Productos afectados:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
Versiones afectadas:
- Sensor de Windows 3.9 o superior
Sistemas operativos afectados:
Reglas de firewall basadas en host
Una regla de firewall está compuesta por una acción y un objeto. Las acciones disponibles son las siguientes:
- Conceder: Permite el tráfico de red
- Block: Bloquea el tráfico de red
- Bloquear y alerta: Bloquea el tráfico de red y envía una alerta a la página Alertas
Las reglas de firewall se basan en la evaluación de los siguientes tipos de objetos:
- Local (equipo cliente)
- Remoto (equipo que se comunica con el equipo cliente)
Nota: El host local siempre es la computadora cliente instalada por sensor. El host remoto es cualquier computadora o dispositivo con el que se comunica. Esta expresión de la relación de host es independiente de la dirección del tráfico.
- Dirección IP y rangos de subred
- Rangos de puertos o puertos
- Protocolo (TCP, UDP, ICMP)
- Dirección (entrante y saliente)
- Aplicación, determinada por la ruta de archivo
Las reglas de firewall se pueden combinar en lo que se denomina un grupo de reglas de firewall. Un grupo de reglas de firewall es un conjunto lógico de reglas de firewall que simplifica la administración de varias reglas individuales en un solo grupo que tienen un propósito compartido (por ejemplo, varias reglas para controlar el acceso a servidores FTP).
Los grupos de reglas y las reglas se definen en las políticas y las políticas se asignan a los recursos.
Precedencia de regla
Cuando cree y aplique reglas, tenga en cuenta el siguiente orden de precedencia:
- Las reglas de omisión tienen prioridad sobre todas las demás reglas. Debido a esto, las reglas de firewall basadas en host tienen menor prioridad que las reglas de omisión.
- Las reglas de firewall basadas en host tienen mayor prioridad que las reglas de permisos que están configuradas en Permitir o Permitir > Registro.
Nota: Una regla de omisión de permisos en el nivel de proceso no solo omite el proceso especificado por la regla, sino que también omite cualquiera de sus procesos secundarios.
Las condiciones existentes del sensor pueden afectar la aplicación de reglas. Por ejemplo, el sensor puede estar en modo de omisión o cuarentena, o las aplicaciones se pueden bloquear. El firewall basado en host de Carbon Black Cloud mantiene la acción prevista de la regla según lo especificado por el usuario, aunque la regla puede tomar una acción real diferente cuando se aplica en función de la condición del sensor.
Por ejemplo:
| Modo sensor |
Acción de firewall basada en host prevista |
Regla de permiso o bloqueo y aislamiento previstos |
Acción real |
Resumen |
| Quarantine |
Cualquiera |
Cualquiera |
Bloquear |
Las reglas de bloqueo en cuarentena reemplazan las reglas y el permiso del firewall basado en host. |
| Bypass |
Cualquiera |
Cualquiera |
Allow (Permitir) |
Debido a que el sensor está en modo de omisión, la regla de firewall basada en host es ineficaz. |
| Activo |
Cualquiera |
Omisión de nivel de proceso |
Allow (Permitir) |
Las reglas de firewall basadas en host no bloquean los procesos omitidos y sus descendientes. |
| Activo |
Bloquear |
Permitir, Permitir > Registrar |
Bloquear |
Las reglas de firewall basadas en host tienen prioridad sobre las reglas de permisos sin omisión. |
| Activo |
Allow (Permitir) |
Bloquear |
Bloquear |
El firewall basado en host que permite una conexión no impide que se aplique una regla de bloqueo y aislamiento de red a través de la comunicación. |
Uso del firewall basado en host de Carbon Black Cloud
En esta sección, se proporciona una descripción general de alto nivel de cómo crear y ejecutar reglas de firewall.
- Seleccione una política a la cual agregar reglas de firewall.
- Establezca la regla predeterminada (Permitir todo o Bloquear todo).
- Cree un grupo de reglas y inscútela con reglas de firewall.
- Ver, crear y modificar grupos de reglas y reglas según sea necesario.
- Cambie El firewall basado en host a Habilitado en la pestaña Sensor.
- Pruebe las reglas.
Nota: Solo puede probar una regla cuando su Estado está establecido en Deshabilitado.
- Revise el resultado de las reglas. Los datos de las reglas de prueba se muestran en la página Investigate.
- Modifique las reglas según sea necesario y vuelva a probar hasta que las reglas se ejecuten según lo esperado.
- Detenga las reglas de prueba que se verifican para que se ejecuten según lo esperado y establezca su Estado en Habilitado.
- Si lo deshabilitó durante las modificaciones, cambie El firewall basado en host a Activado en la pestaña Sensor .
- Ver eventos y alertas relacionados con el firewall en las páginas Investigate y Alertas, respectivamente.
- Continúe modificando las reglas según sea necesario. Asociación de grupos de reglas ordenados (clasificados) a políticas de seguridad; Los grupos de reglas se pueden reutilizar en todas las políticas de seguridad.
- Las reglas se evalúan en orden de prioridad definida por el usuario.
- Capacidad de probar reglas antes de la aplicación.
- Conteo de comportamientos bloqueados por la política de firewall basada en host.
- Visibilidad de la postura de seguridad de los recursos a través de las páginas Alerts e Investigate en la consola de Carbon Black Cloud.
Nota: El complemento de firewall basado en host de Carbon Black Cloud requiere el sensor de Windows v3.9 y versiones posteriores.
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.