter Richtlinien in der Liste Produkt den Eintrag Host Intrusion
Prevention 8.0: IPS/Allgemein aus, und klicken Sie für
IPS-Regeln/Vertrauenswürdige Anwendungen auf Zuweisungen bearbeiten.
3
Klicken Sie auf der Seite Richtlinienzuweisung auf Neue Richtlinieninstanz, und
wählen Sie aus der Liste Zugewiesene Richtlinien eine Richtlinie für die zusätzliche
Richtlinieninstanz aus. Wenn Sie den gültigen oder kombinierten Instanzregelsatz anzeigen
möchten, klicken Sie auf Gültige Richtlinie anzeigen.
4
Speichern Sie die Änderungen mit Speichern.
Häufig gestellte Fragen: Richtlinien mit mehreren Instanzen
Host Intrusion Prevention beinhaltet zwei Richtlinien mit mehreren Instanzen: IPS-Regeln und
vertrauenswürdige Anwendungen. Diese Richtlinien erlauben die gleichzeitige Anwendung
mehrerer Richtlinien auf einem Client. Alle anderen Richtlinien haben nur eine Instanz.
Die McAfee-Standardversionen dieser Richtlinien werden automatisch bei jeder
Inhaltsaktualisierung von Host Intrusion Prevention aktualisiert. Damit Inhaltsaktualisierungen
erfolgen können, müssen diese Richtlinien immer einem Client zugewiesen werden. Wird mehr
als eine Instanz angewendet, kommt es zu einer Zusammenfassung aller Instanzen, der so
genannten gültigen Richtlinie.
Wie können Ausbringungen mit einer Richtlinienzuweisung mit mehreren Plätzen
strukturiert werden?
Bestimmen Sie zuerst Benutzergruppen für die Ausbringung, die eine wichtige Eigenschaft
gemeinsam haben. Diese gibt an, welche Ressourcen zu schützen sind und welche für eine
ordnungsgemäße Funktion Ausnahmen benötigen. Mögliche Eigenschaften sind:
• Abteilung: In jeder Abteilung sind Ressourcen zu schützen, und für bestimmte
Geschäftsaktivitäten werden Ausnahmen benötigt.
• Standort: Jeder Standort hat mitunter eigene Sicherheitsstandards oder bestimmte
Ressourcen, die geschützt werden müssen, sowie Ausnahmen, die für die Geschäftsaktivität
erforderlich sind.
• Computertyp: Jeder Computertyp (Laptops, Arbeitsstationen, Server) verfügt über eigene
Anwendungen, die zwar geschützt werden müssen, aber auch wichtige Geschäftsaktivitäten
ausführen sollen.
Schützen Sie als Nächstes die Ressourcen, und erstellen Sie für jede Gruppe Ausnahmen und
vertrauenswürdige Anwendungen. Mithilfe des adaptiven Modus können Sie bestimmen, welche
42
Ressourcen für eine bestimmte Gruppe geschützt werden müssen bzw. vertrauenswürdig sind.
Erstellen Sie danach für jede Benutzergruppe Instanzen von IPS-Regeln und Richtlinien für
vertrauenswürdige Anwendungen (eine Richtlinie für IPS-Regeln für eine bestimmte Abteilung,
eine für einen bestimmten Standort und eine für einen bestimmten Computertyp). Wenden Sie
dann die jeweilige Instanz an. Ohne eine Richtlinie für IPS-Regeln mit mehreren Instanzen
bedarf es bei einer Kombination von drei Abteilungen, drei Standorten und drei Computertypen
27 Richtlinien. Mit dem Ansatz für mehrere Instanzen sind es nur neun.
Allerdings widersprechen sich Regeln aus verschieden zugewiesenen Richtlinien.
Wie wird die gültige Richtlinie bestimmt?
Es kann vorkommen, dass eine Regel in einer Instanz Einstellungen aufweist, die denen der
gleichen Regel aus einer anderen Richtlinieninstanz widersprechen. Für den Umgang mit solchen
Konflikten und zur Bestimmung der gültigen Richtlinie verfügt Host IPS über Regeln.
Bei IPS-Regeln:
• Der gültige Schweregrad einer Signatur entspricht dem höchsten benutzerdefinierten
Schweregrad. Die Priorität lautet: Hoch, Mittel, Niedrig, Information, Deaktiviert. Wird der
Schweregrad nicht angepasst, wird der Standardwert verwendet.
• Der gültige Protokollstatus einer Signatur entspricht dem benutzerdefinierten Protokollstatus.
Liegt in zwei oder mehr angewendeten Richtlinien für IPS-Regeln eine benutzerdefinierte
Einstellung vor, hat der aktivierte benutzerdefinierte Protokollstatus Vorrang vor dem nicht
aktivierten. Ist der Protokollstatus nicht benutzerdefiniert eingestellt, wird der Standardwert
verwendet.
• Die Einstellung für die gültigen Client-Regeln einer Signatur entspricht der benutzerdefinierten
Einstellung. Liegt in zwei oder mehr zugewiesenen Richtlinien für IPS-Regeln eine
benutzerdefinierte Einstellung vor, hat die aktivierte Einstellung für benutzerdefinierte
Client-Regeln Vorrang vor der nicht aktivierten. Ist die Einstellung für Client-Regeln nicht
benutzerdefiniert eingestellt, wird der Standardwert verwendet.
• Der gültige Satz an Ausnahmen entspricht einer Zusammenfassung aller angewendeten
Ausnahmen.
Bei vertrauenswürdigen Anwendungen:
• Der gültige Satz an vertrauenswürdigen Anwendungen entspricht einer Zusammenfassung
aller vertrauenswürdigen Anwendungen.
• Wird eine Anwendung als für Firewall oder IPS vertraulich gekennzeichnet, hat dies auch
dann Vorrang, wenn dieselbe Anwendung in einer anderen zugewiesenen Richtlinie für
vertrauenswürdige Anwendungen für dieses Element nicht als vertrauenswürdig
gekennzeichnet ist.
Funktionsweise von IPS-Signaturen
Signaturen beschreiben Sicherheitsbedrohungen, Angriffsmethoden und Eindringungsversuche
in Netzwerke. Jede Signatur hat einen standardmäßigen Schweregrad, der die von einem Angriff
ausgehende potentielle Gefahr illustriert:
• Hoch: Signaturen, die vor eindeutig erkennbaren Sicherheitsbedrohungen oder schädlichen
Aktionen schützen. Die meisten dieser Signaturen sind spezifisch für gut identifizierte
Schwachstellen und sind in den meisten Fällen nicht verhaltensauffällig. Diese Signaturen
sollten auf allen Hosts verhindert werden.
• Mittel: Signaturen, die stärker auf Verhaltensweisen ausgerichtet sind und verhindern, dass
Anwendungen außerhalb ihrer Umgebung arbeiten (relevant für Clients beim Schutz von
43
Web-Servern und Microsoft SQL Server 2000). Bei wichtigen Servern sollten Sie diese
Signaturen mitunter nach der Einstellung verhindern.
• Gering: Stärker auf Verhaltensweisen ausgerichtete Signaturen und
Schutzschildanwendungen. Diese sperren Anwendungs- und Systemressourcen gegen
Änderungen. Wenn Sie solche Signaturen verhindern, steigert dies die Sicherheit des zugrunde
liegenden Systems, es ist jedoch eine gewisse zusätzliche Abstimmung erforderlich.
• Information: Zeigt eine Änderung der Systemkonfiguration an, was auf ein unwesentliches
Sicherheitsrisiko oder einen Versuch hinweisen kann, auf sensible Systeminformationen
zuzugreifen. Ereignisse dieser Ebene treten im Laufe der normalen Systemaktivität auf und
weisen in der Regel nicht auf einen Angriff hin.
Signaturtypen
Die Richtlinie für IPS-Regeln kann drei verschiedene Signaturtypen enthalten:
• Host-Signaturen: Standardmäßige Signaturen von Host Intrusion Prevention.
• Benutzerdefinierte IPS-Signaturen: Von Ihnen erstellte, benutzerdefinierte Signaturen
von Host Intrusion Prevention.
• Netzwerk-IPS-Signaturen: Standardmäßige Signaturen von Network Intrusion Prevention.
Host IPS-Signaturen
Hostbasierte Intrusion Prevention-Signaturen entdecken und verhindern Angriffe durch
Systemvorgänge und enthalten Regeln für die Bereiche Dateien, Registrierung, Dienste und
HTTP. Sie werden von den Sicherheitsexperten von Host Intrusion Prevention entwickelt und
mit dem Produkt sowie durch Inhaltsaktualisierungen bereitgestellt.
Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad.
Administratoren mit entsprechenden Berechtigungen können den Schweregrad einer Signatur
ändern.
Wenn hostbasierte Signaturen ausgelöst werden, erzeugen diese ein IPS-Ereignis, das auf der
Registerkarte IPS-Ereignisse unter Berichte angezeigt wird.
Benutzerdefinierte IPS-Signaturen
Benutzerdefinierte Signaturen sind hostbasierte Signaturen, die Sie erstellen können, um einen
zusätzlichen Schutz für besondere Anforderungen bereitzustellen. Beispiel: wenn Sie ein neues
Verzeichnis anlegen, das wichtige Dateien enthält, können Sie zu dessen Schutz eine
benutzerdefinierte Signatur erstellen.
HINWEIS: Netzwerkbasierte benutzerdefinierte Signaturen können nicht erstellt werden.
Netzwerk-IPS-Signaturen
Netzwerkbasierte Intrusion Prevention-Signaturen (NIPS) entdecken und verhindern bekannte
netzwerkbasierte Angriffe auf das Host-System. Sie werden in derselben Signaturenliste wie
hostbasierte Signaturen angezeigt.
Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad.
Administratoren mit entsprechenden Berechtigungen können den Schweregrad einer Signatur
ändern.
Sie können für netzwerkbasierte Signaturen Ausnahmen erstellen, allerdings keine zusätzlichen
Parameterattribute angeben, wie den Betriebssystembenutzer und den Prozessnamen. Die
erweiterten Angaben enthalten netzwerkspezifische Parameter, wie beispielsweise die
IP-Adressen, die Sie angeben können.
44
Von netzwerkbasierten Signaturen generierte Ereignisse werden zusammen mit den hostbasierten
Ereignissen auf der Registerkarte Ereignisse angezeigt. Sie zeigen dasselbe Verhalten wie
hostbasierte Ereignisse.
Um mit Signaturen zu arbeiten, öffnen Sie in der Richtlinie IPS-Regeln die Registerkarte
Signaturen.
Konfigurieren von IPS-Signaturen
Auf der Registerkarte Signaturen in der Richtlinie für IPS-Regeln können Standardsignaturen
bearbeitet, benutzerdefinierte Signaturen hinzugefügt und Signaturen in eine andere Richtlinie
verschoben werden.
Task
1
2
Um Änderungen auf der Seite IPS-Regeln vorzunehmen, klicken Sie unter Aktionen auf
Bearbeiten. Öffnen Sie dann die Registerkarte Signaturen.
3
Führen Sie einen der folgenden Schritte aus:
Zweck
Vorgehensweise
Durchsuchen der Liste nach einer Signatur
Verwenden Sie die Filter oben in der Signaturliste. Zu
den Filtermöglichkeiten zählen Schweregrad der
Signatur, Typ, Plattform, Protokollstatus, ob
Client-Regeln erlaubt sind oder aber ein Textbestandteil
von Signaturnamen, Hinweisen oder Inhaltsversion.
Klicken Sie auf Löschen, um Filtereinstellungen zu
entfernen.
Bearbeiten einer Signatur
Klicken Sie unter Aktionen auf Bearbeiten.
•
Wenn es sich bei der Signatur um eine
Standardsignatur handelt, ändern Sie
Schweregrad, Client-Regeln oder
Protokollstatus, und dokumentieren Sie die
Änderung im Feld Hinweis. Speichern Sie die
Änderungen mit OK. Bearbeitete
Standardsignaturen können auf ihre
Standardeinstellungen zurückgesetzt werden, indem
Sie unter Aktionen auf Zurücksetzen klicken.
HINWEIS: Wurde eine Signatur bearbeitet und die
Änderung gespeichert, wird die Signatur in der Liste
neu angeordnet. Eventuell muss die Liste dann nach
der bearbeiteten Signatur durchsucht werden.
•
Wenn die Signatur benutzerdefiniert ist, ändern Sie
falls nötig die Einstellungen für Schweregrad,
Client-Regeln, Protokollstatus oder
Beschreibung, und dokumentieren Sie die
Änderung im Feld Hinweis. Speichern Sie die
Änderungen mit OK.
HINWEIS: Sie können auch mehrere Signaturen
gleichzeitig ändern, indem Sie die gewünschten
Signaturen auswählen und auf Mehrere bearbeiten
klicken. Wählen Sie auf der nun angezeigten Seite die
45
Zweck
Vorgehensweise
Einstellungen für die drei bearbeitbaren Elemente aus,
und klicken Sie dann auf OK.
Hinzufügen einer Signatur
Klicken Sie auf Neu oder Neu (Assistent).
Löschen einer benutzerdefinierten Signatur
Klicken Sie unter Aktionen auf Löschen.
HINWEIS: Nur benutzerdefinierte Signaturen können
gelöscht werden.
Kopieren einer Signatur in eine andere Richtlinie
Um eine Signatur in eine andere Richtlinie zu kopieren,
wählen Sie die gewünschte Signatur aus, und klicken
Sie auf Kopieren nach. Geben Sie die Richtlinie an,
in die die Signatur kopiert werden soll, und klicken Sie
auf OK.
HINWEIS: Sie können mehrere Signaturen gleichzeitig
kopieren, wenn Sie diese vor dem Klicken auf Kopieren
nach zusammen markieren.
4
Speichern Sie die Änderungen dann mit Speichern.
Erstellen benutzerdefinierter Signaturen
Um Vorgänge zu schützen, die von Standardsignaturen nicht abgedeckt werden, erstellen Sie
in der Richtlinie für IPS-Regeln auf der Registerkarte Signaturen benutzerdefinierte Host
Intrusion Prevention-Signaturen.
Task
46
1
Klicken Sie auf der Registerkarte Signaturen der IPS-Regel-Richtlinie auf Neu. Eine leere
Seite Signatur wird angezeigt.
2
Geben Sie auf der Registerkarte IPS-Signatur der Signatur einen Namen (erforderlich)
ein, und wählen Sie die Plattform, den Schweregrad und den Protokollstatus aus und ob
die Erstellung von Client-Regeln erlaubt werden soll. Wenn Sie bei Schweregrad,
Client-Regeln und Protokollstatus die Standardwerte ändern möchten, aktivieren Sie das
Kontrollkästchen.
3
Geben Sie auf der Registerkarte Beschreibung ein, was von der Signatur geschützt wird.
Diese Beschreibung wird im Dialogfeld IPS-Ereignis angezeigt, wenn die Signatur ausgelöst
wird.
4
Wählen Sie zur Erstellung einer Regel auf der Registerkarte Untergeordnete Regeln
entweder die Option Neue standardmäßige untergeordnete Regel oder Neue
untergeordnete Expertenregel aus.
Standardverfahren
Expertenverfahren
Beim Standardverfahren ist die Anzahl der Typen
beschränkt, die in die Signaturregel aufgenommen
werden können.
Beim nur für erfahrene Benutzer empfohlenen
Expertenverfahren können Sie die Regelsyntax ohne
Einschränkung der Anzahl der Typen angeben, die in
die Signaturregel aufgenommen werden. Bevor Sie eine
Regel schreiben, sollten Sie sich mit der Regelsyntax
vertraut machen.
1
1
Geben Sie einen Namen (erforderlich) für die
Signatur ein, und wählen Sie einen
Geben Sie die Regelsyntax der Signaturen ein.
Diese kann einen Namen für die Regel enthalten.
Standardverfahren
Expertenverfahren
Regelklassentyp aus. Folgende Optionen sind
verfügbar: Dateien, Einklinken, HTTP,
Programm, Registrierung, Dienste, SQL.
Verwenden Sie das ANSI-Format und das
TCL-Syntax.
2
2
Geben Sie die Klassenvorgänge an, die blockiert
werden und die Signatur auslösen.
3
Geben Sie an, ob ein bestimmter Parameter
aufgenommen wird oder nicht, und um welchen
Parameter es sich handelt, bzw. welchen Wert
er besitzt.
4
Geben Sie als Parameter eine ausführbare Datei
mit Informationen zu mindestens einem der
folgenden vier Werte an: Dateibeschreibung,
Dateiname, MD5-Hash-Fingerabdruck oder
Unterzeichner.
5
Klicken Sie auf OK. Die Regel wird in der Liste
oben auf der Registerkarte Untergeordnete
Regel angezeigt. Die Regel wird kompiliert, und
die Syntax wird geprüft. Wenn die Regel die
Überprüfung nicht besteht, wird ein Dialogfeld
mit einer Fehlerbeschreibung angezeigt.
Beheben Sie den Fehler, und versuchen Sie es
erneut.
Klicken Sie auf OK. Die Regel wird in der Liste
oben auf der Registerkarte Untergeordnete
Regel angezeigt. Die Regel wird kompiliert, und
die Syntax wird geprüft. Wenn die Regel die
Überprüfung nicht besteht, wird ein Dialogfeld
mit einer Fehlerbeschreibung angezeigt.
Beheben Sie den Fehler, und versuchen Sie es
erneut.
Informationen zum Arbeiten mit Klassentypen, Vorgängen und Parametern erhalten Sie
unter Schreiben benutzerdefinierter Signaturen und Ausnahmen im Abschnitt zu der
jeweiligen Klasse.
5
Klicken Sie auf OK.
HINWEIS: Eine Signatur kann mehrere Regeln enthalten.
Erstellen benutzerdefinierter Signaturen mit einem Assistenten
Mithilfe des Assistenten für benutzerdefinierte Signaturen können neue Signaturen leicht erstellt
werden.
HINWEIS: Per Assistent erstellte Signaturen sind hinsichtlich der geschützten Vorgänge nicht
flexibel, da Vorgänge nicht geändert, hinzugefügt oder gelöscht werden können.
Task
1
Klicken Sie auf der Registerkarte Signaturen der IPS-Regeln auf Neu (Assistent).
2
Geben Sie auf der Registerkarte Grundlegende Angaben einen Namen ein, und wählen
Sie die Plattform, den Schweregrad und den Protokollstatus aus sowie ob die Erstellung
von Client-Regeln erlaubt werden soll. Klicken Sie zum Fortzufahren auf Weiter.
3
Geben Sie auf der Registerkarte Beschreibung ein, was von der Signatur geschützt wird.
Diese Beschreibung wird im Dialogfeld IPS-Ereignis angezeigt, wenn die Signatur ausgelöst
wird.
4
Wählen Sie auf der Registerkarte Regeldefinition das gegen Veränderungen zu schützende
Objekt aus, und geben Sie Einzelheiten dazu an.
5
Klicken Sie auf OK.
47
Häufig gestellte Fragen: Verwenden von Platzhaltern in IPS-Regeln
In Host IPS-Regeln dürfen bei der Eingabe von Werten in bestimmte Felder Platzhalter verwendet
werden.
Welche Platzhalter sind in Pfad- und Adresswerten zulässig?
Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateien
und URLs verwendet werden:
Zeichen
Definition
? (Fragezeichen)
Ein einzelnes Zeichen
* (Sternchen)
Mehrere Zeichen mit Ausnahme von / und \. Wird als
Entsprechung der Stammebene eines Ordners ohne
Unterordner verwendet.
** (zwei Sternchen)
Mehrere Zeichen, einschließlich "/" und "\".
| (Pipe-Zeichen)
Platzhalter-Escape-Zeichen
HINWEIS: Die Escape-Zeichenfolge für "**" lautet "|*|*".
Welche Platzhalter sind in sonstigen Werten zulässig?
Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgende
Platzhalter verwendet werden:
Zeichen
Definition
? (Fragezeichen)
* (Sternchen)
| (Pipe-Zeichen)
Welche Platzhalterz sind in den Werten untergeordneter Expertensignaturregeln
zulässig?
Bei der Erstellung einer untergeordneten Regel mithilfe des Expertenverfahrens gilt für alle
Werte:
Zeichen
Definition
? (Fragezeichen)
* (Sternchen)
Mehrere Zeichen, einschließlich "/" und "\". Beispiel: files
{ Include “C:\*.txt” ” }
& (kaufmännisches "Und" [Ampersand])
Mehrere Zeichen mit Ausnahme von / und \. Wird als
Entsprechung der Stammebene eines Ordners mit
Ausnahme der Unterordner verwendet. Beispiel: files {
Include “C:\test\\&.txt” }
! (Ausrufezeichen)
Platzhalter-Escape-Zeichen Beispiel: files { Include
“C:\test\\yahoo!.txt” }
48
Funktionsweise von IPS-Anwendungsschutzregeln
Anwendungsschutzregeln dienen der Steuerung, welche Prozesse von Host Intrusion Prevention
einen generischen Schutz vor Pufferüberläufen erhalten. Die Regeln erlauben oder blockieren
das API-Einklinken auf Benutzerebene für definierte und generierte Prozesslisten. Die Datei auf
Kernel-Ebene und das Registrierungseinklinken sind nicht betroffen. Nur Prozesse, die in der
Liste den Status Eingeschlossen aufweisen, werden vor Pufferüberläufen geschützt.
Host Intrusion Prevention bietet eine statische Liste mit Prozessen, die erlaubt oder blockiert
werden. Diese wird anhand von Inhaltsaktualisierungen für die Standardrichtlinie für IPS-Regeln
von McAfee aktualisiert. Darüber hinaus können bei aktivierter Prozessanalyse Prozesse, die
eingeklinkt werden dürfen, dynamisch der Prozessliste hinzugefügt werden. Die Analyse erfolgt
unter folgenden Bedingungen:
• Jedes Mal, wenn der Client gestartet und die laufenden Prozesse durchgezählt werden.
• Jedes Mal, wenn ein Prozess gestartet wird.
• Jedes Mal, wenn die Anwendungsschutzliste durch den ePolicy Orchestrator-Server aktualisiert
wird.
• Jedes Mal, wenn die Liste der Prozesse, die einen Netzwerk-Port überwachen, aktualisiert
wird.
HINWEIS: Damit die Liste dynamisch aktualisiert werden kann, muss für die Richtlinie für
IPS-Optionen die Option "Netzwerkorientierte und dienstbasierte Anwendungen automatisch
in die Anwendungsschutzliste aufnehmen" ausgewählt werden. Diese Option umfasst implizit
alle Anwendungen und Dienste von Windows, die Netzwerk-Ports überwachen.
Im Rahmen der Analyse wird zuerst geprüft, ob der Prozess von der Liste für den
Anwendungsschutz ausgenommen ist. Wenn nicht, wird geprüft, ob der Prozess auf der Liste
für den Anwendungsschutz steht. Wenn nicht, wird der Prozess analysiert, um herauszufinden,
ob er einen Netzwerk-Port überwacht oder als Dienst ausgeführt wird. Wenn nicht, wird Einklinken
blockiert, und der Prozess wird nicht geschützt. Überwacht er einen Port oder wird als Dienst
ausgeführt, ist Einklinken zulässig, und der Prozess wird geschützt.
49
Abbildung 1: Analyse der Anwendungsschutzregeln
Die IPS-Komponente verwaltet einen Informations-Cache für laufende Prozesse, der die
Informationen zum Einklinken aufzeichnet. Die Firewall-Komponente ermittelt, ob ein Prozess
einen Netzwerk-Port überwacht, ruft eine von der IPS-Komponente exportierte API auf und
übergibt die Informationen an die API, die diese der Überwachungsliste hinzufügt. Wenn die
API aufgerufen wird, sucht die IPS-Komponente in ihrer Liste der ausgeführten Prozesse nach
dem entsprechenden Eintrag. Prozesse, die nicht schon eingeklinkt wurden und sich nicht in
der statischen Blockierliste befinden, werden dann eingeklinkt. Die Firewall liefert die PID
(Prozess-ID), die bei der Cache-Suche nach einem Prozess als Schlüssel dient.
Mit der von der IPS-Komponente exportierten API kann die Client-UI außerdem die Liste der
derzeit eingeklinkten Prozesse abrufen. Diese wird immer dann aktualisiert, wenn ein Prozess
ein- oder ausgeklinkt wird. Ein eingeklinkter Prozess wird entfernt, wenn die Konsole eine
aktualisierte Prozessliste sendet, aus der hervorgeht, dass der bereits eingeklinkte Prozess nicht
50
länger eingeklinkt sein soll. Wenn die Liste der eingeklinkten Prozesse aktualisiert wird, werden
alle im Informations-Cache der laufenden Prozesse enthaltenen Prozesse mit der aktualisierten
Liste verglichen. Geht aus der Liste hervor, dass ein Prozess einzuklinken ist, dies aber noch
nicht geschehen ist, erfolgt dies jetzt. Geht aus der Liste hervor, dass ein Prozess nicht eingeklinkt
werden soll, aber bereits eingeklinkt ist, wird er entfernt.
Die Listen mit den eingeklinkten Prozessen werden auf der Registerkarte
Anwendungsschutzregeln angezeigt und bearbeitet. Anders als bei der Richtlinie für
IPS-Regeln wird in der Client-Benutzeroberfläche eine statische Liste aller eingeklinkten
Anwendungsprozesse angezeigt.
HINWEIS: Um die Einschleusung einer DLL in eine ausführbare Datei bei der Verwendung von
"hook:set_windows_hook" zu verhindern, müssen Sie die ausführbare Datei in die
Anwendungsschutzliste einbinden.
Konfigurieren von IPS-Anwendungsschutzregeln
Auf der Registerkarte IPS-Anwendungsschutzregeln in der Richtlinie für IPS-Regeln können
Sie Regeln bearbeiten, hinzufügen, löschen und in eine andere Richtlinie verschieben.
Task
1
2
Bearbeiten. Öffnen Sie dann die Registerkarte Anwendungsschutzregeln.
3
Zweck
Vorgehensweise
Durchsuchen der Liste nach einer Anwendungsregel
Verwenden Sie die Filter oben in der Anwendungsliste.
Sie können über den Regelstatus filtern, über
Zugehörigkeit oder einen bestimmten Text, etwa den
Prozessnamen, den Prozesspfad oder den
Computernamen. Klicken Sie auf Löschen, um
Filtereinstellungen zu entfernen.
Bearbeiten einer Anwendungsregel
Hinzufügen einer Anwendungsregel
Klicken Sie auf Neu.
Löschen einer Anwendungsregel
Kopieren einer Anwendungsregel in eine andere
Richtlinie
Um eine Regel in eine andere Richtlinie zu kopieren,
wählen Sie die gewünschte Regel aus, und klicken Sie
auf Kopieren nach. Geben Sie die Richtlinie an, in die
die Regel kopiert werden soll, und klicken Sie auf OK.
HINWEIS: Sie können mehrere Regeln gleichzeitig
kopieren. Dazu markieren Sie diese, bevor Sie auf
Kopieren nach klicken.
4
Speichern Sie die Änderungen dann mit Speichern.
51
Erstellen von Anwendungsschutzregeln
Wenn die Richtlinie für IPS-Regeln keine für Ihre Umgebung notwendige Anwendungsschutzregel
beinhaltet, können Sie eine erstellen.
Task
1
Führen Sie in der Richtlinie für IPS-Regeln auf der Registerkarte
Anwendungsschutzregeln einen der folgenden Vorgänge aus:
• Klicken Sie auf Neu. Eine leere Seite Anwendung wird angezeigt.
2
• Wählen Sie eine Regel aus, und klicken Sie auf Duplizieren. Klicken Sie nach
Umbenennen und Speichern der neuen Regel auf Bearbeiten.
Geben Sie Namen (erforderlich) und Status der Regel ein und ob die Anwendungsregel in
die Schutzliste aufgenommen wird sowie die ausführbaren Dateien, für die die Regel gelten
soll.
HINWEIS: Ausführbare Dateien können aus dem Katalog von Host IPS durch Klicken auf
Aus Katalog hinzufügen übernommen werden. Informationen über den Katalog erhalten
Sie in Funktionsweise des Host IPS-Katalogs unter Konfigurieren von Firewall-Richtlinien.
3
Funktionsweise von IPS-Ausnahmen
Es kann vorkommen, dass Verhaltensweisen, die normalerweise als Angriff interpretiert würden,
zum normalen Arbeitsablauf eines Benutzers gehören. Diese Situation wird als
Falsch-Positiv-Warnung bezeichnet. Um Falsch-Positiv-Warnungen zu vermeiden, können Sie
eine Ausnahme für dieses Verhalten erstellen.
Mit Ausnahmen verringern Sie die Anzahl von Falsch-Positiv-Warnungen, minimieren unnötige
Datenübertragungen an die Konsole und stellen sicher, dass sich Warnungen auf echte
Sicherheitsbedrohungen beziehen.
Beispiel: Während des Testens von Clients erkennt ein Client die Signatur Outlook-Umschlag
– Anormale Änderung einer ausführbaren Datei. Diese Signatur bedeutet, dass die
E-Mail-Anwendung Outlook versucht, eine Anwendung außerhalb des üblichen
Ressourcenbereichs für Outlook zu ändern. Ein durch diese Signatur ausgelöstes Ereignis ist
alarmierend, da die Möglichkeit besteht, dass Outlook eine Anwendung verändert, die
üblicherweise nichts mit E-Mail-Vorgängen zu tun hat, wie z. B. "Notepad.exe". In diesem Fall
liegt der Verdacht nahe, dass ein Trojaner ausgelegt wurde. Wenn allerdings der auslösende
Prozess des Ereignisses normalerweise für das Senden von E-Mails verantwortlich ist (um
beispielsweise eine Datei mit "Outlook.exe" zu speichern), dann sollten Sie eine Ausnahme
erstellen, die diese Aktion zulässt.
TIPP: Wenn Sie eine benutzerdefinierte Signatur erstellen, mit der Änderungen an Dateien
(Bearbeiten, Umbenennen, Löschen) in einem bestimmten Ordner verhindert werden, eine
einzige Anwendung aber Änderungen vornehmen können soll, erstellen Sie eine Ausnahme,
gemäß der diese Anwendung die Dateien ändern darf. Alternativ könnten Sie die untergeordnete
Regel der benutzerdefinierten Signatur mit dem Parameter ergänzen, wobei für die Anwendung
"Ausschließen" festgelegt ist.
52
Konfigurieren von IPS-Ausnahmen
Auf der Registerkarte Ausnahmen für IPS-Regeln in der Richtlinie für IPS-Regeln können Sie
Regeln bearbeiten, hinzufügen, löschen und in eine andere Richtlinie verschieben.
Task
1
2
Bearbeiten. Öffnen Sie dann die Registerkarte Ausnahmeregeln.
3
Zweck
Vorgehensweise
Durchsuchen der Liste nach einer Ausnahmeregel
Verwenden Sie die Filter oben in der Ausnahmeliste.
Als Filtermöglichkeiten stehen Regelstatus, Datum der
letzten Änderung oder ein Textbestandteil von Regeln
oder Hinweisen zur Verfügung. Klicken Sie auf
Löschen, um Filtereinstellungen zu entfernen.
Bearbeiten einer Ausnahmeregel
Hinzufügen einer Ausnahmeregel
Klicken Sie auf Neu.
Löschen einer Ausnahmeregel
Kopieren einer Ausnahmeregel in eine andere Richtlinie Um eine Regel in eine andere Richtlinie zu kopieren,
wählen Sie die gewünschte Regel aus, und klicken Sie
auf Kopieren nach. Geben Sie die Richtlinie an, in die
die Regel kopiert werden soll, und klicken Sie auf OK.
HINWEIS: Sie können mehrere Regeln gleichzeitig
kopieren. Dazu markieren Sie diese, bevor Sie auf
Kopieren nach klicken.
4
Klicken Sie auf Speichern, um die Änderungen zu speichern.
Erstellen von Ausnahmeregeln
Sollen von einer Signatur blockierte Aktivitäten zugelassen werden, erstellen Sie für die Signatur
eine Ausnahme. Dabei müssen für die Ausnahme mitunter Parameter und Werte angegeben
werden. Informationen dazu finden Sie unter Schreiben von benutzerdefinierten Signaturen
und Ausnahmen.
Task
1
Klicken Sie auf der Registerkarte Ausnahmeregeln der Richtlinie für IPS-Regeln auf Neu.
2
Benennen Sie die Ausnahme, stellen Sie sicher, dass sie aktiviert ist, und schließen Sie
dann die Signatur(en) ein, für welche die Ausnahme gilt.
3
Legen Sie die relevanten ausführbaren Dateien, Parameter oder Domänengruppen als
Verhaltensausnahme der Signatur fest.
4
53
Ein IPS-Ereignis wird ausgelöst, wenn ein von einer Signatur bestimmter Sicherheitsverstoß
entdeckt und an den ePO-Server gemeldet wird.
Das IPS-Ereignis wird auf der Registerkarte Host IPS unter Ereignisse (oder auf der
Registerkarte Ereignisprotokoll zusammen mit allen anderen Ereignissen der von ePolicy
Orchestrator verwalteten Produkte) mit einer von vier Sicherheitsstufen angezeigt: Hoch, Mittel,
Niedrig und Information.
HINWEIS: Wenn derselbe Vorgang zwei Ereignisse auslöst, wird die höhere Reaktion ausgeführt.
Mithilfe der Liste der generierten Ereignisse können Sie bestimmen, welche Ereignisse zugelassen
werden können und welche auf ein verdächtiges Verhalten hinweisen. Um Ereignisse zuzulassen,
müssen Sie das System wie folgt konfigurieren:
• Ausnahmen: Regeln, mit denen eine Signaturregel überschrieben wird.
• Vertrauenswürdige Anwendungen: Anwendungen, deren Vorgänge ansonsten durch
eine Signatur blockiert werden könnten.
Durch eine solche Optimierung können Sie auftretende Ereignisse auf ein Minimum begrenzen
und haben so mehr Zeit für die Analyse wichtiger Ereignisse.
Auf Ereignisse reagieren
Unter bestimmten Umständen kann es vorkommen, dass Verhaltensweisen, die als Angriff
interpretiert werden, zum normalen Arbeitsablauf eines Benutzers gehören. Wenn dies der Fall
ist, können Sie für dieses Verhalten eine Ausnahmeregel oder eine Regel für eine
vertrauenswürdige Anwendung erstellen.
Durch das Erstellen von Ausnahmen und vertrauenswürdigen Anwendungen können Sie
Falsch-Positiv-Warnungen vermeiden und sicherstellen, dass Sie nur aussagekräftige
Benachrichtigungen erhalten.
Beispielsweise stellen Sie beim Testen von Clients fest, dass ein Client die Signatur für den
E-Mail-Zugriff erkennt. Ein von dieser Signatur ausgelöstes Ereignis kann unter bestimmten
Umständen alarmierend sein. Ein Hacker könnte eine Trojaner-Anwendung installieren, die den
TCP/IP-Port 25 verwendet, der in der Regel für E-Mail-Anwendungen reserviert ist. Diese Aktion
würde durch die Signatur für TCP/IP-Port 25-Aktivitäten (SMTP) entdeckt. Andererseits kann
auch normaler E-Mail-Datenverkehr mit dieser Signatur übereinstimmen. Wenn diese Signatur
auftritt, muss untersucht werden, welcher Prozess das Ereignis ausgelöst hat. Handelt es sich
bei dem Vorgang um einen Prozess, der normalerweise nicht im Zusammenhang mit E-Mails
steht, wie beispielsweise Notepad.exe, müssen Sie stark davon ausgehen, dass ein Trojaner
platziert wurde. Wenn der das Ereignis initiierende Prozess jedoch normalerweise für das Senden
von E-Mails verantwortlich ist (beispielsweise Outlook), erstellen Sie für dieses Ereignis eine
Ausnahme.
Es kann auch vorkommen, dass Sie feststellen, dass eine bestimmte Anzahl Clients die Signatur
für Autostart auslösen, die darauf hinweist, dass in einem der folgenden Registrierungsschlüssel
ein Wert geändert oder erstellt wurde:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Da die in diesen Schlüsseln gespeicherten Werte Programme angeben, die beim Starten des
Computers aufgerufen werden, kann das Erkennen dieser Signatur darauf hindeuten, dass
jemand versucht, das System zu manipulieren. Es kann sich aber auch um einen harmlosen
Vorgang handeln, der beispielsweise daher rührt, dass einer der Mitarbeiter auf seinem Computer
54
"WinZip" installiert. Bei der Installation von "WinZip" wird dem Registrierungsschlüssel "Run"
ein Wert zugewiesen.
Um zu verhindern, dass jedes Mal ein Ereignis ausgelöst wird, wenn jemand autorisierte Software
installiert, müssen für diese Ereignisse Ausnahmen erstellt werden.
Filtern und Aggregieren von Ereignissen
Das Anwenden von Filtern erzeugt eine Liste mit Ereignissen, die den in den Filterkriterien
genannten Variablen entsprechen. Das Ergebnis ist eine Liste mit Ereignissen, die all diese
Kriterien erfüllen. Beim Aggregieren von Ereignissen wird eine Liste mit Ereignissen erstellt, die
jeweils nach dem Wert der im Dialogfeld Wählen Sie die zu aggregierenden Spalten aus
ausgewählten Variablen gruppiert sind. Das Ergebnis ist eine gruppiert dargestellte Liste mit
Ereignissen, die innerhalb der Gruppe nach dem Wert der jeweiligen Gruppenvariablen sortiert
sind.
Verwalten von IPS-Ereignissen
Die Sicherheit kann optimiert und verschärft werden, indem Sie die von Clients gemeldeten
IPS-Ereignisse anzeigen und dafür Ausnahmen oder vertrauenswürdige Anwendungen erstellen.
HINWEIS: IPS-Ereignisse werden zusammen mit sämtlichen Ereignissen aller Systeme auch auf
der Registerkarte Ereignisprotokoll unter Berichte angezeigt. Für den Zugriff auf die
Registerkarte Ereignisse unter Berichte sind zusätzliche Berechtigungen erforderlich, darunter
Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur.
Task
1
Wechseln Sie zu Berichte | Host IPS 8.0, und klicken Sie dann auf Ereignisse.
2
Wählen Sie aus der Systemstruktur die Gruppe aus, für die IPS-Ereignisse angezeigt werden
sollen. Alle mit der Gruppe verknüpften Ereignisse werden aufgeführt. Standardmäßig
werden nicht alle Ereignisse angezeigt. Nur Ereignisse der letzten 30 Tage werden angezeigt.
3
Legen Sie fest, in welcher Form die Liste der Ereignisse angezeigt werden soll:
Zweck
Vorgehensweise
Auswählen der anzuzeigenden Spalten
Wählen Sie Optionen | Spalten auswählen aus. Auf
der Seite Spalten auswählen können Sie
anzuzeigende Spalten hinzufügen, entfernen und neu
anordnen.
Sortieren nach einer Spalte
Klicken Sie auf die Spaltenüberschrift.
Filtern nach Gruppen
Wählen Sie im Menü Filter die Option Nur diese
Gruppe oder Diese Gruppe und alle Untergruppen
aus.
Filtern nach Ereigniskriterien
Wählen Sie Ereignistyp, markierten Status (Gelesen,
Ungelesen, Ausgeblendet, Eingeblendet), Schweregrad
oder Erstelldatum aus. Klicken Sie auf Löschen, um
Aggregieren von Ausnahmen
Klicken Sie auf Aggregieren, wählen Sie die Kriterien
aus, nach denen Ereignisse aggregiert werden sollen,
und klicken Sie anschließend auf OK. Klicken Sie auf
Löschen, um Aggregationseinstellungen zu entfernen.
Anzeigen von Informationen zu Ereignissen
Klicken Sie auf das Ereignis. Die Seite mit den
Ereignisprotokollinformationen wird geöffnet.
55
4
Zwecks einer einfachen Filterung und Nachverfolgung können Ereignisse markiert werden.
Aktivieren Sie dazu das Kontrollkästchen eines oder mehrerer Ereignisse, und klicken Sie
dann auf den gewünschten Befehl.
HINWEIS: Die Option befindet sich eventuell im Menü Weitere Aktionen.
5
Schaltfläche
Zweck
Als "Gelesen" markieren
Das Ereignis wird als "Gelesen" markiert.
Als "Ungelesen" markieren
Das Ereignis wird als "Ungelesen" markiert.
Als "Ausgeblendet" markieren
Das Ereignis wird ausgeblendet.
Als "Eingeblendet" markieren
Ausgeblendete Ereignisse werden angezeigt. Hinweis:
Um ausgeblendete Ereignisse auswählen zu können,
muss zuerst danach gefiltert werden.
Erstellen Sie für eine Ausnahme oder vertrauenswürdige Anwendung eine Regel. Zum
Erstellen einer Ausnahme wählen Sie ein Ereignis aus, und klicken Sie auf Neue Ausnahme.
Wenn Sie eine Anwendungsregel erstellen möchten, klicken Sie auf Neue
vertrauenswürdige Anwendung. Informationen finden Sie unter Erstellen von
Ausnahmen aus Ereignissen oder Erstellen vertrauenswürdiger Anwendungen aus
Ereignissen.
Erstellen von Ausnahmen anhand von Ereignissen
Für Ereignisse, die in Host IPS 8.0 auf der Registerkarte Ereignisse unter Berichte oder auf
der Seite Ereignisprotokoll angezeigt werden, haben Sie die Möglichkeit, eine Ausnahme zu
erstellen.
Task
1
Aktivieren Sie das Kontrollkästchen des Ereignisses, für das eine Ausnahme erstellt werden
soll.
2
Klicken Sie auf Neue Ausnahme.
HINWEIS: Die Option befindet sich eventuell im Menü Aktionen.
3
Wählen Sie im angezeigten Dialogfeld eine Zielrichtlinie für IPS-Regeln aus, und klicken
Sie auf OK. Die Ausnahme wird erstellt und automatisch am Ende der Ausnahmeliste der
Zielrichtlinie für IPS-Regeln eingefügt.
Erstellen vertrauenswürdiger Anwendungen aus Ereignissen
Für Ereignisse, die in Host IPS 8.0 auf der Registerkarte Ereignisse unter Berichte oder auf
der Seite Ereignisprotokoll angezeigt werden, haben Sie die Möglichkeit, eine
vertrauenswürdige Anwendung zu erstellen.
Task
1
56
Aktivieren Sie das Kontrollkästchen des Ereignisses, für das eine vertrauenswürdige
Anwendung erstellt werden soll.
2
Klicken Sie auf Neue vertrauenswürdige Anwendung.
HINWEIS: Die Option befindet sich eventuell im Menü Weitere Aktionen.
3
Wählen Sie im angezeigten Dialogfeld eine Zielrichtlinie für vertrauenswürdige Anwendungen
aus, und klicken Sie auf OK. Die Ausnahme wird erstellt und automatisch am Ende der
Ausnahmeliste der Zielrichtlinie für vertrauenswürdige Anwendungen eingefügt. Dort kann
die neue Anwendung aufgerufen oder bearbeitet werden.
IPS-Client-Regeln, die von Clients im adaptiven Modus automatisch oder aber manuell auf den
Clients erzeugt werden, sofern in der Client-UI-Richtlinie die manuelle Erzeugung von
Client-Regeln per Option erlaubt wurde, müssen regelmäßig analysiert werden.
IPS-Client-Regeln sind Ausnahmen, die auf einem Client erstellt werden, um eine durch eine
Signatur blockierte Funktion zuzulassen. Besonders zu beachten sind Ausnahmen bei Signaturen
mit hohem Schweregrad, da diese auf ein ernstes Problem oder aber auch eine falsche positive
Entdeckung hinweisen können. Im Falle von Letzterem verschieben Sie die Ausnahme an eine
IPS-Richtlinienregel, oder passen Sie den Schweregrad der Signatur an.
HINWEIS: Für den Zugriff auf IPS-Client-Regeln auf der Registerkarte Host IPS unter Berichte
sind Berechtigungen erforderlich, die über diejenigen für Host Intrusion Prevention IPS
hinausgehen, beispielsweise Leseberechtigungen für das Ereignisprotokoll, für Systeme und die
Systemstruktur.
Ausnahmen lassen sich sortieren, filtern und aggregieren, die zugehörigen Informationen
anzeigen. Anschließend können einige oder alle Client-Ausnahmen in eine geeignete
IPS-Regelrichtlinie umgewandelt werden, um die Anzahl der Falsch-Positiven für die gegebene
Systemumgebung weiter zu verringern.
Mit der Aggregierungsfunktion können Sie Ausnahmen kombinieren, die gleiche Attribute
besitzen, damit lediglich eine aggregierte Ausnahme angezeigt wird, während Sie verfolgen
können, wie oft diese Ausnahme eintritt. Damit lassen sich Problemzonen beim IPS-Schutz des
Clients einfach auffinden.
Verwalten von IPS-Client-Regeln
Der IPS-Schutz kann problemlos optimiert werden, indem Sie die im adaptiven Modus automatisch
oder manuell auf einem Client erstellten IPS-Client-Regeln anzeigen und in eine Richtlinie für
IPS-Regeln oder vertrauenswürdige Anwendungen verschieben.
HINWEIS: Für einen Zugriff auf IPS-Client-Regeln auf der Registerkarte Host IPS unter Berichte
sind Berechtigungen erforderlich, die über diejenigen für Host Intrusion Prevention hinausgehen,
beispielsweise Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur.
Task
1
Wechseln Sie zu Berichte | Host IPS 8.0, und klicken Sie dann auf IPS-Client-Regeln.
2
Wählen Sie in der Systemstruktur die Gruppe aus, für die Client-Regeln angezeigt werden
sollen.
3
Legen Sie fest, in welcher Form die Liste der Client-Regeln angezeigt werden soll:
57
4
58
Zweck
Vorgehensweise
aus.
Nach Ausnahmekriterien filtern
Wählen Sie die Zeitkriterien aus. Geben Sie Prozesspfad,
Prozessnamen, Benutzernamen, Computernamen oder
Signatur-ID in das Suchfeld ein, und drücken Sie die
Eingabetaste. Klicken Sie auf Löschen, um
Aggregationseinstellungen zu entfernen.
Aggregieren von Ausnahmen
Klicken Sie auf Aggregieren, wählen Sie die Kriterien
aus, nach denen Ausnahmen aggregiert werden sollen,
und klicken Sie anschließend auf OK. Klicken Sie auf
Wenn Sie Ausnahmen in eine Richtlinie verschieben möchten, wählen Sie eine oder mehrere
Ausnahmen aus der Liste aus, klicken Sie auf Ausnahme erstellen, und geben Sie
anschließend die Richtlinie an, in welche die Ausnahmen verschoben werden sollen.
Konfigurieren von Firewall-Richtlinien
Mit den Firewall-Richtlinien von Host Intrusion Prevention wird der Schutz aktiviert und
deaktiviert, und es werden Regeln zum Unterbinden von Eindringversuchen in das Netzwerk
bereitgestellt, die Daten, Anwendungen oder das Betriebssystem negativ beeinträchtigen können.
Inhalt
Übersicht der Firewall-Richtlinien
Aktivieren des Firewall-Schutzes
Definieren des Firewall-Schutzes
Mit der Host Intrusion Prevention-Firewall-Funktion wird Sicherheit gewährleistet, indem der
Datenverkehr in Netzwerksysteme, auf denen Windows ausgeführt wird, bzw. aus diesen
Systemen herausgefiltert wird. Im Rahmen der statusbehafteten Paketfilterung und -prüfung
werden Pakete verschiedener Verbindungstypen erkannt und die Attribute von
Netzwerkverbindungen vom Anfang bis zum Ende der Übertragung im Speicher vorgehalten.
Mit dem Host IPS-Katalog wird die Erstellung von Regeln vereinfacht, indem Sie bestehende
Regeln, Gruppen, Netzwerkoptionen, Anwendungen, ausführbare Dateien und Standortdaten
aus dem Katalog zu den neuen und bestehenden Firewall-Regeln und -Gruppen hinzufügen
können. Diese Elemente können dem Katalog entweder einzeln (elementbasiert) oder als
Stapelprozess hinzugefügt werden.
Es gibt drei Firewall-Richtlinien:
Mit der Richtlinie Firewall-Optionen wird der Firewall-Schutz aktiviert. Damit werden der
Firewall-Schutz aktiviert bzw. deaktiviert, die Einstellungen für die statusbehaftete Firewall
definiert und ein spezifischer Firewall-Schutz ermöglicht, z. B. dass ausgehender Datenverkehr
nur zugelassen wird, bis der Firewall-Dienst gestartet wird, oder dass IP-Spoofing und bösartiger
Datenverkehr blockiert werden.
Mit der Richtlinie Firewall-Regeln wird der Firewall-Schutz bestimmt. Die Richtlinie umfasst
einen Satz mit Regeln, in denen definiert wird, welche Art von Datenverkehr zulässig ist bzw.
blockiert wird. Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertem
Datenverkehr) oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder eines
spezifischen Dienstes) und dabei verschiedene Netzwerk-, Datenübertragungs-, Anwendungsund Zeitplanoptionen nutzen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion,
einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen lassen sich – genau wie
bei den Regeln – verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- und
Speicherortoptionen definieren.
59
Mit der Richtlinie Firewall-DNS-Blockierung wird ein Satz an Domänennamenmustern
bestimmt, einschließlich Platzhaltern, die blockiert werden sollen. Wenn sie angewendet wird,
fügt diese Richtlinie dynamisch eine Regel am Anfang der Firewall-Regelliste hinzu, durch die
eine Auflösung der IP-Adresse für die angegebene Domäne verhindert wird.
Funktionsweise von Firewall-Regeln
Firewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satz
an Bedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher der
Datenverkehr zugelassen oder blockiert wird. Wenn Host Intrusion Prevention Datenverkehr
findet, der einer Regelbedingung entspricht, dann wird die verknüpfte Aktion durchgeführt.
Die Host Intrusion Prevention wendet Regeln nach Vorrang an: Die am Anfang der
Firewall-Regelliste stehenden Regeln werden zuerst angewendet. Wenn der Datenverkehr die
Bedingungen dieser Regel erfüllt, erlaubt Host Intrusion Prevention diesen Datenverkehr oder
blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln geprüft. Wenn der
Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Host Intrusion Prevention
die nächste in der Liste enthaltene Regel. So arbeitet das Programm die Firewall-Regelliste
weiter ab, bis eine Regel gefunden wird, die der Datenverkehr erfüllt. Wenn keine Regel erfüllt
ist, blockiert die Firewall den Datenverkehr automatisch. Im Lernmodus wird der Benutzer
aufgefordert, einzuschreiten. Im adaptiven Modus wird für den Datenverkehr eine
Zulassungsregel erstellt. Es kann vorkommen, dass der abgefangene Datenverkehr mehr als
eine Regel erfüllt. In diesem Fall sorgt die Vorrangfunktion dafür, dass Host Intrusion Prevention
nur die erste in der Liste erfüllte Regel anwendet.
Empfohlene Vorgehensweisen
Wenn Sie eine Firewall-Regelrichtlinie erstellen oder anpassen, sollten Sie die spezifischeren
Regeln an den Anfang der Liste stellen und die allgemeineren Regeln ans Ende. Dadurch wird
gewährleistet, dass Host Intrusion Prevention den Datenverkehr angemessen filtert.
Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse
(z. B. 10.10.10.1), müssen Sie zwei Regeln erstellen:
• Mit Blockierungsregel wird HTTP-Datenverkehr von Adresse 10.10.10.1 blockiert. Diese
Regel ist speziell.
• Mit Zulassungsregel wird sämtlicher Datenverkehr zugelassen, der den HTTP-Dienst
verwendet. Diese Regel ist allgemein.
Sie müssen die spezifischere Blockierregel in der Firewall-Regelliste vor der allgemeineren
Zulassungsregel platzieren. Damit stellen Sie sicher, dass die Firewall, wenn Sie eine
HTTP-Anfrage von der Adresse 10.10.10.1 abfängt, zuerst feststellt, welche Regel den
Datenverkehr durch die Firewall blockiert.
Würden Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren,
dann würde Host Intrusion Prevention die HTTP-Anfrage mit der Zulassungsregel abgeglichen
werden, bevor die Blockierregel gefunden wird. Auf diese Weise würde der Datenverkehr
zugelassen werden, obwohl Sie HTTP-Anfragen von dieser Adresse blockieren möchten.
Firewall-Protokolle
Der Firewall-Schutz funktioniert auf verschiedenen Schichten der Netzwerkarchitektur, wobei
verschiedene Kriterien angewendet werden, um den Netzwerkverkehr sinnvoll zu beschränken.
Diese Netzwerkarchitektur basiert auf der TCP/IP-Suite (Transmission Control Protocol/Internet
Protocol).
60
Verbindungsschicht
Im Verbindungsschichtprotokoll werden die MAC-Methode (Media Access Control) und einige
einfachere Fehlerentdeckungsoptionen beschrieben.
In dieser Schicht befinden sich Ethernet LAN (802.3), drahtloses Wi-Fi (802.11x) und virtuelles
LAN (VPN). Sowohl bei Firewall-Regeln als auch bei Firewall-Gruppen wird zwischen
kabelgebundenen, drahtlosen und virtuellen Verbindungen unterschieden.
Netzwerkschicht
In den Netzwerkschichtprotokollen werden die Adressenschemas für das gesamte Netzwerk
sowie Routing- und Netzwerksteuerungsschemas definiert.
Es werden darüber hinaus auch beliebige Nicht-IP-Protokolle unterstützt; bei diesen können
jedoch keine Parameter für die Netzwerk- bzw. Transportschicht ermittelt werden. Im besten
Fall kann der Administrator auf diese Weise die Netzwerkschichtprotokolle blockieren oder
zulassen. Die den Nicht-IP-Protokollen zugeordneten Zahlen basieren auf den Ethernet-Werten,
die von der IANA (Internet Assigned Numbers Authority) definiert und unter
http://www.iana.org/assignments/ethernet-numbers veröffentlicht werden.
Die Host IPS-Firewall unterstützt IPv4 und IPv6 auf Windows XP, Windows Vista, Windows
Server 2008 und Windows 7.
Transportschichten
IP kann als Netzwerkprotokoll für verschiedene Transportprotokolle verwendet werden. Im
Allgemeinen finden vier Protokolle Anwendung: TCP, UDP (User Datagram Protocol) sowie
ICMPv4 und ICMPv6 (Internet Control Message Protocol, Version 4 und 6).
TCP
TCP ist ein verbindungsorientiertes zuverlässiges Transportprotokoll. Es stellt sicher, dass die
in den Netzwerkpaketen enthaltenen Daten zuverlässig und in der richtigen Reihenfolge geliefert
werden. TCP steuert außerdem die Geschwindigkeit, mit der Daten übertragen und empfangen
werden. Dies erzeugt einen gewissen Aufwand und führt dazu, dass die zeitliche Steuerung für
TCP-Vorgänge bei suboptimalen Netzwerkbedingungen nicht vorhersagbar ist.
TCP ist die Transportschicht, die von der Mehrzahl der Anwendungsprotokolle genutzt wird:
HTTP, FTP, SMTP, RDP, SSH, POP und IMAP verwenden allesamt TCP.
TCP wird zum Multiplexing zwischen Anwendungsschichtprotokollen verwendet und nutzt dazu
das Konzept der "Ports". Jedes TCP-Paket enthält eine Quell- und eine Zielportnummer zwischen
0 und 65535. Normalerweise hört die Serverseite einer TCP-Verbindung Verbindungen an einem
festen Port ab.
Die Ports 0 bis 1023 sind "bekannten Ports" vorbehalten. Die Zahlen in diesem Bereich sind
normalerweise Protokollen der IANA (www.iana.org/assignments/protocol-numbers) zugeordnet,
und die meisten Betriebssysteme benötigen einen Vorgang für besondere Berechtigungen, um
einen dieser Ports abzuhören.
Firewall-Regeln sind im Allgemeinen so definiert, dass bestimmte Ports blockiert und andere
zugelassen sind, und begrenzen auf diese Weise die Aktivitäten im Netzwerk.
UDP
Bei UDP handelt es sich um ein verbindungsloses Transportprotokoll auf der Basis der "besten
Leistung". Es kann keine Zuverlässigkeit und Paketreihenfolge sichergestellt werden, und es
sind keine Funktionen zur Durchflusssteuerung verfügbar. In der Praxis verfügt UDP über einige
höchst wünschenswerte Eigenschaften für bestimmte Datenverkehrklassen.
61
UDP wird häufig als Transportprotokoll für Performance-intensive Anwendungen (die
möglicherweise die Zuverlässigkeit und Paketreihenfolge von TCP im Anwendungsprotokoll
teilweise implementieren) sowie in Echtzeit-Multimediaanwendungen genutzt, bei denen ein
verlorenes Paket nur zu einem vorübergehenden Fehler im Datenstrom führt und dies eher
akzeptiert werden kann, als wenn der Datenstrom anhält, weil auf eine erneute Übertragung
gewartet wird. In IP-Telefonie- und Videokonferenz-Software wird häufig UDP verwendet,
ebenso wie in einigen Multiplayer-Videospielen.
Das Multiplexing-Schema in UDP entspricht dem von TCP: Jedes Datagramm enthält eine Quellund eine Zielportnummer zwischen 0 und 65535.
ICMP
ICMP wird als Out-of-Band-Kommunikationskanal zwischen IP-Hosts verwendet. Dies ist bei
einer Fehlerbehebung hilfreich. Darüber hinaus ist es für eine korrekte Funktionsweise eines
IP-Netzwerks erforderlich, da es als Fehlerberichtsmechanismus genutzt wird.
IPv4 und IPv6 weisen unterschiedliche und voneinander unabhängige ICMP-Protokollvarianten
auf. ICMPv4 wird häufig auch als "einfaches ICMP" bezeichnet.
ICMPv6 ist insbesondere in einem IPv6-Netzwerk wichtig, da es für verschiedene wichtige
Aufgaben wie Neighbor Discovery verwendet wird (in einem IPv4-Netzwerk wird diese Aufgabe
von ARP verarbeitet). Es wird unbedingt davon abgeraten, dass Benutzer den
ICMPv6-Datenverkehr blockieren, wenn IPv6 im Netzwerk unterstützt wird.
Anstelle von Portnummern wird bei beiden Versionen von ICMP eine bestimmte Anzahl von
"Meldungstypen" definiert. Die Echo-Anforderung und die Echo-Antwort werden für
Ping-Vorgänge genutzt. Mit der Meldung "Netzwerkziel nicht erreichbar" werden Routingfehler
angezeigt. ICMP implementiert außerdem eine Routenverfolgungsfunktion. UDP und TCP können
jedoch ebenfalls für diesen Zweck verwendet werden.
Andere Transportprotokolle
IP unterstützt mehr als hundert andere Transportprotokolle, die meisten davon finden jedoch
selten Anwendung. Die vollständige Liste der von der IANA anerkannten Protokolle wird
zumindest minimal unterstützt. Es können Regeln erstellt werden, um Datenverkehr für sämtliche
IP-Transportprotokolle zuzulassen bzw. zu blockieren, auch wenn die Firewall keine
Multiplexing-Vorgänge unterstützt, die möglicherweise bei diesen Protokollen genutzt werden.
Einige Protokolle werden verwendet, um andere Netzwerktypen über ein IP-Netzwerk zu legen
(Network Tunneling). Einige davon (insbesondere GRE, AH und ESP) werden für die
IP-Verschlüsselung und für VPNs verwendet.
Die IP-Protokollnummern sind unter www.iana.org/assignments/protocol-numbers aufgeführt.
Häufig verwendete nicht unterstützte Protokolle
Es gibt verschiedene Netzwerkprotokolle, die von der Host IPS-Firewall nicht unterstützt werden.
Der Datenverkehr dieser Protokolle, meist mit einem nicht analysierbaren EtherType, wird
entweder immer blockiert oder immer zugelassen, je nachdem, ob die entsprechende Option
(Datenverkehr für nicht unterstützte Protokolle erlauben) in der Richtlinie "Firewall-Optionen"
aktiviert ist.
Funktionsweise von Firewall-Regelgruppen
Zwecks einer einfachen Verwaltung können Firewall-Regeln in Gruppen angeordnet werden.
Regelgruppen haben keine Auswirkung auf die Art und Weise, wie Host Intrusion Prevention
die darin enthaltenen Regeln behandelt, diese werden auch hier von oben nach unten
abgearbeitet.
62
Gruppen sind mit vielen Elementen verknüpft, die mit Regeln verknüpft sind, einschließlich
Netzwerk- und Datenübertragungsoptionen, Anwendungen und Zeitplänen. Darüber hinaus
verfügen Gruppen über Standorteinstellungen, durch die Gruppen als "standortabhängig"
festgelegt werden können und eine Konnektivitätsisolation erzeugt werden kann. Die
Einstellungen für die Gruppe werden vor der Verarbeitung der Einstellungen für die darin
enthaltenen Regeln verarbeitet. Falls zwischen beiden ein Konflikt besteht, haben die
Einstellungen für die Gruppe Vorrang.
HINWEIS: Wenn die Konnektivitätsisolation auf der Registerkarte "Ort" aktiviert ist, kann eine
Gruppe keine verknüpften Datenübertragungsoptionen und Anwendungen enthalten.
Festlegen von Gruppen als standortabhängige Gruppen
Mit Host Intrusion Prevention können Sie eine Gruppe und die darin enthaltenen Regeln als
"standortabhängig" festlegen. Über die Registerkarten "Ort" und "Netzwerkoptionen" der Gruppe
können Sie Gruppen so konfigurieren, dass Netzwerkadapter berücksichtigt werden. Bei
Computern mit verschiedenen Netzwerkschnittstellen können damit adapterspezifische Regeln
angewendet werden. Nachdem der Speicherortstatus aktiviert und der Speicherort benannt
wurden, können die Parameter für zugelassene Verbindungen für jeden Netzwerkadapter einen
beliebigen oder alle der folgenden Parameter enthalten:
Registerkarte "Ort":
• Verbindungsspezifisches DNS-Suffix
• Gateway-IP
• DHCP-IP
• DNS-Server für die Auflösung von URLs
• Verwendeter WINS-Server
• Registrierungsschlüssel
Registerkarte "Netzwerkoptionen":
• Lokale IP-Adresse
• Medientyp
Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet Host Intrusion
Prevention den normalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste.
Wenn in der ersten Gruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt,
und es kann eine Übereinstimmung mit einer Regel in der nächsten Gruppe vorliegen.
Wenn Host Intrusion Prevention die Parameter einer standortabhängigen Gruppe mit einer
aktiven Verbindung abgleicht, werden die in der Gruppe enthaltenen Regeln angewendet. Die
Regeln werden als kleine Regelmenge behandelt und der normale Vorrang eingehalten. Wenn
der abgefangene Datenverkehr einige Regeln nicht erfüllt, werden diese von der Firewall ignoriert.
Beachten Sie Folgendes:
• Bei Auswahl von Speicherortstatus muss der Name eines Speicherorts eingegeben werden.
• Wenn Lokales Netzwerk ausgewählt ist, muss die IP-Adresse des Adapters mit einem der
Einträge in der Liste übereinstimmen.
• Wenn DNS-Suffix ausgewählt ist, muss das DNS-Suffix des Adapters mit einem der Einträge
in der Liste übereinstimmen.
• Wenn Standard-Gateway ausgewählt ist, muss die IP-Adresse des
Standard-Gateway-Adapters mit mindestens einem der Listeneinträge übereinstimmen.
• Wenn DHCP-Server ausgewählt ist, muss die IP-Adresse des DHCP-Server-Adapters mit
mindestens einem der Listeneinträge übereinstimmen.
63
• Wenn DNS-Server-Liste ausgewählt ist, muss die IP-Adresse des DNS-Server-Adapters
mit einem beliebigen der Listeneinträge übereinstimmen.
• Wenn Primärer WINS-Server ausgewählt ist, muss die IP-Adresse des primären
WINS-Server-Adapters mit mindestens einem der Listeneinträge übereinstimmen.
• Wenn Sekundärer WINS-Server ausgewählt ist, muss die IP-Adresse des sekundären
WINS-Server-Adapters mit mindestens einem der Listeneinträge übereinstimmen.
Konnektivitätsisolation für Firewall-Regelgruppe
Eine Konnektivitätsisolationsoption ist für Gruppen verfügbar, um unerwünschten Datenverkehr
daran zu hindern, auf ein ausgewiesenes Netzwerk zuzugreifen. Dies kann über andere aktive
Netzwerkschnittstellen eines Computers erfolgen (z. B. über einen Drahtlosadapter, der mit
einem Wi-Fi-Hotspot verbunden ist, während ein verkabelter Adapter mit einem LAN verbunden
ist).
Wenn die Option Diese Verbindung isolieren in den Standorteinstellungen einer Gruppe
ausgewählt ist und eine aktive Netzwerkkarte (NIC) den Gruppenkriterien entspricht, dann wird
nur Datenverkehr verarbeitet, der mit Erlaubnisregeln oberhalb der Gruppe in der
Firewall-Regelliste übereinstimmt, sowie Datenverkehr, der den Gruppenkriterien entspricht.
Sonstiger Datenverkehr wird blockiert.
HINWEIS: Gruppen, für die die Konnektivitätsisolation aktiviert ist, können keine verknüpften
Datenübertragungsoptionen und Anwendungen enthalten.
64
Abbildung 2: Netzwerk-Konnektivitätsisolation
Als Anwendungsbeispiel für die Option Netzwerk-Konnektivitätsisolation betrachten wir zwei
Fälle: eine Unternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthält
Regeln und Gruppen in folgender Reihenfolge:
1
Grundlegende Verbindungsregeln
2
Verbindungsregeln für VPN
3
Gruppe mit Verbindungsregeln für Unternehmensnetzwerke
4
Gruppe mit VPN-Verbindungsregeln
Netzwerk-Konnektivitätsisolation im Unternehmensnetzwerk
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln für
Unternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen:
• Medientyp = Kabelgebunden
• Verbindungsspezifisches DNS-Suffix = meinunternehmen.de
• Standard-Gateway-Adresse
65
• Diese Verbindung isolieren = ja
Der Computer verfügt sowohl über LAN- und Drahtlos-Netzwerkadapter und ist über
Netzwerkkabel mit dem Unternehmensnetzwerk verbunden. Die Drahtlosschnittstelle ist aber
noch aktiv und verbindet sich daher mit einem Hotspot außerhalb des Betriebsgeländes. Der
Computer ist mit beiden Netzwerken verbunden, da die grundlegenden Verbindungsregeln oben
an der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindung ist aktiv und
entspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. Die Firewall
verarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehr
außerhalb des LAN aufgrund der aktivierten Netzwerk-Konnektivitätsisolation.
Netzwerk-Konnektivitätsisolation in einem Hotel
Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreicht
wird. Diese Gruppe umfasst folgende Einstellungen:
• Verbindungstyp = virtuell
• DNS-Suffix = vpn.meinunternehmen.de
• IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators
• Diese Verbindung isolieren = ja
Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für den
Internetzugang in einem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen die
Verbindung mit dem VPN-Tunnel und dessen Nutzung. Nach dem Aufbau des Tunnels erzeugt
der VPN-Client einen virtuellen Netzwerkadapter, der den Kriterien der VPN-Gruppe entspricht.
Die Firewall beschränkt den zugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrs
des physischen Adapters selbst) auf den VPN-Tunnel. Versuche anderer Hotelgäste, drahtlos
oder per Netzwerkkabel über das Netzwerk auf den Computer zuzugreifen, werden blockiert.
Funktionsweise des Host IPS-Katalogs
Mit dem Host IPS-Katalog wird die Erstellung von Firewall-Regeln und -Gruppen vereinfacht,
indem Sie auf bestehende Regeln, Gruppen, Netzwerkadressen, Anwendungen, ausführbare
Dateien und Standortdaten von Gruppen verweisen können. Darüber hinaus können Sie auf
ausführbare Dateien für Anwendungen verweisen, die in den IPS-Schutz eingebunden sind.
Beim Verweis auf ein Katalogelement können Sie eine abhängige Verknüpfung zwischen diesem
Element und einer Firewall-Regel oder -Gruppe erstellen. Eine Änderung des Elements im Katalog
führt damit zu einer Änderung des Elements in allen Vorkommen. Wenn Sie die Abhängigkeit
wieder entfernen möchten, können Sie die Verknüpfung zwischen dem Katalogelement und
einer Regel oder Gruppe wieder aufheben.
Der Host IPS-Katalog, der in ePolicy Orchestrator unter "Systeme" zu finden ist, umfasst sechs
Seiten, in denen die zuvor platzierten Firewall-Regel- und -Gruppenelemente aufgelistet sind.
Die Elemente können individuell im Katalog erstellt werden, durch Verknüpfung der Elemente
mit bereits erstellten in neuen Firewall-Regeln und -Gruppen hinzugefügt werden oder aus
XML-Format-Exporten oder Firewall-Regelrichtlinien importiert werden.
Die Katalogseiten umfassen:
• Gruppe: Liste der Firewall-Gruppen und -Eigenschaften
• Regel: Liste der Firewall-Regeln und -Eigenschaften
• Anwendung: Liste der Anwendungen, auf die in einer Firewall-Gruppe oder -Regel verwiesen
wird
66
• Ausführbare Datei: Liste der ausführbaren Dateien, die an Anwendungen angefügt werden,
auf die in einer Firewall-Gruppe oder -Regel oder in IPS-bezogenen Anwendungen verwiesen
wird
• Netzwerk: Liste der IP-Adressen, auf die in einer Firewall-Gruppe oder -Regel verwiesen
wird
• Speicherort: Liste der standortspezifischen Informationen für Firewall-Gruppen
Tabelle 6: Host IPS-Katalog als Quelle für Elemente
Funktion Richtlinie
Richtlinienelemente
Katalogelement
Abhängigkeit
Firewall
Firewall-Regeln
Firewall-Regel
Regel
Ja
Firewall
Firewall-Regeln
Firewall-Gruppe
Gruppe
Ja
Firewall
Firewall-Regeln
Speicherort Firewall-Gruppe
Speicherort
Ja
Firewall
Firewall-Regeln
Firewall-Regel/Gruppe
Netzwerk
Ja
Firewall
Firewall-Regeln
Firewall-Regel/Gruppe
Anwendung
Ja
Firewall
Firewall-Regeln
Firewall-Regel-/Gruppen-Anwendung Ausführbare Datei
Ja
IPS
IPS-Regeln
Anwendungsschutzregel
Ausführbare Datei
Nein
Vertrauenswürdige Anwendung Ausführbare Datei
Nein
Allgemein Vertrauenswürdige
Anwendungen
Katalogfilter
Jede Katalogseite enthält einen Filter, um auf der Seite nach Elementen in der Liste zu suchen.
Klicken Sie auf Filteroptionen ein-/ausblenden, um den Filter anzuzeigen oder auszublenden.
Klicken Sie auf Filter festlegen, um nach den eingegebenen Kriterien zu suchen. Klicken Sie
auf Löschen, um den Filter zurückzusetzen.
Kopieren aus dem Katalog
Klicken Sie bei der Verwendung des Firewall-Regelgenerators bzw. Firewall-Gruppengenerators
auf die Schaltfläche Aus Katalog hinzufügen, um das entsprechende Element aus dem Katalog
hinzuzufügen. Auf diese Weise wird eine Verknüpfung zwischen diesen Elementen erstellt, die
bei Bedarf wieder aufgelöst werden kann.
Hinzufügen zum Katalog
Sie haben drei Möglichkeiten, um dem Katalog Elemente hinzuzufügen:
• Klicken Sie auf der Katalogseite auf Neu, geben Sie die Informationen ein, und speichern
Sie das Element.
• Klicken Sie neben dem Element auf Zu Katalog hinzufügen, wenn Sie Regeln oder Gruppen
mithilfe des Firewall-Regelgenerators bzw. Firewall-Gruppengenerators erstellen oder
bearbeiten.
• Klicken Sie auf Importieren, um zuvor exportierte Host IPS-Katalogdaten im XML-Format
hinzuzufügen.
HINWEIS: Richtlinienkatalogexporte im XML-Format sind nicht kompatibel mit dem Host
IPS-Katalog-XML-Format. Sie können also keine Richtlinie für Firewall-Regeln aus dem
Richtlinienkatalog exportieren und diese in den Host IPS-Katalog importieren, um sie mit
Firewall-Regeldaten aus der Richtlinie aufzufüllen. Um Firewall-Richtliniendaten in den Host
IPS-Katalog zu übernehmen, müssen Sie die Verknüpfung über Zu Katalog hinzufügen
nutzen.
67
Statusbehaftete Firewall-Paketfilterung und -prüfung
Die Firewall in Host Intrusion Prevention bietet sowohl statusbehaftete Paketfilterung als auch
statusbehaftete Paketprüfung.
Die statusbehaftete Paketfilterung ist die statusbehaftete Nachverfolgung der
TCP-/UDP-/ICMP-Protokollinformationen auf der Transportschicht (4) und darunter im
OSI-Netzwerkstapel. Jedes Paket wird geprüft, und wenn das inspizierte Paket mit einer
bestehenden Firewall-Regel übereinstimmt, wird das Paket erlaubt, und es wird ein Eintrag in
einer Statustabelle vorgenommen. Die Statustabelle verfolgt dynamisch Verbindungen, die zuvor
mit einem statischen Regelsatz abgeglichen wurden, und spiegelt den aktuellen Verbindungsstatus
der TCP-/UDP-/ICMP-Protokolle wider. Wenn ein inspiziertes Paket mit einem bestehenden
Eintrag in der Statustabelle übereinstimmt, wird das Paket ohne weitere Analysen erlaubt. Wenn
eine Verbindung geschlossen wird oder ein Timeout vorliegt, wird der entsprechende Eintrag
aus der Statustabelle entfernt.
Die statusbehaftete Paketprüfung ist der Prozess der statusbehafteten Paketfilterung und des
Nachverfolgens von Befehlen auf der Anwendungsschicht (7) des Netzwerkstapels. Diese
Kombination bietet eine klare Definition des Verbindungsstatus des Computers. Der Zugriff auf
die Befehle der Anwendungsschicht bietet eine transparente Prüfung und Sicherung des
FTP-Protokolls.
Firewall-Statustabelle
Eine statusbehaftete Firewall führt eine Statustabelle, die dynamisch Informationen zu aktiven
Verbindungen speichert, die durch Erlaubnisregeln erstellt wurden.
Jeder Eintrag in der Tabelle definiert eine Verbindung auf Grundlage folgender Faktoren:
• Protokoll – Der vordefinierte Weg, wie ein Dienst mit einem anderen kommuniziert; dies
umfasst TCP-, UDP- und ICMP-Protokolle.
• IP-Adressen lokaler und entfernter (Remote-) Computer – Jedem Computer ist eine
eindeutige IP-Adresse zugewiesen. Der aktuelle Standard für IP-Adressen, IPv4, erlaubt
Adresslängen bis zu 32 Bit. Der neuere Standard, IPv6, erweitert den Adressbereich auf 128
Bit Adresslänge. IPv6 wird bereits von einigen Betriebssystemen unterstützt, beispielsweise
von Windows Vista und einigen Linux-Distributionen. Mit Host Intrusion Prevention werden
beide Standards unterstützt.
• Portnummern lokaler und entfernter (Remote-) Computer – Ein Computer sendet
und empfängt Dienstedaten über nummerierte Ports (logische Anschlüsse). Beispielsweise
steht der HTTP-Dienst typischerweise auf Port 80 zur Verfügung und der FTP-Dienst auf
Port 21. Die Portnummern reichen von 0 bis 65535.
• Prozess-ID (PID) – Ein eindeutiges Erkennungsmerkmal für den Prozess, der mit dem
Verkehr einer Verbindung verknüpft ist.
• Zeitstempel – Die Zeit des letzten eingehenden oder ausgehenden Pakets, das mit der
Verbindung verknüpft ist.
• Timeout: Die in der Richtlinie "Firewall-Optionen" festgelegte Zeitdauer (in Sekunden),
nach der der Eintrag aus der Tabelle entfernt wird, wenn über die Verbindung kein Paket
mehr empfangen wird. Das Timeout für TCP-Verbindungen wird nur erzwungen, wenn die
Verbindung nicht aktiv ist.
• Richtung – Die Richtung (eingehend oder ausgehend) des Verkehrs, der den Eintrag
ausgelöst hat. Nachdem eine Verbindung eingerichtet wurde, wird selbst bidirektionaler
Verkehr auch für unidirektionalen Regeln erlaubt, vorausgesetzt, der Eintrag stimmt mit den
Parametern der Verbindung in der Statustabelle überein.
68
Beachten Sie bitte folgende Informationen über die Statustabelle:
• Wenn die Firewall-Regeleinstellungen sich ändern, werden alle aktiven Verbindungen gegen
den neuen Regelsatz geprüft. Wenn keine übereinstimmende Regel gefunden wird, wird der
Verbindungseintrag aus der Statustabelle entfernt.
• Wenn ein Adapter eine neue IP-Adresse empfängt, erkennt die Firewall die neue
IP-Konfiguration und verweigert alle Einträge in der Statustabelle aufgrund einer ungültigen
lokalen IP-Adresse.
• Mit Beendigung des Prozesses werden alle mit diesem Prozess verknüpften Einträge in der
Statustabelle gelöscht.
Funktionsweise der statusbehafteten Filterung
Die statusbehaftete Filterung beinhaltet die Verarbeitung eines Pakets anhand von zwei
Regelsätzen, einem konfigurierbaren Firewall-Regelsatz und einem dynamischen
Firewall-Regelsatz bzw. einer Statustabelle.
Die konfigurierbaren Regeln haben zwei mögliche Aktionen:
• Zulassen – Das Paket wird erlaubt, und es wird ein Eintrag in der Statustabelle
vorgenommen.
• Blockieren – Das Paket wird blockiert, und es wird kein Eintrag in der Statustabelle
vorgenommen.
Die Einträge der Statustabelle stammen aus der Netzwerkaktivität und spiegeln den Status des
Netzwerkstapels wider. Jede Regel der Statustabelle besitzt nur eine Aktion, Zulassen, wodurch
Pakete in Übereinstimmung mit einer Regel der Statustabelle automatisch erlaubt werden.
Der Filterprozess umfasst die folgenden Schritte:
1
Die Firewall vergleicht ein eingehendes Paket mit den Einträgen in der Statustabelle. Wenn
das Paket einem beliebigen Eintrag in der Tabelle entspricht, wird es sofort erlaubt. Wenn
nicht, wird die Liste der konfigurierbaren Firewall-Regeln überprüft.
HINWEIS: Ein Eintrag in der Statustabelle wird als Übereinstimmung angesehen, wenn das
Protokoll, die lokale Adresse, der lokale Port, die Remote-Adresse und der Remote-Port
denen des Pakets entsprechen.
2
Wenn das Paket einer Erlauben-Regel entspricht, wird es erlaubt und ein Eintrag in der
Statustabelle erstellt.
3
Wenn das Paket mit einer Blockierregel übereinstimmt, wird es blockiert.
69
4
Wenn das Paket mit keiner konfigurierbaren Regel übereinstimmt, wird es blockiert.
Abbildung 3: Statusbehafteter Filterprozess
Funktionsweise der statusbehafteten Paketprüfung
Die statusbehaftete Paketprüfung kombiniert die statusbehaftete Filterung mit dem Zugriff auf
Befehle der Anwendungsebene, wodurch Protokolle wie FTP gesichert werden.
FTP umfasst zwei Verbindungen: Steuerung für Befehle und Daten für die Information. Wenn
ein Client eine Verbindung zu einem FTP-Server herstellt, wird der Steuerungskanal eingerichtet,
der am FTP-Zielport 21 eingeht, und es wird ein Eintrag in der Statustabelle vorgenommen.
Wenn die Firewall auf eine Verbindung stößt, die auf Port 21 geöffnet ist, führt sie eine
statusbehaftete Paketprüfung auf den Paketen durch, die über den FTP-Steuerungskanal
eingehen, wenn die Option für die FTP-Prüfung mit der Richtlinie "Firewall-Optionen" festgelegt
wurde.
Wenn der Steuerungskanal geöffnet ist, kommuniziert der Client mit dem FTP-Server. Die
Firewall interpretiert den PORT-Befehl des Paketes und erstellt einen zweiten Eintrag in der
Statustabelle, um die Datenverbindung zu erlauben.
Wenn sich der FTP-Server im aktiven Modus befindet, öffnet der Server die Datenverbindung.
Im passiven Modus initiiert der Client die Verbindung. Wenn der Server den ersten
Datenübertragungsbefehl (LIST) empfängt, öffnet er die Datenverbindung in Richtung des
Clients und überträgt die Daten. Der Datenkanal wird geschlossen, nachdem die Übertragung
abgeschlossen ist.
70
Die Kombination aus Steuerungsverbindung und einer oder mehrerer Datenverbindungen wird
als Sitzung bezeichnet, und die dynamischen FTP-Regeln werden gelegentlich als Sitzungsregeln
bezeichnet. Die Sitzung wird aufrechterhalten, bis der Steuerungskanaleintrag aus der
Statustabelle gelöscht wird. Während der regelmäßigen Bereinigung der Tabelle werden alle
Datenverbindungen nacheinander gelöscht, wenn der Steuerungskanal einer Sitzung gelöscht
wurde.
Statusbehaftete Protokollverfolgung
Hier werden die durch die statusbehaftete Firewall überwachten Protokollverbindungstypen und
deren Behandlung zusammengefasst.
Protokoll
Beschreibung der Verarbeitung
UDP
Eine UDP-Verbindung wird der Statustabelle hinzugefügt, wenn eine übereinstimmende statische
Regel gefunden wird und die Aktion für die Regel "Erlauben" lautet. Generische UDP-Verbindungen,
die Protokolle auf der Anwendungsschicht befördern, die der Firewall unbekannt sind, verbleiben
in der Statustabelle, sofern die Verbindung nicht länger im Ruhezustand ist als der angegebene
Zeitraum für das Timeout.
ICMPv4/v6
Nur die Nachrichtentypen "ICMP Echo Request" und "Echo Reply" werden nachverfolgt.
HINWEIS: Im Gegensatz zu dem zuverlässigen, verbindungsorientierten TCP-Protokoll sind UDP
und ICMPv4/v6 weniger verlässliche, verbindungslose Protokolle. Um diese Protokolle zu sichern,
sieht die Firewall generische UDP- und ICMP-Verbindungen als virtuelle Verbindungen an, die nur
so lange gehalten werden, bis die Verbindung länger im Ruhezustand ist als der Zeitraum, der für
das Timeout für diese Verbindung angegeben wurde. Das Timeout für virtuelle Verbindungen wird
mit der Richtlinie "Firewall-Optionen" festgelegt.
Bei Nutzung von IPv6 wird die statusbehaftete Firewall nur von Windows Vista und neueren
Plattformen unterstützt.
TCP
TCP-Protokolle arbeiten mit dem Drei-Wege-Handshake. Wenn ein Client-Computer eine neue
Verbindung initiiert, sendet er ein Paket an das Ziel mit einem gesetzten SYN-Bit, was auf eine neue
Verbindung hinweist. Der Zielpunkt antwortet, indem er ein Paket an den Client mit einem
SYN-ACK-Bit sendet. Der Client antwortet dann, indem er ein Paket mit einem gesetzten ACK-Bit
sendet, und die statusbehaftete Verbindung wird eingerichtet. Alle ausgehenden Pakete werden
erlaubt, aber nur eingehenden Pakete, die Teil der eingerichteten Verbindung sind, werden erlaubt.
Von einer Ausnahme ist die Rede, wenn die Firewall erst das TCP-Protokoll abfragt und alle zuvor
bestehenden Verbindungen hinzufügt, die mit den statischen Regeln übereinstimmen. Zuvor
bestehende Verbindungen ohne eine damit übereinstimmende statische Regel werden blockiert.
Das in der Richtlinie "Firewall-Optionen" festgelegte Timeout für TCP-Verbindungen wird nur
erzwungen, wenn die Verbindung nicht mehr aktiv ist. Ein zweites oder erzwungenes TCP-Timeout
gilt nur für eingerichtete TCP-Verbindungen. Dieses Timeout wird durch eine Registrierungseinstellung
gesteuert und hat den Standardwert von einer Stunde. Alle vier Minuten fragt die Firewall den
TCP-Stapel ab und schließt Verbindungen aus, die nicht durch TCP gemeldet werden.
DNS
Über einen Query-/Response-Abgleich wird gewährleistet, dass DNS-Antworten nur für den lokalen
Port erlaubt werden, der die Anforderung initiiert hat, und nur von einer Remote-IP-Adresse
ausgehend, die innerhalb des virtuellen UDP-Verbindungs-Timeout-Intervalls abgefragt wurde.
Eingehende DNS-Antworten werden unter folgenden Bedingungen erlaubt:
DHCP
•
Die Verbindung in der Statustabelle ist nicht abgelaufen.
•
Die Antwort stammt von derselben Remote-IP-Adresse und dem Port, von dem aus die
Anforderung geschickt wurde.
Über einen Query-/Response-Abgleich wird gewährleistet, dass ausgegebene Pakete nur für legitime
Anforderungen erlaubt werden. Somit werden eingehende DHCP-Antworten unter folgenden
Bedingungen erlaubt:
•
Die Verbindung in der Statustabelle ist nicht abgelaufen.
•
Die Transaktions-ID der Antwort entspricht derjenigen der Anfrage.
71
Protokoll
Beschreibung der Verarbeitung
FTP
•
Die Firewall führt die statusbehaftete Paketprüfung auf TCP-Verbindungen durch, die auf Port
21 geöffnet wurden. Die Prüfung findet nur im Steuerungskanal statt, die erste Verbindung, die
auf diesem Port geöffnet wurde.
•
Die FTP-Prüfung findet nur für Pakete statt, die neue Informationen tragen. Erneut übertragene
Pakete werden ignoriert.
•
Dynamische Regeln werden in Abhängigkeit der Richtung (Client/Server) und des Modus
(aktiv/passiv) erstellt:
•
Aktiver Client-FTP-Modus: Die Firewall erstellt eine dynamische Regel für eingehenden
Verkehr, nachdem der eingehende PORT-Befehl erkannt und auf Compliance mit RFC 959
geprüft wurde. Die Regel wird gelöscht, wenn der Server die Datenverbindung initiiert oder
wenn die Regel abläuft.
•
Aktiver Server-FTP-Modus: Die Firewall erstellt eine dynamische Regel für ausgehenden
Verkehr, nachdem der eingehende PORT-Befehl erkannt wurde.
•
Passiver Client-FTP-Modus: Die Firewall erstellt eine dynamische Regel für ausgehenden
Verkehr, wenn sie die Antwort auf den PASV-Befehl liest, die vom FTP-Server gesendet
wurde, vorausgesetzt, sie kennt den PASV-Befehl vom FTP-Client und der PASV-Befehl ist
mit RFC 959 konform. Die Regel wird gelöscht, wenn der Client die Datenverbindung initiiert
oder wenn die Regel abläuft.
•
Passiver Server-FTP-Modus: die Firewall erstellt eine dynamische Regel für eingehenden
Verkehr.
Auswirkungen des Lernmodus und des adaptiven Modus auf die
Firewall
Wenn Sie die Firewall-Funktion aktivieren, überwacht Host Intrusion Prevention kontinuierlich
den von einem Computer gesendeten und darauf empfangenen Netzwerkdatenverkehr. Auf der
Grundlage der Firewall-Regelrichtlinie kann Datenverkehr zugelassen oder blockiert werden.
Wenn der Datenverkehr keiner bestehenden Regel entspricht, wird er automatisch blockiert –
sofern der Lernmodus oder der adaptive Modus der Firewall aktiviert ist.
Im Lernmodus zeigt Host Intrusion Prevention eine Lernmodus-Warnung an, wenn unbekannter
Netzwerkverkehr abgefangen wird. In diesem Dialogfeld wird der Benutzer aufgefordert,
Datenverkehr, der keiner der vorhandenen Regeln entspricht, zuzulassen oder zu blockieren.
Dabei werden automatisch dynamische Regeln für nicht übereinstimmenden Datenverkehr
erstellt. Den Lernmodus können Sie nur für die eingehende Kommunikation, nur für die
ausgehende Kommunikation oder für beide Richtungen aktivieren.
Im adaptiven Modus erstellt die Host Intrusion Prevention automatisch eine Zulassungsregel,
die jeden Datenverkehr zulässt, der mit keiner der vorhandenen Blockierregeln übereinstimmt.
Dabei werden automatisch dynamische Zulassungsregeln für nicht übereinstimmenden
Datenverkehr erstellt. Weitere Informationen zum Verwenden des adaptiven Modus mit der
Firewall finden Sie unter Häufig gestellte Fragen – Adaptiver Modus unter Verwalten Ihres
Schutzes.
Aus Sicherheitsgründen werden jedoch in beiden Modi (Lernmodus und adaptiver Modus)
eingehende Pings blockiert, sofern nicht eine explizite Zulassungsregel für eingehenden
ICMP-Datenverkehr erstellt wird. Außerdem wird eingehender Datenverkehr an einem Port, der
auf dem Host nicht geöffnet ist, blockiert, sofern nicht für den Datenverkehr eine explizite
Zulassungsregel erstellt wird. Beispiel: Wenn der Telnet-Dienst auf dem Host nicht gestartet
ist, dann wird eingehender TCP-Datenverkehr an Port 23 (Telnet) auch dann blockiert, wenn
keine explizite Regel vorliegt, die diesen Datenverkehr blockiert. Sie können für jeden
erwünschten Datenverkehr eine explizite Zulassungsregel erstellen.
72
Die Host Intrusion Prevention zeigt alle Regeln an, die im Lernmodus oder im adaptiven Modus
auf Clients erstellt wurden, und ermöglicht das Speichern und Migrieren dieser Regeln in
Administratorregeln.
Statusbehaftete Filterung
Wenn der adaptive Modus oder der Lernmodus mit der statusbehafteten Firewall verwendet
wird, erstellt der filternde Prozess eine neue Regel zur Behandlung des eingehendes Pakets.
Beim Filtern geschieht Folgendes:
1
Die Firewall vergleicht ein eingehendes Paket mit den Einträgen in der Statustabelle und
findet keine Übereinstimmung. Anschließend überprüft die Firewall die Liste mit statischen
Regeln und findet keine Übereinstimmung.
2
Es wird kein Eintrag in der Statustabelle vorgenommen, aber TCP-Pakete werden in eine
ausstehende Liste aufgenommen. Wenn nicht, wird das Paket entfernt.
3
Wenn neue Regeln erlaubt werden, wird eine unidirektionale statische Zulassungsregel
erstellt. Wenn es sich um ein TCP-Paket handelt, wird ein Eintrag in der Statustabelle
vorgenommen.
4
Wenn eine neue Regel nicht erlaubt wird, wird das Paket entfernt.
Firewall-Client-Regeln
Firewall-Client-Regeln zur Zulassung blockierter Vorgänge werden mit einem Client im adaptiven
Modus oder im Lernmodus erstellt. Regeln lassen sich auf dem Client-Computer auch manuell
erstellen. Sie können die Client-Regeln zurückverfolgen und sie in der Standard- oder der
aggregierten Ansicht anzeigen. Nutzen Sie diese Client-Regeln zum Erstellen neuer Richtlinien
oder fügen Sie sie bestehenden Richtlinien hinzu.
Filtern und Aggregieren von Regeln
Das Anwenden von Filtern erzeugt eine Liste mit Regeln, die den in den Filterkriterien genannten
Variablen entsprechen. Das Ergebnis ist eine Liste mit Regeln, die all diese Kriterien erfüllen.
Das Aggregieren von Regeln erzeugt eine Liste mit Regeln, die jeweils nach dem Wert der im
Dialogfeld Wählen Sie die zu aggregierenden Spalten aus ausgewählten Variablen gruppiert
sind. Das Ergebnis ist eine gruppiert dargestellte Liste mit Regeln, die innerhalb der Gruppe
nach dem Wert der jeweiligen Gruppenvariablen sortiert sind.
Mithilfe der Richtlinie "Firewall-Optionen" können Sie den Firewall-Schutz aktivieren. Zusätzlich
™
werden TrustedSource und Einstellungen für eine statusbehaftete Firewall bereitgestellt.
Allgemeine Einstellungen
Folgende allgemeine Optionen sind verfügbar:
• Aktiviert: Mit dieser Option aktivieren Sie die Firewall-Funktion. Wählen Sie anschließend
den Schutztyp:
• Normal (Standard): Wenn Sie keine Bereitstellung optimieren, wählen Sie diese
Einstellung aus.
73
• Adaptiver Modus: Mit dieser Einstellung werden automatisch Regeln zur Zulassung von
Datenverkehr erstellt. Verwenden Sie diese Option nur vorübergehend für die Optimierung
einer Ausbringung.
• Lernmodus: Mit dieser Einstellung werden Regeln zur Zulassung von Datenverkehr nach
Benutzereingabe erstellt. Wählen Sie bei dieser Option auch aus, ob der eingehende oder
ausgehende Datenverkehr oder beide betroffen sind. Verwenden Sie diese Option nur
vorübergehend für die Optimierung einer Ausbringung.
• Datenverkehr für nicht unterstützte Protokolle erlauben: Diese Option dient zur
Zulassung von Datenverkehr, der nicht unterstützte Protokolle verwendet. Wenn diese Option
deaktiviert ist, wird der Datenverkehr für nicht unterstützte Protokolle vollständig blockiert.
• Datenverkehr über Bridge zulassen: Bei Auswahl dieser Option wird Datenverkehr
zugelassen, dessen lokale MAC-Adresse nicht der MAC-Adresse des lokalen Systems entspricht,
sondern einer der MAC-Adressen in der Liste der VMs, welche die Firewall unterstützt. Mit
dieser Option erlauben Sie den Datenverkehr über eine Bridge-Umgebung mit virtuellen
Maschinen.
• Bestehende Client-Regeln speichern, wenn diese Richtlinie durchgesetzt wird:
Wählen Sie diese Option aus, um Clients zu erlauben, auf dem Client erstellte Regeln wie
folgt beizubehalten: im adaptiven Modus automatisch, mit Benutzerinteraktion im Lernmodus
oder manuell auf einem Client, wenn diese Richtlinie erzwungen wird.
Schutzeinstellungen
Mit diesen Einstellungen wird ein spezifischer Firewall-Schutz aktiviert:
• Bis zum Start des Host IPS-Dienstes nur ausgehenden Datenverkehr zulassen:
Hiermit wird solange nur ausgehender Datenverkehr zugelassen, bis der Host
IPS-Firewall-Dienst auf dem Client gestartet wurde.
• Schutz vor IP-Spoofing aktivieren: Wählen Sie diese Option aus, um Netzwerkverkehr
von nicht lokalen Host-IP-Adressen oder lokalen Prozessen, die versuchen, ihre IP-Adresse
zu fälschen, zu blockieren.
• Ereignisse bei TrustedSource-Verletzungen an ePO senden: Bei Auswahl dieser
Option werden Ereignisse an den ePO-Server gesendet, wenn die Schwellenwerteinstellung
zum Blockieren von TrustedSource für eingehenden oder ausgehenden Datenverkehr erreicht
wird.
• Schwellenwert für die TrustedSource-Blockierung von eingehendem Datenverkehr:
Wählen Sie in der Liste die TrustedSource-Bewertung aus, bei der eingehender Datenverkehr
einer Netzwerkverbindung blockiert wird. Folgende Optionen sind verfügbar: Hohes Risiko,
Mittleres Risiko, Ungeprüft und Nicht blockieren.
• Schwellenwert für die TrustedSource-Blockierung von ausgehendem Datenverkehr:
Wählen Sie in der Liste die TrustedSource-Bewertung aus, bei der ausgehender Datenverkehr
einer Netzwerkverbindung blockiert wird. Folgende Optionen sind verfügbar: Hohes Risiko,
Mittleres Risiko, Ungeprüft und Nicht blockieren.
Einstellungen für statusbehaftete Firewall
Für die statusbehaftete Firewall sind folgende Einstellungen verfügbar:
• FTP-Protokollprüfung: Eine statusbehaftete Firewall-Einstellung, mit der FTP-Verbindungen
nachverfolgt werden können, sodass nur eine Firewall-Regel für ausgehenden
FTP-Client-Verkehr und eine für eingehenden FTP-Server-Verkehr erforderlich ist. Wenn
diese Option nicht ausgewählt ist, erfordern FTP-Verbindungen eine zusätzliche Regel für
74
eingehenden FTP-Client-Verkehr und ausgehenden FTP-Server-Verkehr. Diese Option sollte
immer aktiviert sein.
• TCP-Verbindungs-Timeout: Die Zeit in Sekunden, während der eine nicht eingerichtete
TCP-Verbindung aktiv bleibt, wenn keine weiteren mit der Verbindung übereinstimmenden
Pakete gesendet oder empfangen werden.
• UDP- und ICMP-Echo-Timeout für virtuelle Verbindungen: Die Zeit in Sekunden,
während der eine virtuelle UDP- oder ICMP-Echo-Verbindung aktiv bleibt, wenn keine weiteren
mit der Verbindung übereinstimmenden Pakete gesendet oder empfangen werden. Die Zeit
wird jedes Mal auf den konfigurierten Wert zurückgesetzt, wenn ein Paket, das mit der
virtuellen Verbindung übereinstimmt, gesendet oder empfangen wird.
Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie und der bearbeitbaren
Richtlinie "Mein Standard". Sie beruht auf der Standardrichtlinie von McAfee. Vorkonfigurierte
Die vorkonfigurierte Richtlinie verfügt über drei Einstellungen:
McAfee-Standard
Der Firewall-Schutz ist deaktiviert, und die folgenden Optionen sind ausgewählt, um bei aktiver
Firewall angewendet zu werden:
• Datenverkehr über Bridge zulassen
• Client-Ausnahmen beibehalten
• Schutz vor IP-Spoofing aktivieren
• FTP-Protokollprüfung verwenden
Konfigurieren der Richtlinie für Firewall-Optionen
Mit den Einstellungen in dieser Richtlinie werden der Firewall-Schutz ein- oder ausgeschaltet
und der adaptive Modus oder der Lernmodus angewendet.
Task
Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?.
1
Wechseln Sie zu Systeme | Richtlinienkatalog, und wählen Sie Host Intrusion
Prevention: Firewall aus der Liste Produkte und Firewall-Optionen aus der Liste
Kategorien. Eine Liste mit Richtlinien wird geöffnet.
2
Klicken Sie in der Richtlinienliste Firewall-Optionen unter Aktionen auf Bearbeiten,
um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.
3
Ändern Sie auf der angezeigten Seite Firewall-Optionen die Standardeinstellungen nach
Bedarf, und klicken Sie anschließend auf Speichern.
75
Häufig gestellte Fragen – McAfee TrustedSource und die Firewall
Zwei Optionen in der Richtlinie "Firewall-Optionen" ermöglichen Ihnen das Blockieren des
eingehenden und ausgehenden Datenverkehrs von einer Netzwerkverbindung, die von McAfee
TrustedSource™ mit der Sicherheitsstufe "Hohes Risiko" bewertet wurde. In dieser häufig
gestellten Frage wird die Funktionsweise von TrustedSource erläutert und inwiefern sich diese
auf die Firewall auswirkt.
Was ist TrustedSource?
TrustedSource ist ein System zur globalen Reputationsanalyse von Internetseiten, mit dem
anhand von Echtzeitanalysen der verhaltensbasierten Muster und Versendemuster für E-Mails,
von Malware, Internetaktivität und des Verhaltens der Systeme untereinander positives und
negatives Verhalten im Internet ermittelt wird. Mithilfe der Daten, die bei dieser Analyse ermittelt
werden, berechnet TrustedSource dynamisch die Reputationsbewertung, die die Risikostufe
darstellt, mit der das Besuchen einer Website für Ihr Netzwerk eingeordnet wird. Das Ergebnis
ist eine Datenbank mit Reputationsbewertungen für IP-Adressen, Domänen, spezifische
Meldungen, URLs und Bilder.
Wie funktioniert TrustedSource?
Wenn die TrustedSource-Optionen ausgewählt sind, werden zwei Firewall-Regeln erstellt:
"TrustedSource – Host IPS-Dienst zulassen" und "TrustedSource – Bewertung anzeigen". Die
erste Regel erlaubt eine Verbindung zu TrustedSource, und die zweite Regel blockiert
Datenverkehr oder lässt ihn zu (auf der Grundlage der Reputation einer Verbindung und des
festgelegten Blockierungsschwellenwerts).
Was bedeutet "Reputation"?
TrustedSource berechnet für jede einzelne IP-Adresse im Internet einen Reputationswert auf
der Grundlage des Sende- oder Hosting-Verhaltens und verschiedener Umgebungsdaten, die
von TrustedSource automatisch von Kunden und Partnern zum Zustand der Bedrohungslandschaft
im Internet erfasst, aggregiert und korreliert werden. Die Reputation wird in vier Klassen
angegeben:
• Minimales Risiko (Nicht blockieren): Laut unserer Analyse handelt es sich um eine
zulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr.
• Ungeprüft: Laut unserer Analyse handelt es sich offenbar um eine zulässige Quelle oder
ein zulässiges Ziel für Inhalte/Datenverkehr, allerdings weisen mehrere Eigenschaften darauf
hin, dass eine weitere Untersuchung erforderlich ist.
• Mittleres Risiko: Laut unserer Analyse weist diese Quelle bzw. dieses Ziel verdächtige
Verhaltensweisen auf. Inhalte oder Datenverkehr an oder von diesem Ziel bzw. dieser Quelle
sind genau zu prüfen.
• Hohes Risiko: Laut unserer Analyse gehen von dieser Quelle oder diesem Ziel
möglicherweise schädliche Inhalte bzw. schädlicher Datenverkehr aus, und es handelt sich
um ein ernsthaftes Sicherheitsrisiko.
Führt TrustedSource zu Wartezeiten (Latenz)? In welchem Umfang?
Wenn TrustedSource für die Reputationssuche verwendet wird, ist eine gewisse Latenz
unvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten.
Eine Reputationsprüfung erfolgt nur, wenn diese Optionen ausgewählt sind. Zudem wird eine
intelligente Caching-Architektur genutzt: Bei normalen Netzwerknutzungsmustern können die
76
meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohne dass eine
reale Reputationsabfrage erfolgen muss.
Was passiert, wenn die Firewall keine Verbindung mit TrustedSource-Servern
herstellen kann? Wird der Verkehr gestoppt?
Wenn von der Firewall keine Verbindung mit TrustedSource-Servern hergestellt werden kann,
werden alle anwendbaren Verbindungen automatisch einer zugelassenen Standardreputation
zugeordnet und eine Analyse der Regeln wird im Anschluss fortgesetzt.
Firewall-Regeln legen fest, wie ein System beim Abfangen von Netzwerkdatenverkehr arbeitet,
indem der Datenverkehr entweder zugelassen oder blockiert wird. Das Erstellen und Verwalten
von Firewall-Regeln realisieren Sie, indem Sie eine Richtlinie Firewall-Regeln und eine Richtlinie
Firewall-DNS-Blockierung mit den entsprechenden Einstellungen anwenden.
Auswahlmöglichkeiten der Richtlinie "Firewall-Regeln"
Die Richtlinienkategorie "Firewall-Regeln" besteht aus zwei vorkonfigurierten Richtlinien und
der bearbeitbaren Richtlinie Mein Standard, die auf der McAfee-Standardrichtlinie basiert. Die
vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinien
können bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.
Tabelle 7: Vorkonfigurierte Richtlinien "Firewall-Regeln"
Richtlinie
Verwendung
Minimal (Standard)
Diese Richtlinie bietet einen standardmäßigen
Mindestschutz und folgende Funktion:
Typische Unternehmensumgebung
•
Blockiert den gesamten eingehenden
ICMP-Datenverkehr, der von einem Angreifer
verwendet werden kann, um Informationen über Ihren
Computer zu sammeln. Host IPS lässt den übrigen
ICMP-Datenverkehr zu.
•
Anforderungen zur Dateifreigabe in Windows von
Computern desselben Subnetzes werden zugelassen;
Anforderungen zur Dateifreigabe von anderen Quellen
werden blockiert (in der Richtlinie "Vertrauenswürdige
Netzwerke" muss die Option Lokales Subnetz
automatisch einschließen ausgewählt sein).
•
Erlaubt das Durchsuchen von Windows-Domänen,
Arbeitsgruppen und Computern.
•
Erlaubt den gesamten über hohe Ports eingehenden
und ausgehenden UDP-Datenverkehr.
•
Erlaubt Datenverkehr, der BOOTP-, DNS- und Net
Time-UDP-Ports verwendet.
Verwenden Sie diese Richtlinie als Ausgangspunkt, und
nutzen Sie die Ergebnisse des adaptiven Modus, um
zusätzliche Regeln anzuwenden und zu überprüfen. Diese
Richtlinie sollte – im Vergleich zu vorhandenen
standardmäßigen Firewall-Richtlinien – weniger gelernte
Client-Regeln im adaptiven Modus generieren.
Die Richtlinie enthält alle Funktionen und erfüllt die
Anforderungen der meisten Unternehmen.
77
Auswahlmöglichkeiten der Richtlinie "Firewall-DNS-Blockierung"
Die Richtlinie "Firewall-DNS-Blockierung" enthält eine vorkonfigurierte Richtlinie und die
bearbeitbare Richtlinie Mein Standard. Diese basiert auf der Standardrichtlinie von McAfee.
Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinien
können bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden.
Konfigurieren der Richtlinie für Firewall-Regeln
Mit den Einstellungen in dieser Richtlinie werden Regeln für den Firewall-Schutz bestimmt.
TIPP: Es empfiehlt sich nicht, eine Richtlinie vollständig neu zu erstellen. Duplizieren Sie
stattdessen eine vorhandene Richtlinie, und bearbeiten Sie dann die Regeln und Gruppen in
der Richtlinie entsprechend Ihren Anforderungen.
Task
1
Prevention: Firewall aus der Liste Produkte und Firewall-Regeln aus der Liste
Kategorien. Eine Liste mit Richtlinien wird geöffnet.
2
Klicken Sie in der Richtlinienliste Firewall-Regeln unter Aktionen auf Bearbeiten, um
die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.
3
78
Zweck
Vorgehensweise
Firewall-Regel hinzufügen
Klicken Sie auf Neue Regel oder Regel aus Katalog
hinzufügen. Weitere Details finden Sie unter Erstellen
und Bearbeiten von Firewall-Regeln oder Verwenden
des Host IPS-Katalogs.
Firewall-Gruppe hinzufügen
Klicken Sie auf Neue Gruppe oder Gruppe aus
Katalog hinzufügen. Weitere Details finden Sie unter
Erstellen und Bearbeiten von Firewall-Regelgruppen
oder Verwenden des Host IPS-Katalogs.
Aktion für eine einzelne Regel oder Gruppe ausführen
•
Wählen Sie die Regel oder Gruppe aus, um im
rechten Teilfenster eine Zusammenfassung der
Einstellungen für die Elemente anzuzeigen.
•
Wählen Sie die Regel oder die Gruppe aus, und
klicken Sie auf:
•
Bearbeiten unter Aktionen, um ein Element
zu bearbeiten.
•
Zu Katalog hinzufügen unter Aktionen, um
dem Firewall-Katalog dieses Element
hinzuzufügen.
•
Nach oben, um das Element in der Liste nach
oben zu verschieben.
•
Nach unten, um das Element in der Liste nach
unten zu verschieben.
•
Duplizieren, um eine Kopie des Elements zu
erstellen.
Zweck
Vorgehensweise
•
Löschen, um das Element zu löschen.
4
Um alle Regel- und Gruppeninformationen in der Richtlinie in eine XML-Datei zu exportieren,
klicken Sie auf Exportieren. Diese Datei kann in den Firewall-Katalog oder in eine andere
Richtlinie importiert werden.
5
Erstellen und Bearbeiten von Firewall-Regeln
Wenn bestimmte Vorgänge nicht in der Standardliste stehen, ergänzen Sie die Liste in der
Richtlinie "Firewall-Regeln" mit einer neuen Firewall-Regel, oder bearbeiten Sie eine der Regeln.
Task
1
Klicken Sie auf der Richtlinienseite Firewall-Regeln auf Neue Regel, um eine neue Regel
zu erstellen. Klicken Sie zum Bearbeiten einer bestehenden Regel unter Aktionen auf
Bearbeiten.
2
Geben Sie auf der jeweiligen Registerkarte die entsprechenden Informationen ein. Sie
können über Weiter oder die Registerkartenverknüpfung auf die gewünschte Registerkarte
zugreifen.
3
Registerkarte
Optionen
Beschreibung
Name (erforderlich), Aktion, Richtung, Status.
Netzwerk
Netzwerkprotokoll, Medientyp, lokale und Remote-Netzwerke
Transport
Transportprotokoll
Anwendung
Anwendungen und ausführbare Dateien
Plan
Status- und Uhrzeiteinstellungen
Überprüfen Sie auf der Registerkarte "Zusammenfassung" die Details für die Regel, und
klicken Sie dann auf Speichern.
Erstellen und Bearbeiten von Firewall-Regelgruppen
Wenn Sie für einen bestimmten Zweck einen Satz an Regeln erstellen möchten, erstellen bzw.
bearbeiten Sie eine Firewall-Gruppe für eine Richtlinie "Firewall-Regel".
Verwenden Sie beispielsweise eine Gruppe aus Regeln mit einem gemeinsamen Zweck, um eine
VPN-Verbindung zuzulassen. Gruppen werden in der Regelliste mit einem vorangestellten Pfeil
angezeigt, auf den Sie klicken können, um die Regeln in der Gruppe anzuzeigen oder
auszublenden.
Task
1
Klicken Sie auf der Richtlinienseite Firewall-Regeln auf Neue Gruppe, um eine neue
Gruppe zu erstellen. Klicken Sie zum Bearbeiten einer bestehenden Gruppe unter Aktionen
auf Bearbeiten.
79
2
Geben Sie auf der jeweiligen Registerkarte die entsprechenden Informationen ein. Sie
können über Weiter oder die Registerkartenverknüpfung auf die gewünschte Registerkarte
zugreifen.
Registerkarte
Optionen
Beschreibung
Name (erforderlich), Richtung, Status
Speicherort
Standortabhängige Einstellungen, einschließlich Konnektivitätsisolation
Netzwerk
Netzwerkprotokoll, Medientyp (kabelgebunden, drahtlos, virtuell), lokale und
Remote-Netzwerke
Transport
Transportprotokoll
Anwendung
Anwendungen und ausführbare Dateien
Plan
Status- und Uhrzeiteinstellungen, einschließlich Aktivierung zeitbeschränkter Gruppen
3
Überprüfen Sie auf der Registerkarte "Zusammenfassung" die Details für die Gruppe, und
klicken Sie dann auf Speichern.
4
Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus
der Firewall-Regelliste oder dem Host IPS-Katalog in die Gruppe.
Erstellen von Konnektivitätsisolationsgruppen
Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmten
Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Konnektivitätsisolation.
Task
1
Klicken Sie auf der Seite der Richtlinie Firewall-Regeln auf Neue Gruppe oder Gruppe
aus Katalog hinzufügen.
2
Geben Sie auf der Registerkarte "Beschreibung" im Feld Name einen aussagekräftigen
Namen ein.
3
Wählen Sie auf der Registerkarte "Ort" für Speicherortstatus und
Konnektivitätsisolation die Option Aktiviert aus, geben Sie einen Namen für den
Speicherort ein, und wählen Sie dann ein DNS-Suffix, ein Standard-Gateway oder andere
Kriterien für die Übereinstimmung aus.
4
Wählen Sie auf der Registerkarte "Netzwerk" unter Medientypen den Typ der Verbindung
(Kabelgebunden, Drahtlos, Virtuell) aus, für den die in dieser Gruppe enthaltenen
Regeln angewendet werden sollen.
HINWEIS: Transportoptionen und Anwendungen sind für
Konnektivitätsisolationsgruppen nicht verfügbar.
80
5
Klicken Sie auf der Registerkarte "Zusammenfassung" auf Speichern.
6
Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus
der Firewall-Regelliste oder dem Host IPS-Katalog in die Gruppe.
Blockieren des DNS-Datenverkehrs
Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste mit Domänennamenservern, die
von Host IPS blockiert werden, indem die Auflösung ihrer IP-Adresse verhindert wird.
HINWEIS: Sie können diese Funktion nicht verwenden, um vollständige Domänen zu blockieren.
Stattdessen müssen Sie die Remote-Adresse des vollständigen Domänennamens (FQDN) in
einer Firewall-Regel blockieren.
Task
1
Um eine neue Regel zu erstellen, klicken Sie auf der Seite der Richtlinie
Firewall-DNS-Blockierung auf Neue Regel. Wenn Sie eine bestehende Regel bearbeiten
möchten, klicken Sie unter Aktionen auf Bearbeiten.
2
Klicken Sie auf Blockierte Domäne hinzufügen.
3
Geben Sie im Textfeld den Namen des Domänennamenservers ein, den Sie blockieren
möchten. Verwenden Sie die Platzhalter "*" und "?", z. B. "*domain.com". Nur ein Name
pro Eintrag.
4
Klicken Sie auf die Schaltfläche Hinzufügen, um weitere Adressen hinzuzufügen; klicken
Sie auf die Schaltfläche Entfernen, um Adressen zu löschen.
5
Verwenden des Host IPS-Katalogs
Mit dem Host IPS-Katalog können Sie neue Elemente hinzufügen oder auf bestehende Elemente
verweisen, die mit der Firewall verwendet werden. Mit diesem Task können Sie vorhandene
Katalogelemente suchen und bearbeiten sowie neue Katalogelemente erstellen, hinzufügen,
importieren oder exportieren.
Task
Optionsbeschreibungen erhalten Sie indem Sie in der Benutzeroberfläche auf das ? klicken.
1
Wechseln Sie zu Systeme | Host IPS-Katalog.
2
Wählen Sie unter Elementtyp ein Katalogelement aus. Folgende Typen können ausgewählt
werden: Gruppe, Regel, Anwendung, Prozess, Netzwerk und Speicherort.
3
Führen Sie einen der folgenden Schritte auf der Katalogseite aus:
Zweck
Vorgehensweise
Element filtern
Geben Sie die Filterkriterien ein, und klicken Sie auf
Filter festlegen. Klicken Sie auf Löschen, um zur
Standardansicht zurückzukehren.
Elementansicht ändern
Wählen Sie Optionen | Spalten auswählen, und
wählen Sie die Spalten aus, entfernen Sie sie, oder
ordnen Sie sie neu an, und klicken Sie dann auf
Speichern.
Element bearbeiten
Klicken Sie auf die Verknüpfung, die dem Element
zugeordnet ist. Klicken Sie auf Bearbeiten, um das
Element zu bearbeiten; klicken Sie auf Duplizieren,
81
Zweck
Vorgehensweise
um eine Kopie zu erstellen; klicken Sie auf Löschen,
um es zu löschen.
HINWEIS: Wenn Sie ein Element löschen, das eine
abhängige Verknüpfung aufweist, wird eine neue
unabhängige Kopie des gelöschten Elements in der
Verknüpfungsregel oder -gruppe platziert.
Element erstellen und hinzufügen
Klicken Sie auf Neu. Geben Sie auf der/den angezeigten
Seite(n) die entsprechenden Daten ein, und klicken Sie
dann auf Speichern.
Einzelnes Element exportieren
Klicken Sie auf die Verknüpfung Exportieren, die dem
Element zugeordnet ist.
Alle Elemente des Katalogtyps exportieren
Klicken Sie in der oberen rechten Ecke der Seite auf
Exportieren, benennen Sie die XML-Datei, und
speichern Sie sie.
Elemente des Katalogtyps importieren
Klicken Sie in der oberen rechten Ecke der Seite auf
Importieren, suchen Sie die XML-Datei mit den
Katalogdaten, und öffnen Sie sie.
HINWEIS: Wenn Sie beim Erstellen einer Firewall-Regel oder -Gruppe ein Element aus dem
Katalog hinzufügen möchten, klicken Sie unten auf der entsprechenden Generator-Seite
auf Aus Katalog hinzufügen. Wenn Sie ein Element hinzufügen möchten, das Sie beim
Arbeiten mit dem Firewall-Regel- oder -Gruppen-Generator erstellt haben, klicken Sie neben
dem Element auf die Verknüpfung Zu Katalog hinzufügen. Wenn Sie ein Element aus
dem Katalog hinzufügen bzw. dem Katalog ein Element hinzufügen, wird eine abhängige
Verknüpfung zwischen dem Element und dem Katalog mit der Verknüpfung
Katalogreferenz unterbrechen erstellt. Wenn Sie auf diese Verknüpfung klicken, wird
die Abhängigkeit zwischen Element und Katalog aufgehoben und stattdessen ein neues
unabhängiges Element in der Verknüpfungsregel oder -gruppe erstellt.
Verwalten von Firewall-Client-Regeln
Die Sicherheit kann optimiert werden, indem Sie die auf einem Client manuell oder automatisch
im adaptiven Modus oder im Lernmodus erstellten Firewall-Client-Regeln anzeigen und in eine
Richtlinie "Firewall-Regeln" verschieben.
HINWEIS: Zugriff auf Firewall-Client-Regeln auf der Registerkarte "Host IPS" unter "Berichte"
erfordert andere Berechtigungen als diejenigen für Host Intrusion Prevention, beispielsweise
Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur.
Task
82
1
Wechseln Sie zu Berichte | Host IPS, und klicken Sie dann auf Firewall-Client-Regeln.
2
Wählen Sie in der Systemstruktur die Gruppe aus, für die Client-Regeln angezeigt werden
sollen.
3
Legen Sie fest, in welcher Form die Liste der Client-Regeln angezeigt werden soll:
Zweck
Vorgehensweise
Auswählen der anzuzeigenden Spalten
Wählen Sie Spalten auswählen aus dem Menü
"Optionen". Auf der Seite "Spalten auswählen" können
Zweck
Vorgehensweise
Sie anzuzeigende Spalten hinzufügen, entfernen und
neu anordnen.
4
aus.
Filtern nach Erstellzeitpunkt
Wählen Sie den Zeitpunkt aus, an dem die Regel erstellt
wurde: Keiner, Seit oder Zwischen. Wenn Sie "Seit"
auswählen, geben Sie ein Startdatum ein. Wenn Sie
Zwischen auswählen, geben Sie ein Start- und ein
Enddatum ein. Klicken Sie auf Löschen, um
Filtern nach einem Suchtext
Geben Sie den Prozesspfad, den Prozessnamen, den
Computernamen oder die Signatur-ID ein, nach dem
bzw. nach der gefiltert werden soll. Klicken Sie auf
Löschen, um Filtereinstellungen zu entfernen.
Regeln aggregieren
Klicken Sie auf Aggregieren, und wählen Sie die
Kriterien, nach denen Regeln aggregiert werden sollen.
Klicken Sie anschließend auf OK. Klicken Sie auf
Wenn Sie Regeln in eine Richtlinie verschieben möchten, wählen Sie eine oder mehrere
Regeln in der Liste aus, und klicken Sie auf Firewall-Regel erstellen. Geben Sie dann
an, in welche Richtlinie Sie die Regeln verschieben möchten.
Häufig gestellte Fragen – Verwendung von Platzhaltern in
Firewall-Regeln
Host IPS ermöglicht bei der Eingabe von Werten in bestimmten Feldern in Firewall-Regeln die
Verwendung von Platzhaltern.
Welche Platzhalter sind in Pfad- und Adresswerten zulässig?
Folgende Platzhalter dürfen in Dateipfaden Registrierungsschlüsseln ausführbaren Dateien und
URLs verwendet werden:
Zeichen
Definition
? (Fragezeichen)
* (Sternchen)
Mehrere Zeichen mit Ausnahme von "/" und "\". Wird als
Entsprechung der Stammebene eines Ordners ohne
Unterordner verwendet.
** (Zwei Sternchen)
| (Pipe-Zeichen)
HINWEIS: Die Escape-Zeichenfolge für "**" lautet "|*|*".
HINWEIS: In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keine
Platzhalterwerte erkannt.
83
Welche Platzhalter sind in sonstigen Werten zulässig?
Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgende
Platzhalter verwendet werden:
84
Zeichen
Definition
? (Fragezeichen)
* (Sternchen)
| (Pipe-Zeichen)
Die Funktion "Allgemein" von Host Intrusion Prevention ermöglicht den Zugriff auf Richtlinien,
die allgemeiner Natur sind und nicht spezifisch für IPS oder die Firewall gelten.
Inhalt
Übersicht über allgemeine Richtlinien
Definieren der Client-Funktionen
Definieren vertrauenswürdiger Netzwerke
Definieren vertrauenswürdiger Anwendungen
Übersicht über allgemeine Richtlinien
Allgemeine Richtlinien können sowohl für IPS- und Firewall-Funktionen als auch zur Steuerung
des Client-Zugriffs und vertrauenswürdiger Netzwerke und Anwendungen genutzt werden.
Alle Richtlinien und Optionen gelten für Windows-Betriebssysteme. Als Nicht-Windows-Systeme
gelten nur ausgewählte Richtlinien und Optionen. Weitere Details hierzu finden Sie unter
Richtlinienerzwingung mit dem Solaris/Linux-Client unter Arbeiten mit Host IPS-Clients.
Es gibt drei allgemeine Richtlinien:
Die Richtlinie Client-Benutzeroberfläche bestimmt, welche Optionen auf einem
Windows-Client-Computer verfügbar sind. Sie legt auch fest, ob das Host IPS-Client-Symbol in
der Taskleiste angezeigt wird, welche Typen von Warnungen über Eindringversuche angezeigt
werden, mit welchen Kennwörtern der Zugriff auf die Client-Oberfläche möglich ist und
Fehlerbehebungsoptionen. Die Kennwortfunktion ist für Clients auf Windows- und
Nicht-Windows-Plattformen verfügbar.
Die Richtlinie Vertrauenswürdige Netzwerke listet die IP-Adressen und Netzwerke auf,
einschließlich der TrustedSource-Ausnahmen, über die eine sichere Kommunikation erfolgen
kann. Vertrauenswürdige Netzwerke können einzelne IP-Adressen oder ganze IP-Adressbereiche
umfassen. Werden Netzwerke als "vertrauenswürdig" gekennzeichnet, sind weniger oder keine
IPS-Ausnahmen und zusätzliche Firewall-Regeln erforderlich. Nur für Windows-Clients.
Die Richtlinie Vertrauenswürdige Anwendungen listet Anwendungen auf, die sicher sind
und keine bekannten Schwachstellen haben. Durch das Markieren von Anwendungen als
"vertrauenswürdig" sind weniger oder keine IPS-Ausnahmen und zusätzliche Firewall-Regeln
mehr erforderlich. Diese Richtlinienkategorie kann ebenso wie die Richtlinie IPS-Regeln mehrere
Richtlinieninstanzen enthalten. Für Clients auf Windows- und Nicht-Windows-Plattformen.
Mit Hilfe der Einstellungen für die Richtlinien Vertrauenswürdige Netzwerke und
Vertrauenswürdige Anwendungen können die Anzahl von Falsch-Positiv-Meldungen reduziert
und damit das Tunen einer Ausbringung unterstützt werden.
85
Mit der Richtlinie "Client-Benutzeroberfläche" wird festgelegt, wie Host IPS-Clients angezeigt
werden und funktionieren. Dazu gehören für Windows-Clients die Einstellungen für die
Symbolanzeige, die Reaktionen auf Intrusionsereignisse und der Administrator- und
Client-Benutzer-Zugriff. Für Nicht-Windows-Clients ist nur die Kennwortfunktion für den
Administratorzugriff gültig.
Mit den Optionen dieser Richtlinie können die Anforderungen von drei typischen Benutzerrollen
erfüllt werden:
Benutzertyp
Funktionen
Normal
Dies ist der durchschnittliche Benutzer, auf dessen PC oder Laptop der Host Intrusion
Prevention-Client installiert ist. Die Richtlinie "Client-Benutzeroberfläche" ermöglicht diesem
Benutzer, folgende Aktionen durchzuführen:
•
Host Intrusion Prevention-Client-Symbol in der Taskleiste anzeigen und Client-Konsole
starten.
•
Popup-Intrusionswarnungen anzeigen oder blockieren.
•
IPS- und Firewall-Schutz vorübergehend deaktivieren.
Getrennt
Dies ist ein Benutzer, der eventuell mit einem Laptop arbeitet und dessen Verbindung mit
dem Host Intrusion Prevention-Server für eine bestimmte Zeit getrennt ist. Dieser Benutzer
hat eventuell technische Probleme mit der Host Intrusion Prevention, oder er muss Vorgänge
ohne Interaktion mit der Host Intrusion Prevention durchführen. Mithilfe der Richtlinie
"Client-Benutzeroberfläche" kann dieser Benutzer ein zeitbasiertes Kennwort erhalten, mit
dem er Verwaltungs-Tasks durchführen oder Schutzfunktionen ein- oder ausschalten kann.
Administrator
Dies ist ein IT-Administrator für alle Computer, der auf einem Client-Computer besondere
Vorgänge durchführen muss, bei denen alle administratorberechtigten Richtlinien außer
Kraft gesetzt werden. Mithilfe der Richtlinie "Client-Benutzeroberfläche" kann dieser Benutzer
ein unbefristetes Administratorkennwort erhalten, mit dem er Verwaltungs-Tasks durchführen
kann.
Zu den Verwaltungs-Tasks für getrennte Benutzer und Administratorbenutzer gehören:
•
IPS- und Firewall-Richtlinien aktivieren oder deaktivieren.
•
Zusätzliche IPS- und Firewall-Regeln für Fälle erstellen, in denen bestimmte legitimierte
Aktivitäten blockiert werden.
HINWEIS: Über die ePolicy Orchestrator-Konsole vorgenommene Änderungen der
Verwaltungsrichtlinie werden erst durchgesetzt, wenn das Kennwort abgelaufen ist. Während
dieser Zeit erstellte Client-Regeln werden gespeichert, sofern dies durch Verwaltungsregeln
zugelassen wird.
Die Richtlinie "Client-Benutzeroberfläche" besteht aus einer vorkonfigurierten Richtlinie und der
bearbeitbaren Richtlinie "Mein Standard". Die vorkonfigurierte Richtlinie kann angezeigt und
dupliziert werden; bearbeitbare, benutzerdefinierte Richtlinien können erstellt, bearbeitet,
umbenannt, dupliziert, gelöscht und exportiert werden.
Konfigurieren der Richtlinie "Client-Benutzeroberfläche"
Mit den Einstellungen in der Richtlinie wird bestimmt, ob Symbole angezeigt werden und wie
auf Eindringversuche reagiert wird. Zudem werden bei Windows-Clients damit der Administratorund Client-Benutzerzugriff und bei Nicht-Windows-Clients der Administratorzugriff konfiguriert.
Task
86
1
Prevention: Allgemein aus der Liste Produkt und Client-Benutzeroberfläche aus
der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet.
2
Klicken Sie in der Richtlinienliste Client-Benutzeroberfläche unter Aktionen auf
Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.
3
Wählen Sie auf der Seite Client-Benutzeroberfläche eine Registerkarte (Allgemeine
Optionen, Erweiterte Optionen, Fehlerbehebungsoptionen) aus, und nehmen Sie
die erforderlichen Änderungen vor. Detaillierte Informationen finden Sie unter Festlegen
der allgemeinen Optionen für die Client-Benutzeroberfläche, Festlegen der erweiterten
Optionen für die Client-Benutzeroberfläche oder Festlegen der Fehlerbehebungsoptionen
für die Client-Benutzeroberfläche.
4
Festlegen der allgemeinen Optionen für die
Client-Benutzeroberfläche
Mit den Einstellungen auf der Registerkarte Allgemeine Einstellungen der Richtlinie
Client-Benutzeroberfläche wird bestimmt, ob Symbole angezeigt werden und wie auf
Eindringversuche reagiert wird. Sie gelten nur für Windows-Clients.
Auf dieser Registerkarte können Sie die Anzeigeoptionen für die Client-Benutzeroberfläche
festlegen und angeben, wie der Client auf Intrusionsereignisse reagiert.
Task
1
Klicken Sie auf der Registerkarte Allgemeine Einstellungen der Richtlinie
"Client-Benutzeroberfläche" auf Anzeigeoptionen, und wählen Sie die Option zum Anzeigen
des Taskleistensymbols für den Menüzugriff auf die Client-Konsole oder zum Anzeigen der
Anwendung in der Liste "Software" bzw. "Programme hinzufügen/entfernen".
HINWEIS: Wenn Benutzer gelegentlich eine Host Intrusion Prevention-Funktion deaktivieren
müssen, um auf eine legitime, aber blockierte Anwendung oder Netzwerk-Website
zuzugreifen, können sie mit dem Host Intrusion Prevention-Taskleistensymbol eine Funktion
deaktivieren, ohne die Client-Benutzeroberfläche zu öffnen. Die deaktivierte Funktion bleibt
weiterhin deaktiviert, bis sie durch den Menübefehl oder eine neue Richtlinienerzwingung
wiederhergestellt wird. Beachten Sie Folgendes:
• Durch Deaktivierung von IPS werden sowohl der Host IPS- als auch der
Netzwerk-IPS-Schutz deaktiviert.
• Wenn die Client-Benutzeroberfläche offen ist, haben die Menübefehle keine Wirkung.
Wählen Sie für diese Funktion zum Anzeigen des Symbols auf der Registerkarte Erweiterte
Optionen die Option Deaktivieren von Funktionen über das Taskleistenmenü
zulassen aus, und wählen Sie anschließend eine oder alle Funktionen aus, um sie zu
deaktivieren.
2
Wählen Sie unter Bei Intrusionsereignis die Optionen aus, mit denen die Reaktion der
Clients auf einen Eindringungsversuch gesteuert wird.
87
Festlegen der erweiterten Optionen und Kennwörter für die
Mit den Einstellungen auf der Registerkarte Erweiterte Optionen der Richtlinie
Client-Benutzeroberfläche wird der Kennwortzugriff auf Windows- und Nicht-Windows-Clients
konfiguriert.
Mit den Kennwörtern wird die Windows-Client-Konsole entsperrt und der Zugriff auf die
Fehlerbehebungssteuerung auf Windows- und Nicht-Windows-Clients ermöglicht. Das Kennwort
wird aktiviert, sobald die Richtlinie auf den Client angewendet wird.
Es sind zwei Kennworttypen verfügbar:
• Ein Administratorkennwort, das von einem Administrator konfiguriert werden kann und gültig
ist, solange die Richtlinie auf den Client angewendet wird. Die Client-Konsole bleibt solange
entsperrt, bis sie geschlossen wird. Um die Client-Konsole wieder zu öffnen, geben Sie das
Administratorkennwort erneut ein.
• Ein zeitbasiertes Kennwort mit Ablaufdatum und -zeit. Dieses Kennwort wird automatisch
generiert. Sie können ein einzelnes System angeben, auf dem das Kennwort erstellt werden
soll, oder das Kennwort in der Richtlinie "Client-Benutzeroberfläche" für alle Systeme erstellen,
auf die die Richtlinie angewendet werden soll. Die Client-Konsole bleibt solange entsperrt,
bis sie geschlossen wird.
HINWEIS: Richtlinien werden nicht auf dem Client durchgesetzt, solange die Client-Konsole
entsperrt ist.
Ausführliche Informationen finden Sie unter Entsperren der Windows-Client-Benutzeroberfläche.
Task
1
Klicken Sie in der Richtlinie "Client-Benutzeroberfläche", die auf ein System oder eine Gruppe
angewendet wird, auf die Registerkarte Erweiterte Optionen.
2
Legen Sie fest, welchen Kennworttyp Sie erstellen möchten.
Für diesen Kennworttyp...
Vorgehensweise
Administrator
•
Geben Sie ein Kennwort in das Textfeld Kennwort ein. Es muss
mindestens zehn Zeichen lang sein.
•
Geben Sie das Kennwort erneut in das Textfeld Kennwort
bestätigen ein.
•
•
Wählen Sie Zeitbasiertes Kennwort aktivieren aus.
•
Geben Sie das Datum und die Uhrzeit des Zeitpunkts ein, an dem
das Kennwort abläuft, und klicken Sie anschließend auf
Zeitbasiertes Kennwort errechnen. Das Kennwort wird
zusammen mit Ablaufdatum und -zeit in einem Dialogfeld
angezeigt.
•
Zeitbasiert
Erstellen von Kennwörtern pro System
Sie können zeitbasierte Kennwörter pro System erstellen und zuweisen.
88
Task
1
Überprüfen Sie auf der Registerkarte "Erweitert" in der Richtlinie "Client-Benutzeroberfläche",
dass die Option für zeitbasierte Kennwörter aktiviert ist.
2
Klicken Sie auf Speichern, wenn Sie irgendwelche Änderungen an der Richtlinie
vorgenommen haben.
3
Gehen Sie zu Systeme | Systemstruktur.
4
Wenden Sie die Richtlinie "Client-Benutzeroberfläche auf die Gruppe an, die das System
enthält, für das das Kennwort gelten soll.
5
Wählen Sie die Gruppe aus, und wählen Sie dann auf der Registerkarte Systeme ein
einzelnes System aus.
6
Klicken Sie auf Zeitbasiertes Kennwort erstellen.
7
Richten Sie das Datum und die Uhrzeit des Zeitpunkts ein, an dem das Kennwort abläuft
und klicken Sie anschließend auf Zeitbasiertes Kennwort errechnen. Das Kennwort
wird im Dialogfeld angezeigt.
Festlegen der Fehlerbehebungsoptionen für die
Mit den Einstellungen auf der RegisterkarteFehlerbehebung der Richtlinie
"Client-Benutzeroberfläche" können Sie Protokollierungsoptionen bestimmen und Module einbzw. ausschalten.
Statt die Fehlerbehebungsfunktion für einen einzelnen Client zu verwenden, können Sie
Fehlerbehebungsoptionen auf Richtlinienebene anwenden, die die Protokollierung von IPS- und
Firewall-Ereignissen auslösen und bestimmte IPS-Module deaktivieren. Deaktivierte Module
müssen nach Durchführung der Fehlerbehebung wieder aktiviert werden.
Task
1
Klicken Sie in der Richtlinie "Client-Benutzeroberfläche" auf die Registerkarte
Fehlerbehebung.
2
Wählen Sie die Richtlinieneinstellungen, die Sie anwenden möchten:
Zweck
Vorgehensweise
Firewall-Protokollierung aktivieren
Wählen Sie den Nachrichtentyp aus der Liste aus, um
die Protokollierung von Firewall-Ereignissen auszulösen.
•
Mit Debug werden alle Meldungen protokolliert.
•
Mit Informationen werden Informationen,
Warnungen und Fehlermeldungen protokolliert.
•
Mit Warnung werden Warnungen und
Fehlermeldungen protokolliert.
•
Mit Fehler werden Fehlermeldungen protokolliert.
•
Mit Deaktiviert werden keine Meldungen
protokolliert.
Bei Windows-Clients lautet der Pfad für die
Protokolldatei: C:\Dokumente und Einstellungen\Alle
Benutzer\Anwendungsdaten\McAfee\Host Intrusion
Prevention\FireSvc.log. Unter Windows Vista, Windows
2008 und Windows 7 lautet der Pfad:
C:\Programmdaten\McAfee\Host Intrusion
Prevention\FireSvc.log.
89
Zweck
Vorgehensweise
IPS-Protokollierung aktivieren
Wählen Sie den Nachrichtentyp aus der Liste aus, um
die Protokollierung von IPS-Ereignissen auszulösen.
•
Mit Debug werden alle Meldungen protokolliert.
•
Mit Informationen werden Informationen,
Warnungen und Fehlermeldungen protokolliert.
•
Mit Warnung werden Warnungen und
Fehlermeldungen protokolliert.
•
Mit Fehler werden Fehlermeldungen protokolliert.
•
Mit Deaktiviert werden keine Meldungen
protokolliert.
Bei Windows-Clients lautet der Pfad für die
Protokolldatei: C:\Dokumente und Einstellungen\Alle
Prevention\HipShield.log. Unter Windows Vista,
Windows 2008 und Windows 7 lautet der Pfad:
C:\Programmdaten\McAfee\Host Intrusion
Prevention\HipShield.log
Sicherheitsverstöße in das IPS-Protokoll aufnehmen
Wählen Sie Sicherheitsverstöße protokollieren,
damit Ereignisse mit Sicherheitsverstößen im
IPS-Protokoll angezeigt werden.
Größe des Ereignisprotokolls (in MB) auf dem Client
festlegen
Ändern Sie die Größe des Ereignisprotokolls vom
Standardwert "1 MB" auf einen höheren Wert.
Module aktivieren und deaktivieren
Deaktivieren Sie das Kontrollkästchen, um ein Modul
zu deaktivieren, und wählen Sie das Kontrollkästchen
erneut aus, um das Modul erneut zu aktivieren.
HINWEIS: Details über das direkte Arbeiten mit dem HIP-Client finden Sie unter Arbeiten
mit Host Intrusion Prevention-Clients.
Mithilfe der Richtlinie "Vertrauenswürdige Netzwerke" können Sie eine Liste mit Netzwerkadressen
und Subnetzen verwalten, die Sie für Clients unter Windows als vertrauenswürdig einstufen
und auf Firewall-Regeln anwenden können, deren Remote-Adresse als vertrauenswürdig und
auf Netzwerk-IPS-Ausnahmen festgelegt ist.
Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie, in der lokale Subnetze
automatisch enthalten sind, Netzwerkadressen jedoch nicht auflistet werden, und der
bearbeitbaren Richtlinie "Mein Standard". Die vorkonfigurierte Richtlinie kann angezeigt und
dupliziert werden; bearbeitbare, benutzerdefinierte Richtlinien können erstellt, bearbeitet,
umbenannt, dupliziert, gelöscht und exportiert werden.
Konfigurieren der Richtlinie "Vertrauenswürdige Netzwerke"
Mit den Einstellungen in dieser Richtlinie werden die Optionen für vertrauenswürdige Netzwerke
festgelegt und eine Liste der Netzwerkadressen und Subnetze verwaltet, die für Windows-Clients
als "vertrauenswürdig" gekennzeichnet sind.
Sie haben folgende Möglichkeiten:
90
• Optionen für vertrauenswürdige Netzwerke einrichten, einschließlich
TrustedSource-Ausnahmen.
• Adressen oder Subnetze zur Vertrauensliste hinzufügen oder daraus löschen.
HINWEIS: Für Firewall-Regeln müssen Sie die Remote-Adresse auf Vertrauenswürdig
festlegen, um die Vorteile dieser Funktion nutzen zu können.
Task
1
Prevention: Allgemein aus der Liste Produkt und Vertrauenswürdige Netzwerke
aus der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet.
2
Klicken Sie in der Richtlinienliste Vertrauenswürdige Netzwerke unter Aktionen auf
Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.
3
Zweck
Vorgehensweise
Alle Benutzer desselben Subnetzes automatisch als
Wählen Sie unter Lokales Subnetz automatisch
vertrauenswürdig behandeln, auch wenn diese nicht in einschließen die Option Aktiviert aus.
der Liste genannt werden.
Der Liste eine vertrauenswürdige Netzwerkadresse
hinzufügen.
Geben Sie im Testfeld Vertrauenswürdige
Netzwerke eine vertrauenswürdige IP-Adresse, einen
Adressbereich oder ein Subnetz ein.
Das Netzwerk für Netzwerk-IPS-Signaturen oder
Wählen Sie Vertrauensstellung für IPS aus.
HTTP-Host- und benutzerdefinierte IPS-Signaturen als
vertrauenswürdig markieren.
Einen vertrauenswürdigen Netzwerkadresseintrag
entfernen oder hinzufügen.
4
Klicken Sie auf die Schaltfläche Entfernen ( – ) oder
Hinzufügen ( + ).
Die Richtlinie "Vertrauenswürdige Anwendungen" stellt einen Mechanismus zum Erstellen einer
Liste von Anwendungen dar, die als vertrauenswürdig gelten und für die kein Ereignis erzeugt
werden sollte. Die Pflege einer solchen Liste sicherer Anwendungen für ein System reduziert
falsch-positive Ergebnisse bzw. kann diese vollständig verhindern.
Die Richtlinie "Vertrauenswürdige Anwendungen" ist eine Richtlinie mit mehreren Instanzen,
sodass Sie mehrere Richtlinieninstanzen zuweisen können; dies ermöglicht ein detaillierteres
Profil der Nutzung vertrauenswürdiger Anwendungen.
Beim Optimieren (Tunen) einer Ausbringung ist das Erstellen von IPS-Ausnahmeregeln eine
Möglichkeit, um die Anzahl von Falsch-Positiv-Meldungen zu reduzieren. Dies ist nicht immer
praktisch, wenn es um mehrere tausend Clients geht oder nur ein begrenzter Zeitraum und
begrenzte Ressourcen zur Verfügung stehen. Die bessere Lösung besteht darin, eine Liste von
vertrauenswürdigen Anwendungen zu erstellen, die innerhalb einer bestimmten Umgebung als
sichere Anwendungen gelten. Wenn Sie beispielsweise eine Datensicherungsanwendung
91
ausführen, löst dies eine Vielzahl von Falsch-Positiv-Meldungen aus. Um dies zu vermeiden,
geben Sie die Datensicherungsanwendung als vertrauenswürdige Anwendung an.
HINWEIS: Auch eine vertrauenswürdige Anwendung kann von verbreiteten Schwachstellen,
wie einem Buffer Overflow oder einer unbefugten Verwendung, betroffen sein. Aus diesem
Grund wird auch eine vertrauenswürdige Anwendung überwacht und kann bestimmte Ereignisse
auslösen, um Schwachstellen zu schützen.
Diese Richtlinienkategorie beinhaltet eine vorkonfigurierte Richtlinie, die eine Liste mit spezifischen
McAfee-Anwendungen und Windows-Prozessen bietet. Die vorkonfigurierte Richtlinie kann
angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können bearbeitet, umbenannt,
dupliziert, gelöscht und exportiert werden.
Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen"
Mit den Einstellungen in der Richtlinie werden die Anwendungen angegeben, die in einer
bestimmten Umgebung als sicher gelten.
Task
1
Prevention: Allgemein aus der Liste Produkt und Vertrauenswürdige Anwendungen
aus der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet.
2
Klicken Sie in der Richtlinienliste Vertrauenswürdige Anwendungen unter Aktionen
auf Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern.
3
Zweck
Vorgehensweise
Hinzufügen einer Anwendung
Klicken Sie auf Anwendung hinzufügen. Siehe
"Erstellen und Bearbeiten von Regeln für
vertrauenswürdige Anwendungen" für weitere Details.
Gleichzeitiges Durchführen einer Aktion für eine oder
mehrere Anwendungen
Wählen Sie folgende Befehle aus und klicken Sie darauf:
•
Aktivieren, um eine deaktivierte Anwendung zu
aktivieren.
•
Deaktivieren, um eine aktivierte Anwendung zu
deaktivieren.
•
Löschen, um Anwendungen zu löschen.
•
Kopieren nach, um Anwendungen in eine andere
Richtlinie zu kopieren. Sie werden aufgefordert,
die Richtlinie anzugeben.
Durchführen einer Aktion für eine einzelne Anwendung Schaltfläche:
92
•
Bearbeiten, um eine vorhandene Anwendung
zu bearbeiten. Siehe "Erstellen und Bearbeiten
von Regeln für vertrauenswürdige Anwendungen"
für weitere Details.
•
Duplizieren, um eine Kopie der Anwendung
innerhalb der gleichen Richtlinie unter dem Namen
"Kopie von" der Originalanwendung zu erstellen.
•
Löschen, um die Anwendung aus der Liste zu
entfernen.
4
Erstellen und Bearbeiten von Regeln für vertrauenswürdige
Anwendungen
Indem Sie vorhandene vertrauenswürdige Anwendungen bearbeiten oder neue erstellen, können
Sie eine Liste der für Ihre Umgebung als sicher geltenden Anwendungen anlegen.
Task
1
Um eine neue Regel zu erstellen, klicken Sie auf der Seite der Richtlinie
Vertrauenswürdige Anwendungen auf Neue vertrauenswürdige Anwendung.
Wenn Sie eine vorhandene Regel bearbeiten möchten, klicken Sie unter Aktionen auf
Bearbeiten.
HINWEIS: Sie können auch vertrauenswürdige Anwendungen erstellen, die auf einem
Ereignis basieren. Detaillierte Informationen finden Sie unter Erstellen vertrauenswürdiger
Anwendungen aus Ereignissen unter Konfigurieren von IPS-Richtlinien.
2
Schreiben oder bearbeiten Sie den Namen der Anwendung, und geben Sie den Status der
Anwendung an, einschließlich der Angabe, ob sie für IPS, Firewall oder beide Optionen als
vertrauenswürdig eingestuft ist.
3
Klicken Sie auf Neu, um eine ausführbare Datei für die Anwendung hinzuzufügen.
HINWEIS: Sie können eine vorhandene ausführbare Datei aus dem Host IPS-Katalog
hinzuzufügen, indem Sie auf Aus Katalog hinzufügen klicken. Informationen über den
Katalog erhalten Sie in Funktionsweise des Host IPS-Katalogs unter Konfigurieren von
Firewall-Richtlinien.
4
Klicken Sie auf OK, um die Änderungen zu speichern.
Zuweisen mehrerer Instanzen der Richtlinie
Mehrfachschutz mittels einer einzelnen Richtlinie ist möglich, indem einer Gruppe oder einem
System in der Struktur von ePolicy Orchestrator eine oder mehrere Instanzen der Richtlinie
zugewiesen werden.
Die Richtlinie für IPS-Regeln und die Richtlinie für vertrauenswürdige Anwendungen haben
beide mehrere Instanzen, von denen auch mehrere zugewiesen werden können. Eine Richtlinie
mit mehreren Instanzen eignet sich beispielsweise für einen IIS-Server, wenn Sie eine allgemeine
Standardrichtlinie, eine Server-Richtlinie und eine IIS-Richtlinie anwenden, wobei die beiden
letzten speziell für Systeme konfiguriert sind, die als IIS-Server ausgeführt werden. Beim
Zuweisen mehrerer Instanzen wird quasi eine Zusammenfassung aller Elemente der einzelnen
Instanzen zugewiesen.
HINWEIS: Die McAfee-Standardrichtlinie für IPS-Regeln und vertrauenswürdige Anwendungen
wird im Rahmen von Inhaltsaktualisierungen aktualisiert. Es wird empfohlen, diese beiden
Richtlinien immer anzuwenden, um den Schutzmechanismus so auf dem neuesten Stand zu
halten.
Für Richtlinien mit mehreren Instanzen wird eine Verknüpfung zur gültigen Richtlinie angezeigt.
Über diese können Sie die Daten der kombinierten Richtlinieninstanzen einsehen.
93
Task
1
Wechseln Sie zu Systeme | Systemstruktur, und wählen Sie dann in der Systemstruktur
eine Gruppe aus.
HINWEIS: Bei einem einzelnen System wählen Sie eine Gruppe aus, die das System enthält.
Wählen Sie auf der Registerkarte System das System und anschließend Weitere Aktionen
| Richtlinien auf einem einzelnen System ändern aus.
94
2
Wählen Sie unter Richtlinien in der Liste Produkt den Eintrag Host Intrusion
Prevention 8.0: IPS/Allgemein aus, und klicken Sie für
IPS-Regeln/Vertrauenswürdige Anwendungen auf Zuweisungen bearbeiten.
3
Klicken Sie auf der Seite Richtlinienzuweisung auf Neue Richtlinieninstanz, und
wählen Sie aus der Liste Zugewiesene Richtlinien eine Richtlinie für die zusätzliche
Richtlinieninstanz aus. Wenn Sie den gültigen oder kombinierten Instanzregelsatz anzeigen
möchten, klicken Sie auf Gültige Richtlinie anzeigen.
4
Speichern Sie die Änderungen mit Speichern.
Der Host Intrusion Prevention-Client kann auf Windows-, Solaris- und Linux-Plattformen installiert
werden. Nur die Windows-Version des Clients hat eine Benutzeroberfläche, aber alle Versionen
verfügen über eine Funktion zur Fehlerbehebung. Die grundlegenden Funktionen der einzelnen
Client-Versionen werden hier vorgestellt.
Inhalt
Übersicht Windows-Client
Übersicht Solaris-Client
Übersicht Linux-Client
Über eine Client-Konsole ist die direkte clientseitige Verwaltung des Host Intrusion Prevention
Windows-Clients verfügbar. Der Client wird mithilfe des McAfee-Symbols in der Taskleiste oder
durch Ausführung von McAfeeFire.exe unter "C:\Programme\McAfee\Host Intrusion Prevention"
aufgerufen.
Beim ersten Anzeigen der Client-Konsole sind die Optionen gesperrt, und Sie können nur die
aktuellen Einstellungen anzeigen. Um Zugriff auf alle Einstellungen in der Konsole zu erhalten,
muss die Sperre der Schnittstelle mit einem Kennwort aufgehoben werden. Einzelheiten über
das Erstellen und Verwenden von Kennwörtern finden Sie unter Festlegen der erweiterten
Optionen und Kennwörter für die Client-Benutzeroberfläche unter "Konfigurieren von allgemeinen
Richtlinien".
Taskleistenmenü
Wenn das McAfee-Symbol in der Taskleiste angezeigt wird, können Sie darüber auf die Host
IPS-Client-Konsole zugreifen. Die verfügbaren Funktionen unterscheiden sich je nach der Version
des auf dem Client installierten McAfee-Agenten.
Mit McAfee Agent 4.0
Klicken Sie mit der rechten Maustaste auf das McAfee Agent-Symbol, und wählen Sie Host
Intrusion Prevention aus, um ein Kontextmenü anzuzeigen, über das Sie die Konsole öffnen
können.
Tabelle 8: Menü von McAfee Agent 4.0
Schaltfläche
Zweck
Konfigurieren
Öffnen Sie die Host Intrusion Prevention-Client-Konsole.
95
Schaltfläche
Zweck
Info...
Öffnen Sie das Dialogfeld Info zu Host Intrusion
Prevention, das die Versionsnummer und andere
Produktinformationen anzeigt.
Wenn die Option Deaktivieren von Funktionen über das Taskleistenmenü zulassen
ausgewählt und in einer Richtlinie Client-Benutzeroberfläche angewendet wird, sind die
folgenden zusätzlichen Befehle verfügbar:
Tabelle 9: Menü von McAfee Agent 4.0 mit Deaktivieren zulassen
Schaltfläche
Zweck
Einstellungen wiederherstellen
Aktivieren aller deaktivierten Funktionen. Nur verfügbar,
wenn eine Funktion deaktiviert ist.
Alle deaktivieren
Deaktivieren der IPS- und der Firewall-Funktion. Nur
verfügbar, wenn beide Funktionen aktiviert sind.
IPS deaktivieren
Deaktivieren der IPS-Funktion. Dies umfasst sowohl die
Host IPS- als auch die Netzwerk-IPS-Funktionen. Nur
verfügbar, wenn die Funktion aktiviert ist.
Firewall deaktivieren
Deaktivieren der Firewall-Funktion. Nur verfügbar, wenn
die Funktion aktiviert ist.
Wenn die Option Zeitbeschränkte Gruppe über das McAfee-Taskleistenmenü aktivieren
auf der Registerkarte Zeitplan für eine Firewall-Gruppe in einer angewendeten Richtlinie
Firewall-Regeln ausgewählt ist, sind die folgenden zusätzlichen Befehle verfügbar:
Tabelle 10: Menü von McAfee Agent 4.0 mit Zeitbeschränkte Gruppe zulassen
Schaltfläche
Zweck
Durch Host IPS zeitbeschränkte Firewall-Regelgruppen
aktivieren
Aktiviert zeitbeschränkte Firewall-Gruppen für einen
festgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf
das Internet zuzulassen, bevor Regeln angewendet
werden, die den Zugriff beschränken. Bei jeder Auswahl
dieses Befehls wird die Zeit für die Gruppen zurückgesetzt.
Status der durch Host IPS zeitbeschränkten
Firewall-Regelgruppen anzeigen
Zeigt die Namen der zeitbeschränkten Gruppen und die
verbleibende Zeit, für die die einzelnen Gruppen aktiv sind,
an.
Mit McAfee Agent 4.5
Klicken Sie mit der rechten Maustaste auf das McAfee Agent-Symbol in der Taskleiste, und
wählen Sie Funktionen verwalten | Host Intrusion Prevention aus, um die Konsole zu
öffnen.
HINWEIS: Das Symbol muss dazu sowohl im McAfee-Agenten als auch auf dem Host IPS-Client
angezeigt werden, um diese Zugriffsoption nutzen zu können. Wenn der McAfee-Agent nicht
in der Taskleiste angezeigt wird, ist kein Zugriff auf Host IPS über die Taskleiste möglich, selbst
wenn für den Client das Anzeigen eines Symbols in der Taskleiste festgelegt wurde.
Unter Schnellkonfiguration sind die folgenden Host Intrusion Prevention-Optionen verfügbar,
wenn die Option Deaktivieren von Funktionen über das Taskleistenmenü zulassen in
einer angewendeten Richtlinie Client-Benutzeroberfläche ausgewählt ist:
Tabelle 11: Menü von McAfee Agent 4.5 Schnellkonfiguration
96
Schaltfläche
Zweck
Host IPS
Ein- und Ausschalten des Host IPS-Schutzes.
Schaltfläche
Zweck
Netzwerk-IPS
Ein- und Ausschalten des Netzwerk-IPS-Schutzes.
Firewall
Ein- und Ausschalten des Firewall-Schutzes.
Wenn unter Schnellkonfiguration die Option Zeitbeschränkte Gruppe über das
McAfee-Taskleistenmenü aktivieren auf der Registerkarte "Zeitplan" für eine Firewall-Gruppe
in einer angewendeten Richtlinie Firewall-Regeln ausgewählt ist, sind die folgenden
zusätzlichen Befehle verfügbar:
Tabelle 12: Menü von McAfee Agent 4.5 mit Zeitbeschränkte Gruppe zulassen
Schaltfläche
Zweck
Durch Host IPS zeitbeschränkte Firewall-Regelgruppen
aktivieren
Aktiviert zeitbeschränkte Firewall-Gruppen für einen
festgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf
das Internet zuzulassen, bevor Regeln angewendet
werden, die den Zugriff beschränken. Bei jeder Auswahl
dieses Befehls wird die Zeit für die Gruppen zurückgesetzt.
Status der durch Host IPS zeitbeschränkten
Firewall-Regelgruppen anzeigen
Zeigt die Namen der zeitbeschränkten Gruppen und die
verbleibende Zeit, für die die einzelnen Gruppen aktiv sind,
an.
Client-Konsole für Windows-Clients
Über die Host Intrusion Prevention-Client-Konsole können Sie auf verschiedene
Konfigurationsoptionen zugreifen. Führen Sie die folgenden Schritte aus, um die Konsole zu
öffnen:
• In McAfee Agent 4.0 klicken Sie mit der rechten Maustaste auf das McAfee-Symbol, und
wählen Sie Host Intrusion Prevention und dann Konfigurieren aus.
• In McAfee Agent 4.5 klicken Sie mit der rechten Maustaste auf das McAfee-Symbol, und
wählen Sie Funktionen verwalten, Host Intrusion Prevention und dann Konfigurieren
aus.
• Führen Sie im Ordner "C:\Programme\McAfee\Host Intrusion Prevention" die Datei
McAfeeFire.exe aus.
In der Konsole können Sie Informationen zu den Funktionen von Host Intrusion Prevention
anzeigen und konfigurieren. Sie umfasst mehrere Registerkarten, die jeweils einer speziellen
Host Intrusion Prevention-Funktion entsprechen.
Entsperren der Windows-Client-Benutzeroberfläche
Ein Administrator, der Host Intrusion Prevention mithilfe von ePolicy Orchestrator über den
Fernzugriff verwaltet, kann einen Kennwortschutz für die Benutzeroberfläche festlegen, um
unbeabsichtigte Änderungen zu verhindern. Mit festen Kennwörtern, die nicht ablaufen, oder
zeitbasierten Kennwörtern kann ein Administrator oder Benutzer die Sperrung der
Benutzeroberfläche temporär aufheben und Änderungen vornehmen.
Bevor Sie beginnen
Stellen Sie sicher, dass die allgemeine Host IPS-Richtlinie "Client-Benutzeroberfläche", in der
die Kennworteinstellungen enthalten sind, auf den Client angewendet wird. Dies erfolgt bei
einer geplanten Richtlinienaktualisierung oder durch Erzwingen einer sofortigen
Richtlinienaktualisierung. Der Client erkennt das Kennwort erst nach der erfolgten
Richtlinienaktualisierung.
97
Task
1
Das Kennwort erhalten Sie vom zuständigen Host Intrusion Prevention-Administrator.
HINWEIS: Einzelheiten über das Erstellen von Kennwörtern finden Sie unter Festlegen der
erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche unter Konfigurieren
von allgemeinen Richtlinien.
2
Öffnen Sie die Client-Konsole, und wählen Sie Task | Sperrung der Benutzeroberfläche
aufheben aus.
3
Geben Sie das Kennwort im Dialogfeld Anmeldung ein, und klicken Sie auf OK.
Einstellen von Optionen für die Client-Benutzeroberfläche
Die Host Intrusion Prevention-Client-Konsole ermöglicht den Zugriff auf einige Einstellungen,
die von der Richtlinie für die Client-Benutzeroberfläche zur Verfügung gestellt werden, und
ermöglicht Ihnen, diese für einzelne Clients anzupassen.
Bevor Sie beginnen
Um folgenden Task durchführen zu können, muss zuerst die Client-Konsole mit einem Kennwort
entsperrt werden.
Task
1
Wählen Sie in der Client-Konsole Task | Sprache der Benutzeroberfläche festlegen
aus.
2
Wählen Sie die Sprache für die Benutzeroberfläche der Client-Konsole aus, und klicken Sie
auf OK. Folgende Optionen sind verfügbar: Deutsch, Chinesisch, Englisch, Französisch,
Italienisch, Japanisch, Koreanisch, Portugiesisch, Russisch, Spanisch. Wenn Sie
Automatisch auswählen wird die Benutzeroberfläche in der Sprache des Betriebssystems
angezeigt, auf dem der Client installiert ist.
3
Wählen Sie Bearbeiten | Optionen aus.
4
Im Dialogfeld Host Intrusion Prevention-Optionen aktivieren und deaktivieren Sie die
entsprechenden Optionen je nach Bedarf. Klicken Sie anschließend auf OK.
Tabelle 13: Optionen auf der Client-Konsole
98
Option
Gewünschtes Ergebnis
Popup-Warnung anzeigen
Im Falle eines Angriffs wird eine Warnung angezeigt
(nur IPS).
Ton ausgeben
Bei einem Angriff wird ein Ton ausgegeben (nur IPS).
Benachrichtigung in der Taskleiste anzeigen
Das Taskleistensymbol zeigt bei einem Angriff einen
Angriffsstatus an (nur IPS).
Sniffer-Entdeckung erstellen, falls verfügbar
Dem Aktivitätsprotokoll wird eine Ausgabespalte
hinzugefügt, um anzuzeigen, dass
Sniffer-Intrusionsdaten erfasst wurden. Es wird in der
Datei "FirePacketX.cap" unter
"C:\Programmdaten\McAfee\Host Intrusion
Prevention\McAfee Fire Saved Events" oder
"C:\Dokumente und Einstellungen\Alle
Prevention\McAfee Fire Saved Events" gespeichert (nur
IPS).
Option
Gewünschtes Ergebnis
Taskleistensymbol anzeigen
Unter dem Taskleistenmenü von McAfee Agent wird
"Host Intrusion Prevention" angezeigt.
Fehlerbehebung für den Windows-Client
Host Intrusion Prevention enthält die Funktion "Problembehandlung", die im Menü "Hilfe"
verfügbar ist, wenn die Benutzeroberfläche entsperrt ist. Folgende Optionen sind verfügbar:
Tabelle 14: Fehlerbehebungsoptionen
Option
Definition
Protokollierung: Firewall
Ermittelt, welche Firewall-Meldungstypen protokolliert
werden sollen.
Protokollierung: IPS *
Ermittelt, welche IPS-Meldungstypen protokolliert werden
sollen.
Sicherheitsverstöße protokollieren *
Protokollierung der IPS-Sicherheitsverstöße im
IPS-Protokoll aktivieren.
Produkt in der Liste "Software" bzw. "Programme
hinzufügen/entfernen" anzeigen
Host IPS kann in der Liste "Software" bzw. "Programme
hinzufügen/entfernen" angezeigt und vom Client entfernt
werden.
Funktionen *
Deaktiviert bzw. aktiviert Host IPS-Klassenmodule als Teil
der Fehlerbehebung neu.
* Diese Option steht nur mit IPS-Schutz zur Verfügung.
HINWEIS: McAfee bietet ein Dienstprogramm (ClientControl.exe), das die Automatisierung von
Upgrades und anderen Wartungsaufgaben unterstützt, wenn Host Intrusion Prevention mit
Software von Drittherstellern auf Client-Computern installiert wird. Dieses
Befehlszeilendienstprogramm, das sich in Installations- und Wartungsskripte einbinden lässt,
um den IPS-Schutz vorübergehend zu deaktivieren und Protokollierungsfunktionen zu aktivieren,
wird als Teil der Installation bereitgestellt und befindet sich auf dem Client unter "C:\
Programme\McAfee\Host Intrusion Prevention". Informationen siehe Clientcontrol.exe utility
unter Anhang B – Fehlerbehebung.
Einstellen von Optionen für die IPS-Protokollierung
Als Teil der Fehlerbehebung können Sie IPS-Aktivitätsprotokolle erstellen, die auf dem System
analysiert oder an den Support von McAfee gesendet werden können, um Ihnen bei der
Behebung möglicher Probleme zu helfen. Verwenden Sie diesen Task, um die IPS-Protokollierung
zu aktivieren.
Task
1
Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus.
2
Wählen Sie den IPS-Meldungstyp aus:
• Fehlerbehebung
• Deaktiviert
• Fehler
• Informationen
• Warnung
99
Wenn der Meldungstyp auf Deaktiviert festgelegt ist, wird keine Meldung protokolliert.
3
Klicken Sie auf OK. Die Daten werden gespeichert in der Datei "HipShield.log" unter
"C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion
Prevention\; bei Windows Vista und neueren Versionen unter
C:\Programmdaten\McAfee\Host Intrusion Prevention\.
Einstellen von Optionen für die Firewall-Protokollierung
Als Teil der Fehlerbehebung können Sie IPS- und Firewall-Aktivitätsprotokolle erstellen, die auf
dem System analysiert oder an den Support von McAfee gesendet werden können, um Ihnen
bei der Behebung möglicher Probleme zu helfen. Aktivieren Sie mit diesem Task die
Firewall-Protokollierung.
Task
1
Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus.
2
Wählen Sie den Firewall-Meldungstyp aus:
• Fehlerbehebung
• Deaktiviert
• Fehler
• Informationen
• Warnung
Wenn der Meldungstyp auf Deaktiviert festgelegt ist, wird keine Meldung protokolliert.
3
Klicken Sie auf OK. Die Daten werden gespeichert in der Datei "FireSvc.log" unter
"C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion
Prevention\; bei Windows Vista und neueren Versionen unter
C:\Programmdaten\McAfee\Host Intrusion Prevention\. Wenn die Datei eine Größe von
100 MB überschreitet, wird eine neue Datei erstellt.
Deaktivieren von Host IPS-Modulen
Als Teil der Fehlerbehebung können Sie auch Klassenmodule deaktivieren, die einen Client
schützen. Es wird empfohlen, dass nur Administratoren, die mit dem McAfee-Support in
Verbindung stehen, dieses Fehlerbehebungsverfahren verwenden. Eine detaillierte Erläuterung
dazu, was von den einzelnen Klassen geschützt wird, finden Sie unter Schreiben von
benutzerdefinierten Signaturen.
Task
1
Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus, und klicken Sie dann
auf Funktion.
2
Deaktivieren Sie im Dialogfeld HIPS-Module mindestens ein Modul. Um alle Module zu
deaktivieren, heben Sie die Aktivierung von Alle Module aktivieren/deaktivieren auf.
HINWEIS: SQL und HTTP werden in der Liste nur dann angezeigt, wenn der Client ein
Server-Betriebssystem ausführt.
3
100
Klicken Sie auf OK.
4
Nach Lösung des Problems aktivieren Sie im Dialogfeld HIPS-Module die deaktivierten
Module erneut.
Windows-Client-Warnungen
Mehrere Arten von Warnmeldungen können angezeigt werden, auf die der Benutzer
unterschiedlich reagieren muss. Dazu zählen Warnungen zu Intrusionsentdeckung, Firewall und
Spoofing-Entdeckung. Firewall-Warnungen werden nur angezeigt, wenn sich der Client für diese
Funktionen im Lernmodus befindet.
Reagieren auf Intrusionswarnungen
Wenn Sie den IPS-Schutz und die Option Popup-Warnung anzeigen aktivieren, wird
automatisch eine Warnung angezeigt, wenn Host Intrusion Prevention einen potenziellen Angriff
entdeckt. Wenn sich der Client im adaptiven Modus befindet, wird diese Warnung nur dann
angezeigt, wenn die Option Client-Regeln zulassen für die Signatur die das Ereignis verursacht
hat, aktiviert ist.
Auf der Registerkarte Intrusionsinformationen finden Sie Einzelheiten über den Angriff, der
die Warnung generiert hat, einschließlich einer Beschreibung des Angriffs, des
Benutzer-/Client-Computers, der das Ziel des Angriffs war, des am Angriff beteiligten Prozesses
sowie Uhrzeit und Datum des Abfangens durch Host Intrusion Prevention. Darüber hinaus kann
eine generische, vom Administrator angegebene Meldung angezeigt werden.
Sie können das Ereignis entweder ignorieren, indem Sie auf Ignorieren klicken, oder eine
Ausnahmeregel für das Ereignis erstellen, indem Sie auf Ausnahme erstellen klicken. Die
Schaltfläche Ausnahme erstellen ist nur aktiv, wenn die Option Client-Regeln zulassen
für die Signatur, die das Ereignis verursacht hat, aktiviert ist.
Wenn die Warnung das Ergebnis einer HIP-Signatur ist, wird in das Dialogfeld für die
Ausnahmeregel vorab der Name des Prozesses, des Benutzers und der Signatur eingetragen.
Sie können entweder Alle Signaturen oder Alle Prozesse, nicht jedoch beide Optionen
auswählen. Der Benutzername wird immer in die Ausnahme aufgenommen.
Wenn die Warnung das Ergebnis einer NIP-Signatur ist, werden in das Dialogfeld für die
Ausnahmeregel vorab der Name der Signatur und die Host-IP-Adresse eingetragen. Sie können
optional Alle Hosts auswählen.
Darüber hinaus können Sie mit Admin benachrichtigen Informationen zum Ereignis an den
Host Intrusion Prevention-Administrator senden. Diese Schaltfläche ist nur aktiv, wenn die
Option Dem Benutzer erlauben, den Administrator zu benachrichtigen in der
angewendeten Richtlinie für die Client-Benutzeroberfläche aktiviert ist.
Wählen Sie die Option Keine Warnungen für IPS-Ereignisse anzeigen, um die Anzeige
von Warnungen bei IPS-Ereignissen anzuhalten. Wenn Sie nach Auswahl dieser Option die
Warnungen wieder anzeigen möchten, wählen Sie im Dialogfeld Optionen die Option
Popup-Warnung anzeigen aus.
HINWEIS: Diese Eindringversuchswarnung wird auch bei Eindringversuchen in die Firewall
angezeigt, wenn eine Firewall-Regel gefunden wird, für die die Option Regelübereinstimmung
als Eindringversuch behandeln ausgewählt ist.
101
Reagieren auf Firewall-Warnungen
Wenn Sie den Firewall-Schutz und den Lernmodus für den eingehenden oder ausgehenden
Datenverkehr aktivieren, wird eine Firewall-Warnung angezeigt und der Benutzer muss darauf
reagieren.
Im Abschnitt Anwendungsinformationen werden Informationen zu der Anwendung angezeigt,
die versucht, auf das Netzwerk zuzugreifen. Diese beinhalten den Namen der Anwendung, den
Pfad und die Version. Im Abschnitt Verbindungsinformationen werden Informationen zum
Protokoll des Datenverkehrs, zur Adresse und den beteiligten Ports angezeigt.
HINWEIS: Wenn zusätzliche Protokoll- oder Portinformationen für eine Anwendung vorliegen,
werden im Abschnitt Verbindungsinformationen die Schaltflächen Zurück und Weiter
angezeigt. Wurde mehr als eine Warnmeldung gesendet, sind die Schaltflächen Zurück und
Weiter unten im Dialogfeld verfügbar.
Task
1
Führen Sie im Warnmeldungsdialogfeld einen der folgenden Schritte aus:
• Klicken Sie auf Verweigern, um diesen und ähnlichen Datenverkehr zu blockieren.
2
• Klicken Sie auf Erlauben, um diesen und ähnlichen Datenverkehr zuzulassen.
Optional: Wählen Sie Optionen für die neue Firewall-Regel aus:
Option
Zweck
Firewall-Anwendungsregel für alle Ports und Dienste
erstellen
Erstellt eine Regel, die den gesamten Datenverkehr
einer Anwendung über alle Ports und Dienste zulässt
bzw. blockiert. Wenn Sie diese Option nicht auswählen,
dann gilt die neue Firewall-Regel nur für bestimmte
Ports:
Diese Regel bei Beenden der Anwendung löschen
•
Wenn der abgefangene Datenverkehr einen Port
unter 1024 verwendet, bezieht sich die neue Regel
nur auf diesen Port.
•
Wenn der Datenverkehr den Port 1024 oder einen
darüberliegenden verwendet, dann bezieht sich die
neue Regel auf alle Ports zwischen 1024 und 65535.
Erstellt eine temporäre Zulassungs- oder
Blockierungsregel, die beim Schließen der Anwendung
gelöscht wird. Wenn Sie diese Option nicht auswählen,
dann wird die neue Firewall-Regel als permanente
Client-Regel erstellt.
Host Intrusion Prevention erstellt eine neue Firewall-Regel auf Grundlage der ausgewählten
Optionen, fügt diese zur Richtlinienliste Firewall-Regeln hinzu und wendet sie automatisch
auf ähnlichen Datenverkehr an.
Reagieren auf Warnungen bei erkanntem Spoofing
Nach Aktivierung des Firewall-Schutzes wird automatisch eine Spoof-Warnung angezeigt, wenn
Host Intrusion Prevention erkennt, dass eine Anwendung auf dem Computer gefälschte
Netzwerkdaten sendet und ein Benutzer darauf reagieren muss.
Das bedeutet, dass die Anwendung versucht, den Datenverkehr als von Ihrem Computer
ausgehend zu tarnen; tatsächlich stammt er jedoch von einem anderen Computer. Hierzu wird
die IP-Adresse in den ausgehenden Paketen verändert. Spoofing ist stets eine verdächtige
102
Aktivität. Wenn dieses Dialogfeld angezeigt wird, sollten Sie die Anwendung, die den gefälschten
Datenverkehr erzeugt hat, sofort überprüfen.
HINWEIS: Das Dialogfeld Warnungen bei erkanntem Spoofing wird nur angezeigt, wenn
die Option Popup-Warnung anzeigen ausgewählt ist. Wenn Sie diese Option nicht aktivieren,
blockiert Host Intrusion Prevention automatisch den gefälschten Datenverkehr, ohne Sie
diesbezüglich zu benachrichtigen.
Das Dialogfeld Warnungen bei erkanntem Spoofing entspricht weitgehend der Warnung
durch die Firewall-Funktion für den Lernmodus. Es enthält in zwei Abschnitten Informationen
über den abgefangenen Datenverkehr – im Abschnitt Anwendungsinformationen und im
Abschnitt Verbindungsinformationen.
Im Abschnitt Anwendungsinformationen wird Folgendes angezeigt:
• Die IP-Adresse, von der der Datenverkehr angeblich stammt.
• Informationen über das Programm, das den gefälschten Datenverkehr erzeugt hat.
• Datum und Uhrzeit, zu der der Datenverkehr durch Host Intrusion Prevention abfangen
wurde.
Im Abschnitt Verbindungsinformationen werden weitere Netzwerkdaten angezeigt: Lokale
Adresse zeigt die IP-Adresse an, die die Anwendung angeblich hat, während Remote-Adresse
die tatsächliche IP-Adresse anzeigt.
Wenn Host Intrusion Prevention gefälschten Netzwerkdatenverkehr entdeckt, wird sowohl der
Datenverkehr als auch die Anwendung blockiert, die ihn erzeugt hat.
Informationen zur Registerkarte "IPS-Richtlinie"
Verwenden Sie die Registerkarte "IPS-Richtlinie", um die IPS-Funktion zu konfigurieren, die
einen auf Signatur- und Verhaltensregeln basierenden Schutz vor Host-Intrusionsangriffen
bietet. Über diese Registerkarte können Sie Funktionen aktivieren und deaktivieren und
Client-Ausnahmeregeln konfigurieren. Weitere Einzelheiten zu IPS-Richtlinien finden Sie im
Abschnitt Konfigurieren von IPS-Richtlinien.
Die Registerkarte "IPS-Richtlinie" zeigt Ausnahmeregeln an, die für den Client relevant sind,
mit zusammengefassten und detaillierten Informationen über jede Regel.
Tabelle 15: Registerkarte "IPS-Richtlinie"
Diese Spalte...
Zeigt Folgendes an...
Ausnahme
Name der Ausnahme.
Signatur
Der Name der Signatur, für die die Ausnahme erstellt wird.
Anwendung
Die Anwendung, für die diese Regel gilt, einschließlich des
Programmnamens und des Namens der ausführbaren
Datei.
Anpassen von Optionen für IPS-Richtlinien
Mit den Optionen oben auf der Registerkarte werden die Einstellungen gesteuert, die durch
Server-seitige IPS-Richtlinien zur Verfügung gestellt werden, nachdem die
Client-Benutzeroberfläche entsperrt wurde.
Task
1
In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte IPS-Richtlinie.
103
2
Aktivieren und deaktivieren Sie die entsprechende Option je nach Bedarf.
Option
Zweck
Host IPS aktivieren
Aktivieren des Host Intrusion Prevention-Schutzes.
Netzwerk-IPS aktivieren
Aktivieren des Schutzes durch den
Netzwerkeindringungsschutz.
Adaptiven Modus aktivieren
Aktivieren des adaptiven Modus, um automatisch
Ausnahmen für Eindringungsschutz-Signaturen zu
erstellen.
Angreifer automatisch blockieren
Automatisches Blockieren von
Netzwerkintrusions-Angriffen für einen bestimmten
Zeitraum. Gibt die Anzahl der Minuten im
entsprechenden Feld an.
Erstellen und Bearbeiten von Ausnahmeregeln für IPS-Richtlinien
IPS-Ausnahmeregeln können auf dem Client auf der Registerkarte IPS-Richtlinie angezeigt,
erstellt und bearbeitet werden.
Task
1
Klicken Sie in der Registerkarte IPS-Richtlinie auf Hinzufügen, um eine Regel
hinzuzufügen.
2
Geben Sie im Dialogfeld Ausnahmeregel eine Beschreibung für die Regel ein.
3
Wählen Sie in der Anwendungsliste die Anwendung aus, für die die Regel gilt, oder klicken
Sie auf Suchen, um nach der Anwendung zu suchen.
4
Wählen Sie Ausnahmeregel ist aktiv, um die Regel zu aktivieren. Die Ausnahme gilt
für alle Signaturen ist laut Standardeinstellung nicht aktiviert und nicht ausgewählt;
diese Option wendet die Ausnahme auf alle Signaturen an.
5
Klicken Sie auf OK.
6
Führen Sie für andere Bearbeitungen einen der folgenden Schritte durch:
Zweck
Vorgehensweise
Anzeigen der Einzelheiten einer Regel oder Bearbeiten Doppelklicken Sie auf eine Regel oder wählen Sie eine
einer Regel
Regel aus, und klicken Sie auf Eigenschaften. Das
Dialogfeld Ausnahmeregel wird angezeigt, in dem
Regelinformationen angezeigt werden, die bearbeitet
werden können.
104
Aktivieren/Deaktivieren einer Regel
Aktivieren oder deaktivieren Sie das Kontrollkästchen
Ausnahmeregel ist aktiv im Dialogfeld Ausnahmeregel.
Sie können auch das Kontrollkästchen neben dem
Regelsymbol in der Liste aktivieren oder deaktivieren.
Löschen einer Regel
Wählen Sie eine Regel aus, und klicken Sie auf
Entfernen.
Sofortiges Übernehmen der Änderungen
Klicken Sie auf Übernehmen. Wenn Sie nach den
vorgenommenen Änderungen nicht auf diese
Schaltfläche klicken, wird ein Dialogfeld mit der
Mitteilung angezeigt, ob die Änderungen gespeichert
werden sollen.
Informationen zur Registerkarte "Firewall-Richtlinie"
Auf der Registerkarte Firewall-Richtlinie konfigurieren Sie die Firewall-Funktion, die auf Basis
der von Ihnen bestimmten Regeln die Netzwerkkommunikation gestattet oder blockiert. Über
diese Registerkarte können Sie Funktionen aktivieren und deaktivieren und Client-Firewall-Regeln
konfigurieren. Weitere Einzelheiten zu Firewall-Richtlinien finden Sie im Abschnitt Konfigurieren
von Firewall-Richtlinien.
Die Firewall-Regelliste zeigt Regeln und Regelgruppen an, die für den Client relevant sind, mit
zusammengefassten und detaillierten Informationen über jede Regel. Regeln in Kursivschrift
können nicht bearbeitet werden.
Tabelle 16: Registerkarte "Firewall-Richtlinie"
Element
Beschreibung
Kontrollkästchen
Gibt an, ob die Regel aktiviert (ausgewählt) oder
deaktiviert (nicht ausgewählt) ist. Regeln, die nicht in
Kursivschrift angezeigt werden, können über das
Kontrollkästchen aktiviert oder deaktiviert werden.
Firewall-Gruppe
Zeitbeschränkte Gruppe
Zeigt die Liste der enthaltenen Regeln an. Klicken Sie auf
das Feld mit dem Pluszeichen, um die Regeln anzuzeigen,
bzw. auf das Feld mit dem Minuszeichen, um sie
auszublenden.
Zeigt die Gruppe als zeitbeschränkte Gruppe an.
Zeigt die Gruppe als standortabhängige Gruppe an.
Standortabhängige Gruppe
Firewall-Regel
Zeigt die grundlegenden Eigenschaften der Regel an.
Klicken Sie auf das Feld mit dem Pluszeichen, um die
Eigenschaften anzuzeigen, bzw. auf das Feld mit dem
Minuszeichen, um sie auszublenden.
Regelaktion
Gibt an, ob es sich um eine Regel handelt, die den
Datenverkehr gestattet (
) oder blockiert (
).
Regelrichtung
Gibt an, ob die Regel für eingehenden
ausgehenden
Datenverkehr,
Datenverkehr oder beides
gilt.
Anpassen von Optionen für Firewall-Richtlinien
Mit den Optionen oben auf der Registerkarte werden die Einstellungen gesteuert, die durch
Server-seitige Firewall-Richtlinien zur Verfügung gestellt werden, nachdem die
Task
1
In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte Firewall-Richtlinie.
2
Zweck
Option
Aktivieren des Firewall-Richtlinienschutzes.
Firewall aktivieren
Aktivieren des Lernmodus für den eingehenden
Datenverkehr.
Lernmodus eingehend
105
Zweck
Option
Aktivieren des Lernmodus für den ausgehenden
Datenverkehr.
Lernmodus ausgehend
Aktivieren des adaptiven Modus.
Adaptiver Modus
Anzeigen der vertrauenswürdigen Netzwerke.
Vertrauenswürdige Netzwerke
Erstellen und Bearbeiten von Firewall-Regeln
Firewall-Regeln können auf dem Client auf der Registerkarte Firewall-Richtlinie angezeigt,
erstellt und bearbeitet werden.
Task
1
Klicken Sie auf der Registerkarte Firewall-Richtlinie auf Hinzufügen, um eine Regel
hinzuzufügen.
HINWEIS: In der Client-Konsole können Sie nur Regeln, keine Gruppen erstellen.
2
Geben Sie auf der Seite Allgemein den Namen der Regel ein, und wählen Sie die
Informationen für die Regelaktion und -richtung aus.
3
Klicken Sie auf Weiter, um zu den anderen Seiten zu wechseln und die
Standardeinstellungen zu ändern.
HINWEIS: Jede Seite des Regelgenerators entspricht einer Registerkarte des
Firewall-Regelgenerators in der Richtlinie "Firewall-Regeln".
Seite
Einzugebende Informationen
Allgemein
Name, Status, Aktion und Richtung der Regel.
Netzwerke
IP-Adresse, Subnetz, Domäne oder ein anderer spezieller Bezeichner für
diese Regel.
Transport
Das Protokoll und die lokale und Remote-Adressen, für die diese Regel gilt.
Sie können eine spezifische Adresse, einen Adressbereich, eine Liste
spezifischer Adressen oder alle Adressen angeben.
Anwendungen
Die Anwendung, für die diese Regel gilt, einschließlich des Namens der
ausführbaren Datei.
Plan
Der Zeitplan für die Regel, sofern verfügbar.
4
Klicken Sie auf Fertig stellen, um die neue Regel zu speichern.
5
Zweck
Vorgehensweise
Anzeigen der Einzelheiten einer Wählen Sie eine Regel aus, und klicken Sie auf Eigenschaften. Das
Regel oder Bearbeiten einer
Firewall-Regelgenerator-Dialogfeld mit den Regelinformationen wird angezeigt.
Regel
Wenn die Regel nicht in Kursivschrift angezeigt wird, können Sie sie bearbeiten.
106
Aktivieren/Deaktivieren einer
Regel
Aktivieren oder deaktivieren Sie das Kontrollkästchen neben "Aktiviert" auf der
Seite Allgemein der Firewall-Regel. Sie können auch das Kontrollkästchen
neben der Regel in der Liste aktivieren oder deaktivieren.
Erstellen einer Kopie einer
vorhandenen Regel
Wählen Sie die Regel aus, normalerweise eine Standardregel, die nicht bearbeitet
werden kann, und klicken Sie auf Duplizieren.
Löschen einer Regel
Wählen Sie eine Regel aus, und klicken Sie auf Entfernen.
Zweck
Vorgehensweise
Sofortiges Übernehmen der
Änderungen
Klicken Sie auf Übernehmen. Wenn Sie nach den vorgenommenen Änderungen
nicht auf diese Schaltfläche klicken, wird ein Dialogfeld mit der Mitteilung
angezeigt, ob die Änderungen gespeichert werden sollen.
Informationen zur Registerkarte "Blockierte Hosts"
Verwenden Sie die Registerkarte Blockierte Hosts, um eine Liste von blockierten Hosts
(IP-Adressen) zu überwachen, die automatisch erstellt wird, wenn der Netzwerk-IPS-Schutz
(NIPS) aktiviert ist. Wenn die Option Client-Regeln erstellen in der Richtlinie "IPS-Optionen"
in der ePolicy Orchestrator-Konsole ausgewählt ist, können Sie die Liste der blockierten Hosts
erweitern und bearbeiten.
Die Liste der blockierten Hosts zeigt alle Hosts an, die gegenwärtig durch Host Intrusion
Prevention blockiert werden. Jede Zeile stellt einen einzelnen Host dar. Weitere Einzelheiten
über einzelne Hosts finden Sie in den Informationen in den einzelnen Spalten.
Tabelle 17: Registerkarte Blockierte Hosts
Spalte
Anzeige
Quelle
Die durch Host Intrusion Prevention blockierte IP-Adresse.
Blockierungsgrund
Eine Erklärung, weshalb Host Intrusion Prevention diese
Adresse blockiert.
Hat Host Intrusion Prevention diese Adresse aufgrund
eines Angriffs auf das System der Liste hinzugefügt, wird
die Art des Angriffs in dieser Spalte genauer beschrieben.
Hat Host Intrusion Prevention diese Adresse hinzugefügt,
weil eine der Firewall-Regeln die Option
Regelübereinstimmung als Intrusion behandeln
verwendet hat, steht in dieser Spalte der Name der
jeweiligen Firewall-Regel. Wurde die Adresse von Hand
hinzugefügt, steht in der Spalte nur die blockierte
IP-Adresse.
Uhrzeit
Uhrzeit- und Datum des Zeitpunkts, an dem diese Adresse
von Ihnen zur Liste der blockierten Adressen hinzugefügt
wurde.
Verbleibende Zeit
Dauer des Blockierens dieser Adresse durch Host Intrusion
Prevention.
Haben Sie bei Blockierung dieser Adresse eine Ausnahme
angegeben, werden in dieser Spalte die Minuten
angezeigt, nach deren Ablauf Host Intrusion Prevention
die Adresse aus der Liste löscht. Wurde angegeben, dass
die Adresse solange blockiert werden soll, bis sie manuell
aus der Liste gelöscht wird, steht in dieser Spalte Bis
zur Entfernung.
Bearbeiten der Liste "Blockierte Hosts"
Die Liste der blockierten Adressen kann bearbeitet werden, um blockierte Hosts hinzuzufügen,
zu entfernen, zu ändern und aufzurufen.
Task
1
Klicken Sie auf Hinzufügen, um einen Host hinzuzufügen.
107
2
Geben Sie im Dialogfeld "Blockierter Host" die zu blockierende IP-Adresse ein. Um eine
IPS-Adresse nach Domänenname zu suchen, klicken Sie auf DNS-Suche. Wenn Sie den
gewünschten Hostnamen finden, klicken Sie auf Verwenden.
3
Geben Sie die Anzahl der Minuten ein (max. 60), für welche die IP-Adresse blockiert wird.
4
Klicken Sie auf OK.
HINWEIS: Nachdem Sie eine blockierte Adresse erstellt haben, fügt Host Intrusion Prevention
einen neuen Eintrag zur Liste auf der Registerkarte Anwendungsschutz hinzu. Alle von
dieser IP-Adresse ausgehenden Kommunikationsversuche werden blockiert, bis Sie die
Adresse aus der Liste der blockierten Adressen entfernen oder bis eine festgelegte
Zeitspanne verstrichen ist.
5
Zweck
Vorgehensweise
Anzeigen der Einzelheiten oder Bearbeiten eines
blockierten Hosts
Doppelklicken Sie auf einen Host-Eintrag oder wählen
Sie einen Host aus, und klicken Sie auf Eigenschaften.
Im Dialogfeld Blockierte Hosts werden Informationen
angezeigt, die bearbeitet werden können.
Löschen eines blockierten Hosts
Wählen Sie einen Host aus, und klicken Sie auf
Entfernen.
vorgenommenen Änderungen nicht auf diese
Schaltfläche klicken, wird ein Dialogfeld mit der
Mitteilung angezeigt, ob die Änderungen gespeichert
werden sollen.
Informationen zur Registerkarte "Anwendungsschutzliste"
Auf der Registerkarte Anwendungsschutzliste wird eine Liste von geschützten Anwendungen
auf dem Client angezeigt. Hierbei handelt es sich um eine über eine administrative Richtlinie
erstellte schreibgeschützte Liste und um eine heuristisch erstellte clientspezifische
Anwendungsliste.
In dieser Liste werden alle auf dem Client überwachten Prozesse angezeigt.
Tabelle 18: Registerkarte Anwendungsschutz
Spalte
Anzeige
Prozess
Der Anwendungsprozess.
PID
Die Prozess-ID, die der Schlüssel für die Cache-Suche eines
Prozesses ist.
Vollständiger Pfad der Anwendung
Der vollständige Pfadname der ausführbaren Anwendung.
Arbeiten mit der Registerkarte "Aktivitätsprotokoll"
Auf der Registerkarte Aktivitätsprotokoll werden die Protokollierungsfunktion konfiguriert
und Host Intrusion Prevention-Aktionen nachverfolgt.
Das Aktivitätsprotokoll enthält ein laufendes Aktivitätsprotokoll. Die neuesten Aktivitäten werden
unten in der Liste angezeigt.
108
Spalte
Anzeige
Uhrzeit
Datum und Uhrzeit der Host Intrusion Prevention-Aktion.
Ereignis
Die Funktion, die diese Aktion durchgeführt hat.
•
Verkehr weist auf eine Firewall-Aktion hin.
•
Anwendung weist auf eine Anwendungsblockieraktion hin.
•
Intrusion weist auf eine IPS-Aktion hin.
•
System weist auf einen Ereignisbezug zu den internen Komponenten
der Software hin.
•
Dienst weist auf einen Ereignisbezug zum Dienst oder den Treibern
der Software hin.
IP-Adresse/Benutzer
Die Remote-Adresse, an die diese Kommunikation entweder gesendet oder
von der sie empfangen wurde.
Intrusionsdaten
Dieses Symbol zeigt an, dass Host Intrusion Prevention die mit diesem
Angriff verknüpften Paketdaten gespeichert hat (wird nur für
IPS-Protokolleinträge angezeigt). Sie können die mit diesem Protokolleintrag
verknüpften Paketdaten exportieren. Klicken Sie mit der rechten Maustaste
auf den Protokolleintrag, um die Daten in einer Sniffer-Datei zu speichern.
HINWEIS: Diese Spalte wird nur angezeigt, wenn Sie Sniffer-Entdeckung
erstellen... im Dialogfeld McAfee-Optionen wählen.
Anwendung
Das Programm, das die Aktion verursacht hat.
Nachricht
Eine detaillierte Beschreibung der Aktion.
Regelübereinstimmung
Der Name der übereinstimmenden Regel.
HINWEIS: Diese Spalte befindet sich ganz rechts in der Anzeige, sodass Sie
entweder einen Bildlauf ausführen oder die Größe der Spalten anpassen
müssen, um die Spalte und den Inhalt anzuzeigen.
Anpassen von Optionen für das Aktivitätsprotokoll
Mit den Optionen oben auf der Registerkarte werden die Protokollierungseinstellungen gesteuert,
die durch Server-seitige Client-UI-Richtlinien zur Verfügung gestellt werden, nachdem die
Task
1
In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte Aktivitätsprotokoll.
2
Option
Zweck
Verkehrsprotokollierung – Alle Blockierungen
protokollieren
Protokollieren des gesamten blockierten
Firewall-Datenverkehrs.
Verkehrsprotokollierung – Alle Zulassungen
protokollieren
Protokollieren des gesamten zulässigen
Firewall-Datenverkehrs.
Filteroptionen – Datenverkehr
Filtern der Daten, um blockierten und zulässigen
Firewall-Datenverkehr anzuzeigen.
Filteroptionen – Intrusionen
Filtern der Daten, um Intrusionen anzuzeigen.
HINWEIS: Sie können die Protokollierung für den Firewall-Datenverkehr aktivieren und
deaktivieren, jedoch nicht für die IPS-Funktion. Sie können jedoch festlegen, dass diese
Ereignisse im Protokoll durch Filterung ausgeblendet werden.
109
3
Führen Sie einen der folgenden Schritte aus, um die Anzeige zu ändern:
Zweck
Vorgehensweise
Aktualisieren der Anzeige
Klicken Sie auf Aktualisieren.
Endgültiges Löschen der Protokollinhalte
Klicken Sie auf Löschen.
Speichern der Protokollinhalte und Löschen der
Liste aus der Registerkarte
Klicken Sie auf Exportieren. Benennen und speichern Sie
die TXT-Datei im angezeigten Dialogfeld.
vorgenommenen Änderungen nicht auf diese Schaltfläche
klicken, wird ein Dialogfeld mit der Mitteilung angezeigt, ob
die Änderungen gespeichert werden sollen.
Der Host Intrusion Prevention-Client für Solaris erkennt und blockiert schädliche Angriffe, mit
denen versucht wird, die Dateien und Anwendungen auf einem Solaris-Server zu schädigen.
Der Client schützt das Betriebssystem des Servers sowie Apache- und Sun-Web-Server, wobei
verstärkt auf das Verhindern von Buffer Overflow-Angriffen geachtet wird.
Richtlinienerzwingung mit dem Solaris-Client
Nicht alle Richtlinien, die einen Windows-Client schützen, stehen dem Solaris-Client zur
Verfügung. Host Intrusion Prevention schützt also den Hostserver vor schädlichen Angriffen,
bietet jedoch keinen Firewall-Schutz. Die gültigen Richtlinien sind hier aufgelistet.
Tabelle 19: Solaris-Client-Richtlinien
Richtlinie
Verfügbare Optionen
Host Intrusion Prevention 8.0 IPS
IPS-Optionen
•
HIPS aktivieren
•
•
Bestehende Client-Regeln beibehalten
IPS-Schutz
Alle
IPS-Regeln
•
Ausnahmeregeln
•
Signaturen (nur standardmäßige und
benutzerdefinierte HIPS-Regeln)
HINWEIS: NIPS-Signaturen und Anwendungsschutzregeln
sind nicht verfügbar.
Host Intrusion Prevention 8.0 IPS Allgemein
110
Das Tool zur Fehlerbehebung kann nur mit Administratoroder zeitbasiertem Kennwort verwendet werden.
Keine
Vertrauenswürdige Anwendungen
Nur mit Für IPS als vertrauenswürdig markieren und
Neuer Prozessname können vertrauenswürdige
Anwendungen hinzugefügt werden.
Host Intrusion Prevention 8.0 Firewall
Keine
Fehlerbehebung für den Solaris-Client
Sollte während der Installation oder Deinstallation des Clients ein Problem aufgetreten sein,
können verschiedene Sachen überprüft werden. Sie können beispielsweise prüfen, ob alle
erforderlichen Dateien im richtigen Verzeichnis installiert wurden, den Client deinstallieren und
dann erneut installieren und die Prozessprotokolle überprüfen. Darüber hinaus können
möglicherweise Probleme beim Client-Betrieb auftreten. Sie können prüfen, ob der Client
ausgeführt wird, den Client anhalten und neu starten.
Der Solaris-Client verfügt nicht über eine Benutzerschnittstelle zur Behebung von
Betriebsproblemen. Er bietet jedoch ein Fehlerbehebungstool in der Befehlszeile, hipts, das sich
im Verzeichnis /opt/McAfee/hip befindet. Um dieses Tool verwenden zu können, müssen Sie ein
Host Intrusion Prevention-Client-Kennwort eingeben. Verwenden Sie das Standardkennwort,
das Sie mit dem Client erhalten haben (abcde12345), oder senden Sie eine Richtlinie für die
Client-Benutzeroberfläche an den Client, die entweder ein Administratorkennwort oder ein
zeitbasiertes Kennwort enthält, das mit der Richtlinie festgelegt wurde, und verwenden Sie
dieses Kennwort.
Verwenden Sie das Fehlerbehebungstool für Folgendes:
• Angeben der Protokollierungseinstellungen und des Modulstatus für den Client
• Aktivieren und Deaktivieren der Nachrichtenprotokollierung
• Aktivieren und Deaktivieren der Module
Melden Sie sich als Root-Benutzer an und führen Sie die folgenden Befehle aus, um bei der
Fehlerbehebung zu helfen.
Zweck
Ausführung
Abrufen des aktuellen Status des Clients, der angibt,
hipts status
welche Protokollierungsart aktiviert ist und welche Module
ausgeführt werden.
Aktivieren der Protokollierung bestimmter
Nachrichtentypen.
hipts logging on
Deaktivieren der Protokollierung für alle Nachrichtentypen. hipts logging off
Die Protokollierung ist standardmäßig deaktiviert.
Anzeigen des angegebenen Nachrichtentyps, wenn die
Protokollierung auf "on" gesetzt ist. Die Meldungen
umfassen Folgendes:
•
Fehler
•
Warnung
•
Debug
•
Info
•
Verstöße
hipts message <Meldungsname>:on
hipts message <Meldungsname>:off
Protokollierung auf "on" gesetzt ist. Die Fehlermeldung ist
standardmäßig deaktiviert.
Anzeigen aller Nachrichtentypen, wenn die Protokollierung hipts message all:on
auf "on" gesetzt ist.
Verbergen aller Nachrichtentypen, wenn die Protokollierung hipts message all:off
Aktivieren des angegebenen Moduls. Das Modul ist
standardmäßig aktiviert. Die Module umfassen:
•
MISC
•
FILES
111
Zweck
•
GUID
•
MMAP
•
BO
•
HTTP
Ausführung
Deaktivieren des angegebenen Moduls.
Aktivieren aller Module.
hipts engines all:on
Deaktivieren aller Module.
hipts engines all:off
TIPP: Zusätzlich zur Verwendung des Fehlerbehebungstools können Sie mit Hilfe der Dateien
HIPShield.log und HIPClient.log im Verzeichnis /opt/McAfee/hip/log Vorgänge überprüfen oder
Probleme nachverfolgen.
Überprüfen der Solaris-Installationsdateien
Nach der Installation sollten Sie überprüfen, ob alle Dateien im richtigen Verzeichnis auf dem
Client installiert wurden. Das Verzeichnis opt/McAfee/hip sollte die folgenden grundlegenden
Dateien und Verzeichnisse enthalten:
Datei-/Verzeichnisname
Beschreibung
HipClient; HipClient-bin
Solaris-Client
HipClientPolicy.xml
Richtlinienregeln
hipts; hipts-bin
Fehlerbehebungstool
*.so
Gemeinsame Objektmodule von Host Intrusion Prevention und McAfee
Agent
Protokollverzeichnis
Enthält Debug- und Fehlerprotokolldateien
Der Installationsverlauf wird in die Datei /opt/McAfee/etc/hip-install.log geschrieben. Lesen Sie in
dieser Datei nach, wenn Sie Fragen zur Installation oder Entfernung des Host Intrusion
Prevention-Clients haben.
Überprüfen, ob der Solaris-Client ausgeführt wird
Auch wenn der Client ordnungsgemäß installiert ist, können während des Betriebs Probleme
auftreten. Wenn der Client beispielsweise nicht in der ePO-Konsole angezeigt wird, überprüfen
Sie mithilfe eines der folgenden Befehle, ob er ausgeführt wird:
• /etc/rc2.d/S99hip status
• ps –ef | grep Hip
Anhalten des Solaris-Clients
Bei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartet
werden.
Task
1
112
Um einen ausgeführten Client anzuhalten, deaktivieren Sie zuerst den IPS-Schutz. Verwenden
Sie eine der folgenden Vorgehensweisen:
• Stellen Sie die IPS-Optionen in der ePO-Konsole auf Aus, und wenden Sie die Richtlinie
auf den Client an.
• Sie müssen im Stammverzeichnis angemeldet sein und folgenden Befehl ausführen:
hipts engines MISC:off
2
Führen Sie folgenden Befehl aus: /sbin/rc2.d/S99hip stop.
Neustarten des Solaris-Clients
werden.
Task
1
Führen Sie folgenden Befehl aus: /etc/rc2.d/S99hip restart.
2
Aktivieren Sie den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen, je
nachdem, welche Sie zum Anhalten des Clients verwendet haben:
• Stellen Sie die IPS-Optionen in der ePO-Konsole auf Ein, und wenden Sie die Richtlinie
auf den Client an.
• Sie müssen im Stammverzeichnis angemeldet sein und folgenden Befehl ausführen:
hipts engines MISC:on
Der Host Intrusion Prevention-Client für Linux erkennt und blockiert schädliche Angriffe, mit
denen versucht wird, die Dateien und Anwendungen auf einem Linux-Server zu schädigen. Der
Client schützt das Betriebssystem des Servers sowie Apache-Web-Server, wobei verstärkt auf
das Verhindern von Buffer Overflow-Angriffen geachtet wird.
Richtlinienerzwingung mit dem Linux-Client
Nicht alle Richtlinien, die einen Windows-Client schützen, stehen dem Linux-Client zur Verfügung.
Host Intrusion Prevention schützt also den Hostserver vor schädlichen Angriffen, bietet jedoch
keinen Schutz vor Netzwerkintrusionen, einschließlich Buffer Overflow. Die gültigen Richtlinien
sind im Anschluss aufgeführt.
Tabelle 20: Linux-Client-Richtlinien
Richtlinie
Host Intrusion Prevention 8.0 IPS
IPS-Optionen
•
HIPS aktivieren
•
•
Bestehende Client-Regeln beibehalten
IPS-Schutz
Alle
IPS-Regeln
•
Ausnahmeregeln
•
Signaturen (nur standardmäßige und
benutzerdefinierte HIPS-Regeln)
HINWEIS: NIPS-Signaturen und Anwendungsschutzregeln
sind nicht verfügbar.
113
Richtlinie
Host Intrusion Prevention 8.0 IPS Allgemein
Das Tool zur Fehlerbehebung kann nur mit Administratoroder zeitbasiertem Kennwort verwendet werden.
Keine
Nur mit Für IPS als vertrauenswürdig markieren und
Neuer Prozessname können vertrauenswürdige
Anwendungen hinzugefügt werden.
Host Intrusion Prevention 8.0 Firewall
Keine
Anmerkungen zum Linux-Client
• Der Host IPS 8.0-Linux-Client ist nicht mit SELinux im Erzwingungsmodus kompatibel. Um
den Erzwingungsmodus zu deaktivieren, führen Sie folgenden Befehl aus:
system-config-securitylevel. Ändern Sie die Einstellung auf "Deaktiviert", und starten Sie das
Client-System erneut.
• Wenn die Host IPS 8.0-Linux-Kernel-Module geladen werden, wird das SUSE-Kernel als
"infiziert" gemeldet. Im Kernel-Protokoll wird folgende Markierung angegeben: schook:
module not supported by Novell, setting U taint flag; hipsec: module not supported by Novell,
setting U taint flag. Aufgrund der Novell-Anforderungen für Drittanbietermodule wird das
Host IPS-Kernel als infiziert gekennzeichnet. Da die Host IPS 8.0-Linux-Kernel-Module
GPL-lizenziert sind, kann diese Meldung ignoriert werden. McAfee arbeitet gemeinsam mit
Novell an einer Lösung dieses Problems.
Fehlerbehebung für den Linux-Client
Sollte während der Installation oder Deinstallation des Clients ein Problem aufgetreten sein,
können verschiedene Sachen überprüft werden. Sie können beispielsweise prüfen, ob alle
erforderlichen Dateien im richtigen Verzeichnis installiert wurden, den Client deinstallieren und
dann erneut installieren und die Prozessprotokolle prüfen. Darüber hinaus können möglicherweise
Probleme beim Client-Betrieb auftreten. Sie können prüfen, ob der Client ausgeführt wird, den
Client anhalten und neu starten.
Der Linux-Client verfügt nicht über eine Benutzerschnittstelle zur Behebung von
Bedienungsproblemen. Er bietet jedoch ein Fehlerbehebungstool in der Befehlszeile, hipts, das
sich im Verzeichnis opt/McAfee/hip befindet. Um dieses Tool verwenden zu können, müssen Sie
ein Host Intrusion Prevention-Client-Kennwort eingeben. Verwenden Sie das Standardkennwort,
das Sie mit dem Client erhalten haben (abcde12345), oder senden Sie eine Richtlinie für die
Client-Benutzeroberfläche an den Client, die entweder ein Administratorkennwort oder ein
zeitbasiertes Kennwort enthält, das mit der Richtlinie festgelegt wurde, und verwenden Sie
dieses Kennwort.
Verwenden Sie das Fehlerbehebungstool für Folgendes:
• Angeben der Protokollierungseinstellungen und des Modulstatus für den Client
• Aktivieren und Deaktivieren der Nachrichtenprotokollierung
• Aktivieren und Deaktivieren der Module
Melden Sie sich als Root-Benutzer an und führen Sie die folgenden Befehle aus, um bei der
Fehlerbehebung zu helfen.
114
Zweck
Ausführung
Abrufen des aktuellen Status des Clients, der angibt,
hipts status
welche Protokollierungsart aktiviert ist und welche Module
ausgeführt werden.
Aktivieren der Protokollierung bestimmter
Nachrichtentypen.
hipts logging on
Deaktivieren der Protokollierung für alle Nachrichtentypen. hipts logging off
Die Protokollierung ist standardmäßig deaktiviert.
Protokollierung auf "on" gesetzt ist. Die Meldungen
umfassen Folgendes:
•
Fehler
•
Warnung
•
Debug
•
Info
•
Verstöße
Protokollierung auf "on" gesetzt ist. Die Fehlermeldung ist
standardmäßig deaktiviert.
Anzeigen aller Nachrichtentypen, wenn die Protokollierung hipts message all:on
Verbergen aller Nachrichtentypen, wenn die Protokollierung hipts message all:off
Aktivieren des angegebenen Moduls. Das Modul ist
standardmäßig aktiviert. Die Module umfassen:
•
MISC
•
FILES
•
HTTP
Deaktivieren des angegebenen Moduls.
Aktivieren aller Module.
hipts engines all:on
Deaktivieren aller Module.
hipts engines all:off
TIPP: Zusätzlich zur Verwendung des Fehlerbehebungstools können Sie mit Hilfe der Dateien
"HIPShield.log" und "HIPClient.log" im Verzeichnis "McAfee/hip/log" Vorgänge überprüfen oder
Probleme nachverfolgen.
Überprüfen der Linux-Installationsdateien
Nach der Installation sollten Sie überprüfen, ob alle Dateien im richtigen Verzeichnis auf dem
Client installiert wurden. Das Verzeichnis opt/McAfee/hip sollte die folgenden grundlegenden
Dateien und Verzeichnisse enthalten:
Dateiname
Beschreibung
HipClient; HipClient-bin
Linux-Client
HipClientPolicy.xml
Richtlinienregeln
hipts; hipts-bin
Fehlerbehebungstool
*.so
Gemeinsame Objektmodule von Host Intrusion Prevention und McAfee
Agent
115
Dateiname
Beschreibung
Protokollverzeichnis
Enthält Debug- und Fehlerprotokolldateien
Der Installationsverlauf wird in die Datei /opt/McAfee/etc/hip-install.log geschrieben. Lesen Sie in
dieser Datei nach, wenn Sie Fragen zur Installation oder Entfernung des Host Intrusion
Prevention-Clients haben.
Überprüfen, ob der Linux-Client ausgeführt wird
Wenn der Client beispielsweise in der ePO-Konsole nicht angezeigt wird, überprüfen Sie, ob der
Client ausgeführt wird. Führen Sie hierzu den folgenden Befehl aus:
ps –ef | grep hip
Anhalten des Linux-Clients
werden.
Task
1
Um einen Client anzuhalten, deaktivieren Sie den IPS-Schutz. Verwenden Sie eine der
folgenden Vorgehensweisen:
• Stellen Sie die IPS-Optionen in der ePO-Konsole auf Aus, und wenden Sie die Richtlinie
auf den Client an.
2
• Führen Sie folgenden Befehl aus: hipts engines MISC:off
Führen Sie folgenden Befehl aus: hipts agent off
Neustarten des Linux-Clients
werden.
Task
1
Führen Sie folgenden Befehl aus: hipts agent on.
2
Aktivieren Sie den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen, je
nachdem, welche Sie zum Anhalten des Clients verwendet haben:
• Stellen Sie die IPS-Optionen in der ePO-Konsole auf Ein, und wenden Sie die Richtlinie
auf den Client an.
• Führen Sie folgenden Befehl aus: hipts engines MISC:on
116
Anhang A – Schreiben von benutzerdefinierten
Signaturen und Ausnahmen
In diesem Kapitel wird die Struktur von IPS-Signaturen beschrieben, einschließlich einer Liste
der Klassen, Parameter und Richtlinien. Außerdem finden Sie hier Informationen zum Erstellen
benutzerdefinierter Signaturen für die verschiedenen Client-Plattformen. Diese Informationen
können auch verwendet werden, wenn Sie die Seite mit den erweiterten Details für Ausnahmen
nutzen.
Inhalt
Regelstruktur
Benutzerdefinierte Windows-Signaturen
Benutzerdefinierte Nicht-Windows-Signaturen
Regelstruktur
Jede Signatur umfasst eine oder mehrere Regeln, die in der Syntax der ANSI-TCL-Sprache (Tool
Command Language) geschrieben sind. Jede Regel enthält obligatorische und optionale
Abschnitte, wobei jede Zeile einen Abschnitt enthält. Optionale Abschnitte sind vom
Betriebssystem und der Regelklasse abhängig. Jeder Abschnitt definiert eine Regelkategorie
und einen Wert. Ein Abschnitt bezeichnet stets die Regelklasse, die das gesamte Verhalten der
Regel definiert.
Die Grundstruktur einer Regel:
Rule {
AbschnittA Wert
AbschnittB Wert
AbschnittC Wert
...
}
HINWEIS: Beachten Sie unbedingt die Syntax für das Schreiben von Zeichenfolgen und
Escape-Folgen in TCL, bevor Sie versuchen, benutzerdefinierte Regeln zu schreiben. Eine schnelle
Überprüfung sämtlicher Standardreferenzen auf TCL sollte gewährleisten, dass Sie die richtigen
Werte ordnungsgemäß eingeben.
Eine Regel, die eine Anforderung an einen Web-Server verhindert, die "Betreff" in der
HTTP-Anforderungsanfrage enthält, hat das folgende Format:
Rule {
Class Isapi
Id 4001
117
Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen
Regelstruktur
level 4
query { Include *subject* }
method { Include GET }
time { Include * }
Executable { Include * }
user_name { Include * }
directives isapi:request
}
Eine Erläuterung der verschiedenen Abschnitte und Werte finden Sie unter Benutzerdefinierte
Windows-Signaturen und Benutzerdefinierte Nicht-Windows-Signaturen.
Allgemeine Abschnitte
Zu den häufigsten allgemeinen Abschnitten einer Regel und deren Werten gehören die
nachfolgenden Elemente. Weitere Informationen zu den Abschnitten, die für den ausgewählten
Klassenabschnitt relevant sind, finden Sie im entsprechenden Klassenabschnitt unter den
benutzerdefinierten Windows- oder Nicht-Windows-Signaturen. Die Schlüsselwörter Include
und Exclude werden für alle Abschnitte mit Ausnahme von "tag", "Id", "level" und "directives"
verwendet. "Include" bedeutet, dass der Abschnitt für den angegebenen Wert gilt, und "Exclude"
bedeutet, dass der Abschnitt für alle Werte mit Ausnahme des angegebenen Werts gilt.
HINWEIS: Bei allen Abschnittsnamen auf allen Plattformen muss die Groß- und Kleinschreibung
beachtet werden. Bei Abschnittswerten muss die Groß- und Kleinschreibung nur auf
Nicht-Windows-Plattformen beachtet werden.
Abschnitt
Wert
Class
Abhängig vom Betriebssystem. Siehe Benutzerdefinierte Windows-Signaturen
Gibt die Klasse an, für die diese oder Benutzerdefinierte
Regel gilt.
Nicht-Windows-Signaturen.
tag
Name der Regel in
Anführungszeichen ("...").
Der Name der untergeordneten Regel.
Id
4000 - 5999
Die einmalige ID-Nummer der Signatur. Diese
Nummern sind für benutzerdefinierte Regeln
verfügbar.
level
0
Beschreibung
Der Schweregrad der Signatur:
1
0 = Deaktiviert
2
1 = Protokoll
3
2 = Niedrig
4
3 = Mittel
4 = Hoch
user_name
118
{Include/Exclude für
Benutzername oder
Systemkonto}
Die Benutzer, für die diese Regel gilt. Legen Sie
bestimmte oder alle Benutzer fest.
Anmerkungen für Windows:
•
Für lokale Benutzer: Verwenden Sie
<computername>/<lokaler benutzername>.
•
Für Domänenbenutzer: Verwenden Sie
<domänenname>/<domänenbenutzername>.
•
Für lokales System: Verwenden Sie
"Lokal/System".
Regelstruktur
Abschnitt
Wert
Beschreibung
•
Ausführbare Datei
{Include/Exclude für
Dateinamenpfad, Fingerprint,
Unterzeichner oder
Beschreibung}
Einige extern initiierte Aktionen nennen nicht
die ID des externen Benutzers, sondern
benutzen den lokalen Dienst und dessen
Benutzerkontext. Sie müssen beim
Entwickeln von Regeln eine entsprechende
Planung vornehmen. Wenn ein Prozess im
Kontext einer "Nullsitzung" vorkommt, sind
Benutzer und Domäne "anonym". Wenn eine
Regel für alle Benutzer gilt, verwenden Sie
*. Unter UNIX muss für diesen Abschnitt die
Groß- und Kleinschreibung beachtet werden.
Jede ausführbare Datei wird in den Klammern
mithilfe von "-path", "-hash", "-sdn", "-desc"
angegeben. Für jeden Abschnitt können mehrere
Klammern verwendet werden und innerhalb der
Klammern können eine oder mehrere Optionen
enthalten sein. Die Werte "-path"
(Dateipfadname), "-sdn" (Dateiunterzeichner)
und "-desc" (Dateibeschreibung) sind
Zeichenfolgen und müssen mit einer
TCL-Escape-Zeichenfolge angegeben werden,
wenn sie Leerzeichen enthalten, oder für TCL
vorbehaltene Zeichen aufweisen. Bei dem Wert
"-hash" (MD5-Hash) handelt es sich um eine
32-stellige Hexbin-Zeichenfolge.
Beispiel: Executable {Include -path "C:\\Program
Files\\McAfee\\VirusScan
Enterprise\\Mcshield.exe" -sdn
"CN=\"mcafee,inc.\", OU=iss, OU=digital id class
3 - microsoft software validation v2,
O=\"mcafee, inc.\", L=santa clara,
ST=california, C=us" -desc "On-Access Scanner
service"}
Wenn eine Regel für alle ausführbaren Dateien
gilt, verwenden Sie *. Unter UNIX muss für
diesen Abschnitt die Groß- und Kleinschreibung
beachtet werden.
directives
Operationstyp
Die Operationstypen sind klassenabhängig und
werden in den nachfolgenden Abschnitten für jede
Klasse aufgelistet.
HINWEIS: Sie können eine Signatur mit mehreren Regeln erstellen, indem Sie die Regeln
nacheinander hinzufügen. Beachten Sie, dass jede Regel in derselben Signatur denselben Wert
für die Abschnitte "id" und "level" haben muss.
Verwendung von "Include" und "Exclude"
Wenn Sie einen Abschnittswert als "Include" markieren, gilt der Abschnitt für den angegebenen
Wert. Wenn Sie einen Abschnittswert als "Exclude" markieren, gilt der Abschnitt für alle Werte
mit Ausnahme des angegebenen. Wenn Sie diese Schlüsselwörter verwenden, sind sie in
Klammern eingeschlossen { ... }.
HINWEIS: Bei der untergeordneten Standardregel verwenden Sie für Dateipfade einen einfachen
umgekehrten Schrägstrich; für die untergeordnete Exportregel müssen doppelte umgekehrte
Schrägstriche verwendet werden. Bei der untergeordneten Standardregel werden die einfachen
umgekehrten Schrägstriche in die erforderlichen doppelten umgekehrten Schrägstriche übersetzt.
Um z. B. alle Textdateien unter "C:\test\" zu überwachen:
119
Regelstruktur
files { Include C:\\test\\*.txt }
und um alle Dateien mit Ausnahme der Textdateien unter "C:\test\" zu überwachen:
files { Exclude C:\\test\\*.txt }
Kombinieren Sie die Schlüsselwörter, um Werte aus einem Satz von eingeschlossenen Werten
auszuschließen. Um alle Textdateien im Ordner "C:\test\" mit Ausnahme der Datei "abc.txt" zu
überwachen:
files { Exclude C:\\test\\abc.txt }
Bei jedem Hinzufügen desselben Abschnitts mit demselben Schlüsselwort fügen Sie eine Operation
hinzu. Um beliebige Textdateien im Ordner "C:\test\" zu überwachen, deren Name mit der
Zeichenfolge "abc" beginnt:
files { Include C:\\test\\abc* }
HINWEIS: In der Rangfolge hat "exclude" Vorrang gegenüber "include". Hier sind drei Beispiele:
• Wenn eine untergeordnete Regel einen bestimmten Benutzer marketing\jjohns einschließt
und denselben Benutzer marketing\jjohns ausschließt, wird die Signatur nicht ausgelöst,
selbst wenn der Benutzer marketing\jjohns eine Aktion ausführt, mit der die Signatur ausgelöst
wird.
• Wenn eine untergeordnete Regel alle Benutzer einschließt, den Benutzer marketing\jjohns
jedoch ausschließt, wird die Signatur ausgelöst, wenn der Benutzer NICHT marketing\jjohns
lautet.
• Wenn eine untergeordnete Regel einen Benutzer marketing\* einschließt, den Benutzer
marketing\jjohns jedoch ausschließt, wird die Signatur nur ausgelöst, wenn der Benutzer
marketing\anyone lautet; bei marketing\jjohns wird sie nicht ausgelöst.
Optionale allgemeine Abschnitte
Zu den optionalen Abschnitten einer Regel und deren Werten gehören die nachfolgenden
Elemente. Weitere Informationen zu den optionalen Abschnitten, die für den ausgewählten
Klassenabschnitt relevant sind, finden Sie im entsprechenden Klassenabschnitt unter den
benutzerdefinierten Windows- oder Nicht-Windows-Signaturen. Die Schlüsselwörter Include
und Exclude werden sowohl für Abhängigkeiten als auch für Attribute verwendet. "Include"
bedeutet, dass der Abschnitt für den angegebenen Wert gilt, und "Exclude" bedeutet, dass der
Abschnitt für alle Werte mit Ausnahme des angegebenen Werts gilt.
120
Abschnitt
Wert
Beschreibung
dependencies
{Include/Exclude "ID einer
Regel"}
Definiert Abhängigkeiten zwischen Regeln und
verhindert das Auslösen von abhängigen Regeln.
attributes
—no_log
Ereignisse der Signatur werden nicht an den
ePO-Server gesendet.
—not_auditable
Es werden keine Ausnahmen für die Signatur
erstellt, wenn der adaptive Modus angewendet
wird.
—no_trusted_apps
Die Liste der vertrauenswürdigen Anwendungen
gilt für diese Signatur nicht.
—inactive
Die Signatur ist deaktiviert.
Regelstruktur
Verwenden des Abschnitts "dependencies"
Fügen Sie den optionalen Abschnitt "dependencies" hinzu, um zu verhindern, dass eine
allgemeinere Regel zusammen mit einer spezifischeren Regel ausgelöst wird. Wenn es
beispielsweise nur eine zu überwachende Regel für eine einzelne Textdatei unter "C:\test\" gibt
files { Include C:\\test\\abc.txt }
sowie eine Regel zum Überwachen aller Textdateien unter "C:\test\"
Fügen Sie den Abschnitt "dependencies" der spezifischeren Regel hinzu. Dieser Abschnitt teilt
dem System im Wesentlichen mit, dass keine allgemeinere Regel ausgelöst wird, wenn die
spezifischere Regel ausgelöst wird.
files { Include C:\\test\\abc.txt }
dependencies "the general rule"
Platzhalter und Variablen
Platzhalter, Metasymbole und vordefinierte Variablen können als Wert in den verfügbaren
Abschnitten verwendet werden.
Platzhalter
Sie können Platzhalter für die Abschnittswerte verwenden. Beachten Sie die geringfügig andere
Verwendung von Sternchen für Pfade und Adressen, in denen normalerweise Schrägstriche
oder umgekehrte Schrägstriche enthalten sind. Für untergeordnete Expertenregeln für Signaturen
wird das TCL-Platzhalterschema verwendet.
Tabelle 21: Platzhalter
Zeichen
Bedeutung
? (Fragezeichen)
* (Sternchen)
HINWEIS: Bei Pfaden und Adressen müssen Sie "**"
(zwei Sternchen) verwenden, um "/" und "\"
einzuschließen bzw. "*" (ein Sternchen) verwenden, um
"/" und "\" auszuschließen.
| (Pipe-Zeichen)
Tabelle 22: TCL-Platzhalter
Zeichen
Bedeutung
? (Fragezeichen)
* (Sternchen)
Mehrere Zeichen, einschließlich "/" und "\". Beispiel: files
{ Include "C:\*.txt" " }
& (kaufmännisches "Und" [Ampersand])
Mehrere Zeichen mit Ausnahme von "/" und "\". Wird als
Entsprechung der Stammebene eines Ordners mit
Ausnahme der Unterordner verwendet. Beispiel: files {
Include "C:\test\\&.txt" }
! (Ausrufezeichen)
Platzhalter-Escape-Zeichen Beispiel: files { Include
"C:\test\\yahoo!.txt" }
121
Regelstruktur
Verwenden von Umgebungsvariablen
Verwenden Sie Umgebungsvariablen und den Befehl "iEnv" mit einem Parameter (dem
Variablennamen) in eckigen Klammern [ ... ] als schnelle Möglichkeit, um Windows-Datei- und
-Verzeichnispfadnamen einzugeben.
Umgebungsvariable
Bedeutung
iEnv SystemRoot
"C:\winnt\", wobei "C" das Laufwerk mit dem
Windows-Systemordner ist. Beispiel: files {Include [iEnv
SystemRoot]\\system32\\abc.txt }
iEnv SystemDrive
"C:\", wobei "C" das Laufwerk mit dem
Windows-Systemordner ist. Beispiel: files {Include [iEnv
SystemDrive]\\system32\\abc.txt}
Verwenden von vordefinierten Variablen
Host Intrusion Prevention enthält vordefinierte Variablen für das Schreiben von Regeln. Diesen
Variablen wird "$" vorangestellt; sie sind nachfolgend aufgeführt.
Tabelle 23: Windows IIS Web Server
Variable
Beschreibung
IIS_BinDir
Verzeichnis, in dem sich die Datei "inetinfo.exe" befindet
IIS_Computer
Name des Computers, auf dem IIS ausgeführt wird
IIS_Envelope
Beinhaltet alle Dateien, auf die IIS zugreifen kann
IIS_Exe_Dirs
Virtuelle Verzeichnisse, die die Ausführung der Dateien
zulassen, einschließlich des Systemstammverzeichnisses
und des IIS-Stammverzeichnisses
IIS_Ftp_Dir
Stammverzeichnisse der FTP-Site
IIS_FTP_USR
Kontoname des anonymen Benutzers des lokalen
FTP-Servers
IIS_FtpLogDir
FTP-Protokolldateienverzeichnis
IIS_IUSR
Kontoname des anonymen Benutzers des lokalen
Web-Servers
IIS_IUSRD
Kontoname des anonymen Benutzers des
Domänen-Web-Servers
IIS_IWAM
Kontoname des IIS Web Application Manager-Benutzers
IIS_LogFileDir
Web-Protokolldateienverzeichnis
IIS_LVirt_Root
Alle virtuellen IIS-Verzeichnisse
IIS_Processes
Prozesse mit Zugriffsrechten auf IIS-Ressourcen
IIS_Services
Alle Dienste, die erforderlich sind, damit IIS
ordnungsgemäß ausgeführt werden kann
Tabelle 24: MS SQL-Datenbankserver
122
Variable
Beschreibung
MSSQL_Allowed_Access_Paths
Verzeichnisse, wie "\WINNT" und "\WINNT\System32",
auf die zugegriffen werden kann
MSSQL_Allowed_Execution_Paths
Verzeichnisse, wie "\WINNT" und "\WINNT\System32",
die ausgeführt werden können
Regelstruktur
Variable
Beschreibung
MSSQL_Allowed_Modification_Paths
Verzeichnisse, wie "\WINNT\Temp", die bearbeitet werden
können
MSSQL_Auxiliary_Services
Die zusätzlichen im System vorhandenen MS SQL-Dienste
MSSQL_Core_Services
Die zentralen MS SQL-Dienste, die im System vorhanden
sind
MSSQL_Data_Paths
Alle anderen Datendateien, die mit MS SQL in Verbindung
stehen und sich außerhalb des Verzeichnisses
"MSSQL_DataRoot_Path" befinden
MSSQL_DataRoot_Paths
Der Pfad zu den jeweiligen MS SQL-Dateien für jede
Instanz
MSSQL_Instances
Der Name jeder installierten MS SQL-Instanz
MSSQL_Registry_Paths
Alle Registrierungsverzeichnisse, die mit MS SQL verknüpft
sind
Tabelle 25: Unix Apache und iPlanet
Variable
Beschreibung
UAPACHE_Bins
Pfad zu den Apache-Binärdateien
UAPACHE_CgiRoots
Pfad zu den CGI-Stammverzeichnissen
UAPACHE_ConfDirs
Verzeichnisse, die die Apache-Konfigurationsdateien
enthalten
UAPACHE_DocRoots
Pfad zu den Dokumentstammverzeichnissen
UAPACHE_Logs
Apache-Protokolldateien
UAPACHE_Logs_dir
Protokolldateiverzeichnis
UAPACHE_Roots
Apache-Web-Stamm-Dateien
UAPACHE_Users
Benutzer, die Apache ausführen als
UAPACHE_VcgiRoots
Pfad zu den CGI-Stammverzeichnissen von virtuellen
Servern
UAPACHE_VdocRoots
Virtuelle Dokumentstammverzeichnisse
UAPACHE_Vlogs
Protokolldateien der virtuellen Server
UAPACHE_Vlogs_dir
Verzeichnisse für die Protokolldateien der virtuellen Server
UIPLANET_BinDirs
Pfad zu den iPlanet-Binärdateien
UIPLANET_CgiDirs
Pfad zu den CGI-Verzeichnissen
UIPLANET_DocDirs
Pfad zu den Dokumentverzeichnissen
UIPLANET_Process
Pfad zur iPlanet ns-httpd-Binärdatei
UIPLANET_Roots
Pfad zu den iPlanet-Stammverzeichnissen
123
In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Signaturen für die
Windows-Plattform erstellen.
HINWEIS: Regeln in den Windows-Class-Dateien verwenden doppelte umgekehrte Schrägstriche
für Pfade, Regeln in der Nicht-Windows-Klasse "UNIX_file" verwenden einen einzelnen
Schrägstrich.
Die von der Signatur verwendete Klasse hängt von der Art des Sicherheitsproblems ab und vom
Schutz, den die Signatur bieten kann. Einige Klassen und Parameter werden in der
Benutzeroberfläche der benutzerdefinierten Signatur angezeigt, andere hingegen nicht. Auf
Klassen und Parameter ohne Benutzeroberfläche kann nur mithilfe des Expertenverfahrens zur
Regelerstellung zugegriffen werden. Für Windows sind die folgenden Klassen verfügbar:
Klasse
Verwendung
Buffer Overflow
Zum Schutz vor Buffer Overflow
Files
Zum Schutz für Datei- oder Verzeichnisoperationen
Hook
Zum Schutz für API-Prozess-Hooks
Illegal API Use
Zum Schutz vor einer unbefugten Benutzung der Host
IPS-API
Illegal Use
Zum Schutz vor einer unbefugten Benutzung der API
Isapi
Für die Überwachung von HTTP-Anforderungen an IIS
Program
Zum Schutz für Programmvorgänge
Registry
Zum Schutz von Registrierungsschlüssel und
Registrierungsschlüsselvorgängen
Services
Zum Schutz für Dienstvorgänge
SQL
Zum Schutz für SQL-Operationen
Windows-Klasse "Buffer Overflow"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Buffer
Overflow" aufgeführt:
Abschnitt
Werte
Class
Buffer_Overflow
Id
Siehe Allgemeine Abschnitte.
Hinweise
level
time
user_name
Executable
124
dependencies
428
caller module
Pfad zu einem Modul (d. h. zu
einer DLL), das von einer
ausführbaren Datei geladen wird,
die einen Aufruf vornimmt, der
zu einem Buffer Overflow führt.
Optional. Siehe Hinweis 1.
Abschnitt
Werte
Hinweise
directives
bo:stack
Ermittelt die Speicherposition, an der die
Ausführung erfolgt, und ermittelt, ob diese auf
einem beschreibbaren Speicher ausgeführt wird,
der Teil des aktuellen Thread-Stapels ist.
bo:heap
der Teil eines Heaps ist.
bo:writeable_memory
der nicht Teil des aktuellen Thread-Stapels oder
eines Heaps ist.
bo:invalid_call
Überprüft, dass eine API über eine gültige
Aufrufanweisung aufgerufen wird.
bo:target_bytes
Eine Hexadezimalzeichenfolge mit 32 Bytes
Anweisungen, mit denen eine Zielausnahme für
einen falsch positiven Wert erstellt werden kann,
ohne dass der Buffer Overflow für den gesamten
Prozess deaktiviert werden muss.
bo:call_not_found
Überprüft, dass die Codefolge vor der
Adressrückgabe kein Aufruf ist.
bo:call_return_unreadable
Überprüft, dass Rückgabeadresse kein lesbarer
Speicher ist.
bo:call_different_target_address Überprüft, dass Aufrufziel und Hook-Ziel nicht
identisch sind.
bo:call_return_to_api
Überprüft, ob die Rückgabeadresse ein
API-Einstiegspunkt ist.
Hinweis 1
Signatur 428, Allgemeiner Buffer Overflow, ist eine generische Buffer Overflow-Regel. Um zu
vermeiden, dass diese Regel ausgelöst wird, müssen Sie den Abschnitt "dependencies 428" in
die benutzerdefinierte Signatur einbinden.
Windows-Klasse "Files"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Files"
aufgeführt:
Abschnitt
Werte
Class
Files
Id
Hinweise
level
time
user_name
Executable (Verwenden Sie
diesen Parameter für die
Unterscheidung zwischen
125
Abschnitt
Werte
Hinweise
Remote- und lokalem
Dateizugriff. Siehe Hinweis 3).
files
An der Operation beteiligte Datei Einer der erforderlichen Parameter. Siehe Hinweise
oder Ordner
1 und 2.
dest_file
Zieldateien, wenn an der
Operation Ursprungs- und
Zieldateien beteiligt sind.
Einer der erforderlichen Parameter. Wird nur mit
"files:rename" und "files:hardlink" verwendet.
Siehe Hinweise 1 und 2.
drive_type
•
Network –
Netzwerkdateizugriff
•
Floppy –
Diskettenlaufwerkzugriff
Ermöglicht die Erstellung von spezifischen für die
jeweiligen Laufwerktypen geeigneten
Dateiklassenregeln.
•
CD – CD- oder DVD-Zugriff
•
OtherRemovable – Zugriff
über USB- oder anderes
Wechsellaufwerk
•
OtherFixed – Zugriff über
lokales oder anderes festes
Festplattenlaufwerk
directives
files:create
Erstellt eine Datei in einem Verzeichnis oder
verschiebt die Datei in ein anderes Verzeichnis.
files:read
Öffnet eine Datei mit schreibgeschütztem Zugriff.
files:write
Öffnet eine Datei mit Lese- und Schreibzugriff.
files:execute
Führt die Datei aus (Ausführen eines
Verzeichnisses bedeutet, dass dieses Verzeichnis
zum aktuellen Verzeichnis wird).
files:delete
Löscht die Datei aus einem Verzeichnis oder
verschiebt sie in ein anderes Verzeichnis.
files:rename
Benennt eine Datei im selben Verzeichnis um.
Siehe Hinweis 2.
files:attribute
Ändert die Dateiattribute. Zu den überwachten
Attributen zählen:
files:hardlink
•
read-only
•
hidden
•
archive
•
system
Erstellt einen festen Link.
Hinweis 1
Wenn der Abschnitt "files" verwendet wird, kann der Pfad zu einem überwachten Ordner
entweder ein vollständiger Pfad oder ein Platzhalter sein. Bei den folgenden Beispielen handelt
es sich um gültige Pfaddarstellungen:
files { Include "C:\\test\\abc.txt" }
files { Include "*\\test\\abc.txt" }
files { Include "*\\abc.txt" }
126
Wenn der Abschnitt dest_files verwendet wird, kann der absolute Pfad nicht verwendet werden
und ein Platzhalter muss am Beginn des Pfades vorhanden sein, um das Laufwerk darzustellen.
Bei den folgenden Beispielen handelt es sich um gültige Pfaddarstellungen:
dest_file { Include "*\\test\\abc.txt" }
dest_file { Include "*\\abc.txt" }
Hinweis 2
Die Richtlinie files:rename hat eine andere Bedeutung, wenn sie mit Abschnitt "files" und
Abschnitt "dest_file" kombiniert wird.
In Kombination mit dem Abschnitt "files" bedeutet sie, dass die Umbenennung der Datei im
Abschnitt "files" überwacht wird. Die folgende Regel überwacht z. B. das Umbenennen der
Datei "C:\test\abc.txt" auf einen anderen Namen:
Rule {
tag "Sample1"
Class Files
Id 4001
level 4
Executable { Include "*" }
user_name { Include "*" }
directives files:rename
}
In Kombination mit dem Abschnitt "dest_file" bedeutet sie, dass keine Datei in die Datei im
Abschnitt "dest_file" umbenannt werden kann. Die folgende Regel überwacht z. B. das
Umbenennen einer beliebigen Datei in "C:\test\abc.txt":
Rule {
tag "Sample2"
Class Files
Id 4001
level 4
dest_file { Include "*\\test\\abc.txt" }
directives files:rename
}
Der Abschnitt "files" ist nicht obligatorisch, wenn der Abschnitt "dest_file" verwendet wird. Wenn
der Abschnitt "files" verwendet wird, müssen die beiden Abschnitte "files" und "dest_file"
übereinstimmen.
Hinweis 3
Für die Unterscheidung zwischen Remote- und lokalem Dateizugriff für die einzelnen Richtlinien
müssen Sie den Dateinamen für die ausführbare Datei auf "SystemRemoteClient" festlegen:
Executable { Include -path "SystemRemoteClient" }
127
Damit wird die Ausführung der Richtlinie verhindert, wenn die ausführbare Datei nicht lokal
vorliegt.
Erweiterte Details
Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" von
Sicherheitsereignissen für die Klasse "Files" angezeigt. Die Werte dieser Parameter können
verdeutlichen, weshalb eine Signatur ausgelöst wird.
GUI-Name
Erklärung
files
Name der Datei, auf die ein Zugriff erfolgte.
dest_file
Gilt nur beim Umbenennen von Dateien. Neuer Name, auf
den die Datei geändert wurde.
Die folgende Regel würde verhindern, dass ein Benutzer oder ein Prozess die Datei abc.txt im
Ordner "C:\test\" erstellt.
Rule {
tag "Sample3"
Class Files
Id 4001
level 4
directives files:create
}
Die verschiedenen Abschnitte dieser Regel haben die folgende Bedeutung:
• Class Files: Gibt an, dass diese Regel für die Dateioperationsklasse gilt.
• id 4001: Weist die ID 4001 dieser Regel zu. Wenn für eine benutzerdefinierte Signatur
mehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden.
• level 4: Weist der Regel die Sicherheitsebene "Hoch" zu. Wenn für eine benutzerdefinierte
Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden.
• files { Include "C:\\test\\abc.txt" }: Gibt an, dass diese Regel die bestimmte Datei und den
Pfad "C:\test\abc.txt" abdeckt. Wenn eine Regel mehrere Dateien abdecken soll, müssten
sie in diesem Abschnitt in anderen Zeilen hinzugefügt werden. Beispiel: Zum Überwachen
der Dateien "C:\test\abc.txt" und "C:\test\xyz.txt" ändert sich der Abschnitt in: files { Include
"C:\\test\\abc.txt" "C:\\test\\xyz.txt" }.
• Executable { Include "*" } Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die
Regel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigen
Pfadnamen ausgedrückt werden.
• user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauer
gesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regel
auf bestimmte Benutzerkontexte beschränken möchten, müssen diese hier in der Form
"Lokal/Benutzer" oder "Domäne/Benutzer" ausgedrückt werden. Informationen siehe
Allgemeine Abschnitte.
• directives files:create Gibt an, dass diese Regel die Erstellung einer Datei abdeckt.
128
Windows-Klasse "Hook"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Hook"
aufgeführt:
Abschnitt
Werte
Class
Hook
Id
Hinweise
level
time
user_name
Executable
handler module
Pfadname der ausführbaren
Datei, die von einer anderen
ausführbaren Datei eingeklinkt
wird.
Ein erforderlicher Parameter.
directives
hook:set_windows_hook
Um die Einschleusung einer DLL in eine
ausführbare Datei bei der Verwendung von
"hook:set_windows_hook" zu verhindern, müssen
Sie die ausführbare Datei in die
Anwendungsschutzliste einbinden.
Windows-Klasse "Illegal Host IPS API Use"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Illegal
API Use" aufgeführt:
Abschnitt
Werte
Class
Illegal_API_Use
Id
Hinweise
level
time
user_name
Executable
vulnerability_name
Name der Schwachstelle.
detailed_event_info
Eine oder mehrere CLSIDs.
directives
illegal_api_use:bad_parameter
Dies ist eine 128-Bit-Zahl, die eine eindeutige ID
einer Softwarekomponente darstellt.
Normalerweise wie folgt angezeigt:
"{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}"
illegal_api_use:invalid_call
Verwenden Sie diese Klasse, um eine benutzerdefinierte Killbit-Signatur zu erstellen. Das Killbit
ist ein Sicherheits-Feature in Web-Browser und anderen Anwendungen, die ActiveX verwenden.
Mit dem Killbit wird die Objektklassenkennung (CLSID) für ActiveX-Software-Steuerelemente
angegeben, die als Sicherheitslücken/Schwachstellen ermittelt werden. Anwendungen, die
129
ActiveX verwenden, laden keine angegebene ActiveX-Software mit einem entsprechend
vorhandenen Killbit.
Der Hauptzweck eines Killbits besteht darin, Sicherheitslücken zu schließen. Killbit-Updates für
Microsoft Windows-Betriebssysteme werden normalerweise über Windows-Sicherheitsupdates
bereitgestellt.
Im Folgenden sehen Sie ein Beispiel für eine Signatur:
Rule {
tag "Sample4"
Class Illegal_API_Use
Id 4001
level 4
vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"}
detailed_event_info { Include
"0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"}
directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call
attributes -not_auditable
}
Windows-Klasse "Illegal Use"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Illegal
Use" aufgeführt:
Abschnitt
Werte
Class
Illegal_Use
Id
Hinweise
level
time
user_name
Executable
name
Einer von drei möglichen
Werten: LsarLookupNames,
LsarLookupSids oder
ADMCOMConnect
directives
illegal:api
Windows-Klasse "Isapi" (HTTP)
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Isapi"
mit IIS aufgeführt:
130
Abschnitt
Werte
Class
Isapi
Id
Hinweise
level
time
user_name
Executable
url
Einer der erforderlichen Parameter. Wird mit dem
URL-Teil einer eingehenden Anforderung
verglichen. Siehe Hinweise 1–4.
query
Einer der erforderlichen Parameter. Vergleicht mit
dem Abfrageteil einer eingehenden Anforderung.
Siehe Hinweise 1–4.
method
GET, POST, INDEX bzw. jegliche Einer der erforderlichen Parameter. Siehe Hinweis
andere zulässige HTTP-Methode. 4.
directives
isapi:request
Für alle drei Typen eingehender
HTTP-Anforderungen.
isapi:requrl
Für URL-Anforderungen.
isapi:reqquery
Für Abfrageanforderungen.
isapi:rawdata
Für Rohdatenanforderungen.
isapi:response
Für Anforderungsantworten.
Hinweis 1
Eine eingehende HTTP-Anforderung kann dargestellt werden als: http://www.eigenerserver.de/
{url}?{query}. In diesem Dokument gilt {url} als der "URL"-Teil der HTTP-Anforderung und
{query} als der "Query"-Teil der HTTP-Anforderung. Mit dieser Namenskonvention kann definiert
werden, dass der Abschnitt "URL" abgeglichen wird mit {url} und der Abschnitt "query"
abgeglichen wird mit {query}. Beispielsweise würde die folgende Regel ausgelöst, wenn die
HTTP-Anforderung "http://
www.eigenerserver.de/search/abc.exe?subject=wildlife&environment=ocean" durch IIS
empfangen würde:
Rule {
tag "Sample6"
Class Isapi
Id 4001
level 1
url { Include "*abc*" }
}
Diese Regel wird ausgelöst, weil {url} = /search/abc.exe ist, was dem Wert des Abschnitts "url"
entspricht (d. h. abc).
131
Hinweis 2
Bevor der Abgleich durchgeführt wird, werden die Abschnitte "url" und "query" dekodiert und
normalisiert, sodass Anforderungen nicht mit Kodierungs- oder Escape-Folgen gefüllt werden
können.
Hinweis 3
Eine Beschränkung für die maximale Länge kann für die Abschnitte "url" und "query" festgelegt
werden. Durch Hinzufügen von ";number-of-chars" zum Wert dieser Abschnitte kann diese
Regel nur abgeglichen werden, wenn {url} oder {query} aus mehr Zeichen besteht als
"number-of-chars". Beispielsweise entspricht "abc*;500" Zeichenfolgen mit "abc", die mind.
500 Zeichen umfassen; "*abc;xyz*;" entspricht einer beliebigen Zeichenfolge "mit abc;xyz",
unabhängig von ihrer Länge.
Hinweis 4
Eine Regel muss mindestens eine der optionalen Abschnitte "url", "query" und "method"
enthalten.
Erweiterte Details
Sicherheitsereignissen für die Klasse "Isapi" angezeigt. Die Werte dieser Parameter können
132
GUI-Name
Erklärung
url
Dekodierter und normalisierter Adressteil einer
eingehenden HTTP-Anforderung (der Teil vor dem "?").
query
Dekodierter und normalisierter Anforderungsteil einer
eingehenden HTTP-Anfrage (der Teil nach dem ersten
"?").
web server type
Typ und Version der verwendeten Web-Server-Anwendung.
method
Methode einer eingehenden HTTP-Anforderung (wie "Get",
"Put", "Post" und "Query").
local file
Physischer Name der Datei, für die ein Abruf durch die
Anforderung durchgeführt oder versucht wird. Unter IIS
dekodiert und normalisiert.
raw url
"Raw" (weder dekodierte noch normalisierte)
Anforderungszeile der eingehenden HTTP-Anforderung.
Anforderungszeile ist "<Methode> <Adresse[?query]>
<HTTP-Version> CRLF".
user
Benutzername des Client, der die Anforderung durchführt;
nur verfügbar, wenn die Anforderung authentifiziert ist.
source
Client-Name oder IP-Adresse des Computers, von dem die
HTTP-Anforderung stammt. Die Adresse enthält drei Teile:
Host-Name: Adresse: Portnummer.
Server
Daten über den Web-Server, auf dem das Ereignis erstellt
wird (das Gerät, auf dem der Client installiert ist) in der
Form "<Hostname>:<IP-Adresse>:<Port>". Der Hostname
ist die Host-Variable aus der HTTP-Kopfzeile. Er bleibt leer,
wenn er nicht verfügbar ist.
content len
Anzahl der Bytes im Fließtext des Mitteilungsabschnitts
der Anforderung.
Die folgende Regel würde eine Anforderung an den Web-Server verhindern, die "subject"
(Betreff) im Abfrageteil der HTTP-Anforderung enthält:
Rule {
tag "Sample7"
Class Isapi
Id 4001
level 1
query { Include "*subject*" }
method { Include "GET" }
}
Beispielsweise würde die GET-Anforderung "http://www.eigenerserver.de/test/
abc.exe?subject=wildlife&environment=ocean" durch diese Regel verhindert.
• Class Isapi: Gibt an, dass diese Regel für die Isapi-Operationsklasse gilt.
• Id 4001: Weist dieser Regel die ID 4001 zu. Wenn für eine benutzerdefinierte Signatur
• query { Include "*subject*" }: Gibt an, dass die Regel mit einer beliebigen (GET)-Anforderung
übereinstimmt, die die Zeichenfolge "subject" im Abfrageteil der HTTP-Anforderung enthält.
Wenn die Regel mehrere Anforderungsteildateien abdecken soll, müssen Sie diese in diesem
Abschnitt in anderen Zeilen hinzufügen.
• method { Include "GET" }: Gibt an, dass die Regel nur GET-Anforderungen abgleichen kann.
• Executable { Include "*" } Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die
• directives isapi:request: Gibt an, dass diese Regel eine HTTP-Anforderung abdeckt.
Windows-Klasse "Program"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Program"
aufgeführt:
Abschnitt
Werte
Class
Program
Id
Hinweise
133
Abschnitt
Werte
Hinweise
filename
Name des Prozesses in der
Operation.
Einer der erforderlichen Parameter.
path
Pfadname des Prozesses.
Einer der erforderlichen Parameter.
directives
program:run
Auswählen, um die Ausführung einer ausführbaren
Zieldatei zu verhindern. (Ausführen der
ausführbaren Zieldatei in der Benutzeroberfläche)
program:open_with_any
Die Richtlinien "program:open_with_x" behandeln
die Prozesszugriffsrechte, die mit "OpenProcess()"
erstellt wurden. Auswählen, um die
prozessspezifischen Zugriffsrechte zu verhindern:
level
time
user_name
Executable
•
PROCESS_TERMINATE – Zum Beenden eines
Prozesses erforderlich.
•
PROCESS_CREATE_THREAD – Zum Erstellen
eines Threads erforderlich.
•
PROCESS_VM_WRITE – Zum Schreiben in den
Speicher erforderlich.
•
PROCESS_DUP_HANDLE – Zum Duplizieren
eines Handles erforderlich.
•
PROCESS_SET_INFORMATION – Zum
Festlegen bestimmter Informationen zu einem
Prozess (z. B. der Prioritätsklasse)
erforderlich.
•
PROCESS_SUSPEND_RESUME – Zum
Aussetzen oder Fortsetzen eines Prozesses
erforderlich.
•
•
SYNCHRONIZE – Zum Warten auf das
Beenden eines Prozesses erforderlich.
(Mit sämtlichen Berechtigungen aufrufen, in der
Benutzeroberfläche)
program:open_with_create_thread Auswählen, um das prozessspezifische
Zugriffsrecht zu verhindern:
•
(Mit Berechtigung zum Erstellen eines Threads
aufrufen, in der Benutzeroberfläche)
program:open_with_modify
134
Auswählen, um die prozessspezifischen
Zugriffsrechte zu verhindern:
•
•
•
PROCESS_VM_WRITE – Zum Schreiben in den
Speicher erforderlich.
Abschnitt
Werte
Hinweise
•
PROCESS_DUP_HANDLE – Zum Duplizieren
eines Handles erforderlich.
•
PROCESS_SET_INFORMATION – Zum
Festlegen bestimmter Informationen zu einem
Prozess (z. B. der Prioritätsklasse)
erforderlich.
•
erforderlich.
(Mit Berechtigung zum Ändern aufrufen, in der
program:open_with_terminate
Auswählen, um die prozessspezifischen
Zugriffsrechte zu verhindern:
•
erforderlich.
•
(Mit Berechtigung zum Beenden aufrufen, in der
program:open_with_wait
Auswählen, um das prozessspezifische
Zugriffsrecht zu verhindern:
•
SYNCHRONIZE – Zum Warten auf das
Beenden eines Prozesses erforderlich.
(Mit Berechtigung zum Warten aufrufen, in der
HINWEIS: Unter Microsoft Vista und jüngeren
Plattformen nicht erhältlich.
Windows-Klasse "Registry"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Registry"
aufgeführt:
Abschnitt
Werte
Class
Registry
Id
Hinweise
level
time
user_name
Executable
keys
Registrierungsschlüsseloperation. Einer der erforderlichen Parameter. Verwendung
mit Schlüsseloperationen (create, delete, rename,
enumerate, monitor, restore, read, replace, load)
Siehe Hinweis 1.
dest_keys
Registrierungsschlüsseloperation. Optional. Nur für "registry:rename" bei der
Umbenennung eines Schlüssels. Der Zielwert ist
der Name des Schlüssels.
135
Abschnitt
Werte
Hinweise
values
Registrierungsschlüsselwert-Operation. Einer der erforderlichen Parameter. Verwendung
mit Registrierungsschlüsseloperationen (delete,
read, modify, create).
new_data
Registrierungsschlüsselwert-Operation. Optional. Nur für "registry:modify" oder
Neue Daten des Werts.
"registry:create". Siehe Hinweis 2.
directives
registry:delete
Löscht einen Registrierungsschlüssel oder -wert.
registry:modify
Ändert den Inhalt eines Registrierungswerts oder
die Daten eines Registrierungsschlüssels.
registry:create
Ermöglicht die Erstellung eines
Registrierungsschlüssels.
registry:permissions
Ändert die Berechtigungen eines
registry:read
Ruft Registrierungsschlüsseldaten (Nummer von
Unterschlüsseln usw.) oder den Inhalt eines
Registrierungswerts ab.
registry:enumerate
Listet einen Registrierungsschlüssel auf, d. h.
erhält eine Liste aller Unterschlüssel und Werte
eines Schlüssels.
registry:monitor
Stellt eine Anfrage für die Überwachung eines
registry:restore
Stellt einen Eintrag aus einer Datei wieder her,
entspricht der
"regedit32"-Wiederherstellungsfunktion.
registry:replace
Stellt eine Registrierungseinstellung wieder her
(erst nach Neustart).
registry:load
Lädt Registrierungsschlüssel oder -werte aus einer
Datei.
registry:open_existing_key
Öffnet einen vorhandenen Registrierungsschlüssel.
registry:rename
Benennt einen Registrierungsschlüssel um.
Hinweis 1
"HKEY_LOCAL_MACHINE" in einem Registrierungspfad wird durch "REGISTRY\MACHINE\"
ersetzt und "CurrentControlSet" wird durch "ControlSet" ersetzt. Beispiel: Der Registrierungswert
"abc" unter dem Registrierungsschlüssel
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" wird als
"\REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" dargestellt.
Hinweis 2
Die Daten des Abschnitts "new data" müssen einen Hexadezimalwert darstellen. Beispiel: Die
Datendefinition des Registrierungswertes
"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc" muss als "old_data {
Include "%64%65%66"}" dargestellt werden.
136
Erweiterte Details
Sicherheitsereignissen für die Klasse "Registry" angezeigt. Die Werte dieser Parameter können
GUI-Name
Erklärung
Registry Key
Name des betroffenen Registrierungsschlüssels, einschließlich des Pfadnamens. Beachten
Sie Folgendes:
Registry Values
Für diesen Schlüssel
Folgende Syntax verwenden
HKEY_LOCAL_MACHINE\
\REGISTRY\MACHINE\
HKEY_CURRENT_USER\
\REGISTRY\CURRENT_USER\
HKEY_CLASSES_ROOT\
\REGISTRY\MACHINE\SOFTWARE\CLASSES\
HKEY_CURRENT_CONFIG\
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE
PROFILES\0001\
HKEY_USERS\
\REGISTRY\USER\
Name des Registrierungswerts, verkettet mit dem vollständigen Schlüsselnamen. Beachten
Sie Folgendes:
Für Werte in diesem
Schlüssel
Folgende Syntax verwenden
HKEY_LOCAL_MACHINE\Test
\REGISTRY\MACHINE\Test\*
HKEY_CURRENT_USER\Test
\REGISTRY\CURRENT_USER\Test\*
HKEY_CLASSES_ROOT\Test
\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*
HKEY_CURRENT_CONFIG\Test
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE
PROFILES\0001\Test\*
HKEY_USERS\Test
\REGISTRY\USER\Test\*
old data
Gilt nur für Änderungen des Registrierungswerts: Daten, die ein Registrierungswert enthielt,
bevor er geändert oder ein Änderungsversuch durchgeführt wurde.
new data
Gilt nur für Änderungen des Registrierungswerts: Daten, die ein Registrierungswert enthält,
nachdem er geändert wurde, oder die er enthalten würde, wenn die Änderungen akzeptiert
werden.
old data type
Gilt nur für Änderungen des Registrierungswerts: Datentyp, den ein Registrierungswert
enthält, bevor er geändert oder ein Änderungsversuch durchgeführt wird.
new data type
Gilt nur für Änderungen des Registrierungswerts: Datentyp, den ein Registrierungswert nach
einer Änderung enthalten würde oder den er enthalten würde, wenn die Änderung akzeptiert
würde.
Die folgende Regel würde verhindern, dass ein Benutzer oder ein Prozess den Registrierungswert
"abc" unter dem Registrierungsschlüssel
"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" löscht.
Rule {
tag "Sample8"
Class Registry
Id 4001
137
level 4
values { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }
application { Include "*"}
directives registry:delete
}
• Class Registry: Gibt an, dass diese Regel für Anforderungen gilt, die an IIS gesendet werden.
• values { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }: Gibt
an, dass die Regel den Registrierungswert "abc" unter dem Registrierungsschlüssel
"\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" überwacht. Wenn die
Regel mehrere Werte abdeckt, fügen Sie diese in diesem Abschnitt in verschiedenen Zeilen
hinzu.
• application { Include "*"}: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die
• directives registry:delete: Gibt an, dass diese Regel das Löschen eines Registrierungsschlüssels
oder Werts abdeckt.
Windows-Klasse "Services"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Services"
aufgeführt:
Abschnitt
Werte
Class
Registry
Id
Hinweise
level
time
user_name
Executable
services
138
Name des Dienstes, der das
Einer der erforderlichen Parameter. Der Name
Subjekt der Operation ist, die die eines Dienstes, der in der Registrierung unter
Instanz erstellt.
"HKLM\SYSTEM\CurrentControlSet\Services\"
gefunden wurde. Siehe Hinweis 1.
Abschnitt
Werte
Hinweise
display_names
Angezeigter Name des Dienstes. Einer der erforderlichen Parameter. Dieser Name
wird im Dienste-Manager angezeigt. Siehe Hinweis
1.
directives
services:delete
Löscht einen Dienst.
services:create
Erstellt einen Dienst.
services:start
Startet einen Dienst.
services:stop
Beendet einen Dienst.
services:pause
Hält einen Dienst an.
services:continue
Setzt einen Dienst nach dem Anhalten fort.
services:startup
Ändert den Startmodus für einen Dienst.
services:profile_enable
Aktiviert ein Hardware-Profil.
services:profile_disable
Deaktiviert ein Hardware-Profil.
services:logon
Ändert die Anmeldedaten eines Dienstes.
Hinweis 1
Der Abschnitt "service" muss den Namen des Dienstes des entsprechenden
Registrierungsschlüssels unter "HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"
enthalten.
Der Abschnitt "display_names" muss den Anzeigenamen des Dienstes enthalten, d. h. den im
Dienste-Manager angezeigten Namen, der sich im folgenden Registrierungswert befindet:
"HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Dienstname>\".
Erweiterte Details
Sicherheitsereignissen für die Klasse "Services" angezeigt. Die Werte dieser Parameter können
GUI-Name
Erklärung
Mögliche Werte
display names
Name des Windows-Dienstes,
der im Dienste-Manager
angezeigt wird.
services
Systemname des
Windows-Dienstes in
"HKLM\CurrentControlSet\Services\".
Dieser kann sich von dem im
Dienste-Manager angezeigten
Namen unterscheiden.
params
Gilt nur für das Starten eines
Dienstes: An den Dienst bei
Aktivierung übergebene
Parameter.
old startup
Gilt nur für das Erstellen oder
Starten, System, Automatisch, Manuell, Deaktiviert
Ändern des Startmodus eines
Dienstes: Gibt den Startmodus
an, bevor er geändert bzw. ein
Änderungsversuch unternommen
wurde.
139
GUI-Name
Erklärung
Mögliche Werte
new startup
Gilt nur für das Ändern des
Starten, System, Automatisch, Manuell, Deaktiviert
Startmodus eines Dienstes: Gibt
den Startmodus an, der für einen
Dienst nach seiner Änderung gilt
bzw. den er hätte, wenn die
Änderung akzeptiert wird.
logon
Gilt nur für Änderungen des
Anmeldemodus eines Dienstes:
Anmeldedaten (System oder
Benutzerkonto), die durch den
Dienst verwendet werden.
Die folgende Regel würde die Deaktivierung des Warndienstes verhindern.
Rule {
tag "Sample9"
Class Services
Id 4001
level 4
Service { Include "Alerter" }
directives service:stop
}
• Class Services: Gibt an, dass diese Regel für die Dateioperationsklasse gilt.
• Service { Include "Alerter" }: Gibt an, dass diese Regel den Dienst mit dem Namen "Alerter"
abdeckt. Wenn die Regel mehrere Dienste abdeckt, fügen Sie diese in diesem Abschnitt in
verschiedenen Zeilen hinzu.
• application { Include "*"}: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die
• directives service:stop: Gibt an, dass diese Regel die Deaktivierung eines Dienstes abdeckt.
Windows-Klasse "SQL"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "SQL"
aufgeführt:
140
Abschnitt
Werte
Class
MSSQL
Id
Hinweise
level
time
user_name
Executable
authentication_mode
Boolescher Wert, der angibt, ob
eine Windows-Authentifizierung
(Wert = 1) oder eine
SQL-Authentifizierung (Wert =
0) verwendet wird.
client_agent
Name des Dienstprogramms, das Beispiel: OSQL-32, Internetinformationsdienste
die Anforderung auf dem
Client-System sendet.
db_user_name
Name des Benutzers, wenn eine Beispiel: sa
SQL-Authentifizierung verwendet
wird, und "Vertrauenswürdiger
Benutzer", wenn eine
Windows-Authentifizierung
verwendet wird.
sp_name
Name des gespeicherten
Vorgangs
sp_param_char_len_one...
Enthält die Länge des
Parameters als Anzahl an
Zeichen.
sp_param_one...
Enthält den Wert des
Parameters.
sp_param_orign_len-one...
Enthält die Länge des
Parameters als Anzahl von Byte.
sql_line_comment
Dieser Wert ist auf "1"
festgelegt, wenn die Abfrage
einen Zeilenkommentar "-" mit
einem einzelnen
Anführungszeichen enthält.
sql_original_query
Enthält die vollständige
SQL-Abfrage, wie sie empfangen
wurde (einschließlich
Zeichenfolgen und Leerzeichen).
sql_query
Die SQL-Abfragezeichenfolge,
aus der Zeichenfolgenwerte,
Leerzeichen und alle Inhalte
nach den Kommentaren entfernt
wurden.
sql_user_password
Dies ist auf "1" festgelegt, wenn Für Nicht-SQL-Benutzer ist dieser Wert immer auf
das Kennwort "NULL" lautet,
"0" festgelegt.
ansonsten ist der Wert 0.
Dieser sollte dem Namen der gespeicherten
Prozedur entsprechen. Eine gespeicherte Prozedur
wird anhand einer bereitgestellten Liste der
Prozedurennamen ermittelt, die in jeder
SQL-Agenten-Version enthalten ist (aktuell ist dies
"SPList.txt" im Agenten-Verzeichnis).
141
Abschnitt
Werte
Hinweise
transport
Unter MSSQL 2005/2008 ist
dieser Wert hartkodiert als:
Freigegebener Speicher (LPC).
directives
sql:request.
Für eingehende SQL-Anforderungen.
Klassen und Richtlinien für die einzelnen Windows-Plattformen
Eine Liste der gültigen Klassen und Richtlinien für die einzelnen Windows-Plattformen:
• Windows XP, SP2, SP3, 32 und 64 Bit (XP)
• Windows 2003, R2, R2 SP2, 32 und 64 Bit (2K3)
• Windows Vista (32 und 64 Bit) (V)
• Windows 2008 R2 (32 und 64 Bit) (2K8)
• Windows 7 (32 und 64 Bit) (7)
Klasse "Buffer Overflow"
Richtlinien
32-Bit-Prozesse unter
32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem
(x32)
(x64)
(x64)
bo:
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
stack
x
x
x
x
x
x
x
x
x
x
heap
x
x
x
x
x
x
x
x
x
x
writeable_memory
x
x
x
x
x
x
x
x
x
x
invalid_call
x
x
x
x
x
x
x
x
x
x
target_bytes
x
x
x
x
x
x
x
x
x
x
call_not_found
x
x
x
x
x
x
x
x
x
x
call_return_unreadable
x
x
x
x
x
x
x
x
x
x
call_different_target
x
x
x
x
x
x
x
x
x
x
call_return_to_api
x
x
x
x
x
x
x
x
x
x
XP 2K3
V
2K8 7
Klasse "Files"
Richtlinien 32-Bit-Prozesse unter
(x32)
(x64)
(x64)
142
files:
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
create
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
read
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
write
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
execute
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
delete
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
rename
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
(x32)
(x64)
(x64)
files:
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
attribute
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
writeop
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
hardlink
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Klasse "Hook"
Richtlinien
(x32)
(x64)
(x64)
hook:
XP 2K3
V
2K8 7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
set_windows_hook
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Klasse "Illegal API Use"
Richtlinien
(x32)
(x64)
(x64)
illegal_api_use:
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
bad_parameter
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
invalid_call
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Klasse "Illegal Use"
Richtlinien
(x32)
(x64)
(x64)
illegal:
XP
2K3 V
2K8
7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
api
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Klasse "ISAPI"
(x32)
(x64)
(x64)
isapi:
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
request
x
x
x
x
x
x
requrl
x
x
x
x
x
x
reqquery
x
x
x
x
x
x
rawdata
x
x
x
x
x
x
response
x
x
x
x
x
x
7
143
Klasse "Program"
Richtlinien
(x32)
(x64)
(x64)
program:
XP
2K3
V
2K8
7
XP
run
x
x
x
x
x
open_with_any
x
x
x
x
open_with_create_thread
x
x
x
open_with_modify
x
x
open_with_terminate
x
x
open_with_wait
x
x
2K3
V
2K8
7
XP 2K3
V
2K8
7
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Klasse "Registry"
Richtlinien
(x32)
(x64)
(x64)
registry:
XP
2K3
V
2K8 7
XP
2K3
V
2K8
7
XP 2K3
V
2K8
7
create
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
read
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
delete
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
modify
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
permissions
x
enumerate
x
x
x
x
x
x
x
x
x
x
x
monitor
x
x
x
restore
x
x
x
replace
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
load
open_existing_key
x
x
x
rename
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Klasse "Services"
Richtlinien
144
(x32)
(x64)
(x64)
services:
XP
2K3
start
x
x
stop
x
x
pause
x
x
continue
x
x
startup
x
x
V
2K8 7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
x
x
x
x
x
x
x
x
x
x
x
x
x
Richtlinien
(x32)
(x64)
(x64)
services:
XP
2K3
V
2K8 7
XP
2K3
V
2K8
7
XP
2K3
V
2K8
7
profile_enable
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
profile_disable
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
logon
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
create
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
delete
x
x
x
x
Klasse "SQL"
Richtlinien
(x32)
(x64)
(x64)
sql:
XP
2K3
V
2K8
7
request
x
x
x
x
x
XP
2K3
V
2K8
7
XP
2K3
V
2K8
x
x
x
x
7
In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Signaturen für die Plattformen
Solaris und Linux erstellen.
HINWEIS: Regeln in den Windows-Class-Dateien verwenden doppelte Schrägstriche, Regeln in
der Nicht-Windows-Klasse "UNIX_file" verwenden einen einzelnen Schrägstrich.
Die Klasse der Signatur hängt von der Art des Sicherheitsproblems ab und vom Schutz, den die
Signatur bieten kann. Für Solaris und Linux sind folgende Klassen verfügbar:
Klasse
Verwendung
UNIX_file
Für Datei- oder Verzeichnisoperationen unter Solaris und
Linux.
UNIX_apache
Für HTTP-Anforderungen unter Solaris und Linux.
UNIX_Misc
Für den Zugriffsschutz unter Solaris und Linux.
UNIX_bo
Für den Buffer Overflow. Nur Solaris.
UNIX_map
Für die Zuordnung von Dateien oder Geräten im
Arbeitsspeicher. Nur Solaris.
UNIX_GUID
Um Benutzern die Möglichkeit zu bieten, ausführbare
Dateien mit den Berechtigungen des Eigentümers oder
der Gruppe der ausführbaren Datei verwenden zu können.
Nur Solaris.
Solaris/Linux-Klasse "UNIX_file"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der UNIX-basierten Klasse
"UNIX_file" aufgeführt:
145
Abschnitt
Werte
Class
UNIX_file
Id
Hinweise
level
time
user_name
Executable
146
files
An der Operation beteiligte Datei Einer der erforderlichen Parameter. Zu suchende
oder Ordner
Dateien. Siehe Hinweis 1.
source
Zieldateinamen
Einer der erforderlichen Parameter. Siehe Hinweis
1.
file
Liste der Berechtigungen für
Quelldateinamen
Nur Solaris. Optional. Siehe Hinweis 2.
new
Berechtigungsmodus für neu
erstellte Datei oder veränderte
Berechtigung
Nur Solaris. Optional. Siehe Hinweis 2.
zone
Name der Zone, für die die
Signatur gilt.
Solaris 10 oder höher. Siehe Hinweis 5.
directives
unixfile:chdir
Ändert das Arbeitsverzeichnis.
unixfile:chmod
Ändert die Berechtigungen für das Verzeichnis
oder die Datei.
unixfile:chown
Ändert die Eigentümerschaft für ein Verzeichnis
oder eine Datei.
unixfile:create
Erstellt eine Datei.
unixfile:link
Erstellt einen festen Link. Siehe Hinweis 3.
unixfile:mkdir
Erstellt ein Verzeichnis.
unixfile:read
Öffnet eine Datei im Lesemodus.
unixfile:rename
Benennt eine Datei um. Siehe Hinweis 4.
unixfile:rmdir
Entfernt ein Verzeichnis.
unixfile:symlink
Erstellt einen symbolischen Link.
unixfile:unlink
Löscht eine Datei aus einem Verzeichnis oder
löscht ein Verzeichnis.
unixfile:write
Öffnet eine Datei im Lese-/Schreib-Modus.
unixfile:setattr
Nur Linux. Ändert die Berechtigungen und die
Eigentümerschaft für das Verzeichnis oder die
Datei.
unixfile:mknod
Erstellt einen Knoten.
unixfile:access
Ändert die Dateiattribute. Überwachte Attribute
sind "Schreibgeschützt", "Verborgen", "Archiv"
und "System".
unixfile:foolaccess
Nur Solaris. Dateiname weist 512 aufeinander
folgende '/' auf.
Abschnitt
Werte
Hinweise
unixfile:priocntl
Nur Solaris. Zeigt Zeitplanparameter an oder
legt diese fest.
Hinweis 1
Relevante Richtlinien pro Abschnitt:
Richtlinie
Datei
chdir
X
chmod
X
chown
X
create
X
link
X
mkdir
X
read
X
rename
X
rmdir
X
setattr
X
symlink
X
unlink
X
write
X
Quelle
Dateiberechtigung
Neue Berechtigung
X
X
X
X
X
X
X
X
Hinweis 2
Der Wert der Abschnitte "file permissions" (Dateiberechtigungen) und "new permissions" (Neue
Berechtigungen) entspricht der Zugriffskontrollliste (Access Control List). Diese Abschnitte
können nur die Werte "SUID" oder "SGID" haben.
Hinweis 3
Die Richtlinie "unixfile:link" hat eine andere Bedeutung, wenn sie mit Abschnitt "files" und
Abschnitt "source" kombiniert wird:
• In Kombination mit dem Abschnitt "files" bedeutet sie, dass das Erstellen eines Links zur
Datei im Abschnitt "files" überwacht wird.
• In Kombination mit Abschnitt "source" bedeutet dies, dass kein Link mit dem Namen erstellt
werden kann, der im Abschnitt "source" angegeben wurde.
Hinweis 4
Die Richtlinie "unixfile:rename" hat eine andere Bedeutung, wenn sie mit Abschnitt "files" und
Abschnitt "source" kombiniert wird:
• In Kombination mit dem Abschnitt "files" bedeutet sie, dass die Umbenennung der Datei im
Abschnitt "files" überwacht wird.
• In Kombination mit dem Abschnitt "source" bedeutet sie, dass keine Datei in die Datei im
Abschnitt "source" umbenannt werden kann.
147
Hinweis 5
Standardmäßig sind alle Zonen durch die Signatur geschützt. Wenn Sie den Schutz auf eine
bestimmte Zone beschränken möchten, fügen Sie in der Signatur einen Zonenabschnitt hinzu,
und binden Sie den Namen der Zone ein.
Wenn Sie beispielsweise eine Zone "app_zone" verwenden, deren Stammverzeichnis "/zones/app"
lautet, dann gilt für die Regel Folgendes:
Rule {
...
file { Include "/tmp/test.log" }
zone { Include "app_zone" }
... }
Sie gilt nur für Dateien in der Zone "app_zone", nicht aber in der globalen Zone.
Beachten Sie, dass bei dieser Version der Web-Server-Schutz nicht auf eine bestimmte Zone
beschränkt werden kann.
Erweiterte Details
Sicherheitsereignissen für die Klasse "UNIX_file" angezeigt. Die Werte dieser Parameter können
GUI-Name
Erklärung
files
Die Namen der Datei, auf die zugegriffen wurde oder auf
die versucht wurde, zuzugreifen.
source
Trifft nur zu, wenn die Operation die Erstellung eines
symbolischen Links zwischen Dateien ist: Name des neuen
Links; oder wenn die Operation die Umbenennung einer
Datei ist: neuer Name der Datei.
file permission
Berechtigungen der Datei.
source permission
Trifft nur zu, wenn die Operation die Erstellung eines
symbolischen Links zwischen Dateien ist: Berechtigungen
für die Zieldatei (die Datei, auf die der Link verweist). Nur
Solaris.
new permission
Trifft nur zu, wenn eine neue Datei erstellt oder wenn eine
chmod-Operation durchgeführt wird: Berechtigungen für
die neue Datei. Nur Solaris.
Solaris/Linux-Klasse "UNIX_apache" (HTTP)
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der UNIX-basierten Klasse
"UNIX_apache" aufgeführt:
Abschnitt
Werte
Class
UNIX_apache
Id
Hinweise
level
time
148
Abschnitt
Werte
Hinweise
user_name
Executable
url
Optional. Vergleicht mit dem URL-Teil einer
eingehenden Anforderung. Siehe Hinweise 1–4.
query
Optional. Vergleicht mit dem Abfrageteil einer
eingehenden Anforderung. Siehe Hinweise 1–4.
method
"GET", "POST", "INDEX" und alle Optional. Siehe Hinweis 4.
anderen erlaubten
HTTP-Methoden.
zone
Signatur gilt.
directives
apache:requrl
Für URL-Anforderungen.
apache:reqquery
Für Abfrageanforderungen.
apache:rawdata
Für Rohdatenanforderungen.
Hinweis 1
Eine eingehende HTTP-Anforderung kann dargestellt werden als: http://www.eigenerserver.de/
{url}?{query}. In diesem Dokument gilt {url} als der "URL"-Teil der HTTP-Anforderung und
{query} als der "Query"-Teil der HTTP-Anforderung. Mit dieser Namenskonvention kann definiert
werden, dass der Abschnitt "url" abgeglichen wird mit {url} und der Abschnitt "query" abgeglichen
wird mit {query}.
Beispielsweise würde die folgende Regel ausgelöst, wenn die HTTP-Anforderung "http://
www.eigenerserver.de/search/abc.exe?subject=wildlife&environment=ocean" durch IIS
empfangen würde:
Rule {
Class UNIX_apache
Id 4001
level 1
url { Include "*abc*" }
time { Include "*" }
directives apache:request
}
Diese Regel wird ausgelöst, weil "{url} = /search/abc.exe" ist, wodurch der Wert des Abschnitts
"url" abgeglichen wird (d. h. abc).
Hinweis 2
Bevor der Abgleich durchgeführt wird, werden die Abschnitte "url" und "query" dekodiert und
normalisiert, sodass Anforderungen nicht mit Kodierungs- oder Escape-Folgen gefüllt werden
können.
149
Hinweis 3
Eine Beschränkung für die maximale Länge kann für die Abschnitte "url" und "query" festgelegt
werden. Durch Hinzufügen von ";number-of-chars" zum Wert dieser Abschnitte kann diese
Regel nur abgeglichen werden, wenn {url} oder {query} aus mehr Zeichen besteht als
"number-of-chars". Für die folgende Regel wird z. B. eine Übereinstimmung gefunden, wenn
der URL-Teil der Anforderung "abc" enthält und der URL-Teil der Anforderung mehr als
500 Zeichen umfasst:
Rule {
Class UNIX_apache
Id 4001
level 1
url { Include "*abc*;500" }
time { Include "*" }
directives apache:request}
}
Hinweis 4
Eine Regel muss mindestens eine der optionalen Abschnitte "url", "query" und "method"
enthalten.
Hinweis 5
Rule {
...
... }
Solaris/Linux-Klasse "UNIX_Misc"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris/Linux-Klasse
"UNIX_misc" aufgeführt:
150
Abschnitt
Werte
Hinweise
Class
UNIX_misc
Eine nicht kategorisierbare Klasse für den
Zugriffsschutz.
Abschnitt
Werte
Id
Hinweise
level
time
user_name
Executable
zone
Signatur gilt.
Solaris 10 oder höher.
directives
unixmisc:killagent
Das Signal "SIGKILL" wird nicht an den Client
gesendet.
Solaris-Klasse "UNIX_bo"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse "UNIX_bo"
(Buffer Overflow) aufgeführt:
Abschnitt
Werte
Class
UNIX_bo
Id
Hinweise
level
time
user_name
Executable
program
Programmname
Zu suchendes Programm.
zone
Signatur gilt.
directives
unixbo:binargs
Binäre Argumente.
unixbo:illegal_address
Ungültige Adresse, z. B. Ausführen eines
Programms aus dem Stapel.
unixbo:exec
Programmausführung.
unixbo:enrironment
Programmumgebung.
unixbo:binenv
Binäre Umgebung.
unixbo:libc
Wird verwendet, wenn die Rückgabeadresse für
eine Funktion nicht im entsprechenden
Stapelframe liegt.
Hinweis 1
151
Rule {
...
... }
Solaris-Klasse "UNIX_map"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse "UNIX_map"
aufgeführt:
Abschnitt
Werte
Hinweise
Class
UNIX_map
Mit dieser Klasse können Sie UNIX-Dateien oder
-Geräte im Arbeitsspeicher zuordnen.
Id
level
time
user_name
Executable
zone
Signatur gilt.
directives
mmap:mprotect
Legt den Zugriffsschutz für Speicherseiten fest.
mmap:mmap
Ordnet Dateien oder Geräte im Arbeitsspeicher
zu.
Solaris-Klasse "UNIX_GUID"
In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse
"UNIX_GUID" aufgeführt:
Abschnitt
Werte
Hinweise
Class
UNIX_GUID
Mit dieser Klasse können Sie
Unix-Benutzerzugriffs-Berechtigungsmarkierungen
festlegen, mit denen die Benutzer ausführbare
Dateien mit den Berechtigungen des Eigentümers
oder der Gruppe der ausführbaren Datei
verwenden können.
Id
level
time
user_name
Executable
152
Abschnitt
Werte
Hinweise
zone
Signatur gilt.
directives
guid:setuid
Legt eine Benutzer-ID fest, damit Benutzer
ausführbare Dateien mit den Berechtigungen des
Eigentümers oder der Gruppe der ausführbaren
Datei verwenden können.
guid:seteuid
Legt die gültige Benutzer-ID fest.
guid:setreuid
Legt die tatsächliche und die gültige Benutzer-ID
fest.
guid:setgid
Legt eine Gruppen-ID fest, damit Gruppen
ausführbare Dateien mit den Berechtigungen des
Eigentümers oder der Gruppe der ausführbaren
Datei verwenden können.
guid:setegid
Legt die gültige Gruppen-ID fest.
guid:setregid
Legt die tatsächliche und die gültige Gruppen-ID
fest.
Klassen und Richtlinien für die einzelnen UNIX-Plattformen
Eine Liste der gültigen Klassen und Richtlinien für die einzelnen Nicht-Windows-Plattformen:
Klasse "UNIX_bo"
Richtlinien
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixbo:binargs
X
X
unixbo:illegal_address
X
X
unixbo:exec
X
X
unixbo:enrironment
X
X
unixbo:binenv
X
X
unixbo:libc
X
X
Klasse "UNIX_file"
Richtlinien
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixfile:chdir
X
X
X
X
unixfile:chmod
X
X
X
X
unixfile:chown
X
X
X
X
unixfile:create
X
X
X
X
unixfile:link
X
X
X
X
unixfile:mkdir
X
X
X
X
unixfile:read
X
X
X
X
unixfile:rename
X
X
X
X
unixfile:rmhdir
X
X
X
X
153
Richtlinien
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixfile:setattr
X
X
unixfile:symlink
X
X
X
X
unixfile:unlink
X
X
X
X
unixfile:write
X
X
X
X
unixfile:mknod
X
X
X
X
unixfile:access
X
X
X
X
unixfile:foolaccess
X
X
unixfile:priocntl
X
X
Klasse "UNIX_Misc"
Richtlinien
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixmisc:killagent
X
X
X
X
Klasse "UNIX_apache"
Richtlinien
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
apache:requrl
X
X
X
X
apache:reqquery
X
X
X
X
apache:rawdata
X
X
X
X
Klasse "UNIX_map"
Richtlinien
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
mmap:mprotect
X
X
mmap:mmap
X
X
Klasse "UNIX_GUID"
Richtlinien
154
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
guid:setuid
X
X
guid:seteuid
X
X
guid:setreuid
X
X
guid:setgid
X
X
guid:setegid
X
X
guid:setregid
X
X
Anhang B: Fehlerbehebung
In den Knowledge Base-Artikeln auf der Support-Webseite von McAfee Support http://mcafee.com
finden Sie aktuelle Informationen zu Fehlern und deren Lösung. Die neuesten Informationen
erhalten Sie in KB69184.
Inhalt
Allgemeine Probleme
Host IPS-Protokolle
Dienstprogramm Clientcontrol.exe
Allgemeine Probleme
Welche Dienste von Host Intrusion Prevention sollten auf dem Client installiert und
ausgeführt werden, damit die Software einwandfrei funktioniert?
Voraussetzung für einen Eindringungsschutz mit IPS oder Firewall oder beidem sind folgende
Dienste:
• McAfee Host Intrusion Prevention Service (FireSvc.exe)
• McAfee Firewall Core Service (mfefire.exe)
• McAfee Validation Trust Protection Service (mfevtps.exe)
Beim Aufruf sollten folgende Dienste aktiviert sein:
• McAfee Host Intrusion Prevention system tray icon service (FireTray.exe).
• McAfee Host Intrusion Prevention client console (McAfeeFire.exe)
Wie lässt sich verhindern, dass die Firewall Nicht-IP-Datenverkehr blockiert?
Wenn nicht anders in einer Firewall-Regel angegeben, werden einige Arten von
Nicht-IP-Datenverkehr von der Firewall nicht erkannt und daher blockiert. Außerdem werden
mit den adaptiven und lernfähigen Modi Firewall-Regeln für Nicht-IP-Protokolle nicht dynamisch
entdeckt und erstellt. Um zu verhindern, dass Nicht-IP-Protokolle unterbrochen werden, wählen
Sie in der Richtlinie Firewall-Optionen die Option Datenverkehr für nicht unterstützte
Protokolle erlauben aus. Anschließend können Sie das Aktivitätsprotokoll auf Zulässiges
eingehendes/ausgehendes Nicht-IP-Protokoll: mit dem Wert 0xXXX prüfen, wobei
0xXXX der IANA-Ethernet-Nummer des Protokolls entspricht (siehe
htttp://www.iana.org/assignments/ethernet-numbers). Ermitteln Sie anhand dieser Informationen
den erforderlichen Nicht-IP-Datenverkehr, und erstellen Sie eine Firewall-Regel, die diesen
zulässt.
155
Allgemeine Probleme
Wie ist vorzugehen, wenn eine Anwendung nach der Installation von Host Intrusion
Prevention oder nach der Aktualisierung von Inhalten nicht mehr richtig funktioniert?
Ändert sich die Funktionsweise einer Anwendung nach der Installation oder Aktualisierung eines
Clients mit Host Intrusion Prevention oder nach Durchführung einer Inhaltsaktualisierung,
ermitteln Sie, ob das Problem durch eine Signatur oder anderweitig ausgelöst wird.
Vorgehensweise, wenn eine IPS-Signatur die Problemursache ist:
1
Aktivieren Sie auf dem Client oder auf dem ePolicy Orchestrator-Server in der Richtlinie für
die Client-Benutzeroberfläche die IPS- (in HipShield.log) und die Firewall-Protokollierung
(in FireSvc.log), und reproduzieren Sie das Problem.
2
Suchen Sie in HipShield.log nach VERLETZUNG: nach Verletzungsinformationen zu
einem beliebigen <Ereignis>.
3
Wird die Aktivität ereignisbedingt durch eine Signatur blockiert, öffnen Sie auf dem ePolicy
Orchestrator-Server unter Berichte die Registerkarte Ereignisse, suchen Sie das Ereignis,
und erstellen Sie eine Ausnahme. Die Ausnahme sollte mithilfe der erweiterten
Ereignisparameter so detailliert wie möglich formuliert werden.
4
Stehen für das Ereignis nur begrenzt Parameter zur Verfügung, zeigen Sie die zum Ereignis
gehörige Signatur an. Wird in der Beschreibung der IPS-Signatur auf ein Element von
Common Vulnerabilities and Exposures (CVE) verwiesen, bedeutet das, dass ein
sicherheitsbezogener Aktualisierungs-Patch vorliegt. Wenden Sie den Patch an, und
deaktivieren Sie die Signatur.
Vorgehensweise, wenn das Problem nicht mit einer IPS-Signatur zusammenhängt:
1
Deaktivieren Sie alle Module von Host Intrusion Prevention (IPS, Netzwerk-IPS und Firewall),
und prüfen Sie, ob das Problem erneut auftritt.
2
Deaktivieren Sie IPS, und halten Sie den Host Intrusion Prevention-Client-Dienst
(FireSvc.exe) an. Prüfen Sie dann, ob das Problem erneut auftritt.
3
Wenn das Problem nicht wieder auftritt, wählen Sie auf dem ePolicy Orchestrator-Server
in der Richtlinie Firewall-Optionen die Option Datenverkehr für nicht unterstützte
Protokolle erlauben aus, und wenden Sie die Richtlinie auf dem Client an. Prüfen Sie
mit dieser Optionsauswahl, ob das Problem erneut auftritt. Hinweis: Auch bei deaktivierter
Firewall kann der Datenverkehr dennoch unterbrochen werden, wenn Host Intrusion
Prevention aktiviert ist.
4
Lässt sich das Problem so nicht beheben, deaktivieren Sie den McAfee NDIS Intermediate
Filter Miniport-Adapter, und prüfen Sie, ob das Problem erneut auftritt.
5
Lässt sich das Problem so nicht beheben, deinstallieren Sie den McAfee NDIS Intermediate
Filter Miniport-Adapter, und prüfen Sie, ob das Problem erneut auftritt. Ausführliche
Informationen finden Sie im KnowledgeBase-Artikel 51676 unter
http://knowledge.mcafee.com.
6
Wenn das Problem nach der Deinstallation von NDIS nicht auftritt, lesen Sie
KnowledgeBase-Artikel 68557 unter http://knowledge.mcafee.com, und prüfen Sie bei
deinstalliertem NDIS und installiertem Microsoft PassThru-Treiber.
Vorgehensweise, wenn das Problem nur auftritt, wenn das IPS-Modul aktiviert ist und keine
<Ereignis>-Verletzungen in HipShield.log erfasst sind:
156
1
Ermitteln Sie die zur Anwendung gehörigen ausführbaren Dateien.
2
Schließen Sie diese in der Anwendungsschutzliste von Host IPS aus dem Schutz aus.
3
Prüfen Sie die Funktionsweise der Anwendung erneut. Notieren Sie die Ergebnisse.
4
Schließen Sie die in Schritt 2 ausgeschlossenen ausführbaren Dateien ein.
Allgemeine Probleme
5
Ermitteln Sie das möglicherweise fehlerverursachende IPS-Modul. Ausführliche Informationen
finden Sie im KnowledgeBase-Artikel 54960 unter http://knowledge.mcafee.com.
6
Ermitteln Sie das IPS-Modul, das das Problem möglicherweise verursacht.
Wie werden Komponenten in Host IPS zur Entdeckung problemverursachender
Module isoliert?
HINWEIS: Im Rahmen der folgenden Vorgehensweisen sind u. U. wiederholt Neustarts,
Anmeldungen oder die Reproduktion von Problemen erforderlich. Die Schritte werden auf dem
lokalen Client-System ausgeführt, auf dem sich die Host IPS-Konsole befindet. Wenn Sie die
Problemursache feststellen, das Problem aber nicht lösen können, senden Sie die erhaltenen
Protokolle an den Support von McAfee.
Deaktivieren Sie alle Komponenten, und prüfen Sie sie auf Fehler:
1
IPS deaktivieren: Klicken Sie auf die Registerkarte IPS-Richtlinie, und deaktivieren Sie
die Kontrollkästchen Host IPS aktivieren und Netzwerk-IPS aktivieren.
2
Firewall deaktivieren: Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren
Sie das Kontrollkästchen Firewall aktivieren.
3
Liste Blockierte Hosts löschen: Klicken Sie auf die Registerkarte Blockierte Hosts, und
löschen Sie die Liste durch Auswahl der einzelnen Einträge und durch Klicken auf Entfernen.
4
Aktivitätsprotokollierung aktivieren: Klicken Sie auf die Registerkarte Aktivitätsprotokoll,
und prüfen Sie, ob alle Kontrollkästchen für die Protokollierung von Datenverkehr sowie
Filteroptionen aktiviert sind.
5
Prüfen Sie, ob das Problem im System erneut auftritt:
• Wenn ja, fahren Sie mit Schritt 6 fort.
• Wenn nein, gehen Sie zu Schritt 1 der Wiederholtestphase.
6
Prüfen Sie Folgendes:
• Halten Sie den McAfee Host IPS-Dienst an, und prüfen Sie das System erneut. Wenn
das Problem nicht mehr auftritt, vermerken Sie, dass es direkt mit dem Dienst
zusammenhängt.
• Deinstallieren Sie den Host IPS-Client vom lokalen System, und prüfen Sie das System
erneut. Wenn das Problem nicht mehr auftritt, vermerken Sie, dass es mit den
installierten Dateien und nicht mit einer bestimmten Komponente zusammenhängt.
Einzelne Komponenten wiederholt testen:
Host IPS testen
1
Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll.
2
Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Host IPS aktivieren aus.
3
Prüfen Sie, ob das Problem im System erneut auftritt:
• Wenn das Problem nicht mehr auftritt, fahren Sie unter Netzwerk-IPS testen mit
Schritt 5 fort.
• Wenn das Problem wieder auftritt:
1
Deaktivieren Sie die Option Host IPS aktivieren.
2
Prüfen Sie das System erneut. Wenn das Problem behoben wurde, kann Host IPS
damit zusammenhängen.
3
Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen
Host IPS-Aktivitätsprotokoll mit Fehler.
157
Allgemeine Probleme
4
Aktivieren Sie das Kontrollkästchen Host IPS aktivieren, und prüfen Sie, ob das
Problem erneut auftritt.
Alle IPS-Module prüfen:
1
Klicken Sie auf Hilfe, und wählen Sie Fehlerbehebung aus.
2
Wählen Sie unter der IPS-Protokollierung die Berichte zu Fehler aus.
3
Wählen Sie Sicherheitsverstöße protokollieren aus.
4
Klicken Sie auf Funktionalität.
5
Deaktivieren Sie im Dialogfeld HIPS-Module das Kontrollkästchen Alle Module
aktivieren/deaktivieren, und klicken Sie auf OK.
6
Prüfen Sie, ob das Problem im System erneut auftritt.
7
Führen Sie einen der folgenden Vorgänge aus:
• Wenn das Problem erneut auftritt, ermitteln Sie, ob es mit der IPS-Komponente, nicht
aber mit bestimmten Modulen zusammenhängt. Prüfen Sie in hipshield.log, ob die
IPS-Komponente das Problem ist.
• Wenn das Problem nicht wieder auftritt, kann es mit einem bestimmten Modul
zusammenhängen. Fahren Sie unter Alle IPS-Module testen mit dem nächsten Schritt
fort.
Alle IPS-Module testen
1
Klicken Sie auf Hilfe, und wählen Sie Fehlerbehebung aus.
2
Wählen Sie unter der IPS-Protokollierung die Berichte zu Fehler aus.
3
Wählen Sie Sicherheitsverstöße protokollieren aus.
4
Klicken Sie auf Funktionalität.
5
Wählen Sie die Module der Reihe nach aus, und testen Sie sie.
6
Speichern Sie zur Berichterstattung an den Support nach jedem Test eine Kopie von
hipshield.log, und benennen Sie sie mit dem Namen des getesteten Moduls.
7
Aktivieren Sie nach dem Testen alle Module, und fahren Sie mit dem nächsten Schritt fort.
Adaptiven Modus von IPS testen
1
2
Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Adaptiven Modus aktivieren
aus.
3
4
• Wenn das Problem erneut auftritt, deaktivieren Sie Adaptiven Modus aktivieren,
und prüfen Sie das System erneut, um zu sehen, ob das Problem weiterhin besteht.
Wenn ja, ist der adaptive Modus in Host IPS womöglich die Ursache. Speichern Sie für
den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Host IPS
Adaptive Aktivität mit Fehler.
• Tritt das Problem nicht mehr auf, deaktivieren Sie das Kontrollkästchen Host IPS
aktivieren, und fahren Sie mit dem nächsten Schritt fort.
Netzwerk-IPS testen
158
1
2
Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Netzwerk-IPS aktivieren
aus.
Allgemeine Probleme
3
4
• Wenn das Problem erneut auftritt, deaktivieren Sie Netzwerk-IPS aktivieren, und
prüfen Sie das System erneut, um zu sehen, ob das Problem weiterhin besteht. Wenn
ja, ist Netzwerk-IPS womöglich die Ursache. Speichern Sie für den Support eine Kopie
des Aktivitätsprotokolls unter dem Namen Netzwerk-IPS-Aktivitätsprotokoll
mit Fehler.
• Tritt das Problem nicht mehr auf, aktivieren Sie das Kontrollkästchen Netzwerk-IPS
Automatische Blockierung von Netzwerk-IPS testen
1
2
Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Netzwerk-IPS aktivieren
aus.
3
Aktivieren Sie das Kontrollkästchen Angreifer automatisch blockieren.
4
Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja:
5
a
Deaktivieren Sie das Kontrollkästchen Angreifer automatisch blockieren, und
prüfen Sie, ob das Problem behoben wurde. Wenn ja, ist die Option Angreifer
automatisch blockieren von Netzwerk-IPS womöglich die Ursache.
b
Öffnen Sie die Registerkarte Blockierte Hosts, suchen Sie nach Einträgen zu
blockierten Angreifern, und prüfen Sie auf fälschlicherweise positive Einträge.
c
Netzwerk-IPS Adaptives Aktivitätsprotokoll mit Fehler.
Tritt das Problem nicht mehr auf, deaktivieren Sie das Kontrollkästchen Netzwerk-PS
Firewall-Richtlinie testen
1
2
Öffnen Sie die Registerkarte Firewall-Richtlinie, und aktivieren Sie das Kontrollkästchen
Firewall aktivieren.
3
4
a
Deaktivieren Sie die Option Firewall aktivieren.
b
Prüfen Sie erneut, ob das Problem behoben wurde. Wenn das Problem behoben ist,
ist Host IPS Firewall womöglich die Ursache.
c
Speichern Sie eine Kopie des Aktivitätsprotokolls unter dem Namen
Firewall-Aktivitätsprotokoll mit Fehler.
Tritt das Problem nicht mehr auf, aktivieren Sie das Kontrollkästchen Firewall aktivieren,
und fahren Sie mit dem nächsten Schritt fort.
Lernmodus der Firewall testen
1
2
Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren Sie die Kontrollkästchen
Lernmodus und Eingehend. Deaktivieren Sie das Kontrollkästchen Ausgehend.
3
a
Deaktivieren Sie das Kontrollkästchen Eingehend.
b
Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der eingehende
Lernmodus der Firewall womöglich die Ursache.
159
Allgemeine Probleme
c
Firewall-Aktivitätsprotokoll LernEIN mit Fehler.
d
4
5
Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren Sie die Kontrollkästchen
Lernmodus und Ausgehend. Deaktivieren Sie das Kontrollkästchen Eingehend.
6
a
Deaktivieren Sie das Kontrollkästchen Ausgehend.
b
Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der ausgehende
Lernmodus der Firewall womöglich die Ursache.
c
Firewall-Aktivitätsprotokoll LernAUS mit Fehler.
d
7
Suchen Sie die Registerkarte Firewall-Richtlinie.
8
Öffnen Sie die Registerkarte Firewall-Richtlinie, und aktivieren Sie die Kontrollkästchen
Lernmodus sowie Eingehend und Ausgehend.
9
a
Deaktivieren Sie die Kontrollkästchen Eingehend und Ausgehend.
b
Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der ein- und
ausgehende Lernmodus der Firewall womöglich die Ursache.
c
Firewall-Aktivitätsprotokoll LernEINAUS mit Fehler.
Mit einer Firewall-Regel für den gesamten Datenverkehr testen:
HINWEIS: Dieser Schritt muss ggf. von der ePO-Managementkonsole konfiguriert werden, da
die beliebige Testregel die erste Regel in der Regelliste der Firewall sein muss. Wenn auf der
Konsole andere Richtlinien konfiguriert wurden, haben diese Vorrang vor lokal erstellten Regeln.
1
Erstellen Sie eine neue Regel unter dem Namen Beliebig.
2
Wählen Sie unter Aktion den Eintrag Zulassen aus.
3
Wählen Sie für Protokoll die Option IP TCP aus.
4
Wählen Sie unter Richtung den Eintrag Beide aus.
5
Speichern Sie die Regel. Wird die Regel auf der ePO-Konsole in einer Richtlinie erstellt,
verschieben Sie die Regel Beliebig in der Regelliste an die erste Stelle. Wird die Regel
lokal erstellt, sorgen Sie dafür, dass keine anderen Regeln vorrangig gehandhabt werden.
6
a
Deaktivieren Sie die Regel Beliebig.
b
Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, liegt wahrscheinlich ein
Regelkonfigurationsfehler vor.
c
Erstellen Sie einen Screenshot der Liste der Firewall-Regeln auf der Registerkarte
Firewall-Richtlinie.
d
Speichern Sie eine Kopie des Aktivitätsprotokolls unter dem Namen
Firewall-Aktivitätsprotokoll Test mit Beliebig.
e
Exportieren Sie die Einstellungen für Host IPS-Richtlinie:
a
160
Melden Sie sich an der ePO-Konsole an.
Host IPS-Protokolle
7
b
Gehen Sie in der ePO-Struktur zum Objekt Richtlinienkatalog.
c
Suchen Sie nach Host IPS, und erweitern Sie es.
d
Klicken Sie auf Alle Richtlinien exportieren.
Öffnen Sie die Registerkarte Firewall-Richtlinie, deaktivieren Sie das Kontrollkästchen
Firewall aktivieren, und fahren Sie mit dem nächsten Schritt fort.
Richtlinie für blockierte Hosts testen
1
2
Öffnen Sie die Registerkarte Blockierte Hosts, und entfernen Sie alle blockierten Hosts
aus der Liste.
3
Prüfen Sie, ob das Problem im System erneut auftritt. Wenn nein, hängt es wahrscheinlich
nicht mit den blockierten Hosts zusammen.
Wenn Sie die Problemursache nicht finden, wenden Sie sich an den Support von McAfee,
schildern Sie die Umstände, und übermitteln Sie dem Support die erstellten Dateien.
Host IPS-Protokolle
Wo befinden sich Protokolldateien?
Je nach Betriebssystem befinden sich alle Protokolldateien in einem der folgenden Verzeichnisse
auf dem Client-System:
• Windows XP, Windows 2003: C:\Dokumente und Einstellungen\Alle
Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention
• Windows Vista, Windows 2008, Windows 7: C:\Programmdaten\McAfee\Host Intrusion
Prevention
Wie wird die Protokollierung aktiviert?
Die Protokollierung in Host IPS kann mithilfe der Host IPS-Client-Konsole oder der Host
IPS-Client-UI-Richtlinie über die ePolicy Orchestrator-Konsole eingestellt werden.
So aktivieren Sie die Protokollierung über den Client:
1
Öffnen Sie über das Taskleistensymbol die Host IPS-Konsole. Entsperren Sie mit einem
Administratorkennwort oder einem zeitbasierten Kennwort die Benutzeroberfläche.
2
Wählen Sie Hilfe| Fehlerbehebung aus.
3
Legen Sie die erforderlichen Protokollierungseinstellungen fest:
• Mit Debug werden alle Meldungen protokolliert.
• Mit Informationen werden Informationen, Warnungen und Fehlermeldungen
protokolliert.
• Mit Warnung werden Warnungen und Fehlermeldungen protokolliert.
• Mit Fehler werden Fehlermeldungen protokolliert.
• Mit Deaktiviert werden keine Meldungen protokolliert.
161
Host IPS-Protokolle
Die Firewall- und IPS-Protokollierung erfolgt unabhängig voneinander. Diese
Protokollierungseinstellungen bleiben so lange gültig, bis die Client-Konsole gesperrt und
eine nachfolgende Richtlinie erzwungen wird.
HINWEIS: Die Protokollierung kann auch lokal eingestellt werden, indem dem
Registrierungsschlüssel HKLM\Software\McAfee\HIP der Wert DWORD 'debug_enabled'
hinzugefügt wird. Mit dem Wert 1 wird die ausführliche Debug-Protokollierung aktiviert. Wird
die Debug-Protokollierung mit dem lokalen Registrierungsschlüssel aktiviert, werden sämtliche
mithilfe von Policy Orchestrator festgelegten Richtlinien überschrieben.
So aktivieren Sie die Protokollierung mithilfe von ePolicy Orchestrator:
1
Bearbeiten Sie unter Host IPS: Allgemein die für einen Client geltende Richtlinie
"Client-Benutzeroberfläche".
2
Klicken Sie auf die Registerkarte Fehlerbehebung.
3
Legen Sie die erforderlichen Protokollierungseinstellungen fest:
• Mit Debug werden alle Meldungen protokolliert.
• Mit Informationen werden Informationen, Warnungen und Fehlermeldungen
protokolliert.
• Mit Warnung werden Warnungen und Fehlermeldungen protokolliert.
• Mit Fehler werden Fehlermeldungen protokolliert.
• Mit Deaktiviert werden keine Meldungen protokolliert.
Die Firewall- und IPS-Protokollierung erfolgt unabhängig voneinander. Diese
Protokollierungseinstellungen gelten bis zur nächsten Richtlinienerzwingung.
Welche Protokolldateien gehören zur Host IPS-Komponente?
Die Hauptprotokolldatei der Host IPS-Komponente ist HipShield.log. Sie kann bis zu 128 MB
groß werden und wird mit einer (1) Sicherung rotiert.
Die Rotation von Protokolldateien wird über die DWORD-Einträge log_rotate_size_kb und
log_rotate_count im Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP gesteuert. Der Schlüssel
log_rotate_count bestimmt die Anzahl der zu speichernden Sicherungsdateien. Der
DWORD-Eintrag entrylog_rotate_size_kb gibt die ungefähre Größe einer
Sicherungsprotokolldatei in KB an, wobei 0 heißt, dass die Protokollrotation deaktiviert ist.
Wird die in log_rotate_size_kb angegebene Größe überschritten, wird die Datei geschlossen,
und an den Namen wird .1 angehängt. Ist bereits eine Datei mit diesem Namen vorhanden,
wird der Wert um eins erhöht. Sobald die festgelegte Anzahl an Sicherungsdateien erreicht ist,
wird die älteste Datei gelöscht.
HINWEIS: Bei der Erfassung von Daten zu an den Support von McAfee eskalierten Vorfällen
wird dringend empfohlen, den Registrierungswert debug_enabled einzurichten und auf 1 zu
setzen. Damit werden alle Ereignisse von Host IPS und Netzwerk-IPS in HIPShield.log
unabhängig von der Einstellung des Protokollstatus unter den Signatureigenschaften erfasst.
Vergewissern Sie sich, dass Sie den Dienst anhalten, alte Protokolldateien löschen, den Dienst
neu starten und die Reproduktion durchführen. So kann die Größe der Protokolldateien auf ein
Minimum beschränkt werden.
Was gibt es bei HipShield.log zu beachten?
Die Ausführung der Host IPS-Komponente beginnt mit einer Banneraussage, aus der der
ausgeführte Build und der Datums-/Zeitstempel der Sitzung hervorgehen. Jeder Eintrag im
HipShield-Protokoll hat einen Datums-/Zeitstempel gefolgt von der Angabe, ob es sich bei den
162
Host IPS-Protokolle
Daten um Informationen, Debugging- oder Fehlerdaten handelt. Die in der Datei HipShield.log
enthaltenen Daten sind Ad-hoc-Daten und variieren je nach Teil der Host IPS-Komponente.
Hauptaspekte:
• Zeilen, die mit In install modules new beginnen, dienen der Beschreibung der Kopie von
Dateien beim Start der Host IPS-Komponente. Werden diese Dateien falsch kopiert, kann
die Host IPS-Komponente nicht gestartet werden.
• Eine mit Scrutinizer initialized successfully beginnende Zeile gibt an, dass die Host
IPS-Komponente mit der Initialisierung von Scrutinizer ordnungsgemäß geladen wurde.
Voraussetzung dafür ist, dass die oben erwähnten Dateien wie vorgegeben kopiert wurden.
• Eine mit New Process: Pid= beginnende Zeile weist darauf hin, dass die Prozesserstellung
mit der Host IPS-Komponente überwacht werden kann.
• Eine mit IIS - Start beginnende Zeile bedeutet, dass die IIS-Überwachung beginnt.
• Eine mit Scrutinizer started successfully ACTIVATED status beginnende Zeile bedeutet,
dass Scrutinizer erfolgreich gestartet wurde.
• Eine mit Hooking xxx beginnende Zeile gibt an, dass das Einklinken von Prozessen
verarbeitet wird. Die Zahl xxx entspricht der PID (Prozess-ID) des Prozesses, der eingeklinkt
wird.
• Mit Processing Buffer xxx.scn beginnende Zeilen sind die Ergebnisse der
Scanner-Verarbeitung von Scan-Datei xxx.scn, wobei xxx wie oben einem Namen wie
EnterceptMgmtServer entspricht. Fehler in der Scanner-Verarbeitung von Scan-Dateien
werden hier angegeben.
• Zeilen im Format signature=111 level=2, log=True bedeuten, dass eine individuelle
Signatur geladen wurde. Signatur-ID und Ebene werden zusammen mit einem Hinweis, ob
die Protokollierung für diese Signatur aktiviert ist, angegeben.
HINWEIS: Shield.db und except.db werden bei aktivierter Debug-Funktion im selben
Verzeichnis erstellt wie die Protokolle. Die Dateien enthalten eine Abbildung der Regeln und
Ausnahmen, die an den Kernel übertragen werden, nachdem AgentNT.dll den Inhalt verarbeitet
hat.
Welche Protokolldateien gehören zur Firewall?
Wichtigste Protokolldateien der Firewall und ihr Inhalt:
Name
Beschreibung
Inhalt
FireSvc.log
Hauptdienstprotokoll
•
Protokollierung auf Debug-Ebene
•
Ausgabe zur Speicherortübereinstimmung
•
Ausgabe zur TrustedSource-Verbindungsauswertung
•
Fehler/Warnungen
•
•
Zeitbezogene Statistikwerte zur Richtlinienerzwingung
•
Fehler/Warnungen
•
•
Fehler/Warnungen
•
•
Fehler/Warnungen
HipMgtPlugin.log
McAfee
Agent-Plug-In-Protokoll
FireTray.log/McTrayHip.log Tray-Protokoll
FireUI.log
Client-UI-Protokoll
163
Diese Protokolldateien können maximal 100 MB groß werden. Sind größere oder kleinere Dateien
gewünscht, kann die Größe durch Einrichten des folgenden Registrierungswerts bestimmt
werden: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.
So legen Sie die Protokollgröße fest:
1
Wählen Sie den Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP aus, klicken Sie mit der rechten
Maustaste rechts im Fenster auf eine freie Stelle, und wählen Sie dann Neu, Dword-Wert
aus.
2
Benennen Sie den neuen Wert mit MaxFwLogSize.
3
Klicken Sie mit der rechten Maustaste auf MaxFwLogSize, und wählen Sie Ändern aus.
4
Ändern Sie den Wert auf die gewünschte Protokollgröße. Die Maßeinheit sind KB.
5
Klicken Sie auf OK, und schließen Sie dann den Registrierungs-Editor.
HINWEIS: Mit dem Registrierungsschlüssel MaxFwLogSize wird die Größe folgender Dateien
bestimmt: FireSvc.log, HipMgtPlugin.log, FireTray.log, FireUI.log. Durch Erstellung des
Registrierungsschlüssels und Festlegung eines Werts wird die maximale Größe aller dieser
Protokolldateien festgelegt.
Dieses befehlszeilenbasierte Dienstprogramm unterstützt die Automatisierung von Upgrades
und anderen Wartungsaufgaben, wenn Host Intrusion Prevention mithilfe von Software von
Drittherstellern auf Client-Computern bereitgestellt wird. Es kann in Skripts zur Installation und
Wartung eingebettet werden, um den IPS-Schutz vorübergehend zu deaktivieren und
Protokollierungsfunktionen zu aktivieren.
Funktionsweise und Einrichtung
Mit diesem Dienstprogramm können Administratoren folgende Vorgänge auf dem McAfee Host
IPS-Client durchführen:
• Host IPS-Dienst starten
• Host IPS-Dienst anhalten (Administratorkennwort oder zeitbasiertes Kennwort erforderlich)
• Protokollierungseinstellungen ändern (Administratorkennwort oder zeitbasiertes Kennwort
erforderlich)
• Host IPS-Module starten/anhalten (Administratorkennwort oder zeitbasiertes Kennwort
erforderlich)
• Aktivitätsprotokoll in formatierte Textdatei exportieren
• NaiLite-Lizenzinformationen aus der Registrierung auf dem Client-Computer anzeigen
• Konfigurationseinstellungen in formatierte Textdatei exportieren
• Konfigurationseinstellungen durch Standardrichtlinieneinstellungen ersetzen
• Schutzregeln beim Start von IPS aus der Registrierung exportieren
Die Aktivitäten des Dienstprogramms werden in der Datei ClientControl.log erfasst. Diese
liegt unter: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host
Intrusion Prevention; oder C:\Programmdaten\McAfee\Host Intrusion Prevention (Windows
Vista, Windows 2008, Windows 7).
164
Zum Aktivieren der Protokollierung ändern Sie in der Registrierung den Eintrag
HKLM\Software\McAfee\HIP durch Hinzufügen des Eintrags FwLogLevel, Typ DWORD
mit einem Wert von 0x7.
Anhalten von Host IPS-Diensten
Mit dem Parameter /stop werden Host IPS-Dienste angehalten. Voraussetzung ist, dass der
Benutzer Administratorrechte hat. Darf der Benutzer Dienste auf dem Computer anhalten,
geschieht Folgendes:
• Die Host IPS-Dienste werden deaktiviert. Das Kontrollkästchen "Host IPS" auf der
Registerkarte "IPS-Richtlinie" wird automatisch deaktiviert.
• Die Host IPS-Dienste werden nicht angehalten. In der Datei ClientControl.log wird ein
Eintrag erfasst.
• McAfee Agent erzwingt die Richtlinien beim nächsten Intervall.
• Werden Richtlinien von McAfee Agent erzwungen, während der Schutz deaktiviert ist (z. B.
bei der Anwendung von Patches in Windows), kann der entsprechende Vorgang durch die
Richtlinien blockiert werden.
Auch wenn die Host IPS-Dienste erfolgreich angehalten werden, kann es aufgrund von
Richtlinieneinstellungen sein, dass McAfee Agent die Dienste beim nächsten
Kommunikationsintervall zwischen Agent und Server (ASCI) wieder startet. Dies kann wie folgt
verhindert werden:
1
Öffnen Sie in ePolicy Orchestrator die Richtlinie Host Intrusion Prevention: Allgemein.
2
Wählen Sie die Registerkarte Erweitert aus.
3
Deaktivieren Sie Produktintegritätsprüfung durchführen.
4
Führen Sie eine Agenten-Reaktivierung durch.
Befehlszeilensyntax
Konventionen:
• [ ] bedeutet erforderlich.
• [xxx, ...] bedeutet mindestens eine(r, s).
• < > bedeutet vom Benutzer eingegebene Daten.
Hauptargumente:
Pro Aufruf ist nur eines der folgenden Hauptargumente zulässig:
• /help
• /start
• /stop
• /log
• /engine
• /export
Beim Ändern von Protokollierungseinstellungen können Sie aber mehrere Protokolloptionen
angeben.
Wird das Dienstprogramm mit dem Befehl /help ausgeführt, erhalten Sie die aktuelle Hilfe
sowie Hinweise.
Verwendung:
clientcontrol [arg]
165
Definition von Argumenten:
• /help
Zeigt die Befehlszeilensyntax und Hinweise an.
• /start
Startet den Dienst.
• /stop <Kennwort>
Hält den Dienst an.
• /log <Kennwort> [Protokolltyp] [Protokolloptionen]
Generiert Protokolle. Die Protokolloptionen werden der Reihe nach verarbeitet.
Definitionen von Protokolltypen:
• 0 = HIPS (erstellt HipShield.log)
• 1 = Firewall (erstellt FireSvc.log)
Definitionen für Protokolloptionen:
• 0 = Aus
• 1 = Fehler
• 2 = Warnung
• 3 = Info
• 4 = Debug
• 5 = Sicherheitsverstoß (nur IPS)
• /engine <Kennwort> [Modultyp] [Moduloption]
Deaktiviert und aktiviert die Module.
Definitionen von Modultypen:
• 0 = Alle
• 1 = Buffer Overflow
• 2 = SQL (nur Server)
• 3 = Registrierung
• 4 = Dienste
• 5 = Dateien
• 6 = HTTP (nur Server)
• 7 = Host IPS API
• 8 = Unzulässige Nutzung
• 9 = Programm
• 10= Einklinken
Definitionen von Moduloptionen:
• 0 = Aus
• 1 = Ein
• /export /s <Pfad der Exportquelldatei> <Pfad der Ereignisprotokollexportdatei>
Exportiert das Ereignisprotokoll in eine formatierte Textdatei. Der Pfad der Quelldatei muss
nicht eingegeben werden. Wenn es keine Quelldatei gibt, geben Sie /s nicht ein.
• /readNaiLic
166
Zeigt die NaiLite-Lizenzinformationen an.
• /exportConfig <Pfad der Exportdatei> <Konfigurationstyp>
Exportiert Konfigurationseinstellungen in eine formatierte Textdatei.
Definitionen von Konfigurationstypen:
• 0 = Alle
• 1 = Anwendungsschutz
• 2 = Blockierte Hosts
• 3 = Firewall
• 4 = Benutzerdefinierte Signaturen in Host IPS
• 5 = IPS-Ausnahmen
• 6 = Einstellungen
• 7 = Vertrauenswürdige Anwendungen
• 8 = Vertrauenswürdige Netzwerke
• 9 = Netzwerk-IPS-Signaturen
• 10 = Host IPS-Signaturen
• 11 = Host IPS-Module
• 12 = Anmeldesitzungen
• 13 = DNS-Blockierregeln
• /defConfig <Kennwort>
Ersetzt im Zusammenhang mit den Einstellungen für Anwendungsschutz, Firewall und
vertrauenswürdige Anwendungen die Konfigurationseinstellungen durch standardmäßige
Client-Richtlinien.
• /bootTimeRules <Kennwort> <Pfad der Exportdatei>
Exportiert Regeln beim Start von IPS in eine formatierte Textdatei.
HINWEIS:
• Zwischen Argument, Kennwort und anderen erforderlichen Parametern muss mindestens
ein Leerzeichen sein.
Beispielarbeitsabläufe
Anwenden eines Patches auf einen Computer mit McAfee Host IPS
1
Öffnen Sie die Eingabeaufforderung.
2
Führen Sie clientcontrol.exe /stop <Kennwort> aus.
3
Warten Sie das System.
4
Führen Sie clientcontrol.exe /start aus (zwecks Neustart der Host IPS-Dienste).
Exportieren des Aktivitätsprotokolls von Host IPS in eine Textdatei
1
2
Führen Sie clientcontrol.exe /export <Pfad der Exportdatei> aus.
3
Kopieren Sie die exportierte Protokolldatei zu Erfassungs-, Analyse- oder sonstigen Zwecken
auf einen anderen Computer.
Aktivieren der Protokollierung bei der Fehlerbehebung
1
167
2
Führen Sie clientcontrol.exe /log <Kennwort> [Protokolltyp] [Protokolloption, ...] aus.
3
Generieren Sie Protokolleinträge.
4
Prüfen Sie HipShield.log oder FireSvc.log auf wichtige Informationen.
Deaktivieren bestimmter Host IPS-Module bei der Fehlerbehebung
168
1
2
Führen Sie clientcontrol.exe /log <Kennwort> [Modultyp] [Moduloption] aus.
3
Erzeugen Sie mithilfe von Vorgängen Reaktionen und Protokolleinträge.
4
Prüfen Sie HipShield.log oder FireSvc.log auf wichtige Informationen.
Index
A
Abfang von Systemaufrufen 33
Abfragen, Host IPS
Benutzerdefiniert, Parameter für 14
Berichte 10
Nachverfolgung von Aktivitäten 14
Verwalten von Informationen 13
Vordefiniert und benutzerdefiniert 14
Abschirmen und Umhüllen
IPS-Verhaltensregeln und 35
Abschirmung und Umhüllung 33
Adaptiver Modus
Anwenden 23
Häufig gestellte Fragen 23
In IPS im Vergleich zur Firewall 23
Regeln nicht automatisch erstellt 23
Ausnahme und 36
Automatische Optimierung 20
Firewall-Regeln, Richtlinien 77
Informationen 10
Richtlinie für IPS-Optionen 38
Richtlinien für Firewall-Optionen 73
Versetzen von Host IPS-Clients in 22, 37
Aktivitätsprotokolle, Host IPS
Anpassen von Optionen 109
Anzeigen 108
Arbeiten mit der Registerkarte "Aktivitätsprotokoll" 108
Firewall-Protokollierungsoptionen 100
IPS-Protokollierungsoptionen 99
Löschen von Einträgen 108
Aktualisieren
Einchecken von Host IPS-Paketen 30
Host IPS-Inhaltspaket 30
Host IPS-Methoden 31
Signaturen, Host IPS 30
Allgemeine Richtlinien, Host IPS
Berechtigungen für 26
Funktionsübersicht 85
Richtlinienseite "Vertrauenswürdige Anwendungen" 93
Anwendungsschutzregeln
Arbeiten mit 49
Erstellen 52
Informationen 36
Konfigurieren 51
Prozesse, erlaubt oder blockiert 49
Richtlinie für IPS-Regeln 36, 40, 52
Überblick 49
Ausbringung
Ersteinführung von Host IPS-Clients 21
Host IPS-Richtlinien und 10
Nutzungsprofile in Host IPS 10
Server-Tasks für Host IPS 26
Ausnahmeregeln
Aggregierung und Client-Regeln 57
Ausnahmeregeln (Fortsetzung)
Arbeiten mit 52
Ausnahme erstellen 101
Automatische Optimierung 22
Bearbeiten von IPS-Richtlinien 104
Definition 10
Ereignisse und 54
Erstellen 53
Erstellung basierend auf einem Ereignis 54
Informationen 36
Konfigurieren der Richtlinie für IPS-Regeln 53
Liste, Windows-Client und 103
Richtlinie für IPS-Regeln 40, 52
B
Basisschutz
Host IPS 7
Host IPS-Standardrichtlinien 20
Befehlszeilenoptionen
Anhalten des Solaris-Clients 112
Anhalten und Neustarten des Linux-Clients 116
ClientControl.exe, automatische Upgrades 99
Solaris-Client, Neustarten 113
Überprüfen, ob der Linux-Client ausgeführt wird 116
Überprüfen, ob der Solaris-Client ausgeführt wird 112
Benachrichtigungen, Host IPS
Informationen 28
Konfigurieren 19
Regeln und Ereignisse 28
Unterstützte, produktspezifische Kategorien 28
Benutzerdefinierte Signaturen
Abschnittswertvariablen 121
Allgemeine Abschnitte 118
Gültige Richtlinien für Linux 153
Gültige Richtlinien für Solaris 153
Gültige Richtlinien für Windows 142
Linux 145
Linux, UNIX_apache (HTTP) 148
Linux, UNIX_file (Dateien) 145
Linux, UNIX_misc 150
Optionale Abschnitte 120
Platzhalter 121
Regelstruktur 117
Solaris 145
Solaris, UNIX_apache (HTTP) 148
Solaris, UNIX_bo 151
Solaris, UNIX_file (Dateien) 145
Solaris, UNIX_GUID 152
Solaris, UNIX_map 152
Solaris, UNIX_misc 150
Überblick für Linux und Solaris 145
Überblick für Windows 124
Windows, Buffer Overflow 124
Windows, Files 125
Windows, Hook 129
169
Index
Benutzerdefinierte Signaturen (Fortsetzung)
Windows, Illegal 130
Windows, Illegal API Use 129
Windows, Isapi 130
Windows, Program 133
Windows, Registry 135
Windows, Richtlinien für Plattform 142
Windows, Services 138
Windows, SQL 140
Berechtigungssätze
Host IPS-Berechtigungen 26
Verwalten einer Host IPS-Ausbringung 26
Wer konfiguriert das System 19
Zuweisen 27
Buffer Overflow
IPS-Verhaltensregeln und 35
Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen"
91
Verhindern auf Solaris-Client 110
C
Client-Regeln
Firewall 73, 82
Erstellen, mit adaptiven und Lernmodi 10
Erzeugen von Ausnahmen 36
Firewall 73, 82
Host IPS-Abfragen 14
IPS 40
Richtlinie für IPS-Regeln, Übersicht 57
Clients
Abfragen für Gruppen von 14
Aktualisierung durch Task- oder Agenten-Reaktivierung 31
Analysieren von Daten auf Host IPS-Clients 21
Arbeiten mit, in Host IPS 21
Linux (siehe Linux-Client) 113
Namenskonventionen in Host IPS 21
Optimieren von Host IPS 21
Solaris (siehe Solaris-Client) 110
Windows (siehe Windows-Client) 95
Compliance
Konfigurieren anzuzeigender Host IPS-Dashboards 19
D
Dashboards
Abfragen und Host Intrusion Prevention 10
Anzeigen von Compliance- und Host IPS-Problemen 19
Standardmäßige Host IPS-Monitore 13
Verwalten von Informationen in Host IPS 13
Dienstprogramm ClientControl
Anhalten von Diensten 164
Befehlszeilensyntax 164
Funktionsweise und Einrichtung 164
Verwenden zur Fehlerbehebung 164
Dienstprogramme
ClientControl.exe, automatische Upgrades 99
DNS-Blockierungsregeln
Erstellen und Bearbeiten 81
E
Effektive Richtlinie
Mit Richtlinien mit mehreren Instanzen 42
Eindringungsschutz (IPS)
Abfang von Systemaufrufen 33
Abschirmung und Umhüllung 33
170
Eindringungsschutz (IPS) (Fortsetzung)
Adaptiver Modus und Ausnahmen 36
Ausnahmen 36
Bearbeiten von Ausnahmeregeln 104
Bereitstellungsmethoden 33
Client-Regeln 14
Client-Regeln, Übersicht 57
Firewall-Protokollierungsoptionen 100
HIPS, über 34
Module und Treiber 33
NIPS, Info 34
Protokollierungsoptionen 99
Reaktionen 35
Richtlinie für den IPS-Schutz 39
Signaturen, definiert 34
Überblick 32
Verhaltensregeln 35
Empfehlungen
Einsatz von IPS-Schutz zur Staffelung der Auswirkungen von
Ereignissen 10
Host IPS-Ausbringung in mehreren Phasen 21
Logisches Gruppieren von Host IPS-Clients 21
McAfee-Support kontaktieren, um HIPS-Module zu deaktivieren
100
Optimieren von Host IPS-Standardrichtlinien 19
Systeme durch Host IPS-Kriterien gruppieren 10
Ereignisse, Host IPS
Analysieren und Optimieren 10
Arbeiten mit 54
Ausnahmen 36
Benachrichtigungen 28
Firewall, Aktivitätsprotokolle 108
Intrusionswarnungen, reagieren auf 101
Protokollierung und IPS-Ereignisse, Registerkarte 37
Richtlinie für IPS-Regeln 40
Signaturverletzungen 37
Verhaltensregeln 35
Verwalten 55
F
Falsch-Positive
Ausnahmen und Richtlinie für IPS-Regeln 52
Optimieren von Host IPS-Richtlinien 10
Richtlinie "Vertrauenswürdige Anwendungen", reduzieren 91
Fehlerbehebung, Host IPS
Anwendungsfehler nach Installation von Host Intrusion Prevention
155
Blockieren von Nicht-IP-Datenverkehr 155
Client-Benutzeroberfläche 89
Deaktivieren von Host IPS-Modulen 100
Ermitteln der fehlerverursachenden Komponente 155
Firewall-Protokollierung, Einstellen von Optionen 100
Linux-Client 113, 114
Optionen 99
Prüfen, ob Dienste ausgeführt werden 155
Solaris-Client 111
Tool hipts 111, 114
Verwenden des Dienstprogramms ClientControl 164
Verwenden von Protokollen 161
Windows-Client 99
Filter
Abfrage von Host IPS-Aktivitäten 14
Firewall, Funktionsweise der statusbehafteten Filterung 69
Host IPS-Ereignisse und Abfragen 10
Index
Firewall-Regeln
Firewall-Richtlinien, Host IPS
Funktionsübersicht 59
Firewall-Schutz
Aktivieren 73
Deaktivieren 73
Firewall, Host IPS
Statusbehaftete Paketprüfung 68, 70
Abfragen 14
Adaptiver und Lernmodus 72
Aktionen, Zulassen oder Blockieren 69
Client-Regeln 14, 73
DNS-Blockierungsregeln 81
Firewall Optionen, konfigurieren 75
Firewall-Regelgruppen, erstellen 79
Firewall-Regelliste, Reihenfolge 60
Firewall-Regeln 10, 77, 79
Firewall-Regeln, Funktionsweise 60
Firewall-Regeln, konfigurieren 78
Informationen 8
Liste von Regeln 78, 105, 106
Protokollierungsoptionen 100
Regelgruppen 62
Regelgruppen, standortabhängig 62
Regeln, Zulassen oder Blockieren 60
Standortabhängige Gruppen 80
Statusbehaftete Filterung, Funktionsweise 69
Statusbehaftete Paketfilterung 68
Statusbehaftete Paketprüfung 68, 70
Statusbehaftete Protokollverfolgung 71
Statustabelle 68
Überblick 59
Warnungen 102
Host IPS-Eigenschaftenübersetzung 27
Host IPS-Katalog
Abhängigkeiten 66
Bearbeiten 81
Erklärung 66
Exportieren aus 81
Exportieren nach 81
Filtern 81
Hinzufügen zu 81
Inhalt 66
Verwenden 81
I
Informationsmanagement
Analysieren von Host IPS-Client-Daten 21
Dashboards und Abfragen für Host IPS 13
Vordefinierte und benutzerdefinierte Abfragen für Host IPS 14
IP-Adresse
Firewall-Regeln und 105
Host IPS-Benachrichtigungen und Parameter 28
Konfigurieren von vertrauenswürdigen Netzwerken 90
Regelgruppen 62
Standortabhängige Gruppen 62
Statusbehaftete Firewall, IPv4 im Vergleich zu IPv6 68
Überwachen blockierter Hosts 107
IPS-Ereignisse
Arbeiten mit 54
Ausnahmen erstellen 54
Informationen 37
Überblick 54
Vertrauenswürdige Anwendungen erstellen 54
Verwalten 55
IPS-Schutz
Aktivieren 37
Deaktivieren 37
IPS, Host IPS
G
Globale Administratoren
Berechtigungssätze zuweisen 26
Gruppen, Host IPS
Anwenden von Richtlinien 9
Benachrichtigungen und 28
Firewall-standortabhängig, erstellen 80
Konfigurationskriterien 10
Löschen von Richtlinien und Vererbung für 18
Richtlinienzuweisung an 9
und Vererbung 9
H
Häufig gestellte Fragen
Adaptiver Modus 23
Richtlinien mit mehreren Instanzen 42
Host Intrusion Prevention-Signaturen 34
Host IPS
Aktivitäten und Dashboards 13
Basisschutz und erweiterter Schutz 7
Berechtigungssätze 26
Einrichten und Optimieren des Schutzes 20
Funktionen und Kategorien 9
Funktionsweise 7
Reagieren auf Warnungen 101
Registerkarte "Intrusionsinformationen" 101
Richtlinien und ihre Kategorien 9
Richtlinientypen 8
K
Kennwörter
Entsperren der Windows-Client-Konsole 97
für Richtlinie "Client-Benutzeroberfläche" 88
Verwenden des Fehlerbehebungstools hipts 111
L
Lernmodus
Firewall-Regeln 72
Firewall-Regeln, Richtlinien 77
Informationen 10
Richtlinien für Firewall-Optionen 73
Versetzen von Host IPS-Clients in 22
Linux-Client 113, 114, 115, 116
Anhalten und Neustarten 116
Aspekte 114
Fehlerbehebung 114, 116
Richtlinienerzwingung 113
Überblick 113
Überprüfen der Installationsdateien 115
M
Migration
Richtlinien 24
Richtlinienversion 7 auf 8 24
171
Index
N
Network Intrusion Prevention-Signaturen 34
Netzwerkadapter
Bedingungen zum Erlauben einer Verbindung 62
NIPS (Network Intrusion Prevention-Signaturen) 107
Nutzungsprofile
Gruppieren von Host IPS-Systemen 10
O
Optimieren von Host IPS
Adaptiver Modus und Lernmodus 22
Analysieren von Ereignissen 17
Manuell und automatisch 20
Nutzungsprofile 10
Richtlinien "Vertrauenswürdige Anwendungen" 91
Richtlinienverwaltung 10
Standardrichtlinien und 19
P
Pakete
Aktualisieren des Host IPS-Inhaltes 30
Platzhalter
Firewall-Regeln 83
IPS-Regeln 48
Benutzerdefinierte Signaturen 121
Ports
Blockierter Datenverkehr und Firewall-Regeln 72
Firewall und Einträge der Statustabelle 68
FTP-Verbindungen und statusbehaftete Paketprüfung 70
Verbindungen und Firewall-Warnungen 102
Protokolldateien, Host IPS
Fehlerbehebung für die Client-Benutzeroberfläche 89
Firewall-Aktivität 100
IPS-Aktivität 99
Linux-Client, Installationsverlauf 115
Solaris-Client, Installationsverlauf 112
Protokolle
Aktivieren 161
FireSvc.log 161
Für Firewall-Funktion 161
Für IPS-Funktion 161
HipShield.log 161
Statusbehaftete Firewall, Nachverfolgung 71
Verwenden zur Fehlerbehebung 161
R
Reaktionen
Einstellung, für Signaturschweregrade 40
Firewall-Warnungen, Reagieren auf 102
Informationen 35
Intrusionswarnungen, reagieren auf 101
IPS-Schutz konfigurieren 39
Typen 35
Warnungen bei erkanntem Spoofing, reagieren auf 102
Zuordnung zu IPS-Schweregrad 10
Reaktivierungen
Aktualisieren von Host IPS-Clients 31
Regelgruppen, Host IPS
Firewall-Regelgruppen, erstellen 79
Regellisten
Ausnahmen für Host IPS 103
Firewall-Regeln für Host IPS 106
172
Regelstruktur
Benutzerdefinierte Signaturen 117
Registerkarte "Blockierte Hosts", Arbeiten mit 107
Richtlinie "Client-Benutzeroberfläche"
Definieren 86
Fehlerbehebung 89
Informationen 8
Kennwörter 88
Konfigurieren 86
Optionen 98
Registerkarte "Allgemein", konfigurieren 87
Taskleistensteuerung, konfigurieren 87
Überblick 85
Richtlinie "Firewall-DNS-Blockierung"
Definieren 77
Informationen 8
Überblick 59
Richtlinie "Firewall-Optionen"
TrustedSource 76
Arbeiten mit 73
Informationen 8
Konfigurieren 75
Überblick 59
Richtlinie "Firewall-Regeln"
Platzhalter 83
Client-Regeln, verwalten 82
Definieren 77
Gruppen, erstellen 79
Informationen 8
Konfigurieren 78
Überblick 59
Richtlinie "McAfee-Standard"
DNS-Blockierung 77
Firewall-Optionen 73
Firewall-Regeln 77
Host IPS 9
IPS-Optionen 37
IPS-Regeln 40
IPS-Schutz 39
Vertrauenswürdige Anwendungen 91
Vertrauenswürdige Netzwerke 90
Richtlinie "Mein Standard"
DNS-Blockierung 77
Firewall-Optionen 73
Firewall-Regeln 77
Host IPS 9
IPS-Optionen 37
IPS-Regeln 40
IPS-Schutz 39
Richtlinie "Vertrauenswürdige Anwendungen"
Definieren 91
False-Positives, reduzieren 85
Informationen 8
Überblick 85
Richtlinie "Vertrauenswürdige Netzwerke"
Definieren 90
False-Positives, reduzieren 85
Informationen 8
Konfigurieren 90
Überblick 85
Vorrang und 90
Index
Richtlinie für den IPS-Schutz
Arbeiten mit 39
Informationen 8
Konfigurieren 40
Reaktionen, einstellen 40
Schweregrade, Einstellung 39
Überblick 32
Richtlinie für IPS-Optionen
Adaptiver Modus 37
Arbeiten mit 37
Informationen 8
Konfigurieren 38
Überblick 32
Vordefinierte Richtlinien 38
Richtlinie für IPS-Regeln
Platzhalter 48
Anwendungsschutzregeln 36, 49, 51
Anwendungsschutzregeln, konfigurieren 41
Arbeiten mit Signaturen 43
Ausnahmen, konfigurieren 41
Ausnahmeregeln 52
Definieren 40
Ereignisprotokollierung 37
Ereignisse, arbeiten mit 54
Informationen 8
Konfigurieren 41, 51
Signaturen, konfigurieren 41
Überblick 32
Verwalten von Ausnahmen 53
Richtlinien mit mehreren Instanzen
Bei der Ausbringung verwenden 42
Effektive Richtlinie 42
Zuweisen 41, 93
Richtlinien, Host IPS
Migration 24
Anwenden von Richtlinien 9
Anzeigen von Richtlinien 18
außer Kraft setzen, durch Client-Ausnahmen 10
Client-Regeln, Erstellen von Ausnahmen 10
Definition 9
Firewall (siehe Firewall, Host IPS) 8
Firewall-DNS-Blockierung 77
Firewall-Optionen 73, 75
Firewall-Regeln 77, 78
Funktionsübersicht 8, 32
Konfigurieren von IPS-Optionen 38
Mehrere Instanzen 41, 93
Neu erstellen 19
Nutzungsprofile und Optimierung 10
Optimieren von Standards 19
Reagieren auf Warnungen 102
Richtlinienkatalog 18
Standardwerte, Basisschutz 7
Suchen 18
und ihre Kategorien 9
Vererbung 10
Verwalten 18
vordefinierter Schutz 10
Zugewiesener Eigentümer 9
Zuweisen 20
Richtlinienerzwingung
Host IPS 9
Host IPS-Client und ePO 7
Linux-Client und 113
Solaris-Client und 110
Richtlinienkatalog
Benutzerdefinierte Firewall-Richtlinien, erstellen 73, 77
Eigentümerschaft für Host IPS-Richtlinien 8
Verwalten von Host IPS-Richtlinien 18
Analysieren von Host IPS-Ereignissen und Client-Regeln 17
Linux-Client und 113
Nachverfolgung von Host IPS-Richtlinien 10
Optimieren von Host IPS 10, 20
Registerkarte "Richtlinien", Host IPS 18
Zugriff auf Host IPS-Richtlinien 18
Richtlinienzuweisung
Aktivieren des Firewall-Schutzes 73
Ändern 20
Host IPS 9
S
Schweregrade, IPS
Arbeiten mit Signaturen 43
Einrichten und Optimieren des Schutzes 20
Ereignisse und 54
Optimieren 10, 19
Reaktionen einstellen für 40
Richtlinie für den IPS-Schutz 39
Zuordnung zu einer Reaktion 10
Server-Tasks, Host IPS
Abfrage ausführen 27
Abfragen exportieren 27
Bedrohungsereignisprotokoll bereinigen 27
Eigenschaftenübersetzung 27
Einchecken von Aktualisierungen 30
Ereignisprotokoll bereinigen 27
Repository-Abruf 27
Richtlinien exportieren 27
Verwalten von Ausbringungen 26, 27
Signaturen
Arbeiten mit 43
Ausnahmen 36
Ausnahmeregelliste 103
Benutzerdefiniert 43
Definition 34
Erstellen mit dem Expertenverfahren 46
Erstellen mit dem Standardverfahren 46
Erstellen von benutzerdefinierten Host IPS 46
HIPS, über 34
Host 43
Host IPS und Ausnahmen 101
Host- und Netzwerk-IPS 28
Konfigurieren der Richtlinie für IPS-Regeln 45
Mithilfe des Assistenten erstellen 47
Netzwerk 43
NIPS, Info 34
Schweregrade 43
Schweregrade für 39
Standard-Host IPS 43
Typen 43
Warnungen und NIPS-Signaturen 101
Signatursicherheitsstufen
Typen 43
173
Index
Solaris-Client
Anhalten und Neustarten 112, 113
Fehlerbehebung 111
Installationsdateien 112
Richtlinienerzwingung 110
Überblick 110
Überprüfen, ob der Client ausgeführt wird 112
Verhindern von Pufferüberläufen 110
Sprache, Host IPS
Einstellen von Optionen für Clients 98
Standortabhängige Gruppen
Erstellen 80
Konnektivitätsisolation 64
Statusbehaftete Firewall
Funktionsweise der statusbehafteten Filterung 69
Paketprüfung, Funktionsweise 70
Protokollverfolgung 71
Statustabelle, Firewall
Funktionalität 68
Überblick 68
Systemverwaltung
Aktualisieren des Host IPS-Schutzes 30
Benachrichtigungen für Host IPS-Ereignisse 28
Server-Tasks für Host IPS 26, 27
T
Taskleistensymbol
Deaktivieren einer Host IPS-Funktion 87
Einstellen von Client-Optionen 98
Tipps
Verwenden von Benachrichtigungen 28
TrustedSource
Definition 76
Funktionsweise 76
Richtlinie "Host IPS-Firewall-Optionen" 76
U
Überwachte Prozesse, anzeigen 108
V
Verhaltensregeln
Abschirmen und Umhüllen 35
Legitime Host IPS-Aktivität definieren 35
Definition 10
Erstellen einer Liste im Host IPS 91
Erstellen und Bearbeiten, im Host IPS 93
Erstellung basierend auf einem Ereignis 54
Konfigurieren, im Host IPS 92
174
Vertrauenswürdige Anwendungen (Fortsetzung)
Vorkonfigurierte Richtlinien
Firewall-Regeln 77
IPS-Optionen 37
IPS-Schutz 39
Vorrang
Allgemeine Richtlinien, Host IPS und 85
Firewall-Regelliste 60
Netzwerk-IPS und IP-Adressen 90
Richtlinie "Vertrauenswürdige Netzwerke" 90
W
Warnungen bei erkanntem Spoofing 102
Warnungen, Host IPS
Einstellen von Optionen für Clients 98
Firewall 102
Intrusionswarnungen 101
Lernmodus und unbekannter Netzwerkverkehr 72
Reagieren auf 101, 102
Spoofing erkannt 102
Windows-Clients 101
Windows-Client
Ausnahmeregeln für IPS-Richtlinien 103, 104
Firewall-Regelliste 105
Firewall-Regeln, erstellen und bearbeiten 106
IPS-Richtlinien, Arbeiten mit 103
IPS-Richtlinien, bearbeiten 104
Registerkarte "Aktivitätsprotokoll" 108, 109
Registerkarte "Anwendungsschutz" 108
Registerkarte "Blockierte Hosts" 107
Registerkarte "Firewall-Richtlinie" 105
Registerkarte "IPS-Richtlinie" 103
Überblick 95
Warnungen 101
Windows-Client-Konsole
Anpassen je Client 98
Entsperren der Benutzeroberfläche 97
Methoden zum Öffnen 97
Taskleistenmenü 95
Überblick 95
Z
Zulassen oder Blockieren von Aktionen
Netzwerk-Kommunikationen, Firewall-Richtlinie 105
Statusbehaftete Firewall-Filterung 69

McAfee Host Intrusion Prevention 8.0

Transcription

Similar documents

McAfee Enterprise Security Manager 9.5.1 Produkthandbuch

McAfee Enterprise Security Manager 9.5.0 Produkthandbuch

Sun Fire V440 Server Diagnostics and Troubleshooting Guide

McAfee Endpoint Security 10.1 Produkthandbuch

Endpoint Security 10.2.0 Migrationshandbuch

McAfee ePolicy Orchestrator 5.3.0 – Software

Endpoint Security 10 Produkthandbuch - Knowledge Center

McAfee Endpoint Security 10.2.0 Installationshandbuch Zur

mit openldap und radius - Digital

Hinweise zum Arbeiten mit UNIX