McAfee Host Intrusion Prevention 8.

0
Guía del producto para su uso con ePolicy Orchestrator 4.0

COPYRIGHT
Copyright © 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de
este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO
ÍNTEGRO.

2

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Contenido
Introducción a Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Protección de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gestión de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Seguimiento y ajuste de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestión de la protección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Gestión de la información. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Paneles de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consultas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Gestión de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dónde encontrar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuración de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Protección predeterminada y ajustes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Migración de directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Gestión del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Conjuntos de permisos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tareas del servidor de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Notificaciones de eventos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Actualizaciones de protección de IPS en host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Configuración de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Resumen de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Métodos para la entrega de protección IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Firmas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Reglas de comportamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Reacciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Reglas de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Activar la protección IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuración de la directiva de opciones IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Configuración de la reacción para firmas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Activación de protección por firewall. . . . . . . . . . . . 52 Gestión de eventos IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Reglas de firewall para cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Inspección y filtrado de paquetes con seguimiento de estado del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . 43 Cómo funcionan las reglas de protección de aplicaciones de IPS. . . . . . . . . . . . . . . . . . . . 54 Creación de una excepción para un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Cómo funcionan las firmas de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Uso del catálogo de IPS en host. . . . . . . . 78 Preguntas frecuentes: uso de caracteres comodín en reglas de firewall. . 72 Preguntas frecuentes: McAfee TrustedSource y el firewall. . . . . . . 60 Cómo funciona el catálogo de IPS en host. . . . . . . . 77 Gestión de Reglas de cliente del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Introducción a las directivas generales. . . . . . . . 81 Definición de la funcionalidad de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Bloqueo del tráfico DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Creación y edición de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Configuración de directivas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Contenido Configuración de la directiva Protección IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Cómo afectan los modos aprendizaje y adaptación al firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Creación y edición de grupos de reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Creación de una aplicación de confianza de un evento. . . 56 Configuración de directivas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Cómo funcionan las reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . 76 Creación de grupos de aislamiento de conexión. . . . . . . . . . . . 41 Preguntas frecuentes: directivas de instancias múltiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Cómo funcionan los grupos de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Definición de protección de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Cómo funcionan las excepciones de IPS. . . . . . . . . . . . . . . . . . . . . . 73 Configuración de la directiva Reglas del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Supervisión de eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Resumen de directivas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Definición de la protección de firewall. . . . . . . . . . . . 70 Configuración de la directiva Opciones del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Gestión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Asignación de varias instancias de la directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Configuración de la directiva Reglas IPS. . . . . 55 Supervisión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Definición de opciones generales de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Introducción al cliente Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Definición de opciones de solución de problemas de IU de cliente. . . . . . . . . . . . . . . . 90 Consola de clientes para clientes Windows. . . . . . . 85 Definición de redes de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Desbloqueo de la interfaz del cliente Windows. . . . . . . . . . 105 Introducción al cliente Linux . . 90 Menú Icono de la bandeja de sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Creación y edición de reglas de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Firmas personalizadas de Windows. . . . . . . . . . . . . . . . . 88 Uso de clientes de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . 86 Definición de aplicaciones de confianza. . . . . . . 86 Configuración de una directiva de redes de confianza. . . . . . . . . . . . . . . . . . . . 117 Guía del producto McAfee Host Intrusion Prevention 8. 104 Aplicación de directivas con el cliente Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Secciones comunes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 5 . . . . 88 Asignación de varias instancias de la directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Estructura de regla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Edición de la lista de hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Definición de opciones de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Configuración de una directiva de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Escritura de firmas personalizadas y excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Aplicación de directivas con el cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Caracteres comodín y variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Apéndice A -. . . . . . . . . 108 Solución de problemas del cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Secciones comunes opcionales. . . . . . . . . . . . . .Contenido Configuración de una directiva IU de cliente. . . . 93 Alertas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Solución de problemas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Notas acerca del cliente Linux. . . . 102 Acerca de la ficha Lista de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . 83 Configuración de opciones avanzadas y contraseñas de IU de cliente. . . . . . . . . 97 Acerca de la ficha Directiva de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Acerca de la ficha Hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Introducción al cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Acerca de la Ficha Registro de actividad. . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Acerca de la ficha Directiva de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Solución de problemas del cliente Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Solaris/Linux class UNIX_apache (HTTP). . . . . . . . . . . 145 Apéndice B: solución de problemas. . . . clase Windows. . . . . . 134 Clases y directivas de la plataforma Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Archivos de clase de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Programa de clase Windows. . . . . . . . . . 143 Solaris clase UNIX_bo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Solaris/Linux clase UNIX_Misc. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Solaris clase UNIX_GUID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Contenido Desbordamiento de búfer de clase Windows. . . 156 6 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 SQL de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . .exe. . . . . . . . . . . . . . . 148 Problemas generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Isapi (HTTP) de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Utilidad Clientcontrol. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Registros de Host IPS. . 123 Uso ilegal. . . . . . . . . . . . . . . . . . 144 Solaris clase UNIX_map. . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Uso de host ilegal IPS API. . . . . . . . . . . . . . . . 138 Solaris/Linux clase UNIX_file. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . clase Windows. . . . . . . . . . . . . . . . . . 127 Registro de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Hook de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Firmas personalizadas no Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . 145 Clases y directivas de la plataforma UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Servicios de la clase Windows. . . . . . . . . . . . . .

sistema de prevención de intrusiones). Su tecnología patentada bloquea proactivamente ataques de día cero (zero day) y ataques conocidos. Protección básica Host Intrusion Prevention se entrega con un conjunto de configuraciones predeterminadas que proporcionan una protección básica para su entorno. Las opciones incluyen: • Para protección de IPS: • Las firmas de gravedad alta se evitan y las demás firmas se ignoran. ya está preparado para aplicar la protección. supervisar los eventos y actualizar las directivas y los contenidos según sea necesario. La función de firewall de Host Intrusion Prevention se adquiere por separado o en combinación con la función IPS de Host Intrusion Prevention. Host Intrusion Prevention está totalmente integrado con ePolicy Orchestrator y utiliza su estructura para proporcionar y aplicar directivas. portátiles y servidores críticos. Guía del producto McAfee Host Intrusion Prevention 8. así como de las aplicaciones que almacenan y proporcionan información. La función IPS dispone de actualizaciones de contenido mensuales. Este enfoque proporciona una solución de gestión única que permite el despliegue masivo en un total de hasta 100. incluidos servidores web y de bases de datos. Contenido Protección de IPS en host Directivas de Host IPS Gestión de directivas de IPS en host Seguimiento y ajuste de directivas de IPS en host Protección de IPS en host Una vez que todos los componentes necesarios para Host Intrusion Prevention estén instalados y puedan comunicarse.Introducción a Host Intrusion Prevention ® McAfee Host Intrusion Prevention es un sistema de detección y prevención de intrusos basado en host que protege los recursos del sistema y las aplicaciones frente a los ataques internos y externos. Logra este objetivo mediante la función de firewall de punto final y la función IPS (Intrusion Prevention System.000 sistemas en varios idiomas y en la totalidad de la empresa con el objetivo de ofrecer una exhaustiva cobertura real.0 para ePolicy Orchestrator 4. Proporciona una solución escalable y de fácil manejo para evitar intrusiones en estaciones de trabajo.0 7 . lo que reduce la urgencia de los parches para nuevas amenazas. Host Intrusion Prevention (en ocasiones abreviado en el producto como Host IPS o HIP) puede proteger información e impedir la puesta en peligro de los recursos del sistema y de la red.

Host Intrusion Prevention proporciona tres funciones de directiva. Son las siguientes: IPS. La propiedad de las directivas se asigna en Catálogo de directivas. NOTA: cuando Host Intrusion Prevention 8.Introducción a Host Intrusion Prevention Directivas de Host IPS • Las aplicaciones de McAfee se enumeran como aplicaciones de confianza para todas las reglas. • Protección de IPS (todas las plataformas). Firewall y General. Directivas de Host IPS Una directiva es un conjunto de parámetros que puede configurar y aplicar en la consola de ePolicy Orchestrator. Empiece con un despliegue de muestra para supervisar y ajustar la nueva configuración. • Reglas IPS (todas las plataformas). • Para la protección de firewall: • Se permite la conectividad básica de red.0 . la persona asociada como propietario de la directiva o el administrador global. las reglas de protección de aplicaciones. Define la reacción de protección a los eventos que generan las firmas. Por lo tanto. la directiva efectiva es el resultado de los contenidos unidos de las directivas. se aplica la configuración explícita que ofrezca mayor protección. lo que permite que se asignen a un sistema varias directivas de Reglas IPS. en lugar de una sola direciva. 8 Guía del producto McAfee Host Intrusion Prevention 8. excepto para las reglas de autoprotección de IPS. • Se protegen las aplicaciones y procesos predefinidos.0 para ePolicy Orchestrator 4. Las funciones IPS y Firewall contienen una directiva de "reglas" con reglas que definen el comportamiento y una directiva de "opciones" que habilita o deshabilita las reglas. Esta directiva es una directiva de múltiples instancias. Protección avanzada Para obtener protección avanzada. esta solo puede modificarla o eliminarla su creador. firmas y reglas de protección de aplicaciones. La eliminación de las directivas solo puede llevarse a cabo en Catálogo de directivas. Activa o desactiva la protección IPS y la aplicación del modo de adaptación para el ajuste. cada una con un conjunto de opciones de seguridad. las firmas.0 se instala por primera vez. Detalla las excepciones. La aplicación de directivas asegura que las necesidades de seguridad en sistemas gestionados se cumplan. • Opciones de IPS (todas las plataformas). Una vez creada una directiva. no está activa ninguna protección. los eventos y las excepciones generadas por los clientes. Directivas de IPS La función IPS incluye tres directivas que protegen los equipos Windows y los que no son Windows. Debe activar la protección en la directiva Opciones de IPS u Opciones del firewall y aplicar la directiva al cliente. cambie de configuraciones IPS predeterminadas a configuraciones preestablecidas más estrictas o cree configuraciones personalizadas. Los ajustes necesitan equilibrar la protección contra prevención de intrusos y acceder a la información necesaria y a las aplicaciones por tipos de grupo. Define excepciones. Si hay configuraciones en conflicto.

Introducción a Host Intrusion Prevention
Gestión de directivas de IPS en host

Directivas de firewall
La función Firewall incluye tres directivas que solo protegen los equipos Windows. Filtra el
tráfico de red, lo que permite que el tráfico legítimo pase a través del firewall, y bloquea el
resto.
• Opciones de firewall (solo Windows). Activa o desactiva la protección del firewall y la
aplicación del modo de adaptación o de aprendizaje para el ajuste.
• Reglas de firewall (solo Windows). Define las reglas de firewall.
• Bloqueo DNS del firewall (solo Windows). Define los servidores de nombre de dominio
que han de bloquearse.
Directivas generales
La función General incluye tres directivas que pueden aplicarse a las funciones IPS y Firewall.
• IU de cliente (solo Windows). Define el acceso a la interfaz de usuario de Host Intrusion
Prevention en los sistemas de cliente Windows, así como a las opciones de solución de
problemas. También proporciona protección mediante contraseña a todos los sistemas de
clientes que no son Windows.
• Redes de confianza (solo Windows). Muestra direcciones IP y redes seguras para establecer
comunicación. Se usa con las funciones IPS y Firewall.
• Aplicaciones de confianza (todas las plataformas). Muestra aplicaciones que son de
confianza para realizar operaciones. Se usa con la función IPS. Esta directiva es una directiva
de múltiples instancias, lo que permite que se asignen a un sistema varias directivas de
Aplicaciones de confianza, en lugar de una sola direciva. Por lo tanto, la directiva efectiva
es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto,
se aplica la configuración que ofrezca mayor protección.

Gestión de directivas de IPS en host
La consola de ePolicy Orchestrator le permite configurar las directivas de Host Intrusion
Prevention desde una localización central.
Cómo se hacen efectivas las directivas
Cuando se modifican las directivas de Host Intrusion Prevention en la consola de ePolicy
Orchestrator, los cambios surten efecto en los sistemas gestionados en la siguiente comunicación
entre agente y servidor. El valor predeterminado de este intervalo es de 60 minutos. Para aplicar
las directivas inmediatamente, puede enviar una llamada de activación del agente desde la
consola de ePolicy Orchestrator.
Directivas y sus categorías
La información de directivas de Host Intrusion Prevention se agrupa según función y categoría.
Cada categoría se refiere a un subconjunto específico de valores de directivas.
Una directiva es un grupo de configuraciones definidas con un propósito específico. Puede crear,
modificar o eliminar tantas directivas como sea necesario.
Cada directiva tiene una directiva McAfee Default preconfigurada que no se puede editar o
eliminar. Con excepción de las reglas IPS y las aplicaciones de confianza, todas las directivas
tienen tambien una directiva Mis valores predeterminados que se puede editar y que está
basada en la directiva predeterminada. Algunas categorías de directivas incluyen directivas

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

9

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

preconfiguradas de solo lectura. Si estas directivas cubren sus necesidades, puede aplicar
cualquiera de ellas. Estas directivas de solo lectura, como todas las directivas, pueden duplicarse
y personalizar el duplicado, si fuera necesario.
Las reglas IPS y las aplicaciones de confianza son directivas de instancias múltiples, ya que
puede asignar múltiples instancias de directivas bajo una única directiva. Las instancias de
directivas se combinan automáticamente en una directiva en vigor.
SUGERENCIA: las directivas McAfee Default para Reglas IPS y Aplicaciones de confianza se
actualizan automáticamente como parte del proceso de actualización de contenido. McAfee
recomienda asignar siempre estas directivas a todos los clientes y crear instancias adicionales
de la directiva para personalizar el comportamiento de estas dos directivas.
Cómo se aplican las directivas
Las directivas se aplican a cada grupo o sistema del árbol del sistema, ya sea por herencia o
por asignación. Herencia determina si la configuración de directivas de cualquier sistema procede
de su nodo principal. La herencia está activada de forma predeterminada en todo el árbol de
sistemas. Puede romper la herencia mediante asignación directa de directivas. Host Intrusion
Prevention, si se gestiona desde ePolicy Orchestrator, le permite crear directivas y asignarlas
sin contar con la herencia. Cuando se interrumpe esta herencia asignando una nueva directiva,
todos los grupos y sistemas secundarios heredan la nueva directiva.
Propietarios de las directivas
Cada directiva tiene que tener asignado un propietario. La propiedad asegura que nadie más
que el administrador global, el creador de la directiva o la persona asociada como propietario
de la directiva pueda modificarla. Cualquier administrador puede utilizar una directiva que exista
en el catálogo, pero únicamente el creador, el propietario o el administrador global podrán
modificarla.
SUGERENCIA: en lugar de utilizar una directiva que es propiedad de un administrador diferente,
se aconseja duplicar la directiva y, a continuación, asignar el duplicado. Por otro lado, si asigna
una directiva de la que no es propietario a grupos de árbol del sistema que administra y el
propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva
recibirán estas modificaciones.

Seguimiento y ajuste de directivas de IPS en host
El despliegue y la gestión de los clientes de Host Intrusion Prevention se realizan desde ePolicy
Orchestrator. En el árbol del sistema de ePO, puede agrupar sistemas jerárquicamente por
atributos. Por ejemplo, puede agrupar un primer nivel por localización geográfica y un segundo
nivel por plataforma del sistema operativo o dirección IP. McAfee recomienda agrupar los
sistemas en función de criterios de configuración de Host Intrusion Prevention, incluidos el tipo
de sistema (servidor o equipo de escritorio), el uso de aplicaciones principales (Web, base de
datos o servidor de correo) y ubicaciones estratégicas (DMZ o Intranet). Puede colocar sistemas
que se ajusten a un perfil de uso común en un grupo común del árbol del sistema. De hecho,
puede nombrar un grupo según su perfil de uso (por ejemplo, Servidores web)
Con los equipos agrupados en el árbol del sistema según el tipo, la función o la ubicación
geográfica, es posible dividir fácilmente las funciones administrativas según los mismos criterios.
Con Host Intrusion Prevention puede dividir tareas administrativas de acuerdo con las funciones
del producto, como IPS o firewall.

10

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

El despliegue de Host Intrusion Prevention en miles de equipos se gestiona fácilmente, ya que
la mayoría de los equipos encajan en un pequeño número de perfiles de uso. La gestión de un
gran despliegue se reduce a mantener unas cuantas reglas de directivas. A medida que crece
el despliegue, los sistemas que se acaben de agregar deberán ajustarse a uno o varios perfiles
existentes y colocarse en el grupo correcto del árbol del sistema.
Protección preconfigurada
Host Intrusion Prevention ofrece dos tipos de protección:
• La protección básica está disponible mediante la configuración de directiva McAfee Default.
Esta protección requiere pocos ajustes (o ninguno) y genera pocos eventos. Para muchos
entornos esta protección básica podría ser suficiente.
• La protección avanzada también está disponible en algunas directivas de IPS y firewall
preconfiguradas o mediante la creación de directivas personalizadas. Los servidores, por
ejemplo, necesitan una protección más potente que la que ofrece la protección básica.
En ambos casos, son necesarios algunos ajustes de la configuración de protección para entornos
reales de trabajo.
Modo de adaptación
Para ayudar a ajustar la configuración de la protección, los clientes de Host Intrusion Prevention
pueden crear reglas de cliente para las directivas impuestas por el servidor que bloqueen
actividades inofensivas. La creación automática de reglas de cliente se permite cuando los
clientes están en modo de adaptación. En el modo de adaptación, las reglas del cliente se crean
sin interacción por parte del usuario. Después de crear reglas de cliente, necesita analizarlas
detenidamente y decidir cuál de ellas se debe convertir a directiva impuesta por el servidor.
Con frecuencia, en organizaciones de gran tamaño, evitar las interrupciones en las actividades
de la empresa tiene prioridad sobre los asuntos de seguridad. Por ejemplo, podría ser necesario
instalar periódicamente nuevas aplicaciones en algunos equipos y es posible que no se disponga
del tiempo ni de los recursos necesarios para ajustarlos inmediatamente. Host Intrusion
Prevention permite colocar equipos específicos en modo de adaptación para protección IPS.
Estos equipos pueden realizar un perfil de una aplicación recién instalada y reenviar las reglas
de cliente resultantes al servidor de ePolicy Orchestrator. El administrador puede promover
estas reglas de cliente a un directiva nueva o existente y, a continuación, aplicar la directiva a
otros equipos para gestionar el nuevo software.
En el modo de adaptación, los sistemas no tienen virtualmente ninguna protección, así que el
modo de adaptación debe usarse solo para ajustar un entorno, y es necesario desactivarlo para
aumentar la protección del sistema.
Ajuste
Como parte del despliegue de Host Intrusion Prevention, es necesario identificar un número
pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor manera de conseguirlo
es ajustar un despliegue de prueba y después comenzar a reducir el número de falsos positivos
y eventos generados. Este proceso se denomina ajuste.
Reglas IPS más estrictas señalan un rango más amplio de infracciones y generan muchos más
eventos que en un entorno básico. Si aplica la protección avanzada, McAfee recomienda utilizar
la directiva Protección IPS para escalonar el impacto. Esto implica el trazado de cada uno de
los niveles de gravedad (alta, media, baja o información) con una reacción (prevenir, registrar,
ignorar). Si inicialmente se establecen las reacciones de todos los niveles de gravedad como
Ignorar, excepto las de gravedad alta, se aplican solo estas últimas. Los otros niveles pueden
elevarse de manera gradual a medida que progresa el ajuste.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

11

0 para ePolicy Orchestrator 4. eventos de alto nivel notificados por clientes concretos durante un período de tiempo determinado. Paneles y consultas Los paneles permiten el seguimiento del entorno al mostrar distintas consultas a la vez. Los informes se pueden planificar y enviar como mensaje de correo electrónico. aplicaciones de confianza y reglas de firewall. Las consultas permiten obtener datos sobre un elemento concreto y filtrar datos de subconjuntos específicos de esos datos. Esta consultas pueden actualizarse constantemente o ejecutarse con una frecuencia especificada. • Las reglas de firewall determinan si se permite el tráfico y si se permitirá o bloqueará la recepción o transmisión de paquetes.0 . • Las reglas de excepción son mecanismos que ignoran una firma de IPS en circunstancias específicas. por ejemplo. • Las aplicaciones de confianza son procesos de aplicaciones que ignoran todas las reglas IPS y de firewall. 12 Guía del producto McAfee Host Intrusion Prevention 8.Introducción a Host Intrusion Prevention Seguimiento y ajuste de directivas de IPS en host Puede reducir el número de falsos positivos mediante la creación de reglas de excepción.

Puede crear y editar múltiples paneles. el cambio y actualización de directivas. Host Intrusion Prevention proporciona dos paneles predeterminados con estos monitores: Tabla 1: Paneles y monitores de Host IPS Panel Monitores IPS en host • Estado del firewall • Estado de IPS en host • Estado del servicio • Recuento de reglas IPS de cliente • Versiones del contenido • Primeros 10 eventos NIPS por IP de origen • Firmas desencadenadas por alto nivel en el escritorio • Firmas desencadenadas por medio nivel en el escritorio • Firmas desencadenadas por bajo nivel en el escritorio • Firmas desencadenadas por alto nivel en el servidor Firmas desencadenadas por IPS en host Guía del producto McAfee Host Intrusion Prevention 8. Paneles de IPS en host Los paneles son una recopilación de seguimientos.0 13 . Utilice cualquier consulta basada en formularios. Contenido Gestión de la información Gestión de directivas Gestión del sistema Gestión de la información Tras la instalación de Host Intrusion Prevention. desde una consulta basada en tablas a una pequeña aplicación web. puede hacer un seguimiento y un informe sobre los asuntos de seguridad que surjan en su entorno. Los seguimientos pueden ser cualquier cosa.0 para ePolicy Orchestrator 4. Utilice los paneles para obtener una visión diaria de la situación de seguridad o para ejecutar consultas sobre información detallada acerca de asuntos concretos. como el servicio MyAvert Threat. como un panel que se actualiza con una frecuencia especificada. siempre y cuando tenga los permisos. para que pueda poner sus consultas más útiles en un panel en vivo. y la realización de tareas del sistema. una herramienta esencial para la gestión del entorno.Gestión de la protección La gestión de un despliegue de Host Intrusion Prevention incluye el seguimiento. el análisis y la reacción a las actividades.

si existe. para definir filtros precisos en los datos devueltos por el informe. Puede exportar informes en una gran variedad de formatos de archivo.0. utilizando operadores lógicos. todo en el mismo informe. Consultas personalizadas Puede crear cuatro consultas concretas de Host IPS con Query Builder: Reglas de cliente de firewall de Host IPS 8.0. eventos e instalaciones. profundice uno o dos niveles para obtener información detallada. Puede generar consultas para un grupo de sistemas de cliente seleccionados o limitar los resultados de los informes por producto o por criterios del sistema. Por ejemplo. Controle cuánta información del informe será visible para los distintos usuarios. Consultas predefinidas y personalizadas para analizar la protección La función de generación de informes contiene consultas predeterminadas de Host Intrusion Prevention y permite la creación de consultas personalizadas. Organice y mantenga consultas personalizadas de acuerdo con sus necesidades. Reglas de cliente IPS de Host IPS 8.Gestión de la protección Gestión de la información Panel Monitores • Firmas desencadenadas por medio nivel en el servidor • Firmas desencadenadas por bajo nivel en el servidor Para obtener más información acerca de la creación y el uso de paneles.0 . 14 Guía del producto McAfee Host Intrusion Prevention 8. semanal o mensual. filtrar los informes según sea necesario. Ejecutables de reglas de cliente de firewall de Host IPS 8. puede ver la información resumida.0 para ePolicy Orchestrator 4. organícelas en agrupaciones lógicas para que pueda ejecutarlas cuando lo necesite de forma diaria. • Definir un filtro de datos. si personaliza la configuración para un informe. • Ejecutar consultas de equipos. Consultas de IPS en host Host Intrusion Prevention incluye la funcionalidad de consulta mediante ePolicy Orchestrator. por ejemplo. para los administradores globales o para los otros usuarios. • Generar informes gráficos a partir de la información de la base de datos. Algunos usuarios solo ven informes de sistemas en sitios en los que tengan permisos. Puede crear consultas útiles de eventos y propiedades almacenados en la base de datos de ePO o puede utilizar consultas predefinidas.0 y Excepciones IPS de Host IPS 8. Cuando se haya generado un informe. consulte la documentación de ePolicy Orchestrator. Tras crear plantillas personalizadas. Desde la información resumida. entre ellos HTML y Microsoft Excel. exporte esta configuración como una plantilla. imprimir los informes y exportarlos a otro software. Opciones de consulta: • Definir un filtro para recopilar solo información seleccionada. como lo determina el filtro. La información del informe también se controla con la aplicación de filtros. Elegir el grupo o etiqueta que se han de incluir en el informe. que ha definido.0.

• Activado • Última modificación • Usuario de la última modificación • ID de nodo de hoja • Servicios locales • Estado de registro • Protocolo IP • Coincidir con intrusión • Tipo de soporte • Nombre • Nota • Servicios remotos • ID de regla • Planificar fin • Planificar inicio • Cambiar cuando caduque • Protocolo de transporte Ejecutables de regla de cliente de firewall de Host • IPS 8. los grupos de firewall del catálogo de IPS y las reglas de cliente de firewall. establezca el valor de filtro leafNodeld a > 0.0 • Reglas IPS de cliente de Host IPS 8. Las reglas y grupos del catálogo de IPS tienen el valor de filtro leafNodeId establecido a 0. Los valores posibles de las acciones son permitir.Gestión de la protección Gestión de la información Los parámetros para estas consultas incluyen: Tabla 2: Consultas de IPS en host y parámetros Consulta Parámetros Reglas de firewall y reglas de cliente de firewall del catálogo de Host IPS 8.0 Excepciones IPS de Host IPS 8.0 • Acción • Dirección NOTA: esta consulta devuelve las reglas de firewall del catálogo de IPS.0 para ePolicy Orchestrator 4.0 15 . para ver las reglas de cliente de firewall.0 Huella digital Nombre • Nota • Ruta • ID de regla • Nombre del firmante • Fecha de creación • Descripción • Nombre del ejecutable • Ruta del ejecutable • Huella digital • Nombre completo del ejecutable • Incluir todos los ejecutables • Incluir todas las firmas • Incluir todos los usuarios • Fecha de la última modificación • Versión local • Reacción • ID de firma • Nombre del firmante • Estado • Nombre de usuario • Regla de excepción IPS Guía del producto McAfee Host Intrusion Prevention 8. saltar es la acción para grupos que no tienen la acción permitir/bloquear. bloquear y saltar. por lo tanto.

puede usar varias consultas predefinidas tal cual o editarlas para obtener solo la información que necesita. leído) • Estado de IPS en host • Nombre de la firma • Instalar directorio Consultas predefinidas Además de las consultas personalizadas. Reglas para cliente por Muestra las reglas de firewall para cliente enumeradas por protocolo y por intervalo protocolo/intervalo de puertos de puertos. Clientes pendientes de reinicio Muestra los sistemas administrados en los que IPS en host está desplegado y el instalador debe reiniciar el sistema.0 . Reglas para cliente por proceso/usuario Muestra las reglas de firewall para cliente enumeradas por proceso y usuario. Escoja entre las siguientes consultas predefinidas de Host IPS: Consulta HIP Resumen Reglas para cliente por proceso Muestra las reglas de firewall para cliente enumeradas por proceso. Reglas para cliente por proceso/intervalo de puertos Muestra las reglas de firewall para cliente enumeradas por proceso y por intervalo de puertos. Versiones del cliente Muestra las primeras tres versiones del cliente con una categoría única para el resto de las versiones. Reglas para cliente por protocolo/proceso Muestra las reglas de firewall para cliente enumeradas por protocolo y proceso.0 para ePolicy Orchestrator 4.Gestión de la protección Gestión de la información Consulta Parámetros • Directiva Reglas IPS Propiedades de IPS en host comunes Las consultas personalizadas de Host IPS y algunas de las otras consultas personalizadas le permiten incluir estas propiedades de IPS en host: • Tipo de agente • Estado del modo de adaptación de IPS • Atacantes bloqueados • Idioma • Versión del cliente • Recuento de regla de excepción local • Versión de contenido • Estado de IPS de red • Estado del modo de adaptación de firewall • Reinicio pendiente • Error en el firewall (Errores) • Versión de complemento • Estado del modo de aprendizaje entrante del firewall • Estado del producto • Estado del modo de aprendizaje saliente del firewall • Versión de hotfix/parche • Recuento de regla del firewall • Estado del firewall • Servicio en ejecución • Versión del producto • Service Pack • Errores de IPS en host • Información del evento de IPS en host (oculto. Reglas para cliente por protocolo/nombre de sistema Muestra las reglas de firewall para cliente enumeradas por protocolo y nombre de sistema. 16 Guía del producto McAfee Host Intrusion Prevention 8.

destino 10 NIPS principales por IP de origen Muestra los 10 eventos de intrusión en la red por direcciones IP de origen que más se han dado en los últimos tres meses. Firmas desencadenadas por bajo nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Eventos de redes de confianza Muestra los eventos generados por sistemas que forman parte de redes de confianza de IPS en host de IPS en host. Estado del servicio Muestra dónde está instalado Host IPS y si se está ejecutando o no en sistemas gestionados. Estado del firewall Muestra dónde está activada o desactivada la protección del firewall en sistemas gestionados. Errores de firewall Muestra los sistemas administrados en los que la función de firewall está activada mediante directiva.Gestión de la protección Gestión de directivas Consulta HIP Resumen Versiones del contenido Muestra las primeras tres versiones del contenido con una categoría única para el resto de las versiones. Errores de IPS en host Muestra los sistemas administrados en los que la función de IPS está activada mediante directiva. pero que no se iniciaron correctamente. Recuento de reglas IPS de cliente Muestra el número de reglas IPS de cliente que se han creado con el paso del tiempo.0 17 . Estado de IPS en host Muestra dónde está activada o desactivada la protección IPS en sistemas gestionados. Firmas desencadenadas por alto nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). Firmas desencadenadas por alto nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica).0 para ePolicy Orchestrator 4. Parte de este proceso necesita un análisis de los eventos y las reglas de los clientes. Guía del producto McAfee Host Intrusion Prevention 8. Recuento de reglas de cliente Muestra el número de reglas de firewall para cliente que se han creado con el paso de firewall del tiempo. Gestión de directivas La gestión de directivas implica la configuración y aplicación de directivas y el ajuste de la protección para los recursos y las aplicaciones del sistema. pero que no se iniciaron correctamente. 10 firmas más activadas Muestra las 10 primeras firmas IPS activadas. Informe de excepciones IPS Muestra las directivas de reglas IPS que presentan excepciones IPS. Firmas desencadenadas por medio nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). 10 eventos IPS principales por Muestra los 10 sistemas con mayor número de eventos IPS. Firmas desencadenadas por bajo nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Firmas desencadenadas por medio nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia).

Haga lo siguiente. Crear una directiva Haga clic en Nueva directiva. Duplicar una directiva Haga clic en Duplicar.0 . examine todos los sistemas a los que está asignada y asigne una directiva distinta. cambie el nombre de la directiva y edite su configuración.. Cambiar el nombre de una directiva Haga clic en Cambiar nombre y cambie el nombre de la directiva (no disponible para directivas predeterminadas o preconfiguradas).Gestión de la protección Gestión de directivas Dónde encontrar directivas ePolicy Orchestrator proporciona dos ubicaciones para ver y administrar directivas de Host Intrusion Prevention: la ficha Directivas (ficha Sistemas | Árbol de sistemas | Directivas para un grupo seleccionado en el Árbol de sistemas) y la ficha Catálogo de directivas (Sistemas | Catálogo de directivas). seleccione el archivo XML de la directiva y. póngale un nombre y edite las opciones.. todos los grupos a los que está actualmente aplicada heredan la directiva de esta categoría desde su ascendiente. Editar una directiva Haga clic en Editar (solo disponible para Mis valores predeterminados o directivas personalizadas). 18 Asignar un propietario de directiva Haga clic en el propietario de la directiva y seleccione otro propietario de la lista (no disponible para directivas predeterminadas o preconfiguradas). se aplica la directiva predeterminada de esta categoría. haga clic en Aceptar. Ver una directiva Haga clic en Ver (solo disponible para McAfee Default o directivas preconfiguradas). dé un nombre a la directiva y guárdela (un archivo XML) en la ubicación deseada. a continuación. Importar directivas Haga clic en Importar. a continuación. Exportar una directiva Haga clic en Exportar. a continuación.. Eliminar una directiva Haga clic en Eliminar (no disponible para directivas predeterminadas o preconfiguradas). dé un nombre a la directiva y guarde el archivo XML correspondiente en la ubicación deseada. Guía del producto McAfee Host Intrusion Prevention 8.. Antes de eliminar una directiva. Exportar todas las directivas Haga clic en Exportar todas las directivas. Para un grupo o sistema seleccionado. use la ficha Directivas para: • Ver directivas de una función concreta del producto • Ver detalles de la directiva • Ver la información de herencia • Editar la asignación de directivas • Editar las directivas personalizadas Utilice la ficha Catálogo de directivas para: • Crear directivas • Ver y editar la información de la directiva • Ver dónde está asignada una directiva • Ver la configuración y el propietario de una directiva • Ver las asignaciones en las que se ha desactivado la aplicación de directivas Para. si no desea que la directiva se herede desde el ascendiente.0 para ePolicy Orchestrator 4. NOTA: cuando se elimina una directiva. Si elimina una directiva que está aplicada en el nivel superior. en la parte superior de la página Catálogo de directivas.

Escriba el nombre de la nueva directiva y haga clic en Aceptar.0 para ePolicy Orchestrator 4. Creación de nuevas directivas Para crear una nueva directiva. • Haga clic en el enlace Ver o Editar de una directiva y. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al más amplio conjunto de entornos de cliente y pueden satisfacer sus necesidades. Evalúe quiénes son los encargados de configurar partes concretas del sistema y concédales los permisos adecuados. reduzca el nivel de gravedad. copie una existente y dé un nombre a la nueva copia. Tarea Para ver las definiciones de las opciones. se puede enviar una notificación cuando una actividad que activa un evento de gravedad alta se produce en un servidor concreto. Por ejemplo. Edite la directiva y haga clic en Guardar. haga clic en el botón Duplicar. Seleccione la directiva de la que quiera realizar una copia. Escriba el nombre de la nueva directiva y haga clic en Aceptar. en la página de directivas. Por ejemplo. consulte la documentación de ePolicy Orchestrator. Tarea Para ver las definiciones de las opciones. Cambio de la asignación de directivas Utilice esta tarea para cambiar la asignación de directivas de Host Intrusion Prevention para un grupo o un único sistema del árbol de sistemas de ePolicy Orchestrator. • Haga clic en el enlace Duplicar para una directiva. • Modifique los niveles de gravedad de firmas específicas. • Cambie las directivas de protección IPS o de las reglas de Firewall predeterminadas. que proporcionan niveles crecientes de la protección preestablecida.0 19 . • Realice una de las acciones siguientes desde el Catálogo de directivas: • Haga clic en el botón Nueva directiva. McAfee recomienda configurar las directivas para proporcionar el máximo nivel de seguridad sin entrar en conflicto con las actividades diarias. Para ajustar las directivas para que se adapten a su situación concreta. haga clic en ? en la interfaz. a continuación. Puede hacerlo en el Catálogo de directivas o desde una página de directivas.Gestión de la protección Gestión de directivas Para obtener más detalles sobre alguna de estas funciones. cuando una firma se activa por el trabajo cotidiano de los usuarios. • Configure los paneles para ver un resumen rápido de conformidad y asuntos. • Siga uno de estos procedimientos: Guía del producto McAfee Host Intrusion Prevention 8. se recomienda lo siguiente: • Con cuidado. haga clic en ? en la interfaz. defina su configuración de seguridad de Host Intrusion Prevention. escriba el nombre de la nueva directiva y haga clic en Aceptar. Configuración de directivas Después de instalar el software Host Intrusion Prevention. • Configure notificaciones para alertar a usuarios específicos cuando se produzcan eventos concretos. Se muestra la directiva duplicada.

haga clic en Editar asignación. vaya a Sistemas | Árbol del sistema. • Aplique la nueva directiva a un conjunto de equipos y supervise los resultados. • Para la protección por firewall. no se producen eventos IPS y no se bloquea la actividad. • Para un sistema. haga que estas excepciones formen parte de una directiva nueva o existente. cambie de directivas IPS predeterminadas a directivas preestablecidas más estrictas o cree directivas personalizadas. excepto para vulnerabilidades malintencionadas.0 . Ajuste manual El ajuste manual necesita un seguimiento directo durante un periodo de tiempo establecido de los eventos y las reglas de clientes que se creen. a continuación. Para obtener protección avanzada. seleccione el sistema y seleccione Más acciones | Modificar directivas en un único sistema. supervise el tráfico de red y agregue redes de confianza para permitir el tráfico de red adecuado. las aplicaciones de confianza y las redes de confianza. mantener el tráfico de red a un nivel mínimo y permitir la actividad legítima. en la ficha Directivas. • En el modo de adaptación. Tanto la protección IPS como por firewall están desactivadas de forma predeterminada y se tienen que activar para permitir que se implementen las directivas de reglas predeterminadas. • Si estas reglas funcionan correctamente al prevenir falsos positivos. Ajuste automático El ajuste automático elimina la necesidad de supervisar constantemente todos los eventos y actividades de todos los usuarios. Protección predeterminada y ajustes Host Intrusion Prevention trabaja con directivas predeterminadas para la protección básica. • Para obtener protección IPS.0 para ePolicy Orchestrator 4. • Supervise los efectos de las excepciones nuevas. Protección predeterminada Host Intrusion Prevention se entrega con un conjunto de directivas predeterminadas que proporcionan protección básica para su entorno. Empiece con un despliegue de muestra para supervisar y ajustar las nuevas configuraciones. seleccione un grupo que contenga el sistema y. en la ficha Sistema . Esto permite una mayor protección a través de las configuraciones personalizadas que se obtienen con el ajuste manual o automático. vaya a Sistemas | Árbol del sistema. • Repita este proceso con cada tipo de grupo de producción. • Aplique el modo de adaptación para las directivas IPS y Firewall. supervise los eventos para encontrar falsos positivos y cree excepciones o aplicaciones de confianza para evitar que esos eventos se vuelvan a producir. Los ajustes implican ajustar la protección de prevención de intrusos y el acceso a la información requerida y a las aplicaciones por tipo de grupo. seleccione un grupo y. • Revisión de la lista de reglas de clientes. a continuación. 20 Guía del producto McAfee Host Intrusion Prevention 8.Gestión de la protección Gestión de directivas • Para un grupo. Se crean reglas de cliente de forma automática para permitir la actividad legítima.

su función en la empresa o las características del sistema. Por ejemplo. vea la ficha Eventos de la ficha IPS en host en Informes. Los clientes se pueden instalar con un conjunto predeterminado de directivas de IPS y Firewall. Datos de clientes y lo que le dicen Después de haber instalado y agrupado los clientes. Debería comenzar a ver los eventos desencadenados por actividad de los clientes. el despliegue habrá finalizado. • Agrupe los clientes de forma lógica. Para analizar las reglas de cliente. equipos de sobremesa y equipos portátiles) de su empresa. las reglas de cliente y la configuración de Host Intrusion Prevention. como el proceso que desencadena el evento. Puede ver las reglas que se crean. Los clientes se identifican por su nombre en el árbol de sistemas. puede agrupar los clientes según su ubicación geográfica. Si ha colocado clientes en el modo de adaptación. Utilice Guía del producto McAfee Host Intrusion Prevention 8. agregarlas para encontrar las reglas más habituales y moverlas directamente a una directiva para su aplicación en otros clientes. se pueden desplegar más clientes y aprovechar las directivas. Aunque se pueden desplegar clientes de Host Intrusion Prevention en cada host (servidores. • Instale los clientes. cuándo se ha generando el evento y qué cliente lo ha generado. el módulo Informes de ePolicy Orchestrator proporciona informes detallados basados en los eventos. debería ver las reglas de cliente que indican las reglas de bloqueo y excepción de cliente que se crean. incluidos NIPS. Para analizar los datos de eventos. McAfee recomienda empezar con la instalación de clientes en un número limitado de sistemas representativos y ajustar su configuración. • Repita este proceso con cada tipo de grupo de producción. Los clientes se pueden agrupar según cualquier criterio que se ajuste a la jerarquía del árbol de sistemas.0 21 . Además. • Supervise el grupo de prueba durante unos días para asegurarse de que la configuración de la directiva es adecuada y ofrece la protección deseada. excepciones y reglas de cliente creadas en el despliegue inicial. McAfee recomienda establecer una convención de nomenclatura para los clientes que resulte fácil de interpretar para las personas que trabajen en el despliegue de Host Intrusion Prevention. o bien se puede asignar un nombre de cliente específico durante la instalación.Gestión de la protección Gestión de directivas • Promocione las reglas de cliente apropiadas para las reglas de directivas administrativas. consulte las fichas Reglas de cliente IPS y Reglas de firewall para cliente. Los clientes pueden tomar los nombres de los hosts en los que se instalan. • Al cabo de unas cuantas semanas. En el despliegue de clientes. comienza a ajustar el despliegue. La ficha Eventos muestra todos los eventos de IPS en host. Analice el evento y realice la acción adecuada para ajustar el despliegue de Host Intrusion Prevention para proporcionar mejores respuestas a los ataques. Clientes y planificación del despligue El cliente de Host Intrusion Prevention es el componente esencial que proporciona protección. en ciertos informes y en datos de eventos generados por las actividades del cliente. Las directivas nuevas con reglas actualizadas se pueden insertar más tarde desde el servidor. Puede navegar por los detalles de un evento. Una vez que se ha ajustado el despliegue.0 para ePolicy Orchestrator 4. Mediante el análisis de estos datos. se recomienda un método por fases: • Determine el plan de despliegue de clientes inicial. las intrusiones de Firewall y los eventos de bloqueo de TrustedSource. desactive el modo de adaptación. • Establezca una convención de nomenclatura para los clientes.

desactive el modo de adaptación para obtener una mayor protección de prevención de intrusiones en el sistema. Esto permite a los clientes disponer de tiempo suficiente para detectar todas las actividades que detectarían normalmente. que es un conjunto de criterios con acciones asociadas. pero no en otras. • A medida que se detectan las actividades. Permita que se creen excepciones para esos sistemas a fin de que puedan funcionar con normalidad. Las siguientes preguntas y respuestas deberían ayudarle a utilizar esta función. Si un paquete cumple con todos los criterios de una regla. Por ejemplo. mientras la directiva sigue evitando esta actividad en otros sistemas. • Es posible que necesite aplicaciones de software para negocios normales en algunas áreas de la empresa. Modo de adaptación Un elemento fundamental en el proceso de ajuste incluye colocar clientes Host Intrusion Prevention en el modo de adaptación para IPS y Firewall. Preguntas frecuentes: modo de adaptación El modo de adaptación es una configuración que puede aplicar a las funciones de IPS y firewall cuando pruebe el despliegue de nuevas directivas. A medida que revisa cada paquete que se recibe o se envía.Gestión de la protección Gestión de directivas estas consultas para comunicar actividades del entorno a otros miembros de su equipo y a la dirección de la empresa. el firewall realiza la acción especificada por la regla: permite que el paquete pase por el firewall o lo bloquea. 22 Guía del producto McAfee Host Intrusion Prevention 8. Este modo permite a los equipos crear reglas de excepción de cliente en las directivas administrativas. haga que estas excepciones formen parte de una directiva impuesta por el servidor relativa al grupo de ingeniería. Al finalizar el ajuste. como copias de seguridad o procesamiento de secuencias de comandos. Intente llevar a cabo esta operación en los momentos de actividad planificada. Por ejemplo. puede permitir el uso de la mensajería instantánea en las organizaciones de asistencia técnica. Host Intrusion Prevention permite escoger cualquiera. El firewall analiza todo el tráfico entrante y saliente a nivel del paquete. Las excepciones son actividades que se distinguen como comportamiento inofensivo.0 . Este modo primero analiza los eventos en busca de los ataques más dañinos. Al configurar clientes representativos en modo de adaptación.0 para ePolicy Orchestrator 4. pero ciertos sistemas de los grupos de ingeniería necesitan realizar este tipo de tareas. como el desbordamiento del búfer. A continuación. una directiva puede considerar que cierto procesamiento de secuencias de comandos constituye un comportamiento ilegal. pero evitar su uso en el departamento de finanzas. Permite que el cliente de Host Intrusion Prevention cree de forma automática reglas para permitir la actividad al mismo tiempo que se preserva una protección mínima de las vulnerabilidades. puede crear una configuración de ajuste para ellos. Puede establecer la aplicación como de confianza en los sistemas de asistencia técnica para permitir el acceso completo a la misma por parte de los usuarios. el firewall comprueba su lista de reglas de firewall. se generan eventos IPS y se crean excepciones. A continuación. todas o ninguna de las reglas de cliente y convertirlas en directivas impuestas por el servidor. • La función firewall actúa como filtro entre un equipo y la red o Internet. El modo de adaptación lo hace de forma automática sin la interacción del usuario. se crean reglas de excepción de cliente. Si la actividad se considera normal y necesaria para la empresa. • Ejecute los clientes en modo de adaptación durante una semana como mínimo.

¿En qué caso no se crea una regla de forma automática con el modo de adaptación? Con IPS: • La firma en la directiva de reglas IPS efectivas no permite la creación de una regla de cliente. ni protocolo UDP (User Datagram Protocol) ni ICMP. • Los paquetes IPsec (Internet Protocol Security) asociados con las soluciones de cliente de las redes privadas virtuales. en una directiva Reglas IPS aplicada. • ICMP entrante o saliente en el sistema operativo Microsoft Windows Vista. como una solicitud de eco. • Protocolo ICMP (Internet Control Message Protocol). una tarjeta de interfaz de red (NIC) activa que coincide con el grupo y se recibe o se envía el paquete en una NIC que no coincide con el grupo. Las excepciones de cliente IPS se crean según el usuario. • La acción asociada activa una firma IPS de red. • La directiva de reglas de firewall aplicada tiene un grupo con reconocimiento de ubicación con el aislamiento de la conexión activado. Con firewall. • El proceso asociado con la acción es de confianza para IPS en una directiva Aplicaciones de confianza aplicada y la firma no está excluida de las Aplicaciones de confianza. • Ya existe una regla en la directiva de reglas de firewall aplicada que permite o bloquea el paquete. sea cual sea la configuración de la regla de cliente para el servicio de protección automática en una firma 1000. el modo de adaptación crea reglas del lado cliente que son excepciones a las firmas IPS existentes. y solo se basan en la ruta. • Ya existe una excepción. que excluye la operación en cuestión. una firma digital y el hash MD5.Gestión de la protección Gestión de directivas ¿Cómo se activa el modo de adaptación? El modo de adaptación se activa al activar esta opción en la directiva Opciones de IPS o la directiva Opciones de firewall y al aplicar esta directiva al cliente de Host Intrusion Prevention. ¿En qué se diferencia el funcionamiento del modo de adaptación con IPS o con firewall? Con IPS.0 para ePolicy Orchestrator 4. Con el firewall: • No hay aplicación asociada con el paquete cuando se examina en el registro de actividad del cliente. (Esta configuración es estándar para las firmas IPS de más gravedad. • El paquete no es TCP. Las reglas de firewall para cliente se crean según el proceso y los procesos asociados con las reglas de firewall para clientes se basan en una ruta. el modo de adaptación crea reglas del lado cliente que permiten que los paquetes de red no estén cubiertos por las reglas de firewall existentes. • La reacción a la firma es "Ignorar". Algunos de los ejemplos más comunes son: • Solicitudes entrantes para servicios que no están en ejecución. • Un usuario intenta detener el servicio IPS en host de McAfee. una descripción de archivo. • Los paquetes TCP (Transmission Control Protocol) hacia el puerto 139 (NetBIOS SSN) o el 445 (MSDS).0 23 . Guía del producto McAfee Host Intrusion Prevention 8. por lo tanto. el proceso y la firma. como el protocolo FTP (file transfer protocol) o Telnet. es poco probable que la actividad empresarial normal requiera una excepción automatizada). que pueden ser necesarios para compartir archivos de Windows. Estas firmas se ajustan para detectar y evitar las amenazas más graves contra su sistema.

0).1 ó 7.0). • Las directivas de opciones de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8. Host Intrusion Prevention 8. Todas las directivas se traducen y migran a las directivas correspondientes de la versión 8.0 correspondiente del catálogo de directivas con [6. NOTA: las aplicaciones que tienen bloqueada la interceptación en las directivas de reglas de bloqueo de aplicaciones no se migran y deben agregarse manualmente a las reglas de protección de aplicaciones en la directiva Reglas IPS tras la migración. su lista Reglas de protección de aplicaciones queda en blanco. la asignación no se sustituye. Aún se pueden crear excepciones con estas reglas de cliente.1 ó 7.0.0 de McAfee Host Intrusion Prevention con los clientes de la versión 8. si migra una directiva de aplicaciones de confianza marcada como "De confianza para la interceptación de aplicaciones" en la versión 8. NOTA: las asignaciones de directivas se transfieren durante la migración. pero se aplican a todos los usuarios.0 al formato de la versión 8.0 proporciona una manera fácil de migrar directivas con la función Migración de directivas de Host IPS de ePolicy Orchestrator en Automatización. ¿Hay otras limitaciones? • IPS podría no detectar el usuario asociado con algunas reglas de cliente (se muestra como "dominio desconocido/usuario desconocido" en la regla de cliente en ePolicy Orchestrator).1] o [7. excepto para lo siguiente: • Las directivas de opciones de bloqueo de aplicaciones no se migran (estas directivas se han quitado de la versión 8. • Las directivas de reglas de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8.0 para ePolicy Orchestrator 4. Una vez que se haya migrado la directiva. debe crear una excepción para esa aplicación en una firma 6010 (Protección genérica de interceptación de aplicaciones) en una directiva Reglas de IPS en host para conservar la protección de interceptación de aplicaciones. Esta migración implica la traducción y migración de directivas. debe asignar también la directiva Mis reglas IPS predeterminadas en una configuración de múltiples instancias de directivas.0).0] después del nombre de la directiva.1 ó 7.0] (estas directivas se han quitado de la versión 8. Para usar esta directiva migrada. pero 24 Guía del producto McAfee Host Intrusion Prevention 8. Asimismo.0. esta aparece en la función y categoría del producto Host IPS 8. • Las reglas de cliente IPS y las reglas de cliente de firewall no se migran. ya que contiene la lista más reciente de protección de aplicaciones a través de actualizaciones de contenido. Migración de directivas de Host IPS No se pueden usar las directivas de la versión 6.Gestión de la protección Gestión de directivas • Hay más de un usuario registrado en el sistema o no hay ningún usuario registrado en el sistema. y la lista Excepciones contiene las excepciones para todas las aplicaciones de confianza predeterminadas establecidas en "De confianza para interceptación de aplicaciones".0. Si se interrumpe la herencia en una ubicación concreta del Árbol de sistemas. • Algunas conexiones TCP entrantes como el escritorio remoto o el protocolo HTTP (Hypertext Transfer Protocol) en Secure Sockets Layer (HTTPS) podrían necesitar varios intentos para crear una regla de firewall. • Las directivas de reglas de bloqueo de aplicaciones se migran a directivas de Reglas IPS denominadas de interceptación de aplicaciones y protección contra invocación <nombre> [6.0 sin primero migrar las directivas de la versión 6. Una vez migradas estas directivas a directivas de Reglas IPS.0).0 .

Todos los permisos para todos los productos y funciones se asignan automáticamente Guía del producto McAfee Host Intrusion Prevention 8. convertir los contenidos del archivo xml a las directivas Host Intrusion Prevention de las versiones 8.0 del catálogo de directivas ePO. mígrelas mediante el proceso de archivos xml.1] o [7. 3 Seleccione los archivos xml de la versión de Host IPS 6. Si quiere migrar directivas de forma selectiva. después.0] detrás del nombre.0.0 25 . 4 Haga clic con el botón derecho en el enlace del archivo convertido MigratedPolicies. haga clic en Migrar. si quiere migrar de forma selectiva las directivas de la versión 6. Migración de directivas de forma directa Tras instalar la extensión Host Intrusion Prevention 8. 5 Importe el archivo xml en el catálogo de directivas de ePO. a continuación. cuando las asignaciones migradas están fusionadas. Se puede asignar uno o varios conjuntos de permisos. Todas las versiones 6. se sustituyen todas las directivas del mismo nombre que se hayan migrado previamente. hágalo migrándolas mediante un archivo xml. Conjuntos de permisos de IPS en host Un conjunto de permisos es un grupo de permisos concedidos a una cuenta de usuario para productos específicos o funciones de un producto. 2 En Acción para directivas de Host IPS 6.Gestión de la protección Gestión del sistema la herencia podría interrumpirse en otros puntos del Árbol de sistemas. El archivo xml se ha convertido al formato de las directivas de la versión 8.0 existentes.xml y guárdelo para importarlo. haga clic en Cerrar.0 de IPS.1 ó 7. la manera más fácil de migrar todas las directivas existentes es migrarlas directamente. importar los archivos xml migrados al catálogo de directivas de ePO.1/7.0 y. haga clic en Migrar. 3 Cuando se haya completado la migración de directivas.0 en un archivo xml.0 y aparecen con [6. Entre estas se incluye la definición de permisos de usuario.1/7. tiene que realizar tareas del sistema ocasionales. o. notificaciones y actualizaciones del contenido. Migración de directivas mediante un archivo xml Si la extensión Host Intrusion Prevention 6. haga clic en Aceptar. tareas de servidor.0 no está instalada y previamente ha exportado directivas únicas seleccionadas a un archivo xml. 2 En Acción para directivas de Host IPS 6.1/7. El proceso implica que primero se tienen que exportar directivas Host Intrusion Prevention 6.0 exportados previamente y. 1 Haga clic en Automatización | Migración de directivas de Host IPS.1 ó 7. Este proceso no es selectivo porque se migran todas las directivas 6. Firewall y la función general de directivas se convierten a la versión 8.0.1/7.0 únicas a formato xml. NOTA: al ejecutar la migración de directivas una segunda vez. Gestión del sistema Como parte de la gestión del despliegue de Host Intrusion Prevention.0 en lugar de todas las directivas a la vez. Revise siempre la asignación de directivas después de migrar las directivas.1 o 7. 1 Haga clic en Automatización | Migración de directivas de Host IPS.0 para ePolicy Orchestrator 4.1 ó 7.

El administrador global también necesita dar permisos de ePolicy Orchestrator para encargarse de otras áreas que funcionan con Host Intrusion Prevention. acceso al Árbol de sistemas. los permisos de vista para acceder al árbol de sistemas. un usuario necesita los permisos de vista para acceder al registro de eventos. La extensión de Host Intrusion Prevention agrega una sección de Host Intrusion Prevention a los conjuntos de permisos sin aplicar ningún permiso. Firewall Ninguno. Antes de empezar Determine las funciones de Host Intrusion Prevention a las que quiere dar acceso y los conjuntos de permisos adicionales que se tienen que asignar para acceder a todos los aspectos de la función de Host Intrusion Prevention. Los administradores globales pueden asignar conjuntos de permisos existentes al crear o modificar una cuenta de usuario y al crear o modificar conjuntos de permisos. consultas Consultas de IPS en host Consultas Reglas de cliente y eventos de cliente de IPS en host Sistemas.. se otorgan permisos para acceder a cada función del producto y si el usuario tiene permiso de lectura o de lectura/escritura. Asignación de conjuntos de permisos Esta tarea permite asignar permisos a las funciones de Host Intrusion Prevention del servidor ePO. para ver las reglas de firewall para clientes. como consultas y paneles. solo ver configuración o ver y cambiar configuración.Gestión de la protección Gestión del sistema a administradores globales. para analizar y gestionar las reglas de firewall para clientes encontradas en las páginas de IPS en host.0 . Por ejemplo. y los permisos de vista y de cambio para la función de Firewall de Host Intrusion Prevention. Están disponibles estos permisos. Para esta función de IPS en host. Por ejemplo. en Informes. Registro de eventos Tareas del servidor de IPS en host Tareas servidor Paquetes de IPS en host en el repositorio Software Notificaciones de IPS en host Notificaciones Para obtener más información acerca de los conjuntos de permisos. Los administradores globales deben otorgar los permisos de IPS en host a los conjuntos de permisos existentes o crear conjuntos de permisos y añadirlos allí.. Tabla 3: Permisos necesarios para trabajar con varias funciones Para estas funciones de IPS en host Se necesitan los siguientes conjuntos de permisos Paneles de IPS en host Paneles. Las configuraciones de permisos solo otorgan permisos. en Informes. los permisos de vista para sistemas. Con Host Intrusion Prevention.0 para ePolicy Orchestrator 4. IPS Ninguno.. consulte la documentación de ePolicy Orchestrator. General Ninguno. nunca quitan un permiso. solo ver configuración o ver y cambiar configuración. solo ver configuración o ver y cambiar configuración.. Esto es aplicable tanto a las páginas de directivas de Host Intrusion Prevention como a las páginas de reglas para clientes y eventos de Host Intrusion Prevention. el usuario debe tener permiso para la función Firewall en el conjunto de permisos de Host 26 Guía del producto McAfee Host Intrusion Prevention 8.

Para crear una tarea servidor personalizada. haga clic en Editar. acceso al registro de eventos. haga clic en ? en la interfaz. a los sistemas y al árbol de sistemas Reglas IPS de cliente de IPS en host Host Intrusion Prevention: IPS. Tarea Para ver las definiciones de las opciones. Tabla 4: Tareas servidor preconfiguradas y personalizadas Tarea servidor Descripción Traductor de propiedades de IPS en host (preconfigurado) Esta tarea servidor traduce reglas de cliente de Host Intrusion Prevention almacenadas en las bases de datos de ePolicy Orchestrator para gestionar la clasificación. haga clic en Nueva tarea y siga los pasos del asistente del Generador de tareas servidor. vaya a Automatización | Tareas servidor y haga clic en el comando adecuado en Acciones. consulte la documentación de ePolicy Orchestrator. 3 Seleccione el permiso deseado por cada función: • Ninguno • Ver solo la configuración • Ver y cambiar configuración 4 Haga clic en Guardar. Pero puede ejecutarla manualmente si necesita ver de forma inmediata los comentarios de las acciones de los clientes. a los sistemas y al árbol de sistemas Reglas de firewall para cliente de IPS en host Host Intrusion Prevention: firewall. así como para el conjunto de permisos del registro de eventos. consultas Consultas de IPS en host Consultas Tareas del servidor de IPS en host Host Intrusion Prevention proporciona varias tareas servidor preconfiguradas o configurables que puede definir para que se ejecuten en una planificación específica o de forma inmediata como parte del mantenimiento de la protección de Host Intrusion Prevention. Para obtener más información sobre el uso y la creación de tareas servidor. Guía del producto McAfee Host Intrusion Prevention 8. Puede crear tareas servidor personalizadas de Host Intrusion Prevention si hace clic en Nueva tarea y selecciona una o más propiedades de IPS en host en la ficha Acciones del Generador de tareas servidor. Para trabajar con una tarea servidor existente. Esta tarea se ejecuta automáticamente cada 15 minutos y no requiere interacción del usuario. acceso al registro de eventos.0 27 . 2 Junto a Host Intrusion Prevention. de los sistemas y del acceso al árbol de sistemas. acceso al registro de eventos. la agrupación y el filtrado de datos de Host Intrusion Prevention. 1 Vaya a Configuración | Conjuntos de permisos.Gestión de la protección Gestión del sistema Intrusion Prevention. a los sistemas y al árbol de sistemas Paneles de IPS en host Panel.0 para ePolicy Orchestrator 4. 5 Asigne otros conjuntos de permisos según sea necesario: Para esta función de IPS en host Asignar este conjunto de permisos Eventos de IPS en host Host Intrusion Prevention: IPS.

Gestión de la protección Gestión del sistema Tarea servidor Descripción Extracción del repositorio (personalizada) Esta tarea servidor le permite crear tareas personalizadas para obtener paquetes del sitio de origen y colocarlos en el repositorio principal. Puede configurar reglas independientes en los distintos niveles del árbol del sistema. Todas las reglas se crean de la misma manera: 28 1 Describa la regla. • Verifique que la dirección de correo electrónico del destinatario es en la que desea recibir los mensajes de correo electrónico.0 para ePolicy Orchestrator 4. Puede configurar reglas para enviar correos electrónicos o capturas SNMP. Notificaciones de eventos de IPS en host Las notificaciones pueden advertirle de cualquier evento que se produzca en los sistemas de clientes de Host Intrusion Prevention. o ejecutar comandos externos cuando el servidor ePolicy Orchestrator reciba y procese eventos específicos. También puede configurar cuándo enviar mensajes de notificación mediante la definición de umbrales basados en agregación y regulación. Seleccione el Contenido de IPS en host como tipo de paquete para obtener actualizaciones de contenido automáticas. Puede especificar las categorías de eventos que generan un mensaje de notificación y la frecuencia con la que se envían. Si se cumplen las condiciones de una regla. 4 Cree el mensaje que se va a enviar y el tipo de entrega. Guía del producto McAfee Host Intrusion Prevention 8. Seleccione una consulta de Eventos de IPS en host para purgarla del registro. Para obtener detalles completos. se envía un mensaje de notificación. Las reglas de notificación están asociadas al grupo o sitio que contiene los sistemas afectados y se aplican a los eventos. 2 Defina los filtros para la regla. Purgar registro de eventos (personalizada) Esta tarea servidor le permite crear una tarea personalizada para purgar el registro de eventos basado en una consulta de Host Intrusion Prevention.0. o se ejecuta un comando externo. Sugerencias sobre el uso de notificaciones En el entorno de Host Intrusion Prevention. Antes de activar las reglas predeterminadas: • Especifique el servidor de correo electrónico desde el que se envían los mensajes de notificación. 3 Defina los umbrales para la regla. consulte la documentación de ePolicy Orchestrator 4. cuando se producen eventos se envían al servidor de ePolicy Orchestrator. Reglas de notificación ePolicy Orchestrator proporciona reglas predeterminadas que puede activar para su uso inmediato. según especifique la regla. Ejecutar consulta (personalizada) Esta tarea servidor le permite crear una tarea personalizada para ejecutar consultas preconfiguradas de Host Intrusion Prevention en una planificación y un tiempo específicos.0 .

0 29 . Si el paquete es más nuevo. los comandos de este paquete se extraen y se ejecutan. se crea una regla para identificar solo una firma IPS. el contenido más reciente disponible aparece en la consola de ePO.Gestión de la protección Gestión del sistema Categorías de notificaciones Host Intrusion Prevention admite las siguientes categorías de notificaciones de productos específicos: • Intrusión en host detectada y gestionada • Intrusión de red detectada y gestionada • Desconocido Parámetros de las notificaciones Las notificaciones solo se pueden configurar para todas o para ninguna de las firmas de IPS en host (o de red). a continuación. A continuación.0 para ePolicy Orchestrator 4. la versión del paquete se compara con la versión de la información de contenido más reciente de la base de datos. Las versiones posteriores admiten siempre el contenido nuevo. Un paquete de actualización de contenido gestiona las actualizaciones. Los clientes Guía del producto McAfee Host Intrusion Prevention 8. Al asociar internamente el atributo ID de la firma de un evento con el nombre de la amenaza. Las asignaciones específicas de los parámetros de Host Intrusion Prevention permitidos en el asunto/cuerpo de un mensaje incluyen: Parámetros Valores de los eventos IPS en host y de red Nombres de amenazas reales o reglas ID de firma Sistemas de origen Dirección IP remota Objetos afectados Nombre del proceso Hora de envío de la notificación Hora del incidente ID del evento Asignación ePO del ID del evento Información adicional Nombre de la firma localizado (del equipo del cliente) Actualizaciones de protección de IPS en host Host Intrusion Prevention admite varias versiones de contenido y código de los clientes. Este paquete contiene información sobre la versión del contenido y comandos de actualización. El proceso básico incluye la incorporación del paquete de actualización al repositorio principal de ePO y. estas directivas tienen que estar asignadas tanto por Reglas IPS como por Aplicaciones de confianza para poder aprovechar la protección actualizada. las actualizaciones de contenido contienen mayoritariamente información nueva o modificaciones mínimas de la información existente. el envío de la información actualizada a los clientes. Las actualizaciones incluyen datos asociados con la directiva Reglas IPS (firmas IPS y reglas de protección de aplicaciones) y la directiva Aplicaciones de confianza (aplicaciones de confianza). Al incorporarlo. esta nueva información de contenido se pasa a los clientes en la siguiente comunicación entre el servidor y el agente. Como estas actualizaciones se producen en la directiva McAfee Default. Host Intrusion Prevention admite la especificación de un único ID de firma de IPS como nombre de la amenaza o de la regla en la configuración de reglas de notificación. por lo tanto.

haga clic en Siguiente. 3 Seleccione el tipo de paquete y la ubicación. Incorporación manual de paquetes Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. el origen del paquete (McAfeeHttp o McAfeeFtp). haga clic en Extracción de horario. a continuación.Gestión de la protección Gestión del sistema obtienen las actualizaciones únicamente mediante comunicaciones con el servidor ePO y no directamente a través de los protocolos FTP o HTTP. 3 Seleccione Extracción del repositorio como tipo de tarea. 2 Vaya a Software | Repositorio principal y. Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. Evaluación) y un paquete seleccionado (Contenido de Host Intrusion Prevention) y. Actualizaciones de contenido de HIP y. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention. Puede descargar un paquete de actualización e incorporarlo manualmente si no quiere utilizar una tarea de extracción automática. a continuación.0 para ePolicy Orchestrator 4. haga clic en Guardar. Tarea 30 1 Descargue el archivo de McAfeeHttp o McAfeeFtp. Tarea 1 Vaya a Software | Repositorio principal y. Guía del producto McAfee Host Intrusion Prevention 8. Incorporación de paquetes de actualizaciones Puede crear una tarea de extracción de ePO que incorpore automáticamente los paquetes de actualización de contenido al repositorio principal.0 . la rama que recibe el paquete (Actual. 4 Seleccione la rama en la que desea instalar el paquete y haga clic en Guardar. 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. Aparecerá la página Opciones de paquete. El paquete aparecerá en la ficha Repositorio principal. la modificación no se sustituye por una actualización porque la configuración modificada de estas directivas tiene prioridad sobre la configuración predeterminada. Si modifica estas directivas predeterminadas. 5 Compruebe la información y. haga clic en Incorporar paquete. a continuación. haga clic en Siguiente. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention. SUGERENCIA: asigne siempre la directiva Reglas IPS de McAfee Default y la directiva Aplicaciones de confianza de McAfee Default para beneficiarse de cualquier actualización de contenido. por ejemplo. Anterior. y haga clic en Siguiente . 2 Dé un nombre a la tarea. a continuación. a continuación.

Tarea • Haga clic con el botón derecho en el icono de McAfee Agent de la bandeja del sistema y seleccione Actualizar ahora. a continuación. a continuación.0 31 . 3 Seleccione Paquetes seleccionados. Tarea 1 Vaya a Sistemas | Árbol de sistemas | Tareas del cliente.Gestión de la protección Gestión del sistema Actualización de clientes con contenido Una vez incorporado el paquete de actualización al repositorio principal. haga clic en Guardar. a continuación. seleccione Actualizar (McAfee Agent) como el tipo de tarea y. Guía del producto McAfee Host Intrusion Prevention 8. seleccione Contenido de Host Intrusion Prevention y. 5 Revise los detalles y. haga clic en Siguiente. y se extraerán y aplicarán las actualizaciones de contenido al cliente. 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. Aparecerá el cuadro de diálogo Progreso de actualización automática de McAfee. seleccione el grupo al que desea enviar las actualizaciones del contenido y haga clic en Nueva tarea. Actualización de contenido desde el cliente Un cliente también puede pedir actualizaciones a demanda si el icono de McAfee Agent aparece en la barra de estado del sistema del equipo del cliente. puede enviar las actualizaciones al cliente mediante la programación de una tarea de actualización o el envío de una llamada de activación de agente para que se actualice inmediatamente.0 para ePolicy Orchestrator 4. 2 Dé un nombre a la tarea. haga clic en Siguiente.

Reglas IPS: define una protección IPS mediante la aplicación y análisis de firmas y de comportamiento para proteger contra ataques zero-day y conocidos. media. 32 Guía del producto McAfee Host Intrusion Prevention 8. Contenido Resumen de directivas IPS Activar la protección IPS Configuración de la reacción para firmas IPS Definición de protección de IPS Supervisión de eventos IPS Supervisión de reglas de cliente IPS Resumen de directivas IPS La función IPS (Intrusion Prevention System) controla todas las comunicaciones del sistema (nivel kernel) y API (nivel de usuario) y bloquea las que podrían resultar en actividades dañinas. firmas y reglas de protección de aplicaciones. bloquear o registrar una acción. el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas según comportamiento para determinar si permitir. baja). Host Intrusion Prevention determina qué proceso está utilizando una llamada. Protección IPS: indica al sistema cómo tiene que reaccionar (bloquear.0 . y al aplicar opciones específicas para los sistemas Windows. establecen el nivel de reacción frente a eventos y proporcionan protección a través de la aplicación de excepciones. el contexto de seguridad en el que se ejecuta el proceso y los recursos a los que se accede. registrar) cuando no se producen firmas de una gravedad específica (alta. Cuando se realiza una llamada. Este método híbrido detecta la mayoría de ataques conocidos. que anulan las firmas que bloquean la actividad legítima. Las excepciones. La protección también procede de excepciones. que describen qué procesos proteger. Directivas disponibles Existen tres directivas IPS: Opciones de IPS: permite la protección IPS al activar y desactivar la protección IPS del host y de la red. así como ataques zero-day o ataques anteriormente desconocidos.0 para ePolicy Orchestrator 4. y las reglas de protección de aplicaciones.Configuración de directivas IPS Las directivas IPS activan y desactivan la protección de Host Intrusion Prevention. La protección IPS se mantiene actualizada con actualizaciones de contenido mensuales que contienen firmas nuevas y revisadas y reglas de protección de aplicaciones. Un controlador de kernel que recibe entradas redireccionadas en la tabla de llamadas del sistema de modo de usuario supervisa la cadena de llamadas del sistema. y las reglas de protección de aplicaciones. ignorar. que anulan las firmas que bloquean la actividad legítima.

configuraciones de registro y servicios fuera de su campo de aplicación. Cuando una aplicación solicitud un archivo. Cuando se realiza una llamada. los programas de nivel de usuario usan llamadas de sistema. Guía del producto McAfee Host Intrusion Prevention 8. la interceptación de llamadas de sistema y la instalación de motores y controladores específicos son los métodos usados para entregar protección IPS. el robo de datos y el pirateo de servidores. La estrategia de la envoltura funciona para evitar que las aplicaciones obtengan acceso a archivos. Debido a que el procesador evita el acceso directo a las funciones a nivel de kernel. Métodos para la entrega de protección IPS El blindaje y la envoltura. Blindaje y envoltura Host Intrusion Prevention usa las firmas de blindaje y envoltura para proteger contra ataques. y el motor del servidor web. la desfiguración de páginas web. Las llamadas de sistema exponen todas las funcionalidades de kernel que los programas de nivel de usuario requieren. Al igual que la directiva Aplicaciones de confianza. el contexto de seguridad en el que se ejecuta el proceso y el recurso al que se accede. que comprueba la solicitud con su conjunto de reglas de firma y de comportamiento para determinar si bloquear o permitir la solicitud. usando una tabla de llamadas de sistema. datos. La estrategia del blindaje funciona para evitar accesos.Configuración de directivas IPS Resumen de directivas IPS que indican qué procesos proteger. y se implementan dentro del sistema operativo. configuraciones de registro y servicios. a las conexiones de red y a la memoria compartida. Esto garantiza que el motor de Host Intrusion Prevention verá las solicitudes en texto sin formato y bloqueará las solicitudes malintencionadas antes de que se procesen.0 33 . Interceptación de llamadas de sistema Host Intrusion Prevention supervisa todas las llamadas de sistema y de API y bloquea la actividad malintencionada. Los programas de nivel de usuario usan la funcionalidad proporcionada por el kernel para acceder a las unidades de disco. Determina qué proceso usa una llamada. Host Intrusion Prevention se introduce en la cadena de llamadas de sistema al instalar un controlador a nivel de kernel y al redirigir las entradas en la tabla de llamadas del sistema. datos. que permiten la comunicación entre los modos de usuario y de kernel. Un controlador de kernel de Host Intrusion Prevention que recibe entradas redireccionadas en la tabla de llamadas del sistema de nivel de usuario supervisa la cadena de llamadas del sistema. bloquear o registrar una acción. complementan las firmas. desde vulnerabilidades de seguridad exteriores a su envoltura de funcionamiento. Motor HTTP para servidores web Host Intrusion Prevention le ofrece protección contra ataques dirigidos a aplicaciones y sistemas web con el motor de protección HTTP. El motor de protección HTTP se instala entre la descripción SSL del servidor web y el elemento descodificador que convierte las solicitudes en texto sin formato. se dirige al controlador Host Intrusion Prevention. Ofrece protección mediante el análisis del flujo HTTP que llega a una aplicación y que coincide con las solicitud HTTP entrantes. Las actualizaciones de contenido proporcionan firmas nuevas y actualizadas y reglas de protección de aplicaciones para mantener la protección en curso. a archivos de aplicación. esta categoría de directivas puede contener varias instancias de directiva. Las firmas HTTP evitan los ataques transversales de directorio y Unicode.0 para ePolicy Orchestrator 4. el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas de comportamiento para determinar si permitir.

los servicios y los recursos de la base de datos. y examina el comportamiento de las aplicaciones y el sistema operativo para buscar ataques. que se instala entre las bibliotecas de red de la base de datos y el motor de la base de datos. implementan envoltura de base de datos para asegurarse de que la base de datos funcione dentro de un perfil de comportamiento. Firmas Las firmas son una recopilación de reglas de prevención de intrusiones que se pueden hacer corresponder con una secuencia de tráfico. Por ejemplo. estaciones de trabajo o portátiles.0 . validez de la consulta y otros parámetros. se lleva a cabo una acción. Las firmas de base de datos SQL implementan blindaje de bases de datos para proteger los archivos de datos. La mayoría de las firmas protegen todo el sistema operativo. • Protegen de los ataques locales introducidos por CD o dispositivos USB. estos ataques se centran en aumentar los privilegios del usuario a “raíz” o “administrador” para dañar otros sistemas de la red. La instalación de programas de puerta trasera (back door) con aplicaciones como Internet Explorer se bloquea al interceptar y denegar el comando “write file” (escribir archivo) de la aplicación. Por ejemplo. • Protegen los equipos portátiles cuando se encuentran fuera de la red protegida. Al detectar un ataque. 34 Guía del producto McAfee Host Intrusion Prevention 8. El cliente de Host Intrusion Prevention inspecciona el tráfico que entra y sale de un sistema.0 para ePolicy Orchestrator 4. servidores Web como Apache e IIS. evitan que un programa escriba en un archivo. • Proporcionan una última línea de defensa contra los ataques que han eludido otras herramientas de seguridad. como servidores. si está bien formada y si hay signos claros de inyección SQL. Las reglas de protección SQL se diferencian por usuario. por ejemplo. Examina todas las solicitudes SQL y bloquea las que pudieran iniciar un evento. por ejemplo. una firma podría buscar una cadena específica en una solicitud HTTP. Estas firmas: • Protegen frente a un ataque y los resultados de un ataque. Además. El motor SQL de IPS en host intercepta las consultas entrantes de la base de datos antes de que las procese el motor de la base de datos. el cliente lo puede bloquear en la conexión del segmento de red o puede emitir comandos para detener el comportamiento iniciado por el ataque. Si una cadena coincide con un ataque conocido. • Evitan los ataques internos o el uso indebido de dispositivos ubicados en el mismo segmento de la red. Las firmas se diseñan para aplicaciones y sistemas operativos específicos. se impide el desbordamiento del búfer al bloquear los programas malintencionados insertados en el espacio de direcciones que aprovecha un ataque. Firmas del IPS en host La protección de Host Intrusion Prevention se encuentra en sistemas individuales. mientras que algunas protegen aplicaciones específicas. Las firmas de base de datos SQL ofrecen la protección principal ofrecida por las firmas normales y agregan reglas específicas de interceptación y protección de bases de datos. A menudo.Configuración de directivas IPS Resumen de directivas IPS Motor SQL para servidores SQL Host Intrusion Prevention protege contra ataques a servidores de base de datos con su motor de inspección SQL. Estas reglas proporcionan protección contra los ataques conocidos. localización del origen de la consulta. Se examina cada consulta para ver si coincide con alguna firma conocida de ataque.

• Protegen los servidores y los sistemas que se conectan a ellos. Host Intrusion Prevention contiene una lista predeterminada de un número pequeño de firmas de IPS de red para plataformas Windows. Se examinan todos los flujos entre el sistema protegido y el resto de la red para un ataque. Además. el estado de registro y la configuración de creación de reglas de cliente de estas firmas. Cuando se identifica un ataque. El cliente reacciona de una de estas tres maneras: • Ignorar: no hay ninguna reacción. Reacciones Una reacción es lo que hace el cliente Host Intrusion Prevention cuando se activa una firma con una gravedad específica.Configuración de directivas IPS Resumen de directivas IPS • Ofrecen protección frente a ataques en los que la secuencia de datos codificados finaliza en el sistema protegido al examinar el comportamiento y los datos descifrados. o agregar firmas personalizadas a la lista. Si cualquier otro proceso intenta acceder a los archivos HTML. y evita que las aplicaciones se usen para atacar otras aplicaciones. • Ofrecen protección frente a ataques de denegación de servicio de red y ataques orientados al ancho de banda que deniegan o degradan el tráfico de red. • Registrar: el evento se registra pero no se impide la operación. el estado de registro y la configuración de creación de reglas de cliente de estas firmas. pero en este momento no puede agregar firmas personalizadas a la lista. La actividad que no coincide con estas reglas se considera sospechosa y activa una respuesta. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido. llamada blindaje y envoltura de aplicación. las reglas de comportamiento previenen los ataques de desbordamiento de búfer y evitan ejecuciones de código derivadas de un ataque de desbordamiento de búfer. • Protegen sistemas en arquitecturas de red obsoletas o no habituales como Token Ring o FDDI. Puede editar el nivel de gravedad. se descartan o se bloquean los datos infractores que pasan por el sistema. el evento no se registra y la operación no se impide. uno de los métodos más comunes para atacar servidores y equipos de sobremesa.0 35 . Host Intrusion Prevention contiene una larga lista predeterminada de firmas de IPS en host para todas las plataformas. Estas firmas: • Protegen los sistemas secundarios en un segmento de red. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido. una regla de comportamiento puede indicar que solo un proceso de servidor web puede acceder a los archivos HTML. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima.0 para ePolicy Orchestrator 4. Firmas IPS de red La protección IPS de red también se encuentra ubicada en sistemas individuales. Guía del producto McAfee Host Intrusion Prevention 8. Reglas de comportamiento Las reglas basadas en el comportamiento bloquean los ataques de tipo zero-day y garantizan el comportamiento apropiado de sistemas operativos y aplicaciones. Puede editar el nivel de gravedad. • Evitar: el evento se registra y se impide la operación. evita poner en peligro aplicaciones y datos. Por ejemplo. se llevará a cabo una acción. Este tipo de protección.

0 para ePolicy Orchestrator 4. Por ejemplo. Los clientes en modo de adaptación crean excepciones automáticamente. Los administradores pueden crear excepciones manualmente en cualquier momento. Puede hacer un seguimiento de las excepciones en la consola de ePolicy Orchestrator y mostrarlas en vistas normales. Los eventos de actividades inofensivas que resultan ser falsos positivos se pueden anular mediante la creación de una excepción a la regla de firma o mediante la calificación de aplicaciones como de confianza. Supervisar los eventos y las reglas de excepción del cliente ayuda a determinar cómo ajustar la implementación para lograr una protección IPS más efectiva. La directiva IPS incluye una lista predeterminada de reglas de protección de aplicaciones para las plataformas Windows. Excepciones Una excepción anula una actividad bloqueada por la reacción a una firma. el comportamiento que una firma define como un ataque podría ser parte de la rutina de trabajo habitual de un usuario o una actividad que está permitida para una aplicación protegida. Las reacciones incluyen omitir. si es necesario. filtradas y agregadas. Los clientes de Host Intrusion Prevention contienen un conjunto de reglas de firma IPS que determinan si las actividades que se realizan en un equipo son inofensivas o dañinas. y que cuando reconoce una firma de gravedad alta impide la operación. edite la firma y desactive las opciones de Permitir reglas del cliente. Esta lista se actualiza. en Informes. El nivel de protección establecido para firmas en la directiva Protección IPS determina las acciones adoptadas por un cliente al producirse un evento. se envían alertas denominadas eventos al servidor de ePO y aparecen en la ficha IPS en host. Cuando se detectan actividades dañinas. La directiva Protección IPS define automáticamente la reacción para los niveles de gravedad de firma. Para asegurar que algunas firmas no se omiten nunca.Configuración de directivas IPS Resumen de directivas IPS Una directiva de seguridad podría indicar. denominadas reglas de cliente. que cuando un cliente reconoce una firma de gravedad baja registra la incidencia de esa firma y permite que se produzca la operación. Puede crear estas excepciones manualmente o colocar clientes en modo de adaptación y permitirles crear reglas de excepción de cliente.0 . si ha activado la opción Incluir automáticamente aplicaciones para red y basadas en servicio en la directiva Opciones de IPS. La protección contra el desbordamiento del búfer es genérica para Host Intrusion Prevention y se puede aplicar a cualquier proceso interceptado. siempre que instala una actualización de contenido. puede crear una excepción que permita las actividades legítimas. registrar o evitar la actividad. Puede agregar automáticamente aplicaciones para red y basadas en servicio a esta lista. Para omitir esta firma. por ejemplo. 36 Guía del producto McAfee Host Intrusion Prevention 8. al permitir la interceptación de API a nivel de usuario. En algunos casos. Reglas de protección de aplicaciones Las reglas de protección de aplicaciones proporcionan protección para listas de procesos definidas y generadas contra desbordamientos del búfer. NOTA: se puede permitir directamente el registro en cada firma. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que pueden aplicarse a otros clientes. una excepción podría indicar que se omita una operación para un cliente en concreto.

Después. en Informes. pueden ajustar las reacciones a eventos o crear excepciones o reglas de aplicaciones de confianza para reducir el número de eventos y ajustar la configuración de protección. • Conservar los hosts bloqueados: selecciónela para permitir que un cliente bloquee un host (dirección IP) hasta que se definan los parámetros de "Bloquear automáticamente los Guía del producto McAfee Host Intrusion Prevention 8. Esta opción está disponible de manera independiente de la aplicación de las reglas IPS en host. NOTA: el cliente de Host Intrusion Prevention agrega eventos para que no se envíen todos los eventos al servidor ePO. • Modo de adaptación activado (las reglas se aprenden automáticamente): selecciónela para activar el modo de adaptación. según el número de minutos indicado. Solo está disponible si IPS de red está activado. Los administradores pueden ver y supervisar estos eventos para analizar infracciones de reglas del sistema.0 para ePolicy Orchestrator 4.Configuración de directivas IPS Activar la protección IPS Eventos Se generan eventos IPS cuando un cliente reacciona a una firma activada. Para todas las plataformas Estas opciones están disponibles para clientes en todas las plataformas: • Host IPS activado: selecciónela para activar la protección de IPS por medio de la aplicación de reglas IPS de Host IPS. NOTA: este control también está disponible directamente en el cliente. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas de excepción creadas en el cliente. se informa del evento adicional. NOTA: este control también está disponible directamente en el cliente. • Bloquear automáticamente los intrusos de la red: seleccione esta opción para bloquear el tráfico de entrada y salida en un host hasta que se quite manualmente de una lista de bloqueos en un cliente. Ofrece opciones para plataformas Windows y no Windows. ya sea de forma automática en el modo de adaptación o manualmente en un cliente Windows cuando se aplique esta directiva. en la consola ePO del sistema del cliente. Úsela solo temporalmente cuando esté afinando un despliegue. Si un evento vuelve a suceder tras 20 segundos. Activar la protección IPS La directiva Opciones de IPS determina cómo se aplica la protección de IPS.0 37 . en Informes. NOTA: estos controles también están disponibles directamente en el cliente. Solo para plataformas Windows Estas opciones están disponibles para clientes solo en plataformas Windows: • IPS de red activado: seleccione esta opción para aplicar reglas IPS de red. Los administradores pueden ver todos los eventos en la ficha IPS en host. en el que los clientes crean reglas de excepción automáticamente para permitir el comportamiento bloqueado. Los eventos se registran en la ficha Eventos de la ficha IPS en host. Así se evita que numerosos eventos que ocurren en menos de 20 segundos se envíen de manera repetida al servidor.

La protección IPS en los sistemas del cliente no es automática.0 para ePolicy Orchestrator 4. duplicar. y. Tarea Para ver las definiciones de las opciones. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. Para las directivas no editables. duplicar. NOTA: Para las directivas editables. volver a nombrar. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección de IPS en host y de IPS de red está desactivada. Configuración de la directiva de opciones IPS Configure las opciones de esta directiva para activar o desactivar la protección IPS y aplicar el modo de adaptación. • Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones: seleccione esta opción para permitir a un cliente agregar automáticamente aplicaciones de alto riesgo a la lista de aplicaciones protegidas de la directiva Reglas IPS. a continuación. 3 38 En la página Opciones IPS que aparece.0 . incluyendo el estado. a diferencia de las versiones anteriores del producto. y se seleccionan estas opciones para aplicarse cuando la protección de IPS se activa: • Bloquear automáticamente los intrusos de red durante 10 minutos (solo Windows) • Conservar los hosts bloqueados (solo Windows) • Conservar las reglas de cliente SUGERENCIA: para activar la protección IPS en los sistemas del cliente. el inicio y la configuración IPS de red. 2 En la lista de directivas Opciones IPS. el host se bloquea hasta la siguiente aplicación de la directiva. haga clic en Guardar. las opciones incluyen visualizar y duplicar. basada en la directiva McAfee Default. editar. eliminar y exportar. borrar y exportar directivas personalizadas. Se muestra la lista de directivas. el administrador de Host Intrusion Prevention deberá activar primero las opciones IPS en host e IPS de red en esta directiva. 1 Vaya a Sistemas | Catálogo de directivas y seleccione Host Intrusion Prevention:IPS en la lista Producto y Opciones IPS en la lista Categorías. y después aplicar la directiva a los sistemas del cliente. • Protección IPS de inicio activada: selecciónela para aplicar un conjunto codificado de reglas de protección de archivos y de registro hasta que el servicio Host IPS se haya iniciado en el cliente. Puede ver y duplicar directivas preconfiguradas.Configuración de directivas IPS Activar la protección IPS intrusos de la red". Guía del producto McAfee Host Intrusion Prevention 8. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. haga los cambios que sean necesarios. Si no se selecciona. puede crear. otras opciones incluyen: cambiar nombre. haga clic en ? en la interfaz.

Puede ver y duplicar directivas preconfiguradas. no son de comportamiento. duplicar.Configuración de directivas IPS Configuración de la reacción para firmas IPS Configuración de la reacción para firmas IPS La directiva Protección IPS define la reacción protectora para los niveles de gravedad de firma. se aumenta la seguridad del sistema subyacente. no demuestran un ataque. • Medio : firmas de actividades relacionadas con el comportamiento en las que las aplicaciones funcionan fuera de su ámbito. por lo general. registrar las que tienen una gravedad media y omitir el resto. Estos niveles de gravedad indican peligro potencial para un sistema y le permiten definir reacciones específicas para distintos niveles de daño potencial. Preparación para protección mejorada Evitar las firmas con gravedad alta. • Información: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema se modifican y que pueden indicar un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Estas firmas son específicas para amenazas bien identificadas y. Guía del producto McAfee Host Intrusion Prevention 8. Protección mejorada Evitar las firmas con una gravedad alta y media y omitir el resto. puede seleccionar ignorar como reacción. Si se evitan estas firmas. Por ejemplo. Evite estas firmas en los sistemas más importantes. editar. Protección máxima Evitar las firmas con una gravedad alta. borrar y exportar directivas personalizadas. Evite estas firmas en todos los sistemas.0 39 . Selecciones de directiva La categoría de directivas incluye seis directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. Cuando es probable que una actividad sea peligrosa.0 para ePolicy Orchestrator 4. puede crear. Puede modificar estos niveles de gravedad y las reacciones para todas las firmas. basada en la directiva McAfee Default. puede establecer evitar como reacción. registrar las que tienen una gravedad baja y omitir el resto. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. Preparación para protección máxima Evitar las firmas con una gravedad alta y media. pero es necesario realizar ajustes adicionales. si es poco probable que la actividad sospechosa cause daños. Advertencia Registrar las firmas con una gravedad alta y omitir el resto. así como en los servidores Web y SQL. Los eventos de este nivel se dan durante la actividad normal del sistema y. • Bajo: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema están bloqueados y no se pueden modificar. por lo general. media y baja y registrar el resto. Las directivas preconfiguradas incluyen: Tabla 5: Directivas Protección IPS Nombre Función Protección básica (McAfee Default) Evitar las firmas con una gravedad alta y omitir el resto. Cada firma tiene uno de los cuatro niveles de gravedad: • Alto: firmas de amenazas de seguridad o acciones dañinas claramente identificables. volver a nombrar.

en Informes. 40 Guía del producto McAfee Host Intrusion Prevention 8. volver a nombrar. para trabajar con: • Eventos IPS • Reglas IPS de cliente Selecciones de directiva Esta categoría de directiva contiene una directiva predeterminanda preconfigurada que proporciona protección IPS básica. También puede asignar más de una instancia de la directiva para unir varias reglas de directiva. a continuación.Configuración de directivas IPS Definición de protección de IPS Configuración de la directiva Protección IPS Configure las opciones de esta directiva para establecer las reacciones protectoras para firmas de un nivel de gravedad concreto. Puede ver y duplicar la directiva preconfigurada.0 para ePolicy Orchestrator 4. Configuración de la directiva Reglas IPS Configure las opciones de esta directiva para definir firmas. Tarea Para ver las definiciones de las opciones. haga los cambios que sean necesarios y. duplicar. las opciones incluyen visualizar y duplicar. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. Esta directiva es una directiva de instancia múltiple que puede tener asignadas varias instancias. puede editar. NOTA: para las directivas editables. eliminar y exportar. otras opciones incluyen cambiar nombre. haga clic en ? en la interfaz.0 . Cada directiva Reglas IPS incluye detalles configurables de: • Firmas • Reglas de protección de aplicaciones • Reglas de excepción Tambien necesita ir a la página Host IPS. Definición de protección de IPS Las directivas de reglas IPS aplican las protecciones de prevención de intrusión. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. haga clic en ? en la interfaz. 3 En la página Protección IPS que aparece. borrar y exportar las directivas personalizadas que haya creado. 2 En la lista de directivas Protección IPS que aparece. Tarea Para ver las definiciones de las opciones. reglas de protección de aplicaciones y excepciones. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Protección IPS en la lista Categoría. Para las directivas no editables. haga clic en Guardar. duplicar.

haga clic en ? en la interfaz. y para Reglas IPS/Aplicaciones de confianza. haga clic en Editar asignaciones. McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible. NOTA: para un sistema único. Para las directivas no editables. Configuración de las reglas de protección de aplicaciones IPS y Configuración de las excepciones IPS para obtener más detalles. donde puede aplicar una directiva general predeterminada. Guía del producto McAfee Host Intrusion Prevention 8. Cuando asigna instancias múltiples.Configuración de directivas IPS Definición de protección de IPS 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva. 2 En Directivas. Se muestra la lista de directivas. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido.0 41 . las opciones incluyen visualizar y duplicar. haga clic en Ver Directiva efectiva. a continuación. 2 En la lista de directivas Reglas IPS. La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia. 3 En la página Asignación de directiva. está asignando una unión de todos los elementos de cada instancia de la directiva. seleccione Host Intrusion Prevention 8. las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS. haga los cambios que sean necesarios y. duplicar. Tarea Para ver las definiciones de las opciones.0: IPS/General en la lista Producto. eliminar y exportar. en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema. Una directiva de varias instancias puede ser útil para un servidor IIS. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas. 4 Haga clic en Guardar para guardar todos los cambios. Para las directivas que tienen instancias múltiples. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. por ejemplo. seleccione un grupo del Árbol de sistemas que contenga el sistema y.0 para ePolicy Orchestrator 4. 3 En la página Reglas IPS que aparece. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. NOTA: para las directivas editables. otras opciones incluyen: cambiar nombre. Consulte Configuración de firmas IPS. una directiva de servidor y una directiva IIS. a continuación. haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva. haga clic en Guardar.

una para una ubicación concreta y una para un tipo de equipo concreto) y aplique la instancia adecuada.0 . ¿Cómo puedo utilizar la asignación de la directiva de instancias múltiples para simplificar mi despliegue? Primero. A continuación. con el enfoque de las instancias múltiples. Media. y cree excepciones y aplicaciones de confianza para cada grupo. Baja. defina grupos de usuarios para el despliegue que tengan una propiedad esencial en común que dicte qué recursos deben protegerse y qué recursos necesitan excepciones para trabajar correctamente. • La configuración de reglas de cliente efectivas de una firma es la configuración personalizada. servidores) puede tener un conjunto único de aplicaciones que necesite protección pero que también pueda realizar funciones empresariales esenciales. una combinación de tres departamentos. Sin una directiva de reglas IPS de instancias múltiples. Esta propiedad podría estar basada en: • Departamento: cada departamento debería requerir protección de un conjunto único de recursos y excepciones para un conjunto único de actividades empresariales. proteja los recursos. el estado de registro personalizado activado tiene prioridad sobre el desactivado.0 para ePolicy Orchestrator 4. Puede utilizar el modo de adaptación para determinar qué recursos proteger o en cuáles confiar para un grupo dado. Pero las reglas en las diferentes directivas asignadas se contradicen. IPS en host tiene reglas para gestionar estos conflictos al establecer la directiva efectiva total. ¿Cómo se calcula la directiva efectiva? Es posible que una regla de una instancia tenga una configuración que contradiga la de la misma regla en otra instancia de la directiva. se aplica el valor predeterminado. Las versiones de McAfee Default de estas directivas se actualizan cada vez que se actualiza el contenido de seguridad Host Intrusion Prevention. Estas directivas permiten la aplicación de más de una directiva de forma simultánea en un único cliente. siempre se tienen que asignar estas políticas a los clientes para comprobar que se aplican las actualizaciones del contenido de seguridad. el resultado es una unión de todas las instancias llamada la directiva efectiva. Por esta razón. las reglas de cliente 42 Guía del producto McAfee Host Intrusion Prevention 8. Información. Cuando se aplica más de una instancia. • Ubicación: cada ubicación puede tener sus propios estándares de seguridad únicos o un conjunto único de recursos que necesiten protección y excepciones para la actividad empresarial.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: directivas de instancias múltiples Host Intrusion Prevention ofrece dos directivas de instancias múltiples: Reglas IPS y Aplicaciones de confianza. Si se personaliza en dos o más directivas Reglas IPS aplicadas. • El estado de registro efectivo de una firma es el estado de registro personalizado. Desactivada. La prioridad es: Alta. cree instancias de reglas IPS y directivas de aplicaciones de confianza para cada grupo de usuarios (una directiva de reglas IPS para un departamento concreto. Después de esto. se aplica el valor predeterminado. tres ubicaciones y tres tipos de equipo serían necesarias 27 directivas. Si se personalizan en dos o más directivas Reglas IPS aplicadas. se necesitan solo nueve. Si no se personaliza el estado de registro. estaciones de trabajo. Si no se personaliza la gravedad. Para las reglas IPS: • La gravedad efectiva para una firma es la gravedad personalizada más alta. • Tipo de equipo: cada tipo de equipo (equipo portátil. Todas las otras directivas son directivas de instancia única.

• El conjunto de excepciones efectivo es la unión de todas las excepciones aplicadas. incluso si la misma aplicación no está marcada como de confianza para esta función en otra directiva de aplicaciones de confianza asignada. Con los niveles de privilegios adecuados.0 para ePolicy Orchestrator 4. Cada firma tiene una descripción y un nivel de gravedad predeterminado. • Marcar una aplicación como de confianza para IPS o Firewall tiene prioridad. que describe el peligro potencial de un ataque: • Alto: firmas que protegen frente a amenazas de seguridad o acciones dañinas claramente identificables. un administrador puede modificar el nivel de gravedad de una firma. se aplica el valor predeterminado. • Información: indica una modificación en la configuración del sistema que puede crear un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Servicio y HTTP. • Firmas de IPS personalizadas: firmas de Host Intrusion Prevention personalizadas creadas por el usuario. La mayoría de estas firmas son específicas para amenazas bien identificadas y. Tipos de firmas La directiva Reglas IPS puede incluir tres tipos de firmas: • Firmas de Host IPS: firmas predeterminadas de Host Intrusion Prevention. metodologías de ataque e intrusiones en una red. en Informes. El blindaje bloquea los recursos de sistema y aplicaciones para que no puedan cambiarse. Si se evitan estas firmas. Es conveniente prevenir estas firmas en los servidores importantes después del ajuste. • Firmas IPS en red: firmas predeterminadas de prevención de intrusión de red. Cada firma tiene un nivel de gravedad predeterminado. no son de comportamiento. Deberían prevenirse en todos los hosts. se aumenta la seguridad del sistema subyacente. las firmas basadas en host generan un evento IPS que aparece en la ficha Eventos de la ficha IPS en host. Firmas de Host IPS Las firmas de prevención de intrusión basadas en host detectan y evitan los ataques de actividad de las operaciones del sistema e incluyen las reglas Archivo. pero es necesario realizar ajustes adicionales. Registro. por lo general. no demuestran un ataque. Si no se personaliza la configuración de las reglas de cliente. Están desarrolladas por los expertos en seguridad de Host Intrusion Prevention y se proporcionan con el producto y con las actualizaciones del contenido. • Bajo: firmas más relacionadas con el comportamiento y que protegen las aplicaciones. Los eventos de este nivel se dan durante la actividad normal del sistema y. por lo general. Al activarse. Cómo funcionan las firmas de IPS Las firmas describen amenazas de seguridad. Guía del producto McAfee Host Intrusion Prevention 8.Configuración de directivas IPS Definición de protección de IPS personalizadas activadas tienen prioridad sobre las desactivadas. • Medio: firmas más relacionadas con el comportamiento y que evitan el funcionamiento de las aplicaciones fuera de su entorno (relevante para clientes que protegen servidores Web y Microsoft SQL Server 2000).0 43 . Para las aplicaciones de confianza: • El conjunto de aplicaciones de confianza es la unión de todas las aplicaciones de confianza.

Firmas IPS de red Las firmas de prevención de intrusos basadas en red detectan y evitan los ataques de red conocidos que llegan al sistema host. a continuación. 2 En Acciones. plataforma. Puede crear excepciones para firmas basadas en red. NOTA: no puede crear firmas personalizadas basadas en la red. Por ejemplo. haga clic en la ficha Firmas en la directiva Reglas IPS. • 44 Si la firma es una firma predeterminada.. Editar una firma En Acciones. Los detalles avanzados contienen parámetros específicos de red que se pueden especificar.. notas o versión de contenido de las firmas. Aparecen en la misma lista de firmas que las firmas basadas en host.0 para ePolicy Orchestrator 4. agregue firmas personalizadas y mueva firmas a otra directiva de la ficha Firmas de la directiva Reglas IPS. Configuración de firmas IPS Edite firmas predeterminadas. Se puede revertir la configuración predeterminada de las firmas Guía del producto McAfee Host Intrusion Prevention 8. Se muestra la lista de directivas. direcciones IP. como el usuario del sistema operativo o el nombre del proceso.Configuración de directivas IPS Definición de protección de IPS Firmas de IPS personalizadas Las firmas personalizadas son firmas basadas en host que puede crear para ofrecer protección adicional a la protección predeterminada. Tarea Para ver las definiciones de las opciones. haga clic en Editar para hacer los cambios en la página Reglas IPS y. no puede especificar atributos de parámetros adicionales. estado de registro. si el cliente esta habilitado o texto concreto que incluya nombre. Puede filtrar según gravedad de la firma.0 . haga clic en ? en la interfaz. tipo. Con los niveles de privilegios adecuados. Cada firma tiene una descripción y un nivel de gravedad predeterminado. puede crear una firma personalizada para protegerla. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. puede modificar la configuración del Nivel de gravedad. Haga clic en Aceptar para guardar las modificaciones. Haga clic en Quitar para quitar la configuración del filtro. un administrador puede modificar el nivel de gravedad de una firma. Buscar una firma en la lista Utilice los filtros situados en primera posición en la lista de firmas. por ejemplo. haga clic en la ficha Firmas. sin embargo. Los eventos generados por firmas basadas en red se muestran junto con los eventos basados en host en la ficha Eventos y presentan el mismo comportamiento que los eventos basados en host. 3 Realice una de las operaciones siguientes: Para. Para trabajar con firmas... Haga lo siguiente. de las Reglas de cliente o del Estado de registro e introducir notas en el cuadro Nota para documentar el cambio. haga clic en Editar. al crear una carpeta nueva con archivos importantes.

3 En la ficha Descripción. 2 En la ficha Firma IPS de la firma. 4 En la ficha Subreglas. seleccione la configuración de los tres elementos editables y. seleccione Nueva subregla estándar o Nueva subregla de experto para crear una regla. la firma vuelve a ordenarse en la lista. haga clic en Nueva. NOTA: cuando haya editado una firma y guardado los cambios. haga clic en Aceptar . del Estado de registro o de la Descripción e introduzca notas en el cuadro Nota pata documentar el cambio. Indique la directiva en la que desea copiar la firma y haga clic en Aceptar.. NOTA: puede realizar cambios en varias firmas a la vez. seleccione la casilla para cambiar los valores predeterminados. Guía del producto McAfee Host Intrusion Prevention 8. Agregar una firma Haga clic en Nueva o Nueva (Asistente). Haga lo siguiente. Por ello. Eliminar una firma personalizada En Acciones. el nivel de gravedad. Creación de firmas personalizadas Cree firmas de prevención de intrusiones en host personalizadas desde la ficha Firmas de la directiva Reglas IPS para proteger operaciones específicas no cubiertas por firmas predeterminadas. predeterminadas haciendo clic en Revertir en Acciones.0 45 . Haga clic en Aceptar para guardar las modificaciones. Esta descripción aparece en el Evento IPS al activarse la firma. NOTA: solo se pueden eliminar la firmas personalizadas. 1 En la ficha Firmas de la directiva Reglas IPS. Aparecerá una página Firma en blanco. Para los niveles de gravedad. NOTA: puede copiar varias firmas a la vez seleccionando todas las firmas antes de hacer clic en Copiar en. En la página que aparece. a continuación. introduzca una descripción de lo que va a proteger la firma. haga clic en Eliminar. de las Reglas de cliente. quizás tendrá que buscar en la lista para encontrar la firma editada.. • Si la firma es una firma personalizada. seleccionando las firmas y haciendo clic en Editar varias. Tarea Para ver las definiciones de las opciones.. modifique la configuración del Nivel de gravedad. Copiar una firma en otra directiva Seleccione la firma y haga clic en Copiar en para copiarla en otra directiva.0 para ePolicy Orchestrator 4. escriba un nombre (obligatorio) y seleccione la plataforma.. las reglas de cliente y el estado de registro. 4 Haga clic en Guardar para guardar los cambios. haga clic en ? en la interfaz.Configuración de directivas IPS Definición de protección de IPS Para. el estado de registro y si se debe permitir la creación de reglas de cliente.

Servicios y SQL. Interceptación. Corrija el error y verifique la regla de nuevo. Haga clic en Siguiente para continuar. 5 Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla.0 para ePolicy Orchestrator 4. consulte la sección de clase adecuada de Escritura de firmas personalizadas y excepciones. Utilice el formato ANSI y la sintaxis TCL. Las opciones incluyen: Archivos.Configuración de directivas IPS Definición de protección de IPS Método estándar Método experto El método estándar limita el número de tipos que se pueden incluir en la regla de firma. Se ha compilado la regla y se ha verificado la sintaxis. El método experto. le permite proporcionar la sintaxis de las reglas sin limitarle al número de tipos que se pueden incluir en la firma. Se ha compilado la regla y se ha verificado la sintaxis. Creación de firmas personalizadas con un asistente Utilice el asistente de firma personalizada para simplificar la creación de nuevas firmas. HTTP. NOTA: las firmas que se crean con el asistente no tienen ninguna flexibilidad para las operaciones que la firma está protegiendo ya que no puede cambiar. Antes de escribir una regla. Si hay un error en la verificación de la regla. cuál es y su valor. agregar o borrar operaciones. 3 En la ficha Descripción. aparecerá un cuadro de diálogo en el que se describe el error. el estado de registro y si se debe permitir la creación de reglas de cliente. 2 En la ficha Información básica. 4 Incluya un ejecutable como un parámetro con información sobre por lo menos uno de estos cuatro valores: descripción del archivo. 3 Indique si desea incluir o excluir un parámetro en concreto. Programas. haga clic en Nueva (Asistente). recomendado solo para usuarios avanzados. Registros. operaciones y parámetros. asegúrese de que entiende las reglas de sintaxis. 1 Escriba un nombre para la firma (obligatorio) y seleccione un tipo de clase de regla. Esta descripción aparece en el Evento IPS al activarse la firma. 46 1 En la ficha Firmas de Reglas IPS. Para obtener detalles sobre cómo trabajar con tipos de clases. el nivel de gravedad. Corrija el error y verifique la regla de nuevo.0 . escriba un nombre y seleccione la plataforma. que pueden incluir un nombre para la regla. introduzca una descripción de lo que va a proteger la firma. identificación por huellas digitales hash MD5 o firmante. 1 Escriba la sintaxis de la regla para las firmas. haga clic en ? en la interfaz. Si hay un error en la verificación de la regla. seleccione el elemento que desea proteger de las modificaciones e introduzca los detalles. Tarea Para ver las definiciones de las opciones. nombre del archivo. 5 Haga clic en Aceptar. aparecerá un cuadro de diálogo en el que se describe el error. 4 En la ficha Definición de regla. 5 Haga clic en Aceptar. NOTA: puede incluir varias reglas en una firma. Guía del producto McAfee Host Intrusion Prevention 8. Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla. 2 2 Especifique la clase de operaciones que están bloqueadas y que van a activar la firma.

* (un asterisco) Varios caracteres incluidos / y \. * (un asterisco) Varios caracteres excluidos / y \. ** (dos asteriscos) Varios caracteres incluidos / y \. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos. NOTA: para **. | (canalización) Escape de caracteres comodín. el escape es |*|*. los ejecutables y las URL.txt” } ! (signo de exclamación) Escape de caracteres comodín. ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras. las claves de registro. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter.0 47 . Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: uso de caracteres comodín en las reglas IPS Las reglas IPS en host permiten el uso de caracteres comodín cuando se introducen valores en ciertos campos. | (canalización) Escape de caracteres comodín. Ejemplo: files { Include “C:\*.txt” ” } & (y comercial) Varios caracteres excepto / y \. * (un asterisco) Varios caracteres incluidos / y \. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. Ejemplo: files { Include “C:\test\\yahoo!.txt” } Cómo funcionan las reglas de protección de aplicaciones de IPS Las reglas de protección de aplicaciones controlan qué procesos reciben una protección contra desbordamiento de búfer genérica de Host Intrusion Prevention. Estas reglas permiten o bloquean el enlace de API a nivel de usuario para listas definidas y generadas de procesos.0 para ePolicy Orchestrator 4. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. El enlace de Guía del producto McAfee Host Intrusion Prevention 8. ¿Qué caracteres comodín puedo usar para los valores de subregla experta de firma? Para todos los valores cuando se crea una subregla mediante el método experto: Carácter Definición ? (signo de interrogación) Un solo carácter. Ejemplo: files { Include “C:\test\\&.

Esta opción incluye. la opción "Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones" de la directiva Opciones de IPS debe estar seleccionada. Solo los procesos que en la lista muestran el estado incluido reciben la protección contra desbordamiento de búfer. Si tampoco es así. 48 Guía del producto McAfee Host Intrusion Prevention 8. Host Intrusion Prevention proporciona una lista estática de procesos que se permiten o bloquean.0 para ePolicy Orchestrator 4. todos los servicios y las aplicaciones de Windows que escuchan en puertos de red. • Cada vez que se inicia un proceso. NOTA: para la actualización dinámica de la lista. • Cada vez que la lista de protección de la aplicación se actualiza mediante el servidor de ePolicy Orchestrator. Si no está excluido. el proceso se analiza para ver si escucha en un puerto de red o se ejecuta como un servicio. Si no es así. Este análisis implica la comprobación de si el proceso está excluido de la lista Protección de aplicaciones. se bloquea el enlace y el proceso no se protege.0 .Configuración de directivas IPS Definición de protección de IPS registro y archivos a nivel del kernel no se ve afectado. Este análisis se realiza en estas circunstancias: • Cada vez que el cliente se inicia y se enumeran los procesos en ejecución. Esta lista se actualiza con actualizaciones de contenido que se aplican a la directiva Reglas IPS de McAfee Default. de manera implícita. los procesos a los que se permite el enlace se agregan dinámicamente a la lista cuando el análisis del proceso está habilitado. comprueba si se ha incluido en la lista Protección de aplicaciones. • Cada vez que la lista de procesos que escuchan en un puerto de red se actualiza. Además.

llama a un API exportado por un componente IPS y pasa la información al API para que lo añada a la lista supervisada.0 para ePolicy Orchestrator 4. El firewall proporciona el PID (ID del proceso). Los procesos que no estén ya enlazados y que no formen parte del bloqueo estático se enlazarán.0 49 . La API exportada por el componente IPS también permite a la interfaz del usuario de cliente obtener la lista de los procesos enlazados actualmente. Cuando se llama al API. Este caché realiza el seguimiento de la información de enlazado. la cual se actualiza siempre que un proceso se enlaza o desenlaza. que es la clave para que el caché busque un proceso. Figura 1: Análisis de Reglas de protección de aplicaciones El componente de IPS mantiene un caché de información al ejecutar procesos.Configuración de directivas IPS Definición de protección de IPS Si escucha en un puerto o se ejecuta como un servicio. Un proceso enlazado se desenlaza si el servidor envía una lista Guía del producto McAfee Host Intrusion Prevention 8. El componente de firewall determina si un proceso escucha en un puerto de red. el componente IPS localiza la entrada correspondiente en su lista de procesos en ejecución. se permite el enlace y se protege el proceso.

0 . Editar una regla de aplicación En Acciones. agregue y elimine reglas. Haga clic en Quitar para quitar la configuración del filtro.. Eliminación de una regla de aplicación En Acciones.. la ruta o el nombre del equipo. La lista de enlazado de procesos puede verse y editarse en la ficha Reglas de protección de aplicaciones.0 para ePolicy Orchestrator 4. la inclusión o un texto específico que incluya el nombre del proceso. haga clic en Editar para hacer los cambios en la página Reglas IPS y. a diferencia de la vista de la directiva Reglas IPS. Haga lo siguiente. 50 Guía del producto McAfee Host Intrusion Prevention 8. a continuación. haga clic en ? en la interfaz.. Tarea Para ver las definiciones de las opciones. se procede a enlazarlo. Se muestra la lista de directivas. 4 Haga clic en Guardar para guardar los cambios. Configuración de reglas de protección de aplicaciones de IPS Edite. Buscar una regla de aplicación en la lista Utilice los filtros situados en primera posición en la lista de aplicaciones. haga clic en Editar. se procede a eliminar el enlace. cada proceso enumerado en el caché de información de procesos en ejecución se compara con la lista actualizada. Si la lista indica que un proceso debería estar enlazado y no lo está. Agregar una regla de aplicación Haga clic en Nueva. Si las listas indican que un proceso no debería estar enlazado y lo está. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría.Configuración de directivas IPS Definición de protección de IPS de procesos actualizada que especifique que el proceso ya enlazado no debería seguir enlazado. puede crear una. Puede filtrar según el estado de la regla. 3 Realice una de las operaciones siguientes: Para. Creación de reglas de protección de aplicaciones Si la directiva Reglas IPS no tiene una regla de protección de aplicaciones que necesite en su entorno.. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. 2 En Acciones. NOTA: para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook. haga clic en la ficha Reglas de protección de aplicaciones. y muévalas a otra directiva desde la ficha Reglas de protección de aplicaciones de Reglas IPS de la directiva Reglas IPS. muestra una lista estática de todos los procesos de aplicación enlazados. La interfaz de usuario de cliente. incluya el ejecutable en la lista de protección de aplicaciones. Cuando la lista de enlaces del proceso se actualiza. haga clic en Eliminar. Copiar una regla de aplicación en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva.

No obstante. Las excepciones permiten reducir alertas de falsos positivos. y muévalas a otra directiva desde la ficha Excepciones de reglas IPS de la directiva Reglas IPS. haga algo de lo siguiente: • Haga clic en Nueva. 1 En la ficha Reglas de protección de aplicaciones de la directiva Reglas IPS. 3 Haga clic en Guardar. De manera alternativa. Tarea Para ver las definiciones de las opciones. NOTA: puede agregar un ejecutable existente del catálogo de IPS en host al hacer clic en Agregar desde catálogo. Después de darle un nombre y guardar la nueva regla. guardar un archivo con Outlook. SUGERENCIA: si crea una firma personalizada que evite la modificación de archivos (edición. un evento activado por esta firma es motivo de alarma. si la regla de la aplicación se incluye en la lista de protección y los ejecutables a los que desea aplicar la regla. si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico. Por ejemplo. Por tanto. Configuración de las excepciones IPS Edite. pero desea que una aplicación específica pueda realizar dichas modificaciones. Guía del producto McAfee Host Intrusion Prevention 8. agregue y elimine excepciones. En este ejemplo. por ejemplo. puede agregar a la subregla de la firma personalizada el parámetro con la aplicación configurada como Excluir. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall.0 51 . haga clic en Editar. cambio de nombre o eliminación) de una carpeta concreta.Configuración de directivas IPS Definición de protección de IPS Tarea Para ver las definiciones de las opciones. por ejemplo. Introduzca el nombre (obligatorio). cree una excepción para dicho comportamiento. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. haga clic en ? en la interfaz. Se muestra la lista de directivas. Esto se denomina alerta de falso positivo.0 para ePolicy Orchestrator 4.exe. un cliente reconoce la firma Outlook Envelope . cree una excepción que permita que la aplicación realice dichos cambios en los archivos. un comportamiento que se interpretaría como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. al realizar pruebas de los clientes.Suspicious Executable Mod. puesto que Outlook podría estar modificando una aplicación que normalmente no está asociada con el correo electrónico. minimizan el flujo de datos innecesarios hacia la consola y garantizan que las alertas sean amenazas de seguridad reales. Cómo funcionan las excepciones de IPS A veces. Notepad.exe. el estado. Para evitar los falsos positivos. Esta firma indica que la aplicación de correo electrónico Outlook está intentando modificar una aplicación fuera del envoltorio de recursos habituales de Outlook. haga clic en ? en la interfaz. podría sospechar que se ha instalado un troyano. debe crear una excepción que permita esta acción. 2 • Seleccione una regla y haga clic en Duplicar. Aparecerá una página Aplicación en blanco. Para obtener más información sobre el catálogo.

Haga clic en Quitar para quitar la configuración del filtro.0 para ePolicy Orchestrator 4. Creación de reglas de excepción Para permitir un comportamiento impedido por una firma. haga clic en Nueva. cree una excepción para dicha firma. incluya las firmas en las que se aplique la excepción. Agregar una regla de excepción Haga clic en Nueva. a continuación. a continuación..Configuración de directivas IPS Supervisión de eventos IPS 2 En Acciones. Media. Haga lo siguiente. Buscar una regla de excepción en la lista Utilice los filtros situados en primera posición en la lista de excepciones. en Informes.. 4 Haga clic en Guardar. Copiar una regla de excepción en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva. los parámetros o los grupos de dominio que representan un papel como excepción según comportamiento para la firma.. El evento IPS aparece en la ficha Eventos de la ficha Host IPS (o en la ficha Registro de eventos. Esto puede implicar la definición de parámetros y valores de excepción. según lo definido en una firma. 3 Configure los ejecutables. 1 En la ficha Reglas de excepción de la directiva Reglas IPS.. 2 Ponga nombre a la excepción. si se detecta y se informa de ello al servidor ePO. con uno de los cuatro criterios de nivel de seguridad: Alta. Puede filtrar según estado de la regla. Supervisión de eventos IPS Un evento IPS se desencadena cuando se produce una infracción de la seguridad. haga clic en la ficha Reglas de excepción. haga clic en Eliminar. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. Consulte Escritura de firmas personalizadas y excepciones para obtener más información sobre este tema.0 . junto con los demás eventos del resto de productos gestionados por ePolicy Orchestrator). 4 Haga clic en Guardar para guardar los cambios. NOTA: cuando la misma operación activa dos eventos. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar. 52 Guía del producto McAfee Host Intrusion Prevention 8. haga clic en Editar para hacer los cambios en la página Reglas IPS y. 3 Realice una de las operaciones siguientes: Para. Eliminar una regla de excepción En Acciones. Tarea Para ver las definiciones de las opciones. fecha de modificación o texto específico que incluya regla o texto de notas. haga clic en ? en la interfaz. asegúrese de que está activada y. se adopta la reacción de firma con el nivel más alto. Editar una regla de excepción En Acciones. Baja e Información. haga clic en Editar.

durante el proceso de prueba de clientes. un evento activado por esta firma es motivo de alarma. Cuando vea esta firma. El resultado es una lista de eventos que incluye todos los criterios. como la instalación de WinZip por parte de un empleado en uno de sus equipos. investigue el proceso que inició el evento. puede tener sospechas razonables de que se trata de un troyano.0 53 . Por otra parte. Si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico (por ejemplo. configure el sistema con lo siguiente: • Excepciones: reglas que anulan una regla de firma. Reacción a los eventos En algunas circunstancias. Filtrado y agregación de eventos La aplicación de eventos genera una lista de eventos que satisface todas las variables definidas en los criterios de filtro. La agregación de eventos de cliente genera una lista de eventos agrupados por el valor asociado con cada variable seleccionada en el cuadro de diálogo "Seleccionar columnas para agregar". El resultado es una lista de eventos mostrados en grupos y ordenados por el valor asociado con las variables seleccionadas. reservado normalmente para aplicaciones de correo electrónico. puede determinar qué eventos pueden permitirse y cuáles indican un comportamiento sospechoso. Para eliminar el inicio de eventos cada vez que alguien instala software autorizado.Configuración de directivas IPS Supervisión de eventos IPS De la lista de eventos generada. La creación de excepciones y aplicaciones de confianza le permite disminuir las alertas de falsos positivos y garantiza que las notificaciones que recibe son importantes. • Aplicaciones de confianza: aplicaciones que se marcan como de confianza cuyas operaciones podrían ser bloqueadas por una firma. Normalmente. Outlook). y esta acción se detectaría mediante la firma TCP/IP Port 25 Activity (SMTP).exe. La instalación de WinZip agrega un valor a la clave de registro Ejecutar. Por ejemplo. un comportamiento que se interprete como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. como Notepad. también podría detectar que una serie de clientes activan los programas de inicio de las firmas. cree una excepción para este evento. También puede indicar algo benigno. Para permitir los eventos. de forma que se dispone de más tiempo para analizar los eventos graves que se producen. Los piratas informáticos pueden instalar aplicaciones de troyanos que utilicen el puerto TCP/IP 25. Este proceso de ajuste mantiene en un nivel mínimo los eventos que aparecen.0 para ePolicy Orchestrator 4. puede crear excepciones para dichos eventos. Guía del producto McAfee Host Intrusion Prevention 8. puede crear una regla de excepción o una regla de aplicación de confianza para dicho comportamiento. también es posible que el tráfico normal del correo electrónico coincida con esta firma. Si el proceso no está asociado normalmente con el correo electrónico. el reconocimiento de esta firma podría indicar que alguien está intentando alterar el sistema. es posible que algunos de ellos reconozcan la firma de acceso a correo electrónico. Cuando esto se produce. lo cual indica que se modifica o se crea un valor en las claves del Registro siguientes: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce Dado que los valores almacenados bajo estas claves indican programas que se inician al encender el equipo. Por ejemplo.

Haga lo siguiente. oculto.. seleccione Solo este grupo o Este grupo y todos los subgrupos. incluidos los permisos de vista para acceder al registro de eventos. a continuación.0 . seleccione los criterios en los que desea agrupar los eventos y. Cree una regla de excepción o de aplicación de confianza. a continuación. Seleccione un evento y haga clic en Nueva excepción para crear una excepción. Consulte Creación de una excepción a Guía del producto McAfee Host Intrusion Prevention 8. Filtrar por criterios de eventos Seleccione un tipo de evento... Ordernar por columna Haga clic en el encabezamiento de la columna. Seleccionar las columnas que se han de mostrar Seleccione Opciones | Elegir columnas.. Haga clic en Quitar para quitar la configuración del filtro. Aparece la página Registro de eventos. Aparecerán todos los eventos asociados al grupo. De forma predeterminada. NOTA: el comando está en el menú Más acciones. NOTA: los eventos IPS también aparecen en la ficha Registro de eventos en Informes junto con todos los otros eventos para todos los sistemas. sistemas y árbol de sistemas.. mostrado). no se muestran todos los eventos. agregue. haga clic en Aceptar. En la página Seleccionar columnas.Configuración de directivas IPS Supervisión de eventos IPS Gestión de eventos IPS La visualización de eventos IPS procedentes de clientes y la creación de excepciones o aplicaciones de confianza de los mismos ayudan a ajustar y reforzar la seguridad. o haga clic en Nueva aplicación de confianza para crear una regla de aplicación.0 y. estado marcado (leído. nivel de gravedad o fecha de creación. El acceso a las fichas de eventos en Informes requiere configuraciones de permisos adicionales. Marcar como leído Marcar el evento como leído Marcar como no leído Marcar un evento leído como no leído Marcar como oculto Ocultar el evento Marcar como mostrado Mostrar los eventos ocultos. Agregar excepciones Haga clic en Agregar. Solo aparecerán los eventos de los últimos 30 días... Tarea Para ver las definiciones de las opciones.. Marque los eventos para facilitar su filtrado y seguimiento: seleccione la casilla de uno o más eventos y después haga clic en el comando adecuado. no leído. 3 Determine cómo desea ver la lista de eventos: 4 Para. haga clic en Eventos. Ver detalles del evento Haga clic en el evento. Haga clic en Quitar para eliminar la configuración de agregación. quite o reordene las columnas que se mostrarán. 1 Vaya a Informes | Host IPS 8. Filtrar por grupos Desde el menú Filtro. Para. Nota: debe filtrar primero por eventos ocultos para poder seleccionarlos. 2 Seleccione el grupo en el árbol de sistemas del que desea mostrar los eventos IPS.0 para ePolicy Orchestrator 4. 5 54 Haga clic en. haga clic en ? en la interfaz.

Desde aquí. incluidos permisos de vista para acceder al registro de eventos. NOTA: el comando está en el menú Acciones.0 para ePolicy Orchestrator 4. tiene la opción de crear una excepción. Tarea Para ver las definiciones de las opciones.Configuración de directivas IPS Supervisión de reglas de cliente IPS partir de un evento o Creación de una aplicación de confianza a partir de un evento para obtener detalles. Creación de una excepción para un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8. Creación de una aplicación de confianza de un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8. sistemas y árbol del sistema.0 o en la página Registro de eventos.0 o en la página Registro de eventos. requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention. ya que podrían indicar un problema grave o un falso positivo. seleccione una directiva de destino de aplicaciones de confianza y haga clic en Aceptar. para permitir que la creación manual de reglas de cliente se habilite. 2 Haga clic en Nueva excepción. seleccione una directiva de destino Reglas IPS y haga clic en Aceptar. haga clic en ? en la interfaz. 2 Haga clic en Nueva aplicación de confianza. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host. haga clic en ? en la interfaz. Tarea Para ver las definiciones de las opciones. Si se trata de un falso positivo. 1 Seleccione la casilla del evento para el que quiere crear una aplicación de confianza. en Informes. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Reglas IPS. Supervisión de reglas de cliente IPS Necesita analizar periódicamente las reglas de cliente IPS creadas automáticamente cuando los clientes están en modo de adaptación. 1 Seleccione la casilla del evento para el que quiere crear una excepción. 3 En el cuadro de diálogo que aparece. Guía del producto McAfee Host Intrusion Prevention 8. Las reglas de cliente IPS son excepciones creadas en un cliente para permitir una funcionalidad bloqueada por una firma. NOTA: el comando está en el menú Más acciones. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Aplicaciones de confianza. tiene la opción de crear una aplicación de confianza. Preste especial atención a las excepciones de las firmas de gravedad alta. o manualmente en el cliente que proporciona la opción directiva IU de cliente. mueva la excepción a una directiva Reglas IPS o ajuste la gravedad de la firma. 3 En el cuadro de diálogo que aparece. puede ver o editar los detalles de la nueva aplicación.0 55 .

en Informes. a continuación. Para mover excepciones a una directiva. para que solo aparezca una excepción agregada. sistemas y árbol del sistema. 3 Determine cómo desea ver la lista de excepciones de cliente: 4 56 Para. Gestión de reglas de cliente IPS La visualización de las reglas de cliente IPS creadas automáticamente en el modo de adaptación o manualmente en un cliente y cómo moverlas a una directiva Reglas IPS o Aplicaciones de confianza permite un ajuste sencillo de la protección IPS. seleccione los criterios a los que desea agregar las excepciones y.0 . al tiempo que se realiza un seguimiento del número de veces que se producen las excepciones. De este modo. requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention. puede ascender algunas o todas las excepciones de clientes a una directiva Reglas IPS concreta para reducir los falsos positivos en un entorno del sistema concreto.0 para ePolicy Orchestrator 4. el nombre de usuario. seleccione una o más excepciones de la lista.. el nombre del equipo o la firma ID en el cuadro de texto de búsqueda y pulse Volver.. Haga clic en Quitar para quitar la configuración del filtro. incluidos permisos de vista para acceder al registro de eventos. Haga clic en Quitar para eliminar la configuración de agregación. Filtrar por criterios de excepción Seleccione el criterio de tiempo. Agregar excepciones Haga clic en Agregar. Tarea Para ver las definiciones de las opciones. Use la función de agregación para combinar excepciones que tengan los mismos atributos. haga clic en Aceptar. 1 Vaya a Informes | Host IPS 8. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente..0 y haga clic en Reglas de cliente de IPS. Esto permite encontrar más fácilmente los puntos problemáticos de protección de IPS en los clientes. el nombre del proceso. haga clic en ? en la interfaz. Guía del producto McAfee Host Intrusion Prevention 8. Ordernar por columna Haga clic en el encabezamiento de la columna. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host.Configuración de directivas IPS Supervisión de reglas de cliente IPS Puede ordenar. Filtrar por grupos Desde el menú Filtro seleccione Solo este grupo o Este grupo y todos los subgrupos. filtrar y agregar las excepciones y ver sus detalles. haga clic en Crear excepción e indique la directiva a la que desea mover las excepciones. escriba la ruta del proceso.. Haga lo siguiente.

ya sea de manera individual o por procesos de lotes. Bloqueo DNS de firewall: define un conjunto de patrones de nombre de dominio que pueden incluir caracteres comodín. Un catálogo de IPS en host simplifica la creación de reglas. Puede definir las reglas de manera amplia (por ejemplo. grupos. programa y localización. Activa y desactiva la protección del firewall. ya que le permite agregar reglas existentes. con las distintas opciones de red. Puede agrupar reglas de acuerdo con una función de trabajo. esta directiva agrega de manera dinámica una regla cerca de la parte superior de la lista de reglas de firewall que evita la resolución de una dirección IP del dominio especificado. El filtrado con seguimiento de estado y la inspección de paquetes identifican los paquetes para diferentes tipos de conexiones y mantienen en la memoria los atributos de las conexiones de red desde una transmisión de inicio a fin. Al igual que las reglas.0 para ePolicy Orchestrator 4. para así facilitar la gestión.Configuración de directivas de firewall Las directivas de firewall de Host Intrusion Prevention activan o desactivan la protección y proporcionan reglas que detienen a los intrusos de la red que pudieran poner en peligro los datos. todo el tráfico IP) o de manera estricta (por ejemplo. define los ajustes de firewall con seguimiento de estado y activa la protección especial específica de firewall. También permite la adición de estos elementos al catálogo. aplicaciones. Contenido Resumen de directivas de firewall Activación de protección por firewall Definición de la protección de firewall Resumen de directivas de firewall La función de firewall de Host Intrusion Prevention proporciona seguridad mediante el filtrado de tráfico entrante y saliente de los sistemas de red que ejecuten Windows. un servicio o una aplicación. Cuando se aplica. Guía del producto McAfee Host Intrusion Prevention 8. de aplicación o de programación. aplicación. ejecutables y localizaciones del catálogo de reglas y grupos nuevos y existentes de firewall. transporte. los grupos de reglas pueden definirse por opciones de red. de transporte.0 57 . Consiste en un conjunto de reglas que define qué tráfico se permite y qué tráfico se bloquea. Directivas disponibles Existen tres directivas de firewall: Opciones de firewall: activa la protección de firewall. las aplicaciones o el sistema operativo. que hay que bloquear. Reglas de firewall: activa la protección de firewall. mediante la identificación de una aplicación o servicio concretos). como permitir el tráfico saliente hasta que se haya iniciado el servicio de firewall o el bloqueo de la falsificación de IP y del tráfico malintencionado. opciones de red.

la dirección IP 10. Host Intrusion Prevention pasa a la siguiente regla de la lista. 58 Guía del producto McAfee Host Intrusion Prevention 8. cuando el firewall intercepta una solicitud de HTTP desde la dirección 10. más general. Debe colocar la regla de bloqueo. Esta regla es más general. si el tráfico no cumple las condiciones de la primera regla. aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP provenientes de una dirección específica.1). Si el tráfico cumple con las condiciones de la regla. Capa de enlace El protocolo de capa de enlace describe el control de acceso a los medios (MAC) y algunas aplicaciones menores de detección de errores. Ethernet LAN (802. Cada regla ofrece un conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el tráfico. Si se ha activado el modo de adaptación. A veces. más específica. Esta arquitectura de red se construye en el paquete Protocolo de control de transmisión/Protocolo de Internet (TCP/IP). Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo.0 . • Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. excepto de una dirección específica (por ejemplo. Cuando Host Intrusion Prevention encuentra tráfico que coincide con las condiciones de una regla. la prioridad hace que Host Intrusion Prevention aplique solo la primera regla coincidente en la lista. para permitir las solicitudes HTTP. Si se ha activado el modo de aprendizaje. la primera regla coincidente que encuentra es la que bloquea este tráfico a través del firewall. el firewall bloquea el tráfico automáticamente.Configuración de directivas de firewall Resumen de directivas de firewall Cómo funcionan las reglas de firewall Las reglas de firewall determinan cómo se debe gestionar el tráfico de red.3). Esta regla es más específica. No aplica ninguna otra regla de la lista. en una posición más alta en la lista de reglas de firewall que la regla de permiso. el tráfico interceptado coincide con más de una regla de la lista.10. Protocolos de firewall El firewall protege trabajando en varios niveles de la arquitectura de red. Wi-Fi inalámbrico (802. Esto asegura que Host Intrusion Prevention filtra el tráfico adecuadamente. inalámbricos o virtuales. No obstante. coloque las reglas más específicas al principio de la lista y las reglas más generales al final. se solicita al usuario que realice una acción. Host Intrusion Prevention encontraría una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de bloqueo. Así se asegura que. donde se utilizan diferentes criterios para restringir el tráfico de la red.10. Recomendaciones Al crear o personalizar una directiva de reglas de firewall. se crea una regla de permiso para el tráfico.1.0 para ePolicy Orchestrator 4. Si no se da ninguna coincidencia de regla. Host Intrusion Prevention permite o bloquea el tráfico.10. necesitará crear dos reglas: • Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10. Por ejemplo. realiza la acción asociada.1. Host Intrusion Prevention utiliza la prioridad para aplicar reglas: la regla situada en primera posición en las reglas de firewall se aplica primero.10.10.10.11x) y LAN virtual (VPN) se encuentran en esta capa. Permitiría el tráfico. Tanto las reglas de firewall como los grupos distinguen entre enlaces con cables. Va siguiendo la lista de reglas de firewall hasta que encuentra unas reglas que cumplan el tráfico. Si es así.

El firewall de Host IPS ofrece total compatibilidad para IPv4 e IPv6 en Windows XP. y la mayoría de sistemas operativos necesitan un proceso que otorgue permisos especiales para escuchar en uno de estos puertos. En el mejor de los casos. Internet Control Message Protocol versión 4 y versión 6 (ICMPv4 e ICMPv6). Capas de transporte IP puede ser utilizado como protocolo de red por una serie de protocolos de transporte distintos. enrutado y control de red. Por lo general. Garantiza que los datos incluidos en los paquetes de red se entreguen de modo fiable y en orden. el lado de servidor de una conexión TCP escucha las conexiones de un puerto fijo.0 59 .iana.iana. TCP TCP es un protocolo de transporte de confianza orientado a la conexión. al igual que muchos videojuegos multijugador. UDP UDP es un protocolo de transporte de mejor solución sin conexión. Normalmente. limitando así las actividades que pueden darse en la red. No ofrece garantías acerca del orden de paquetes o la confianza. Igualmente. RDP.Configuración de directivas de firewall Resumen de directivas de firewall Capa de red Los protocolos de capa de red definen planes de direcciones.org/assignments/protocol-numbers). las reglas de firewall se crean para bloquear ciertos puertos y permitir otros. En la práctica. Los puertos de 0 a 1023 se reservan como "puertos conocidos". Esto implica una cierta cantidad de exceso de trabajo. Windows Vista. pero no puede detectar parámetros de capa de red o de transporte en ellos. En la práctica. y hace que los tiempos en las operaciones de TCP sean impredecibles cuando las condiciones de red no son óptimas. de 0 a 65535. HTTP. También controla la velocidad a la que se reciben y transmiten los datos. lo que resulta más aceptable que un flujo que debe detenerse y esperar la retransmisión. TCP se multiplexa entre los protocolos de capa de aplicación usando el concepto de "puertos". Los números asociados a los protocolos no de IP se basan en números de Ethernet definidos por Internet Assigned Numbers Authority (IANA) y publicados en http://www. en las que los paquetes perdidos solo causan una interrupción momentánea del flujo de datos. es compatible con los protocolos arbitrarios no de IP. POP e IMAP usan TCP. de 0 a 65535. y no tiene funciones de control de flujo.org/assignments/ethernet-numbers. El plan de multiplexación de UDP es idéntico al de TCP: cada datagrama tiene un puerto de origen y de destino. User Datagram Protocol (UDP). El software de telefonía IP y videoconferencia a menudo usa UDP. permite al administrador bloquear o permitir estos protocolos de capa de red. SSH. SMTP. tiene algunas propiedades muy deseables para ciertos tipos de tráfico. Windows Server 2008 y Windows 7. UDP se usa a menudo como protocolo de transporte para aplicaciones con mucha importancia en el rendimiento (que podrían implementar algunas de las funciones de fiabilidad y ordenación de paquetes del protocolo de aplicación TCP) y en aplicaciones multimedia en tiempo real. Guía del producto McAfee Host Intrusion Prevention 8. FTP.0 para ePolicy Orchestrator 4. TCP es la capa de transporte para la gran mayoría de protocolos de aplicaciones. Cada paquete de TCP contiene un número de puerto de origen y de destino. los más comunes son cuatro: TCP. Los números de este rango se asignan normalmente a protocolos por parte de IANA (www.

aplicaciones y programas. No se recomienda que los usuarios bloqueen el tráfico ICMPv6 si IPv6 es compatible con la red.0 para ePolicy Orchestrator 4. IPv4 e IPv6 tienen variantes de protocolo ICMP separadas y sin relación. Es posible crear reglas para bloquear o permitir el tráfico en los protocolos de transporte de IP. mínimamente compatible.Configuración de directivas de firewall Resumen de directivas de firewall ICMP ICMP se usa como canal de comunicación fuera de banda entre hosts IP. y necesario para el funcionamiento de una red IP. incluidas las opciones de red. En lugar de números de puertos. Algunos de ellos (normalmente GRE. Muchos se usan para superponer otros tipos de red sobre una red IP (encapsulado de red). Los mensajes de "Destino inaccesible" indican fallos del enrutado. aunque UDP y TCP también pueden usarse para este fin. aunque el firewall no es compatible con el mecanismo de multiplexación que estos protocolos pueden usar. para que los equipos con múltiples interfaces de red puedan tener aplicadas reglas que sean específicas para el adaptador. El tráfico de estos protocolos (a menudo. Para el ping. Resulta útil para la solución de problemas. es decir. ICMP también implementa una aplicación Traceroute. Los números de protocolo de IP se enumeran en www. ICMPv4 se conoce a menudo simplemente como ICMP. el tipo no separable EtherType) puede bloquearse siempre o permitirse siempre. como descubrimiento de vecino (que ARP gestiona en una red IPv4). las dos versiones de ICMP definen un conjunto de "tipos de mensaje". ya que se usa para varias tareas fundamentales. Los grupos asociados con muchos de los elementos asociados con reglas. Cómo funcionan los grupos de reglas de firewall Agrupe las reglas de firewall para facilitar la gestión.0 .iana. La ficha Localización y la ficha Opciones de red del grupo le permite que los grupos se rijan por el adaptador de red. La configuración del grupo se procesa antes que la configuración de las reglas que contiene. la configuración del grupo tiene prioridad. pero la mayoría no se usan a menudo. ICMPv6 también es importante en una red IPv6. Tras activar el estado de la localización y ponerle 60 Guía del producto McAfee Host Intrusion Prevention 8. Además de esto. ya que constituye el mecanismo de información de errores. transportan opciones. al menos. un grupo no puede tener asociadas opciones de transporte ni aplicaciones. En cualquier caso. se usan "Petición de eco" y "Respuesta de eco". Hacer grupos para localización Host Intrusion Prevention le permite hacer que un grupo y sus reglas se rijan por la localización. Los grupos de reglas no afectan a la forma en que Host Intrusion Prevention trata las reglas incluidas en ellos. NOTA: si el aislamiento de conexión en la ficha Localización está activado. Si hay algún conflicto entre ellas. se siguen procesando de arriba a abajo. los grupos tienen configuración de localización. Protocolos comunes no admitidos Hay varios protocolos de red con los que el firewall de IPS en host no es compatible.org/assignments/protocol-numbers. según si la opción "Permitir el tráfico de protocolos no admitidos" está seleccionada en Opciones de firewall. la lista completa de protocolos reconocidos por IANA es. que le permite hacer localizaciones para grupos y crear aislamientos de conexión. AH y ESP) se usan para el encriptado IP y para VPN. Otros protocolos de transporte IP es compatible con más de cien protocolos de transporte.

Configuración de directivas de firewall
Resumen de directivas de firewall

un nombre, los parámetros para las conexiones permitidas pueden incluir una o todas las
opciones siguientes para cada adaptador de red:
En la ficha Localización:
• Sufijo DNS específico de conexión
• IP de gateway
• IP de DHCP
• Servidor DNS consultado para resolver las URL
• Servidor WINS usado
• Clave de registro
En la ficha Opciones de red:
• Dirección IP local
• Tipo de soporte
Si dos grupos para localización se aplican a una conexión, Host Intrusion Prevention utiliza la
prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna
regla que coincida en el primer grupo, prosigue con el procesamiento de la regla y podría
encontrar una regla coincidente en el siguiente grupo.
Cuando Host Intrusion Prevention encuentra una coincidencia entre los parámetros de un grupo
para localización y una conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas
como un conjunto pequeño de reglas y usará la prioridad normal. Si algunas de las reglas no
coinciden con el tráfico interceptado, el firewall las omite.
Tenga en cuenta lo siguiente:
• Si Estado de localización está seleccionado, se requiere un nombre de localización.
• Si se selecciona Red local, la dirección IP del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Sufijo DNS , el sufijo DNS del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Puerta de enlace predeterminada, el IP de la puerta de enlace
predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor DHCP, el IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
• Si se selecciona Lista de servidor DNS, la dirección IP del servidor DNS del adaptador
debe coincidir con una de las entradas de la lista.
• Si se selecciona Servidor WINS principal, la dirección IP del servidor WINS principal del
adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor WINS secundario, la dirección IP del servidor WINS secundario
del adaptador debe coincidir al menos con una de las entradas de la lista.

Aislamiento de conexión del grupo de reglas de firewall
Una opción de aislamiento de conexión está disponible para que los grupos prevengan el tráfico
no deseado desde una red designada. Esto puede hacerse por medio de otras interfaces de red
activas en un equipo, como un adaptador inalámbrico que se conecta a un punto wi-fi mientras
que un adaptador con cables se conecta a una LAN.
Cuando se selecciona la opción Aislar esta conexión en la configuración de localización de
un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, el

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

61

Configuración de directivas de firewall
Resumen de directivas de firewall

único tipo de tráfico procesado es el que coincide con las reglas de tráfico permitido anteriores
al grupo en la lista de reglas de firewall y el tráfico que coincide con los criterios del grupo. El
resto del tráfico se bloquea.
NOTA: cualquier grupo con el aislamiento de conexión habilitado no puede tener asociadas
opciones de transporte ni aplicaciones.

Figura 2: Aislamiento de conexión de red
Como ejemplos de uso de la opción de aislamiento de la conexión, considere dos configuraciones:
un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos
en este orden:

62

1

Reglas para una conexión básica

2

Reglas para una conexión VPN

3

Grupo con reglas de conexión de LAN corporativa

4

Grupo con reglas de conexión VPN

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Configuración de directivas de firewall
Resumen de directivas de firewall

Aislamiento de la conexión en la red corporativa
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
de LAN corporativa. Este grupo contiene esta configuración:
• Tipo de soporte: con cable
• Sufijo DNS específico de conexión: mycompany.com
• Dirección de puerta de enlace predeterminada
• Aislar esta conexión: sí
El equipo cuenta con adaptadores de red LAN e inalámbricos y se conecta a la red corporativa
mediante una conexión con cable, aunque la interfaz inalámbrica sigue estando activa, de modo
que se conecta a otro punto fuera de la oficina. El equipo se conecta a ambas redes porque las
reglas de acceso básico están entre las primeras de la lista de reglas de firewall. La conexión
LAN con cable está activa y cumple los criterios del grupo de la LAN corporativa. El firewall
procesa el tráfico a través de LAN, pero debido a que la opción de aislamiento de la conexión
está activada, el resto del tráfico que no pasa por la LAN queda bloqueado.
Aislamiento de la conexión en un hotel
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
VPN. Este grupo contiene esta configuración:
• Tipo de conexión: virtual
• Sufijo DNS: vpn.mycompany.com
• Dirección IP: una dirección en un rango específico para el concentrador VPN
• Aislar esta conexión: sí
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel
para poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso
del túnel VPN. Después de establecer el túnel, el cliente VPN crea un adaptador virtual que
coincide con los criterios del grupo de VPN. El único tráfico que el firewall permite es el del
interior del túnel VPN y el tráfico básico del adaptador actual. Se bloquean los intentos de otros
huéspedes del hotel de acceder al equipo a través de la red, ya sea por cable o de forma
inalámbrica.

Cómo funciona el catálogo de IPS en host
El catálogo de IPS en host simplifica la creación de grupos y reglas de firewall al permitir las
referencias a grupos, reglas, direcciones de red, aplicaciones, ejecutables y datos de localización
de grupos existentes. Además, puede crear referencias a ejecutables de aplicaciones implicadas
en la protección IPS.
Cuando crea una referencia a un elemento del catálogo, crea un enlace dependiente entre este
y una regla o un grupo del firewall. Esto significa que un cambio en el elemento del catálogo
cambiará el grupo o la regla cuando se use. También es posible romper el enlace entre el
elemento del catálogo y un grupo o una regla, para eliminar la dependencia.
El catálogo de IPS en host, que se encuentra en Sistemas, en ePolicy Orchestrator, contiene
seis páginas que enumeran los elementos de reglas de firewall y de grupos de firewall previos.
Los elementos pueden crearse individualmente en el catálogo, agregarse mediante enlace a
otros que se crean en nuevas reglas o nuevos grupos de firewall, o importarse desde
exportaciones en formato .xml de directivas de reglas de firewall.
Las páginas del catálogo incluyen:
• Grupo: lista de los grupos del firewall y propiedades

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

63

Esto crea un enlace de dependencia entre los elementos.xml del catálogo de IPS en host. Haga clic en Mostrar/ocultar opciones de filtrado para ocultar o mostrar el filtro. • Haga clic en Agregar al catálogo junto al elemento cuando cree o edite reglas o grupos usando el creador de reglas de firewall o el creador de grupos de firewall.0 para ePolicy Orchestrator 4. NOTA: las exportaciones del catálogo de directivas en formato . Esto quiere decir que no puede exportar una directiva de reglas de firewall del catálogo de directivas e importarla al catálogo de IPS en 64 Guía del producto McAfee Host Intrusion Prevention 8.0 .xml. haga clic en el botón Agregar desde catálogo para agregar el elemento adecuado del catálogo.Configuración de directivas de firewall Resumen de directivas de firewall • Regla: lista de las reglas de firewall y propiedades • Aplicación: lista de las aplicaciones a las que se puede hacer referencia en un grupo o una regla de firewall • Ejecutable: lista de ejecutables adjuntos a aplicaciones a los que se puede hacer referencia en un grupo o regla de firewall o en aplicaciones relacionadas con IPS • Red: lista de las direcciones IP a las que se puede hacer referencia en un grupo o una regla de firewall • Localización: lista de información específica de localización para grupos de firewall Tabla 6: Catálogo de IPS en host como origen de elementos Función Directiva Elemento de la directiva Elemento del catálogo Dependencia Firewall Reglas de firewall Regla de firewall Regla Sí Firewall Reglas de firewall Grupo de firewall Grupo Sí Firewall Reglas de firewall Localización del grupo del firewall Localización Sí Firewall Reglas de firewall Grupo/regla de firewall Red Sí Firewall Reglas de firewall Grupo/regla de firewall Aplicación Sí Firewall Reglas de firewall Aplicación de grupo/regla de firewall Ejecutable Sí IPS Reglas IPS Regla de protección de aplicación Ejecutable No General Aplicaciones de confianza Aplicación de confianza Ejecutable No Filtros del catálogo Cada página del catálogo contiene un filtro para buscar elementos en la lista de la página. • Haga clic en Importar para agregar datos previamente exportados del catálogo de IPS en formato . Copiar desde el catálogo Cuando use el creador de reglas de firewall o el creador de grupos de firewall. introduzca la información y guarde el elemento. que puede romperse cuando sea necesario. haga clic en Establecer filtro para filtrar según los criterios introducidos y haga clic en Borrar para restablecer el filtro. Agregar al catálogo Puede agregar al catálogo de una de las tres maneras siguientes: • Haga clic en Nuevo en la página del catálogo.xml no son compatibles con el formato .

Si un paquete inspeccionado coincide con una entrada de la tabla de estados. IPv4. • Tiempo de espera: el límite temporal (en segundos).0 para ePolicy Orchestrator 4. La tabla de estados rastrea de manera dinámica las conexiones que han coincidido anteriormente con un conjunto de reglas estáticas y refleja el estado de conexión actual de los protocolos TCP/UDP/ICMP. Esta combinación ofrece una fuerte definición del estado de conexión del equipo. Se examina cada paquete y si el paquete inspeccionado coincide con una regla de permiso del firewall existente. Los números de puerto abarcan desde 0 hasta 65535. se permite su entrada y se realiza una entrada en una tabla de estados. permite direcciones de 128 bits. se permite la entrada del paquete sin realizar ningún examen especial adicional. permite direcciones de 32 bits. Guía del producto McAfee Host Intrusion Prevention 8. después del cual la entrada se elimina de la tabla si no se recibe ningún paquete que coincida con la conexión. • ID del proceso (PID): un identificador exclusivo para el proceso asociado con el tráfico de una conexión. como Windows Vista y varios distribuidores de Linux. Host Intrusion Prevention es compatible con los dos estándares. mientras que IPv6. un nuevo estándar.Configuración de directivas de firewall Resumen de directivas de firewall host para llenarlo con datos de reglas de firewall de las directivas. La inspección de paquetes con seguimiento de estado es el proceso que consiste en filtrar paquetes con seguimiento de estado y rastrear comandos en el nivel de aplicación 7 de la pila de red. Cuando se cierra una conexión o se agota el tiempo de espera. • Números de puerto de equipo locales y remotos: los equipos envían y reciben servicios a través de puertos numerados. definido con la directiva Opciones del firewall. El tiempo de espera de las conexiones TCP se aplica únicamente cuando no se ha establecido la conexión. Por ejemplo. incluye los protocolos TCP. Para obtener los datos de la directiva del firewall en el catálogo de IPS en host. UDP e ICMP. Algunos sistemas operativos ya admiten IPv6. El acceso a los comandos de nivel de la aplicación ofrece una inspección libre de errores y asegura el protocolo FTP. El filtrado de paquetes con seguimiento de estado consiste en el rastreo del estado de la información del protocolo TCP/UDP/ICMP en el nivel de transporte 4 e inferiores de la pila de red OSI.0 65 . • Direcciones IP de equipo locales y remotas: a cada equipo se le asigna una dirección IP única. el estándar actual para las direcciones IP. se elimina la entrada de la tabla de estados. el servicio HTTP normalmente está disponible en el puerto 80 y los servicios FTP lo están en el puerto 21. use los enlaces de Agregar al catálogo. Inspección y filtrado de paquetes con seguimiento de estado del firewall El firewall de Host Intrusion Prevention proporciona tanto el filtrado de paquetes con seguimiento de estado como la inspección de paquetes con seguimiento de estado. • Fecha y hora: la fecha del último paquete entrante o saliente asociado con la conexión. Tabla de estado del firewall Un firewall con seguimiento de estado incluye una tabla de estados que almacena información de manera dinámica sobre las conexiones activas creadas por las reglas de tipo Permitir. Cada entrada de la tabla define una conexión basada en: • Protocolo: la forma predefinida por la que un servicio se comunica con otro.

Permitir. el firewall reconoce la nueva configuración de IP e interrumpe todas las entradas de la tabla de estados que tengan una dirección IP local no válida. 66 2 Si el paquete coincide con una regla de permiso. NOTA: se considera que una entrada de la tabla de estados coincide si Protocolo. Dirección remota y Puerto remoto coinciden con los del paquete.Configuración de directivas de firewall Resumen de directivas de firewall • Dirección: la dirección (entrante o saliente) del tráfico que activó la entrada. • Bloquear: se bloquea la entrada del paquete y no se crea ninguna entrada en la tabla de estados. Tenga en cuenta lo siguiente sobre la tabla de estados: • Si cambian los conjuntos de reglas de firewall. se permite su entrada de manera inmediata. En caso contrario. Cómo funciona el filtrado con seguimiento de estado El filtrado con seguimiento de estado implica el procesamiento de un paquete frente a dos conjuntos de reglas: un conjunto de reglas configurables de firewall y un conjunto de reglas de firewall dinámico o una tabla de estado. Las entradas de la tabla de estados son resultado de la actividad de la red y reflejan el estado de la pila de red. se permite su entrada y se crea una entrada en la tabla de estados. Dirección local. Cada regla de la tabla de estados tiene únicamente una sola acción. se examina la lista de reglas configurables del firewall. Después de establecer una conexión.0 . • Si un adaptador obtiene una nueva dirección IP. se bloquea. Puerto local. 3 Si el paquete coincide con una regla de bloqueo. Las reglas configurables tienen dos acciones posibles: • Permitir: se permite la entrada del paquete y se crea una entrada en la tabla de estados. El proceso de filtrado incluye lo siguiente: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados.0 para ePolicy Orchestrator 4. todas las conexiones activas se comprueban en relación con el nuevo conjunto de reglas. con lo que se permite de manera automática cualquier paquete que coincida con una regla de la tabla de estados. se permite el tráfico bidireccional incluso con reglas unidireccionales. Si el paquete coincide con cualquier entrada de la tabla. Si no se encuentra ninguna regla coincidente. • Cuando el proceso finaliza. siempre que la entrada coincida con los parámetros de la conexión de la tabla de estados. todas las entradas de la tabla de estados asociadas con un proceso se eliminan. Guía del producto McAfee Host Intrusion Prevention 8. la entrada de conexión se descarta de la tabla de estados.

El firewall analiza el comando PORT (puerto) del paquete y crea una segunda entrada en la tabla de estados para permitir la conexión de datos.0 67 . este abre la conexión de datos. llega al puerto de destino FTP 21 y se crea una entrada en la tabla de estados. el cliente se comunica con el servidor FTP. Cuando el servidor FTP se encuentra en modo activo. abre la conexión de datos con el cliente y transfiere los datos. cuando el firewall se encuentra con una conexión abierta en el puerto 21. La sesión permanece establecida hasta que se elimina su entrada del canal de control de la tabla de estados. se bloquea. Si la opción de inspección FTP se establece con la directiva Opciones del firewall. sabe que debe realizar una inspección de paquetes con seguimiento de estado a los paquetes que atraviesen el canal de control FTP. el cliente inicia la conexión. La combinación de la conexión de control y una o más conexiones de datos se llama sesión y.0 para ePolicy Orchestrator 4. FTP implica dos conexiones: control para los comandos y datos para la información. Durante Guía del producto McAfee Host Intrusion Prevention 8. se establece el canal de control.Configuración de directivas de firewall Resumen de directivas de firewall 4 Si el paquete no coincide con ninguna regla configurable. en ocasiones. Figura 3: Proceso de filtrado con seguimiento de estado Cómo funciona la inspección de paquetes con seguimiento de estado La inspección de paquetes con seguimiento de estado combina el filtrado con seguimiento de estado con el acceso a comandos al nivel de aplicación. El canal de datos se cierra una vez finalizada la transmisión. en modo pasivo. que asegura protocolos como el FTP. las reglas dinámicas de FTP se denominan reglas de sesión. Cuando el servidor FTP recibe el primer comando de transferencia de datos (LIST). Cuando un cliente se conecta con un servidor FTP. Con el canal de control abierto.

• El ID de la transacción de respuesta coincide con el de la solicitud. Los paquetes retransmitidos se omiten. Las consultas y respuestas deben coincidir para garantizar que solo se permiten paquetes devueltos para consultas inofensivas. todas las conexiones de datos también se eliminan. El tiempo de espera de la conexión TCP. NOTA: a diferencia del protocolo TCP fiable orientado a la conexión. Las respuestas de DNS entrantes se permiten si: DHCP FTP 68 • No ha caducado la conexión en la tabla de estados. Cuando un equipo cliente inicia una nueva conexión. Las conexiones UDP genéricas. Para asegurar estos protocolos. la primera conexión abierta en este puerto. El firewall consulta la pila TCP cada cuatro minutos y descarta las conexiones que no están indicadas por el protocolo TCP. • La inspección FTP se realiza únicamente en los paquetes con información nueva. lo que indica que se trata de una conexión nueva. Se aplica un segundo tiempo de espera TCP. envía un paquete a su destino con un bit SYN establecido. que se mantienen únicamente mientras la conexión no esté inactiva durante un tiempo superior al tiempo de espera especificado. Quedan bloqueadas las conexiones preexistentes sin ninguna regla estática coincidente. A continuación. La inspección se produce únicamente en el canal de control. Cuando usa IPv6. únicamente a las conexiones TCP establecidas. o forzado. los protocolos UDP e ICMPv4/v6 son menos fiables y no tienen conexión. permanecen en la tabla de estados mientras la conexión no esté inactiva durante un tiempo superior al periodo de tiempo de espera especificado. Rastreo de protocolo con seguimiento de estado Aquí se resumen los tipos de conexión de protocolo supervisados por el firewall con seguimiento de estado y su gestión. ICMPv4/v6 Únicamente se rastrean los mensajes de tipo Petición de eco y Respuesta del eco de ICMP. en el caso de que se haya eliminado un canal de control de una sesión. Por tanto. Se produce una excepción cuando el firewall consulta por primera vez el protocolo TCP y agrega todas las conexiones preexistentes que coinciden con las reglas estáticas. DNS Las consultas y respuestas deben coincidir para asegurar que las respuestas de DNS sólo se permiten en el puerto local que originó la consulta y que provienen únicamente de una dirección IP remota que se ha consultado dentro del intervalo de tiempo de espera de conexión virtual UDP. Este tiempo de espera se controla mediante una configuración del Registro y tiene un valor predeterminado de una hora.0 . Se permiten todos los paquetes salientes pero solo pueden entrar paquetes entrantes que formen parte de la conexión creada. El destino responde enviando al cliente un paquete con un bit SYN-ACK establecido.Configuración de directivas de firewall Resumen de directivas de firewall la limpieza periódica de la tabla de estados. El tiempo de espera de las conexiones virtuales se define en la directiva Opciones del firewall. se aplica únicamente cuando no se ha establecido la conexión. • El firewall realiza una inspección de paquetes con seguimiento de estado en las conexiones TCP abiertas en el puerto 21. la funcionalidad de firewall de seguimiento de estado solo se admite con Windows Vista y plataformas posteriores. • Las reglas dinámicas se crean según la dirección (cliente/servidor) y el modo (activo/pasivo): Guía del producto McAfee Host Intrusion Prevention 8. el cliente responde enviando un paquete con un bit ACK establecido y la conexión de seguimiento de estado queda creada. el firewall considera las conexiones UDP e ICMP como conexiones virtuales. • La respuesta proviene de la misma dirección IP remota y del mismo puerto desde el que se envió la solicitud.0 para ePolicy Orchestrator 4. Protocolo Descripción de la gestión UDP Se agrega una conexión UDP a la tabla de estados cuando se encuentra una regla estática que coincida y la acción de la regla es de tipo Permitir. TCP El protocolo TCP funciona en el "establecimiento en 3 direcciones". que conllevan protocolos desconocidos de nivel de aplicación al firewall. las respuestas DHCP entrantes se permiten si: • No ha caducado la conexión en la tabla de estados. definido con la directiva Opciones del firewall.

Además. siempre que el comando del puerto sea compatible con RFC 959. Host Intrusion Prevention crea automáticamente una regla de tipo Permitir para permitir todo el tráfico que no coincida con una regla de tipo Bloquear existente y crea automáticamente reglas de tipo Permitir dinámicas para el tráfico no coincidente. Host Intrusion Prevention muestra una alerta del modo de aprendizaje cuando intercepta tráfico de red desconocido. Cómo afectan los modos aprendizaje y adaptación al firewall Al activar el firewall. Por motivos de seguridad. Por ejemplo. el tráfico TCP entrante hacia el puerto 23 (Telnet) se bloquea incluso aunque no haya ninguna regla explícita que bloquee este tráfico. se bloquea automáticamente a menos que el firewall se esté ejecutando en los modos de aprendizaje o adaptación. el tráfico entrante hacia un puerto que no esté abierto en el host se bloquea a menos que se cree una regla de permiso explícita para el tráfico. Host Intrusion Prevention supervisa continuamente el tráfico de red que un equipo envía y recibe. La regla se elimina cuando el servidor inicia la conexión de datos o cuando la regla caduca. Filtrado con seguimiento de estado Al aplicar el modo de adaptación o aprendizaje con el firewall con seguimiento de estado. los pings entrantes se bloquean a menos que se cree una regla de permiso explícita para el tráfico ICMP entrante. • Modo activo del servidor FTP: el firewall crea una regla saliente dinámica tras analizar el comando del puerto entrante. siempre que haya visto anteriormente el comando PASV del cliente FTP y que el comando PASV sea compatible con RFC 959. Este es el proceso de filtrado: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados y no encuentra ninguna coincidencia. si el host no ha iniciado el servicio Telnet.0 69 . • Modo pasivo del cliente FTP: el firewall crea una regla saliente dinámica cuando lee la respuesta del comando PASV enviado por el servidor FTP. Permite o bloquea el tráfico en función de la directiva Reglas de firewall. • Modo pasivo del servidor FTP: el firewall crea una regla entrante dinámica. el proceso de filtrado crea una nueva regla para encargarse del paquete entrante. consulte Preguntas frecuentes: modo de adaptación en Gestión de la protección. Puede activar el modo de aprendizaje para las comunicaciones entrantes. entonces examina la lista de reglas estáticas y tampoco encuentra ninguna coincidencia. para las comunicaciones salientes o para ambas. La regla se elimina cuando el cliente inicia la conexión de datos o cuando la regla caduca. Host Intrusion Prevention muestra todas las reglas creadas en clientes con el modo de aprendizaje o el modo de adaptación y permite guardar estas reglas y migrarlas a reglas administrativas. En el modo de aprendizaje. En el modo de adaptación. Si no se encuentra ninguna coincidencia entre el tráfico y una regla existente. Puede crear una regla de tipo Permitir explícita para el tráfico que desee. cuando se aplique el modo de aprendizaje o el modo de adaptación. Esta alerta solicita al usuario que permita o bloquee el tráfico que no coincida con una regla existente y crea automáticamente reglas dinámicas correspondientes para el tráfico no coincidente. Para obtener más información acerca del uso del modo de adaptación con el firewall.0 para ePolicy Orchestrator 4.Configuración de directivas de firewall Resumen de directivas de firewall Protocolo Descripción de la gestión • Modo activo del cliente FTP: el firewall crea una regla entrante dinámica después de analizar el comando del puerto entrante. Guía del producto McAfee Host Intrusion Prevention 8.

Úsela solo temporalmente cuando esté afinando un despliegue. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas creadas en el cliente de forma 70 Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. Configuración general Estas son las opciones generales disponibles: • Activado: selecciónela para activar el firewall. Úsela solo temporalmente cuando esté afinando un despliegue. • Modo de adaptación: selecciónela para que se creen automáticamente las reglas que permiten el tráfico. Use esta opción para permitir el tráfico a través de un entorno de puente con máquinas virtuales. el paquete se libera. Filtrado y agregación de reglas La aplicación de eventos genera una lista de reglas que satisface todas las variables definidas en los criterios de filtro. 3 Si se permiten nuevas reglas. El resultado es una lista de reglas mostradas en grupos y ordenadas por el valor asociado con las variables seleccionadas.Configuración de directivas de firewall Activación de protección por firewall 2 No se realiza ninguna entrada en la tabla de estados. La agregación de reglas de cliente genera una lista de reglas agrupadas por el valor asociado con cada variable seleccionada en el cuadro de diálogo Seleccionar columnas para agregar. pero si se trata de un paquete de TCP. También es posible crear reglas manualmente en el equipo cliente. El resultado es una lista de reglas que incluye todos los criterios. se coloca en la lista de pendientes. y después seleccione el tipo de protección: • Normal (valor predeterminado): use esta configuración cuando no esté ajustando un despliegue. 4 Si no se permite ninguna regla nueva. Reglas de firewall para cliente Un cliente en modo de adaptación o aprendizaje crea reglas de cliente de firewall para permitir la actividad bloqueada. pero sí una de las direcciones MAC en la lista de VM compatibles con el firewall. • Permitir tráfico mediante puentes: selecciónela para permitir el tráfico con una dirección MAC local que no sea la dirección MAC del sistema local. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes. En caso contrario. • Permitir el tráfico de protocolos no admitidos: selecciónela para permitir el tráfico que usa protocolos no admitidos. Puede hacer un seguimiento de las reglas del cliente y verlas en una vista filtrada o agregada. todo el tráfico que use protocolos no admitidos se bloqueará.0 . Selecciónela también para permitir el tráfico de entrada. Activación de protección por firewall ™ La directiva Opciones del firewall activa la protección por firewall y proporciona TrustedSource y configuración de firewall con seguimiento de estado. se realiza una entrada en la tabla de estados. Si se trata de un paquete TCP. se crea una regla de permiso estática unidireccional. el paquete se descarta. Si esta opción está desactivada. el de salida. que permitan el tráfico. • Modo de aprendizaje: selecciónela para que se creen reglas. según las indicaciones del usuario. o ambos.

• Límite de bloqueo de TrustedSource entrante: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico entrante de una conexión de red. eliminar y exportar directivas personalizadas. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección por firewall está desactivada. Configuración de la protección Esta configuración permite una protección especial específica del firewall: • Permitir solo el tráfico saliente hasta que el servicio de Host IPS se haya iniciado: selecciónela para permitir el tráfico saliente.0 para ePolicy Orchestrator 4. • Enviar eventos a ePO para infracciones de TrustedSource: selecciónela para enviar eventos al servidor ePO si la configuración del umbral de bloqueo TrustedSource para el tráfico entrante o saliente registra coincidencias.0 71 . Si esta opción no está seleccionada. Riesgo medio. • Activar la protección contra falsificación de direcciones IP: selecciónela para bloquear el tráfico de red de direcciones IP no locales del host o de los procesos locales que intenten falsificar su dirección IP. de modo que solo se requiera una regla de firewall para el tráfico FTP cliente saliente y otra para el tráfico FTP servidor entrante. Riesgo medio. Sin verificar y No bloquear. Sin verificar y No bloquear. y estas opciones se seleccionan para aplicarse cuando se activa el firewall: • Permitir tráfico mediante puentes Guía del producto McAfee Host Intrusion Prevention 8. Las opciones incluyen: Riesgo alto. Debería estar siempre seleccionada. • Tiempo de espera de la conexión TCP: el tiempo en segundos durante el que sigue activa una conexión TCP no establecida si no se envían ni reciben más paquetes que coincidan con la conexión. las conexiones FTP requerirán una regla adicional para el tráfico FTP de cliente entrante y otra para el tráfico FTP de servidor saliente. Se restablece su valor configurado cada vez que se envía o recibe un paquete que coincida con la conexión virtual. Las opciones incluyen: Riesgo alto. editar. basada en la directiva McAfee Default. Configuración de firewall con seguimiento de estado Está disponible la configuración del firewall con seguimiento de estado: • Inspección de protocolo FTP: una configuración de firewall con seguimiento de estado que permite hacer el seguimiento de las conexiones FTP. • Límite de bloqueo de TrustedSource saliente: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico saliente de una conexión de red.Configuración de directivas de firewall Activación de protección por firewall automática mediante el modo de adaptación. cambiar el nombre. por medio de la interacción del usuario con el modo de aprendizaje o manualmente en un cliente cuando se aplique esta directiva. hasta que el servicio de firewall de Host IPS se haya iniciado en el cliente. duplicar. Puede ver y duplicar directivas preconfiguradas y crear. • Tiempo de espera de la conexión virtual de eco UDP e ICMP: el tiempo en segundos durante el que se mantiene activa una conexión virtual de eco UDP o IMCP si no se envían ni reciben más paquetes que coincidan con la conexión. pero no el tráfico entrante. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados.

las opciones incluyen visualizar y duplicar. otras opciones incluyen cambiar nombre. duplicar. 72 Guía del producto McAfee Host Intrusion Prevention 8. mensajes específicos. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Opciones del firewall en la lista Categoría.0 . Se muestra la lista de directivas. TrustedSource calcula de forma dinámica las puntuaciones de reputación que representan el nivel de riesgo para su red que se da cuando visita una página web. TrustedSource calcula un valor de reputación según el comportamiento de envío y de hosting y los varios datos de entorno que TrustedSource recoge. Usando los datos obtenidos del análisis. Estas preguntas frecuentes explican qué hace TrustedSource y cómo afecta al firewall. haga clic en ? en la página que las muestra. Para las directivas no editables. haga clic en Guardar. El resultado es una base de datos de puntuaciones de reputación para direcciones IP. cambie los valores predeterminados y. se crean dos reglas de firewall: TrustedSource: permite el Servicio de IPS en host y la obtención de clasificación por parte de TrustedSource. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. a continuación. 3 En la página Opciones del firewall que aparece. ¿Qué es TrustedSource? TrustedSource es un sistema de inteligencia global de reputación en Internet que determina qué es un buen comportamiento y un mal comportamiento en Internet mediante el uso de análisis en tiempo real de comportamientos mundiales y el envío de patrones para el correo electrónico. ¿Cómo funciona? Cuando las opciones de TrustedSource están seleccionadas. ¿Qué quiere decir "reputación"? Para cada dirección IP en Internet. La primera regla permite una conexión a TrustedSource. NOTA: para las directivas editables. la actividad web. el software malintencionado y el comportamiento de sistema a sistema. dominios.Configuración de directivas de firewall Activación de protección por firewall • Conservar las reglas de cliente • Activar la protección contra falsificación de direcciones IP • Usar inspección de protocolo FTP Configuración de la directiva Opciones del firewall Configure las opciones de esta directiva para activar o desactivar la protección de firewall o aplicar el modo de adaptación o aprendizaje. Preguntas frecuentes: McAfee TrustedSource y el firewall Dos opciones de la directiva Opciones de firewall le permiten bloquear el tráfico entrante y saliente de una conexión de red que McAfee TrustedSource™ ha clasificado como de alto riesgo. 2 En la lista de directivas Opciones del firewall. Tarea Para ver la definición de las opciones. URL e imágenes. y la segunda bloquea o permite el tráfico según la reputación de la conexión y el umbral de bloqueo configurado.0 para ePolicy Orchestrator 4. eliminar y exportar.

• Sin verificar: nuestro análisis indica que parece ser una fuente o destino legítimo de contenido/tráfico. En segundo lugar. Hace lo siguiente: • Bloquea cualquier tráfico entrante de ICMP que podría usar un atacante para reunir información sobre su Guía del producto McAfee Host Intrusion Prevention 8. Puede ver y duplicar la directiva preconfigurada y editar.0 73 . eliminar y exportar las directivas personalizadas editables. la comprobación de reputación se realiza solo cuando se seleccionan las opciones.0 para ePolicy Orchestrator 4. duplicar. así que creemos que representa un riesgo importante. algo de latencia es inevitable. Puede crear y gestionar reglas de firewall mediante la aplicación de la directiva Reglas de firewall y la directiva Bloqueo de DNS de firewall con la configuración adecuada. McAfee ha hecho todo lo posible para minimizarla. cambiar el nombre. ¿Qué pasa si el firewall no puede llegar a los servidores de TrustedSource? ¿Se detiene el tráfico? Si el firewall no puede llegar a cualquiera de los servidores de TrustedSource. Tabla 7: Directivas Reglas de firewall preconfiguradas Directiva Uso Mínima (valor predeterminado) Utilice esta directiva para la protección mínima predeterminada. sin consultas a la reputación en línea. Selecciones de la directiva Reglas de firewall La categoría de directivas de reglas de firewall incluye dos directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. En un uso normal de la red. pero que también muestra algunas propiedades que sugieren la necesidad de una inspección adicional.Configuración de directivas de firewall Definición de la protección de firewall agrega y relaciona automáticamente de clientes y socios acerca del estado del panorama de las amenazas en Internet. basada en la directiva McAfee Default. se da una arquitectura de creación de caché inteligente. • Riesgo alto: nuestro análisis indica que esta fuente/destino envía o enviará/alojará contenido/tráfico potencialmente malicioso. permitiéndolo o bloqueándolo. ¿Introduce latencia? ¿Cuánta? Cuando TrustedSource recibe una demanda de comprobación de reputación. la mayoría de las conexiones deseadas se resuelven desde la caché. En primer lugar. • Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos que creemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino o procedente del mismo requiere un escrutinio especial. Definición de la protección de firewall Las reglas de firewall determinan el funcionamiento de un sistema cuando intercepta tráfico de red. asigna automáticamente a todas las conexiones aplicables una reputación predeterminada permitida y sigue con un análisis de las reglas posteriores. La reputación se expresa en cuatro clases: • Riesgo mínimo (no bloquear): nuestro análisis indica que se trata de una fuente o destino legítimo de contenido/tráfico.

Utilice esta directiva como punto de partida y. Típico entorno corporativo • Permite solicitudes para compartir archivos de Windows procedentes de equipos de la misma subred y bloquea las solicitudes para compartir archivos que procedan de cualquier otra ubicación (la directiva Redes de confianza debe tener Incluir automáticamente la subred local seleccionada). más adelante. basada en la directiva McAfee Default. Para las directivas no editables. 2 En la lista de directivas Reglas del firewall. eliminar y exportar las directivas personalizadas editables.0 . otras opciones incluyen cambiar nombre. cambiar el nombre. La directiva tiene todas las funciones y satisface las necesidades de la mayoría de firewall empresariales. las opciones incluyen visualizar y duplicar. • Permite todo el tráfico alto de entrada y el tráfico UDP de salida. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Reglas del firewall en la lista Categoría. • Permite el tráfico que usa los puertos OOTP. eliminar y exportar. • Le permite explorar dominios. Se muestra la lista de directivas. DNS y Net Time UDP.Configuración de directivas de firewall Definición de la protección de firewall Directiva Uso equipo. Simplemente.0 para ePolicy Orchestrator 4. duplique una directiva existente y edite las reglas y grupos de la directiva para que satisfagan sus necesidades. Configuración de la directiva Reglas del firewall Configure las opciones de esta directiva para definir reglas para la protección por firewall. SUGERENCIA: no intente crear una directiva desde cero. duplicar. NOTA: para las directivas editables personalizadas. Puede ver y duplicar la directiva preconfigurada y editar. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. grupos de trabajo y equipos Windows. Tarea Para ver la definición de las opciones. combine los resultados de aplicar el modo de adaptación para conocer y comprobar otras reglas. IPS en host permite todo el resto de tráfico ICMP. si se compara con las directivas de firewall predeterminadas. haga clic en ? en la página que las muestra. Selecciones de la directiva de bloqueo de DNS del firewall La categoría de directivas de bloqueo de DNS de firewall contiene una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. Esta directiva debe generar menos reglas cliente aprendidas en modo de adaptación. 3 74 Realice una de las operaciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. duplicar.

Creación y edición de reglas de firewall Edite o agregue una nueva regla de firewall a la lista de reglas de una directiva Reglas de firewall si la lista predeterminada no cubre operaciones específicas.xml.. estado Red Protocolo de red. Haga lo siguiente. Agregar un grupo del firewall Haga clic en Nuevo grupo o en Agregar grupo desde catálogo. • Bajar para bajar el elemento en la lista.0 75 . • Duplicar para hacer una copia del elemento. Guía del producto McAfee Host Intrusion Prevention 8. 1 En la página de directivas Reglas de firewall. a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha. • Subir para subir el elemento en la lista.. acción.. Agregar una regla del firewall Haga clic en Nueva regla o en Agregar regla desde catálogo. Consulte Creación y edición de grupos de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles... revise los detalles de la regla y haga clic en Guardar. Descripción Nombre (obligatorio). haga clic en Nueva regla para crear una nueva regla. • Agregar a catálogo en Acciones para agregar el elemento al catálogo del firewall. haga clic en ? en la página que las muestra. tipo de soporte. Realizar una acción en una única regla o grupo • Selecciona la regla o el grupo para mostrar un resumen de la configuración del elemento en el panel derecho. • Eliminar para eliminar el elemento.Configuración de directivas de firewall Definición de la protección de firewall Para. dirección. Tarea Para ver la definición de las opciones. 3 En esta ficha. Consulte Creación y edición de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles.. 4 Haga clic en Exportar para exportar toda la información del grupo o la regla de la directiva a un archivo . Este archivo puede importarse al catálogo del firewall o a otra directiva. Configure estas opciones.. redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Ajustes de estado y de hora En la ficha Resumen. 2 Introduzca la información adecuada en cada ficha. haga clic en Editar en Acciones para editar una regla existente.0 para ePolicy Orchestrator 4. 5 Haga clic en Guardar para guardar los cambios. • Seleccione la regla o el grupo y haga clic en: • Editar en Acciones para editar un elemento..

revise los detalles del grupo y haga clic en Guardar. estado Localización Configuración para localización. NOTA: las opciones de transporte y aplicaciones no están disponibles para grupos de aislamiento de conexión. Tarea Para ver la definición de las opciones. introduzca un nombre descriptivo en el campo Nombre. Los grupos aparecen en la lista de reglas precedidos por una flecha. Tarea 1 En la página de directivas Reglas de firewall. redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Configuración de estado y de tiempo.. introduzca un Nombre para la localización y seleccione un sufijo DNS. haga clic en Editar en Acciones para editar un grupo existente. 2 Introduzca la información adecuada en cada ficha. en Tipos de soporte. Guía del producto McAfee Host Intrusion Prevention 8. haga clic en ? en la página que las muestra. En esta ficha. una puerta de enlace u otros criterios con los que coincidir. Creación de grupos de aislamiento de conexión Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados. dirección. virtual). 4 En la ficha Red.. Es posible hacer clic en la flecha para mostrar u ocultar las reglas del grupo. 3 En la ficha localización. incluida la activación de grupos sincronizados 3 En la ficha Resumen. Descripción Nombre (obligatorio).0 .. inalámbrico. 2 En la ficha Descripción. Configure estas opciones. tipo de soporte (con cable. a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha. 4 Cree reglas nuevas en este grupo. haga clic en Nuevo grupo para crear un nuevo grupo. haga clic en Guardar.. incluido el aislamiento de conexión Red Protocolo de red. seleccione el tipo de conexión (Con cable. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host. 5 76 En la ficha Resumen.0 para ePolicy Orchestrator 4. Inalámbrica o Virtual) a la que desee aplicar las reglas del grupo. seleccione Activado tanto para Estado de localización como para Aislamiento de conexión. por ejemplo.Configuración de directivas de firewall Definición de la protección de firewall Creación y edición de grupos de reglas de firewall Cree o edite un grupo de reglas de firewall para una directiva de Reglas de firewall con el objetivo de crear un conjunto de reglas con una sola finalidad. haga clic en Nuevo Grupo o en Agregar grupo desde catálogo. Use un grupo de una sola finalidad con reglas que permitan. la conexión VPN. 1 En la página de directivas Reglas de firewall.

haga clic en ? en la página que las muestra. Red y Localización.. haga clic en el botón Eliminar para eliminar direcciones. seleccione un elemento del catálogo.Configuración de directivas de firewall Definición de la protección de firewall 6 Cree reglas nuevas en este grupo. después. introduzca el servidor de nombre de dominio que desee bloquear. haga clic en ? en la interfaz. crear y agregar nuevos elementos o importar y exportar elementos del catálogo.0 77 . por ejemplo. Uso del catálogo de IPS en host El catálogo de IPS en host le permite agregar nuevos elementos o referirse a elementos existentes para su uso con el firewall. Las opciones son: Grupo.com. elimine o reordene las columnas y haga clic en Guardar. haga clic en Nueva regla para crear una nueva regla. bloquee estos dominios en la dirección remota de una regla del firewall. Tarea Para ver la definición de las opciones. Proceso.0 para ePolicy Orchestrator 4. Se permite un nombre por entrada. 3 Haga cualquiera de las siguientes tareas en la página del catálogo: Para. *domain. Regla. 2 En Tipo de elemento.. haga clic en Establecer filtro. Editar un elemento Haga clic en el enlace asociado al elemento. Aplicación. Tarea Para ver las definiciones de las opciones. Cambiar la vista de los elementos Seleccione Opciones | Elegir columnas. Haga clic en Editar para editar el elemento. Haga clic en Borrar para volver a la vista predeterminada. 1 Vaya a Sistemas | Catálogo de IPS en host. haga clic en Editar en Acciones para editar una regla existente. en su lugar. Bloqueo del tráfico DNS Para ajustar la protección de firewall. NOTA: no use esta función para bloquear dominios completos.. Filtrar por un elemento Introduzca el criterio de filtrado y. 1 En la página de directivas Bloqueo DNS del firewall. 4 Haga clic en el botón Agregar para agregar otras direcciones. 2 Haga clic en Agregar dominio bloqueado. Esta tarea le ayuda a encontrar y editar los elementos del catálogo existentes.. puede crear una lista de servidores de nombre de dominio que Host IPS bloqueará no permitiendo la resolución de su dirección IP. Haga lo siguiente. Use los comodines * y ?. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host. seleccione. 3 En el cuadro de texto. haga clic en Guía del producto McAfee Host Intrusion Prevention 8. 5 Haga clic en Guardar para guardar los cambios.

NOTA: para agregar un elemento del catálogo cuando se crea una regla o grupo de firewall. localice y abra el archivo en formato . quite o reordene las columnas que se mostrarán.. NOTA: si elimina un elemento que tiene un enlace dependiente.0 para ePolicy Orchestrator 4. NOTA: el acceso a Reglas de cliente del firewall de la ficha IPS en host en Informes requiere permisos adicionales diferentes que para el firewall de Host Intrusion Prevention. crea un enlace dependiente entre el elemento y el catálogo con un enlace Interrumpir referencia de catálogo. Gestión de Reglas de cliente del firewall Visualizar reglas de cliente del firewall creadas automáticamente en los modos de adaptación o aprendizaje o manualmente en un cliente. después.xml. incluidos permisos de vista para acceder al registro de eventos.. dé un nombre y guarde el archivo en formato . Exportar un solo elemento Haga clic en el enlace Exportar asociado al elemento.0 .. haga clic en Agregar desde catálogo en la parte inferior de la página adecuada del creador. 3 Determine cómo desea ver la lista de reglas del cliente: Para. introduzca los datos adecuados y haga clic en Guardar. Guía del producto McAfee Host Intrusion Prevention 8. Duplicar para crear una copia del elemento y haga clic en Eliminar para eliminar el elemento. se rompe la dependencia entre el elemento y el catálogo y se crea un elemento nuevo independiente en su lugar. Tarea Para ver la definición de las opciones. Cuando agrega un elemento desde el catálogo o hacia este.xml. Haga lo siguiente. Si hace clic en el enlace.. sistemas y árbol del sistema.. agregue. Importar elementos del tipo de catálogo Haga clic en Importar en la parte superior derecha de la página y. Seleccionar las columnas que se han de mostrar Seleccione Elegir columnas en el menú Opciones.Configuración de directivas de firewall Definición de la protección de firewall Para. Exportar todos los elementos del tipo de catálogo Haga clic en Exportar en la parte superior derecha de la página y. Ordenar por columna Haga clic en el encabezamiento de la columna. En la página o páginas que aparecen. se ubicará una copia independiente del elemento eliminado con el grupo o la regla enlazados. con la regla o el grupo enlazados. haga clic en el enlace Agregar al catálogo que se encuentra junto al elemento.. y cómo moverlas a una directiva de Reglas de firewall puede ajustar y reforzar la seguridad. 78 1 Vaya a Informes | IPS en host y haga clic en Reglas de cliente del firewall. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente. después. Para agregar un elemento que haya creado mientras trabaja en el creador de reglas o grupos del firewall. haga clic en ? en la página que las muestra. En la página Seleccionar columnas. Haga lo siguiente. Crear y agregar un elemento Haga clic en Nuevo...

.0 79 . ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras. Filtrar por hora de creación Seleccione el momento en que se creó la regla: Ninguno. Haga clic en Quitar para quitar la configuración del filtro. Host IPS permite el uso de caracteres comodín. ** (dos asteriscos) Varios caracteres incluidos / y \. Filtrar por grupos Desde el menú Filtro. haga clic en Aceptar. Preguntas frecuentes: uso de caracteres comodín en reglas de firewall Cuando se introducen valores en ciertos campos de las reglas de firewall.. Agregar reglas Haga clic en Agregar. después. a continuación. Haga clic en Quitar para quitar la configuración del filtro. NOTA: las rutas de las claves de registro para las localizaciones de los grupos de firewall no reconocen los valores de los comodines. el nombre de usuario. | (canalización) Escape de caracteres comodín. * (un asterisco) Varios caracteres excluidos / y \. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos. el nombre del equipo o la ID de firma para filtrar. Si selecciona Desde. si selecciona Entre.. NOTA: para **.Configuración de directivas de firewall Definición de la protección de firewall 4 Para. indique la directiva a la que desea mover las reglas. los ejecutables y las URL. seleccione los criterios en los que desee agregar las reglas y. Haga lo siguiente. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. introduzca tanto una fecha de inicio como de fin. las claves de registro. el escape es |*|*. Guía del producto McAfee Host Intrusion Prevention 8.. Para mover las reglas a una directiva. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter.0 para ePolicy Orchestrator 4. introduzca una fecha de inicio. Desde o Entre. Haga clic en Quitar para eliminar la configuración de agregación. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. el nombre del proceso. Filtrar por texto buscado Escriba la ruta del proceso. seleccione una o más en la lista y haga clic en Crear regla del firewall. seleccione Solo este grupo o Este grupo y todos los subgrupos.

| (canalización) Escape de caracteres comodín. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0 .Configuración de directivas de firewall Definición de la protección de firewall 80 Carácter Definición * (un asterisco) Varios caracteres incluidos / y \.

Configurar las directivas Redes de confianza y Aplicaciones de confianza puede reducir o eliminar los falsos positivos. Aplicaciones de confianza: indica las aplicaciones que son seguras y que no tienen vulnerabilidades conocidas. Marcar las aplicaciones como "de confianza" elimina o reduce la necesidad de excepciones IPS y de reglas de firewall adicionales. Todas las directivas y opciones se aplican a sistemas operativos Windows.0 para ePolicy Orchestrator 4.Configuración de directivas generales La función General de Host Intrusion Prevention proporciona acceso a las directivas de naturaleza general. En los sistemas no Windows. también si el icono de cliente Host Intrusion Prevention aparece en la bandeja del sistema. incluidas las excepciones de TrustedSource. y controlan el acceso del cliente así como las aplicaciones y redes de confianza. Las redes de confianza pueden incluir direcciones IP individuales o intervalos de direcciones IP. La función de contraseñas se utiliza en clientes tanto de plataformas Windows como no Windows. Contenido Introducción a las directivas generales Definición de la funcionalidad de cliente Definición de redes de confianza Definición de aplicaciones de confianza Introducción a las directivas generales Las directivas generales funcionan con las funciones IPS y firewall.0 81 . y que no son específicas de IPS ni del firewall. consulte Aplicación de directivas con el cliente Solaris/Linux en Uso de clientes IPS en host. las contraseñas de acceso a la interfaz del cliente y las opciones de solución de problemas. esta categoría de directivas puede contener varias instancias de directiva. lo que ayuda al afinar un despliegue. Para clientes de plataformas Windows y no Windows. Marcar las redes como "de confianza" elimina o reduce la necesidad de excepciones IP de red y de reglas de firewall adicionales. Al igual que la directiva Reglas IPS. Directivas disponibles Existen tres directivas generales: IU de cliente: determina qué opciones están disponibles para un equipo cliente Windows. Guía del producto McAfee Host Intrusion Prevention 8. Redes de confianza: indica las redes y direcciones IP con las que existen comunicaciones seguras. solo se aplican algunas directivas y opciones. los tipos de alertas de intrusos. Solo para clientes Windows. Para saber más.

si lo permiten las reglas administrativas. Se muestra la lista de directivas. el acceso del administrador y el usuario cliente en clientes Windows y el acceso del administrador en clientes no Windows. editar. haga clic en ? en la página que las muestra. Las reglas de cliente creadas durante este período de tiempo se conservan. También puede crear. 82 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto e IU de cliente en la lista Categoría. Administrador Un administrador TI de todos los equipos. La directiva IU de cliente permite a este usuario obtener una contraseña basada en tiempos para realizar tareas administrativas o para activar o desactivar las funciones de protección. La directiva IU de cliente permite a este usuario: • Ver el icono del cliente Host Intrusion Prevention en la bandeja del sistema y ejecutar la consola del cliente. si determinadas actividades inofensivas están bloqueadas. las reacciones en caso de intrusos. Tarea Para ver la definición de las opciones. Para los clientes Windows se incluyen la configuración de visualización de iconos. La directiva IU de cliente contiene una directiva preconfigurada y una directiva Mis valores predeterminados que se puede editar. duplicar. Las tareas administrativas para los usuarios desconectados y administrador incluyen: • Activar o desactivar las directivas IPS y de firewall. Puede ver y duplicar la directiva preconfigurada. solo es válida la función de contraseña para acceso administrativo. Desconectado El usuario. Configuración de una directiva IU de cliente Configure las opciones de la directiva para indicar la visualización de iconos. Para los clientes no Windows. cambiar el nombre. La directiva IU de cliente permite que este usuario obtenga una contraseña de administrador sin caducidad para realizar tareas administrativas. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. • Obtener alertas emergentes de intrusos o evitarlas.0 para ePolicy Orchestrator 4. que pasa períodos de tiempo desconectado del servidor Host Intrusion Prevention. Las opciones de esta directiva permiten satisfacer las necesidades de tres funciones típicas de usuario: Tipo de usuario Funcionalidad Normal El usuario medio que tiene el cliente Host Intrusion Prevention instalado en un equipo de sobremesa o en un portátil. eliminar y exportar directivas personalizadas. El usuario puede tener problemas técnicos con Host Intrusion Prevention o necesitar realizar operaciones sin que interactúen con el programa. • Desactivar temporalmente la protección de IPS y firewall. 2 En la lista de directivas IU de cliente. • Crear más reglas IPS y de firewall. las reacciones en caso de intrusos y el acceso de usuarios administradores y clientes. Guía del producto McAfee Host Intrusion Prevention 8. NOTA: las modificaciones en las directivas administrativas realizadas desde la consola de ePolicy Orchestrator se aplicarán solo una vez que haya caducado la contraseña.0 .Configuración de directivas generales Definición de la funcionalidad de cliente Definición de la funcionalidad de cliente La directiva IU de cliente determina cómo aparecen y funcionan los clientes de IPS en host. probablemente con un portátil. que tiene que realizar operaciones especiales en equipos cliente ignorando las posibles directivas impuestas por los administradores.

1 Haga clic en la ficha Configuración general de la directiva IU de cliente y. los comandos de menú no tendrán efecto. En esta ficha puede establecer las opciones de visualización de la IU de cliente e indicar cómo responde el cliente a un evento de intrusión. la contraseña se activa. seleccione mostrar el sistema. Opciones de solución de problemas) y realice los cambios necesarios. • Si la IU de cliente está desbloqueada. Definición de opciones generales de IU de cliente Configure las opciones de la ficha Configuración general de la directiva IU de cliente para determinar la visualización de iconos y las reacciones en caso de intrusos solo para clientes Windows. Las contraseñas desbloquean la consola del cliente Windows y dan acceso al control de solución de problemas en clientes Windows y no Windows. Definición de opciones avanzadas de IU o Definición de opciones de solución de problemas de IU de cliente para obtener más detalles. seleccione una ficha (Opciones generales. seleccione las opciones que controlan la reacción del cliente cuando se encuentra un intruso. La función desactivada permanece así hasta que la restaura el comando del menú o hasta que una nueva directiva se aplique. Para esta función. Tarea Para ver las definiciones de las opciones. 2 En En caso de evento de intruso. que un administrador puede configurar y que es válida mientras la directiva se aplique al cliente. se desactiva la protección IPS en host e IPS de red. Consulte Definición de opciones generales de IU.Configuración de directivas generales Definición de la funcionalidad de cliente 3 En la página IU de cliente. seleccione la opción para mostrar el icono de menú de bandeja para acceder al menú de la consola del cliente o mostrar la aplicación en la lista Agregar o quitar programas. seleccione las funciones que desee desactivar. en la ficha Opciones avanzadas. Cuando esta directiva se aplica al cliente. pueden utilizar el icono de la bandeja de Host Intrusion Prevention para desactivar una función sin abrir la consola de cliente. haga clic en ? en la interfaz. en Opciones de visualización. después.0 83 . NOTA: los usuarios que necesiten desactivar temporalmente una función de Host Intrusion Prevention para acceder a una aplicación o un sitio de red inofensivo que esté bloqueado. 4 Haga clic en Guardar para guardar los cambios. a continuación. La consola del cliente permanece desbloqueada Guía del producto McAfee Host Intrusion Prevention 8. seleccione Permitir desactivación de funciones desde el icono de la bandeja y. Configuración de opciones avanzadas y contraseñas de IU de cliente Configurar las opciones de la ficha Opciones avanzadas de la directiva IU de cliente para acceso por contraseña en clientes Windows y no Windows. Tenga en cuenta lo siguiente: • Al desactivar IPS.0 para ePolicy Orchestrator 4. Opciones avanzadas. Hay dos tipos de contraseñas disponibles: • Una contraseña de administrador.

Tarea 84 1 Compruebe que la opción Activar contraseñas basadas en tiempo de la ficha Avanzadas de la directiva IU de cliente está seleccionada.. Guía del producto McAfee Host Intrusion Prevention 8. 2 Haga clic en Guardar en caso de que haya efectuado algún cambio en la directiva. que tiene fecha y hora de caducidad. 7 Establezca la fecha y hora en la que caduca la contraseña y. Administrador • Escriba una contraseña en el cuadro de texto Contraseña. 2 Determine el tipo de contraseña que desea crear.Configuración de directivas generales Definición de la funcionalidad de cliente hasta que se cierra. Debe contener al menos diez caracteres. Haga lo siguiente. La contraseña aparece en el cuadro de diálogo. haga clic en Calcular la contraseña basada en tiempos. a continuación. Para este tipo de contraseña. Puede indicar el sistema en el que desea crear la contraseña o crear la contraseña en la directiva IU de cliente para todos los sistemas a los que se aplica la directiva. • Haga clic en Guardar. • Una contraseña basada en tiempos.0 . Para volver a abrir los controles de la consola del cliente. Tarea 1 Haga clic en la ficha Opciones avanzadas de la directiva IU de cliente aplicada a un sistema o a un grupo. introduzca nuevamente la contraseña de administrador. a continuación. 3 Vaya a Sistemas | Árbol de sistemas. Para obtener más información. • Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña.. • Seleccione Activar contraseña basada en tiempos. 4 Aplique la directiva IU de cliente al grupo que incluye el sistema al que aplicar la contraseña. Basada en tiempos Creación de contraseñas según el sistema Se pueden crear y asignar contraseñas basadas en tiempos en función del sistema.0 para ePolicy Orchestrator 4. consulte Desbloqueo de la interfaz del cliente Windows. La consola del cliente permanece desbloqueada hasta que se cierra. en la ficha Sistemas seleccione un sistema único. 5 Seleccione el grupo y. NOTA: cuando la consola de cliente está desbloqueada. las directivas no se aplican. 6 Haga clic en Crear contraseña basada en tiempos. Esta contraseña se genera automáticamente. • Haga clic en Guardar... En un cuadro de diálogo aparece la contraseña con la fecha y la hora de caducidad. • Introduzca la fecha y la hora en que caduca la contraseña y haga clic en Calcular la contraseña basada en tiempos.

Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc. • Error registra los mensajes de error. puede aplicar opciones de solución de problemas de nivel de directiva que activan el registro de eventos IPS y del firewall.log. Tarea 1 Haga clic en la ficha Solución de problemas de la directiva IU de cliente.0 85 . del registro de eventos en el cliente. Activar el registro de IPS Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos de IPS.log. • Desactivado no registra ningún mensaje. advertencia y error. • Desactivado no registra ningún mensaje.Configuración de directivas generales Definición de la funcionalidad de cliente Definición de opciones de solución de problemas de IU de cliente Configurar las opciones de la ficha Solución de problemas de la directiva IU de cliente para opciones de registro y activar y desactivar motores. Establecer el tamaño.. Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\HipShield. • Depuración registra todos los mensajes. en MB. • Depuración registra todos los mensajes. • Información registra mensajes de información.. Activar el registro de firewall Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos del firewall. En lugar de utilizar la función de solución de problemas del cliente individual. • Información registra mensajes de información. Cuando desactive los motores.0 para ePolicy Orchestrator 4. • Advertencia registra los mensajes de advertencia y de error. Guía del producto McAfee Host Intrusion Prevention 8. Cambie el tamaño del registro de 1 MB (predeterminado) a un número más grande. 2 Seleccione la configuración de directiva que desee aplicar: Para Haga lo siguiente.log Incluir infracciones de seguridad en el registro de IPS Seleccione Infracciones de seguridad de registro para que los eventos de infracciones de seguridad aparezcan en el registro de IPS. • Error registra los mensajes de error. • Advertencia registra los mensajes de advertencia y de error. En Windows Vista. recuerde volver a activarlos tras solucionar los problemas.log. en Windows Vista. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\HipShield. y que desactivan motores IPS determinados. advertencia y error.

NOTA: para las reglas de firewall. eliminar y exportar directivas personalizadas. Marcar la red como de confianza para firmas IPS de red Seleccione De confianza para IPS. Se muestra la lista de directivas.. Definición de redes de confianza La directiva Redes de confianza mantiene una lista de direcciones de red y subredes. Puede ver y duplicar la directiva preconfigurada. También puede crear. Introduzca una dirección IP de confianza. • Agregar o eliminar direcciones o subredes de la lista de confianza. duplicar. 3 Realice una de las operaciones siguientes: Para. están en la lista.. cambiar el nombre. Activar o desactivar los motores Quite la marca de la casilla de verificación para desactivar un motor o selecciónela para activarlo.0 para ePolicy Orchestrator 4. incluidas las excepciones de TrustedSource... Haga lo siguiente. 86 Guía del producto McAfee Host Intrusion Prevention 8. rango de direcciones o subred en el cuadro de texto Redes de confianza. 2 En la lista de directivas Redes de confianza. Tarea Para ver la definición de las opciones. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. incluso a los que no subred local. consulte Trabajo con clientes de Host Intrusion Prevention. NOTA: para obtener detalles acerca de cómo trabajar directamente con el cliente HIP.0 . Esta categoría de directivas contiene una directiva preconfigurada que incluye las subredes locales automáticamente aunque no indica las direcciones de red... y a excepciones de IPS de red. o tipo de host HTTP y firmas personalizadas IPS. y una directiva Mis valores predeterminados que se puede editar. que puede etiquetar como de confianza para clientes de Windows y aplicar a reglas de firewall cuyas direcciones remotas se establezcan como de confianza. debe establecer la dirección remota como De confianza para aprovechar esta función. haga clic en ? en la página que las muestra. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Redes de confianza en la lista Categoría. Puede: • Establecer redes de confianza. editar. Agregar una dirección de red de confianza a la lista.Configuración de directivas generales Definición de redes de confianza Para Haga lo siguiente. Tratar automáticamente a todos los usuarios de la Seleccione Activado en Incluir automáticamente la misma subred como de confianza. Configuración de una directiva de redes de confianza Configure las opciones de esta directiva para establecer las opciones de redes de confianza y mantener una lista de direcciones de red y subredes marcadas como de confianza solo para clientes Windows.

haga clic en ? en la página que las muestra. Al afinar un despliegue. confianza. Tarea Para ver la definición de las opciones. La directiva Aplicaciones de confianza es una directiva de múltiples instancias.Configuración de directivas generales Definición de aplicaciones de confianza Para. Guía del producto McAfee Host Intrusion Prevention 8. la creación de reglas de excepción de IPS es una de las maneras de reducir los falsos positivos. 3 Realice una de las operaciones siguientes: Para. No siempre resulta práctico al tratar con varios miles de clientes o cuando se dispone de tiempo y recursos limitados. una aplicación de confianza se supervisa igualmente. Puede ver y duplicar la directiva preconfigurada o puede editar... eliminar y exportar las directivas personalizadas. duplicar. 4 Haga clic en Guardar para guardar los cambios.0 para ePolicy Orchestrator 4. lo que permite un perfil más detallado de uso de aplicaciones de confianza.0 87 . Haga lo siguiente. pueden darse muchos eventos de falsos positivos. El mantenimiento de una lista de aplicaciones seguras en un sistema reduce o elimina la mayoría de falsos positivos. consulte Creación y edición de reglas de aplicaciones de confianza. y puede iniciar errores para prevenir vulnerabilidades de seguridad. cuando se ejecuta una aplicación de copias de seguridad. Para evitarlo.. Esta categoría de directiva contiene una directiva preconfigurada que proporciona una lista de aplicaciones de McAfee y de procesos de Windows concretos. convierta la aplicación de copias de seguridad en una aplicación de confianza. Agregar una aplicación Haga clic en Agregar aplicación. así que puede asignar más de una instancia de directiva. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Por ejemplo. Se muestra la lista de directivas. Configuración de una directiva de aplicaciones de confianza Configure las opciones de la directiva para enumerar las aplicaciones consideradas seguras en un entorno determinado. Por lo tanto.... 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Aplicaciones de confianza en la lista Categoría.. que son aplicaciones que se reconocen como seguras en un entorno determinado. cambiar el nombre. Una solución mejor es crear una lista de aplicaciones de confianza. Haga lo siguiente.. Para obtener más detalles. Eliminar o agregar una entrada de dirección de red de Haga clic en el botón Eliminar ( – ) o Agregar ( + ). Definición de aplicaciones de confianza La directiva Aplicaciones de confianza es el mecanismo que se emplea para crear una lista de aplicaciones que son de confianza y no deberían generar eventos. 2 En la lista de directivas Aplicaciones de confianza. NOTA: una aplicación de confianza puede sufrir vulnerabilidades comunes como desbordamiento de búfer y uso ilegal.

Haga clic en Guardar para guardar los cambios. Para obtener más detalles. haga clic en ? en la página que las muestra. Se le pedirá que indique la directiva. • Eliminar para quitar la aplicación de la lista.en Acciones. Realizar una acción en una sola aplicación 4 • Desactivar para desactivar una aplicación activada. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva. también si la aplicación es de confianza para IPS.Configuración de directivas generales Definición de aplicaciones de confianza Para. para editar una regla existente. Realizar una acción en una o más aplicaciones al mismo Selecciónelas y haga clic en: tiempo • Activar para activar una aplicación desactivada. NOTA: puede agregar un ejecutable existente desde el catálogo de IPS en host haciendo clic en Agregar desde catálogo. • Eliminar para eliminar aplicaciones. • Copiar a para copiar aplicaciones en otra directiva. 4 Haga clic en Aceptar para guardar los cambios. 1 En la página de la directiva Aplicaciones de confianza. consulte Creación y edición de reglas de aplicaciones de confianza. consulte Crear una aplicación de confianza a partir de un evento en Configuración de directivas IPS. Para obtener más información sobre el catálogo. Para obtener más información.. NOTA: también puede crear aplicaciones de confianza basándose en un evento. 3 Haga clic en Nuevo para agregar un ejecutable para la aplicación.0 para ePolicy Orchestrator 4. Haga lo siguiente. Creación y edición de reglas de aplicaciones de confianza Edite aplicaciones de confianza existentes o cree aplicaciones nuevas para tener una lista de todas las aplicaciones consideradas seguras para su entorno. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall. • Duplicar para hacer una copia de la aplicación dentro de la misma directiva con el nombre "copia de" la aplicación original.. haga clic en Nueva aplicación de confianza para crear una nueva regla o haga clic en Editar .. Haga clic en: • Editar para editar una aplicación existente. 88 Guía del producto McAfee Host Intrusion Prevention 8.0 .. Tarea Para ver la definición de las opciones. firewall o ambos. 2 Escriba o edite el nombre y el estado de la aplicación.

2 En Directivas. las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS. Tarea Para ver las definiciones de las opciones. a continuación. está asignando una unión de todos los elementos de cada instancia de la directiva. y para Reglas IPS/Aplicaciones de confianza. Para las directivas que tienen instancias múltiples. Una directiva de varias instancias puede ser útil para un servidor IIS.0: IPS/General en la lista Producto. donde puede aplicar una directiva general predeterminada. 3 En la página Asignación de directiva. McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible. haga clic en Editar asignaciones. una directiva de servidor y una directiva IIS.0 para ePolicy Orchestrator 4. Guía del producto McAfee Host Intrusion Prevention 8. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. 4 Haga clic en Guardar para guardar todos los cambios. haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas. Cuando asigna instancias múltiples. seleccione un grupo del Árbol de sistemas que contenga el sistema y. por ejemplo. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas. haga clic en Ver Directiva efectiva.Configuración de directivas generales Definición de aplicaciones de confianza La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia. seleccione Host Intrusion Prevention 8. haga clic en ? en la interfaz. NOTA: para un sistema único.0 89 . en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema.

Tabla 8: Menú de McAfee Agent 4..exe en C:\Archivos de programa\McAfee\Host Intrusion Prevention. que muestra el número de versión y otra información del producto. Solaris y Linux. Acerca de.0 90 Haga clic en. Para mostrarla.0 Haga clic con el botón derecho en el icono de McAfee Agent. Solo el cliente Windows tiene una interfaz. utilice el menú del icono de la bandeja de McAfee o ejecute McAfeeFire.. Aquí se describen las funciones básicas de cada versión de cliente. Menú Icono de la bandeja de sistema Cuando aparece el icono de McAfee en la bandeja de sistema. Para obtener control completo de todas las opciones de la consola. Para hacer esto.0 . Cuando aparece por primera vez la consola del cliente. Guía del producto McAfee Host Intrusion Prevention 8. Contenido Introducción al cliente Windows Introducción al cliente Solaris Introducción al cliente Linux Introducción al cliente Windows La gestión directa del cliente Windows de Host Intrusion Prevention está disponible a través de una consola de cliente.. Abrir el cuadro de diálogo Acerca de Host Intrusion Prevention.Uso de clientes de Host Intrusion Prevention El cliente de Host Intrusion Prevention se puede instalar en plataformas Windows.. proporciona acceso a la consola de cliente de IPS en host.0 para ePolicy Orchestrator 4.. Configurar Abrir la consola de cliente de Host Intrusion Prevention. Con McAfee Agent 4. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales.. desbloquee la interfaz con una contraseña. seleccione Host Intrusion Prevention para mostrar un menú con métodos abreviados desde el que podrá abrir la consola. las opciones se bloquean y solo podrá ver la configuración actual. pero todas las versiones tienen la funcionalidad de solución de problemas. Para obtener más detalles acerca de la creación y el uso de contraseñas. La funcionalidad será distinta según la versión de McAfee Agent instalada en el cliente.

También en Configuración rápida. si la opción Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa se ha seleccionado para un grupo Guía del producto McAfee Host Intrusion Prevention 8. Para hacer esto.. estarán disponibles algunos o todos estos comandos adicionales: Tabla 9: Menú de McAfee Agent 4.0 para ePolicy Orchestrator 4. estos comandos adicionales estarán disponibles: Tabla 10: Menú de McAfee Agent 4. Si McAfee Agento no aparece en la bandeja de sistema.5 Haga clic con el botón derecho en McAfee Agent en la bandeja de sistema y seleccione Gestionar funciones | Host Intrusion Prevention para abrir la consola.. Disponible solo si las dos funciones están activadas. Desactivar IPS Desactivar la función IPS.0 con Activar grupo sincronizado Haga clic en. Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Si se selecciona Permitir la desactivación de las funciones desde el icono de la bandeja en una directiva IU de cliente aplicada. Solo disponible si la función está activada.. IPS de red Activar y desactivar la protección de IPS de red.. aunque el cliente esté configurado para mostrar un icono de bandeja. Disponible solo si alguna función se ha desactivado. Desactivar Firewall Desactivar la función Firewall. Solo disponible si la función está activada.. Firewall Activar y desactivar la protección del firewall.. Tabla 11: Configuración rápida del menú de McAfee Agent 4. Desactivar todo Desactivar las funciones IPS y Firewall.. Para hacer esto.. Si se ha seleccionado Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa para un grupo de firewall en una directiva aplicada de Reglas del firewall.. Esto incluye la funcionalidad IPS en host e IPS de red.0 91 . restablece el tiempo de los grupos.. Cada vez que selecciona este comando... Con McAfee Agent 4.5 Haga clic en. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo. estas opciones de Host Intrusion Prevention estarán disponibles si la opción Permitir la desactivación de las funciones desde el icono de la bandeja está seleccionada en una directiva aplicada de IU de cliente. Para hacer esto. NOTA: tanto McAfee Agent como el cliente de IPS en host deben estar configurados para mostrar un icono para este acceso. no se podrá acceder a IPS en host con el icono de la bandeja de sistema. Restaurar configuración Activar todas las funciones desactivadas. En Configuración rápida. IPS en host Activar y desactivar la protección de IPS en host.0 con Permitir desactivación Haga clic en.

Esto sucede en la actualización programada de la directiva o si se fuerza una actualización inmediata de la directiva. que se corresponden con funciones específicas de Host Intrusion Prevention.0 para ePolicy Orchestrator 4. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales. ejecute McAfeeFire. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo. después. seleccione Host Intrusion Prevention y.. • Con McAfee Agent 4. esté gestionando Host Intrusion Prevention por medio de ePolicy Orchestrator. se haya aplicado al cliente.. escriba la contraseña y haga clic en Aceptar.. a continuación. Guía del producto McAfee Host Intrusion Prevention 8. NOTA: para obtener más detalles acerca de la creación de contraseñas. Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso. El cliente no reconoce la contraseña hasta que la actualización de la directiva tiene lugar.5 con Activar grupo sincronizado Haga clic en. Configurar.0. que incluye la configuración de contraseña. Desbloqueo de la interfaz del cliente Windows Un administrador que..Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows de firewall en una directiva aplicada de Reglas del firewall. Para abrir la consola. Antes de empezar Asegúrese de que la directiva IPS en host General: IU de cliente. Configurar. 3 En el cuadro de diálogo Inicio de sesión. La consola le permite ver y configurar información de las funciones de Host Intrusion Prevention. 92 2 Abra la consola del cliente y seleccione Tarea | Desbloquear interfaz de usuario. • En la carpeta C:\Program Files\McAfee\Host Intrusion Prevention. haga clic con el botón derecho en el icono de McAfee. Para hacer esto. desde remoto. Host Intrusion Prevention y.exe. estos comandos adicionales estarán disponibles: Tabla 12: Menú de McAfee Agent 4. Cada vez que selecciona este comando. seleccione Gestionar funciones. haga clic con el botón derecho en el icono de McAfee. Contiene varias fichas.0 . Tarea 1 Obtenga una contraseña del administrador de Host Intrusion Prevention. Las contraseñas fijas que no caducan y las contraseñas temporales permiten que el administrador y el usuario desbloqueen temporalmente la interfaz para hacer cambios. Consola de clientes para clientes Windows La consola de clientes Host Intrusion Prevention le da acceso a varias opciones de configuración. se restablece el tiempo de los grupos. elija una de las siguientes: • Con McAfee Agent 4.5. puede proteger con contraseña la interfaz para evitar cambios accidentales.

. Las opciones incluyen: chino. inglés. Mostrar alerta emergente Cuando se produce un ataque. Registro: IPS * Determina qué tipo de mensaje de IPS se registra. aparece una alerta (solo IPS). 2 Seleccione el idioma para la interfaz de la consola del cliente y haga clic en Aceptar. Mostrar icono de la bandeja Host Intrusion Prevention aparece debajo del menú del icono de la bandeja del sistema de McAfee. 3 Seleccione Edición | Opciones. seleccione Tarea | Establecer idioma de la interfaz de usuario. Se guarda en un archivo FirePacketX. Para que esto ocurra. Si selecciona "Automático". japonés.. Reproducir sonido Se reproduce un sonido cuando se produce un ataque (solo IPS). Tabla 13: Opciones de la consola del cliente Seleccione. portugués.0 para ePolicy Orchestrator 4. Tarea 1 En la consola del cliente.. francés. seleccione y desactive opciones según sea necesario y haga clic en Aceptar. Guía del producto McAfee Host Intrusion Prevention 8. Mostrar notificación en bandeja del sistema El icono de bandeja de sistema indica el estado de un ataque cuando este se produce (solo IPS). 4 En el cuadro de diálogo Opciones de Host Intrusion Prevention. la interfaz aparecerá en el idioma del sistema operativo en el que se instala el cliente. coreano. que está disponible en el menú Ayuda cuando se bloquea la interfaz.0 93 .cap en C:\Program Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events o en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events (solo IPS). primero debe desbloquear la consola del cliente con una contraseña.. Solución de problemas del cliente Windows Host Intrusion Prevention incluye una función de solución de problemas.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Definición de opciones de IU de cliente La consola del cliente de Host Intrusion Prevention proporciona acceso a algunas opciones determinadas por la directiva IU de cliente y permite personalizarlas para cada cliente individual. alemán. italiano. Estas son las opciones disponibles: Tabla 14: Opciones de solución de problemas Opción Definición Registro: firewall Determina qué tipo de mensaje de firewall se registra. Antes de empezar Para realizar la tarea siguiente. ruso y español. Crear captura de analizador si está disponible Se agrega una columna de captura al Registro de actividad para indicar que se han capturado los datos del intruso.

Mostrar el producto en la lista Agregar/Quitar programas Permitir que IPS en host aparezca en la lista Agregar/Quitar programas y que se pueda quitar del cliente. * Esta opción está disponible solo con la protección IPS. Definición de opciones de registro del firewall Como parte de la solución de problemas. Realice esta tarea para activar el registro IPS. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. puede crear registros de actividad del firewall que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas. puede crear registros de actividad IPS que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas. no se registrará ningún mensaje. en C:\Archivos de programa\McAfee\Host Intrusion Prevention. se suministra como parte de la instalación y se encuentra en el cliente. que puede incluirse en las cadenas de instalación y mantenimiento para desactivar temporalmente la protección IPS y activar las funciones de registro.exe en Apéndice B -.exe) para ayudar a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention en equipos cliente. La información se escribe en HipShield. seleccione Ayuda | Solución de problemas.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention. Definición de opciones de registro IPS Como parte de la solución de problemas. 2 Seleccione el tipo de mensaje del firewall: Guía del producto McAfee Host Intrusion Prevention 8. Esta utilidad de línea de comando.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Opción Definición Infracciones de seguridad de registro * Activar la creación de registros de seguridad de IPS en el registro de IPS.0 . seleccione Ayuda | Solución de problemas. Funcionalidad * Desactivar y activar los motores de clase de IPS en host como parte de la solución de problemas. Tarea 1 En la consola de IPS en host. NOTA: McAfee ofrece una utilidad (ClientControl.Solución de problemas para obtener más información. 2 Seleccione el tipo de mensaje de IPS: • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado. Tarea 94 1 En la consola de IPS en host.0 para ePolicy Orchestrator 4. 3 Haga clic en Aceptar. Realice esta tarea para activar el registro del firewall. Consulte Utilidad Clientcontrol.

Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado. Si el cliente se encuentra en modo de adaptación. del firewall y de detección de simulaciones.0 95 . Desactivación de motores IPS en host Como parte de la solución de problemas. anule la selección de uno o más motores. haga clic en ? en la interfaz. La información se escribe en FireSvc. seleccione Ayuda | Solución de problemas y haga clic en Funcionalidad. Cuando el archivo alcanza los 100 MB. vuelva a seleccionar todos los motores para los que se haya anulado la selección en el cuadro de diálogo Motores HIPS. Entre estos mensajes se encuentran las alertas de detección de intrusos. 4 Una vez resuelto el problema. aparecerá automáticamente una alerta cuando Host Intrusion Prevention detecte un ataque potencial. 3 Haga clic en Aceptar. 2 En el cuadro de diálogo Motores HIPS. Respuesta a alertas de intrusos Si activa la protección IPS y la opción Mostrar alerta emergente. esta alerta aparece solo si la opción Permitir reglas del cliente está desactivada para la firma que hizo que se produjera el evento. McAfee recomienda que solo utilicen este procedimiento de solución de problemas los administradores que estén en comunicación con el departamento de soporte de McAfee. 3 Haga clic en Aceptar. el equipo de usuario o cliente en el que se produjo el ataque. Tarea Para ver las definiciones de las opciones. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. Alertas del cliente Windows Un usuario puede encontrar muchos tipos de mensaje de alerta y necesita reaccionar de manera acorde. La ficha Información sobre intrusos muestra los detalles del ataque que generó la alerta.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\. Las alertas de firewall sólo aparecen cuando el cliente se encuentra en modo de aprendizaje para estas funciones. 1 En la consola de IPS en host. incluidos la descripción del ataque. consulte la sección Escritura de firmas personalizadas. Para desactivar todos los motores. Para entender mejor qué protege cada clase. no se registrará ningún mensaje. el Guía del producto McAfee Host Intrusion Prevention 8. anule la selección de Activar/Desactivar todos los motores. NOTA: SQL y HTTP aparecen en la lista solo si el cliente se ejecuta en un sistema operativo del servidor. se crea un archivo nuevo.0 para ePolicy Orchestrator 4. también puede desactivar los motores de clase que protegen a un cliente.

aparece una alerta del firewall y se requiere una respuesta del usuario. Puede seleccionar Todas las firmas o Todos los procesos. La sección Información de aplicación muestra la información de la aplicación que está intentando acceder a la red. Para hacer esto. Crear una regla de firewall para una aplicación para todos los puertos y servicios Crear una regla para permitir o bloquear el tráfico de una aplicación a través de cualquier puerto o servicio. la dirección y los puertos. Respuesta a alertas de firewall Si activa la protección del firewall y el modo de aprendizaje para el tráfico entrante o saliente. La sección Información de conexión muestra información sobre el protocolo de tráfico. Si la alerta es resultado de una firma IP de host.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows proceso implicado en el ataque y la fecha y hora en la que Host Intrusion Prevention lo interceptó. la nueva regla permitirá o bloqueará solo ese puerto específico. Como opción. el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre del proceso. NOTA: esta alerta de intrusión también aparece en las intrusiones del firewall si coincide con una regla de firewall que tenga la opción Tratar coincidencia de regla como intruso seleccionada. la ruta y la versión de la aplicación. Puede ignorar el evento haciendo clic en Ignorar. Opcional: seleccione opciones para la nueva regla de firewall: Seleccione. seleccione Mostrar alerta emergente en el cuadro de diálogo Opciones. pero no ambos. Guía del producto McAfee Host Intrusion Prevention 8.. Si no selecciona esta opción. puede aparecer un mensaje genérico especificado por el administrador. Los botones Anterior y Siguiente están disponibles en la parte inferior del cuadro de diálogo. Además. incluidos el nombre. el usuario y la firma.. o crear una regla de excepción para el evento haciendo clic en Crear excepción. El botón Crear excepción está activo solo si la opción Permitir reglas del cliente está activada para la firma que hizo que se produjera el error. puede seleccionar Todos los hosts. Para hacer que las alertas vuelvan a aparecer después de seleccionar esta opción. Este botón sólo estará activo si la opción Permitir que el usuario notifique al administrador está activada en la directiva IU de cliente aplicada. Tarea 1 En el cuadro de diálogo de alerta. realice una de las operaciones siguientes: • Haga clic en Denegar para bloquear este tráfico y el similar. Seleccione No mostrar alertas de eventos IPS para dejar de mostrar las alertas de eventos IPS.0 . Si la alerta es resultado de una firma IPS de red. 2 • Haga clic en Permitir para permitir que pase por el firewall este tráfico y el similar. el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre de la firma y la dirección IP del host. Además.0 para ePolicy Orchestrator 4. si se ha enviado más de una alerta. la nueva regla de firewall permitirá o bloqueará solo los puertos específicos: • 96 Si el tráfico interceptado usa un puerto inferior a 1024... El nombre de usuario siempre se incluye en la excepción. NOTA: los botones Anterior y Siguiente están disponibles en la sección Información de conexión si hay información adicional de protocolos o puertos para una aplicación. puede hacer clic en Notificar al administrador para enviar información acerca del evento al administrador de Host Intrusion Prevention.

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Seleccione...

Para hacer esto...

Eliminar esta regla cuando la aplicación se cierre

Si el tráfico usa el puerto 1024 o superior, la nueva
regla permitirá o bloqueará el rango de puertos de
1024 a 65535.

Crear una regla temporal de permiso o bloqueo que se
borra cuando se cierra la aplicación. Si no selecciona
estas opciones, la nueva regla de firewall se crea como
regla permanente de cliente.

Host Intrusion Prevention crea una nueva regla de firewall según las opciones seleccionadas,
la agrega a la lista de directivas Reglas de firewall y permite o bloquea automáticamente
el tráfico similar.

Respuesta a alertas de simulación detectada
Si activa la protección de firewall, aparece automáticamente una alerta de simulación si Host
Intrusion Prevention detecta una aplicación en su equipo que envíe tráfico de red simulado, y
se requiere la respuesta de un usuario.
Esto quiere decir que la aplicación está intentando hacer que parezca que el tráfico de su equipo
llega en realidad de un equipo diferente. Esto se puede hacer cambiando la dirección IP en los
paquetes salientes. La simulación siempre es una actividad sospechosa. Si ve este cuadro de
diálogo, investigue inmediatamente la aplicación que está enviando el tráfico simulado.
NOTA: el cuadro de diálogo Alerta de simulación detectada aparece solo si selecciona la opción
Mostrar alerta emergente. Si no selecciona esta opción, Host Intrusion Prevention bloqueará
automáticamente el tráfico simulado sin notificarle.
El cuadro de diálogo Alerta de simulación detectada es muy similar a la alerta de la función
Modo de aprendizaje del firewall. Muestra información acerca del tráfico interceptado, en dos
áreas: la sección Información de la aplicación y la sección Información de la conexión.
La sección Información de la aplicación muestra:
• La dirección IP de la que el tráfico simula llegar.
• Información acerca del programa que generó el tráfico simulado.
• La fecha y la hora a la que Host Intrusion Prevention interceptó el tráfico.
La sección Información de conexión proporciona información adicional de la red. En especial,
Dirección local muestra la dirección IP que la aplicación simula tener, mientras que Dirección
remota muestra la dirección IP real.
Cuando Host Intrusion Prevention detecta tráfico simulado en la red, bloquea tanto el tráfico
como la aplicación que lo generó.

Acerca de la ficha Directiva de IPS
La ficha Directiva de IPS se usa para configurar la función IPS, que protege contra los ataques
de intruso al host según reglas de firmas y de comportamiento. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de excepción de cliente. Para obtener más
detalles acerca de las directivas de IPS, consulte Configuración de directivas de IPS.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

97

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

La ficha Directiva de IPS muestra las reglas de excepción importantes para el cliente y
proporciona información resumida y detallada de cada regla.
Tabla 15: Ficha Directiva de IPS
Esta columna...

Muestra

Excepción

Nombre de la excepción.

Firma

Nombre de la firma para la que se crea la excepción.

Aplicación

Aplicación a la que se aplica esta regla, incluidos el nombre
de programa y el nombre del archivo ejecutable.

Personalización de las opciones de Directiva IPS
Las opciones de la parte superior de la ficha controlan la configuración realizada desde las
directivas IPS del servidor después de que se haya desbloqueado la interfaz de cliente.
Tarea
1

En la consola del cliente de IPS en host, haga clic en la ficha Directiva IPS.

2

Seleccione o quite la selección de una opción, según necesite.
Seleccione...

Para hacer esto...

Activar IPS en host

Activar la protección de Host Intrusion Prevention.

Activar IPS de red

Activar la protección de red de Host Intrusion
Prevention.

Activar el modo de adaptación

Activar el modo de adaptación para crear
automáticamente excepciones a las firmas de
prevención de intrusos.

Bloquear atacantes automáticamente

Bloquear los ataques de intrusos automáticamente
durante un periodo de tiempo establecido. Indique el
número de minutos en el campo min.

Creación y edición de reglas de excepción de directivas de IPS
Ver, crear y editar reglas de excepción de IPS en la ficha Directiva de IPS del cliente.
Tarea

98

1

En la ficha Directiva IPS, haga clic en Agregar para agregar una regla.

2

En el cuadro de diálogo Regla de excepción, escriba una descripción de la regla.

3

Seleccione la aplicación a la que se aplica la regla de la lista de aplicaciones, o haga clic
en Examinar para localizar la aplicación.

4

Seleccione La regla de excepción está activa para activar la regla. La excepción se
aplica a todas las firmas, que no está activada ni seleccionada de manera
predeterminada, aplica la excepción a todas las firmas.

5

Haga clic en Aceptar.

6

Para hacer otras ediciones, realice una de las acciones siguientes:

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Para...

Haga lo siguiente...

Ver los detalles de una regla o editar una regla

Haga doble clic en una regla, o seleccione una regla y
haga clic en Propiedades. El cuadro de diálogo Regla
de excepción aparece para mostrar la información
que puede editarse de la regla.

Hacer regla activa/inactiva

Seleccione o cancele la selección de la casilla de
verificación La regla de excepción está activa en el
cuadro de diálogo Regla de excepción. También
puede seleccionar o quitar la marca de selección de la
casilla de verificación junto a un icono de regla en la
lista.

Eliminar una regla

Seleccione una regla y haga clic en Eliminar.

Aplicar cambios inmediatamente

Haga clic en Aplicar. Si no hace clic en este botón
después de hacer cambios, aparecerá un cuadro de
diálogo que le pedirá que guarde los cambios.

Acerca de la ficha Directiva de firewall
Use la ficha Directiva de firewall para configurar la función Firewall, que permite o bloquea las
comunicaciones de red según reglas definidas por el usuario. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de cliente del firewall. Para obtener más
información acerca de las directivas de firewall, consulte Configuración de directivas de firewall.
La lista de reglas de firewall muestra reglas y grupos de reglas relacionados con el cliente y
muestra un resumen e información detallada de cada regla. Las reglas que se muestran en
cursiva no pueden editarse.
Tabla 16: Ficha Directiva de firewall
Elemento

Descripción

Casilla de verificación

Indica si la regla está activa (marcada) o no (sin marca).
En las reglas que se muestran en cursiva, puede activar
o desactivar la regla con la casilla de verificación.

Grupo del firewall

Grupo sincronizado
Grupo con reconocimiento de ubicación

Regla de firewall

Muestra la lista de reglas que incluye. Haga clic en la casilla
más para mostrar las reglas y haga clic en la casilla menos
para ocultarlas.
Indica si el grupo es un grupo sincronizado.
Indica si el grupo es un grupo con reconocimiento de
ubicación.
Muestra las propiedades básicas de la regla. Haga clic en
la casilla más para mostrar las propiedades y haga clic en
la casilla menos para ocultarlas.

Acción de la regla
Indica si la regla permite el tráfico

o si lo bloquea

.
Dirección de la regla
Indica si la regla se aplica al tráfico de
tráfico de

salida, o a ambos

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

entrada, al

.

99

en la consola del cliente.. Tarea 1 En la ficha Directiva del firewall. haga clic en la ficha Directiva de firewall. 2 En la página General. si existe. Tarea 1 En la consola del cliente de IPS en host. según necesite. Aplicaciones Las aplicaciones a las que se aplica esta regla.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Personalización de las opciones de la Directiva de firewall Las opciones de la parte superior de la ficha controlan la configuración realizada desde las directivas de firewall del servidor después de que se haya desbloqueado la interfaz de cliente. una gama de direcciones.. 4 Haga clic en Finalizar para guardar la nueva regla.. incluido el nombre del archivo ejecutable. 3 Haga clic en Siguiente para seguir hacia las otras páginas y cambiar la configuración predeterminada.. haga clic en Agregar para agregar una regla..0 para ePolicy Orchestrator 4. 100 Para esta página. Redes La dirección IP. Introduzca esta información. subred. acción y dirección de la regla. Puede definir una dirección individual.0 . NOTA: solo puede crear reglas. Seleccione. realice una de las acciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. Para. Transporte El protocolo y las direcciones locales o remotas a las que se aplica esta regla. 2 Seleccione o quite la selección de una opción.. General El nombre. una lista de direcciones específicas o especificar todas las direcciones. y no grupos. escriba el nombre de la regla y seleccione la información de la acción y dirección de la regla. crear y editar reglas de firewall en la ficha Directiva de firewall del cliente. dominio u otros identificadores específicos de esta regla.. Planificación El programa. de la regla.. NOTA: cada página del creador de reglas se corresponde con una ficha del creador de reglas de firewall en la directiva Reglas de firewall. 5 Para hacer otras ediciones. Activar la protección de la directiva de firewall Activar firewall Activar el modo de aprendizaje para el tráfico entrante Modo de aprendizaje para tráfico entrante Activar el modo de aprendizaje para el tráfico saliente Modo de aprendizaje para tráfico saliente Activar el modo de adaptación Modo de adaptación Ver redes de confianza Redes de confianza Creación y edición de reglas de Firewall Ver. estado.

Hacer regla activa/inactiva Seleccione o quite la marca de la casilla de verificación junto a Activado en la página General de la regla del firewall. Si Host Intrusion Prevention agregó esta dirección a la lista debido a un intento de ataque al sistema. esta columna muestra solo la dirección IP que bloqueó. podrá editarla. Si Crear reglas de cliente está seleccionado en la directiva Opciones de IPS en la consola de ePolicy Orchestrator.0 para ePolicy Orchestrator 4. Haga lo siguiente.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Para. puede agregar hosts bloqueados o editarlos. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. Hora La fecha y hora a las que se agregó esta dirección a la lista de direcciones bloqueadas.. Cada línea representa un solo host. esta columna muestra el nombre de la regla de firewall correspondiente. Motivo del bloqueo Una explicación de por qué Host Intrusion Prevention está bloqueando dicha dirección. Acerca de la ficha Hosts bloqueados Utilice la ficha Hosts bloqueados para controlar una lista de hosts bloqueados (direcciones IP) que se crea automáticamente cuando la protección IPS de red (NIPS) está activada. Hacer una copia de una regla existente Seleccione la regla (normalmente una regla predeterminada que no se puede editar) y haga clic en Duplicar. Si agregó esta dirección manualmente. Tiempo restante Durante cuánto tiempo Host Intrusion Prevention continúa bloqueando esta dirección. El cuadro de diálogo del editar una regla creador de reglas de firewall aparece y muestra la información de la regla. Guía del producto McAfee Host Intrusion Prevention 8. Si Host Intrusion Prevention agregó esta dirección porque una de sus reglas de firewall utilizó la opción Tratar coincidencia de regla como intruso. Si especificó que deseaba que la dirección estuviera bloqueada hasta que se quitara manualmente de la lista. Ver los detalles de una regla o Seleccione una regla y haga clic en Propiedades.. Si no hace clic en este botón después de hacer cambios.. esta columna mostrará el número de minutos que quedan para que Host Intrusion Prevention elimine la dirección de la lista. esta columna mostrará Hasta su eliminación. Puede obtener más información acerca de los hosts leyendo la información de cada columna.. Si especificó una hora de caducidad cuando bloqueó la dirección. La lista de hosts bloqueados muestra todos los hosts bloqueados actualmente por Host Intrusion Prevention. esta columna describe el tipo de ataque. Si la regla no está en cursiva. Tabla 17: Ficha Hosts bloqueados Columna Qué muestra Origen La dirección IP que Host Intrusion Prevention está bloqueando. Aplicar cambios inmediatamente Haga clic en Aplicar. También puede seleccionar o quitar la marca de selección de la casilla de verificación junto a una regla en la lista.0 101 . Eliminar una regla Seleccione una regla y haga clic en Eliminar.

quitar. Ver o editar los detalles de un host bloqueado Haga doble clic en una entrada de host. Si no hace clic en este botón después de hacer cambios. realice una de las acciones siguientes: Para. Borrar un host bloqueado Seleccione un host y haga clic en Eliminar.. haga clic en Búsqueda de DNS. Tabla 18: Ficha Protección de aplicaciones Columna Qué muestra Proceso El proceso de la aplicación. 2 En el cuadro de diálogo Host bloqueado. Ruta completa de aplicación La ruta completa del ejecutable de la aplicación. Tarea 1 Haga clic en Agregar para agregar un host. Acerca de la ficha Lista de protección de aplicaciones La ficha Lista de protección de aplicaciones muestra una lista de aplicaciones protegidas en el cliente.0 . Las actividades más recientes aparecen en la parte inferior de la lista. 5 Para hacer otras ediciones. Si encuentra ahí el nombre del host. indique la dirección IP que desee bloquear. El Registro de actividad contiene un registro continuo de las actividades. 3 Escriba el número de minutos. Bloqueará cualquier intento de comunicación desde esa dirección IP hasta que la elimine de la lista de direcciones bloqueadas o hasta que pase el tiempo establecido. haga clic en Usar. 102 Guía del producto McAfee Host Intrusion Prevention 8. cambiar o ver hosts bloqueados.. Aplicar cambios inmediatamente Haga clic en Aplicar. PID La ID del proceso.. Acerca de la Ficha Registro de actividad Use la ficha Registro de actividad para configurar la función de creación de registro y realizar un seguimiento de las acciones de Host Intrusion Prevention. Para buscar una dirección IPS por su nombre de dominio.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Edición de la lista de hosts bloqueados Edite la lista de direcciones bloqueadas para agregar.0 para ePolicy Orchestrator 4. 4 Haga clic en Aceptar. o seleccione un host y haga clic en Propiedades. La lista muestra todos los procesos supervisados por el cliente. Host Intrusion Prevention agrega una nueva entrada a la lista en la ficha Protección de aplicaciones. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. hasta 60. que se bloqueará la dirección IP.. Esta es una lista de solo lectura llena de directivas administrativas y una aplicación específica de cliente creada heurísticamente. que es la clave para la búsqueda en caché de un proceso. El cuadro de diálogo Host bloqueado mostrará la información que se puede editar. Haga lo siguiente. NOTA: después de que haya creado una dirección bloqueada.

2 Seleccione o quite la selección de una opción. Opciones de Filtro: tráfico Filtrar los datos para mostrar el tráfico bloqueado y permitido por el firewall. Guía del producto McAfee Host Intrusion Prevention 8. Regla coincidente El nombre de la regla coincidente. Evento La función que realizó la acción.. • Tráfico indica una acción del firewall. Mensaje Descripción de la acción.. NOTA: esta columna aparecerá solo si selecciona Crear captura de rastreador. Tarea 1 En la consola del cliente de IPS en host. • Servicio indica un evento relacionado con el servicio o los controladores del software. • Aplicación indica una acción de un bloqueo de aplicación.0 para ePolicy Orchestrator 4. Seleccione. según necesite. Haga clic con el botón derecho en la entrada del registro para guardar los datos en un archivo de rastreador. • Intruso indica una acción de IPS.. en el cuadro de diálogo Opciones de McAfee Host Intrusion Prevention. así que debe desplazarse o cambiar el tamaño de la columna para ver la columna y su contenido.0 103 . puede elegir ocultar estos eventos en el registro mediante filtrado. NOTA: puede activar y desactivar la creación de registros para el tráfico del firewall.. Registro del tráfico: registrar todos los permitidos Registrar todo el tráfico permitido por el firewall. Personalización de las opciones de Registro de actividad Las opciones de la parte superior de la ficha controlan la configuración de registro realizada desde las directivas IU de cliente del servidor después de que se haya desbloqueado la interfaz de cliente. tan detallada como sea posible. Usuario/Dirección IP La dirección remota a la que esta comunicación se envió o desde la que se envió. Sin embargo. Puede exportar los datos de paquete asociados con esta entrada del registro.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Columna Qué muestra Hora La fecha y la hora de la acción Host Intrusion Prevention. Datos de intruso Un icono que indica que Host Intrusion Prevention guardó el paquete de datos asociado con este ataque (solo aparece para las entradas de registro de IPS). haga clic en la ficha Registro de actividad. pero no para la función IPS. • Sistema indica un evento relacionado con los componentes internos del software. NOTA: esta columna se encuentra en el extremo derecho de la pantalla. Opciones de Filtro: intrusos Filtrar los datos para mostrar los intrusos.. Para hacer esto. Aplicación El programa que causó la acción. Registro del tráfico: registrar todos los bloqueados Registrar todo el tráfico bloqueado por el firewall..

Redes de confianza Ninguna Aplicaciones de confianza Solo Marcar como de confianza para IPS y Nombre de nuevo proceso para agregar aplicaciones de confianza.. En el cuadro de diálogo que aparece.. Protege el sistema operativo del servidor.Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris 3 Haga lo siguiente para cambiar lo que se muestra: Para. Aplicación de directivas con el cliente Solaris No todas las directivas que protegen un cliente Windows están disponibles para el cliente Solaris.. Si no hace clic en este botón después de hacer cambios. y previene especialmente ataques de desbordamiento del búfer.0 104 IU de cliente Ninguna excepto de administración o contraseña basada en tiempos para permitir el uso de la herramienta de solución de problemas. Actualizar la pantalla Haga clic en Actualizar. Firewall de Host Intrusion Prevention 8. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios.0 Ninguna Guía del producto McAfee Host Intrusion Prevention 8. Borrar permanentemente el contenido del registro Haga clic en Borrar..0 para ePolicy Orchestrator 4. Aplicar cambios inmediatamente Haga clic en Aplicar.txt.0 Opciones IPS • Activar HIPS • Activar el modo de adaptación • Conservar reglas de cliente existentes Protección de IPS Todos Reglas IPS • Reglas de excepción • Firmas (solo reglas de HIPS predeterminadas y personalizadas) NOTA: las firmas NIPS y Reglas de protección de aplicaciones no están disponibles. pero no ofrece protección del firewall. Introducción al cliente Solaris El cliente Solaris de Host Intrusion Prevention identifica y evita intentos potencialmente perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Solaris. junto con los servidores Web Apache y Sun. A continuación se enumeran las directivas válidas. Tabla 19: Directivas del cliente Solaris Directiva Opciones disponibles IPS de Host Intrusion Prevention 8. Host Intrusion Prevention protege el servidor host de ataques perjudiciales. General de Host Intrusion Prevention 8. Guardar los contenidos del registro y borrar la lista Haga clic en Exportar. de la ficha elija un nombre y guarde el archivo . Haga lo siguiente. En resumen.0 .

Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • GUID • MMAP • BO • HTTP Guía del producto McAfee Host Intrusion Prevention 8.. situada en el directorio opt/McAfee/hip. hipts message all:off Activar el motor indicado.Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris Solución de problemas del cliente Solaris Si ha surgido algún problema al instalar o desinstalar el cliente. Para usar esta herramienta. debe suministrar una contraseña de cliente de Host Intrusion Prevention. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”. El cliente Solaris no tiene interfaz de usuario para la solución de problemas de funcionamiento.0 105 . Ejecutar. Activar el registro de tipos de mensajes específicos.. Los mensajes incluyen: hipts message <message name>:on • error • advertencia • depuración • información • infracciones Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”. El motor está activo de forma predeterminada. De manera predeterminada. hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”. Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de problemas: Para. Utilice la contraseña predeterminada que se incluye con el cliente (abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela. Entre ellas. asegúrese de que todos los archivos se han instalado en el directorio correcto. • Activar y desactivar los motores. El registro está desactivado de forma predeterminada.0 para ePolicy Orchestrator 4. Además... hipts. Use la herramienta de solución de problemas para: • Indicar la configuración de registro y el estado del motor del cliente. Obtener el estado actual del cliente que indica qué tipo hipts status de registro está activado y qué motores están funcionando. • Activar y desactivar la generación de registros de mensajes. Ofrece una herramienta de solución de problemas de línea de comandos. hipts logging on Desactivar el registro de todos los tipos de mensajes. mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del proceso. hay varias cosas que investigar. el mensaje de error está desactivado. hipts logging off Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”. puede encontrar problemas en el funcionamiento del cliente. Puede comprobar si el cliente se está ejecutando y detener y reiniciar el cliente.

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Solaris

Para...

Ejecutar...

Desactivar el motor indicado.

hipts engines <engine name>:off

Activar todos los motores.

hipts engines all:on

Desactivar todos los motores.

hipts engines all:off

SUGERENCIA: además de usar la herramienta de solución de problemas, consulte los archivos
HIPShield.log y HIPClient.log en el directorio /opt/McAfee/hip/log para comprobar las operaciones
o realizar el seguimiento de problemas.

Comprobación de los archivos de instalación de Solaris
Después de una instalación, compruebe que todos los archivos se instalaron en el directorio
adecuado del cliente. El directorio /opt/McAfee/hip deberá incluir estos archivos y directorios
esenciales:
Archivo/nombre de directorio

Descripción

HipClient; HipClient-bin

Cliente Solaris

HipClientPolicy.xml

Reglas de directiva

hipts; hipts-bin

Herramienta de solución de problemas

*.so

Módulos de objetos compartidos de Host Intrusion Prevention y McAfee
Agent

Directorio de registro

Contiene archivos de registro de depuración y error

El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo para
cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion
Prevention.

Comprobación de que el cliente Solaris se ejecuta
Aunque el cliente esté instalado correctamente, puede encontrarse con problemas de
funcionamiento. Si el cliente no aparece en la consola de ePO, por ejemplo, compruebe que se
está ejecutando mediante alguno de estos comandos:
• /etc/rc2.d/S99hip status
• ps –ef | grep Hip

Detención del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Para detener un cliente en ejecución, desactive primero la protección IPS. Utilice uno de
estos procedimientos:
• Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.

2

106

• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:off
Ejecute el comando: /sbin/rc2.d/S99hip stop

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Reinicio del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Ejecute el comando: /sbin/rc2.d/S99hip restart.

2

Active la protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado para
detener el cliente:
• Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:on

Introducción al cliente Linux
El cliente Linux de Host Intrusion Prevention identifica y evita intentos potencialmente
perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Linux. Protege
el sistema operativo del servidor, junto con los servidores Web Apache, y previene especialmente
ataques de desbordamiento del búfer.

Aplicación de directivas con el cliente Linux
No todas las directivas que protegen a un cliente Windows están disponibles para el cliente
Linux. En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales
pero no ofrece protección contra las intrusiones de red, incluido el desbordamiento del búfer.
Las directivas válidas se enumeran a continuación.
Tabla 20: Directivas del cliente Linux
Directiva

Opciones disponibles

IPS de Host Intrusion Prevention 8.0
Opciones IPS

Activar HIPS

Activar el modo de adaptación

Conservar reglas de cliente existentes

Protección de IPS

Todas

Reglas IPS

Reglas de excepción

Firmas (solo reglas de HIPS predeterminadas y
personalizadas)

NOTA: las firmas NIPS y Reglas de protección de
aplicaciones no están disponibles.
General de Host Intrusion Prevention 8.0
IU de cliente

Ninguna excepto de administración o contraseña basada
en tiempos para permitir el uso de la herramienta de
solución de problemas.

Redes de confianza

Ninguna

Aplicaciones de confianza

Solo Marcar como de confianza para IPS y Nombre de
nuevo proceso para agregar aplicaciones de confianza.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

107

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Directiva

Opciones disponibles

Firewall de Host Intrusion Prevention 8.0

Ninguna

Notas acerca del cliente Linux
• El cliente Linux de Host IPS 8.0 no es compatible con SELinux en el modo Implementar.
Para desactivar el modo Implementar, ejecute el comando: system-config-securitylevel, cambie
el ajuste a desactivado y reinicie el sistema cliente.
• Cuando se cargan los módulos de núcleo de Host IPS 8.0 de Linux, se informa de que el
núcleo de SUSE ha sido modificado. El registro del núcleo indica lo siguiente: schook: module
not supported by Novell, setting U taint flag; hipsec: module not supported by Novell, setting
U taint flag. Los requisitos de Novell para módulos de terceras partes causan que el núcleo
IPS en host se marque como modificado. Debido a que los módulos de núcleo de Linux de
Host IPS 8.0 tienen licencia de GPL, es necesario ignorar este mensaje. McAfee está
trabajando con Novell para solucionar este problema.

Solución de problemas del cliente Linux
Si ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas que investigar.
Entre ellas, asegúrese de que todos los archivos se han instalado en el directorio correcto,
mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del
proceso. Además, puede encontrar problemas en el funcionamiento del cliente. Puede comprobar
si el cliente se está ejecutando y detener y reiniciar el cliente.
El cliente Linux no tiene interfaz de usuario para la solución de problemas de funcionamiento.
Ofrece una herramienta de solución de problemas de línea de comandos, hipts, situada en el
directorio opt/McAfee/hip. Para usar esta herramienta, debe suministrar una contraseña de cliente
de Host Intrusion Prevention. Utilice la contraseña predeterminada que se incluye con el cliente
(abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de
administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela.
Use la herramienta de solución de problemas para:
• Indicar la configuración de registro y el estado del motor del cliente.
• Activar y desactivar la generación de registros de mensajes.
• Activar y desactivar los motores.
Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de
problemas:
Para...

Ejecutar...

Obtener el estado actual del cliente que indica qué tipo
hipts status
de registro está activado y qué motores están funcionando.

108

Activar el registro de tipos de mensajes específicos.

hipts logging on

Desactivar el registro de todos los tipos de mensajes. El
registro está desactivado de forma predeterminada.

hipts logging off

Mostrar el tipo de mensaje indicado cuando el registro
está establecido en “activado”. Los mensajes incluyen:

hipts message <message name>:on

error

advertencia

depuración

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Para ello. ejecute el siguiente comando: ps –ef | grep Hip Guía del producto McAfee Host Intrusion Prevention 8.. hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”.so Módulos de objetos compartidos de Host Intrusion Prevention y McAfee Agent Directorio de registro Contiene archivos de registro de depuración y error El historial de instalación se escribe en /opt/McAfee/etc/hip-install. Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”.. Consulte este archivo para cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion Prevention. el mensaje de error está desactivado. Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • HTTP Desactivar el motor indicado. hipts message all:off Activar el motor indicado. compruebe que todos los archivos se instalaron en el directorio adecuado del cliente. De manera predeterminada. • información • infracciones Ejecutar. consulte los archivos HIPShield. Comprobación de que el cliente Linux se ejecuta Si el cliente no aparece en la consola ePO. compruebe que el cliente se esté ejecutando. hipts engines <engine name>:off Activar todos los motores. hipts engines all:on Desactivar todos los motores. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”..xml Reglas de directiva hipts.. El directorio opt/McAfee/hip deberá incluir estos archivos y directorios esenciales: Nombre del archivo Descripción HipClient.0 109 .log y HIPClient.log en el directorio McAfee/hip/log para comprobar las operaciones o realizar el seguimiento de problemas.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Para.log. hipts engines all:off SUGERENCIA: además de usar la herramienta de solución de problemas. Comprobación de los archivos de instalación de Linux Después de una instalación.0 para ePolicy Orchestrator 4. por ejemplo. hipts-bin Herramienta de solución de problemas *. El motor está activo de forma predeterminada. HipClient-bin Cliente Linux HipClientPolicy.

Siga uno de estos procedimientos.0 . 2 Active la protección IPS. • Ejecute el comando: hipts engines MISC:on 110 Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Detención del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema. desactive la protección IPS. según cuál haya utilizado para detener el cliente: • Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva al cliente. Tarea 1 Ejecute el comando: hipts agent on. 2 • Ejecute el comando: hipts engines MISC:off Ejecute el comando: hipts agent off Reinicio del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema. Utilice uno de estos procedimientos: • Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la directiva al cliente. Tarea 1 Para detener un cliente.

parámetros y directivas. Una sección siempre identifica la clase de la regla. Cada regla contiene secciones obligatorias y opcionales. Las secciones opcionales cambian según el sistema operativo y la clase de regla.Apéndice A -.0 111 . } NOTA: antes de que intente escribir reglas personalizadas.Escritura de firmas personalizadas y excepciones Esta sección describe la estructura de las firmas IPS.. proporciona información acerca de cómo crear firmas personalizadas para las distintas plataformas del cliente. que define el comportamiento global de la misma. Contenido Estructura de regla Firmas personalizadas de Windows Firmas personalizadas no Windows Estructura de regla Cada firma contiene una o varias reglas escritas en la sintaxis de ANSI Tool Command Language (TCL). además.. Esta información también puede usarse al trabajar con la página de detalles avanzados para las excepciones. con una sección por línea. Cada sección define una categoría de regla y su valor. debe revisar la sintaxis para escribir cadenas y secuencias de escape en TCL. La estructura básica de una regla es la siguiente: Rule { Valor SecciónA Valor SecciónB Valor SecciónC . incluida una lista de clases. Una revisión rápida de las referencias estándar de TCL le garantizará que introduce los valores apropiados correctamente. Una regla para evitar una solicitud al servidor web que tiene una parte “subject” en la consulta de solicitud http tiene el siguiente formato: Rule { Class Isapi Id 4001 level 4 query { Include *subject* } Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.

la regla. Sección Valor Clase Depende del sistema operativo.0 para ePolicy Orchestrator 4. Secciones comunes Las secciones más comunes de una regla y sus valores incluyen los elementos siguientes." Nombre de la subregla. Observaciones para Windows: 112 • Para usuario local: usar <nombre equipo>/<nombre usuario local>. pero puede usar en su lugar el servicio local y su contexto de usuario.Apéndice A -. consulte la sección de clase en firmas personalizadas de Windows o no Windows. Guía del producto McAfee Host Intrusion Prevention 8. Especifique usuarios concretos o todos los usuarios.. Necesitará planear de manera acorde cuando desarrolle reglas. nivel 0 Descripción Nivel de gravedad de la firma: 1 0=Desactivado 2 1=Registro 3 2=Bajo 4 3= Medio 4= Alto user_name {Incluir/Excluir nombre de usuario o cuenta de sistema} Los usuarios a los que se aplica la regla. nivel y directivas. NOTA: todos los nombres de sección de todas las plataformas diferencian entre mayúsculas y minúsculas. y Excluir significa que la sección funciona en todos los valores excepto el indicado. Los números son los disponibles para las reglas personalizadas.. • Para usuario de dominio: usar <nombre dominio>/<nombre usuario dominio>.0 .5999 El número de ID único de la firma. Incluir significa que la sección funciona en el valor indicado. ID 4000 . Consulte Firmas personalizadas de Windows o Indica la clase a la que se aplica Firmas personalizadas no Windows. Para las secciones relacionadas con la sección de clase seleccionada. Las palabras clave Incluir y Excluir se usan para todas las secciones excepto etiqueta. etiqueta Nombre de la regla entre comillas ". Los valores de las secciones diferencian entre mayúsculas y minúsculas solo en las plataformas no Windows. • Para sistema local: usar Local/Sistema.Escritura de firmas personalizadas y excepciones Estructura de regla method { Include GET } time { Include * } Executable { Include * } user_name { Include * } directives isapi:request } Consulte Firmas personalizadas de Windows y Firmas personalizadas no Windows para obtener una explicación de las distintas secciones y sus valores. ID. • Algunas acciones iniciadas desde remoto no llevan la ID del usuario remoto.

el usuario y el dominio son "Anónimos".exe" -sdn "CN=\"mcafee. directivas tipo de operación Los tipos de operación dependen de cada clase. Ejecutable {Incluir/Excluir ruta de archivo. L=santa clara. Con la subregla de exportación. Puede haber múltiples paréntesis para cada sección. en C:\test\: files { Exclude C:\\test\\*.txt } y para supervisar todos los archivos.microsoft software validation v2. C=us" -desc "On-Access Scanner service"} Si una regla se aplica a todos los ejecutables. O=\"mcafee. y se enumeran para cada clase en las últimas secciones. para supervisar todos los archivos de texto en C:\test\: files { Include C:\\test\\*.txt } Combine las palabras clave para excluir valores de un conjunto de valores incluidos. files { Include C:\\test\\*. -desc. -sdn. La subregla estándar traduce las barras únicas en las barras dobles necesarias. Por ejemplo.txt:. OU=digital id class 3 . Ejemplo: Ejecutable {Include -path "C:\\Program Files\\McAfee\\VirusScan Enterprise\\Mcshield. OU=iss. Cuando marca el valor de una sección con Excluir. El valor -hash (hash MD5) es una cadena hexbin de 32 caracteres.0 113 . use dos barras invertidas en las rutas de los archivos.. use *. En UNIX. firmante o descripción} Cada ejecutable se especifica dentro de los paréntesis con -path.inc. y dentro de los paréntesis puede tener una o varias opciones. excepto los archivos de texto.\". use *. NOTA: con la subregla estándar. use una sola barra invertida en las rutas de los archivos. la sección funciona en todos los valores excepto el valor indicado Cuando usa estas palabras clave. la sección funciona en el valor indicado. -sdn (firmante del archivo) y -desc (descripción del archivo) son cadenas y necesitan escapar mediante TCL si contienen espacios y otros caracteres reservados para TCL. inc.0 para ePolicy Orchestrator 4. }. huella digital. esta sección distingue entre mayúsculas y minúsculas. se encierra en llaves { . Si una regla se aplica a todos los usuarios.Escritura de firmas personalizadas y excepciones Estructura de regla Sección Valor Descripción Cuando se produce un proceso en el contexto de una sesión nula. mientras que la subregla de exportación no realiza ninguna traducción.txt } Guía del producto McAfee Host Intrusion Prevention 8.\". NOTA: puede crear una firma con múltiples reglas simplemente agregando las reglas una tras otra. Tenga en cuenta que cada regla de la misma firma debe tener el mismo valor para ID y secciones de nivel.Apéndice A -. En UNIX.. -hash. ST=california. Para supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo abc. Uso de Incluir y Excluir Cuando marca el valor de una sección con Incluir. esta sección distingue entre mayúsculas y minúsculas. Los valores -path (nombre de la ruta del archivo).

En este caso.Escritura de firmas personalizadas y excepciones Estructura de regla files { Exclude C:\\test\\abc. —not_auditable No se generan excepciones para la firma cuando el modo de adaptación se aplica. excluir gana a incluir.0 para ePolicy Orchestrator 4.Apéndice A -. Por ejemplo. consulte la sección de clase en firmas personalizadas de Windows y no Windows. Sección Valor Descripción dependencias {Include/Exclude “id de una regla”} Define las dependencias entre reglas y previene que se inicien reglas dependientes.txt } 114 Guía del producto McAfee Host Intrusion Prevention 8. no se inicia. • Si una subregla incluye all (todos los usuarios). Para las secciones opcionales relacionadas con la sección de clase seleccionada.txt } Agregue las dependencias de sección a la regla más específica. Para supervisar cualquier archivo de texto en la carpeta C:\test\ cuyo nombre comience con la cadena “abc”: files { Include C:\\test\\*. la firma se inicia si el usuario NO es marketing\jjohns. • Si una subregla incluye al usuario marketing\* pero excluye a marketing\jjohns.txt } así como una regla para supervisar todos los archivos de texto de C:\test\ files { Include C:\\test\\*.txt } Cada vez que agrega la misma sección con la misma palabra clave. —inactive La firma se encuentra desactivada. Incluir significa que la sección funciona en el valor indicado. files { Include C:\\test\\abc. atributos —no_log Los eventos de la firma no se envían al servidor ePO. —no_trusted_apps La lista de aplicaciones de confianza no se aplica a esta firma. pero excluye al usuario marketing\jjohns. Secciones comunes opcionales Las secciones opcionales de una regla y sus valores incluyen el elemento siguiente.0 . agrega una operación. la firma se inicia solo si el usuario es marketing\anyone. a no ser que el usuario sea marketing\jjohns. A continuación.txt } files { Include C:\\test\\abc* } NOTA: en orden de precedencia. si hay una regla que supervise un solo archivo de texto en C:\test\ files { Include C:\\test\\abc. la firma no se iniciará incluso si el usuario marketing\jjohns realiza una acción que inicie la firma. Uso de la sección de dependencias Agregue las dependencias de sección opcionales para prevenir que una regla más general se inicie junto a una regla más específica. y Excluir significa que la sección funciona en todos los valores excepto el indicado. algunos ejemplos: • Si una subregla incluye al usuario marketing\jjohns y excluye al mismo usuario. lo que explica al sistema que no debe iniciar la regla más general si se inicia la más específica. marketing\jjohns. Las palabras clave Incluir y Excluir se usan tanto para las dependencias como para los atributos.

NOTA: para las rutas y las direcciones.Escritura de firmas personalizadas y excepciones Estructura de regla dependencies “the general rule” Caracteres comodín y variables Los caracteres comodín. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas.txt” ” } & (y comercial) Varios caracteres excepto / y \. Ejemplo: files {Include [iEnv SystemRoot]\\system32\\abc. Para las firmas y subreglas expertas. donde C es la unidad que contiene la carpeta Windows System...0 115 .txt” } Uso de variables de entorno Use las variables de entorno y el comando iEnv con un parámetro (el nombre de la variable) entre corchetes [ . Caracteres comodín Puede usar caracteres comodín para los valores de las secciones. use ** (dos asteriscos) para incluir / y \. * (un asterisco) Varios caracteres incluidos / y \. Ejemplo: files { Include “C:\test\\yahoo!.txt” } ! (signo de exclamación) Escape de caracteres comodín. | (canalización) Escape de caracteres comodín. Tabla 21: Caracteres comodín Carácter Qué representa ? (signo de interrogación) Un solo carácter. Tenga en cuenta el uso levemente diferente de los asteriscos con rutas y direcciones que normalmente contienen barras o barras invertidas. ] como atajo para especificar el archivo de Windows y los nombres de ruta del directorio. Ejemplo: files { Include “C:\test\\&. Tabla 22: Caracteres comodín TCL Carácter Qué representa ? (signo de interrogación) Un solo carácter. * (un asterisco) Varios caracteres incluidos / y \. Variable de entorno Qué representa iEnv SystemRoot C:\winnt\. use * (un asterisco) para excluir / y \.txt} Guía del producto McAfee Host Intrusion Prevention 8. los metasímbolos y las variables predefinidas pueden usarse como valor en las secciones disponibles.txt } iEnv SystemDrive C:\ donde C es la unidad que contiene la carpeta Windows System.Apéndice A -. Ejemplo: files {Include [iEnv SystemDrive]\\system32\\abc. Ejemplo: files { Include “C:\*.0 para ePolicy Orchestrator 4. se usa el plan de caracteres comodín TCL.

exe IIS_Computer Nombre del equipo donde se ejecuta IIS IIS_Envelope Incluye todos los archivos a los que IIS tiene acceso IIS_Exe_Dirs Directorios virtuales que permiten la ejecución de archivos. Estas variables están precedidas por “$.Escritura de firmas personalizadas y excepciones Estructura de regla Uso de variables predefinidas Host Intrusion Prevention proporciona variables predefinidas para la escritura de reglas.Apéndice A -. Tabla 23: Windows IIS Web Server Variable Descripción IIS_BinDir Directorio donde se encuentra inetinfo.0 para ePolicy Orchestrator 4. incluida la raíz del sistema y la raíz de IIS IIS_Ftp_Dir Directorios raíz del sitio FTP IIS_FTP_USR Nombre de cuenta de usuario anónimo de FTP local IIS_FtpLogDir Directorio de archivos de registro de FTP IIS_IUSR Nombre de cuenta de usuario anónimo de web local IIS_IUSRD Nombre de cuenta de usuario anónimo de web de dominio IIS_IWAM Nombre de cuenta de usuario de IIS Web Application Manager IIS_LogFileDir Directorio de archivos de registro Web IIS_LVirt_Root Todos los directorios virtuales de IIS IIS_Processes Procesos con derechos de acceso a recursos de IIS IIS_Services Todos los servicios necesarios para que IIS funcione correctamente Tabla 24: MS SQL Database Server 116 Variable Descripción MSSQL_Allowed_Access_Paths Directorios como \WINNT y \WINNT\System32 que sean accesibles MSSQL_Allowed_Execution_Paths Directorios como \WINNT y \WINNT\System32 que sean ejecutables MSSQL_Allowed_Modification_Paths Directorios como \WINNT\Temp que sean modificables MSSQL_Auxiliary_Services Los servicios auxiliares de MS SQL que se encuentren en el sistema MSSQL_Core_Services Los servicios principales de MS SQL que se encuentren en el sistema MSSQL_Data_Paths El resto de archivos de datos asociados a MS SQL que pueden encontrarse fuera del directorio MSSQL_DataRoot_Path MSSQL_DataRoot_Paths La ruta a los archivos de datos de MS SQL para cada instancia MSSQL_Instances El nombre de cada instancia de MS SQL instalada Guía del producto McAfee Host Intrusion Prevention 8.” y se enumeran a continuación.0 .

Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Variable Descripción MSSQL_Registry_Paths Todas las ubicaciones de registro asociadas con MS SQL Tabla 25: Unix Apache e iPlanet Variable Descripción UAPACHE_Bins Ruta a archivos binarios de Apache UAPACHE_CgiRoots Ruta a archivos raíz de CGI UAPACHE_ConfDirs Directorios que contienen archivos de configuración de Apache UAPACHE_DocRoots Ruta a archivos raíz de documentos UAPACHE_Logs Archivos de registro de Apache UAPACHE_Logs_dir Directorio de archivos de registro UAPACHE_Roots Archivos raíz de servidores Web Apache UAPACHE_Users Usuarios que Apache ejecuta como UAPACHE_VcgiRoots Ruta a archivos raíz de servidores virtuales de CGI UAPACHE_VdocRoots Archivos raíz de documentos virtuales UAPACHE_Vlogs Archivos de registro de servidores virtuales UAPACHE_Vlogs_dir Directorios para los archivos de registro de servidores virtuales UIPLANET_BinDirs Ruta a archivos binarios de iPlanet UIPLANET_CgiDirs Ruta a directorios de CGI UIPLANET_DocDirs Rutas a directorios de documentos UIPLANET_Process Ruta a archivos binarios ns-httpd de iPlanet UIPLANET_Roots Ruta a archivos raíz de iPlanet Firmas personalizadas de Windows Esta sección describe cómo escribir firmas personalizadas en la plataforma Windows. Algunas clases y parámetros aparecen en la interfez de usuario de firma personalizada.0 117 . Para estas clases y parámetros sin interfaz de usuario.Apéndice A -.0 para ePolicy Orchestrator 4. La clase usada por una firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma. la única forma de acceder a ellos es el método experto de creación de reglas. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles en las rutas y las reglas en la clase UNIX_file no Windows utilizan una sola barra. Para Windows están disponibles las siguientes clases: Clase Cuándo usarla Desbordamiento del búfer Para la protección contra el desbordamiento del búfer Archivos Para la protección de operaciones de archivos y directorios Enlazar Para la protección del enlace de proceso de API Guía del producto McAfee Host Intrusion Prevention 8. mientras que otras no.

bo:invalid_call Comprueba que el API se llama desde una instrucción de llamada adecuada.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Cuándo usarla Uso ilegal de API Para la protección contra el uso ilegal de API de IPS en host Uso ilegal Para la protección contra el uso ilegal de API Isapi Para supervisar las solicitudes de http a IIS Programa Para la protección contra las operaciones de programa Registro Para la protección de las operaciones de valor de registro y clave de registro Servicios Para la protección contra las operaciones de servicios SQL Para la protección contra las operaciones de SQL Desbordamiento de búfer de clase Windows La siguiente tabla enumera las secciones y valores posibles para el desbordamiento del búfer de la clase Windows: Sección Valores Clase Buffer_Overflow ID Consulte Secciones comunes. un DLL) cargado por un ejecutable que hace una llamada que crea un desbordamiento del búfer directivas bo:stack Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de la pila del subproceso actual.0 para ePolicy Orchestrator 4.0 . Consulte la nota 1. bo:heap Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de una pila.Apéndice A -. bo:target_bytes Una cadena hexadecimal que representa 32 bytes de instrucciones que pueden usarse para crear Guía del producto McAfee Host Intrusion Prevention 8. bo:writeable_memory Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que no forma parte de una pila ni de un montón del subproceso actual. Notas nivel hora user_name Ejecutable 118 dependencias 428 Opcional. módulo de llamada Ruta a un módulo (por ejemplo.

es una regla de desbordamiento de búfer genérica. bo:call_different_target_address Comprueba que el objetivo de la llamada no se corresponda con el objetivo enlazado. Consulte las notas 1 y 2. Consulte la nota 3). bo:call_return_unreadable Comprueba que la dirección de retorno no sea memoria de lectura. Para evitar que se inicie esta regla.0 119 . bo:call_return_to_api Comprueba que la dirección de retorno sea un punto de entrada de API. incluya la sección "dependencias 428" en la firma personalizada. Nota 1 La Firma 428. Consulte las notas 1 y 2. drive_type • Network: acceso a archivos Permite la creación de reglas de clase de archivo de red específicos de los tipos de unidad. bo:call_not_found Comprueba que la secuencia de código previa a la dirección de retorno no sea una llamada. desbordamiento de búfer genérico. • Floppy: acceso a unidad de disco • CD: acceso a CD o DVD • OtherRemovable: USB u otros accesos de unidad extraíble • OtherFixed: acceso al disco duro local o a otros discos duros fijos Guía del producto McAfee Host Intrusion Prevention 8. Solo se usa con files:rename y files:hardlink. Notas nivel hora user_name Ejecutable (use este parámetro para distinguir entre acceso a los archivos local y remoto.Apéndice A -.0 para ePolicy Orchestrator 4. dest_file Archivos de destino si la operación implica archivos de origen y de destino Uno de los parámetros requeridos.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas una excepción dirigida para un falso positivo sin desactivar el desbordamiento del búfer durante todo el proceso. Archivos de clase de Windows La siguiente tabla enumera las secciones y los valores posibles para Archivos de clase Windows: Sección Valores Clase Archivos ID Consulte Secciones comunes. archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos.

o lo mueve a otro directorio. las siguientes son representaciones de ruta válidas: files { Include “C:\\test\\abc.txt” } Nota 2 La directiva files:rename tiene un significado diferente cuando se combina con la sección files y la sección dest_file. significa que se supervisa el cambio de nombre del archivo en la sección files. files:delete Borra el archivo de un directorio. las siguientes son representaciones de ruta válidas: dest_file { Include “*\\test\\abc.txt” } files { Include “*\\test\\abc. Por ejemplo. Nota 1 Si se usa la sección files. Consulte la nota 2. Por ejemplo. files:write Abre el archivo con acceso de lectura y escritura. files:attribute Cambia los atributos del archivo. la siguiente regla supervisa el cambio de nombre de C:\test\abc.txt a cualquier otro nombre: Rule { tag "Sample1" Class Files Id 4001 level 4 files { Include “C:\\test\\abc.txt” } dest_file { Include “*\\abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas directivas files:create Crea un archivo en un directorio.0 para ePolicy Orchestrator 4. files:rename Cambia el nombre de un archivo en el mismo directorio. files:execute Ejecuta el archivo (ejecutar un directorio significa que este directorio se convertirá en el directorio actual).0 .txt” } files { Include “*\\abc. Los atributos supervisados son: files:hardlink • solo lectura • oculto • archivar • sistema Crea un enlace no modificable. files:read Abre el archivo con acceso de solo lectura. o mueve el archivo a otro directorio. así que debe haber un comodín presente en el inicio de la ruta para representar el disco duro.txt” } 120 Guía del producto McAfee Host Intrusion Prevention 8. la ruta a una carpeta supervisada o archivo pueden ser tanto la ruta completa como un comodín. Cuando se combina con la sección files.txt” } Si se usa la sección dest_file la ruta absoluta no puede usarse.Apéndice A -. Por ejemplo.

significa que ningún archivo puede cambiar de nombre al del archivo de la sección dest_file. las dos secciones (files y dest_file) tienen que coincidir. cambie el nombre de ruta del ejecutable a "SystemRemoteClient": Executable { Include -path “SystemRemoteClient” } Así se evitará que cualquier directiva se ejecute si el ejecutable no es local. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma.txt en la carpeta C:\test\.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:rename } Combinada con la sección dest_file.txt: Rule { tag "Sample2" Class Files Id 4001 level 4 dest_file { Include “*\\test\\abc. El nuevo nombre que recibió el archivo.0 121 .txt” } Guía del producto McAfee Host Intrusion Prevention 8. Rule { tag "Sample3" Class Files Id 4001 level 4 files { Include “C:\\test\\abc. la siguiente regla supervisa el cambio de nombre de cualquier archivo a C:\test\abc. Nota 3 Para distinguir entre el acceso remoto al archivo y el acceso local al archivo para cualquier directiva. Nombre de GUI Explicación archivos Nombre del archivo al que se accedió. Por ejemplo. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para los Archivos de clase. La siguiente regla impediría a cualquier usuario y a cualquier proceso crear el archivo abc. Si se usa la sección files. dest_file Solo se aplica al cambio de nombre de archivos.0 para ePolicy Orchestrator 4.Apéndice A -.txt” } Executable { Include “*”} user_name { Include “*” } directives files:rename } La sección files no es obligatoria si se usa la sección dest_file.

Si desea limitar la regla a contextos de usuarios específicos. indíquelos aquí. junto con el nombre de la ruta de acceso. Si la regla debiera cubrir múltiples archivos. podría añadirlos en esta sección en líneas distintas. para ser más precisos. • level 4: asigna el nivel de seguridad "alto" a esta regla. Si desea limitar la regla a procesos específicos.txt” }: indica que la regla cubre el archivo específico y la ruta C:\test\abc. Si la firma personalizada tenía múltiples reglas. el contexto de seguridad en el que se ejecuta un proceso). • id 4001: asigna la ID 4001 a esta regla. directivas hook:set_windows_hook Para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook. cada una de estas reglas necesitará usar el mismo nivel.0 . • directives files:create: indica que esta regla cubre la creación de un archivo. incluya el ejecutable en la lista de protección de aplicaciones.txt” }. Un parámetro necesario. Hook de la clase Windows La siguiente tabla enumera las secciones y valores posibles para Hook de la clase Windows: Sección Valores Clase Hook ID Consulte Secciones comunes.txt” “C:\\test\\xyz. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. Notas nivel hora user_name Ejecutable 122 módulo de administrador El nombre de la ruta del ejecutable que se enlaza con otro ejecutable.txt. en el formato Local/user o Domain/user.0 para ePolicy Orchestrator 4. Consulte Secciones comunes para obtener más información. cada una de estas reglas necesitará usar la misma ID. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. escríbalos aquí. • files { Include “C:\\test\\abc. Si la firma personalizada tenía múltiples reglas. al supervisar los archivos C:\test\abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:create } Las distintas secciones de esta regla tienen el siguiente significado: • Archivos de clase: indica que esta regla está relacionada con la clase de operaciones en archivos. la sección cambia a: files { Include “C:\\test\\abc.txt. Por ejemplo. Guía del producto McAfee Host Intrusion Prevention 8.txt y C:\test\xyz.Apéndice A -.

directivas illegal_api_use:bad_parameter Se trata de un número de 128 bits que representa una ID única para un componente de software.0 para ePolicy Orchestrator 4. Notas nivel hora user_name Ejecutable vulnerability_name Nombre de la vulnerabilidad detailed_event_info Una o más CLSID. La finalidad primaria de un bit de interrupción es cerrar los orificios de seguridad. Esto es un ejemplo de una firma: Rule { tag "Sample4" Class Illegal_API_Use Id 4001 level 4 Executable { Include “*”} user_name { Include “*” } vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"} detailed_event_info { Include "0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"} directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call attributes -not_auditable } Guía del producto McAfee Host Intrusion Prevention 8. Las aplicaciones que usan ActiveX no cargan el software específico de ActiveX si hay un bit de interrupción activo.0 123 . Un bit de interrupción especifica el identificador de clase del objeto (CLSID) para los controles de software de ActiveX que se identifican como amenazas de vulnerabilidad de la seguridad. clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de API de la clase Windows: Sección Valores Clase Illegal_API_Use ID Consulte Secciones comunes.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso de host ilegal IPS API. El bit de interrupción es una característica de seguridad en navegadores web y otras aplicaciones que usen ActiveX. Los bits de interrupción se instalan normalmente en los sistemas operativos de Windows por medio de las actualizaciones de seguridad de Windows. Normalmente se muestra como: "{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}" illegal_api_use:invalid_call Use esta clase para crear una firma de bit de interrupción personalizada.Apéndice A -.

directivas isapi:request Para los tres tipos de solicitudes entrantes de HTTP. isapi:reqquery Para solicitudes de consultas. nota 4. Consulte la otro método de HTTP permitido.Apéndice A -. Notas nivel hora user_name Ejecutable 124 url Uno de los parámetros requeridos. LsarLookupSids o ADMCOMConnect directivas illegal:api Isapi (HTTP) de clase Windows La siguiente tabla enumera las secciones y valores posibles para Isapi IIS de la clase Windows: Sección Valores Clase Isapi ID Consulte Secciones comunes. Notas nivel hora user_name Ejecutable nombre Un valor de los tres: LsarLookupNames. método GET.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso ilegal. Se compara con la parte de consulta de una solicitud entrante. isapi:requrl Para solicitudes de url. clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de la clase Windows: Sección Valores Clase Illegal_Use ID Consulte Secciones comunes. isapi:response Para las repuestas de solicitud. POST. Guía del producto McAfee Host Intrusion Prevention 8. Consulte las notas 1-4. isapi:rawdata Para solicitudes de datos sin procesar.0 . consulta Uno de los parámetros requeridos. Se compara con la parte URL de una solicitud entrante. INDEX o cualquier Uno de los parámetros requeridos.0 para ePolicy Orchestrator 4. Consulte las notas 1-4.

abc). Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Isapi. una de las siguientes secciones opcionales: url.0 para ePolicy Orchestrator 4. la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. método. Agregando “. independientemente de su longitud. Guía del producto McAfee Host Intrusion Prevention 8.myserver.com/search/abc." coincide con cualquier cadena que incluya "abc. Nota 2 Antes de efectuar la correspondencia.xyz*.Apéndice A -. Nota 4 Una regla debe incluir. Nombre de GUI Explicación url Parte de ubicación descodificada y normalizada de una solicitud HTTP entrante (la parte antes del signo de interrogación "?").com/ {url}?{query}. la siguiente regla se activa si IIS recibe la solicitud http: http:// www. Utilizando esta convención de nombres. se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape. al menos.exe?subject=wildlife&environment=ocean Rule { tag "Sample6" Class Isapi Id 4001 level 1 url { Include “*abc*” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Esta regla se activa porque {url}=/search/abc. Por ejemplo. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”. Por ejempo "abc*. que coincide con el valor de la sección “url” (es decir. consulta. podemos decir que la sección "URL" se compara con {url} y que la sección "consulta" se compara con {query}.exe.0 125 . "*abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 Una solicitud entrante de http puede representarse como: http://www. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. En este documento. nos referimos a {url} como la parte "URL" de la solicitud http y a {query} como la parte "consulta" de la solicitud http.xyz".myserver.500" coincide con las cadenas que contienen "abc" que son de 500 caracteres o más.número_de_caracteres” al valor de estas secciones.

Se deja en blanco si no está disponible. La siguiente regla impediría una solicitud al servidor web que contenga "subject" en la parte de consulta de la solicitud HTTP: Rule { tag "Sample7" Class Isapi Id 4001 level 1 query { Include “*subject*” } method { Include “GET” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Por ejemplo. Put. origen Nombre o dirección IP del equipo en el que se originó la solicitud HTTP. Solo está disponible si la solicitud es autenticada. servidor Información sobre el servidor Web en el que se creó el evento (es decir. Las distintas secciones de esta regla tienen el siguiente significado: • Clase Isapi: indica que esta regla está relacionada con la clase de operaciones de Isapi. raw url Línea de solicitud sin procesar (no descodificada y no normalizada) de la solicitud HTTP entrante. local file Nombre físico del archivo que se recupera o se intenta recuperar con la solicitud.myserver. método Método de la solicitud entrante de HTTP (por ejemplo.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación consulta Parte de consulta descodificada y normalizada de una solicitud HTTP entrante (la parte después del primer signo de interrogación "?"). el equipo en el que está instalado el cliente) en el formato <host name>:<IP address>:<port>. 126 Guía del producto McAfee Host Intrusion Prevention 8. La dirección contiene tres partes: nombre de host: dirección: número de puerto. la solicitud GET http://www.0 para ePolicy Orchestrator 4. content len Número de bytes en el cuerpo del mensaje que es parte de la consulta.Apéndice A -. Post y Query). • Id 4001: asigna la ID 4001 a esta regla. Si la firma personalizada tenía múltiples reglas. Get. El nombre de host es la variable de host del encabezado HTTP. La línea de la solicitud es “<method> <location[?query]> <http version> CRLF”. Se descodifica y normaliza con IIS. usuario Nombre del usuario del cliente que hace la solicitud.0 .exe?subject=wildlife&environment=ocean se evitaría con esta regla.com/test/ abc. cada una de estas reglas necesitará usar la misma ID. web server type Tipo y versión de la aplicación de servidor web usada.

el contexto de seguridad en el que se ejecuta un proceso). Uno de los parámetros requeridos.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • level 4: asigna el nivel de seguridad "alto" a esta regla. Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso. • method { Include “GET” }: indica que la regla solo puede coincidir con solicitudes GET. Si desea limitar la regla a contextos de usuarios específicos. cada una de estas reglas necesitará usar el mismo nivel.Apéndice A -.0 127 .0 para ePolicy Orchestrator 4. program:open_with_any Las directivas "program:open_with_x" administran los derechos de acceso creados con OpenProcess(). Si desea limitar la regla a procesos específicos. Notas nivel hora user_name Ejecutable nombre de archivo Nombre del proceso en la operación. para ser más precisos. Guía del producto McAfee Host Intrusion Prevention 8. (Ejecute el ejecutable de destino en la interfaz de usuario). junto con el nombre de la ruta de acceso. se agregarían en esta sección en líneas diferentes. escríbalos aquí. Si la regla tuviera que cubrir varios archivos en la parte “query”. • PROCESS_DUP_HANDLE: requerido para duplicar un control. • directives isapi:request: indica que esta regla cubre una solicitud HTTP. Si la firma personalizada tenía múltiples reglas. • PROCESS_CREATE_THREAD: requerido para crear un subproceso. indíquelos aquí. Uno de los parámetros requeridos. Consulte Secciones comunes para obtener más información. • PROCESS_VM_WRITE: requerido para escribir en la memoria. ruta Nombre de la ruta del proceso. • query { Include “*subject*” }: indica que la regla coincide con cualquier solicitud (GET) que contenga la cadena "subject" en la parte de consulta de la solicitud HTTP. en el formato Local/user o Domain/user. Programa de clase Windows La siguiente tabla enumera las secciones y valores posibles para los programas de la clase Windows: Sección Valores Clase Programa ID Consulte Secciones comunes. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. directivas program:run Selecciónelo para evitar que el ejecutable de destino se ejecute.

program:open_with_create_thread Selecciónela para evitar este derecho de acceso específico de proceso: • PROCESS_CREATE_THREAD: requerido para crear un subproceso. (Se abre con cualquier acceso en la interfaz de usuario). • PROCESS_TERMINATE: requerido para terminar un proceso. • PROCESS_CREATE_THREAD: requerido para crear un subproceso. program:open_with_terminate Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. program:open_with_modify Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso.0 para ePolicy Orchestrator 4. como su clase de prioridad. (Se abre con un acceso para crear un subproceso en la interfaz de usuario). (Se abre con un acceso para esperar en la interfaz de usuario). 128 Guía del producto McAfee Host Intrusion Prevention 8. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. • PROCESS_VM_WRITE: requerido para escribir en la memoria. • PROCESS_DUP_HANDLE: requerido para duplicar un control.Apéndice A -. program:open_with_wait Selecciónela para evitar este derecho de acceso específico de proceso: • SYNCHRONIZE: requerido para esperar a que el proceso termine.0 . (Se abre con un acceso para modificar en la interfaz de usuario).Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. • PROCESS_TERMINATE: requerido para terminar un proceso. como su clase de prioridad. NOTA: no disponible en Microsoft Vista y plataformas posteriores. (Se abre con un acceso para terminar en la interfaz de usuario). • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. • SYNCHRONIZE: requerido para esperar a que el proceso termine.

0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Registro de la clase Windows La siguiente tabla enumera las secciones y los valores posibles para el registro de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. directivas registry:delete Elimina una clave o un valor de registro registry:modify Modifica el contenido de un valor de registro o la información de una clave de registro. como la función de restauración regedit32. registry:rename Cambia el nombre de una clave de registro. etc. registry:create Permite la creación de una clave de registro. enumerar. valores Operación de valor de la clave de registro Uno de los parámetros requeridos. supervisar. Opcional. Consulte la nota 1.) u obtiene el contenido de un valor de registro. Guía del producto McAfee Host Intrusion Prevention 8. registry:enumerate Enumera una clave del registro. Notas nivel hora user_name Ejecutable claves Operación de la clave de registro Uno de los parámetros requeridos. restaurar. registry:permissions Modifica los permisos de una clave de registro. Nuevos datos del valor. dest_keys Operación de la clave de registro Opcional. leer. sustituir y cargar). pero solo después de un reinicio. registry:load Carga claves o valores de registro de un archivo. registry:restore Restaura un subárbol de un archivo. A usar con las operaciones de valor de registro (borrar. Solo para registry:rename cuando se cambia el nombre de una clave. obtiene la lista de todas las subclaves y valores de la clave.0 129 . modificar y crear). A usar con las operaciones de clave (crear. Solo para registry:modify o registry:create. registry:replace Restaura un ajuste del registro. borrar. Consulte la nota 2. leer. cambiar el nombre. registry:open_existing_key Abre una clave de registro existente. es decir. El objetivo será el nombre de la clave. registry:read Obtiene la información de la clave de registro (número de subclaves.Apéndice A -. registry:monitor Solicita la supervisión de una clave de registro. new_data Operación de valor de la clave de registro.

Por ejemplo.0 . 130 Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -. Nota 2 Los datos de la sección de datos nuevos deben ser hexadecimales.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 HKEY_LOCAL_MACHINE en una ruta de registro se sustituye por \REGISTRY\MACHINE\ y CurrentControlSet se sustituye por ControlSet. Por ejemplo. Nombre de GUI Explicación Clave de registro Nombre de la clave de registro implicada. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Registro. los datos ‘def’ del valor del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc” deben representarse como old_data { Include “%64%65%66”}. tipos de datos antiguos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse. el valor del Registro “abc” en la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa se representa como \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc. datos nuevos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro contiene tras un cambio o que contendría si se produjera el cambio. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Tenga en cuenta lo siguiente: Valores de registro Para esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\ \REGISTRY\MACHINE\ HKEY_CURRENT_USER\ \REGISTRY\CURRENT_USER\ HKEY_CLASSES_ROOT\ \REGISTRY\MACHINE\SOFTWARE\CLASSES\ HKEY_CURRENT_CONFIG\ REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\ HKEY_USERS\ \REGISTRY\USER\ Nombre del valor de registro enlazado con el nombre completo de su clave. Tenga en cuenta lo siguiente: Para los valores de esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\Test \REGISTRY\MACHINE\Test\* HKEY_CURRENT_USER\Test \REGISTRY\CURRENT_USER\Test\* HKEY_CLASSES_ROOT\Test \REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\* HKEY_CURRENT_CONFIG\Test REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\Test\* HKEY_USERS\Test \REGISTRY\USER\Test\* datos antiguos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse. incluido el nombre de la ruta.0 para ePolicy Orchestrator 4.

Si desea limitar la regla a procesos específicos. Notas Guía del producto McAfee Host Intrusion Prevention 8. Si la regla cubre varios valores. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. escríbalos aquí. indíquelos aquí. cada una de estas reglas necesitará usar la misma ID.0 para ePolicy Orchestrator 4. en el formato Local/user o Domain/user. agréguelos en esta sección en líneas diferentes. Si la firma personalizada tenía múltiples reglas. Consulte Secciones comunes para obtener más información. Servicios de la clase Windows La siguiente tabla enumera las secciones y valores posibles para los servicios de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. • level 4: asigna el nivel de seguridad "alto" a esta regla. el contexto de seguridad en el que se ejecuta un proceso). • values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }: indica que la regla supervisa el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.0 131 .Apéndice A -. Si desea limitar la regla a contextos de usuarios específicos. • Id 4001: asigna la ID 4001 a esta regla. cada una de estas reglas necesitará usar el mismo nivel. • application { Include “*”}: indica que esta regla es válida para todos los procesos. La siguiente regla impediría que cualquier usuario y cualquier proceso pudiera eliminar el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”. para ser más precisos. Rule { tag "Sample8" Class Registry Id 4001 level 4 values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } application { Include “*”} user_name { Include “*” } directives registry:delete } Las distintas secciones de esta regla tienen el siguiente significado: • Class Registry: indica que esta regla está relacionada con una solicitud enviada a IIS. • directives registry:delete: indica que esta regla incluye la eliminación de la clave o el valor de registro. Si la firma personalizada tenía múltiples reglas.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación tipos de datos nuevos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro contendría tras un cambio o que contendría si se produjera el cambio. junto con el nombre de la ruta de acceso.

Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Servicios. services:startup Modifica el modo de inicio de un servicio. el nombre que se muestra en el administrador de servicios. services:profile_enable Activa un perfil de hardware. que se encuentra en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\. services:create Crea un servicio. La sección display_names debe incluir el nombre mostrado del servicio. El nombre de constituye el sujeto de la un servicio se encuentra en el registro. Consulte la nota 1. services:start Inicia un servicio. Valores posibles Guía del producto McAfee Host Intrusion Prevention 8. services:logon Modifica la información de inicio de sesión de un servicio.0 para ePolicy Orchestrator 4. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. servicios Nombre de sistema del servicio Windows en HKLM\CurrentControlSet\Services\. que se encuentra en el valor de registro HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service>\ .0 . directivas services:delete Borra un servicio. en operación que crea la instancia. Este puede ser diferente al nombre mostrado en el administrador de servicios. Este nombre aparece en el administrador de servicios. services:profile_disable Desactiva un perfil de hardware. services:pause Pausa un servicio. HKLM\SYSTEM\CurrentControlSet\Services\. services:continue Continúa un servicio después de una pausa. Consulte la nota 1. services:stop Detiene un servicio.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas nivel hora user_name Ejecutable servicios Nombre del servicio que Uno de los parámetros requeridos. display_names Muestra el nombre del servicio Uno de los parámetros requeridos. Nota 1 La sección service debe incluir el nombre del servicio de la clave de registro conrrespondiente.Apéndice A -. 132 Nombre de GUI Explicación display names Nombre del servicio de Windows que se muestra en el administrador de servicios.

Disabled modo de inicio de un servicio: indica el modo de inicio que el servicio tenía antes de cambiarlo. o el que tendría si se produjera el cambio. Guía del producto McAfee Host Intrusion Prevention 8. Si desea limitar la regla a contextos de usuarios específicos. Si la firma personalizada tenía múltiples reglas. el contexto de seguridad en el que se ejecuta un proceso). Manual. junto con el nombre de la ruta de acceso. La siguiente regla prevendría la desactivación del servicio de alerta. • application { Include “*”}: indica que esta regla es válida para todos los procesos.Apéndice A -. Disabled cambiar el modo de inicio de un servicio: indica el modo de inicio antes de que se cambiara o intentara cambiarse. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. new startup Solo se aplica para cambiar el Boot. Manual. System. para ser más precisos. Si desea limitar la regla a procesos específicos. cada una de estas reglas necesitará usar el mismo nivel.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación Valores posibles params Solo es aplicable al iniciar un servicio: parámetros que se pasan a un servicio cuando se activa. Si la firma personalizada tenía múltiples reglas. Si la regla cubre varios servicios. Automatic. • level 4: asigna el nivel de seguridad "alto" a esta regla.0 133 . Consulte Secciones comunes para obtener más información. System. escríbalos aquí. en el formato Local/user o Domain/user. logon Solo se aplica para los cambios del modo de inicio de sesión de un servicio: la información de inicio de sesión (sistema o cuenta de usuario) usada por el servicio. indíquelos aquí. Automatic.0 para ePolicy Orchestrator 4. cada una de estas reglas necesitará usar la misma ID. agréguelos en esta sección en líneas diferentes. Rule { tag "Sample9" Class Services Id 4001 level 4 Service { Include “Alerter” } application { Include “*”} user_name { Include “*” } directives service:stop } Las distintas secciones de esta regla tienen el siguiente significado: • Class Services: indica que esta regla está relacionada con la clase de operaciones en archivos. • Service { Include “Alerter” }: indica que la regla cubre el servicio denominado “Alerter”. • Id 4001: asigna la ID 4001 a esta regla. old startup Solo se aplica para crear o Boot.

o del usuario de confianza. Notas nivel hora user_name Ejecutable 134 authentication_mode Valor booleano que especifica si se ha usado una autenticación Windows (1) o una autenticación SQL (0). sp_param_one.. si se ha Ejemplo: sa usado la autenticación SQL. sp_param_orign_len-one. sp_name Nombre de procedimiento almacenado. Internet Information Services la solicitud al sistema cliente.. Un procedimiento almacenado se identifica por medio de una lista suministrada de nombres de procedimiento que se incluye en cada versión de agente de SQL (actualmente SPList. Contiene la longitud del parámetro en número de caracteres.0 para ePolicy Orchestrator 4. sql_original_query Contiene la consulta SQL completa. sp_param_char_len_one. Guía del producto McAfee Host Intrusion Prevention 8.. Debería coincidir con un nombre de procedimiento almacenado.0 . Contiene el valor del parámetro. los espacios en blanco y todo lo que aparezca en los comentarios.. exactamente como se recibió (incluidas las cadenas y los espacios en blanco)..Apéndice A -. Contiene la longitud del parámetro en número de bytes. SQL de clase Windows La siguiente tabla enumera las secciones y los valores posibles para los SQL de la clase Windows: Sección Valores Clase MSSQL ID Consulte Secciones comunes. client_agent Nombre de la utilidad que envía Ejemplo: OSQL-32.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • directives service:stop: indica que esta regla cubre la desactivación de un servicio. sql_query Es la cadena de la consulta SQL con los valores de la cadena.txt. si se ha usado la autenticación de Windows. db_user_name Nombre del usuario.. en el directorio Agent). sql_line_comment El valor se configura como 1 si la consulta incluye un comentario "-" de una sola línea con una sola cita.

32 y 64 bits (7) Clase Desbordamiento del búfer Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) XP 2K3 bo: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 stack x x x x x x x x x x heap x x x x x x x x x x writeable_memory x x x x x x x x x x invalid_call x x x x x x x x x x target_bytes x x x x x x x x x x call_not_found x x x x x x x x x x call_return_unreadable x x x x x x x x x x call_different_target x x x x x x x x x x call_return_to_api x x x x x x x x x x V 2K8 7 Archivos de clase Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x escribir x x x x x x x x x x x x x x x ejecutar x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8. transporte En MSSQL 2005/2008.0 para ePolicy Orchestrator 4. R2 SP2. 32 y 64 bits (XP) • Windows 2003. Siempre se configura como 0 para los no usuarios de SQL. (32 y 64 bits [2K8]) • Windows 7. directivas sql:request. Para las solicitudes de SQL entrantes Clases y directivas de la plataforma Windows Una lista de las clases y directivas efectivas para la plataforma Windows: • Windows XP. 32 y 64 bits (V) • Windows 2008 R2.Apéndice A -. es un texto no configurable de: memoria compartida (LPC). SP2.0 135 . R2. 32 y 64 bits (2K3) • Windows Vista. SP3.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas sql_user_password Se configura como 1 si la contraseña es NULL y 0 si es distinta.

0 7 .0 para ePolicy Orchestrator 4.Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 borrar x x x x x x x x x x x x x x x cambiar nombre x x x x x x x x x x x x x x x atributo x x x x x x x x x x x x x x x writeop x x x x x x x x x x x x x x x hardlink x x x x x x x x x x x x x x x Clase Enlace Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) enlace: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 set_windows_hook x x x x x x x x x x x x x x x Clase Uso ilegal de API Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal_api_use: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 bad_parameter x x x x x x x x x x x x x x x invalid_call x x x x x x x x x x x x x x x Clase Uso ilegal Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 api x x x x x x x x x x x x x x x Clase ISAPI Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) isapi: 136 XP 2K3 V 2K8 Procesos de 32 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 request x x x x x x requrl x x x x x x reqquery x x x x x x rawdata x x x x x x responder x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.

Apéndice A -.0 137 .0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Programa Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) programa: XP 2K3 V 2K8 7 XP ejecutar x x x x x open_with_any x x x x open_with_create_thread x x x open_with_modify x x open_with_terminate x x open_with_wait x x 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Clase Registro Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) registro: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x borrar x x x x x x x x x x x x x x x modificar x x x x x x x x x x x x x x x permisos x enumerar x x x x x x x x x x x supervisar x x x restaurar x x x sustituir x x x x x x x x x x x x x x x x x x x x x x x x cargar open_existing_key x x x cambiar nombre x x x x x x x x x x x x x x x Clase Servicios Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) servicios: XP 2K3 iniciar x x detener x x interrumpir x x continuar x x inicio x profile_enable x Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.

UNIX_map Para el mapeado de archivos o dispositivos en la memoria. Solo Solaris. Solo Solaris. Para Solaris y Linux están disponibles las siguientes clases: Clase Cuándo usarla UNIX_file Para el archivo o directorio de uso en Solaris y Linux. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles. UNIX_apache Para solicitudes http en Solaris y Linux. Solaris/Linux clase UNIX_file La siguiente tabla enumera las secciones y los valores posibles para la clase de UNIX_file basada en UNIX: Sección Valores Clase UNIX_file ID Consulte Secciones comunes. La clase de firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) servicios: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 profile_disable x x x x x x x x x x x x x x x logon x x x x x x x x x x x x x x x crear x x x x x x x x x x x x x x x borrar x x x x Clase SQL Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) sql: XP 2K3 V 2K8 7 XP request x x x x x 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 x x x x 7 Firmas personalizadas no Windows Esta sección describe cómo escribir firmas personalizadas en las plataformas Solaris y Linux. Notas nivel 138 Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -. Solo Solaris. mientras que las reglas en la clase UNIX_Files no Windows utilizan una sola barra.0 . UNIX_GUID Para permitir que los usuarios ejecuten un ejecutable con los permisos del propietario o grupo del ejecutable. UNIX_bo Para el desbordamiento del búfer.0 para ePolicy Orchestrator 4. UNIX_Misc Para salvaguardar la protección de acceso en Solaris y Linux.

unixfile:write Abre un archivo en modo lectura y escritura. unixfile:link Crea un enlace no modificable.Apéndice A -. unixfile:symlink Crea un enlace simbólico. “Archivo” y “Sistema”. Archivos para buscar.0 para ePolicy Orchestrator 4.0 139 . Muestra o establece los parámetros de programación. unixfile:mkdir Crea un directorio. Consulte la nota 1. Opcional. Consulte la nota 3. Consulte la nota 2. Consulte la nota 5. archivo Lista de permisos de los nombres Solo Solaris. Consulte la nota 2. unixfile:access Cambia los atributos del archivo. unixfile:unlink Elimina un archivo de un directorio o elimina un directorio. unixfile:read Abre un archivo en modo de solo lectura. Opcional. zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Consulte la nota 4. Los atributos supervisados son “Solo lectura”. unixfile:foolaccess Solo Solaris. directivas unixfile:chdir Cambia el directorio de trabajo. unixfile:setattr Solo Linux. Cambia los permisos y la propiedad del directorio o el archivo. unixfile:chown Cambia la propiedad de un directorio o archivo. Consulte la nota 1. unixfile:rmdir Elimina un directorio. unixfile:create Crea un archivo. “Oculto”. unixfile:chmod Cambia los permisos de un directorio o archivo.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos. unixfile:rename Cambia el nombre de un archivo. de archivos de origen nuevo Modo de permiso del archivo recién creado o permiso modificado Solo Solaris. hora user_name Ejecutable Nota 1 Directivas apropiadas por sección: Guía del producto McAfee Host Intrusion Prevention 8. origen Nombres de archivos de destino Uno de los parámetros requeridos. El nombre de archivo tiene 512 '/' consecutivas. unixfile:mknod Crea un nodo. unixfile:priocntl Solo Solaris.

140 Guía del producto McAfee Host Intrusion Prevention 8. Nota 4 La directiva unixfile:rename tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos.Apéndice A -. todas las zonas están protegidas por la firma. Nota 5 De manera predeterminada.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directiva Archivo chdir X chmod X chown X crear X vínculo X mkdir X leer X cambiar nombre X rmdir X setattr X symlink X unlink X escribir X Origen Permiso del archivo Nuevo permiso X X X X X X X X Nota 2 El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista de control de acceso (acl). Nota 3 La directiva unixfile:link tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos. agregue una sección de zona en la firma e incluya el nombre de la zona. Para reducir la protección a una zona concreta.0 . significa que no se puede cambiar el nombre del archivo al archivo de la sección origen. significa que se supervisa la creación de un enlace en el archivo en la sección archivos. la regla: Rule { .. • Cuando se combina con la sección origen. significa que no se puede crear ningún enlace con el nombre especificado en la sección origen. significa que se supervisa el cambio de nombre del archivo en la sección archivos. Por ejemplo.. Solo pueden tener los valores “SUID” o “SGID”. • Cuando se combina con la sección origen.0 para ePolicy Orchestrator 4. si tiene una zona llamada "app_zone" cuya raíz es /zones/app.

nuevo permiso Solo se puede aplicar cuando se crea un nuevo archivo o se realiza una operación chmod: permisos del nuevo archivo. Consulte las notas 1-4. Nombre de GUI Explicación archivos Nombres del archivo al que se ha accedido o se ha intentando acceder. Tenga en cuenta que. en esta versión. Solo Solaris. Solaris/Linux class UNIX_apache (HTTP) La siguiente tabla enumera las secciones y valores posibles para la clase de apache basada en UNIX: Sección Valores Clase UNIX_apache ID Consulte Secciones comunes.0 para ePolicy Orchestrator 4.. consulta Opcional. los demás métodos de http permitidos Guía del producto McAfee Host Intrusion Prevention 8. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase UNIX_Files. Notas nivel hora user_name Ejecutable url Opcional. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows file { Include "/tmp/test. Consulte la nota 4.Apéndice A -. “POST”. o cuando la operación es el cambio de nombre de un archivo: nuevo nombre del archivo.log" } zone { Include "app_zone" } .. permiso del archivo Permisos de archivo. Solo Solaris. la protección del servidor web no se puede reducir a una zona concreta. origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: nombre del nuevo enlace. Se compara con la parte de consulta de una solicitud entrante. “INDEX” y todos Opcional. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma.0 141 . permiso del origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: permisos de archivo de destino (el archivo que señala el enlace). método “GET”. Consulte las notas 1-4. Se compara con la parte url de una solicitud entrante.

apache:reqquery Para solicitudes de consultas.myserver.Apéndice A -.myserver. Nota 2 Antes de efectuar la correspondencia. se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”.número_de_caracteres” al valor de estas secciones.com/ {url}?{query}.0 para ePolicy Orchestrator 4. la siguiente regla coincide si la parte url de la solicitud contiene "abc" y tiene más de 500 caracteres: Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*.exe?subject=wildlife&environment=ocean Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request } Esta regla se activa porque {url}=/search/abc. Consulte la nota 5. apache:rawdata Para solicitudes de datos sin procesar. la siguiente regla se activa si IIS recibe la solicitud http: http:// www. Por ejemplo.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. podemos decir que la sección "url" se compara con {url} y que la sección "consulta" se compara con {query}.500” } 142 Guía del producto McAfee Host Intrusion Prevention 8. Agregando “. que coincide con el valor de la sección "url" (es decir.exe. En este documento.0 . abc). Nota 1 Una solicitud entrante de http puede representarse como: http://www. la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. Utilizando esta convención de nombres. directivas apache:requrl Para solicitudes de URL. Por ejemplo.com/search/abc. nos referimos a {url} como la parte “url” de la solicitud http y a {query} como la parte de “consulta” de la solicitud http.

. Tenga en cuenta que. la protección del servidor web no se puede reducir a una zona concreta. la regla: Rule { . ID Consulte Secciones comunes.0 para ePolicy Orchestrator 4. una de las siguientes secciones opcionales: url.log" } zone { Include "app_zone" } . Para reducir la protección a una zona concreta.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request} } Nota 4 Una regla debe incluir.. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. agregue una sección de zona en la firma e incluya el nombre de la zona. si tiene una zona llamada "app_zone" cuya raíz es /zones/app.Apéndice A -. Solaris/Linux clase UNIX_Misc La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris o Linux UNIX_misc: Sección Valores Notas Clase UNIX_misc Una clase miscelánea que salvaguarda la protección de acceso. al menos. Por ejemplo. método. todas las zonas están protegidas por la firma. Nota 5 De manera predeterminada. consulta. file { Include "/tmp/test. directivas unixmisc:killagent Evita que la señal SIGKILL se envíe al cliente.. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. en esta versión. Guía del producto McAfee Host Intrusion Prevention 8..0 143 .

la regla: Rule { .Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Solaris clase UNIX_bo La siguiente tabla enumera las secciones y valores posibles para class_bo (desbordamiento del búfer) de Solaris Sección Valores Clase UNIX_bo ID Consulte Secciones comunes. en esta versión.. directivas unixbo:binargs Argumentos binarios.0 para ePolicy Orchestrator 4. si tiene una zona llamada "app_zone" cuya raíz es /zones/app. unixbo:exec Ejecución del programa. file { Include "/tmp/test.Apéndice A -. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. unixbo:libc Se usa cuando la dirección de retorno de una función no está en el marco de pila adecuado. Por ejemplo. unixbo:environment Entorno del programa. Para reducir la protección a una zona concreta.. unixbo:illegal_address Dirección ilegal. como ejecutar un programa desde la pila. agregue una sección de zona en la firma e incluya el nombre de la zona.. Notas nivel hora user_name Ejecutable programa Nombre del programa Programa para buscar. todas las zonas están protegidas por la firma. Solaris clase UNIX_map La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_map: 144 Guía del producto McAfee Host Intrusion Prevention 8. la protección del servidor web no se puede reducir a una zona concreta.log" } zone { Include "app_zone" } .0 . unixbo:binenv Entorno binario. zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior.. Nota 1 De manera predeterminada. Tenga en cuenta que. Consulte la nota 1.

0 para ePolicy Orchestrator 4. ID Consulte Secciones comunes. guid:setreuid Establece una ID de usuario real y efectiva. directivas mmap:mprotect Establece la protección de acceso de las páginas de memoria.Apéndice A -. ID Consulte Secciones comunes.0 145 . mmap:mmap Asocia archivos o dispositivos en la memoria. Solaris clase UNIX_GUID La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_GUID: Sección Valores Notas Clase UNIX_GUID Use esta clase para establecer indicadores de derechos de acceso de Unix que permitan que los usuarios inicien un ejecutable con el permiso del grupo o del propietario del ejecutable. guid:seteuid Establece una ID de usuario efectiva.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas Clase UNIX_map Use esta clase para asociar archivos o dispositivos UNIX en la memoria. guid:setgid Establece la ID de grupo para permitir que el grupo inicie un ejecutable con el permiso del grupo del ejecutable. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. guid:setegid Establece una ID de grupo efectiva. Clases y directivas de la plataforma UNIX Una lista de las clases y directivas efectivas para la plataforma no Windows: Guía del producto McAfee Host Intrusion Prevention 8. guid:setregid Establece una ID de grupo real y efectiva. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. directivas guid:setuid Establece la ID de usuario para permitir que el usuario inicie un ejecutable con el permiso del propietario del ejecutable.

0 .Apéndice A -.0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Class UNIX_bo Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixbo:binargs X X unixbo:illegal_address X X unixbo:exec X X unixbo:enrironment X X unixbo:binenv X X unixbo:libc X X Class UNIX_file Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixfile:chdir X X X X unixfile:chmod X X X X unixfile:chown X X X X unixfile:create X X X X unixfile:link X X X X unixfile:mkdir X X X X unixfile:read X X X X unixfile:rename X X X X unixfile:rmhdir X X X X unixfile:setattr X X unixfile:symlink X X X X unixfile:unlink X X X X unixfile:write X X X X unixfile:mknod X X X X unixfile:access X X X X unixfile:foolaccess X X unixfile:priocntl X X Class UNIX_Misc Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixmisc:killagent X X X X Class UNIX_apache 146 Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:requrl X X X X apache:reqquery X X X X Guía del producto McAfee Host Intrusion Prevention 8.

Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:rawdata X X X X RedHat Linux SuSE Linux Class UNIX_map Directivas Solaris 9 Solaris 10 mmap:mprotect X X mmap:mmap X X Class UNIX_GUID Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 guid:setuid X X guid:seteuid X X guid:setreuid X X guid:setgid X X guid:setegid X X guid:setregid X X Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -.0 147 .0 para ePolicy Orchestrator 4.

de forma dinámica.exe) ¿Cómo puedo evitar que el firewall bloquee el tráfico distinto de IP? A no ser que esté indicado específicamente en una regla de firewall. donde 0xXXX indica el número del protocolo IANA Ethernet (consulte htttp://www. Para evitar que se descarten los protocolos distintos de IP. seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall.com le ofrecen la información de soporte más actualizada sobre problemas y la solución de los mismos. Después puede comprobar el registro de actividades de Protocolos distintos de IP entrantes/salientes permitidos: 0xXXX. están bloqueados.Apéndice B: solución de problemas Los artículos de la base de datos de conocimientos del sitio Soporte de McAfee http://mcafee. 148 Guía del producto McAfee Host Intrusion Prevention 8. Contenido Problemas generales Registros de Host IPS Utilidad Clientcontrol. el modo de adaptación y el modo de aprendizaje.org/assignments/ethernet-numbers). Además.0 .exe) • Servicio McAfee Validation Trust Protection (mfevtps. el firewall no reconoce algunos tipos de tráfico distinto de IP y. Utilice esta información para determinar el tráfico distinto de IP necesario y cree una regla de firewall que lo permita.exe) • Servicio McAfee Firewall Core (mfefire. Consulte KB69184 para obtener la información más reciente.exe) Estos servicios tendrían que estar activos cuando se los llame: • Icono de la bandeja del sistema del servicio McAfee Host Intrusion Prevention (FireTray.exe) • Consola del cliente de McAfee Host Intrusion Prevention (McAfeeFire.iana. no detectan y crean reglas de firewall para protocolos distintos de IP.0 para ePolicy Orchestrator 4. debido a ello.exe Problemas generales ¿Qué servicios de Host Intrusion Prevention se tendrían que instalar y ejecutar en el sistema del cliente para que el software funcione correctamente? Estos servicios siempre tendrían que estar activados para proporcionar protección de prevención de intrusiones con IPS o firewall o ambos: • Servicio McAfee Host Intrusion Prevention (FireSvc.

4 Si estos pasos no resuelven el problema.log) en el cliente o en la directiva IU del cliente en el servidor ePolicy Orchestrator y reproduzca el problema.Apéndice B: solución de problemas Problemas generales ¿Qué tengo que hacer si una aplicación falla o una función se ve afectada después de instalar o actualizar el contenido de Host Intrusion Prevention? Si el comportamiento de una aplicación ha cambiado después de instalar o actualizar el cliente de Host Intrusion Prevention o una actualización de contenido. 6 Identifique el motor IPS que causa el problema.exe) y. y vuélvalo a probar para verificar si el problema se produce.0 para ePolicy Orchestrator 4. 6 Si el problema no se produce con el NDIS desinstalado. esto indica que una actualización de seguridad de un parche está disponible. seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall del servidor ePolicy Orchestrator y aplique la directiva al cliente. IPS de red y Firewall). 2 Desactive el IPS y detenga el servicio del cliente de Host Intrusion Prevention (FireSvc.com. 5 Aísle el motor IPS que podría estar causando el problema. consulte el artículo 54960 de KnowledgeBase en http://knowledge. vuélvalo a probar para verificar si el problema se produce. consulte el artículo 68557 de KnowledgeBase en http://knowledge. 5 Si estos pasos no resuelven el problema. tiene que determinar si es la firma u otro elemento el que causa el problema.mcafee.log) y el registro de firewall (escrito en FireSvc. 3 Repita la prueba para la aplicación de funciones. Vuélvalo a probar con esta opción definida.0 149 .mcafee. 4 Incluya los ejecutables que excluyó en el paso 2. Nota: aunque el firewall esté desactivado.log: 1 Identifique los ejecutables asociados con la aplicación. 2 Busque INFRACCIÓN en HipShield.com. el tráfico también puede ser descartado si Host Intrusion Prevention está activo. Si se incluye un elemento CVE (Common Vulnerabilities and Exposures) en la descripción de la firma IPS. visualice la firma relacionada con el evento. Tenga en cuenta los resultados. Si el problema se produce por una firma IPS: 1 Permita el registro de IPS (escrito en HipShield. busque el evento y cree una excepción. 3 Si el problema no se produce. 4 Si los parámetros avanzados del evento son limitados. 3 Si una firma nueva está bloqueando actividad por culpa de un evento. Para obtener detalles. a continuación. consulte el artículo 51676 de KnowledgeBase en http://knowledge. Asegúrese de hacer la excepción tan diferenciada como sea posible utilizando los parámetros avanzados del evento. Si el problema no está relacionado con una firma IPS: 1 Desactive todos los módulos de Host Intrusion Prevention (IPS. Si el problema se produce solo con el módulo IPS activado y no se produjeron infracciones <Evento> en HipShield. desactive el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce.com y compruébelo con el controlador de Microsoft Pass Thru desinstalado.log: cualquier detalle de infracción de <Evento>. vaya a la ficha Evento de Host IPS en Informes en el servidor ePolicy Orchestrator. Guía del producto McAfee Host Intrusion Prevention 8. 2 Excluya los ejecutables de protección de la lista de protección de aplicaciones de Host IPS. Aplique el parche y desactive la firma. Para obtener detalles. desinstale el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce.mcafee.

Host IPS puede asociarse potencialmente al problema. Prueba de todos los motores IPS 150 1 Haga clic en Ayuda y seleccione Solución de problemas. 2 Vuélvalo a probar para verificar si el problema desaparece. 3 Borrar la lista de Hosts bloqueados: haga clic en la ficha Hosts bloqueados y borre la lista seleccionando cada entrada y haciendo clic en Quitar. 4 Seleccione Activar Host IPS y verifique si el problema reaparece. 3 Seleccione Violaciones de seguridad de registro. 3 Guarde una copia del registro de actividades y póngale el nombre Registro de actividad de Host IPS wProb. • Si el problema se repite: 1 Anule la selección de Activar Host IPS. Si se ha solucionado el problema. Si encuentra la causa del problema pero no puede resolverlo. Desactivar todos los componentes y comprobar si hay fallos: 1 Desactivar IPS: haga clic en la ficha Directiva IPS y anule la selección de Activar Host IPS y Activar IPS de red. 6 Realice las comprobaciones siguientes: • Detenga el servicio McAfee Host IPS y vuélvalo a probar. Prueba de IPS de red. 4 Activar el registro de actividad: haga clic en la ficha Registro de actividad y verifique que todas las casillas de los registros de tráfico y de las opciones de filtro están seleccionadas. • Si el problema se ha resuelto. informe del problema como un problema asociado con los archivos instalados y no con un componente específico. informe del problema como un problema asociado directamente con el servicio. pase al paso 1 de la fase de pruebas iterativas. 2 Seleccione informe de Error en registro de IPS. para informar al soporte. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar Host IPS. Los pasos siguientes tendrían que realizarse en el sistema del cliente local con la consola de Host IPS. 5 Pruebe el sistema para ver si el problema se repite: • Si el problema persiste. reenvíe los registros que obtenga al Soporte de McAfee.0 para ePolicy Orchestrator 4. 3 Pruebe el sistema para determinar si el problema se repite: • Si el problema no se repite. Fase de pruebas iterativas de cada componente: Prueba de Host IPS 1 Haga clic en la ficha Registro de actividad y borre el registro.0 . Si el problema desaparece. Guía del producto McAfee Host Intrusion Prevention 8. • Desinstale el Host IPS del cliente del sistema local y vuélvalo a probar. pase al paso 6.Apéndice B: solución de problemas Problemas generales ¿Cómo aíslo un componente en Host IPS para descubrir cuál causa el problema? NOTA: este proceso incluye pasos que pueden requerir reincializaciones y accesos repetidos o problemas que se recrean. 4 Haga clic en Funcionalidad. pase al paso 5. 2 Desactivar Firewall: haga clic en la ficha Directiva Firewall y anule la selección de Activar Firewall. Si el problema desaparece.

Prueba de cada motor IPS 1 Haga clic en Ayuda y seleccione Solución de problemas. Prueba de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro.0 151 . Revise hipshield. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. Guía del producto McAfee Host Intrusion Prevention 8. 6 Guarde una copia del registro hipshield por cada prueba y etiquétela con el nombre del motor al que se ha realizado la prueba. 4 Haga clic en Funcionalidad. Si lo está. para informar al soporte. Prueba del modo de adaptación de IPS 1 Haga clic en la ficha Registro de actividad y borre el registro. anule la selección de Activar/Desactivar todos los motores y haga clic en Aceptar. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar modo de adaptación. Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de adaptación de Host IPS wProb. podría estar asociado con un motor concreto. 3 Seleccione Violaciones de seguridad de registro. • Si el problema no se repite. Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red wProb. IPS de red puede asociarse potencialmente al problema. para informar al soporte. • Si el problema no se repite. 3 Pruebe el sistema para determinar si el problema se repite. 4 Siga uno de estos procedimientos: • Si el problema se repite. • Si el problema no se repite. Host IPS en modo de adaptación puede asociarse potencialmente al problema. 4 Siga uno de estos procedimientos: • Si el problema se repite. anule la selección de Activar modo de adaptación y vuélvalo a probar para ver si el problema está solucionado. anule la selección de Activar Host IPS y pase al siguiente paso. 7 Siga uno de estos procedimientos: • Si el problema se repite. Pase al siguiente paso. para informar al soporte.Apéndice B: solución de problemas Problemas generales 5 En el cuadro de diálogo de motores de HIPS. 5 Seleccione los motores. 7 Cuando se hayan completado las pruebas. anule la selección de Activar IPS de red y vuélvalo a probar para ver si el problema está solucionado. y vuélvalo a probar. seleccione Activar IPS de red y pase al siguiente paso. 2 Seleccione informe de Error en registro de IPS.0 para ePolicy Orchestrator 4. Prueba del bloqueo automático de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro. Si lo está. Prueba de cada motor IPS. 3 Pruebe el sistema para determinar si el problema se repite. active todos los motores para pasar al siguiente paso. uno cada vez.log para ver si el componente IPS es el problema. tenga en cuenta si el problema está asociado con el componente IPS pero no con los motores concretos. 6 Pruebe el sistema para determinar si el problema se repite.

6 Pruebe el sistema para determinar si el problema se repite.0 . el modo de aprendizaje saliente de Firewall puede asociarse potencialmente al problema. Anule la selección de Entrante. b Vuélvalo a probar para verificar si el problema está solucionado. para informar al soporte. 2 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Entrante. Guía del producto McAfee Host Intrusion Prevention 8. Si lo está.0 para ePolicy Orchestrator 4. tenga en cuenta cualquier entrada de atacante bloqueado y revise para ver si hay falsos positivos. para informar al soporte. 3 Pruebe el sistema para determinar si el problema se repite. d Haga clic en la ficha Registro de actividad y borre el registro. 3 Haga clic en la casilla Bloquear automáticamente los atacantes. 2 Haga clic en la ficha Directiva Firewall y seleccione Activar Firewall. 3 Pruebe el sistema para determinar si el problema se repite. IPS de red en modo atacantes bloqueados puede asociarse potencialmente al problema. d Haga clic en la ficha Registro de actividad y borre el registro. Si el problema no se repite. b Vuélvalo a probar para verificar si el problema está solucionado. Si se repite: a Anule la selección de Entrante. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red de adaptación wProb. Prueba del modo de aprendizaje de Firewall 152 1 Haga clic en la ficha Registro de actividad y borre el registro. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb.Apéndice B: solución de problemas Problemas generales 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. b Vuélvalo a probar para verificar si el problema está solucionado. 4 Haga clic en la ficha Registro de actividad y borre el registro. Si se repite: 5 a Anule la selección de Bloquear automáticamente los atacantes y vuélvalo a probar para ver si el problema está solucionado. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb. para informar al soporte. b Haga clic en la ficha Hosts bloqueados. 5 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Saliente. seleccione Activar firewall y pase al siguiente paso. el modo de aprendizaje entrante de Firewall puede asociarse potencialmente al problema. Si lo está. Anule la selección de Saliente. Si se repite: a Anule la selección de Saliente. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall LearnOUT wProb. Host IPS Firewall puede asociarse potencialmente al problema. Si el problema no se repite. Si lo está. anule la selección de Activar IPS de red y pase al siguiente paso. 4 Pruebe el sistema para determinar si el problema se repite. Si se repite: 4 a Anule la selección de Activar firewall. Prueba de la directiva Firewall 1 Haga clic en la ficha Registro de actividad y borre el registro. Si lo está.

b Vuélvalo a probar para verificar si el problema está solucionado. 6 Pruebe el sistema para determinar si el problema se repite. Haga clic en la ficha Directiva de Firewall. tienen preferencia sobre las reglas creadas de forma local. b Desplácese hasta el objeto Catálogo de directivas en el árbol del sistema de ePO. Si la regla se ha creado en una directiva en la consola ePO. b Vuélvalo a probar para verificar si el problema está solucionado. 4 Defina la Dirección en Ambos. e Exporte la configuración de la Directiva de Host IPS: a Inicie sesión en la consola de ePO. Si se han configurado otras directivas desde la consola. probablemente no esté asociado con Hosts bloqueados. 9 Pruebe el sistema para determinar si el problema se repite.0 153 . Prueba con la regla Permitir todo el tráfico de Firewall NOTA: es posible que este paso se tenga que configurar desde la consola de gestión de ePO. anule la selección de la casilla Activar Firewall y pase al siguiente paso. Guía del producto McAfee Host Intrusion Prevention 8. c Guarde una copia del registro de actividad y póngale el nombre Registro de actividad deFirewall LearnINOUT wProb. probablemente hay un error de configuración con las reglas. 5 Guarde la regla. 3 Defina el Protocolo como TCP IP. d Guarde una copia del Registro de Actividad y póngale el nombre Registro de actividad de Firewall Prueba Permitir todo el tráfico. Si se repite: a Anule la selección de Entrante y Saliente.0 para ePolicy Orchestrator 4. 1 Cree una regla nueva y póngale el nombre Permitir todo el tráfico. Si se repite: 7 a Desactive la regla Permitir todo el tráfico. 2 Haga clic en la ficha Hosts bloqueados y elimine todos los hosts bloqueados de la lista. 3 Pruebe el sistema para determinar si el problema se repite.Apéndice B: solución de problemas Problemas generales 7 Desplácese hasta la ficha Directiva de Firewall. el modo de aprendizaje entrante y saliente de Firewall puede asociarse potencialmente al problema. mueva la regla Permitir todo el tráfico para que sea la primera regla en la lista de directivas. Si se ha creado la regla de forma local. ya que es obligatorio que la primera regla de la lista de reglas de firewall sea una regla Permitir todo el tráfico. d Haga clic en Exportar todas las directivas. Si lo está. para informar al soporte. 8 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y tanto Entrante como Saliente. asegúrese de que ninguna regla la precede. Prueba de la directiva Hosts bloqueados 1 Haga clic en la ficha Registro de actividad y borre el registro. c Busque Host IPS y amplíelo. Si lo está. c Haga una captura de pantalla de la lista del firewall en la ficha Directiva de Firewall. 2 Defina la Acción en Permitir. Si se repite.

Windows 2008. • Desactivado: no registra ningún mensaje. explique el problema y adjunte los datos obtenidos durante este proceso. 2 Haga clic en la ficha Solución de problemas. • Error: registra los mensajes de error. advertencia y error. según el sistema operativo: • Windows XP. Registros de Host IPS ¿Dónde se encuentran los archivos de registro? Todos los archivos de registro están en uno de estos directorios en el sistema del cliente. Se activa un valor del decimal 1 en el registro depuración detallada. Para permitir el registro del cliente: 1 Desde el icono de la bandeja. advertencia y error.Apéndice B: solución de problemas Registros de Host IPS Si no ha encontrado la causa del problema. 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes. Windows 2003: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention • Windows Vista.0 . 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes. Desbloquee la interfaz del usuario con un administrador o una contraseña basada en tiempos. 154 Guía del producto McAfee Host Intrusion Prevention 8. • Información: registra mensajes de información. El uso de una clave de registro local para permitir la depuración del registro sustituye cualquier conjunto de directivas que utilice ePolicy Orchestrator. Estas configuraciones de los registros permanecen vigentes hasta que se bloquee la consola del cliente y se produzca una aplicación de la directiva subsiguiente. Windows 7: C:\ProgramData\McAfee\Host Intrusion Prevention ¿Cómo se activa el registro? Puede establecer el registro de Host IPS con la consola del cliente de Host IPS o con la directiva IU de cliente de Host IPS de la consola de ePolicy Orchestrator. abra la consola de Host IPS. • Advertencia: registra los mensajes de advertencia y de error.0 para ePolicy Orchestrator 4. • Información: registra mensajes de información. NOTA: el registro se puede establecer localmente al agregar el valor DWORD 'depuración_activada' en la clave de registro HKLM\Software\McAfee\HIP. • Error: registra los mensajes de error. 2 Seleccione Ayuda | Solución de problemas. • Advertencia: registra los mensajes de advertencia y de error. Los registros de Firewall e IPS se controlan de forma independiente. Para permitir el registro desde ePolicy Orchestrator: 1 En Host IPS: General. póngase en contacto con Soporte de McAfee. edite la directiva IU de cliente que se aplicará a un cliente.

El número xxx indica el PID (proceso ID) del proceso que se está interceptando. El hecho de no copiar estos archivos impide que el componente Host IPS se inicie. el sufijo se incrementa en uno.log.Start indica que la supervisión IIS está empezando. La clave log_rotate_count determina el nombre de archivos de registro de copias de seguridad que se tienen que mantener. reiniciar el servicio y ejecutar la reproducción. de depuración o un error. Áreas clave de interés: • Las líneas que empiezan por In install modules new describen la copia de archivos como parte del inicio del componente Host IPS. recomendamos encarecidamente que se cree el registro de valores debug_enabledy se establezca a 1. sea cual sea la configuración del estado de registro original en las propiedades de la firma. Cuando se ha superado el tamaño especificado de log_rotate_size_kb. cosa que depende de que los archivos mencionados anteriormente se hayan copiado correctamente. Si ya existe un archivo con este nombre. Este registro de valores registra todos los eventos de Host IPS y de IPS de red en HIPShield. ¿Qué se tiene que buscar en HipShield.0 para ePolicy Orchestrator 4.scn. • Una línea que empieza con New Process: Pid= indica que el componente Host IPS es capaz de supervisar el proceso de creación. donde xxx es un nombre como EnterceptMgmtServer. • Una línea que empieza con IIS . Cada entrada del registro HipShield muestra una marca de fecha/hora. • Una línea que empieza con Hooking xxx indica que el proceso de interceptación prosigue. y el DWORD entrylog_rotate_size_kb tiene el tamaño aproximado en KB de un archivo de registro de copia de seguridad. los antiguos se eliminan. La rotación de archivos de registro la controlan las entradas DWORD log_rotate_size_kb y log_rotate_count en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. NOTA: cuando se recopilen datos para incidentes remitidos al Soporte de McAfee.Apéndice B: solución de problemas Registros de Host IPS • Desactivado: no registra ningún mensaje. Los datos que contiene HipShield son ad-hoc y difieren entre las partes del componente Host IPS. • Una línea que empieza con Scrutinizer started successfully ACTIVATED status indica que el examinador se ha inicializado correctamente.1.scn informa sobre el resultado del proceso de análisis de archivos del analizador xxx. ¿Qué archivos de registro están asociados con el componente Host IPS? El archivo de registro primario para el componente Host IPS es HipShield. donde 0 significa que la rotación del registro está desactivada. seguida de una indicación sobre si estos datos son informativos. Asegúrese de parar el servicio. como se muestra más arriba. Cuando se alcanza el número especificado de archivos de copia de seguridad. • Una serie de líneas que empiezan con Processing Buffer xxx. eliminar los archivos de registro antiguos. Estas configuraciones de los registros se aplicarán a la siguiente implementación de la directiva.log. Los errores del proceso de análisis de archivos del analizador se indican aquí. se cierra el archivo y se le cambia el nombre con el sufijo . Guía del producto McAfee Host Intrusion Prevention 8. • Una línea que empieza con Scrutinizer initialized successfully indica que la descarga del componente IPS ha sido correcta durante la inicialización del examinador. Los registros de Firewall e IPS se controlan de forma independiente. Este archivo de registro crece hasta los 128 MB y rota con una copia de seguridad. Esto reduce el tamaño de los archivos de registro.log? Una ejecución del componente Host IPS empieza con una declaración de banner que identifica la ejecución de la compilación y la marca de fecha/hora de la sesión.0 155 .

Para establecer el tamaño del registro: 1 Seleccione la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. 3 Haga clic con el botón derecho en MaxFwLogSize y seleccione Modificar.log Registro IU del cliente Registro del nivel de depuración • La ubicación coincide con la salida • Clasificación de salida de la conexión TrustedSource • Errores/advertencias Registro de complemento de • McAfee Agent • FireTray. 5 Haga clic en Aceptar y. Utilidad Clientcontrol. Este valor se introduce en KB.log y FireUI.exe • Las líneas del formato signature=111 level=2. seleccione Nuevo.log. haga clic con el botón derecho en un espacio en blanco en el panel derecho y.log/McTrayHip.log Contiene estos datos Registro del nivel de depuración Estadísticas de los intervalos de aplicación de las directivas • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias Estos archivos crecen hasta que alcanzan el tamaño máximo predeterminado de 100 MB. HipMgtPlugin.exe Esta utilidad de línea de comandos ayuda a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention 156 Guía del producto McAfee Host Intrusion Prevention 8. Si se desean archivos de registro más grandes o más pequeños.log. 4 Cambie el valor al tamaño deseado para los registros. Crear y asignar un valor a las claves de registro anteriores establece el tamaño máximo de todos estos archivos de registro.log. el tamaño se puede controlar agregando el siguiente valor de registro: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize. a continuación. Valor Dword. 2 Póngale nombre al valor nuevo MaxFwLogSize. NOTA: la clave de registro MaxFwLogSize controla el tamaño de FireSvc. NOTA: Shield.Apéndice B: solución de problemas Utilidad Clientcontrol.0 . Se incluyen el ID y el nivel de la firma junto con una indicación de si el registro está activado para esta firma.log Registro de bandeja FireUI.log Registro de servicio principal • HipMgtPlugin.dll haya procesado el contenido. ¿Qué archivos de registro están asociados con el componente firewall? Los archivos de registro primarios del componente Firewall contienen: Nombre Descripción FireSvc.db y except.db se crean en el mismo directorio que los registros solo cuando la depuración está activada. log=True indican que se ha cargado una firma individual.0 para ePolicy Orchestrator 4. FireTray. Estos archivos contienen un volcado de las reglas y las excepciones que se envían al kernel después de que el AgentNT. a continuación. cierre el editor del registro.

aplicar parches en Windows). La casilla de IPS en host en la ficha Directiva IPS queda en blanco automáticamente. modifique HKLM\Software\McAfee\HIP en el registro agregando la entrada FwLogLevel de tipo DWORD con un valor de 0x7. La utilidad graba sus actividades en ClientControl. Detención de los servicios de IPS en host El parámetro /detener detiene los servicios de IPS en host si el usuario tiene autoridad administrativa para detener los servicios. 4 Ejecute una llamada de activación del agente. 2 Seleccione la ficha Avanzadas.0 para ePolicy Orchestrator 4. se produce lo siguiente: • Los servicios de IPS en host están desactivados. • Cambiar la configuración de registro (requiere un administrador o una contraseña basada en tiempos). • Sustituir las opciones de configuración con la configuración de la directiva predeterminada. • Exportar las opciones de configuración a un archivo con formato de texto.exe en equipos cliente. Windows 2008. Función e instalación Esta utilidad permite que los administradores realicen lo siguiente en los clientes de IPS en host de McAfee: • Iniciar el servicio IPS en host.log. • Detener el servicio IPS en host (requiere un administrador o una contraseña basada en tiempos). 3 Anule la selección de Comprobación de integridad del producto. • Exportar las reglas de protección IPS de inicio del registro. Se puede incluir en los comandos de instalación y mantenimiento para desactivar de forma temporal la protección IPS y activar las funciones de registro.0 157 . • Exportar el registro de actividad a un archivo con formato de texto. o C:\ProgramData\McAfee\Host Intrusion Prevention en Windows Vista. Sintaxis de línea de comandos Convenciones: Guía del producto McAfee Host Intrusion Prevention 8. y Windows 7. • McAfee Agent aplica las directivas al siguiente intervalo de aplicación de directivas. Incluso si la detención de los servicios de IPS en host es correcta. Si el usuario tiene autoridad para detener los servicios en el equipo.log en: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention. la configuración de la directiva podría permitir que McAfee Agent los reiniciase al siguiente intervalo de comunicación agente-servidor (ASCI).Apéndice B: solución de problemas Utilidad Clientcontrol. • Mostrar los datos de licencia NaiLite que se encuentran en el registro del equipo cliente. • Los servicios de IPS en host no se han detenido. Para evitarlo: 1 En ePolicy Orchestrator. • Iniciar/detener los motores de IPS en host (requiere un administrador o una contraseña basada en tiempos). abra Host Intrusion Prevention: Directiva general. Se crea una entrada en ClientControl. • Si McAfee Agent aplica directivas mientras usted realiza una actividad que requiere que la protección esté desactivada (por ejemplo. Para permitir el registro. su actividad podría quedar bloqueada por las directivas aplicadas.

• /inicio Inicia el servicio. puede especificar más de una opción de registro cuando cambie la configuración de registro. Las opciones de registro se procesan en orden.Apéndice B: solución de problemas Utilidad Clientcontrol.log) • 1 = Firewall (crea un FireSvc. • [xxx.. Uso: clientcontrol [arg] Definiciones de los argumentos: • /ayuda Muestra la sintaxis de las líneas de comando y las notas. Argumentos principales: Solo uno de los siguientes argumentos principales tiene permiso por invocación: • /ayuda • /inicio • /detención • /registro • /motor • /exportación Sin embargo.0 . .log) Definiciones de las opciones de registro: • 0 = desactivado • 1 = error • 2 = advertencia • 3 = información • 4 = depuración • 5 = violación de la seguridad (solo IPS) • /motor <contraseña> [tipo de motor] [opciones de motor] Enciende y apaga los motores. Definiciones del tipo de registro: • 0 = HIPS (crea un HipShield.0 para ePolicy Orchestrator 4. • /registro <contraseña> [tipo de registro] [opciones de registro] Genera registros.. Definiciones del tipo de motor: • 0 = todos 158 Guía del producto McAfee Host Intrusion Prevention 8.] significa uno o más.exe • [ ] significa obligatorio. • /detención <contraseña> Detiene el servicio. Ejecutar la utilidad con el comando /ayuda proporciona la información de ayuda y las notas más actualizadas. • < > significa datos introducidos por el usuario.

• /readNaiLic Muestra los datos de licencia de NaiLite. La ruta del archivo de origen es opcional.Apéndice B: solución de problemas Utilidad Clientcontrol. No incluya "/s" si no hay un archivo de origen. Guía del producto McAfee Host Intrusion Prevention 8.exe • 1 = Desbordamiento del búfer • 2 = SQL (solo servidor) • 3 = Registro • 4 = Servicios • 5 = Archivos • 6 = HTTP (solo servidor) • 7 = API de IPS en host • 8 = Uso no autorizado • 9 = Programa • 10= Enlazado Definiciones de las opciones de motor: • 0 = desactivado • 1 = activado • /exportación /s <ruta del archivo de origen de exportación> <ruta del archivo de exportación del registro de eventos> Exporta el registro de eventos a un archivo con formato de texto. Definiciones del tipo de configuración: • 0 = todos • 1 = protección de la aplicaciones • 2 = hosts bloqueados • 3 = firewall • 4 = firmas personalizadas de IPS en host • 5 = excepciones IPS • 6 = configuración • 7 = aplicaciones de confianza • 8 = redes de confianza • 9 = firmas de IPS de red • 10 = firmas de IPS en host • 11 = motores de IPS en host • 12 = sesiones de inicio de sesión • 13 = reglas de bloqueo DNS • /defConfig <contraseña> Sustituye las opciones de configuración con directivas de cliente predeterminadas para la configuración de la protección de aplicaciones.0 159 . • /exportConfig <ruta del archivo de exportación> <tipo de configuración> Exporta las opciones de configuración a un archivo con formato de texto. firewall y las aplicaciones de confianza.0 para ePolicy Orchestrator 4.

Exportar el registro de actividad de IPS en host a un archivo de texto 1 Abra un shell de comandos. 4 Revise HipShield.exe • /bootTimeRules <contraseña> <ruta del archivo de exportación> Exporta las reglas IPS de inicio a un archivo con formato de texto.. Activar el registro como parte de un ejercicio de resolución de problemas 1 Abra un shell de comandos.log para obtener información relevante.exe /registro <contraseña> [tipo de registro] [opción de registro..exe /<contraseña> [tipo de motor] [opción de motor] 3 Realice la actividad para generar reacciones y entradas de registro. Guía del producto McAfee Host Intrusion Prevention 8.Apéndice B: solución de problemas Utilidad Clientcontrol.exe /detención <contraseña> 3 Realice su actividad de mantenimiento. 4 Ejecute clientcontrol. la contraseña y cualquier otro parámetro obligatorio.] 3 Realice la actividad para generar entradas de registro.log para obtener información relevante.exe /exportación <ruta del archivo de exportación> 3 Copie el archivo de registro exportado a otro equipo para la recopilación y el análisis. 2 Ejecute clientcontrol. NOTA: • Tiene que haber al menos un espacio entre el argumento.exe /inicio (para reiniciar los servicios de Host IPS). Flujos de trabajo de muestra Aplicar un parche a un equipo protegido por IPS en host de McAfee 1 Abra un shell de comandos.log o FireSvc. 2 Ejecute clientcontrol.log o FireSvc. Desactivar motores específicos de IPS en host como parte de un ejercicio de resolución de problemas 160 1 Abra un shell de comandos. 2 Ejecute clientcontrol. .0 . 4 Revise HipShield. 2 Ejecute clientcontrol.0 para ePolicy Orchestrator 4.

IPS en host alertas de intrusos 95 clientes Windows 95 definir opciones para clientes 93 firewall 96 modo aprendizaje y tráfico de red desconocido 69 responder 95. 103 lista de reglas de firewall 99 reglas de excepción para directivas de IPS 97. basada en evento 52 crear una lista en IPS en host 87 crear y editar. historial de instalación 109 cliente Solaris. 108. editar 98 directivas IPS. historial de instalación 106 solución de problemas 105. crear y editar 100 solución de problemas 93. 100 Ficha Directiva de IPS 97 Ficha Hosts bloqueados 101. en IPS en host 87 creación. IPS en host actividad del firewall 94 actividad IPS 94 cliente Linux. 98 reglas de firewall. 102 Ficha Protección de aplicaciones 102 Ficha Registro de actividad 102. 107 implementación de directivas 104 prevención de desbordamiento del búfer 104 solución de problemas 105 Cliente Windows alertas 95 descripción 90 directivas IPS. directiva de firewall 99 filtrado de firewall con seguimiento de estado 66 actualizar firmas. IPS en host 29 incorporación de paquetes de IPS en host 30 métodos de IPS en host 31 paquete de contenido de IPS en host 29 adaptadores de red condiciones para permitir la conexión 60 administradores globales asignación de conjuntos de permisos 25 ajuste de IPS en host análisis de eventos 17 directivas de aplicaciones de confianza 87 directivas predeterminadas y 19 gestionar directivas 10 manual y automático 20 modos adaptación y aprendizaje 22 perfiles de uso 10 Alertas de simulación detectada 97 alertas. en IPS en host 88 definido 10 directiva Reglas IPS 52 archivos de registro.0 161 .Índice A C acciones de permiso y bloqueo comunicaciones de red. creación 70.0 para ePolicy Orchestrator 4. 96. trabajar con 98 Ficha Directiva de firewall 99. 35 reglas de comportamiento de IPS y 35 Guía del producto McAfee Host Intrusion Prevention 8. 108 solución de problemas de IU de cliente 85 asignación de directivas activación de protección por firewall 70 cambiar 19 IPS en host 9 caracteres comodín reglas de firewall 79 reglas IPS 47 firmas personalizadas 115 Catálogo de directivas Aplicaciones de confianza 87 directivas de firewall personalizadas. 94. 97 simulación detectada 97 aplicaciones de confianza configuración. 95 clientes actualización con llamada de activación del agente o tarea 31 ajuste de IPS en host 21 B blindaje y envoltura 33. 110 comprobar archivos de instalación 109 consideraciones 108 descripción 107 detener y reiniciar 110 implementación de directivas 107 solución de problemas 108. 109 Cliente Solaris archivos de instalación 106 comprobación de que el cliente se ejecuta 106 descripción 104 detener y reiniciar 106. 109. 73 directivas de propiedad de IPS en host 8 gestión de directivas de IPS en host 18 IU de cliente 82 Redes de confianza 86 Catálogo de IPS en host agregar a 77 contenido 63 dependencias 63 edición 77 explicación 63 exportar a 77 exportar desde 77 filtrar 77 usar 77 Cliente Linux 107.

50 definir 40 Guía del producto McAfee Host Intrusion Prevention 8. gestión 78 directiva Reglas IPS caracteres comodín 47 acerca de 8 configuración 40. configurar 83 opciones 93 solución de problemas 85 directiva efectiva con directivas de instancias múltiples 42 directiva McAfee Default Aplicaciones de confianza 87 Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 directiva Opciones del firewall acerca de 8 configuración 72 uso de 70 Directiva Opciones del firewall TrustedSource 72 descripción 57 directiva Opciones IPS acerca de 8 configuración 38 directivas preconfiguradas 38 modo de adaptación 37 uso de 37 Directiva Opciones IPS descripción 32 directiva Protección IPS acerca de 8 configuración 40 niveles de gravedad.0 . creación 76 directiva Reglas del firewall configuración 74 reglas de cliente. configuración 39 reacciones.Índice clientes (continuación) análisis de datos en clientes IPS en host 21 consultas para grupos de 14 convenciones de nomenclatura para IPS en host 21 Linux (consulte Cliente Linux) 107 Solaris (consulte Cliente Solaris) 104 trabajar con. reducir 81 Directiva Aplicaciones de confianza descripción 81 Directiva de bloqueo de DNS del firewall acerca de 8 definir 73 descripción 57 Directiva de IU de cliente acerca de 8 configuración 82 162 Directiva de IU de cliente (continuación) contraseñas 83 control de icono de bandeja. configuración 40 uso de 39 Directiva Protección IPS descripción 32 directiva Redes de confianza acerca de 8 configuración 86 definir 86 falsos positivos. IPv4 contra IPv6 65 grupos con reconocimiento de ubicación 60 grupos de reglas 60 reglas de firewall y 99 supervisión de hosts bloqueados 101 directiva Aplicaciones de confianza acerca de 8 crear y editar 88 definir 87 falsos positivos. en IPS en host 21 Windows (consulte Cliente Windows) 90 conformidad configuración de paneles de IPS en host para ver 19 conjuntos de permisos asignar 26 gestión del despliegue de IPS en host 25 permisos de IPS en host 25 quién configura el sistema 19 consola de cliente Windows desbloquear la interfaz 92 descripción 90 Menú Icono de la bandeja de sistema 90 métodos de apertura 92 personalizar por cliente 93 consultas. reducir 81 prioridad y 86 Directiva Redes de confianza descripción 81 directiva Reglas de firewall caracteres comodín 79 acerca de 8 definir 73 descripción 57 grupos. configurar 83 definir 82 descripción 81 Ficha General. parámetros para 14 predefinidas y personalizadas 14 seguimiento de actividades 14 contraseñas desbloquear la consola de cliente Windows 92 para directiva IU de cliente 83 usar la herramienta de solución de problemas hipts 105 D desbordamiento del búfer configuración de la directiva Aplicaciones de confianza 87 prevención en el cliente Solaris 104 reglas de comportamiento de IPS y 35 despliegue despliegue del cliente de IPS en host inicial 21 Directivas de IPS en host y 10 perfiles de uso en IPS en host 10 tareas servidor para IPS en host 25 dirección IP configurar redes de confianza 86 Notificaciones y parámetros de IPS en host 28 Dirección IP firewall de seguimiento de estado.0 para ePolicy Orchestrator 4. IPS en host gestión de la información 13 informes 10 personalizado.

con excepciones de cliente 10 Bloqueo de DNS del firewall 73 Catálogo de directivas 18 cómo se aplican las directivas 9 configuración de las opciones IPS 38 definido 9 dónde encontrar 18 firewall (Consulte firewall. registros de actividad 102 gestionar 54 infracciones de firma 37 notificaciones 28 registro y ficha eventos de IPS 37 reglas de comportamiento 35 uso de 52 F falsos positivos ajuste de directivas de IPS en host 10 directiva Aplicaciones de confianza. responder a 95 analizar y ajustar 10 directiva Reglas IPS 40 excepciones 36 firewall. configuración 40 directivas de firewall. 50 reglas de protección de aplicaciones. 74 responder a alertas 97 revisión de características 8 valores predeterminados. IPS en host introducción a las funciones 81 página de directiva Aplicaciones de confianza 88 permisos para 25 directivas preconfiguradas Aplicaciones de confianza 87 IU de cliente 82 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 directivas.0 163 . permitir y bloquear 66 acerca de 8 alertas 96 cómo funcionan las reglas de firewall 58 consultas 14 descripción 57 filtrado con seguimiento de estado. 67 lista de reglas 74. trabajar con 43 gestión de excepciones 51 registrar eventos 37 reglas de excepción 51 reglas de protección de aplicaciones 36. creación 76 inspección de paquetes con seguimiento de estado 65. 47. creación 52 Eventos IPS (continuación) descripción 52 excepciones.0 para ePolicy Orchestrator 4. cómo funciona 67 rastreo de protocolo 68 firewall. ordenación 58 modos de adaptación y aprendizaje 69 opciones de registro 94 Opciones del firewall. IPS en host alertas de intrusos. configuración 40 firmas. 100 lista de reglas de firewall. IPS en host ajustar predeterminados 19 anulación. reconocimiento de ubicación 60 firewall. 88 Directivas generales. 70 reglas de firewall 10. 67 acciones. 72 perfiles de uso y ajuste 10 propietario asignado 9 protección preconfigurada 10 reglas de cliente. configuración 72 permisos para 25 personalizar opciones 100 rastreo de protocolo con seguimiento de estado 68 Reglas de bloqueo de DNS 77 reglas de cliente 14. IPS en host) 8 gestionar 18 herencia 10 instancias múltiples 41. permitir y bloquear 58 tabla de estados 65 firmas ajuste de directivas de IPS en host 10 Guía del producto McAfee Host Intrusion Prevention 8. protección básica 7 visualización de directivas 18 y sus categorías 9 E estructura de regla firmas personalizadas 111 Eventos IPS acerca de 37 aplicaciones de confianza. Host IPS introducción a las funciones 57 directivas de instancias múltiples directiva efectiva 42 Preguntas frecuentes 42 utilizar en el despliegue 42 asignar 41. Host IPS grupos de reglas. IPS en host inspección de paquetes con seguimiento de estado 65. crear excepciones 10 Reglas de firewall 73. configuración 74 reglas. cómo funciona 66 filtrado de paquetes con seguimiento de estado 65 grupos con reconocimiento de ubicación 76 grupos de reglas 60 grupos de reglas de firewall.Índice directiva Reglas IPS (continuación) descripción 32 eventos. 73. configuración 40 firmas. Host IPS migración 24 asignar 19 crear nuevas 19 directivas. 75 Reglas del firewall. 99. 88 introducción a las funciones 32 Opciones del firewall 70. creación 52 gestionar 54 uso de 52 eventos. reducir 87 directivas de reglas IPS y excepciones 51 ficha Hosts bloqueados. trabajar con 101 filtros cómo funciona el filtrado con seguimiento de estado del firewall 66 consulta de actividades de IPS en host 14 eventos y consultas de IPS en host 10 firewall con seguimiento de estado cómo funciona el filtrado con seguimiento de estado 66 inspección de paquetes. trabajar con 52 excepciones.

IPS en host asignar directivas a 9 cómo se aplican las directivas 9 criterios de configuración 10 eliminación de directivas y herencia para 18 firewall con reconocimiento de ubicación. Desbordamiento de búfer 118 Windows. IPS en host grupos de reglas de firewall. UNIX_misc 143 Uso ilegal de API. IPS en Host 18 seguimiento de directivas de IPS en host 10 grupos con reconocimiento de ubicación aislamiento de conexión 61 creación 76 grupos de reglas. Windows 123 variables de valor de sección 115 Windows. UNIX_apache (HTTP) 141 Linux. UNIX_file (archivos) 138 Solaris. acerca de 34 niveles de gravedad 43 niveles de gravedad para 39 personalizar 43 red 43 tipos de 43 uso de 43 utilización del asistente para crear 46 firmas de Host Intrusion Prevention 34 firmas de prevención de intrusiones en red 34 firmas personalizadas caracteres comodín 115 descripción general para Linux y Solaris 138 descripción general para Windows 117 directivas válidas en Linux 145 directivas válidas en Solaris 145 directivas válidas en Windows 135 estructura de regla 111 Linux 138 Linux. UNIX_GUID 145 Solaris.0 . creación 76 notificaciones y 28 y herencia 9 G M gestión de la información análisis de datos de clientes de IPS en host 21 consultas predefinidas y personalizadas para IPS en host 14 paneles y consultas para IPS en host 13 164 I icono de la bandeja del sistema definir opciones de cliente 93 desactivar una función de IPS en host 83 idioma. directivas por plataforma 135 Windows. acerca de 34 host 43 IP de host y excepciones 95 IPS en host predeterminado 43 IPS en host y de red 28 lista de reglas de excepción 97 NIPS. Registro 129 Windows. Isapi 124 Windows. Ilegal 124 Windows. Hook 122 Windows. IPS en host permisos para 25 L listas de reglas excepciones para IPS en host 97 reglas de firewall para IPS en host 100 llamadas de activación actualización de clientes IPS en host 31 migración directivas 24 directivas de la versión 7 a la versión 8 24 Mis valores predeterminados. 27 gestionar directivas acceder a directivas de IPS en host 18 ajuste de IPS en host 10. Servicios 131 Windows. directiva Aplicaciones de confianza 87 Guía del producto McAfee Host Intrusion Prevention 8. SQL 134 gestión del sistema actualización de protección IPS en host 29 notificaciones para eventos de IPS en host 28 tareas servidor para IPS en host 25. UNIX_map 144 Solaris. UNIX_bo 144 Solaris. UNIX_apache (HTTP) 141 Solaris. UNIX_file (archivos) 138 Linux. IPS en host definir opciones para clientes 93 implementación de directivas cliente Linux y 107 cliente Solaris y 104 Clientes de IPS en host y ePO 7 IPS en host 9 interceptación de llamadas de sistema 33 IPS en host actividades y paneles 13 cómo establecer y ajustar la protección 20 cómo funciona 7 conjuntos de permisos 25 directivas y sus categorías 9 ficha Información del intruso 95 funciones y categorías 9 protección básica y avanzada 7 responder a alertas 95 tipos de directivas 8 IPS. Archivos 119 Windows.0 para ePolicy Orchestrator 4. Programa 127 Windows. creación 76 grupos.Índice firmas (continuación) alertas y firmas NIPS 95 configuración de directiva Reglas IPS 44 creación de un IPS en host personalizado 45 creación mediante el método estándar 45 creación mediante el método experto 45 definido 34 directiva Reglas IPS 40 excepciones 36 HIPS. 20 análisis de eventos de IPS en host y reglas de cliente 17 Cliente Linux y 107 ficha Directivas. UNIX_misc 143 secciones comunes 112 secciones opcionales 114 Solaris 138 Solaris.

IPS configuración de reacciones para 40 configuración y ajuste de la protección 20 configurar 10. IPS en host acerca de 28 categorías específicas del producto admitidas 28 configuración 19 reglas y eventos 28 O opciones de línea de comandos ClientControl.0 para ePolicy Orchestrator 4. automatización de la actualización 93 cliente Solaris. visión general 56 reglas de comportamiento 35 prioridad directiva Redes de confianza 86 directivas generales. acerca de 34 interceptación de llamadas de sistema 33 métodos de entrega 33 modo de adaptación y excepciones 36 motores y controladores 33 NIPS. configuración 39 tipos de 35 trazado hasta la gravedad de IPS 10 recomendaciones de McAfee agrupación de clientes de IPS en host lógica 21 ajuste de directivas predeterminadas de IPS en host 19 Guía del producto McAfee Host Intrusion Prevention 8. responder a 97 configuración. definidas 34 HIPS. ver 102 protección básica directivas de IPS en host predeterminadas 20 IPS en host 7 Protección de IPS activar 37 desactivar 37 protección por firewall activar 70 desactivar 70 protocolos rastreo y firewall con seguimiento de estado 68 puertos conexiones FTP e inspección de paquetes con seguimiento de estado 67 conexiones y alertas de firewall 96 firewall y entradas de tabla de estados 65 tráfico bloqueado y reglas de firewall 69 R reacciones acerca de 35 alertas de firewall. responder a 95 alertas de simulación detectada. directiva (continuación) Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 modo adaptación Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 modo de adaptación aplicar 22 con IPS contra firewall 22 Preguntas frecuentes 22 reglas que no se han creado automáticamente 22 acerca de 10 ajuste automático 20 colocar clientes de Host IPS en 37 colocar clientes de IPS en host en 22 directiva Opciones IPS 38 excepción y 36 modo de aprendizaje acerca de 10 colocar clientes de IPS en host en 22 Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 reglas de firewall 69 N NIPS (firmas de Network Intrusion Prevention) 101 niveles de gravedad.exe. responder a 96 alertas de intrusos. IPS en host y 81 IPS de red y direcciones IP 86 lista de reglas de firewall 58 procesos supervisados. para niveles de gravedad de firma 40 protección IPS. acerca de 34 opciones de registro 94 opciones de registro del firewall 94 personalizar opciones 98 reacciones 35 reglas de cliente 14 reglas de cliente. reiniciar 107 comprobación de que el cliente Solaris se ejecuta 106 comprobar que el cliente Linux se ejecuta 109 detener y reiniciar el cliente Linux 110 Detenión del cliente Solaris 106 P paneles consultas y Host Intrusion Prevention 10 gestión de la información en IPS en host 13 seguimientos de IPS en host predeterminados 13 visualización de conformidad y asuntos de IPS en host 19 paquetes actualizaciones de contenido de IPS en host 29 perfiles de uso agrupación de sistemas de IPS en host 10 ajuste de directivas de IPS en host 10 Preguntas frecuentes modo de adaptación 22 directivas de instancias múltiples 42 prevención de intrusiones (IPS) blindaje y envoltura 33 descripción 32 directiva Protección IPS 39 editar reglas de excepción 98 excepciones 36 firmas. 19 directiva Protección IPS 39 eventos y 52 trabajar con firmas 43 trazado hasta una reacción 10 niveles de seguridad de firmas tipos de 43 notificaciones.Índice Mis valores predeterminados.0 165 .

27 incorporación de actualizaciones 30 Purgar registro de eventos 27 Purgar registro de eventos de amenazas 27 Traductor de propiedades 27 Traductor de propiedades de IPS en host 27 TrustedSource cómo funciona 72 definición 72 Directiva Opciones del firewall de Host IPS 72 Preguntas frecuentes 72 U utilidad ClientControl detener servicios 156 función e instalación 156 sintaxis de línea de comandos 156 usar para solucionar problemas 156 utilidades ClientControl.log 154 para funcionalidad de firewall 154 para funcionalidad IPS 154 usar para solucionar problemas 154 registros de actividad. basada en evento 52 Crear excepción 95 definido 10 directiva Reglas IPS 40.0 para ePolicy Orchestrator 4. definir opciones 94 sugerencias uso de notificaciones 28 T tabla de estados. con modos de adaptación y aprendizaje 10 directiva Reglas IPS.0 .exe. IPS en host Cliente Linux 107.Índice recomendaciones de McAfee (continuación) Despliegue de IPS en host en fases 21 ponerse en contacto con el soporte de McAfee para desactivar el motor HIPS 95 sistemas de grupos por criterios de IPS en host 10 utilice la protección de IPS para escalonar el impacto de los eventos 10 registros activar 154 FireSvc. 108 Cliente Solaris 105 Cliente Windows 93. automatización de la actualización 93 Guía del producto McAfee Host Intrusion Prevention 8. 94 desactivación de motores IPS en host 95 herramienta hipts 105. 56 Firewall 70. IPS en host Ejecutar consulta 27 Exportar consultas 27 Exportar directivas 27 Extracción del repositorio 27 gestión del despliegue 25. firewall descripción 65 funcionalidad 65 tareas servidor. visión general 55. Host IPS aislar los componentes que causan problemas 148 bloquear tráfico distinto de IP 148 comprobar los servicios que se están ejecutando 148 fallo de aplicaciones con Host Intrusion Prevention instalado 148 usar la utilidad ClientControl 156 usar registros 154 solución de problemas. 78 consultas de IPS en host 14 creación de excepciones 36 crear.log 154 HipShield. 51 editar directivas IPS 98 eventos y 52 lista. 40. permitidos o bloqueados 47 uso de 47 S solución de problemas. 78 IPS 40 reglas de comportamiento blindaje y envoltura 35 definición de actividades de IPS en host legítimas 35 reglas de excepción acerca de 36 ajuste automático 22 configuración de directiva Reglas IPS 51 creación 52 creación. 108 IU de cliente 85 opciones 93 registro del firewall. 50 166 reglas de protección de aplicaciones (continuación) procesos. clientes Windows y 97 reglas de cliente y agregación 55. IPS en host eliminar entradas 102 opciones de registro del firewall 94 opciones de registro IPS 94 personalizar opciones 103 trabajar con la ficha Registro de actividad 102 visualización 102 Reglas de bloqueo de DNS crear y editar 77 reglas de cliente Firewall 70. 56 uso de 51 reglas de firewall crear y editar 75 reglas de protección de aplicaciones acerca de 36 configuración 50 creación 50 descripción 47 directiva Reglas IPS 36.