McAfee - Pravidla firewallu v HIPS 8.0
Zadávání pravidel v modulu HIPS 8.0 je oproti předchozí verzi na první pohled komplikovanější, ale ve výsledku je správa pravidel mnohem příjemnější a efektivnější. Pro rychlé seznámení s tímto systémem slouží právě tato stránka.
Manipulace s konfigurací
Obdobně jako v minulé verzi, i zde existují pravidla a skupiny pravidel. Přičemž oboje lze však nyní vytvářet dvěma způsoby - klasicky vytvořit vše od začátku, tj. projít průvodcem vytváření pravidla, nebo vložit již vytvořené pravidlo nebo skupinu pravidel z katalogu. Objekty vložené z katalogu lze okopírovat nebo ponechat prolinkované, takže každá změna v katalogu se hned promítne. Přehled katalogizovaných objektů je uveden v samostatné sekci dále.
Pro základní manipulaci slouží tlačítka v dolní liště
- Move Up a Move Down - změna pořadí pravidla nebo skupiny
- Lze použít i pro vložení pravidla do skupiny a jeho vyjmutí (posun za konec / před začátek seznamu)
- Samozřejmě nefunguje pro objekty prolinkované do katalogu, které se dají editovat pouze speciálním způsobem (viz kapitola o správě katalogů)
- Duplicate - zkopírování pravidla nebo skupiny pravidel
- Delete smazání pravidla nebo skupiny
- Opět nefunguje pro pravidla prolinkované do katalogu (celou skupinu lze odstranit vždy)
- New Rule a New Group - vytvoření nového pravidla, či skupiny - jak je vytvářet je postupovat je popsáno v následující kapitole.
- Add Rule from catalog a Add Group from catalog - vložení pravidla nebo skupiny pravidel z katalogu
- Export - vytvoření XML souboru z aktuální konfigurace a nabídka k jeho stažení
S každým pravidlem nebo skupinou pravidel lze ještě provádět další aktivity, které lze spustit kliknutím na hyperlink uvedený u každého pravidla ve sloupečku Actions. Povolené akce závisí na skutečnosti, zda jde o objekt prolinkovaný do katalogu nebo osamostatněný.
- View - prohlížení detailu, u pravidel nebo skupin prolinkovaných do katalogu
- Break Catalog Dependency - zrušení prolinkovaní do katalogu, stávající objekt bude zkopírován do aktuálního pravidla
- Edit - editace pravidel nebo skupin, které nejsou prolinkována do katalogu
- Add To Catalog - vložení pravidla či skupiny do katalogu, po vložení je však není možné editovat v rámci politik, ale je nutno použít přístup popsaný v poslední kapitole.
Vytváření pravidel
Při vytváření či editaci každého pravidla potřeba projít následujícími dialogy:
- Description
- Základní charakteristika pravidla
- Name: Název pravidla
- Action: Povolit či blokovat provoz, současně lze zapnout logování a blokovaná aktivita se dá také klasifikovat jako "intrusion"
- Direction: Směr provozu (příchozí, odchozí, v obou směrech)
- Status: pravidlo je aktivní nebo neaktivní (přítomno, ale nebráno v potaz)
- Notes: Popis pravidla
- Network Options
- Nastavení síťových parametrů pravidla
- Network protocol: výběr protokolů, pro které bude pravidlo aktivní
- Media types: výběr druhu připojení (pevné, wi-fi, virtuální), pro které bude pravidlo aktivní
- Network name: slouží ke specifikace lokálních a vzdálených IP adres (nebo CIDR)
- Lze tedy rozlišovat pravidla i podle lokální IP adresy (např. jiná pravidla pro katedru, jiná obecně ve WEBnetu, jiná v privátní síti apod.), typicky tedy stačí vyplnit "remote".
- Lze vkládat sítě definované v katalogu
- Transport Options
- Určení transportního protokolu (pouze pokud je v přechozím kroku vybráno IP)
- Transport protocol: výběr transportního protokolu
- Local service: lokální port (pouze pro UDP nebo TCP)
- Remote service: vzdálený port (pouze pro UDP nebo TCP)
- Applications
- Omezení pravidel firewallu pro konkrétní aplikace
- Name: seznam aplikací, pro které je pravidlo aktivní
- Lze vkládat aplikace z katalogu (každá aplikace může obsahovat více spustitelných souborů)
- Schedule
- Časové omezení platnosti pravidla
- Schedule status: zapnutí časového omezení
- Schedule type: vypnutí pravidla (disable) nebo jeho opačné fungování (reverse action), tj. block <-> allow
- Schedule: nastavení platnosti
- Summary
- Celkový přehled a možnost uložení změn
Katalogy - jejich funkce a přehled
Systém katalogů umožňuje poskládání pravidel z jednotlivých předpřipravených částí. Pokud se pak tato část změní, je změna automaticky promítnuta i do pravidel, která ji používají. Na druhou stranu, pokud vám tento způsob nevyhovuje, nevadí - můžete si vytvořit vlastní "soukromé" části rovnou při vytváření pravidla.
K dispozici jsou následující katalogy:
- Group
- Skupina pravidel, obsahuje položky z katalogu "Rule"
- Typicky jde o seskupení pravidel k většímu celku, např. "Služba AFS", "Tiskové služby CIV" apod.
- Přestože jde o skupinu, má také částečně charakter pravidla a lze určit, jakého provozu se týká (kdo zná iptables, je to podobné jako BASE)
- Rule
- Jednotlivá pravidla firewallu, tak jak je známe z běžných firewallů
- Může využívat položky z katalogů "Application", "Executable", "Network" a "Location"
- Application
- Jednotlivé aplikace, přičemž tímto pojmem se rozumí softwarový balík, tedy potenciálně více spustitelných souborů
- Využívá položky z katalogu "Executable"
- Executable
- Jednotlivé spustitelné soubory
- Identifikace podle jména nebo otisku
- Network
- Jednotlivé IP rozsahy, které figurují v pravidlech jako zdrojová či cílová IP adresa
- Je možno zadat i více rozsahů do jedné "sítě"
- Location
- Specifikace umístění - McAfee umožňuje mít rozdílná pravidla pro různé síťové adaptéry a různá síťová prostředí
- Prakticky není na ZČU pro toto rozlišování využití, nehledě k tomu, že uživatelé budou pozorovat nekonzistentní chování firewallu.
Katalogy jsou vzájemně provázané - přehled vazeb je pěkně vidět na následujícím obrázku. Prakticky každá skupina může obsahovat specifikaci umístění a nějaká pravidla, každé pravidlo může obsahovat specifikaci sítě a specifikaci aplikace a každá aplikace obsahuje seznam spustitelných souborů.
Katalogy - Správa
TODO
- zmínit cestu Menu - Policy - Host IPS Catalog
- zmínit standardní názvy ZCU-* a CIV-* - nesahat, jen duplikovat
TODO