McAfee Endpoint Security Guía de producto de Firewall. (McAfee epolicy Orchestrator)

(1)

(McAfee ePolicy Orchestrator)

(2)

SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource y VirusScan son marcas comerciales de McAfee LLC o sus filiales en EE. UU. y otros países.

Otros nombres y marcas pueden ser reclamados como propiedad de terceros.

INFORMACIÓN DE LICENCIA Acuerdo de licencia

AVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO LEGAL PERTINENTE CORRESPONDIENTE A LA LICENCIA QUE HAYA ADQUIRIDO, EN EL QUE SE ESTABLECEN LOS TÉRMINOS Y LAS CONDICIONES GENERALES DE APLICACIÓN AL USO DEL SOFTWARE CUYA LICENCIA SE CONCEDE. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS RELATIVOS A LA VENTA, ASÍ COMO OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑEN AL PAQUETE DE SOFTWARE O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (TALES COMO UN FOLLETO, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE HAYA DESCARGADO EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS ESTABLECIDOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL PUNTO DE VENTA PARA OBTENER EL REEMBOLSO ÍNTEGRO DE SU IMPORTE.

(3)

1 Descripción general del producto 5

Descripción general de Endpoint Security . . . 5

Cómo funciona Endpoint Security . . . 6

Descripción general de Firewall . . . 8

Funciones clave de Firewall . . . 8

Cómo funciona Firewall . . . 9

Descripción general de las funciones . . . 10

Cómo funcionan las reglas de firewall . . . 10

Cómo funcionan los grupos de reglas de firewall . . . 12

Inspección y filtrado de paquetes con seguimiento de estado de Firewall . . . 17

Uso de redes de confianza para permitir el tráfico de forma automática . . . 21

Usar ejecutables y aplicaciones de confianza para reducir los falsos positivos . . . 21

Utilizar el Catálogo de Firewall para hacer referencia a los elementos existentes . . . 21

Protocolos de Firewall . . . 22

Cómo afecta al Firewall el modo de adaptación . . . 24

Preguntas frecuentes: McAfee GTI y Firewall . . . 24

Adiciones de Firewall a McAfee ePO . . . 25

Conjuntos de permisos y Firewall . . . 26

Tareas cliente y Firewall . . . 27

2 Configuración de Firewall 29 Directivas y Firewall . . . 29

Activar y configurar Firewall . . . 31

Bloquear tráfico DNS . . . 31

Definir redes para usar en reglas y grupos . . . 32

Configuración de ejecutables de confianza . . . 32

Usar el nombre distintivo del firmante de McAfee ePO para especificar ejecutables de confianza . . 33

Administrar reglas y grupos de firewall . . . 33

Caracteres comodín en las reglas de Firewall . . . 34

Crear grupos de aislamiento de conexión . . . 35

Creación de grupos sincronizados . . . 36

Use el Catálogo de Firewall . . . 36

Ajustar Firewall . . . 37

Utilizar el modo de adaptación para crear reglas de cliente automáticamente . . . 38

Análisis de datos de clientes . . . 40

3 Supervisión de la actividad de Firewall con McAfee ePO 43 Paneles, monitores y Firewall . . . 43

Consultas, informes y Firewall . . . 44

Tareas del servidor y Firewall . . . 46

Acumulación de datos de sistemas o eventos para Endpoint Security . . . 47

Eventos, respuestas y Firewall . . . 47

4 Uso de Firewall en un sistema cliente 49 Activación y desactivación de Firewall en el icono de la bandeja del sistema de McAfee . . . 49

(4)

Activación o visualización de los grupos sincronizados de Firewall mediante el icono de la bandeja del sistema de

McAfee . . . 49

5 Administración de Firewall en un sistema cliente 51 Activar y configurar Firewall en un sistema cliente . . . 51

Tráfico DNS bloque en un sistema cliente . . . 52

Definir redes para usar en reglas y grupos en un sistema cliente . . . 52

Configurar ejecutables de confianza en un sistema cliente . . . 53

Usar el nombre distintivo del firmante para especificar ejecutables de confianza en un sistema cliente . . . 54

Crear y administrar reglas y grupos de Firewall en un sistema cliente . . . 55

Crear grupos de aislamiento de conexión en un sistema cliente . . . 56

Crear grupos sincronizados en un sistema cliente . . . 57

6 Supervisión de la actividad de Firewall en un sistema cliente 59 Consulte el Registro de eventos para ver la actividad reciente . . . 59

Nombres y ubicaciones de los archivos de registro de Firewall . . . 59

(5)

1 Descripción general del producto

Contenido

Descripción general de Endpoint Security Cómo funciona Endpoint Security Descripción general de Firewall Funciones clave de Firewall Cómo funciona Firewall

Descripción general de las funciones Adiciones de Firewall a McAfee ePO

Descripción general de Endpoint Security

McAfee^® Endpoint Security es una solución de seguridad integrada y ampliable que protege servidores, sistemas de equipos, portátiles y tabletas contra amenazas conocidas y desconocidas. Las posibles amenazas incluyen malware, comunicaciones sospechosas, sitios web no seguros y archivos descargados.

Endpoint Security facilita que múltiples tecnologías de defensa se comuniquen en tiempo real para analizar y proteger contra amenazas.

Endpoint Security consiste en estos módulos de seguridad:

• Prevención de amenazas: evita que la amenazas accedan a los sistemas, analiza los archivos

automáticamente cuando se accede a ellos y ejecuta análisis dirigidos en busca de malware en los sistemas cliente.

• Firewall: supervisa la comunicación entre el equipo y los recursos de la red e Internet. Intercepta las comunicaciones sospechosas.

• Control web: supervisa las búsquedas web y la actividad de navegación en los sistemas cliente y bloquea los sitios web y descargas según las calificaciones de seguridad y el contenido.

• Protección adaptable frente a amenazas: analiza el contenido de su empresa y decide cómo responder en función de la reputación de los archivos, las reglas y los umbrales de reputación. Protección adaptable frente a amenazas es un módulo opcional de Endpoint Security.

El módulo Ajustes generales proporciona la configuración para las funciones comunes, tales como la seguridad de interfaz y el registro. Este módulo se instala automáticamente si se instala cualquier otro módulo.

Todos los módulos se integran en una única interfaz de Endpoint Security en el sistema cliente. Cada módulo funciona conjuntamente e independiente para proporcionar varios niveles de seguridad.

Véase también

Cómo funciona Endpoint Security en la página 6 Descripción general de Firewall en la página 8

1

(6)

Cómo funciona Endpoint Security

Endpoint Security intercepta las amenazas, supervisa el mantenimiento general del sistema y proporciona información sobre el estado y detecciones. El software cliente se instala en cada sistema para realizar estas tareas.

Normalmente, instala uno o más módulos Endpoint Security en sistemas cliente, gestiona las detecciones y configura los ajustes que determinan cómo se comportan las funciones del producto.

McAfee ePO

Utiliza McAfee^® ePolicy Orchestrator^® (McAfee^® ePO^™) para desplegar y gestionar los módulos de Endpoint Security en sistemas cliente. Cada módulo incluye una extensión y un paquete de software que se instalan en el servidor de McAfee ePO. A continuación, McAfee ePO despliega el software en los sistemas cliente.

Con McAfee^® Agent, el software cliente se comunica con McAfee ePO para obtener la configuración e implementación de directivas, actualizaciones de productos y generación de informes.

Módulos de cliente

El software cliente protege los sistemas mediante actualizaciones regulares, supervisión continua y generación de informes detallados.

Envía datos sobre detecciones en sus equipos al servidor McAfee ePO. Estos datos se emplean para generar informes sobre las detecciones y los problemas de seguridad en sus equipos.

Servidor de TIE y Data Exchange Layer

El marco de trabajo de Endpoint Security se integra con McAfee^® Threat Intelligence Exchange (TIE) y McAfee^® Data Exchange Layer (DXL) cuando utiliza la Protección adaptable frente a amenazas. Estos productos opcionales le permiten controlar localmente la reputación de archivos y compartir la información inmediatamente en su entorno.

Si el servidor de TIE no está disponible, Protección adaptable frente a amenazas consulta a McAfee^® Global Threat Intelligence^™ (McAfee GTI) la información de reputación.

McAfee GTI

Prevención de amenazas, Firewall, Control web y Protección adaptable frente a amenazas consultan a McAfee GTI la información de reputación para determinar cómo gestionar los archivos en el sistema cliente.

(7)

McAfee Labs

El software cliente se comunica con McAfee Labs para obtener actualizaciones de motor y archivos de contenido. McAfee Labs publica regularmente paquetes de contenido actualizado.

Figura 1-1 Cómo funciona

Cómo se mantiene actualizada su protección

Las actualizaciones regulares de Endpoint Security protegen sus equipos frente las amenazas más recientes.

Para realizar las actualizaciones, el software cliente se conecta con un servidor McAfee ePO local o remoto o directamente al sitio web Internet. Endpoint Security comprueba si:

• Actualizaciones de los archivos de contenido que detectan amenazas. Los archivos de contenido incluyen definiciones de amenazas tales como virus y spyware, y estas definiciones se actualizan a medida que se descubren nuevas amenazas.

• Ampliaciones de los componentes de software, como parches y hotfixes.

Véase también

Descripción general de Firewall en la página 8 Cómo funciona Firewall en la página 9

(8)

Descripción general de Firewall

Firewall de McAfee^® Endpoint Security de McAfee^® protege los recursos del sistema y las aplicaciones frente a los ataques internos y externos.

Firewall analiza todo el tráfico de entrada y salida, y lo compara con su lista de reglas de firewall, el cual es un conjunto de criterios con acciones asociadas. Si un paquete coincide con todos los criterios de una regla, el firewall actúa de acuerdo con dicha regla, bloqueando o permitiendo el tráfico a través del firewall.

Utilice McAfee ePO para desplegar y gestionar Firewall en sistemas cliente.

Véase también

Descripción general de Endpoint Security en la página 5

Funciones clave de Firewall

Las funciones clave de Firewall protegen frente a amenazas, detectan problemas de seguridad y corrigen falsos positivos.

Protección

Proteja su red y las aplicaciones con estas funciones de Firewall:

• Reglas: defina los criterios que utiliza Firewall para determinar si bloquear o permitir el tráfico entrante y saliente.

• Grupos de reglas: organice reglas de firewall para realizar tareas de administración de forma sencilla aplicando reglas de forma manual o planificada y procese el tráfico únicamente en función del tipo de conexión.

• Filtrado e inspección de paquetes con seguimiento de estado: realice un seguimiento del estado de conexión de la red y las características mediante una tabla de estados para permitir únicamente paquetes que coincidan con una conexión abierta conocida.

• Control basado en la reputación: bloquee archivos ejecutables que no sean de confianza o todo el tráfico de una red que no sea de confianza, en función de la reputación.

Detección

Detecte problemas de seguridad con estas funciones de Firewall:

• Paneles y monitores: consulte los eventos de intrusión y detección de McAfee GTI y Firewall.

• Consultas e informes: obtenga información detallada sobre Firewall, incluidos errores, reglas de cliente y eventos de intrusión y bloqueo, e incluya esa información en informes.

• Alertas: consulte alertas de tráfico bloqueado, en función de la reputación de la red o el archivo ejecutable.

• Registro de tráfico: registre todo el tráfico bloqueado o permitido.

Corrección

Reduzca o elimine los falsos positivos con estas funciones de Firewall:

• Modo de adaptación: cree reglas automáticamente en el sistema cliente para permitir la actividad legítima.

Una vez creadas las reglas de cliente, analícelas y decida cuáles de ellas debe convertir en directivas impuesta por el servidor.

• Redes definidas: defina redes de confianza para permitir el tráfico de las redes que su organización

(9)

• Archivos ejecutables de confianza: mantenga una lista de archivos ejecutables seguros para reducir la cantidad de falsos positivos.

• Catálogo de Firewall: defina las reglas y los grupos que se agregarán a varias directivas, o bien las redes y las aplicaciones que se agregarán a las reglas de firewall.

• Opciones de cliente: permita a los usuarios desactivar Firewall temporalmente para solucionar problemas.

• Paneles y monitores: supervise la actividad y las intrusiones detectadas y, a continuación, utilice esa información para ajustar la configuración de Firewall.

Cómo funciona Firewall

Firewall analiza todo el tráfico entrante y saliente en el nivel de paquete y compara los paquetes con las reglas de firewall configuradas para determinar si debe permitir o bloquear el tráfico.

1 El administrador configura las reglas de firewall en McAfee ePO e implementa la directiva en el sistema cliente.

2 El usuario realiza una tarea que inicia la actividad de la red y genera tráfico.

3 Firewall analiza todo el tráfico entrante y saliente y compara los paquetes con las normas configuradas. Si el tráfico coincide con una regla, Firewall lo bloquea o lo permite en función de los criterios de la regla.

4 Firewall registra los detalles y, a continuación, genera un evento y lo envía a McAfee ePO.

Figura 1-2 Cómo funciona

(10)

Véase también

Grupos de reglas de firewall predefinidas en McAfee ePO en la página 12 Grupos de reglas de firewall predefinidas en un sistema cliente en la página 13 Grupos de reglas y aislamiento de conexión de Firewall en la página 15

Inspección y filtrado de paquetes con seguimiento de estado de Firewall en la página 17

Descripción general de las funciones

Contenido

Cómo funcionan las reglas de firewall

Cómo funcionan los grupos de reglas de firewall

Inspección y filtrado de paquetes con seguimiento de estado de Firewall Uso de redes de confianza para permitir el tráfico de forma automática Usar ejecutables y aplicaciones de confianza para reducir los falsos positivos Utilizar el Catálogo de Firewall para hacer referencia a los elementos existentes Protocolos de Firewall

Cómo afecta al Firewall el modo de adaptación Preguntas frecuentes: McAfee GTI y Firewall

Cómo funcionan las reglas de firewall

Las reglas de Firewall determinan cómo se gestiona el tráfico de red. Cada regla ofrece un conjunto de condiciones que debe cumplir el tráfico y una acción para permitir o bloquear tráfico.

Cuando el Firewall encuentra tráfico que coincide con las condiciones de una regla, realiza la acción asociada.

Puede definir reglas ampliamente (por ejemplo, todo el tráfico IP) o de forma restringida (por ejemplo, si se identifica un servicio o aplicación específico) y especifique las opciones. Puede agrupar reglas según una función de trabajo, servicio o aplicación para facilitar la administración. Además, puede definir grupos de reglas según las opciones de red, aplicación, transporte, planificación y ubicación.

Firewall utiliza la precedencia para aplicar reglas:

1 Firewall aplica la regla situada en primera posición en la lista de reglas de firewall.

Si el tráfico coincide con las condiciones de esta regla, el Firewall permite o bloquea el tráfico. No intenta aplicar ninguna otra regla de la lista.

2 No obstante, si el tráfico no cumple las condiciones de la primera regla, Firewall pasa a la siguiente regla de la lista hasta que encuentre una regla que coincida con el tráfico.

3 Si no coincide ninguna regla, el firewall bloquea automáticamente el tráfico.

(11)

Si se activa el modo de adaptación, se crea una regla Permitir para el tráfico. En ocasiones, en el tráfico interceptado coincide con más de una regla en la lista. En este caso, la precedencia significa que el Firewall se aplica únicamente a la primera regla que coincida de la lista.

Procedimientos recomendados

Coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Este orden asegura que Firewall filtra el tráfico adecuadamente.

Por ejemplo, para permitir todas las solicitudes HTTP excepto desde una dirección específica (por ejemplo, la dirección IP 10.10.10.1), cree dos reglas:

• Regla Bloquear: bloquea el tráfico HTTP de la dirección IP 10.10.10.1. Esta regla es específica.

• Regla Permitir: permite todo el tráfico utilizando el servicio HTTP. Esta regla es general.

Coloque la regla Bloquear en un nivel superior en la lista de reglas del firewall que la regla Permitir. Cuando el firewall intercepta la solicitud HTTP desde la dirección 10.10.10.1, la primera regla coincidente que encuentra es la que bloquee este tráfico a través del firewall.

Si la regla Permitir general es superior que la regla Bloquear específica, Firewall concuerda las solicitudes con la regla Permitir antes de encontrar la regla Bloquear. Permite el tráfico, a pesar de que desee bloquear la solicitud HTTP de una dirección específica.

(12)

Cómo funcionan los grupos de reglas de firewall

Los grupos de reglas de Firewall organizan las reglas de firewall para una administración más fácil. El software incluye grupos de reglas predefinidas con reglas que permiten que los servicios necesarios, como McAfee ePO y DNS, se ejecuten.

Los grupos de reglas de Firewall no afectan a la forma en que Firewall trata las reglas incluidas en ellos; el software procesa las reglas de arriba bajo.

Firewall procesa la configuración para el grupo antes de procesar la configuración para las reglas que contiene.

Si existe un conflicto entre estas configuraciones, la del grupo tiene prioridad.

Puede crear grupos de reglas personalizadas:

• Grupos sincronizados: Activan la configuración del grupo de forma manual o según un programa específico.

• Grupos de aislamiento de conexión: procesa únicamente el tráfico con un tipo de conexión y un criterio de grupo definidos.

Véase también

Utilizar grupos temporizados en la página 13

Hacer que los grupos detecten la ubicación en la página 13

Grupos de reglas de firewall predefinidas en McAfee ePO

Los grupos de Firewall predefinidos incluyen reglas necesarias, como reglas de redes principales para permitir aplicaciones de McAfee.

Grupo de Firewall Descripción

Redes principales de McAfee Contiene las reglas de redes principales proporcionadas por McAfee e incluye reglas para admitir DNS y aplicaciones de McAfee.

Estas reglas no se pueden modificar ni eliminar. Puede desactivar algunas reglas en este grupo seleccionando la opción Desactivar las reglas de redes principales de McAfee en Opciones de Firewall. Sin embargo, esto podría deteriorar las comunicaciones de red en el cliente.

Servidor de ePolicy

Orchestrator Contiene reglas para permitir la ejecución de servicios de McAfee ePO.

Conectividad básica de red

(requerida) Contiene reglas para permitir la ejecución de servicios de red básicos (por ejemplo DNS).

VPN Contiene reglas para permitir la ejecución de servicios de VPN.

ICMP Contiene reglas para permitir todo el tráfico de ICMP.

Autenticación AD de

Windows Contiene reglas para permitir la autenticación de Windows Active Directory.

NetBIOS Contiene reglas para permitir sesiones y servicios NetBIOS entrantes y salientes, y para bloquear servicios NetBIOS que no son de confianza.

Web/FTP Contiene reglas para permitir servicios HTTPS y FTP salientes.

Clientes de correo Contiene reglas para permitir servicios de correo saliente (por ejemplo, POP).

Herramientas de red Contiene reglas para permitir conexiones de Escritorio remoto (RDP).

(13)

Grupos de reglas de firewall predefinidas en un sistema cliente

Los grupos de Firewall predefinidos incluyen reglas necesarias, como reglas de redes principales para permitir aplicaciones de McAfee.

Si un grupo de firewall no tiene reglas definidas, este aparece en gris para indicar que el grupo está vacío.

Grupo de Firewall Descripción Redes principales de

McAfee Contiene las reglas de redes principales proporcionadas por McAfee e incluye reglas para admitir DNS y aplicaciones de McAfee.

Estas reglas no se pueden modificar ni eliminar. Puede desactivar algunas reglas en este grupo seleccionando la opción Desactivar las reglas de redes principales de McAfee en Opciones de Firewall. Sin embargo, esto podría deteriorar las comunicaciones de red en el cliente.

Definidas por el

administrador Contiene reglas definidas por el administrador en el servidor de administración.

Este grupo aparece en el Cliente de Endpoint Security solo si el sistema cliente está gestionado por McAfee ePO. En este caso, el grupo se muestra como Activado incluso si no contiene ninguna regla.

Estas reglas no se pueden modificar ni eliminar en el Cliente de Endpoint Security.

Definida por el

usuario Contiene reglas definidas en el Cliente de Endpoint Security.

En este caso, el grupo se muestra como Activado incluso si no contiene ninguna regla.

Dado que estas reglas se crean en el sistema cliente, pueden sobrescribirse cuando se implemente la directiva en función de la configuración de esta.

Adaptación Contiene reglas de excepciones de cliente que se crean automáticamente cuando el sistema está en modo de adaptación.

Este grupo se muestra como Activado incluso si no está activado el modo de adaptación y el grupo no contiene ninguna regla. Una vez que se activa el modo de adaptación, el grupo se llena con las reglas generadas automáticamente.

Dado que estas reglas se crean en el sistema cliente, pueden sobrescribirse cuando se implemente la directiva en función de la configuración de esta.

Predeterminado Contiene reglas predeterminadas proporcionadas por McAfee.

Estas reglas no se pueden modificar ni eliminar.

Utilizar grupos temporizados

Los grupos sincronizados son grupos de reglas de Firewall que se activan por un periodo de tiempo establecido.

Por ejemplo, se puede activar un grupo sincronizado para permitir que un sistema cliente se conecte a una red pública y establezca una conexión VPN.

Dependiendo de la configuración de la directiva, se pueden activar los grupos:

• En una planificación específica.

• De forma manual, seleccionando las opciones del icono de la bandeja del sistema de McAfee.

Hacer que los grupos detecten la ubicación

Puede hacer que un grupo y sus reglas detecten la ubicación y crear un aislamiento de conexión.

La configuración de Transporte y Ejecutables no está disponible para grupos de aislamiento de conexión.

(14)

Las opciones del grupo Ubicación y Opciones de red permiten hacer que los grupos detecten el adaptador de red. Use grupos de adaptador de red para aplicar reglas específicas de adaptador para equipos con múltiples interfaces de red. Tras activar el estado de la localización y ponerle un nombre, los parámetros para las conexiones permitidas pueden incluir cualquiera de las opciones siguientes para cada adaptador de red:

• Ubicación:

• Sufijo DNS específico de conexión • Dirección IP de Servidor WINS principal

• Dirección IP de Gateway predeterminada • Dirección IP de Servidor WINS secundario

• Dirección IP de Servidor DHCP • Posibilidad de alcance del dominio (HTTPS)

• Servidor DNS consultado para resolver las

URL • Clave de Registro

Si se especifica más de un parámetro de criterios de ubicación, todos se aplican al grupo con reconocimiento de ubicación.

• Redes (local):

• Dirección IP única

• Intervalo

• Subred

Si dos grupos que detectan la ubicación se aplican a una conexión, Firewall utiliza la prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna regla que coincida en el primer grupo,

prosigue con el procesamiento de la regla.

Cuando Firewall encuentra una coincidencia entre los parámetros de un grupo con reconocimiento de ubicación y una conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas como un conjunto pequeño de reglas y usará la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado, Firewall las omite.

Si esta opción está

seleccionada... Entonces...

Activar detección de

ubicación Se requiere un nombre de ubicación.

Requerir el acceso a

McAfee ePO El servidor de McAfee ePO es accesible y se ha resuelto el nombre de dominio completo del servidor.

Para determinar si el servidor de McAfee ePO está disponible, Firewall realiza consultas DNS y WINS para el nombre de servidor de McAfee ePO, que se registra con McAfee Agent. Si tanto WINS como DNS no logran resolver el nombre, el servidor de McAfee ePO no está disponible.

Red local La dirección IP del adaptador debe coincidir con una de las entradas de la lista.

Sufijo DNS específico de

conexión El sufijo DNS del adaptador debe coincidir con una de las entradas de la lista.

Gateway predeterminada La dirección IP de gateway predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.

Servidor DHCP La dirección IP del servidor DHCP del adaptador debe coincidir al menos con una de las entradas de la lista.

Servidor DNS La dirección IP del servidor DNS del adaptador debe coincidir con cualquiera de las entradas de la lista.

Servidor WINS principal La dirección IP del servidor WINS principal del adaptador debe coincidir al menos con una de las entradas de la lista.

(15)

Si esta opción está

seleccionada... Entonces...

Servidor WINS secundario La dirección IP del servidor WINS secundario del adaptador debe coincidir al menos con una de las entradas de la lista.

Posibilidad de alcance del

dominio (HTTPS) El dominio especificado debe ser accesible mediante HTTPS.

Para determinar si se puede acceder al dominio, Firewall comprueba si el certificado SSL del dominio es válido. Coincide con los criterios del grupo con reconocimiento de ubicación, y las reglas solo se aplican si el dominio tiene un certificado válido.

Grupos de reglas y aislamiento de conexión de Firewall

Evite que el tráfico no deseado acceda a la red designada gracias al uso del aislamiento de conexión para grupos.

Cuando se activa el aislamiento de conexión para un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, Firewall solo procesará el tráfico que coincida con:

• Reglas Permitir anteriores al grupo en la lista de reglas de firewall

• Criterios de grupo

El resto del tráfico se bloquea.

Los grupos con el aislamiento de conexión activado no pueden tener asociadas opciones de transporte ni ejecutables.

(16)

Como ejemplos de uso de la opción de aislamiento de conexión, considere dos configuraciones: un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos en este orden:

1 Reglas para una conexión básica 2 Reglas para una conexión VPN

3 Grupo con reglas de conexión de LAN corporativa 4 Grupo con reglas de conexión VPN

(17)

Ejemplo: aislamiento de conexión en la red corporativa

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión de LAN corporativa.

Este grupo contiene esta configuración:

• Tipo de conexión = con cable

• Sufijo DNS específico de conexión: mycompany.com

• Gateway predeterminada

• Aislamiento de conexión = Activado

El equipo tiene adaptadores de red LAN e inalámbrica. El equipo se conecta a la red corporativa con una conexión con cable. Pero, la interfaz inalámbrica sigue estando activa, de modo que se conecta a otro hotspot fuera de la oficina. El equipo se conecta a ambas redes porque las reglas de acceso básico están entre las primeras de la lista de reglas de firewall. La conexión LAN con cable está activa y cumple los criterios del grupo de la LAN corporativa. El firewall procesa el tráfico a través de LAN, pero debido a que la opción de aislamiento de conexión está activada, el resto del tráfico que no pasa por la LAN queda bloqueado.

Ejemplo: aislamiento de conexión en un hotel

Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión VPN. Este grupo contiene esta configuración:

• Tipo de conexión = virtual

• Sufijo DNS específico de conexión: vpn.mycompany.com

• Dirección IP: una dirección en un intervalo específico para el concentrador VPN

• Aislamiento de conexión = Activado

Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel para poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso del túnel VPN. Después de establecer el túnel, el cliente VPN crea un adaptador virtual que coincide con los criterios del grupo de VPN. El único tráfico que el firewall permite es el del interior del túnel VPN y el tráfico básico del adaptador actual. Se bloquean los intentos de otros huéspedes del hotel de acceder al equipo a través de la red, ya sea por cable o de forma inalámbrica.

Inspección y filtrado de paquetes con seguimiento de estado de Firewall

Firewall proporciona tanto filtrado de paquetes con seguimiento de estado como inspección de paquetes con seguimiento de estado.

Filtrado de paquetes con seguimiento de estado es el seguimiento de estado de la información de protocolo TCP/UDP/ICMP en el nivel de transporte 4 e inferiores de la pila de red OSI. Se examina cada paquete. Si el paquete inspeccionado coincide con una regla Permitir del firewall existente, se permite el paquete y se crea una entrada en una tabla de estado. La tabla de estado realiza un seguimiento de forma dinámica de las conexiones que se han comparado previamente con un conjunto de reglas estático y refleja el estado actual de la conexión de los protocolos TCP/UDP/ICMP. Si un paquete inspeccionado coincide con una entrada existente en la tabla de estado, el paquete se permite sin realizar ningún examen adicional. Cuando una conexión se cierra o se agota el tiempo, su entrada se elimina de la tabla de estado.

La inspección de paquetes con seguimiento de estado es el proceso que consiste en filtrar paquetes con

seguimiento de estado y rastrear comandos en el nivel de aplicación 7 de la pila de red OSI. Esta combinación ofrece una fuerte definición del estado de conexión del equipo. El acceso a los comandos de nivel de la aplicación ofrece una inspección libre de errores y asegura el protocolo FTP.

Véase también

Tabla de estado del Firewall en la página 19

Rastreo de protocolo con seguimiento de estado en la página 20

(18)

Cómo funciona el filtrado de paquetes con control de estado

El filtrado con control de estado implica el procesamiento de un paquete según dos conjuntos de reglas: un conjunto de reglas de firewall configurable y un conjunto de reglas de firewall dinámico o tabla de estado.

Las reglas configurables tienen dos acciones posibles:

• Permitir: se permite el paquete y se crea una entrada en la tabla de estado.

• Bloquear: se bloquea el paquete y se crea una entrada en la tabla de estado.

Las entradas de la tabla de estado son resultado de la actividad de la red y reflejan el estado de la pila de red.

Cada regla en la tabla de estado tiene únicamente una acción, Permitir , de modo que se permite cualquier paquete coincida con una regla en la tabla de estado de manera automática.

El proceso de filtrado incluye lo siguiente:

1 El firewall compara un paquete entrante con las entradas de la tabla de estado. Si el paquete coincide con cualquier entrada en la tabla, inmediatamente se permite el paquete. En caso contrario, se examina la lista de reglas configurables del cortafuegos.

Una entrada de la tabla de estado se considera una coincidencia si el Protocolo, la Dirección local, el Puerto local, la Dirección remota y el Puerto remoto coinciden con dichos elementos del paquete.

2 Si el paquete coincide con una regla Permitir, está permitido y se crea una entrada en la tabla de estado.

3 Si el paquete coincide con una regla Bloquear, se bloquea.

4 Si el paquete no coincide con ninguna regla configurable, se bloquea.

(19)

Cómo funciona la inspección de paquetes con seguimiento de estado

La inspección de paquetes con seguimiento de estado combina el filtrado con seguimiento de estado con el acceso a comandos al nivel de aplicación, que asegura protocolos como el FTP.

El FTP implica dos conexiones: control para los comandos y datos para la información. Cuando un cliente se conecta a un servidor FTP:

• Se establece el canal de control en el puerto de destino FTP 21.

• Se crea una entrada en la tabla de estados.

Si Inspección de protocolo FTP está activada, el firewall realiza inspección de paquetes con seguimiento de estado en los paquetes que lleguen a través del canal de control FTP en el puerto 21.

Con el canal de control abierto, el cliente se comunica con el servidor FTP. El firewall analiza el comando PORT (puerto) del paquete y crea una segunda entrada en la tabla de estados para permitir la conexión de datos.

Cuando el servidor FTP se encuentra en modo activo, este abre la conexión de datos; en modo pasivo, el cliente inicia la conexión. Cuando el servidor FTP recibe el primer comando de transferencia de datos (LIST), abre la conexión de datos con el cliente y transfiere los datos. El canal de datos se cierra una vez finalizada la transmisión.

A la combinación de una conexión de control y una o más conexiones de datos se le llama sesión. Reglas dinámicas FTP que a veces se denominan reglas de sesión. La sesión permanece establecida hasta que se elimina su entrada del canal de control de la tabla de estados. Durante la limpieza periódica de la tabla de estados, en el caso de que se haya eliminado un canal de control de una sesión, todas las conexiones de datos también se eliminan.

Tabla de estado del Firewall

Una tabla de estado del firewall almacena dinámicamente información acerca de las conexiones activas permitidas por las reglas de firewall.

Cada entrada de la tabla define una conexión basada en:

• Protocolo: la forma predefinida en la que un servicio habla con otro; incluye los protocolos TCP, UDP e ICMP.

• Direcciones IP de equipos locales y remotos: a cada equipo se le asigna una dirección IP única. IPv4, el estándar actual para las direcciones IP, permite direcciones de 32 bits, mientras que IPv6, un nuevo estándar, permite direcciones de 128 bits. Muchos sistemas operativos, entre ellos Windows Vista y posteriores, admiten IPv6. Firewall admite ambos estándares.

• Números de puerto de equipos locales y remotos: cada equipo envía y recibe servicios utilizando puertos numerados. Por ejemplo, el servicio HTTP normalmente está disponible en el puerto 80 y los servicios FTP en el puerto 21. El intervalo de números de puertos va desde 0 a 65535.

• ID de proceso (PID): un identificador único para el proceso asociado con el tráfico de una conexión.

• Marca de tiempo: el tiempo del último paquete de entrada o salida asociado con la conexión.

• Tiempo de espera: el límite de tiempo (en segundos) tras el cual se quita la entrada de la tabla si no se ha recibido ningún paquete que coincida con la conexión. El tiempo de espera para las conexiones TCP se aplica únicamente cuando la conexión no está establecida.

• Dirección: la dirección (entrante o saliente) del tráfico activado por la entrada. Después de establecer una conexión, se permite el tráfico bidireccional incluso con reglas unidireccionales, siempre que la entrada coincida con los parámetros de la conexión en la tabla de estado.

(20)

Consideraciones para la tabla de estado

• Si la regla de firewall establece el cambio, todas las conexiones activas se comprueban con el nuevo conjunto de reglas. Si no se encuentra ninguna regla que coincida, la entrada de conexión se descarta de la tabla de estado.

• Si un adaptador obtiene una nueva dirección IP, el firewall reconoce la nueva configuración y quita todas las entradas con direcciones IP locales no válidas de la tabla de estado.

• Cuando finaliza el proceso, se eliminan todas las entradas asociadas con el proceso de la tabla de estados.

Rastreo de protocolo con seguimiento de estado

Firewall supervisa y gestiona las conexiones basadas en el protocolo.

Protocolo Cómo se controla el protocolo

UDP Cuando se encuentra una regla estática que coincida y la acción de la regla es Permitir, se agrega una conexión UDP a la tabla de estado. Las conexiones UDP genéricas permanecen en la tabla de estado mientras la conexión no esté inactiva durante más tiempo que el período de tiempo de espera especificado. Estas conexiones transportan protocolos de nivel de aplicación desconocidos para el firewall.

ICMPv4/v6 Únicamente se rastrean los mensajes de tipo solicitud de eco y de respuesta del eco de ICMP.

A diferencia del protocolo TCP fiable orientado a la conexión, los protocolos UDP e ICMPv4/v6 son menos fiables y no tienen conexión. Para asegurar estos protocolos, el firewall considera las conexiones UDP e ICMP como conexiones virtuales. Las conexiones virtuales se mantienen únicamente mientras la conexión no esté inactiva durante un tiempo superior al tiempo de espera especificado. Establezca el tiempo de espera de las conexiones virtuales en la configuración de Firewall de Firewall.

TCP El protocolo TCP funciona en el "establecimiento en 3 direcciones".

1 El equipo cliente, inicia una nueva conexión, envía un paquete a su destino con un bit SYN activado.

2 El destino responde enviando un paquete al cliente con un bit SYN-ACK establecido.

3 El cliente responde enviando un paquete con un bit de ACK y se establece la conexión con estado.

Se permiten todos los paquetes salientes, pero solo se permiten los paquetes entrantes que formen parte de la conexión establecida. Una excepción es cuando el firewall en primer lugar realiza una búsqueda en el protocolo TCP y agrega todas las conexiones preexistentes que coinciden con las reglas estáticas. Las conexiones ya existentes que no tengan una regla estática que coincida se bloquean. El tiempo de espera de conexión TCP se aplica únicamente cuando la conexión no está establecida. Se aplica un tiempo de espera TCP adicional o forzado únicamente a las conexiones TCP establecidas. Una opción de Registro controla este tiempo de espera, que tiene un valor predeterminado de una hora. Cada cuatro horas, el firewall realiza una búsqueda en la pila TCP y descarta las conexiones de las que TCP no informa.

(21)

Protocolo Cómo se controla el protocolo

DNS La coincidencia consulta/respuesta asegura que las respuestas a DNS se permiten únicamente:

• En el puerto local que originó la consulta

• Desde una dirección IP remota que se ha consultado durante el intervalo de tiempo de espera de conexión Virtual UDP

Se permiten las respuestas DNS entrantes si:

• La conexión en la tabla de estado no ha caducado.

• La respuesta proviene de la misma dirección IP remota y puerto a donde se ha enviado la solicitud.

DHCP La relación de consulta/respuesta garantiza que se solo permiten paquetes de retorno de consultas legítimas. Por lo tanto, las respuestas DHCP entrantes se permiten si:

• La conexión en la tabla de estado no ha caducado.

• El ID de transacción de respuesta coincide con el de la solicitud.

Uso de redes de confianza para permitir el tráfico de forma automática

Las redes de confianza son direcciones IP, intervalos de direcciones IP y subredes que su organización considera seguros.

Definir una red como de confianza hace que Firewall cree una regla Permitir bidireccional interna con criterios de red remota establecidos en la red de confianza. Se permite todo el tráfico entrante y saliente de las redes de confianza.

Usar ejecutables y aplicaciones de confianza para reducir los falsos positivos

Los ejecutables de confianza son archivos ejecutables que no tienen vulnerabilidades conocidas y se consideran seguros.

Al configurar un ejecutable de confianza, se crea una regla bidireccional Permitir para dicho ejecutable en la primera posición de la lista de reglas de Firewall.

Mantener una lista de ejecutables seguros en un sistema reduce o elimina la mayoría de los falsos positivos.

Por ejemplo, cuando se ejecuta una aplicación de copias de seguridad, pueden darse muchos eventos de falsos positivos. Para evitar que se produzcan falsos positivos, convierta la aplicación de copias de seguridad en un ejecutable de confianza.

Un ejecutable de confianza puede sufrir vulnerabilidades comunes como desbordamiento del búfer y uso ilegal.

Por lo tanto, Firewall supervisa los ejecutables de confianza y puede desencadenar eventos para prevenir exploits.

El Catálogo de Firewall Catalog contiene tanto ejecutables como aplicaciones. Los ejecutables del catálogo se pueden asociar a una aplicación contenedora. Puede agregar ejecutables y aplicaciones del catálogo a la lista de ejecutables de confianza. Una vez definidos, puede hacer referencia a los ejecutables en reglas y grupos.

Utilizar el Catálogo de Firewall para hacer referencia a los elementos existentes

El Catálogo de Firewall simplifica la creación de grupos y reglas de firewall, ya que le permite hacer referencia a reglas, grupos, opciones de red, aplicaciones, ejecutables y ubicaciones existentes.

Cuando se hacer referencia a un elemento del catálogo, se crea un vínculo dependiente entre este y un grupo o regla de firewall. Cualquier cambio en el elemento en el catálogo también cambia el elemento dondequiera que se utilice. Puede quitar la dependencia si se rompe el vínculo.

(22)

El Catálogo de Firewall, que se encuentra en McAfee ePO bajo Directiva, incluye los elementos de las reglas y grupos de firewall previamente agregados. Puede agregar elementos al catálogo individualmente, vinculando elementos desde los grupos de firewall y reglas. También puede importar elementos desde exportaciones en formato XML de directivas de Reglas.

Protocolos de Firewall

La protección de Firewall funciona en diversos niveles de la arquitectura de red, donde se utilizan distintos criterios para restringir el tráfico de red. Esta arquitectura se basa en la suite de TCP/IP.

Nivel de enlace

El protocolo de nivel de enlace describe el método de control de acceso al medio (MAC) y algunas instalaciones menores de detección de errores.

LAN Ethernet (802.3), Wi-Fi inalámbrica (802.11 x) y LAN virtual (VPN) se encuentran en este nivel. Tanto los grupos como las reglas de firewall distinguen entre vínculos por cable, inalámbricos y virtuales.

Nivel de red

Los protocolos de nivel de red definen los esquemas que abarcan toda la red, el enrutamiento y las estructuras de control de red.

También es compatible con los protocolos distintos a IP arbitrarios, pero no puede detectar ningún parámetro de nivel de red o de transporte en ellos. En el mejor de los casos, este nivel permite al administrador bloquear o permitir estos protocolos de nivel de red. Los números asociados a los protocolos distintos a IP se basan en números de Ethernet definidos por la Internet Assigned Numbers Authority (IANA).

El Firewall ofrece total compatibilidad para IPv4 e IPv6 en Microsoft Windows XP, Windows Vista, Windows Server 2008, Windows 7, Windows 8 y Windows 10.

(23)

Niveles de transporte

La IP puede utilizarse como protocolo de red en muchos de los protocolos de transporte. En la práctica, habitualmente se utilizan cuatro:

TCP TCP es un protocolo de transporte de confianza orientado a la conexión. Garantiza que los datos incluidos en los paquetes de red se entreguen de modo fiable y en orden. También controla la velocidad a la que se reciben y transmiten los datos. Este control implica una cierta cantidad de exceso de trabajo, y hace que los tiempos en las operaciones de TCP sean

impredecibles cuando las condiciones de red no son óptimas.

TCP es el nivel de transporte para la mayoría de los protocolos de aplicación. HTTP, FTP, SMTP, RDP, SSH, POP e IMAP utilizan todos TCP.

TCP se multiplexa entre los protocolos de nivel de aplicación utilizando el concepto de

"puertos". Cada paquete TCP contiene un número de puerto de origen y destino, de 0 a 65535.

Por lo general, el lado del servidor de una conexión TCP escucha las conexiones en un puerto fijo.

Los puertos de 0 a 1023 se reservan como "puertos conocidos". La IANA asigna números de este intervalo a los protocolos. La mayoría de los sistemas operativos necesitan un proceso que otorgue permisos especiales para escuchar en uno de estos puertos.

Las reglas de firewall se crean para bloquear determinados puertos y permitir otros, lo cual limita las actividades que se pueden producir en la red.

UDP El protocolo Datagrama de usuario es un protocolo de transporte sin conexión de mejor servicio posible. No ofrece garantías acerca del orden de paquetes o la confianza, y no tiene funciones de control de flujo. En la práctica, tiene algunas propiedades muy deseables para ciertos tipos de tráfico.

Habitualmente, se utiliza UDP como protocolo de transporte para aplicaciones cuyo rendimiento es crucial. También se utiliza en las aplicaciones multimedia en tiempo real. Un paquete perdido solo produce un problema instantáneo en el flujo de datos y resulta más aceptable que si el flujo se detiene a esperar una retransmisión. A menudo, el software de videoconferencia y telefonía IP utiliza UDP, al igual que algunos videojuegos de varios jugadores.

El esquema de multiplexado UDP es idéntico al de TCP: cada datagrama tiene un puerto de origen y de destino, comprendido entre 0 y 65535.

ICMP Internet Control Message Protocol, versión 4 (ICMPv4) y versión 6 (ICMPv6), se utiliza como un canal de comunicación fuera de banda entre hosts IP. Resulta útil para la solución de problemas y es necesario para el funcionamiento adecuado de una red IP, ya que constituye el mecanismo de información de errores.

IPv4 e IPv6 tienen variantes del protocolo ICMP independientes, no relacionadas. ICMPv4 se suele denominar simplemente ICMP.

ICMPv6 es importante en una red IPv6. Se utiliza para varias tareas críticas, como

descubrimiento de vecinos (de las cuales se encarga ARP en una red IPv4). No se recomienda que los usuarios bloqueen el tráfico ICMPv6 si IPv6 es compatible con su red.

En lugar de números de puerto, ambas versiones de ICMP definen los tipos de mensajes.

Solicitud de eco y Respuesta de eco se utilizan para ping. Los mensajes No se puede alcanzar el destino indican fallos en el enrutamiento. ICMP también implementa una utilidad Traceroute, aunque UDP y TCP también pueden utilizarse para este propósito.

Otros protocolos detransporte

IP es compatible con más de cien protocolos de transporte, pero la mayoría no se usan a menudo. La lista completa de protocolos reconocidos por IANA es, al menos, mínimamente compatible. Es posible crear reglas para bloquear o permitir el tráfico en los protocolos de transporte de IP. Sin embargo, el firewall no es compatible con ninguno de los mecanismos de multiplexación que estos protocolos pueden usar.

Se utilizan varios para superponer otros tipos de redes sobre una red IP (túnel de red). Algunos de estos protocolos (especialmente GRE, AH y ESP) se utilizan para el cifrado de IP y las redes privadas virtuales.

Consulte los números de protocolo para ver los números de protocolo IP.

(24)

Protocolos comunes no admitidos

Hay varios protocolos de red con los que Firewall no es compatible. El tráfico de estos protocolos, que suele tener un EtherType imposible de analizar, se bloquea o se permite siempre, dependiendo de la opción seleccionada en los ajustes de Opciones.

Cómo afecta al Firewall el modo de adaptación

En modo de adaptación, Firewall permite de forma automática todo el tráfico que no coincide con una regla de bloqueo existente y se crean reglas de permiso dinámicas para que tráfico no coincidente.

Cuando el Firewall se ejecuta de forma normal, este supervisa continuamente el tráfico de red que un equipo envía y recibe. Firewall permite o bloquea el tráfico según las reglas. Si el tráfico no coincide con ninguna regla existente, se bloquea automáticamente.

Puede crear una regla Permitir explícita para cualquier tráfico. Por motivos de seguridad, los pings entrantes (tráfico ICMP) se bloquean en modo de adaptación, a menos que se haya creado una regla Permitir explícita para ellos. También se bloquea el tráfico entrante hacia un puerto que no esté abierto en el host, a menos que se cree una regla Permitir explícita para este tráfico. Por ejemplo, si no se está ejecutando el servicio telnet, el tráfico TCP entrante hacia el puerto 23 (telnet) se bloquea automáticamente.

Firewall muestra las reglas creadas en los sistemas cliente mediante el modo de adaptación y le permite guardar y migrar estas reglas administrativas.

Filtrado activo

Cuando se aplica el modo de adaptación con el firewall con seguimiento de estado, el proceso de filtrado crea una regla para gestionar el paquete entrante:

1 El firewall compara el paquete entrante con las entradas de la tabla de estado y no encuentra ninguna coincidencia, por lo que, a continuación, examina la lista de reglas estáticas y no encuentra ninguna coincidencia.

2 No se realiza ninguna entrada en la tabla de estado, pero si el paquete es un paquete TCP, este se coloca en una lista de elementos pendientes. En caso contrario, el paquete se descarta.

3 Si se permiten nuevas reglas, se crea una regla Permitir estática unidireccional. Si el paquete es un paquete TCP, se realiza una entrada en la tabla de estado.

4 Si no se permite una nueva regla, se descarta el paquete.

Preguntas frecuentes: McAfee GTI y Firewall

A continuación se incluyen las respuestas a las preguntas más frecuentes.

La configuración de las Opciones de Firewall, en la sección Reputación de red de McAfee GTI le permite bloquear tráfico de entrada y de salida de una conexión de red según su reputación en McAfee GTI.

¿Qué es McAfee GTI?

McAfee GTI es un sistema global de información sobre reputación de Internet que determina qué es un buen comportamiento y un mal comportamiento en Internet. McAfee GTI usa análisis en tiempo real de patrones de comportamiento y envío a nivel mundial con respecto al correo electrónico, la actividad web, el malware y el comportamiento de sistema a sistema. Mediante los datos obtenidos del análisis, McAfee GTI calcula de forma dinámica las puntuaciones de reputación que representan el nivel de riesgo para su red cuando visita una página web. El resultado es una base de datos de puntuaciones de reputación para direcciones IP, dominios, mensajes específicos, URL e imágenes.

Para ver preguntas frecuentes acerca de McAfee GTI, consulte KB53735.

¿Cómo funciona McAfee GTI con Firewall?

(25)

Firewall utiliza el valor de las opciones de Umbral de reputación de red entrante y Umbral de reputación de red saliente para crear reglas internas en el sistema cliente. Si el tráfico entrante o saliente coincide con estas reglas, Firewall consulta a McAfee GTI para obtener la información de reputación de la dirección IP de origen o destino. Firewall utiliza esta información para determinar si se bloquea el tráfico entrante o saliente.

• Tratar coincidencia como intrusión: trata el tráfico que coincida con la configuración del umbral de bloqueo de McAfee GTI como una intrusión y muestra una alerta.

• Registrar tráfico coincidente: trata el tráfico que coincida con la configuración del umbral de bloqueo de McAfee GTI como una detección y muestra un evento en el Registro de eventos del Cliente de Endpoint Security.Firewall también envía un evento a McAfee ePO.

¿Qué quiere decir "reputación"?

Por cada dirección IP de Internet, McAfee GTI calcula un valor de reputación. McAfee GTI basa este valor en el comportamiento de alojamiento o envío y en diversos datos de entorno recopilados de los clientes y partners en relación con el estado del panorama de amenazas en Internet. La reputación se expresa con cuatro clases que se basan en nuestro análisis:

• No bloquear (riesgo mínimo): se trata de un origen o destino legítimos de contenido/tráfico.

• Riesgo alto: este origen/destino envía o alberga contenido/tráfico potencialmente malicioso que McAfee considera de riesgo.

• Riesgo medio: este origen/destino muestra un comportamiento que McAfee considera sospechoso.

Cualquier contenido/tráfico procedente del sitio web requiere un escrutinio especial.

• Sin verificar: este sitio web parece ser una fuente o un destino legítimo de contenido/tráfico, pero también muestra algunas propiedades que sugieren la necesidad de una inspección adicional.

¿McAfee GTI provoca alguna latencia? ¿Cuánta?

Cuando se contacta con McAfee GTI para que realice una búsqueda de reputación, algo de latencia es inevitable. McAfee hace todo lo posible para minimizarla. McAfee GTI:

• Comprueba las reputaciones solo cuando se seleccionan las opciones.

• Utiliza una arquitectura de almacenamiento en caché inteligente. Con los patrones de uso normal de la red, la mayoría de las conexiones más importantes se resuelven mediante la caché, sin una consulta de reputación activa.

Si Firewall no puede llegar a los servidores de McAfee GTI, ¿se detiene el tráfico?

Si no se puede alcanzar McAfee GTI, puede configurar Firewall para bloquear todo el tráfico de forma predeterminada o permitir el tráfico a menos que las reglas del firewall lo bloqueen específicamente.

Adiciones de Firewall a McAfee ePO

Este producto gestionado incrementa las posibilidades de protección de la red con estas funciones y mejoras.

Debe disponer de los permisos apropiados para acceder a la mayoría de funciones.

Función de

McAfee ePO Elementos agregados

Acciones Acciones que puede realizar desde el Árbol de sistemas o utilizar para personalizar las respuestas automáticas.

Tareas cliente Tareas cliente que puede usar para automatizar la administración y el mantenimiento en los sistemas cliente.

Paneles Paneles y monitores que puede usar para realizar un seguimiento de su entorno.

(26)

Función de

McAfee ePO Elementos agregados Eventos y

respuestas • Eventos para los que se pueden configurar respuestas automáticas.

• Grupos de evento y tipos de evento que puede usar para personalizar las respuestas automáticas.

Conjuntos de

permisos Categorías de permisos de Firewall de Endpoint Security, Catálogo de Firewall de Endpoint Security y Cliente de Firewall de Endpoint Security, disponibles en todos los conjuntos de permisos existentes.

Directivas Las categorías de directiva Opciones y Reglas en el grupo de productos Firewall de Endpoint Security.

Consultas e

informes • Consultas predeterminadas que puede usar para ejecutar informes.

• Grupos de propiedades personalizados basados en propiedades de sistemas gestionados que puede usar para crear sus propios informes y consultas.

Tareas servidor Agrega tareas de servidor predefinidas a la lista Tareas de servidor en Automatización.

Tareas servidor La tarea de servidor Traductor de propiedades del Firewall de Endpoint Security que traduce las reglas del cliente de Firewall en las propiedades de cliente almacenadas en la base de datos de McAfee ePO y las añade a la página Reglas Cliente de Firewall.

Firewall Client Rules Reglas de cliente de Firewall en Generación de informes muestra las reglas de cliente de firewall creadas en un sistema cliente para permitir la actividad que las reglas de firewall bloquean.

Catálogo de

Firewall Catálogo de firewall en Directiva muestra elementos del Catálogo de firewall y le permite editar, crear, eliminar y exportarlo.

Si desea obtener información adicional acerca de estas funciones, consulte la documentación de McAfee ePO.

Véase también

Eventos, respuestas y Firewall en la página 47 Paneles, monitores y Firewall en la página 43 Conjuntos de permisos y Firewall en la página 26 Directivas y Firewall en la página 29

Consultas, informes y Firewall en la página 44 Tareas del servidor y Firewall en la página 46 Tareas cliente y Firewall en la página 27

Conjuntos de permisos y Firewall

Los conjuntos de permisos definen derechos para funciones de producto gestionadas en McAfee ePO.

Firewall agrega los grupos de permisos de Firewall de Endpoint Security, Cliente de Firewall de Endpoint Security y Consulta de Firewall de Endpoint Security en cada conjunto de permisos.

Los grupos de permisos definen los derechos de acceso a las funciones. McAfee ePO otorga a los

administradores globales todos los permisos para todos los productos y las funciones. Los administradores asignan entonces funciones de usuario a conjuntos de permisos existentes, o crean otros.

Su producto gestionado añade estos controles de permiso a McAfee ePO.

(27)

Conjuntos de permisos Permisos

predeterminados Revisor responsable

Firewall de Endpoint Security, Cliente de Firewall de Endpoint Security y Consulta de Firewall de Endpoint Security

Ningún permiso

Revisor global

Ningún permiso

Administrador de grupo

Ningún permiso

Revisor de grupo

Ningún permiso

Este producto gestionado no concede Ningún permiso de forma predeterminada.

Deben otorgarse permisos para permitir a los usuarios utilizar o acceder a las funciones controladas mediante permisos.

Tabla 1-1 Permisos requeridos por función

Función Permisos requeridos

Respuestas automáticas Respuestas automáticas, Notificaciones de eventos, Eventos de cliente Eventos de cliente y reglas de cliente Sistemas, acceso al Árbol de sistemas, Registro de eventos de amenaza Paneles y monitores Paneles, Consultas

Directivas Firewall de Endpoint Security: Firewall en el grupo de permisos de Firewall de Endpoint Security

Consultas Consultas e informes

Tareas de servidor Tareas de servidor

Árbol de sistemas Sistemas, acceso al Árbol de sistemas

Registro de eventos de amenaza Sistemas, acceso al Árbol de sistemas, Registro de eventos de amenaza Para obtener información sobre la administración de conjuntos de permisos, consulte la documentación de McAfee ePO.

Tareas cliente y Firewall

Utilice tareas cliente para automatizar la administración o el mantenimiento en los sistemas gestionados.

Según los permisos con los que cuente, podrá utilizar tareas cliente predeterminadas sin modificaciones, editarlas o crear otras mediante McAfee ePO.

Firewall aprovecha las siguientes tareas cliente predeterminadas de McAfee Agent.

Tabla 1-2 Tareas cliente predeterminadas de McAfee Agent Tarea cliente Descripción

Despliegue de productos Despliega productos de McAfee en los sistemas cliente.

Actualización de producto Actualiza archivos de contenido, motores y todos los productos de McAfee automáticamente.

(28)

Para obtener información sobre las tareas cliente y el Catálogo de tareas cliente, consulte la documentación de McAfee ePO.

(29)

2 Configuración de Firewall

Contenido

Directivas y Firewall Activar y configurar Firewall Bloquear tráfico DNS

Definir redes para usar en reglas y grupos Configuración de ejecutables de confianza Administrar reglas y grupos de firewall Use el Catálogo de Firewall

Ajustar Firewall

Directivas y Firewall

Las directivas le permiten configurar, aplicar e implementar opciones de configuración para los sistemas gestionados de su entorno.

Las directivas son colecciones de parámetros que se crean, configuran y aplican antes de su implementación. La mayoría de las configuraciones de directivas corresponden a parámetros que se configuran en el Cliente de Endpoint Security. Otras configuraciones de directivas son la interfaz principal para la configuración del software.

Su producto gestionado añade estas categorías al Catálogo de directivas. Las opciones de configuración disponibles dependen de la categoría.

Tabla 2-1 Categorías de Firewall Categoría Descripción

Opciones Especifica las opciones de Firewall:

• Activa o desactiva la protección por firewall.

• Aplica el modo de adaptación para ajustar.

• Define los servidores de nombre de dominio (DNS) que bloquear.

• Define las redes y los ejecutables de confianza para usar en reglas y grupos.

Reglas Especifica reglas de firewall, y grupos de reglas, que definen qué tráfico se permite y qué tráfico se bloquea.

Cuando está activado el bloqueo de DNS en Opciones, esta directiva agrega de manera dinámica una regla cerca de la parte superior de la lista de reglas de firewall. Esta regla evita resolver la dirección IP del dominio especificado.

Además, Firewall agrega el Catálogo de Firewall. El Catálogo de Firewall simplifica la creación de reglas y grupos de firewall, ya que le permite referenciar reglas, grupos, opciones de red, aplicaciones, ejecutables y

ubicaciones ya existentes.

2

(30)

Personalización de directivas

Todas las categorías de directiva incluyen directivas predeterminadas.

Puede usar las directivas predeterminadas sin modificaciones, editar las directivas predeterminadas My Default o crear otras.

Tabla 2-2 Directivas predeterminadas de Firewall

Directiva Descripción

McAfee Default Define la directiva predeterminada que surtirá efecto si no se aplica ninguna otra. Esta directiva se puede duplicar, pero no eliminar ni cambiar.

McAfee Default Server Define la directiva Reglas del servidor predeterminado, que permite a todos los servicios del servidor predeterminado, como Autenticación AD de Windows, Web/FTP y los servidores de correo, aceptar solicitudes de servicio por parte del cliente. Esta directiva se puede duplicar, pero no eliminar ni cambiar.

My Default Define la configuración predeterminada para la categoría.

Directivas basadas en usuario

Las directivas basadas en usuario permiten que las directivas se definan e implementen mediante reglas de asignación de directivas de McAfee ePO con un servidor LDAP. Estas reglas de asignación se implementan en el sistema cliente para el usuario en el momento de iniciar sesión, sin tener en cuenta el grupo de McAfee ePO.

Las directivas basadas en usuario se implementan cuando un usuario con una regla de asignación que coincida inicia sesión en el sistema cliente en la consola. Las directivas basadas en sistema se implementan cuando dos o más usuarios han iniciado sesión en un sistema. Las reglas de asignación de directivas tienen prioridad sobre las directivas definidas en el Árbol de sistemas.

La directiva de usuario sustituye a la directiva de sistema. Todas las directivas de sistema se aplican y cualquier directiva basada en usuario anula la directiva de sistema.

Las reglas de asignación de directivas solo se implementan si el usuario inicia sesión como usuario interactivo.

La directiva de sistema, a diferencia de la directiva de usuario, se implementa si el usuario inicia sesión:

• Con un comando runas

• En un equipo de sobremesa remoto o servicio de Terminal Server, cuando el inicio de sesión del usuario no está configurado como interactivo

Para obtener más información acerca de directivas basadas en usuario y reglas de asignación de directivas, consulte la Ayuda de McAfee ePO.

Comparación de directivas

Puede comparar todas las configuraciones de directiva del módulo utilizando la función Comparación de directivas en McAfee ePO. Para obtener información, consulte la ayuda de McAfee ePO.

Para obtener información sobre las directivas y el Catálogo de directivas, consulte la documentación de McAfee ePO.

Véase también

Use el Catálogo de Firewall en la página 36 Activar y configurar Firewall en la página 31 Bloquear tráfico DNS en la página 31

Configuración de ejecutables de confianza en la página 32 Definir redes para usar en reglas y grupos en la página 32 Administrar reglas y grupos de firewall en la página 33

(31)

Activar y configurar Firewall

Configure los parámetros de Firewall para activar o desactivar la protección de firewall, activar el modo de adaptación y configurar otras opciones de Firewall.

Procedimiento

1 SeleccioneMenú | Directiva | Catálogo de directivas y luego seleccione Firewall de Endpoint Security en la lista Producto.

2 En la lista Categoría, seleccione Opciones.

3 Haga clic en el nombre de una directiva editable.

4 Seleccione Activar Firewall para activarlo y modificar sus opciones.

Host Intrusion Prevention 8.0 puede instalarse en el mismo sistema que Endpoint Security 10.6. Si Firewall de McAfee Host IPS está instalado y activado, Firewall de Endpoint Security estará desactivado aunque se active en la configuración.

5 Haga clic en Mostrar opciones avanzadas.

6 Configure los parámetros en la página y haga clic en Guardar.

Véase también

Preguntas frecuentes: McAfee GTI y Firewall en la página 24 Bloquear tráfico DNS en la página 31

Definir redes para usar en reglas y grupos en la página 32 Configuración de ejecutables de confianza en la página 32

Bloquear tráfico DNS

Para ajustar la protección por firewall, puede crear una lista de nombres de dominio completos que desee bloquear. Firewall bloquea las conexiones a las direcciones IP que se resuelven en los nombres de dominio.

Procedimiento

4 En Bloqueo de DNS, haga clic en Agregar.

5 Introduzca los nombres de dominio completos que desea bloquear separados por comas y haga clic en Guardar.

Puede usar los caracteres comodín * y ?. Por ejemplo, *dominio.com.

Las entradas duplicadas se eliminan automáticamente.

6 Haga clic en Guardar.

Véase también

Activar y configurar Firewall en la página 31

(32)

Definir redes para usar en reglas y grupos

Establezca las direcciones de red, las subredes o los intervalos que usar en reglas y grupos, o bien defina las redes como de confianza.

Procedimiento

4 Haga clic en Mostrar avanzado.

5 En Redes definidas, haga clic en Agregar red definida.

6 Seleccione un tipo en Tipo de dirección y, a continuación, introduzca un intervalo, una subred o una dirección IP de confianza en el campo Dirección.

7 Seleccione De confianza o No es de confianza en el menú desplegable.

• De confianza: Firewall permite todo el tráfico entrante y saliente de las redes de confianza.

• No es de confianza: define redes para usar en reglas y grupos. Puede utilizar redes definidas como no de confianza para los criterios de red local o remota en una regla o un grupo.

Definir una red como no de confianza, agrega esa red como excepción en las reglas de McAfee GTI en Firewall.

Véase también

Uso de redes de confianza para permitir el tráfico de forma automática en la página 21 Use el Catálogo de Firewall en la página 36

Activar y configurar Firewall en la página 31

Configuración de ejecutables de confianza

Defina o edite la lista de ejecutables de confianza que se consideren seguros para su entorno.

Procedimiento

3 Haga clic en Mostrar opciones avanzadas.

4 En Ejecutables de confianza, haga clic en Agregar.

5 Configure las propiedades de ejecutables y haga clic en Guardar.