McAfee Host Intrusion Prevention 8.

0
Guía del producto para su uso con ePolicy Orchestrator 4.0

COPYRIGHT
Copyright © 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de
este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO
ÍNTEGRO.

2

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Contenido
Introducción a Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Protección de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gestión de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Seguimiento y ajuste de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestión de la protección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Gestión de la información. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Paneles de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consultas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Gestión de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dónde encontrar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuración de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Protección predeterminada y ajustes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Migración de directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Gestión del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Conjuntos de permisos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tareas del servidor de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Notificaciones de eventos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Actualizaciones de protección de IPS en host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Configuración de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Resumen de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Métodos para la entrega de protección IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Firmas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Reglas de comportamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Reacciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Reglas de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Activar la protección IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuración de la directiva de opciones IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Configuración de la reacción para firmas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Definición de la funcionalidad de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Configuración de directivas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Cómo afectan los modos aprendizaje y adaptación al firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Inspección y filtrado de paquetes con seguimiento de estado del firewall. 55 Creación de una aplicación de confianza de un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Preguntas frecuentes: uso de caracteres comodín en reglas de firewall. . . . . 76 Bloqueo del tráfico DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 . . . . . . . . . . . . . . . . . . . . . . . . 41 Preguntas frecuentes: directivas de instancias múltiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Cómo funcionan las excepciones de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Supervisión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Configuración de directivas generales . . . . . . . . . . . . . . . 40 Definición de protección de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Cómo funcionan las reglas de protección de aplicaciones de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Resumen de directivas de firewall. . . . . . . . . . . . 77 Uso del catálogo de IPS en host. . . . . . . . 40 Configuración de la directiva Reglas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Asignación de varias instancias de la directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Gestión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Activación de protección por firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Supervisión de eventos IPS . . . . . . . . . . . . . . . . . . . . . . 60 Cómo funciona el catálogo de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Cómo funcionan las reglas de firewall. . . . . 81 Introducción a las directivas generales. . . . . . . . . .Contenido Configuración de la directiva Protección IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Reglas de firewall para cliente. . . . . . . . . . . . . . . . . 77 Gestión de Reglas de cliente del firewall. . . . . . . . . . . . . 74 Creación y edición de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Gestión de eventos IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Configuración de la directiva Reglas del firewall. . . . 58 Cómo funcionan los grupos de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Cómo funcionan las firmas de IPS. . . . . . 72 Definición de la protección de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Creación de grupos de aislamiento de conexión. . . . . . . 75 Creación y edición de grupos de reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Creación de una excepción para un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Configuración de la directiva Opciones del firewall . . . . . . . . . . . . . 72 Preguntas frecuentes: McAfee TrustedSource y el firewall. . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Secciones comunes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Acerca de la ficha Hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Acerca de la ficha Directiva de firewall. . . . . 102 Introducción al cliente Solaris . . . 87 Creación y edición de reglas de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Aplicación de directivas con el cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Desbloqueo de la interfaz del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Solución de problemas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Definición de opciones generales de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Definición de opciones de solución de problemas de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Uso de clientes de Host Intrusion Prevention . . . . . . . . . . . . . 114 Caracteres comodín y variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Definición de redes de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Estructura de regla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Configuración de una directiva de aplicaciones de confianza. . . . . . . . . . . .0 5 . 112 Secciones comunes opcionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Notas acerca del cliente Linux. . . . . . . . 90 Consola de clientes para clientes Windows. . . . . . . . . . . . . . . . . . . 108 Solución de problemas del cliente Linux. . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Configuración de una directiva de redes de confianza. . . . . . . . . . . . . 93 Alertas del cliente Windows. . . . . . . . . . . 102 Acerca de la Ficha Registro de actividad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Asignación de varias instancias de la directiva. . . . . . . . . . . . . . 90 Introducción al cliente Windows. . . . . . 104 Solución de problemas del cliente Solaris. . . . . . . . . . . . 86 Definición de aplicaciones de confianza. . . 90 Menú Icono de la bandeja de sistema. . . . . . 108 Apéndice A -. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . .Escritura de firmas personalizadas y excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Configuración de opciones avanzadas y contraseñas de IU de cliente. . . . . . . . . . .Contenido Configuración de una directiva IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Edición de la lista de hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Definición de opciones de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Acerca de la ficha Lista de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Introducción al cliente Linux . . . . . . . . . . . . . . . . . . . . . . 115 Firmas personalizadas de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Acerca de la ficha Directiva de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Aplicación de directivas con el cliente Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . 145 Clases y directivas de la plataforma UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Hook de la clase Windows. . . . . . . . . . . . . 129 Servicios de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Uso de host ilegal IPS API. . 141 Solaris/Linux clase UNIX_Misc. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Firmas personalizadas no Windows. . . .exe. . . . . . . 148 Problemas generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Registro de la clase Windows. . . . . . . . . . . . . . clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 SQL de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Utilidad Clientcontrol. . . . . . . . . . . . . . . 124 Isapi (HTTP) de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . . 144 Solaris clase UNIX_GUID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . clase Windows. . . . . . . 145 Apéndice B: solución de problemas. . . . . . . . . . 148 Registros de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 . . 118 Archivos de clase de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Solaris clase UNIX_map. . . . . . . . . . . . . . . . 123 Uso ilegal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Contenido Desbordamiento de búfer de clase Windows. . . . 134 Clases y directivas de la plataforma Windows. . . . . . . . . . . . . . . . . . 124 Programa de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Solaris/Linux clase UNIX_file. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Solaris/Linux class UNIX_apache (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Solaris clase UNIX_bo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 6 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . .

Host Intrusion Prevention está totalmente integrado con ePolicy Orchestrator y utiliza su estructura para proporcionar y aplicar directivas. Proporciona una solución escalable y de fácil manejo para evitar intrusiones en estaciones de trabajo. La función IPS dispone de actualizaciones de contenido mensuales.Introducción a Host Intrusion Prevention ® McAfee Host Intrusion Prevention es un sistema de detección y prevención de intrusos basado en host que protege los recursos del sistema y las aplicaciones frente a los ataques internos y externos. La función de firewall de Host Intrusion Prevention se adquiere por separado o en combinación con la función IPS de Host Intrusion Prevention.0 para ePolicy Orchestrator 4. Contenido Protección de IPS en host Directivas de Host IPS Gestión de directivas de IPS en host Seguimiento y ajuste de directivas de IPS en host Protección de IPS en host Una vez que todos los componentes necesarios para Host Intrusion Prevention estén instalados y puedan comunicarse.0 7 . Host Intrusion Prevention (en ocasiones abreviado en el producto como Host IPS o HIP) puede proteger información e impedir la puesta en peligro de los recursos del sistema y de la red. sistema de prevención de intrusiones). Protección básica Host Intrusion Prevention se entrega con un conjunto de configuraciones predeterminadas que proporcionan una protección básica para su entorno. Este enfoque proporciona una solución de gestión única que permite el despliegue masivo en un total de hasta 100. así como de las aplicaciones que almacenan y proporcionan información. supervisar los eventos y actualizar las directivas y los contenidos según sea necesario. Guía del producto McAfee Host Intrusion Prevention 8. ya está preparado para aplicar la protección. Su tecnología patentada bloquea proactivamente ataques de día cero (zero day) y ataques conocidos. portátiles y servidores críticos.000 sistemas en varios idiomas y en la totalidad de la empresa con el objetivo de ofrecer una exhaustiva cobertura real. Las opciones incluyen: • Para protección de IPS: • Las firmas de gravedad alta se evitan y las demás firmas se ignoran. incluidos servidores web y de bases de datos. Logra este objetivo mediante la función de firewall de punto final y la función IPS (Intrusion Prevention System. lo que reduce la urgencia de los parches para nuevas amenazas.

Protección avanzada Para obtener protección avanzada. Define excepciones. lo que permite que se asignen a un sistema varias directivas de Reglas IPS. no está activa ninguna protección. la persona asociada como propietario de la directiva o el administrador global. 8 Guía del producto McAfee Host Intrusion Prevention 8. • Protección de IPS (todas las plataformas). firmas y reglas de protección de aplicaciones. Si hay configuraciones en conflicto. Activa o desactiva la protección IPS y la aplicación del modo de adaptación para el ajuste. • Se protegen las aplicaciones y procesos predefinidos. Por lo tanto. • Opciones de IPS (todas las plataformas). La aplicación de directivas asegura que las necesidades de seguridad en sistemas gestionados se cumplan. Son las siguientes: IPS.0 se instala por primera vez. Los ajustes necesitan equilibrar la protección contra prevención de intrusos y acceder a la información necesaria y a las aplicaciones por tipos de grupo. Define la reacción de protección a los eventos que generan las firmas. Directivas de Host IPS Una directiva es un conjunto de parámetros que puede configurar y aplicar en la consola de ePolicy Orchestrator. Directivas de IPS La función IPS incluye tres directivas que protegen los equipos Windows y los que no son Windows. • Reglas IPS (todas las plataformas). la directiva efectiva es el resultado de los contenidos unidos de las directivas. en lugar de una sola direciva. cambie de configuraciones IPS predeterminadas a configuraciones preestablecidas más estrictas o cree configuraciones personalizadas. Las funciones IPS y Firewall contienen una directiva de "reglas" con reglas que definen el comportamiento y una directiva de "opciones" que habilita o deshabilita las reglas.0 . La eliminación de las directivas solo puede llevarse a cabo en Catálogo de directivas. Debe activar la protección en la directiva Opciones de IPS u Opciones del firewall y aplicar la directiva al cliente. NOTA: cuando Host Intrusion Prevention 8. Una vez creada una directiva. Firewall y General. Empiece con un despliegue de muestra para supervisar y ajustar la nueva configuración. Host Intrusion Prevention proporciona tres funciones de directiva. las reglas de protección de aplicaciones. La propiedad de las directivas se asigna en Catálogo de directivas. Esta directiva es una directiva de múltiples instancias. los eventos y las excepciones generadas por los clientes. Detalla las excepciones. esta solo puede modificarla o eliminarla su creador.Introducción a Host Intrusion Prevention Directivas de Host IPS • Las aplicaciones de McAfee se enumeran como aplicaciones de confianza para todas las reglas. cada una con un conjunto de opciones de seguridad. se aplica la configuración explícita que ofrezca mayor protección. • Para la protección de firewall: • Se permite la conectividad básica de red. excepto para las reglas de autoprotección de IPS.0 para ePolicy Orchestrator 4. las firmas.

Introducción a Host Intrusion Prevention
Gestión de directivas de IPS en host

Directivas de firewall
La función Firewall incluye tres directivas que solo protegen los equipos Windows. Filtra el
tráfico de red, lo que permite que el tráfico legítimo pase a través del firewall, y bloquea el
resto.
• Opciones de firewall (solo Windows). Activa o desactiva la protección del firewall y la
aplicación del modo de adaptación o de aprendizaje para el ajuste.
• Reglas de firewall (solo Windows). Define las reglas de firewall.
• Bloqueo DNS del firewall (solo Windows). Define los servidores de nombre de dominio
que han de bloquearse.
Directivas generales
La función General incluye tres directivas que pueden aplicarse a las funciones IPS y Firewall.
• IU de cliente (solo Windows). Define el acceso a la interfaz de usuario de Host Intrusion
Prevention en los sistemas de cliente Windows, así como a las opciones de solución de
problemas. También proporciona protección mediante contraseña a todos los sistemas de
clientes que no son Windows.
• Redes de confianza (solo Windows). Muestra direcciones IP y redes seguras para establecer
comunicación. Se usa con las funciones IPS y Firewall.
• Aplicaciones de confianza (todas las plataformas). Muestra aplicaciones que son de
confianza para realizar operaciones. Se usa con la función IPS. Esta directiva es una directiva
de múltiples instancias, lo que permite que se asignen a un sistema varias directivas de
Aplicaciones de confianza, en lugar de una sola direciva. Por lo tanto, la directiva efectiva
es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto,
se aplica la configuración que ofrezca mayor protección.

Gestión de directivas de IPS en host
La consola de ePolicy Orchestrator le permite configurar las directivas de Host Intrusion
Prevention desde una localización central.
Cómo se hacen efectivas las directivas
Cuando se modifican las directivas de Host Intrusion Prevention en la consola de ePolicy
Orchestrator, los cambios surten efecto en los sistemas gestionados en la siguiente comunicación
entre agente y servidor. El valor predeterminado de este intervalo es de 60 minutos. Para aplicar
las directivas inmediatamente, puede enviar una llamada de activación del agente desde la
consola de ePolicy Orchestrator.
Directivas y sus categorías
La información de directivas de Host Intrusion Prevention se agrupa según función y categoría.
Cada categoría se refiere a un subconjunto específico de valores de directivas.
Una directiva es un grupo de configuraciones definidas con un propósito específico. Puede crear,
modificar o eliminar tantas directivas como sea necesario.
Cada directiva tiene una directiva McAfee Default preconfigurada que no se puede editar o
eliminar. Con excepción de las reglas IPS y las aplicaciones de confianza, todas las directivas
tienen tambien una directiva Mis valores predeterminados que se puede editar y que está
basada en la directiva predeterminada. Algunas categorías de directivas incluyen directivas

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

9

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

preconfiguradas de solo lectura. Si estas directivas cubren sus necesidades, puede aplicar
cualquiera de ellas. Estas directivas de solo lectura, como todas las directivas, pueden duplicarse
y personalizar el duplicado, si fuera necesario.
Las reglas IPS y las aplicaciones de confianza son directivas de instancias múltiples, ya que
puede asignar múltiples instancias de directivas bajo una única directiva. Las instancias de
directivas se combinan automáticamente en una directiva en vigor.
SUGERENCIA: las directivas McAfee Default para Reglas IPS y Aplicaciones de confianza se
actualizan automáticamente como parte del proceso de actualización de contenido. McAfee
recomienda asignar siempre estas directivas a todos los clientes y crear instancias adicionales
de la directiva para personalizar el comportamiento de estas dos directivas.
Cómo se aplican las directivas
Las directivas se aplican a cada grupo o sistema del árbol del sistema, ya sea por herencia o
por asignación. Herencia determina si la configuración de directivas de cualquier sistema procede
de su nodo principal. La herencia está activada de forma predeterminada en todo el árbol de
sistemas. Puede romper la herencia mediante asignación directa de directivas. Host Intrusion
Prevention, si se gestiona desde ePolicy Orchestrator, le permite crear directivas y asignarlas
sin contar con la herencia. Cuando se interrumpe esta herencia asignando una nueva directiva,
todos los grupos y sistemas secundarios heredan la nueva directiva.
Propietarios de las directivas
Cada directiva tiene que tener asignado un propietario. La propiedad asegura que nadie más
que el administrador global, el creador de la directiva o la persona asociada como propietario
de la directiva pueda modificarla. Cualquier administrador puede utilizar una directiva que exista
en el catálogo, pero únicamente el creador, el propietario o el administrador global podrán
modificarla.
SUGERENCIA: en lugar de utilizar una directiva que es propiedad de un administrador diferente,
se aconseja duplicar la directiva y, a continuación, asignar el duplicado. Por otro lado, si asigna
una directiva de la que no es propietario a grupos de árbol del sistema que administra y el
propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva
recibirán estas modificaciones.

Seguimiento y ajuste de directivas de IPS en host
El despliegue y la gestión de los clientes de Host Intrusion Prevention se realizan desde ePolicy
Orchestrator. En el árbol del sistema de ePO, puede agrupar sistemas jerárquicamente por
atributos. Por ejemplo, puede agrupar un primer nivel por localización geográfica y un segundo
nivel por plataforma del sistema operativo o dirección IP. McAfee recomienda agrupar los
sistemas en función de criterios de configuración de Host Intrusion Prevention, incluidos el tipo
de sistema (servidor o equipo de escritorio), el uso de aplicaciones principales (Web, base de
datos o servidor de correo) y ubicaciones estratégicas (DMZ o Intranet). Puede colocar sistemas
que se ajusten a un perfil de uso común en un grupo común del árbol del sistema. De hecho,
puede nombrar un grupo según su perfil de uso (por ejemplo, Servidores web)
Con los equipos agrupados en el árbol del sistema según el tipo, la función o la ubicación
geográfica, es posible dividir fácilmente las funciones administrativas según los mismos criterios.
Con Host Intrusion Prevention puede dividir tareas administrativas de acuerdo con las funciones
del producto, como IPS o firewall.

10

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

El despliegue de Host Intrusion Prevention en miles de equipos se gestiona fácilmente, ya que
la mayoría de los equipos encajan en un pequeño número de perfiles de uso. La gestión de un
gran despliegue se reduce a mantener unas cuantas reglas de directivas. A medida que crece
el despliegue, los sistemas que se acaben de agregar deberán ajustarse a uno o varios perfiles
existentes y colocarse en el grupo correcto del árbol del sistema.
Protección preconfigurada
Host Intrusion Prevention ofrece dos tipos de protección:
• La protección básica está disponible mediante la configuración de directiva McAfee Default.
Esta protección requiere pocos ajustes (o ninguno) y genera pocos eventos. Para muchos
entornos esta protección básica podría ser suficiente.
• La protección avanzada también está disponible en algunas directivas de IPS y firewall
preconfiguradas o mediante la creación de directivas personalizadas. Los servidores, por
ejemplo, necesitan una protección más potente que la que ofrece la protección básica.
En ambos casos, son necesarios algunos ajustes de la configuración de protección para entornos
reales de trabajo.
Modo de adaptación
Para ayudar a ajustar la configuración de la protección, los clientes de Host Intrusion Prevention
pueden crear reglas de cliente para las directivas impuestas por el servidor que bloqueen
actividades inofensivas. La creación automática de reglas de cliente se permite cuando los
clientes están en modo de adaptación. En el modo de adaptación, las reglas del cliente se crean
sin interacción por parte del usuario. Después de crear reglas de cliente, necesita analizarlas
detenidamente y decidir cuál de ellas se debe convertir a directiva impuesta por el servidor.
Con frecuencia, en organizaciones de gran tamaño, evitar las interrupciones en las actividades
de la empresa tiene prioridad sobre los asuntos de seguridad. Por ejemplo, podría ser necesario
instalar periódicamente nuevas aplicaciones en algunos equipos y es posible que no se disponga
del tiempo ni de los recursos necesarios para ajustarlos inmediatamente. Host Intrusion
Prevention permite colocar equipos específicos en modo de adaptación para protección IPS.
Estos equipos pueden realizar un perfil de una aplicación recién instalada y reenviar las reglas
de cliente resultantes al servidor de ePolicy Orchestrator. El administrador puede promover
estas reglas de cliente a un directiva nueva o existente y, a continuación, aplicar la directiva a
otros equipos para gestionar el nuevo software.
En el modo de adaptación, los sistemas no tienen virtualmente ninguna protección, así que el
modo de adaptación debe usarse solo para ajustar un entorno, y es necesario desactivarlo para
aumentar la protección del sistema.
Ajuste
Como parte del despliegue de Host Intrusion Prevention, es necesario identificar un número
pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor manera de conseguirlo
es ajustar un despliegue de prueba y después comenzar a reducir el número de falsos positivos
y eventos generados. Este proceso se denomina ajuste.
Reglas IPS más estrictas señalan un rango más amplio de infracciones y generan muchos más
eventos que en un entorno básico. Si aplica la protección avanzada, McAfee recomienda utilizar
la directiva Protección IPS para escalonar el impacto. Esto implica el trazado de cada uno de
los niveles de gravedad (alta, media, baja o información) con una reacción (prevenir, registrar,
ignorar). Si inicialmente se establecen las reacciones de todos los niveles de gravedad como
Ignorar, excepto las de gravedad alta, se aplican solo estas últimas. Los otros niveles pueden
elevarse de manera gradual a medida que progresa el ajuste.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

11

por ejemplo. Los informes se pueden planificar y enviar como mensaje de correo electrónico.0 . aplicaciones de confianza y reglas de firewall. • Las aplicaciones de confianza son procesos de aplicaciones que ignoran todas las reglas IPS y de firewall.0 para ePolicy Orchestrator 4. Paneles y consultas Los paneles permiten el seguimiento del entorno al mostrar distintas consultas a la vez. eventos de alto nivel notificados por clientes concretos durante un período de tiempo determinado.Introducción a Host Intrusion Prevention Seguimiento y ajuste de directivas de IPS en host Puede reducir el número de falsos positivos mediante la creación de reglas de excepción. Las consultas permiten obtener datos sobre un elemento concreto y filtrar datos de subconjuntos específicos de esos datos. • Las reglas de excepción son mecanismos que ignoran una firma de IPS en circunstancias específicas. 12 Guía del producto McAfee Host Intrusion Prevention 8. • Las reglas de firewall determinan si se permite el tráfico y si se permitirá o bloqueará la recepción o transmisión de paquetes. Esta consultas pueden actualizarse constantemente o ejecutarse con una frecuencia especificada.

puede hacer un seguimiento y un informe sobre los asuntos de seguridad que surjan en su entorno. como el servicio MyAvert Threat. el cambio y actualización de directivas.0 13 . para que pueda poner sus consultas más útiles en un panel en vivo. Host Intrusion Prevention proporciona dos paneles predeterminados con estos monitores: Tabla 1: Paneles y monitores de Host IPS Panel Monitores IPS en host • Estado del firewall • Estado de IPS en host • Estado del servicio • Recuento de reglas IPS de cliente • Versiones del contenido • Primeros 10 eventos NIPS por IP de origen • Firmas desencadenadas por alto nivel en el escritorio • Firmas desencadenadas por medio nivel en el escritorio • Firmas desencadenadas por bajo nivel en el escritorio • Firmas desencadenadas por alto nivel en el servidor Firmas desencadenadas por IPS en host Guía del producto McAfee Host Intrusion Prevention 8. Paneles de IPS en host Los paneles son una recopilación de seguimientos. Contenido Gestión de la información Gestión de directivas Gestión del sistema Gestión de la información Tras la instalación de Host Intrusion Prevention. y la realización de tareas del sistema. una herramienta esencial para la gestión del entorno. como un panel que se actualiza con una frecuencia especificada. Utilice los paneles para obtener una visión diaria de la situación de seguridad o para ejecutar consultas sobre información detallada acerca de asuntos concretos.Gestión de la protección La gestión de un despliegue de Host Intrusion Prevention incluye el seguimiento. el análisis y la reacción a las actividades. Los seguimientos pueden ser cualquier cosa. siempre y cuando tenga los permisos. Puede crear y editar múltiples paneles. Utilice cualquier consulta basada en formularios.0 para ePolicy Orchestrator 4. desde una consulta basada en tablas a una pequeña aplicación web.

Desde la información resumida. Reglas de cliente IPS de Host IPS 8. para los administradores globales o para los otros usuarios. puede ver la información resumida. Tras crear plantillas personalizadas. filtrar los informes según sea necesario. como lo determina el filtro. entre ellos HTML y Microsoft Excel. Puede generar consultas para un grupo de sistemas de cliente seleccionados o limitar los resultados de los informes por producto o por criterios del sistema. profundice uno o dos niveles para obtener información detallada. para definir filtros precisos en los datos devueltos por el informe. Controle cuánta información del informe será visible para los distintos usuarios. semanal o mensual. que ha definido. imprimir los informes y exportarlos a otro software.0. Consultas de IPS en host Host Intrusion Prevention incluye la funcionalidad de consulta mediante ePolicy Orchestrator. Ejecutables de reglas de cliente de firewall de Host IPS 8.0 . • Definir un filtro de datos. Elegir el grupo o etiqueta que se han de incluir en el informe. 14 Guía del producto McAfee Host Intrusion Prevention 8. Puede exportar informes en una gran variedad de formatos de archivo. Consultas predefinidas y personalizadas para analizar la protección La función de generación de informes contiene consultas predeterminadas de Host Intrusion Prevention y permite la creación de consultas personalizadas. Organice y mantenga consultas personalizadas de acuerdo con sus necesidades. consulte la documentación de ePolicy Orchestrator. • Generar informes gráficos a partir de la información de la base de datos.Gestión de la protección Gestión de la información Panel Monitores • Firmas desencadenadas por medio nivel en el servidor • Firmas desencadenadas por bajo nivel en el servidor Para obtener más información acerca de la creación y el uso de paneles. si existe.0 y Excepciones IPS de Host IPS 8.0 para ePolicy Orchestrator 4. todo en el mismo informe. Opciones de consulta: • Definir un filtro para recopilar solo información seleccionada. Por ejemplo. organícelas en agrupaciones lógicas para que pueda ejecutarlas cuando lo necesite de forma diaria. Consultas personalizadas Puede crear cuatro consultas concretas de Host IPS con Query Builder: Reglas de cliente de firewall de Host IPS 8. Cuando se haya generado un informe. utilizando operadores lógicos. si personaliza la configuración para un informe. La información del informe también se controla con la aplicación de filtros. por ejemplo.0. Algunos usuarios solo ven informes de sistemas en sitios en los que tengan permisos. • Ejecutar consultas de equipos.0. Puede crear consultas útiles de eventos y propiedades almacenados en la base de datos de ePO o puede utilizar consultas predefinidas. exporte esta configuración como una plantilla. eventos e instalaciones.

0 • Acción • Dirección NOTA: esta consulta devuelve las reglas de firewall del catálogo de IPS. • Activado • Última modificación • Usuario de la última modificación • ID de nodo de hoja • Servicios locales • Estado de registro • Protocolo IP • Coincidir con intrusión • Tipo de soporte • Nombre • Nota • Servicios remotos • ID de regla • Planificar fin • Planificar inicio • Cambiar cuando caduque • Protocolo de transporte Ejecutables de regla de cliente de firewall de Host • IPS 8. establezca el valor de filtro leafNodeld a > 0. para ver las reglas de cliente de firewall. bloquear y saltar. por lo tanto. Las reglas y grupos del catálogo de IPS tienen el valor de filtro leafNodeId establecido a 0.0 para ePolicy Orchestrator 4.0 Excepciones IPS de Host IPS 8. saltar es la acción para grupos que no tienen la acción permitir/bloquear. los grupos de firewall del catálogo de IPS y las reglas de cliente de firewall.0 Huella digital Nombre • Nota • Ruta • ID de regla • Nombre del firmante • Fecha de creación • Descripción • Nombre del ejecutable • Ruta del ejecutable • Huella digital • Nombre completo del ejecutable • Incluir todos los ejecutables • Incluir todas las firmas • Incluir todos los usuarios • Fecha de la última modificación • Versión local • Reacción • ID de firma • Nombre del firmante • Estado • Nombre de usuario • Regla de excepción IPS Guía del producto McAfee Host Intrusion Prevention 8.Gestión de la protección Gestión de la información Los parámetros para estas consultas incluyen: Tabla 2: Consultas de IPS en host y parámetros Consulta Parámetros Reglas de firewall y reglas de cliente de firewall del catálogo de Host IPS 8. Los valores posibles de las acciones son permitir.0 15 .0 • Reglas IPS de cliente de Host IPS 8.

Reglas para cliente por Muestra las reglas de firewall para cliente enumeradas por protocolo y por intervalo protocolo/intervalo de puertos de puertos.Gestión de la protección Gestión de la información Consulta Parámetros • Directiva Reglas IPS Propiedades de IPS en host comunes Las consultas personalizadas de Host IPS y algunas de las otras consultas personalizadas le permiten incluir estas propiedades de IPS en host: • Tipo de agente • Estado del modo de adaptación de IPS • Atacantes bloqueados • Idioma • Versión del cliente • Recuento de regla de excepción local • Versión de contenido • Estado de IPS de red • Estado del modo de adaptación de firewall • Reinicio pendiente • Error en el firewall (Errores) • Versión de complemento • Estado del modo de aprendizaje entrante del firewall • Estado del producto • Estado del modo de aprendizaje saliente del firewall • Versión de hotfix/parche • Recuento de regla del firewall • Estado del firewall • Servicio en ejecución • Versión del producto • Service Pack • Errores de IPS en host • Información del evento de IPS en host (oculto. puede usar varias consultas predefinidas tal cual o editarlas para obtener solo la información que necesita.0 . Reglas para cliente por proceso/intervalo de puertos Muestra las reglas de firewall para cliente enumeradas por proceso y por intervalo de puertos. Escoja entre las siguientes consultas predefinidas de Host IPS: Consulta HIP Resumen Reglas para cliente por proceso Muestra las reglas de firewall para cliente enumeradas por proceso. Reglas para cliente por proceso/usuario Muestra las reglas de firewall para cliente enumeradas por proceso y usuario. Reglas para cliente por protocolo/nombre de sistema Muestra las reglas de firewall para cliente enumeradas por protocolo y nombre de sistema. leído) • Estado de IPS en host • Nombre de la firma • Instalar directorio Consultas predefinidas Además de las consultas personalizadas. Reglas para cliente por protocolo/proceso Muestra las reglas de firewall para cliente enumeradas por protocolo y proceso. Versiones del cliente Muestra las primeras tres versiones del cliente con una categoría única para el resto de las versiones. 16 Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. Clientes pendientes de reinicio Muestra los sistemas administrados en los que IPS en host está desplegado y el instalador debe reiniciar el sistema.

Estado del firewall Muestra dónde está activada o desactivada la protección del firewall en sistemas gestionados. Recuento de reglas de cliente Muestra el número de reglas de firewall para cliente que se han creado con el paso de firewall del tiempo. Guía del producto McAfee Host Intrusion Prevention 8. Firmas desencadenadas por bajo nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Parte de este proceso necesita un análisis de los eventos y las reglas de los clientes. Firmas desencadenadas por medio nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). Informe de excepciones IPS Muestra las directivas de reglas IPS que presentan excepciones IPS. Estado del servicio Muestra dónde está instalado Host IPS y si se está ejecutando o no en sistemas gestionados. Firmas desencadenadas por alto nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). pero que no se iniciaron correctamente. 10 firmas más activadas Muestra las 10 primeras firmas IPS activadas.0 17 . pero que no se iniciaron correctamente. Gestión de directivas La gestión de directivas implica la configuración y aplicación de directivas y el ajuste de la protección para los recursos y las aplicaciones del sistema. Errores de firewall Muestra los sistemas administrados en los que la función de firewall está activada mediante directiva.0 para ePolicy Orchestrator 4.Gestión de la protección Gestión de directivas Consulta HIP Resumen Versiones del contenido Muestra las primeras tres versiones del contenido con una categoría única para el resto de las versiones. Errores de IPS en host Muestra los sistemas administrados en los que la función de IPS está activada mediante directiva. Firmas desencadenadas por medio nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). Eventos de redes de confianza Muestra los eventos generados por sistemas que forman parte de redes de confianza de IPS en host de IPS en host. destino 10 NIPS principales por IP de origen Muestra los 10 eventos de intrusión en la red por direcciones IP de origen que más se han dado en los últimos tres meses. Estado de IPS en host Muestra dónde está activada o desactivada la protección IPS en sistemas gestionados. Firmas desencadenadas por bajo nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Recuento de reglas IPS de cliente Muestra el número de reglas IPS de cliente que se han creado con el paso del tiempo. Firmas desencadenadas por alto nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). 10 eventos IPS principales por Muestra los 10 sistemas con mayor número de eventos IPS.

Si elimina una directiva que está aplicada en el nivel superior. NOTA: cuando se elimina una directiva. Ver una directiva Haga clic en Ver (solo disponible para McAfee Default o directivas preconfiguradas). todos los grupos a los que está actualmente aplicada heredan la directiva de esta categoría desde su ascendiente. Exportar una directiva Haga clic en Exportar. haga clic en Aceptar. dé un nombre a la directiva y guárdela (un archivo XML) en la ubicación deseada. examine todos los sistemas a los que está asignada y asigne una directiva distinta.. Crear una directiva Haga clic en Nueva directiva. seleccione el archivo XML de la directiva y..0 para ePolicy Orchestrator 4. Importar directivas Haga clic en Importar. Eliminar una directiva Haga clic en Eliminar (no disponible para directivas predeterminadas o preconfiguradas).Gestión de la protección Gestión de directivas Dónde encontrar directivas ePolicy Orchestrator proporciona dos ubicaciones para ver y administrar directivas de Host Intrusion Prevention: la ficha Directivas (ficha Sistemas | Árbol de sistemas | Directivas para un grupo seleccionado en el Árbol de sistemas) y la ficha Catálogo de directivas (Sistemas | Catálogo de directivas). Guía del producto McAfee Host Intrusion Prevention 8. si no desea que la directiva se herede desde el ascendiente.0 . Para un grupo o sistema seleccionado. Antes de eliminar una directiva. 18 Asignar un propietario de directiva Haga clic en el propietario de la directiva y seleccione otro propietario de la lista (no disponible para directivas predeterminadas o preconfiguradas). a continuación. se aplica la directiva predeterminada de esta categoría.. Duplicar una directiva Haga clic en Duplicar. use la ficha Directivas para: • Ver directivas de una función concreta del producto • Ver detalles de la directiva • Ver la información de herencia • Editar la asignación de directivas • Editar las directivas personalizadas Utilice la ficha Catálogo de directivas para: • Crear directivas • Ver y editar la información de la directiva • Ver dónde está asignada una directiva • Ver la configuración y el propietario de una directiva • Ver las asignaciones en las que se ha desactivado la aplicación de directivas Para. dé un nombre a la directiva y guarde el archivo XML correspondiente en la ubicación deseada. Cambiar el nombre de una directiva Haga clic en Cambiar nombre y cambie el nombre de la directiva (no disponible para directivas predeterminadas o preconfiguradas). póngale un nombre y edite las opciones. Haga lo siguiente. Exportar todas las directivas Haga clic en Exportar todas las directivas. cambie el nombre de la directiva y edite su configuración. a continuación. Editar una directiva Haga clic en Editar (solo disponible para Mis valores predeterminados o directivas personalizadas). a continuación. en la parte superior de la página Catálogo de directivas..

Configuración de directivas Después de instalar el software Host Intrusion Prevention. en la página de directivas. Por ejemplo. • Haga clic en el enlace Duplicar para una directiva. se puede enviar una notificación cuando una actividad que activa un evento de gravedad alta se produce en un servidor concreto. Tarea Para ver las definiciones de las opciones. Cambio de la asignación de directivas Utilice esta tarea para cambiar la asignación de directivas de Host Intrusion Prevention para un grupo o un único sistema del árbol de sistemas de ePolicy Orchestrator. haga clic en ? en la interfaz. • Realice una de las acciones siguientes desde el Catálogo de directivas: • Haga clic en el botón Nueva directiva. Escriba el nombre de la nueva directiva y haga clic en Aceptar. Seleccione la directiva de la que quiera realizar una copia. defina su configuración de seguridad de Host Intrusion Prevention. cuando una firma se activa por el trabajo cotidiano de los usuarios. Para ajustar las directivas para que se adapten a su situación concreta. • Configure los paneles para ver un resumen rápido de conformidad y asuntos. consulte la documentación de ePolicy Orchestrator. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al más amplio conjunto de entornos de cliente y pueden satisfacer sus necesidades. se recomienda lo siguiente: • Con cuidado. copie una existente y dé un nombre a la nueva copia. Creación de nuevas directivas Para crear una nueva directiva. Tarea Para ver las definiciones de las opciones.0 19 . Escriba el nombre de la nueva directiva y haga clic en Aceptar. Edite la directiva y haga clic en Guardar. escriba el nombre de la nueva directiva y haga clic en Aceptar. reduzca el nivel de gravedad. a continuación. Puede hacerlo en el Catálogo de directivas o desde una página de directivas. haga clic en ? en la interfaz. McAfee recomienda configurar las directivas para proporcionar el máximo nivel de seguridad sin entrar en conflicto con las actividades diarias. Evalúe quiénes son los encargados de configurar partes concretas del sistema y concédales los permisos adecuados. • Siga uno de estos procedimientos: Guía del producto McAfee Host Intrusion Prevention 8. • Modifique los niveles de gravedad de firmas específicas. que proporcionan niveles crecientes de la protección preestablecida. haga clic en el botón Duplicar. • Cambie las directivas de protección IPS o de las reglas de Firewall predeterminadas. Por ejemplo. • Haga clic en el enlace Ver o Editar de una directiva y.Gestión de la protección Gestión de directivas Para obtener más detalles sobre alguna de estas funciones. Se muestra la directiva duplicada.0 para ePolicy Orchestrator 4. • Configure notificaciones para alertar a usuarios específicos cuando se produzcan eventos concretos.

Ajuste automático El ajuste automático elimina la necesidad de supervisar constantemente todos los eventos y actividades de todos los usuarios. Ajuste manual El ajuste manual necesita un seguimiento directo durante un periodo de tiempo establecido de los eventos y las reglas de clientes que se creen. Los ajustes implican ajustar la protección de prevención de intrusos y el acceso a la información requerida y a las aplicaciones por tipo de grupo. no se producen eventos IPS y no se bloquea la actividad. • Aplique el modo de adaptación para las directivas IPS y Firewall. supervise el tráfico de red y agregue redes de confianza para permitir el tráfico de red adecuado. Esto permite una mayor protección a través de las configuraciones personalizadas que se obtienen con el ajuste manual o automático. • Aplique la nueva directiva a un conjunto de equipos y supervise los resultados. seleccione un grupo que contenga el sistema y. Empiece con un despliegue de muestra para supervisar y ajustar las nuevas configuraciones. Se crean reglas de cliente de forma automática para permitir la actividad legítima. vaya a Sistemas | Árbol del sistema. • Repita este proceso con cada tipo de grupo de producción. Protección predeterminada y ajustes Host Intrusion Prevention trabaja con directivas predeterminadas para la protección básica. • Si estas reglas funcionan correctamente al prevenir falsos positivos. en la ficha Sistema .0 . seleccione el sistema y seleccione Más acciones | Modificar directivas en un único sistema. cambie de directivas IPS predeterminadas a directivas preestablecidas más estrictas o cree directivas personalizadas. • Para obtener protección IPS. • En el modo de adaptación. vaya a Sistemas | Árbol del sistema. mantener el tráfico de red a un nivel mínimo y permitir la actividad legítima. haga que estas excepciones formen parte de una directiva nueva o existente. • Revisión de la lista de reglas de clientes. a continuación. haga clic en Editar asignación. supervise los eventos para encontrar falsos positivos y cree excepciones o aplicaciones de confianza para evitar que esos eventos se vuelvan a producir. • Supervise los efectos de las excepciones nuevas. las aplicaciones de confianza y las redes de confianza.Gestión de la protección Gestión de directivas • Para un grupo. • Para la protección por firewall. Protección predeterminada Host Intrusion Prevention se entrega con un conjunto de directivas predeterminadas que proporcionan protección básica para su entorno. en la ficha Directivas. a continuación. Para obtener protección avanzada. • Para un sistema. 20 Guía del producto McAfee Host Intrusion Prevention 8. excepto para vulnerabilidades malintencionadas. Tanto la protección IPS como por firewall están desactivadas de forma predeterminada y se tienen que activar para permitir que se implementen las directivas de reglas predeterminadas.0 para ePolicy Orchestrator 4. seleccione un grupo y.

consulte las fichas Reglas de cliente IPS y Reglas de firewall para cliente. excepciones y reglas de cliente creadas en el despliegue inicial.0 para ePolicy Orchestrator 4. en ciertos informes y en datos de eventos generados por las actividades del cliente. • Al cabo de unas cuantas semanas. debería ver las reglas de cliente que indican las reglas de bloqueo y excepción de cliente que se crean. equipos de sobremesa y equipos portátiles) de su empresa. Las directivas nuevas con reglas actualizadas se pueden insertar más tarde desde el servidor. Utilice Guía del producto McAfee Host Intrusion Prevention 8. Los clientes se identifican por su nombre en el árbol de sistemas. Los clientes se pueden agrupar según cualquier criterio que se ajuste a la jerarquía del árbol de sistemas. • Establezca una convención de nomenclatura para los clientes. las reglas de cliente y la configuración de Host Intrusion Prevention. McAfee recomienda establecer una convención de nomenclatura para los clientes que resulte fácil de interpretar para las personas que trabajen en el despliegue de Host Intrusion Prevention. Por ejemplo. Los clientes pueden tomar los nombres de los hosts en los que se instalan. el módulo Informes de ePolicy Orchestrator proporciona informes detallados basados en los eventos. McAfee recomienda empezar con la instalación de clientes en un número limitado de sistemas representativos y ajustar su configuración. desactive el modo de adaptación. cuándo se ha generando el evento y qué cliente lo ha generado. se pueden desplegar más clientes y aprovechar las directivas. • Agrupe los clientes de forma lógica. incluidos NIPS. o bien se puede asignar un nombre de cliente específico durante la instalación. Puede navegar por los detalles de un evento. • Supervise el grupo de prueba durante unos días para asegurarse de que la configuración de la directiva es adecuada y ofrece la protección deseada. • Instale los clientes. Para analizar los datos de eventos. como el proceso que desencadena el evento.Gestión de la protección Gestión de directivas • Promocione las reglas de cliente apropiadas para las reglas de directivas administrativas. Aunque se pueden desplegar clientes de Host Intrusion Prevention en cada host (servidores. puede agrupar los clientes según su ubicación geográfica. La ficha Eventos muestra todos los eventos de IPS en host. comienza a ajustar el despliegue. Puede ver las reglas que se crean. Si ha colocado clientes en el modo de adaptación. Debería comenzar a ver los eventos desencadenados por actividad de los clientes. su función en la empresa o las características del sistema. agregarlas para encontrar las reglas más habituales y moverlas directamente a una directiva para su aplicación en otros clientes. • Repita este proceso con cada tipo de grupo de producción. Para analizar las reglas de cliente. Clientes y planificación del despligue El cliente de Host Intrusion Prevention es el componente esencial que proporciona protección. el despliegue habrá finalizado. vea la ficha Eventos de la ficha IPS en host en Informes. En el despliegue de clientes. Los clientes se pueden instalar con un conjunto predeterminado de directivas de IPS y Firewall. Mediante el análisis de estos datos. las intrusiones de Firewall y los eventos de bloqueo de TrustedSource.0 21 . se recomienda un método por fases: • Determine el plan de despliegue de clientes inicial. Analice el evento y realice la acción adecuada para ajustar el despliegue de Host Intrusion Prevention para proporcionar mejores respuestas a los ataques. Una vez que se ha ajustado el despliegue. Datos de clientes y lo que le dicen Después de haber instalado y agrupado los clientes. Además.

pero no en otras. El modo de adaptación lo hace de forma automática sin la interacción del usuario. todas o ninguna de las reglas de cliente y convertirlas en directivas impuestas por el servidor. Puede establecer la aplicación como de confianza en los sistemas de asistencia técnica para permitir el acceso completo a la misma por parte de los usuarios. Las excepciones son actividades que se distinguen como comportamiento inofensivo. mientras la directiva sigue evitando esta actividad en otros sistemas. Al finalizar el ajuste. pero evitar su uso en el departamento de finanzas. se generan eventos IPS y se crean excepciones. haga que estas excepciones formen parte de una directiva impuesta por el servidor relativa al grupo de ingeniería. el firewall comprueba su lista de reglas de firewall.Gestión de la protección Gestión de directivas estas consultas para comunicar actividades del entorno a otros miembros de su equipo y a la dirección de la empresa. A continuación. se crean reglas de excepción de cliente. A continuación. Preguntas frecuentes: modo de adaptación El modo de adaptación es una configuración que puede aplicar a las funciones de IPS y firewall cuando pruebe el despliegue de nuevas directivas. desactive el modo de adaptación para obtener una mayor protección de prevención de intrusiones en el sistema.0 . • Es posible que necesite aplicaciones de software para negocios normales en algunas áreas de la empresa. Este modo primero analiza los eventos en busca de los ataques más dañinos. Permite que el cliente de Host Intrusion Prevention cree de forma automática reglas para permitir la actividad al mismo tiempo que se preserva una protección mínima de las vulnerabilidades. Por ejemplo. Si la actividad se considera normal y necesaria para la empresa. Permita que se creen excepciones para esos sistemas a fin de que puedan funcionar con normalidad. 22 Guía del producto McAfee Host Intrusion Prevention 8. Las siguientes preguntas y respuestas deberían ayudarle a utilizar esta función. Por ejemplo. Intente llevar a cabo esta operación en los momentos de actividad planificada. • Ejecute los clientes en modo de adaptación durante una semana como mínimo. puede crear una configuración de ajuste para ellos. Host Intrusion Prevention permite escoger cualquiera. que es un conjunto de criterios con acciones asociadas. Al configurar clientes representativos en modo de adaptación. A medida que revisa cada paquete que se recibe o se envía. Modo de adaptación Un elemento fundamental en el proceso de ajuste incluye colocar clientes Host Intrusion Prevention en el modo de adaptación para IPS y Firewall. Este modo permite a los equipos crear reglas de excepción de cliente en las directivas administrativas. Si un paquete cumple con todos los criterios de una regla. pero ciertos sistemas de los grupos de ingeniería necesitan realizar este tipo de tareas.0 para ePolicy Orchestrator 4. puede permitir el uso de la mensajería instantánea en las organizaciones de asistencia técnica. como el desbordamiento del búfer. • A medida que se detectan las actividades. • La función firewall actúa como filtro entre un equipo y la red o Internet. una directiva puede considerar que cierto procesamiento de secuencias de comandos constituye un comportamiento ilegal. el firewall realiza la acción especificada por la regla: permite que el paquete pase por el firewall o lo bloquea. El firewall analiza todo el tráfico entrante y saliente a nivel del paquete. como copias de seguridad o procesamiento de secuencias de comandos. Esto permite a los clientes disponer de tiempo suficiente para detectar todas las actividades que detectarían normalmente.

por lo tanto. • La directiva de reglas de firewall aplicada tiene un grupo con reconocimiento de ubicación con el aislamiento de la conexión activado. • La acción asociada activa una firma IPS de red.0 para ePolicy Orchestrator 4. como el protocolo FTP (file transfer protocol) o Telnet. el modo de adaptación crea reglas del lado cliente que son excepciones a las firmas IPS existentes. • Ya existe una excepción. el modo de adaptación crea reglas del lado cliente que permiten que los paquetes de red no estén cubiertos por las reglas de firewall existentes. ¿En qué se diferencia el funcionamiento del modo de adaptación con IPS o con firewall? Con IPS.Gestión de la protección Gestión de directivas ¿Cómo se activa el modo de adaptación? El modo de adaptación se activa al activar esta opción en la directiva Opciones de IPS o la directiva Opciones de firewall y al aplicar esta directiva al cliente de Host Intrusion Prevention. Estas firmas se ajustan para detectar y evitar las amenazas más graves contra su sistema. Con firewall. que pueden ser necesarios para compartir archivos de Windows. sea cual sea la configuración de la regla de cliente para el servicio de protección automática en una firma 1000. • Los paquetes TCP (Transmission Control Protocol) hacia el puerto 139 (NetBIOS SSN) o el 445 (MSDS). una descripción de archivo. ni protocolo UDP (User Datagram Protocol) ni ICMP. Las excepciones de cliente IPS se crean según el usuario. una tarjeta de interfaz de red (NIC) activa que coincide con el grupo y se recibe o se envía el paquete en una NIC que no coincide con el grupo. y solo se basan en la ruta. Con el firewall: • No hay aplicación asociada con el paquete cuando se examina en el registro de actividad del cliente. Las reglas de firewall para cliente se crean según el proceso y los procesos asociados con las reglas de firewall para clientes se basan en una ruta. en una directiva Reglas IPS aplicada.0 23 . como una solicitud de eco. • Ya existe una regla en la directiva de reglas de firewall aplicada que permite o bloquea el paquete. Algunos de los ejemplos más comunes son: • Solicitudes entrantes para servicios que no están en ejecución. una firma digital y el hash MD5. • El proceso asociado con la acción es de confianza para IPS en una directiva Aplicaciones de confianza aplicada y la firma no está excluida de las Aplicaciones de confianza. Guía del producto McAfee Host Intrusion Prevention 8. • ICMP entrante o saliente en el sistema operativo Microsoft Windows Vista. • La reacción a la firma es "Ignorar". es poco probable que la actividad empresarial normal requiera una excepción automatizada). que excluye la operación en cuestión. (Esta configuración es estándar para las firmas IPS de más gravedad. el proceso y la firma. • Los paquetes IPsec (Internet Protocol Security) asociados con las soluciones de cliente de las redes privadas virtuales. • Protocolo ICMP (Internet Control Message Protocol). • Un usuario intenta detener el servicio IPS en host de McAfee. ¿En qué caso no se crea una regla de forma automática con el modo de adaptación? Con IPS: • La firma en la directiva de reglas IPS efectivas no permite la creación de una regla de cliente. • El paquete no es TCP.

1] o [7. NOTA: las aplicaciones que tienen bloqueada la interceptación en las directivas de reglas de bloqueo de aplicaciones no se migran y deben agregarse manualmente a las reglas de protección de aplicaciones en la directiva Reglas IPS tras la migración. esta aparece en la función y categoría del producto Host IPS 8. Para usar esta directiva migrada. • Las directivas de reglas de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8. Asimismo.0 de McAfee Host Intrusion Prevention con los clientes de la versión 8.1 ó 7. si migra una directiva de aplicaciones de confianza marcada como "De confianza para la interceptación de aplicaciones" en la versión 8.1 ó 7. ¿Hay otras limitaciones? • IPS podría no detectar el usuario asociado con algunas reglas de cliente (se muestra como "dominio desconocido/usuario desconocido" en la regla de cliente en ePolicy Orchestrator). excepto para lo siguiente: • Las directivas de opciones de bloqueo de aplicaciones no se migran (estas directivas se han quitado de la versión 8. NOTA: las asignaciones de directivas se transfieren durante la migración. ya que contiene la lista más reciente de protección de aplicaciones a través de actualizaciones de contenido.0. pero se aplican a todos los usuarios. Todas las directivas se traducen y migran a las directivas correspondientes de la versión 8. la asignación no se sustituye.0). Si se interrumpe la herencia en una ubicación concreta del Árbol de sistemas. • Las reglas de cliente IPS y las reglas de cliente de firewall no se migran.0. • Algunas conexiones TCP entrantes como el escritorio remoto o el protocolo HTTP (Hypertext Transfer Protocol) en Secure Sockets Layer (HTTPS) podrían necesitar varios intentos para crear una regla de firewall. Migración de directivas de Host IPS No se pueden usar las directivas de la versión 6.0 proporciona una manera fácil de migrar directivas con la función Migración de directivas de Host IPS de ePolicy Orchestrator en Automatización. su lista Reglas de protección de aplicaciones queda en blanco.1 ó 7.0 correspondiente del catálogo de directivas con [6.0 al formato de la versión 8.0. Una vez migradas estas directivas a directivas de Reglas IPS. Host Intrusion Prevention 8. Esta migración implica la traducción y migración de directivas.0 .0] (estas directivas se han quitado de la versión 8.0] después del nombre de la directiva. pero 24 Guía del producto McAfee Host Intrusion Prevention 8.0).0). y la lista Excepciones contiene las excepciones para todas las aplicaciones de confianza predeterminadas establecidas en "De confianza para interceptación de aplicaciones". • Las directivas de opciones de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8. debe asignar también la directiva Mis reglas IPS predeterminadas en una configuración de múltiples instancias de directivas. • Las directivas de reglas de bloqueo de aplicaciones se migran a directivas de Reglas IPS denominadas de interceptación de aplicaciones y protección contra invocación <nombre> [6. debe crear una excepción para esa aplicación en una firma 6010 (Protección genérica de interceptación de aplicaciones) en una directiva Reglas de IPS en host para conservar la protección de interceptación de aplicaciones.0 para ePolicy Orchestrator 4.Gestión de la protección Gestión de directivas • Hay más de un usuario registrado en el sistema o no hay ningún usuario registrado en el sistema. Una vez que se haya migrado la directiva.0). Aún se pueden crear excepciones con estas reglas de cliente.0 sin primero migrar las directivas de la versión 6.

El archivo xml se ha convertido al formato de las directivas de la versión 8. 2 En Acción para directivas de Host IPS 6. 1 Haga clic en Automatización | Migración de directivas de Host IPS. importar los archivos xml migrados al catálogo de directivas de ePO. 3 Seleccione los archivos xml de la versión de Host IPS 6.0. notificaciones y actualizaciones del contenido.1/7.1/7. Firewall y la función general de directivas se convierten a la versión 8. haga clic en Migrar.1 o 7.1/7. NOTA: al ejecutar la migración de directivas una segunda vez.1 ó 7. Todos los permisos para todos los productos y funciones se asignan automáticamente Guía del producto McAfee Host Intrusion Prevention 8. convertir los contenidos del archivo xml a las directivas Host Intrusion Prevention de las versiones 8.0 en un archivo xml. hágalo migrándolas mediante un archivo xml. mígrelas mediante el proceso de archivos xml. cuando las asignaciones migradas están fusionadas. haga clic en Migrar.1/7. Migración de directivas de forma directa Tras instalar la extensión Host Intrusion Prevention 8. Se puede asignar uno o varios conjuntos de permisos.0 en lugar de todas las directivas a la vez.0 de IPS. haga clic en Cerrar. 4 Haga clic con el botón derecho en el enlace del archivo convertido MigratedPolicies.1 ó 7.xml y guárdelo para importarlo. si quiere migrar de forma selectiva las directivas de la versión 6. 3 Cuando se haya completado la migración de directivas. 1 Haga clic en Automatización | Migración de directivas de Host IPS.1 ó 7. Este proceso no es selectivo porque se migran todas las directivas 6.1] o [7.0 y.0 exportados previamente y.0 para ePolicy Orchestrator 4.0 existentes.0 25 .0. tareas de servidor.0 del catálogo de directivas ePO. Gestión del sistema Como parte de la gestión del despliegue de Host Intrusion Prevention.0 únicas a formato xml. Entre estas se incluye la definición de permisos de usuario. Revise siempre la asignación de directivas después de migrar las directivas. Todas las versiones 6. Si quiere migrar directivas de forma selectiva. se sustituyen todas las directivas del mismo nombre que se hayan migrado previamente.0 y aparecen con [6. Migración de directivas mediante un archivo xml Si la extensión Host Intrusion Prevention 6. la manera más fácil de migrar todas las directivas existentes es migrarlas directamente. Conjuntos de permisos de IPS en host Un conjunto de permisos es un grupo de permisos concedidos a una cuenta de usuario para productos específicos o funciones de un producto.Gestión de la protección Gestión del sistema la herencia podría interrumpirse en otros puntos del Árbol de sistemas. 2 En Acción para directivas de Host IPS 6. después.0] detrás del nombre. El proceso implica que primero se tienen que exportar directivas Host Intrusion Prevention 6. haga clic en Aceptar. a continuación. tiene que realizar tareas del sistema ocasionales. o.0 no está instalada y previamente ha exportado directivas únicas seleccionadas a un archivo xml. 5 Importe el archivo xml en el catálogo de directivas de ePO.

Esto es aplicable tanto a las páginas de directivas de Host Intrusion Prevention como a las páginas de reglas para clientes y eventos de Host Intrusion Prevention. en Informes. y los permisos de vista y de cambio para la función de Firewall de Host Intrusion Prevention.. Los administradores globales pueden asignar conjuntos de permisos existentes al crear o modificar una cuenta de usuario y al crear o modificar conjuntos de permisos. como consultas y paneles.. Registro de eventos Tareas del servidor de IPS en host Tareas servidor Paquetes de IPS en host en el repositorio Software Notificaciones de IPS en host Notificaciones Para obtener más información acerca de los conjuntos de permisos.0 . solo ver configuración o ver y cambiar configuración. consultas Consultas de IPS en host Consultas Reglas de cliente y eventos de cliente de IPS en host Sistemas. acceso al Árbol de sistemas. consulte la documentación de ePolicy Orchestrator. Firewall Ninguno. un usuario necesita los permisos de vista para acceder al registro de eventos. IPS Ninguno.. Asignación de conjuntos de permisos Esta tarea permite asignar permisos a las funciones de Host Intrusion Prevention del servidor ePO. General Ninguno. se otorgan permisos para acceder a cada función del producto y si el usuario tiene permiso de lectura o de lectura/escritura. Están disponibles estos permisos.0 para ePolicy Orchestrator 4. Para esta función de IPS en host. Con Host Intrusion Prevention.. El administrador global también necesita dar permisos de ePolicy Orchestrator para encargarse de otras áreas que funcionan con Host Intrusion Prevention. en Informes. Los administradores globales deben otorgar los permisos de IPS en host a los conjuntos de permisos existentes o crear conjuntos de permisos y añadirlos allí. para ver las reglas de firewall para clientes. nunca quitan un permiso. La extensión de Host Intrusion Prevention agrega una sección de Host Intrusion Prevention a los conjuntos de permisos sin aplicar ningún permiso. el usuario debe tener permiso para la función Firewall en el conjunto de permisos de Host 26 Guía del producto McAfee Host Intrusion Prevention 8. Tabla 3: Permisos necesarios para trabajar con varias funciones Para estas funciones de IPS en host Se necesitan los siguientes conjuntos de permisos Paneles de IPS en host Paneles. solo ver configuración o ver y cambiar configuración. Antes de empezar Determine las funciones de Host Intrusion Prevention a las que quiere dar acceso y los conjuntos de permisos adicionales que se tienen que asignar para acceder a todos los aspectos de la función de Host Intrusion Prevention. solo ver configuración o ver y cambiar configuración. los permisos de vista para acceder al árbol de sistemas.Gestión de la protección Gestión del sistema a administradores globales. para analizar y gestionar las reglas de firewall para clientes encontradas en las páginas de IPS en host. los permisos de vista para sistemas. Por ejemplo. Por ejemplo. Las configuraciones de permisos solo otorgan permisos.

Esta tarea se ejecuta automáticamente cada 15 minutos y no requiere interacción del usuario. Para crear una tarea servidor personalizada. vaya a Automatización | Tareas servidor y haga clic en el comando adecuado en Acciones. consulte la documentación de ePolicy Orchestrator. Puede crear tareas servidor personalizadas de Host Intrusion Prevention si hace clic en Nueva tarea y selecciona una o más propiedades de IPS en host en la ficha Acciones del Generador de tareas servidor. 3 Seleccione el permiso deseado por cada función: • Ninguno • Ver solo la configuración • Ver y cambiar configuración 4 Haga clic en Guardar. Tabla 4: Tareas servidor preconfiguradas y personalizadas Tarea servidor Descripción Traductor de propiedades de IPS en host (preconfigurado) Esta tarea servidor traduce reglas de cliente de Host Intrusion Prevention almacenadas en las bases de datos de ePolicy Orchestrator para gestionar la clasificación.0 27 . consultas Consultas de IPS en host Consultas Tareas del servidor de IPS en host Host Intrusion Prevention proporciona varias tareas servidor preconfiguradas o configurables que puede definir para que se ejecuten en una planificación específica o de forma inmediata como parte del mantenimiento de la protección de Host Intrusion Prevention. a los sistemas y al árbol de sistemas Reglas IPS de cliente de IPS en host Host Intrusion Prevention: IPS.0 para ePolicy Orchestrator 4. de los sistemas y del acceso al árbol de sistemas. 2 Junto a Host Intrusion Prevention. la agrupación y el filtrado de datos de Host Intrusion Prevention. 5 Asigne otros conjuntos de permisos según sea necesario: Para esta función de IPS en host Asignar este conjunto de permisos Eventos de IPS en host Host Intrusion Prevention: IPS. Tarea Para ver las definiciones de las opciones. Pero puede ejecutarla manualmente si necesita ver de forma inmediata los comentarios de las acciones de los clientes. a los sistemas y al árbol de sistemas Paneles de IPS en host Panel. acceso al registro de eventos.Gestión de la protección Gestión del sistema Intrusion Prevention. Para obtener más información sobre el uso y la creación de tareas servidor. acceso al registro de eventos. 1 Vaya a Configuración | Conjuntos de permisos. así como para el conjunto de permisos del registro de eventos. haga clic en Nueva tarea y siga los pasos del asistente del Generador de tareas servidor. a los sistemas y al árbol de sistemas Reglas de firewall para cliente de IPS en host Host Intrusion Prevention: firewall. acceso al registro de eventos. haga clic en Editar. Para trabajar con una tarea servidor existente. haga clic en ? en la interfaz. Guía del producto McAfee Host Intrusion Prevention 8.

Seleccione una consulta de Eventos de IPS en host para purgarla del registro. o se ejecuta un comando externo. o ejecutar comandos externos cuando el servidor ePolicy Orchestrator reciba y procese eventos específicos. 3 Defina los umbrales para la regla. Guía del producto McAfee Host Intrusion Prevention 8. Puede configurar reglas para enviar correos electrónicos o capturas SNMP.0 para ePolicy Orchestrator 4. Puede configurar reglas independientes en los distintos niveles del árbol del sistema. Sugerencias sobre el uso de notificaciones En el entorno de Host Intrusion Prevention. Puede especificar las categorías de eventos que generan un mensaje de notificación y la frecuencia con la que se envían. Purgar registro de eventos (personalizada) Esta tarea servidor le permite crear una tarea personalizada para purgar el registro de eventos basado en una consulta de Host Intrusion Prevention. • Verifique que la dirección de correo electrónico del destinatario es en la que desea recibir los mensajes de correo electrónico. Las reglas de notificación están asociadas al grupo o sitio que contiene los sistemas afectados y se aplican a los eventos.Gestión de la protección Gestión del sistema Tarea servidor Descripción Extracción del repositorio (personalizada) Esta tarea servidor le permite crear tareas personalizadas para obtener paquetes del sitio de origen y colocarlos en el repositorio principal. consulte la documentación de ePolicy Orchestrator 4. 2 Defina los filtros para la regla. Antes de activar las reglas predeterminadas: • Especifique el servidor de correo electrónico desde el que se envían los mensajes de notificación. Si se cumplen las condiciones de una regla.0 . Reglas de notificación ePolicy Orchestrator proporciona reglas predeterminadas que puede activar para su uso inmediato. Seleccione el Contenido de IPS en host como tipo de paquete para obtener actualizaciones de contenido automáticas. 4 Cree el mensaje que se va a enviar y el tipo de entrega. Ejecutar consulta (personalizada) Esta tarea servidor le permite crear una tarea personalizada para ejecutar consultas preconfiguradas de Host Intrusion Prevention en una planificación y un tiempo específicos. según especifique la regla. cuando se producen eventos se envían al servidor de ePolicy Orchestrator. Todas las reglas se crean de la misma manera: 28 1 Describa la regla. También puede configurar cuándo enviar mensajes de notificación mediante la definición de umbrales basados en agregación y regulación. Notificaciones de eventos de IPS en host Las notificaciones pueden advertirle de cualquier evento que se produzca en los sistemas de clientes de Host Intrusion Prevention.0. Para obtener detalles completos. se envía un mensaje de notificación.

Las versiones posteriores admiten siempre el contenido nuevo. Host Intrusion Prevention admite la especificación de un único ID de firma de IPS como nombre de la amenaza o de la regla en la configuración de reglas de notificación. los comandos de este paquete se extraen y se ejecutan. se crea una regla para identificar solo una firma IPS.Gestión de la protección Gestión del sistema Categorías de notificaciones Host Intrusion Prevention admite las siguientes categorías de notificaciones de productos específicos: • Intrusión en host detectada y gestionada • Intrusión de red detectada y gestionada • Desconocido Parámetros de las notificaciones Las notificaciones solo se pueden configurar para todas o para ninguna de las firmas de IPS en host (o de red). por lo tanto. El proceso básico incluye la incorporación del paquete de actualización al repositorio principal de ePO y. A continuación.0 29 . Los clientes Guía del producto McAfee Host Intrusion Prevention 8. las actualizaciones de contenido contienen mayoritariamente información nueva o modificaciones mínimas de la información existente. el envío de la información actualizada a los clientes. Al asociar internamente el atributo ID de la firma de un evento con el nombre de la amenaza. Este paquete contiene información sobre la versión del contenido y comandos de actualización. a continuación. Al incorporarlo. Si el paquete es más nuevo. Las asignaciones específicas de los parámetros de Host Intrusion Prevention permitidos en el asunto/cuerpo de un mensaje incluyen: Parámetros Valores de los eventos IPS en host y de red Nombres de amenazas reales o reglas ID de firma Sistemas de origen Dirección IP remota Objetos afectados Nombre del proceso Hora de envío de la notificación Hora del incidente ID del evento Asignación ePO del ID del evento Información adicional Nombre de la firma localizado (del equipo del cliente) Actualizaciones de protección de IPS en host Host Intrusion Prevention admite varias versiones de contenido y código de los clientes. la versión del paquete se compara con la versión de la información de contenido más reciente de la base de datos. esta nueva información de contenido se pasa a los clientes en la siguiente comunicación entre el servidor y el agente. el contenido más reciente disponible aparece en la consola de ePO. Las actualizaciones incluyen datos asociados con la directiva Reglas IPS (firmas IPS y reglas de protección de aplicaciones) y la directiva Aplicaciones de confianza (aplicaciones de confianza). Un paquete de actualización de contenido gestiona las actualizaciones.0 para ePolicy Orchestrator 4. Como estas actualizaciones se producen en la directiva McAfee Default. estas directivas tienen que estar asignadas tanto por Reglas IPS como por Aplicaciones de confianza para poder aprovechar la protección actualizada.

y haga clic en Siguiente . a continuación. El paquete aparecerá en la ficha Repositorio principal. Tarea 1 Vaya a Software | Repositorio principal y. Aparecerá la página Opciones de paquete. haga clic en Siguiente. Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. a continuación. 3 Seleccione Extracción del repositorio como tipo de tarea. 4 Seleccione la rama en la que desea instalar el paquete y haga clic en Guardar. 5 Compruebe la información y. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention. Incorporación manual de paquetes Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. por ejemplo. haga clic en Extracción de horario. 3 Seleccione el tipo de paquete y la ubicación. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention. Guía del producto McAfee Host Intrusion Prevention 8. la modificación no se sustituye por una actualización porque la configuración modificada de estas directivas tiene prioridad sobre la configuración predeterminada.0 . haga clic en Siguiente. 2 Vaya a Software | Repositorio principal y. Actualizaciones de contenido de HIP y. a continuación. SUGERENCIA: asigne siempre la directiva Reglas IPS de McAfee Default y la directiva Aplicaciones de confianza de McAfee Default para beneficiarse de cualquier actualización de contenido. a continuación.Gestión de la protección Gestión del sistema obtienen las actualizaciones únicamente mediante comunicaciones con el servidor ePO y no directamente a través de los protocolos FTP o HTTP. Anterior. la rama que recibe el paquete (Actual. 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. el origen del paquete (McAfeeHttp o McAfeeFtp). Tarea 30 1 Descargue el archivo de McAfeeHttp o McAfeeFtp. 2 Dé un nombre a la tarea. Incorporación de paquetes de actualizaciones Puede crear una tarea de extracción de ePO que incorpore automáticamente los paquetes de actualización de contenido al repositorio principal. a continuación. Evaluación) y un paquete seleccionado (Contenido de Host Intrusion Prevention) y. Si modifica estas directivas predeterminadas. Puede descargar un paquete de actualización e incorporarlo manualmente si no quiere utilizar una tarea de extracción automática. haga clic en Incorporar paquete. haga clic en Guardar.0 para ePolicy Orchestrator 4.

puede enviar las actualizaciones al cliente mediante la programación de una tarea de actualización o el envío de una llamada de activación de agente para que se actualice inmediatamente. Guía del producto McAfee Host Intrusion Prevention 8. seleccione el grupo al que desea enviar las actualizaciones del contenido y haga clic en Nueva tarea. Tarea • Haga clic con el botón derecho en el icono de McAfee Agent de la bandeja del sistema y seleccione Actualizar ahora. Tarea 1 Vaya a Sistemas | Árbol de sistemas | Tareas del cliente.0 para ePolicy Orchestrator 4. a continuación. a continuación. y se extraerán y aplicarán las actualizaciones de contenido al cliente. seleccione Actualizar (McAfee Agent) como el tipo de tarea y. 2 Dé un nombre a la tarea. Aparecerá el cuadro de diálogo Progreso de actualización automática de McAfee. haga clic en Siguiente.Gestión de la protección Gestión del sistema Actualización de clientes con contenido Una vez incorporado el paquete de actualización al repositorio principal. a continuación. Actualización de contenido desde el cliente Un cliente también puede pedir actualizaciones a demanda si el icono de McAfee Agent aparece en la barra de estado del sistema del equipo del cliente. haga clic en Guardar. 5 Revise los detalles y. 3 Seleccione Paquetes seleccionados. seleccione Contenido de Host Intrusion Prevention y. 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. haga clic en Siguiente.0 31 .

el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas según comportamiento para determinar si permitir. Host Intrusion Prevention determina qué proceso está utilizando una llamada. Este método híbrido detecta la mayoría de ataques conocidos. Cuando se realiza una llamada. Las excepciones. 32 Guía del producto McAfee Host Intrusion Prevention 8. que anulan las firmas que bloquean la actividad legítima. y al aplicar opciones específicas para los sistemas Windows. el contexto de seguridad en el que se ejecuta el proceso y los recursos a los que se accede. así como ataques zero-day o ataques anteriormente desconocidos. firmas y reglas de protección de aplicaciones. Un controlador de kernel que recibe entradas redireccionadas en la tabla de llamadas del sistema de modo de usuario supervisa la cadena de llamadas del sistema. y las reglas de protección de aplicaciones. que anulan las firmas que bloquean la actividad legítima. registrar) cuando no se producen firmas de una gravedad específica (alta.0 . La protección IPS se mantiene actualizada con actualizaciones de contenido mensuales que contienen firmas nuevas y revisadas y reglas de protección de aplicaciones. La protección también procede de excepciones. que describen qué procesos proteger. y las reglas de protección de aplicaciones.0 para ePolicy Orchestrator 4.Configuración de directivas IPS Las directivas IPS activan y desactivan la protección de Host Intrusion Prevention. ignorar. baja). Reglas IPS: define una protección IPS mediante la aplicación y análisis de firmas y de comportamiento para proteger contra ataques zero-day y conocidos. Protección IPS: indica al sistema cómo tiene que reaccionar (bloquear. bloquear o registrar una acción. Directivas disponibles Existen tres directivas IPS: Opciones de IPS: permite la protección IPS al activar y desactivar la protección IPS del host y de la red. Contenido Resumen de directivas IPS Activar la protección IPS Configuración de la reacción para firmas IPS Definición de protección de IPS Supervisión de eventos IPS Supervisión de reglas de cliente IPS Resumen de directivas IPS La función IPS (Intrusion Prevention System) controla todas las comunicaciones del sistema (nivel kernel) y API (nivel de usuario) y bloquea las que podrían resultar en actividades dañinas. establecen el nivel de reacción frente a eventos y proporcionan protección a través de la aplicación de excepciones. media.

Al igual que la directiva Aplicaciones de confianza. los programas de nivel de usuario usan llamadas de sistema.0 33 . desde vulnerabilidades de seguridad exteriores a su envoltura de funcionamiento. que permiten la comunicación entre los modos de usuario y de kernel. se dirige al controlador Host Intrusion Prevention. Un controlador de kernel de Host Intrusion Prevention que recibe entradas redireccionadas en la tabla de llamadas del sistema de nivel de usuario supervisa la cadena de llamadas del sistema. el robo de datos y el pirateo de servidores. La estrategia de la envoltura funciona para evitar que las aplicaciones obtengan acceso a archivos. configuraciones de registro y servicios fuera de su campo de aplicación. Cuando se realiza una llamada. La estrategia del blindaje funciona para evitar accesos. y el motor del servidor web. Host Intrusion Prevention se introduce en la cadena de llamadas de sistema al instalar un controlador a nivel de kernel y al redirigir las entradas en la tabla de llamadas del sistema. Debido a que el procesador evita el acceso directo a las funciones a nivel de kernel. Ofrece protección mediante el análisis del flujo HTTP que llega a una aplicación y que coincide con las solicitud HTTP entrantes. a las conexiones de red y a la memoria compartida. Blindaje y envoltura Host Intrusion Prevention usa las firmas de blindaje y envoltura para proteger contra ataques. esta categoría de directivas puede contener varias instancias de directiva. Métodos para la entrega de protección IPS El blindaje y la envoltura. Las firmas HTTP evitan los ataques transversales de directorio y Unicode. Determina qué proceso usa una llamada. el contexto de seguridad en el que se ejecuta el proceso y el recurso al que se accede.Configuración de directivas IPS Resumen de directivas IPS que indican qué procesos proteger. Los programas de nivel de usuario usan la funcionalidad proporcionada por el kernel para acceder a las unidades de disco. Cuando una aplicación solicitud un archivo. Esto garantiza que el motor de Host Intrusion Prevention verá las solicitudes en texto sin formato y bloqueará las solicitudes malintencionadas antes de que se procesen. configuraciones de registro y servicios. a archivos de aplicación. bloquear o registrar una acción. datos. y se implementan dentro del sistema operativo. Motor HTTP para servidores web Host Intrusion Prevention le ofrece protección contra ataques dirigidos a aplicaciones y sistemas web con el motor de protección HTTP. Interceptación de llamadas de sistema Host Intrusion Prevention supervisa todas las llamadas de sistema y de API y bloquea la actividad malintencionada. que comprueba la solicitud con su conjunto de reglas de firma y de comportamiento para determinar si bloquear o permitir la solicitud. complementan las firmas. el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas de comportamiento para determinar si permitir. El motor de protección HTTP se instala entre la descripción SSL del servidor web y el elemento descodificador que convierte las solicitudes en texto sin formato. datos. Las actualizaciones de contenido proporcionan firmas nuevas y actualizadas y reglas de protección de aplicaciones para mantener la protección en curso. la interceptación de llamadas de sistema y la instalación de motores y controladores específicos son los métodos usados para entregar protección IPS. usando una tabla de llamadas de sistema. la desfiguración de páginas web. Las llamadas de sistema exponen todas las funcionalidades de kernel que los programas de nivel de usuario requieren. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.

• Protegen los equipos portátiles cuando se encuentran fuera de la red protegida. estaciones de trabajo o portátiles. Las firmas de base de datos SQL ofrecen la protección principal ofrecida por las firmas normales y agregan reglas específicas de interceptación y protección de bases de datos. • Proporcionan una última línea de defensa contra los ataques que han eludido otras herramientas de seguridad. Al detectar un ataque. mientras que algunas protegen aplicaciones específicas. los servicios y los recursos de la base de datos. La mayoría de las firmas protegen todo el sistema operativo. evitan que un programa escriba en un archivo. como servidores. localización del origen de la consulta. estos ataques se centran en aumentar los privilegios del usuario a “raíz” o “administrador” para dañar otros sistemas de la red. Además. Firmas del IPS en host La protección de Host Intrusion Prevention se encuentra en sistemas individuales. el cliente lo puede bloquear en la conexión del segmento de red o puede emitir comandos para detener el comportamiento iniciado por el ataque. se lleva a cabo una acción. Se examina cada consulta para ver si coincide con alguna firma conocida de ataque. Estas reglas proporcionan protección contra los ataques conocidos. Por ejemplo.0 para ePolicy Orchestrator 4.0 . 34 Guía del producto McAfee Host Intrusion Prevention 8.Configuración de directivas IPS Resumen de directivas IPS Motor SQL para servidores SQL Host Intrusion Prevention protege contra ataques a servidores de base de datos con su motor de inspección SQL. Las firmas de base de datos SQL implementan blindaje de bases de datos para proteger los archivos de datos. servidores Web como Apache e IIS. Si una cadena coincide con un ataque conocido. Firmas Las firmas son una recopilación de reglas de prevención de intrusiones que se pueden hacer corresponder con una secuencia de tráfico. Examina todas las solicitudes SQL y bloquea las que pudieran iniciar un evento. Las firmas se diseñan para aplicaciones y sistemas operativos específicos. • Evitan los ataques internos o el uso indebido de dispositivos ubicados en el mismo segmento de la red. Estas firmas: • Protegen frente a un ataque y los resultados de un ataque. una firma podría buscar una cadena específica en una solicitud HTTP. implementan envoltura de base de datos para asegurarse de que la base de datos funcione dentro de un perfil de comportamiento. si está bien formada y si hay signos claros de inyección SQL. Las reglas de protección SQL se diferencian por usuario. A menudo. que se instala entre las bibliotecas de red de la base de datos y el motor de la base de datos. El motor SQL de IPS en host intercepta las consultas entrantes de la base de datos antes de que las procese el motor de la base de datos. • Protegen de los ataques locales introducidos por CD o dispositivos USB. La instalación de programas de puerta trasera (back door) con aplicaciones como Internet Explorer se bloquea al interceptar y denegar el comando “write file” (escribir archivo) de la aplicación. Por ejemplo. y examina el comportamiento de las aplicaciones y el sistema operativo para buscar ataques. por ejemplo. El cliente de Host Intrusion Prevention inspecciona el tráfico que entra y sale de un sistema. se impide el desbordamiento del búfer al bloquear los programas malintencionados insertados en el espacio de direcciones que aprovecha un ataque. por ejemplo. validez de la consulta y otros parámetros.

La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido. llamada blindaje y envoltura de aplicación. el estado de registro y la configuración de creación de reglas de cliente de estas firmas. Host Intrusion Prevention contiene una larga lista predeterminada de firmas de IPS en host para todas las plataformas. Puede editar el nivel de gravedad. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido. Además. las reglas de comportamiento previenen los ataques de desbordamiento de búfer y evitan ejecuciones de código derivadas de un ataque de desbordamiento de búfer. Este tipo de protección. Host Intrusion Prevention contiene una lista predeterminada de un número pequeño de firmas de IPS de red para plataformas Windows. Por ejemplo. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima. el evento no se registra y la operación no se impide. una regla de comportamiento puede indicar que solo un proceso de servidor web puede acceder a los archivos HTML. se llevará a cabo una acción. Estas firmas: • Protegen los sistemas secundarios en un segmento de red. El cliente reacciona de una de estas tres maneras: • Ignorar: no hay ninguna reacción. Si cualquier otro proceso intenta acceder a los archivos HTML. Puede editar el nivel de gravedad. evita poner en peligro aplicaciones y datos. • Registrar: el evento se registra pero no se impide la operación.0 35 . el estado de registro y la configuración de creación de reglas de cliente de estas firmas. Reglas de comportamiento Las reglas basadas en el comportamiento bloquean los ataques de tipo zero-day y garantizan el comportamiento apropiado de sistemas operativos y aplicaciones. Cuando se identifica un ataque. uno de los métodos más comunes para atacar servidores y equipos de sobremesa. pero en este momento no puede agregar firmas personalizadas a la lista. Guía del producto McAfee Host Intrusion Prevention 8. se descartan o se bloquean los datos infractores que pasan por el sistema.0 para ePolicy Orchestrator 4. Firmas IPS de red La protección IPS de red también se encuentra ubicada en sistemas individuales. • Protegen los servidores y los sistemas que se conectan a ellos. Se examinan todos los flujos entre el sistema protegido y el resto de la red para un ataque. y evita que las aplicaciones se usen para atacar otras aplicaciones. • Evitar: el evento se registra y se impide la operación. o agregar firmas personalizadas a la lista.Configuración de directivas IPS Resumen de directivas IPS • Ofrecen protección frente a ataques en los que la secuencia de datos codificados finaliza en el sistema protegido al examinar el comportamiento y los datos descifrados. • Ofrecen protección frente a ataques de denegación de servicio de red y ataques orientados al ancho de banda que deniegan o degradan el tráfico de red. Reacciones Una reacción es lo que hace el cliente Host Intrusion Prevention cuando se activa una firma con una gravedad específica. • Protegen sistemas en arquitecturas de red obsoletas o no habituales como Token Ring o FDDI. La actividad que no coincide con estas reglas se considera sospechosa y activa una respuesta.

Supervisar los eventos y las reglas de excepción del cliente ayuda a determinar cómo ajustar la implementación para lograr una protección IPS más efectiva. Los eventos de actividades inofensivas que resultan ser falsos positivos se pueden anular mediante la creación de una excepción a la regla de firma o mediante la calificación de aplicaciones como de confianza. Por ejemplo. Los administradores pueden crear excepciones manualmente en cualquier momento. La directiva IPS incluye una lista predeterminada de reglas de protección de aplicaciones para las plataformas Windows. que cuando un cliente reconoce una firma de gravedad baja registra la incidencia de esa firma y permite que se produzca la operación. el comportamiento que una firma define como un ataque podría ser parte de la rutina de trabajo habitual de un usuario o una actividad que está permitida para una aplicación protegida. El nivel de protección establecido para firmas en la directiva Protección IPS determina las acciones adoptadas por un cliente al producirse un evento. Los clientes en modo de adaptación crean excepciones automáticamente. siempre que instala una actualización de contenido. si ha activado la opción Incluir automáticamente aplicaciones para red y basadas en servicio en la directiva Opciones de IPS. Para asegurar que algunas firmas no se omiten nunca. puede crear una excepción que permita las actividades legítimas. filtradas y agregadas. En algunos casos.0 para ePolicy Orchestrator 4.Configuración de directivas IPS Resumen de directivas IPS Una directiva de seguridad podría indicar. 36 Guía del producto McAfee Host Intrusion Prevention 8. por ejemplo. si es necesario. Para omitir esta firma. Puede agregar automáticamente aplicaciones para red y basadas en servicio a esta lista. edite la firma y desactive las opciones de Permitir reglas del cliente. denominadas reglas de cliente. Los clientes de Host Intrusion Prevention contienen un conjunto de reglas de firma IPS que determinan si las actividades que se realizan en un equipo son inofensivas o dañinas. una excepción podría indicar que se omita una operación para un cliente en concreto. NOTA: se puede permitir directamente el registro en cada firma. Puede crear estas excepciones manualmente o colocar clientes en modo de adaptación y permitirles crear reglas de excepción de cliente.0 . Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que pueden aplicarse a otros clientes. Excepciones Una excepción anula una actividad bloqueada por la reacción a una firma. y que cuando reconoce una firma de gravedad alta impide la operación. Reglas de protección de aplicaciones Las reglas de protección de aplicaciones proporcionan protección para listas de procesos definidas y generadas contra desbordamientos del búfer. La protección contra el desbordamiento del búfer es genérica para Host Intrusion Prevention y se puede aplicar a cualquier proceso interceptado. se envían alertas denominadas eventos al servidor de ePO y aparecen en la ficha IPS en host. Puede hacer un seguimiento de las excepciones en la consola de ePolicy Orchestrator y mostrarlas en vistas normales. Las reacciones incluyen omitir. registrar o evitar la actividad. La directiva Protección IPS define automáticamente la reacción para los niveles de gravedad de firma. Cuando se detectan actividades dañinas. en Informes. Esta lista se actualiza. al permitir la interceptación de API a nivel de usuario.

Configuración de directivas IPS Activar la protección IPS Eventos Se generan eventos IPS cuando un cliente reacciona a una firma activada. en Informes.0 para ePolicy Orchestrator 4. según el número de minutos indicado. Esta opción está disponible de manera independiente de la aplicación de las reglas IPS en host. Los eventos se registran en la ficha Eventos de la ficha IPS en host. se informa del evento adicional. Si un evento vuelve a suceder tras 20 segundos. pueden ajustar las reacciones a eventos o crear excepciones o reglas de aplicaciones de confianza para reducir el número de eventos y ajustar la configuración de protección. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas de excepción creadas en el cliente. Ofrece opciones para plataformas Windows y no Windows. Después. Úsela solo temporalmente cuando esté afinando un despliegue. • Bloquear automáticamente los intrusos de la red: seleccione esta opción para bloquear el tráfico de entrada y salida en un host hasta que se quite manualmente de una lista de bloqueos en un cliente. en el que los clientes crean reglas de excepción automáticamente para permitir el comportamiento bloqueado. Solo para plataformas Windows Estas opciones están disponibles para clientes solo en plataformas Windows: • IPS de red activado: seleccione esta opción para aplicar reglas IPS de red. Los administradores pueden ver todos los eventos en la ficha IPS en host. en Informes. Para todas las plataformas Estas opciones están disponibles para clientes en todas las plataformas: • Host IPS activado: selecciónela para activar la protección de IPS por medio de la aplicación de reglas IPS de Host IPS.0 37 . NOTA: estos controles también están disponibles directamente en el cliente. NOTA: el cliente de Host Intrusion Prevention agrega eventos para que no se envíen todos los eventos al servidor ePO. • Modo de adaptación activado (las reglas se aprenden automáticamente): selecciónela para activar el modo de adaptación. Así se evita que numerosos eventos que ocurren en menos de 20 segundos se envíen de manera repetida al servidor. Solo está disponible si IPS de red está activado. • Conservar los hosts bloqueados: selecciónela para permitir que un cliente bloquee un host (dirección IP) hasta que se definan los parámetros de "Bloquear automáticamente los Guía del producto McAfee Host Intrusion Prevention 8. en la consola ePO del sistema del cliente. Activar la protección IPS La directiva Opciones de IPS determina cómo se aplica la protección de IPS. ya sea de forma automática en el modo de adaptación o manualmente en un cliente Windows cuando se aplique esta directiva. Los administradores pueden ver y supervisar estos eventos para analizar infracciones de reglas del sistema. NOTA: este control también está disponible directamente en el cliente. NOTA: este control también está disponible directamente en el cliente.

Puede ver y duplicar directivas preconfiguradas. duplicar. el host se bloquea hasta la siguiente aplicación de la directiva.0 . Si no se selecciona. duplicar. y después aplicar la directiva a los sistemas del cliente. haga clic en ? en la interfaz. Para las directivas no editables. 2 En la lista de directivas Opciones IPS. y. basada en la directiva McAfee Default. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección de IPS en host y de IPS de red está desactivada. haga los cambios que sean necesarios. otras opciones incluyen: cambiar nombre. eliminar y exportar. 1 Vaya a Sistemas | Catálogo de directivas y seleccione Host Intrusion Prevention:IPS en la lista Producto y Opciones IPS en la lista Categorías. el administrador de Host Intrusion Prevention deberá activar primero las opciones IPS en host e IPS de red en esta directiva. incluyendo el estado. borrar y exportar directivas personalizadas. Se muestra la lista de directivas. NOTA: Para las directivas editables. y se seleccionan estas opciones para aplicarse cuando la protección de IPS se activa: • Bloquear automáticamente los intrusos de red durante 10 minutos (solo Windows) • Conservar los hosts bloqueados (solo Windows) • Conservar las reglas de cliente SUGERENCIA: para activar la protección IPS en los sistemas del cliente. las opciones incluyen visualizar y duplicar. La protección IPS en los sistemas del cliente no es automática. editar. • Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones: seleccione esta opción para permitir a un cliente agregar automáticamente aplicaciones de alto riesgo a la lista de aplicaciones protegidas de la directiva Reglas IPS. Configuración de la directiva de opciones IPS Configure las opciones de esta directiva para activar o desactivar la protección IPS y aplicar el modo de adaptación. Guía del producto McAfee Host Intrusion Prevention 8. haga clic en Guardar. Tarea Para ver las definiciones de las opciones.Configuración de directivas IPS Activar la protección IPS intrusos de la red".0 para ePolicy Orchestrator 4. volver a nombrar. a continuación. • Protección IPS de inicio activada: selecciónela para aplicar un conjunto codificado de reglas de protección de archivos y de registro hasta que el servicio Host IPS se haya iniciado en el cliente. 3 38 En la página Opciones IPS que aparece. puede crear. a diferencia de las versiones anteriores del producto. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. el inicio y la configuración IPS de red. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados.

Protección mejorada Evitar las firmas con una gravedad alta y media y omitir el resto. Cuando es probable que una actividad sea peligrosa. duplicar. • Información: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema se modifican y que pueden indicar un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Cada firma tiene uno de los cuatro niveles de gravedad: • Alto: firmas de amenazas de seguridad o acciones dañinas claramente identificables. media y baja y registrar el resto. si es poco probable que la actividad sospechosa cause daños. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. Los eventos de este nivel se dan durante la actividad normal del sistema y. Las directivas preconfiguradas incluyen: Tabla 5: Directivas Protección IPS Nombre Función Protección básica (McAfee Default) Evitar las firmas con una gravedad alta y omitir el resto. Selecciones de directiva La categoría de directivas incluye seis directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. Puede modificar estos niveles de gravedad y las reacciones para todas las firmas. Por ejemplo. por lo general. Guía del producto McAfee Host Intrusion Prevention 8. Preparación para protección máxima Evitar las firmas con una gravedad alta y media.0 39 . • Bajo: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema están bloqueados y no se pueden modificar. puede crear. registrar las que tienen una gravedad baja y omitir el resto. no son de comportamiento. Evite estas firmas en los sistemas más importantes. • Medio : firmas de actividades relacionadas con el comportamiento en las que las aplicaciones funcionan fuera de su ámbito.Configuración de directivas IPS Configuración de la reacción para firmas IPS Configuración de la reacción para firmas IPS La directiva Protección IPS define la reacción protectora para los niveles de gravedad de firma. Protección máxima Evitar las firmas con una gravedad alta. se aumenta la seguridad del sistema subyacente. Evite estas firmas en todos los sistemas. registrar las que tienen una gravedad media y omitir el resto. puede establecer evitar como reacción. Puede ver y duplicar directivas preconfiguradas. puede seleccionar ignorar como reacción. pero es necesario realizar ajustes adicionales. así como en los servidores Web y SQL. Estos niveles de gravedad indican peligro potencial para un sistema y le permiten definir reacciones específicas para distintos niveles de daño potencial. editar. Preparación para protección mejorada Evitar las firmas con gravedad alta. borrar y exportar directivas personalizadas. Estas firmas son específicas para amenazas bien identificadas y. volver a nombrar. no demuestran un ataque. Advertencia Registrar las firmas con una gravedad alta y omitir el resto. basada en la directiva McAfee Default. por lo general. Si se evitan estas firmas.0 para ePolicy Orchestrator 4.

a continuación. haga los cambios que sean necesarios y. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Protección IPS en la lista Categoría. Definición de protección de IPS Las directivas de reglas IPS aplican las protecciones de prevención de intrusión. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. volver a nombrar. borrar y exportar las directivas personalizadas que haya creado. Puede ver y duplicar la directiva preconfigurada. Cada directiva Reglas IPS incluye detalles configurables de: • Firmas • Reglas de protección de aplicaciones • Reglas de excepción Tambien necesita ir a la página Host IPS. haga clic en Guardar. duplicar. 2 En la lista de directivas Protección IPS que aparece. eliminar y exportar. NOTA: para las directivas editables. 40 Guía del producto McAfee Host Intrusion Prevention 8.0 . Para las directivas no editables. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada.0 para ePolicy Orchestrator 4. Tarea Para ver las definiciones de las opciones. 3 En la página Protección IPS que aparece. También puede asignar más de una instancia de la directiva para unir varias reglas de directiva. duplicar. Esta directiva es una directiva de instancia múltiple que puede tener asignadas varias instancias. puede editar. Tarea Para ver las definiciones de las opciones. otras opciones incluyen cambiar nombre.Configuración de directivas IPS Definición de protección de IPS Configuración de la directiva Protección IPS Configure las opciones de esta directiva para establecer las reacciones protectoras para firmas de un nivel de gravedad concreto. las opciones incluyen visualizar y duplicar. haga clic en ? en la interfaz. Configuración de la directiva Reglas IPS Configure las opciones de esta directiva para definir firmas. reglas de protección de aplicaciones y excepciones. en Informes. para trabajar con: • Eventos IPS • Reglas IPS de cliente Selecciones de directiva Esta categoría de directiva contiene una directiva predeterminanda preconfigurada que proporciona protección IPS básica. haga clic en ? en la interfaz.

otras opciones incluyen: cambiar nombre. 2 En la lista de directivas Reglas IPS.0: IPS/General en la lista Producto. McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible. Para las directivas no editables. Una directiva de varias instancias puede ser útil para un servidor IIS. eliminar y exportar. una directiva de servidor y una directiva IIS. en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema. haga clic en Guardar. está asignando una unión de todos los elementos de cada instancia de la directiva. Configuración de las reglas de protección de aplicaciones IPS y Configuración de las excepciones IPS para obtener más detalles. a continuación. 4 Haga clic en Guardar para guardar todos los cambios. Tarea Para ver las definiciones de las opciones. Guía del producto McAfee Host Intrusion Prevention 8. a continuación. Cuando asigna instancias múltiples. haga clic en Ver Directiva efectiva. seleccione un grupo del Árbol de sistemas que contenga el sistema y.0 para ePolicy Orchestrator 4. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva. haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva. las opciones incluyen visualizar y duplicar. La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia. donde puede aplicar una directiva general predeterminada. NOTA: para un sistema único. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido. Se muestra la lista de directivas. y para Reglas IPS/Aplicaciones de confianza. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. Para las directivas que tienen instancias múltiples. NOTA: para las directivas editables. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. duplicar. las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS. seleccione Host Intrusion Prevention 8. 3 En la página Reglas IPS que aparece. haga los cambios que sean necesarios y. 2 En Directivas.0 41 .Configuración de directivas IPS Definición de protección de IPS 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. por ejemplo. Consulte Configuración de firmas IPS. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas. haga clic en ? en la interfaz. haga clic en Editar asignaciones. 3 En la página Asignación de directiva. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas.

Las versiones de McAfee Default de estas directivas se actualizan cada vez que se actualiza el contenido de seguridad Host Intrusion Prevention.0 . • La configuración de reglas de cliente efectivas de una firma es la configuración personalizada. Si no se personaliza la gravedad. Todas las otras directivas son directivas de instancia única. las reglas de cliente 42 Guía del producto McAfee Host Intrusion Prevention 8. Si no se personaliza el estado de registro. una combinación de tres departamentos.0 para ePolicy Orchestrator 4. Después de esto. Para las reglas IPS: • La gravedad efectiva para una firma es la gravedad personalizada más alta. La prioridad es: Alta. Cuando se aplica más de una instancia. Si se personalizan en dos o más directivas Reglas IPS aplicadas. ¿Cómo puedo utilizar la asignación de la directiva de instancias múltiples para simplificar mi despliegue? Primero. Media. Baja. una para una ubicación concreta y una para un tipo de equipo concreto) y aplique la instancia adecuada. Desactivada. cree instancias de reglas IPS y directivas de aplicaciones de confianza para cada grupo de usuarios (una directiva de reglas IPS para un departamento concreto. defina grupos de usuarios para el despliegue que tengan una propiedad esencial en común que dicte qué recursos deben protegerse y qué recursos necesitan excepciones para trabajar correctamente. Esta propiedad podría estar basada en: • Departamento: cada departamento debería requerir protección de un conjunto único de recursos y excepciones para un conjunto único de actividades empresariales. tres ubicaciones y tres tipos de equipo serían necesarias 27 directivas. A continuación. • Tipo de equipo: cada tipo de equipo (equipo portátil. el resultado es una unión de todas las instancias llamada la directiva efectiva. Por esta razón. estaciones de trabajo. • El estado de registro efectivo de una firma es el estado de registro personalizado. el estado de registro personalizado activado tiene prioridad sobre el desactivado.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: directivas de instancias múltiples Host Intrusion Prevention ofrece dos directivas de instancias múltiples: Reglas IPS y Aplicaciones de confianza. ¿Cómo se calcula la directiva efectiva? Es posible que una regla de una instancia tenga una configuración que contradiga la de la misma regla en otra instancia de la directiva. Si se personaliza en dos o más directivas Reglas IPS aplicadas. se aplica el valor predeterminado. se aplica el valor predeterminado. IPS en host tiene reglas para gestionar estos conflictos al establecer la directiva efectiva total. Información. y cree excepciones y aplicaciones de confianza para cada grupo. proteja los recursos. Puede utilizar el modo de adaptación para determinar qué recursos proteger o en cuáles confiar para un grupo dado. servidores) puede tener un conjunto único de aplicaciones que necesite protección pero que también pueda realizar funciones empresariales esenciales. Sin una directiva de reglas IPS de instancias múltiples. Pero las reglas en las diferentes directivas asignadas se contradicen. se necesitan solo nueve. • Ubicación: cada ubicación puede tener sus propios estándares de seguridad únicos o un conjunto único de recursos que necesiten protección y excepciones para la actividad empresarial. Estas directivas permiten la aplicación de más de una directiva de forma simultánea en un único cliente. con el enfoque de las instancias múltiples. siempre se tienen que asignar estas políticas a los clientes para comprobar que se aplican las actualizaciones del contenido de seguridad.

las firmas basadas en host generan un evento IPS que aparece en la ficha Eventos de la ficha IPS en host. Firmas de Host IPS Las firmas de prevención de intrusión basadas en host detectan y evitan los ataques de actividad de las operaciones del sistema e incluyen las reglas Archivo. • Bajo: firmas más relacionadas con el comportamiento y que protegen las aplicaciones. no demuestran un ataque. incluso si la misma aplicación no está marcada como de confianza para esta función en otra directiva de aplicaciones de confianza asignada. Si se evitan estas firmas. Los eventos de este nivel se dan durante la actividad normal del sistema y.0 para ePolicy Orchestrator 4. Cada firma tiene una descripción y un nivel de gravedad predeterminado. un administrador puede modificar el nivel de gravedad de una firma. El blindaje bloquea los recursos de sistema y aplicaciones para que no puedan cambiarse. por lo general. Registro. Cada firma tiene un nivel de gravedad predeterminado. Deberían prevenirse en todos los hosts. • Medio: firmas más relacionadas con el comportamiento y que evitan el funcionamiento de las aplicaciones fuera de su entorno (relevante para clientes que protegen servidores Web y Microsoft SQL Server 2000). Si no se personaliza la configuración de las reglas de cliente. en Informes. • Información: indica una modificación en la configuración del sistema que puede crear un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Para las aplicaciones de confianza: • El conjunto de aplicaciones de confianza es la unión de todas las aplicaciones de confianza. se aumenta la seguridad del sistema subyacente. no son de comportamiento. que describe el peligro potencial de un ataque: • Alto: firmas que protegen frente a amenazas de seguridad o acciones dañinas claramente identificables. metodologías de ataque e intrusiones en una red. • Firmas de IPS personalizadas: firmas de Host Intrusion Prevention personalizadas creadas por el usuario. Servicio y HTTP. se aplica el valor predeterminado. Tipos de firmas La directiva Reglas IPS puede incluir tres tipos de firmas: • Firmas de Host IPS: firmas predeterminadas de Host Intrusion Prevention. pero es necesario realizar ajustes adicionales. • Firmas IPS en red: firmas predeterminadas de prevención de intrusión de red. • Marcar una aplicación como de confianza para IPS o Firewall tiene prioridad. Cómo funcionan las firmas de IPS Las firmas describen amenazas de seguridad. La mayoría de estas firmas son específicas para amenazas bien identificadas y.0 43 . Con los niveles de privilegios adecuados. Guía del producto McAfee Host Intrusion Prevention 8. por lo general. Al activarse.Configuración de directivas IPS Definición de protección de IPS personalizadas activadas tienen prioridad sobre las desactivadas. • El conjunto de excepciones efectivo es la unión de todas las excepciones aplicadas. Es conveniente prevenir estas firmas en los servidores importantes después del ajuste. Están desarrolladas por los expertos en seguridad de Host Intrusion Prevention y se proporcionan con el producto y con las actualizaciones del contenido.

3 Realice una de las operaciones siguientes: Para. Haga clic en Quitar para quitar la configuración del filtro.. Aparecen en la misma lista de firmas que las firmas basadas en host. Cada firma tiene una descripción y un nivel de gravedad predeterminado. por ejemplo. si el cliente esta habilitado o texto concreto que incluya nombre. Haga clic en Aceptar para guardar las modificaciones. agregue firmas personalizadas y mueva firmas a otra directiva de la ficha Firmas de la directiva Reglas IPS. de las Reglas de cliente o del Estado de registro e introducir notas en el cuadro Nota para documentar el cambio. direcciones IP. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. Se puede revertir la configuración predeterminada de las firmas Guía del producto McAfee Host Intrusion Prevention 8. Para trabajar con firmas. Puede crear excepciones para firmas basadas en red. Los eventos generados por firmas basadas en red se muestran junto con los eventos basados en host en la ficha Eventos y presentan el mismo comportamiento que los eventos basados en host. Los detalles avanzados contienen parámetros específicos de red que se pueden especificar. a continuación. Configuración de firmas IPS Edite firmas predeterminadas. estado de registro. sin embargo. tipo. al crear una carpeta nueva con archivos importantes. haga clic en la ficha Firmas. 2 En Acciones. no puede especificar atributos de parámetros adicionales... Con los niveles de privilegios adecuados. Editar una firma En Acciones. haga clic en la ficha Firmas en la directiva Reglas IPS. haga clic en ? en la interfaz. un administrador puede modificar el nivel de gravedad de una firma. notas o versión de contenido de las firmas.0 para ePolicy Orchestrator 4.0 . Por ejemplo. Haga lo siguiente.. Tarea Para ver las definiciones de las opciones.Configuración de directivas IPS Definición de protección de IPS Firmas de IPS personalizadas Las firmas personalizadas son firmas basadas en host que puede crear para ofrecer protección adicional a la protección predeterminada. como el usuario del sistema operativo o el nombre del proceso. Se muestra la lista de directivas. Firmas IPS de red Las firmas de prevención de intrusos basadas en red detectan y evitan los ataques de red conocidos que llegan al sistema host. haga clic en Editar. puede crear una firma personalizada para protegerla. puede modificar la configuración del Nivel de gravedad. Puede filtrar según gravedad de la firma. • 44 Si la firma es una firma predeterminada. Buscar una firma en la lista Utilice los filtros situados en primera posición en la lista de firmas. haga clic en Editar para hacer los cambios en la página Reglas IPS y. plataforma. NOTA: no puede crear firmas personalizadas basadas en la red.

. Agregar una firma Haga clic en Nueva o Nueva (Asistente). la firma vuelve a ordenarse en la lista. de las Reglas de cliente. NOTA: puede copiar varias firmas a la vez seleccionando todas las firmas antes de hacer clic en Copiar en. seleccione Nueva subregla estándar o Nueva subregla de experto para crear una regla. seleccione la casilla para cambiar los valores predeterminados. Por ello. a continuación.. haga clic en Eliminar. haga clic en Nueva..0 45 . haga clic en Aceptar . Creación de firmas personalizadas Cree firmas de prevención de intrusiones en host personalizadas desde la ficha Firmas de la directiva Reglas IPS para proteger operaciones específicas no cubiertas por firmas predeterminadas. En la página que aparece.0 para ePolicy Orchestrator 4. predeterminadas haciendo clic en Revertir en Acciones. Copiar una firma en otra directiva Seleccione la firma y haga clic en Copiar en para copiarla en otra directiva.. haga clic en ? en la interfaz. Esta descripción aparece en el Evento IPS al activarse la firma. NOTA: cuando haya editado una firma y guardado los cambios. del Estado de registro o de la Descripción e introduzca notas en el cuadro Nota pata documentar el cambio. Tarea Para ver las definiciones de las opciones. seleccione la configuración de los tres elementos editables y. modifique la configuración del Nivel de gravedad. Aparecerá una página Firma en blanco. 3 En la ficha Descripción. el estado de registro y si se debe permitir la creación de reglas de cliente. seleccionando las firmas y haciendo clic en Editar varias. el nivel de gravedad. Para los niveles de gravedad. 2 En la ficha Firma IPS de la firma. 4 Haga clic en Guardar para guardar los cambios. escriba un nombre (obligatorio) y seleccione la plataforma. Indique la directiva en la que desea copiar la firma y haga clic en Aceptar. Eliminar una firma personalizada En Acciones.Configuración de directivas IPS Definición de protección de IPS Para. quizás tendrá que buscar en la lista para encontrar la firma editada. introduzca una descripción de lo que va a proteger la firma. Haga lo siguiente. 1 En la ficha Firmas de la directiva Reglas IPS. las reglas de cliente y el estado de registro. 4 En la ficha Subreglas. Guía del producto McAfee Host Intrusion Prevention 8. • Si la firma es una firma personalizada. NOTA: solo se pueden eliminar la firmas personalizadas. NOTA: puede realizar cambios en varias firmas a la vez. Haga clic en Aceptar para guardar las modificaciones.

Interceptación. Programas. Registros. Guía del producto McAfee Host Intrusion Prevention 8. 46 1 En la ficha Firmas de Reglas IPS. 4 Incluya un ejecutable como un parámetro con información sobre por lo menos uno de estos cuatro valores: descripción del archivo. HTTP. Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla. identificación por huellas digitales hash MD5 o firmante. Se ha compilado la regla y se ha verificado la sintaxis. nombre del archivo. Antes de escribir una regla. 2 2 Especifique la clase de operaciones que están bloqueadas y que van a activar la firma. aparecerá un cuadro de diálogo en el que se describe el error. 5 Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla. 3 Indique si desea incluir o excluir un parámetro en concreto.0 para ePolicy Orchestrator 4. Servicios y SQL. agregar o borrar operaciones. Esta descripción aparece en el Evento IPS al activarse la firma. 1 Escriba un nombre para la firma (obligatorio) y seleccione un tipo de clase de regla.Configuración de directivas IPS Definición de protección de IPS Método estándar Método experto El método estándar limita el número de tipos que se pueden incluir en la regla de firma. Tarea Para ver las definiciones de las opciones. Utilice el formato ANSI y la sintaxis TCL. introduzca una descripción de lo que va a proteger la firma. Corrija el error y verifique la regla de nuevo. Haga clic en Siguiente para continuar. Las opciones incluyen: Archivos. NOTA: puede incluir varias reglas en una firma. aparecerá un cuadro de diálogo en el que se describe el error. Si hay un error en la verificación de la regla. 3 En la ficha Descripción. Si hay un error en la verificación de la regla. NOTA: las firmas que se crean con el asistente no tienen ninguna flexibilidad para las operaciones que la firma está protegiendo ya que no puede cambiar. 1 Escriba la sintaxis de la regla para las firmas. consulte la sección de clase adecuada de Escritura de firmas personalizadas y excepciones. haga clic en ? en la interfaz. 2 En la ficha Información básica. haga clic en Nueva (Asistente). le permite proporcionar la sintaxis de las reglas sin limitarle al número de tipos que se pueden incluir en la firma. Corrija el error y verifique la regla de nuevo. El método experto. operaciones y parámetros. recomendado solo para usuarios avanzados. el estado de registro y si se debe permitir la creación de reglas de cliente. cuál es y su valor.0 . asegúrese de que entiende las reglas de sintaxis. el nivel de gravedad. Creación de firmas personalizadas con un asistente Utilice el asistente de firma personalizada para simplificar la creación de nuevas firmas. 4 En la ficha Definición de regla. seleccione el elemento que desea proteger de las modificaciones e introduzca los detalles. 5 Haga clic en Aceptar. escriba un nombre y seleccione la plataforma. 5 Haga clic en Aceptar. Para obtener detalles sobre cómo trabajar con tipos de clases. que pueden incluir un nombre para la regla. Se ha compilado la regla y se ha verificado la sintaxis.

txt” } Cómo funcionan las reglas de protección de aplicaciones de IPS Las reglas de protección de aplicaciones controlan qué procesos reciben una protección contra desbordamiento de búfer genérica de Host Intrusion Prevention.txt” } ! (signo de exclamación) Escape de caracteres comodín.0 para ePolicy Orchestrator 4. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. Ejemplo: files { Include “C:\test\\&. ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras. ¿Qué caracteres comodín puedo usar para los valores de subregla experta de firma? Para todos los valores cuando se crea una subregla mediante el método experto: Carácter Definición ? (signo de interrogación) Un solo carácter. * (un asterisco) Varios caracteres incluidos / y \.txt” ” } & (y comercial) Varios caracteres excepto / y \. | (canalización) Escape de caracteres comodín. | (canalización) Escape de caracteres comodín. Ejemplo: files { Include “C:\test\\yahoo!. * (un asterisco) Varios caracteres excluidos / y \. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos. Estas reglas permiten o bloquean el enlace de API a nivel de usuario para listas definidas y generadas de procesos. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter.0 47 . Ejemplo: files { Include “C:\*. los ejecutables y las URL. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. el escape es |*|*.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: uso de caracteres comodín en las reglas IPS Las reglas IPS en host permiten el uso de caracteres comodín cuando se introducen valores en ciertos campos. las claves de registro. * (un asterisco) Varios caracteres incluidos / y \. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. El enlace de Guía del producto McAfee Host Intrusion Prevention 8. ** (dos asteriscos) Varios caracteres incluidos / y \. NOTA: para **.

Configuración de directivas IPS Definición de protección de IPS registro y archivos a nivel del kernel no se ve afectado. 48 Guía del producto McAfee Host Intrusion Prevention 8. • Cada vez que se inicia un proceso.0 para ePolicy Orchestrator 4. la opción "Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones" de la directiva Opciones de IPS debe estar seleccionada. de manera implícita. los procesos a los que se permite el enlace se agregan dinámicamente a la lista cuando el análisis del proceso está habilitado. Host Intrusion Prevention proporciona una lista estática de procesos que se permiten o bloquean. Si no está excluido. Además. • Cada vez que la lista de protección de la aplicación se actualiza mediante el servidor de ePolicy Orchestrator. • Cada vez que la lista de procesos que escuchan en un puerto de red se actualiza. Este análisis se realiza en estas circunstancias: • Cada vez que el cliente se inicia y se enumeran los procesos en ejecución.0 . comprueba si se ha incluido en la lista Protección de aplicaciones. Si no es así. Solo los procesos que en la lista muestran el estado incluido reciben la protección contra desbordamiento de búfer. todos los servicios y las aplicaciones de Windows que escuchan en puertos de red. Esta opción incluye. Si tampoco es así. Este análisis implica la comprobación de si el proceso está excluido de la lista Protección de aplicaciones. el proceso se analiza para ver si escucha en un puerto de red o se ejecuta como un servicio. se bloquea el enlace y el proceso no se protege. NOTA: para la actualización dinámica de la lista. Esta lista se actualiza con actualizaciones de contenido que se aplican a la directiva Reglas IPS de McAfee Default.

Un proceso enlazado se desenlaza si el servidor envía una lista Guía del producto McAfee Host Intrusion Prevention 8.0 49 . Cuando se llama al API. Los procesos que no estén ya enlazados y que no formen parte del bloqueo estático se enlazarán. la cual se actualiza siempre que un proceso se enlaza o desenlaza. que es la clave para que el caché busque un proceso. Figura 1: Análisis de Reglas de protección de aplicaciones El componente de IPS mantiene un caché de información al ejecutar procesos. el componente IPS localiza la entrada correspondiente en su lista de procesos en ejecución. llama a un API exportado por un componente IPS y pasa la información al API para que lo añada a la lista supervisada.0 para ePolicy Orchestrator 4. se permite el enlace y se protege el proceso. La API exportada por el componente IPS también permite a la interfaz del usuario de cliente obtener la lista de los procesos enlazados actualmente. El componente de firewall determina si un proceso escucha en un puerto de red.Configuración de directivas IPS Definición de protección de IPS Si escucha en un puerto o se ejecuta como un servicio. Este caché realiza el seguimiento de la información de enlazado. El firewall proporciona el PID (ID del proceso).

haga clic en ? en la interfaz. agregue y elimine reglas.Configuración de directivas IPS Definición de protección de IPS de procesos actualizada que especifique que el proceso ya enlazado no debería seguir enlazado. Se muestra la lista de directivas. 50 Guía del producto McAfee Host Intrusion Prevention 8. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. Creación de reglas de protección de aplicaciones Si la directiva Reglas IPS no tiene una regla de protección de aplicaciones que necesite en su entorno. 2 En Acciones. se procede a enlazarlo.. La interfaz de usuario de cliente. Tarea Para ver las definiciones de las opciones. Buscar una regla de aplicación en la lista Utilice los filtros situados en primera posición en la lista de aplicaciones. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar.. La lista de enlazado de procesos puede verse y editarse en la ficha Reglas de protección de aplicaciones. NOTA: para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook. Haga lo siguiente.0 para ePolicy Orchestrator 4. Editar una regla de aplicación En Acciones. Si las listas indican que un proceso no debería estar enlazado y lo está. haga clic en la ficha Reglas de protección de aplicaciones. haga clic en Eliminar. se procede a eliminar el enlace.0 . muestra una lista estática de todos los procesos de aplicación enlazados. Puede filtrar según el estado de la regla. Configuración de reglas de protección de aplicaciones de IPS Edite. 3 Realice una de las operaciones siguientes: Para. haga clic en Editar. a continuación. Si la lista indica que un proceso debería estar enlazado y no lo está. 4 Haga clic en Guardar para guardar los cambios. haga clic en Editar para hacer los cambios en la página Reglas IPS y. Haga clic en Quitar para quitar la configuración del filtro.. puede crear una.. Agregar una regla de aplicación Haga clic en Nueva. cada proceso enumerado en el caché de información de procesos en ejecución se compara con la lista actualizada. a diferencia de la vista de la directiva Reglas IPS. la inclusión o un texto específico que incluya el nombre del proceso. Eliminación de una regla de aplicación En Acciones. la ruta o el nombre del equipo. incluya el ejecutable en la lista de protección de aplicaciones. Copiar una regla de aplicación en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva. y muévalas a otra directiva desde la ficha Reglas de protección de aplicaciones de Reglas IPS de la directiva Reglas IPS. Cuando la lista de enlaces del proceso se actualiza.

Por tanto. Introduzca el nombre (obligatorio). Guía del producto McAfee Host Intrusion Prevention 8. Esta firma indica que la aplicación de correo electrónico Outlook está intentando modificar una aplicación fuera del envoltorio de recursos habituales de Outlook. No obstante. el estado. Notepad. De manera alternativa. cambio de nombre o eliminación) de una carpeta concreta.Suspicious Executable Mod. puesto que Outlook podría estar modificando una aplicación que normalmente no está asociada con el correo electrónico. NOTA: puede agregar un ejecutable existente del catálogo de IPS en host al hacer clic en Agregar desde catálogo. minimizan el flujo de datos innecesarios hacia la consola y garantizan que las alertas sean amenazas de seguridad reales.exe. haga clic en ? en la interfaz. Para obtener más información sobre el catálogo. cree una excepción que permita que la aplicación realice dichos cambios en los archivos. guardar un archivo con Outlook. por ejemplo. 1 En la ficha Reglas de protección de aplicaciones de la directiva Reglas IPS.0 para ePolicy Orchestrator 4. un comportamiento que se interpretaría como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. 3 Haga clic en Guardar.0 51 . Configuración de las excepciones IPS Edite. 2 • Seleccione una regla y haga clic en Duplicar. si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico.exe. si la regla de la aplicación se incluye en la lista de protección y los ejecutables a los que desea aplicar la regla. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall. podría sospechar que se ha instalado un troyano. haga clic en Editar. haga algo de lo siguiente: • Haga clic en Nueva. un evento activado por esta firma es motivo de alarma. agregue y elimine excepciones. Aparecerá una página Aplicación en blanco. En este ejemplo. SUGERENCIA: si crea una firma personalizada que evite la modificación de archivos (edición. Esto se denomina alerta de falso positivo. Se muestra la lista de directivas. Tarea Para ver las definiciones de las opciones. Cómo funcionan las excepciones de IPS A veces.Configuración de directivas IPS Definición de protección de IPS Tarea Para ver las definiciones de las opciones. por ejemplo. Después de darle un nombre y guardar la nueva regla. Para evitar los falsos positivos. al realizar pruebas de los clientes. puede agregar a la subregla de la firma personalizada el parámetro con la aplicación configurada como Excluir. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. debe crear una excepción que permita esta acción. Por ejemplo. y muévalas a otra directiva desde la ficha Excepciones de reglas IPS de la directiva Reglas IPS. cree una excepción para dicho comportamiento. Las excepciones permiten reducir alertas de falsos positivos. un cliente reconoce la firma Outlook Envelope . pero desea que una aplicación específica pueda realizar dichas modificaciones. haga clic en ? en la interfaz.

haga clic en Eliminar. los parámetros o los grupos de dominio que representan un papel como excepción según comportamiento para la firma. si se detecta y se informa de ello al servidor ePO. 3 Configure los ejecutables.. Esto puede implicar la definición de parámetros y valores de excepción. incluya las firmas en las que se aplique la excepción. 3 Realice una de las operaciones siguientes: Para. 2 Ponga nombre a la excepción.0 para ePolicy Orchestrator 4. Puede filtrar según estado de la regla. haga clic en ? en la interfaz. Baja e Información. Haga lo siguiente. cree una excepción para dicha firma. Buscar una regla de excepción en la lista Utilice los filtros situados en primera posición en la lista de excepciones. Creación de reglas de excepción Para permitir un comportamiento impedido por una firma. 52 Guía del producto McAfee Host Intrusion Prevention 8. asegúrese de que está activada y. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. Tarea Para ver las definiciones de las opciones. 4 Haga clic en Guardar para guardar los cambios..Configuración de directivas IPS Supervisión de eventos IPS 2 En Acciones. haga clic en Editar para hacer los cambios en la página Reglas IPS y. se adopta la reacción de firma con el nivel más alto. 4 Haga clic en Guardar. Haga clic en Quitar para quitar la configuración del filtro. con uno de los cuatro criterios de nivel de seguridad: Alta. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar. en Informes. Editar una regla de excepción En Acciones. junto con los demás eventos del resto de productos gestionados por ePolicy Orchestrator). haga clic en la ficha Reglas de excepción.0 . a continuación. Copiar una regla de excepción en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva. haga clic en Editar. Consulte Escritura de firmas personalizadas y excepciones para obtener más información sobre este tema. Media. fecha de modificación o texto específico que incluya regla o texto de notas. Agregar una regla de excepción Haga clic en Nueva. según lo definido en una firma. a continuación.. NOTA: cuando la misma operación activa dos eventos. El evento IPS aparece en la ficha Eventos de la ficha Host IPS (o en la ficha Registro de eventos. 1 En la ficha Reglas de excepción de la directiva Reglas IPS. Supervisión de eventos IPS Un evento IPS se desencadena cuando se produce una infracción de la seguridad. haga clic en Nueva. Eliminar una regla de excepción En Acciones..

puede crear una regla de excepción o una regla de aplicación de confianza para dicho comportamiento. La instalación de WinZip agrega un valor a la clave de registro Ejecutar. Por otra parte. puede determinar qué eventos pueden permitirse y cuáles indican un comportamiento sospechoso. Filtrado y agregación de eventos La aplicación de eventos genera una lista de eventos que satisface todas las variables definidas en los criterios de filtro. Para eliminar el inicio de eventos cada vez que alguien instala software autorizado. Para permitir los eventos. Cuando esto se produce. También puede indicar algo benigno. configure el sistema con lo siguiente: • Excepciones: reglas que anulan una regla de firma. Este proceso de ajuste mantiene en un nivel mínimo los eventos que aparecen. lo cual indica que se modifica o se crea un valor en las claves del Registro siguientes: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce Dado que los valores almacenados bajo estas claves indican programas que se inician al encender el equipo. El resultado es una lista de eventos mostrados en grupos y ordenados por el valor asociado con las variables seleccionadas. puede crear excepciones para dichos eventos. • Aplicaciones de confianza: aplicaciones que se marcan como de confianza cuyas operaciones podrían ser bloqueadas por una firma. cree una excepción para este evento. de forma que se dispone de más tiempo para analizar los eventos graves que se producen. Outlook). La agregación de eventos de cliente genera una lista de eventos agrupados por el valor asociado con cada variable seleccionada en el cuadro de diálogo "Seleccionar columnas para agregar". también podría detectar que una serie de clientes activan los programas de inicio de las firmas. un evento activado por esta firma es motivo de alarma.exe. Por ejemplo. y esta acción se detectaría mediante la firma TCP/IP Port 25 Activity (SMTP). Guía del producto McAfee Host Intrusion Prevention 8. La creación de excepciones y aplicaciones de confianza le permite disminuir las alertas de falsos positivos y garantiza que las notificaciones que recibe son importantes. puede tener sospechas razonables de que se trata de un troyano. es posible que algunos de ellos reconozcan la firma de acceso a correo electrónico. durante el proceso de prueba de clientes. El resultado es una lista de eventos que incluye todos los criterios. Por ejemplo. Normalmente. Cuando vea esta firma. Reacción a los eventos En algunas circunstancias.0 53 . investigue el proceso que inició el evento. un comportamiento que se interprete como un ataque puede ser una parte normal de la rutina de trabajo de un usuario.0 para ePolicy Orchestrator 4. Si el proceso no está asociado normalmente con el correo electrónico. el reconocimiento de esta firma podría indicar que alguien está intentando alterar el sistema. como la instalación de WinZip por parte de un empleado en uno de sus equipos. Si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico (por ejemplo. como Notepad. también es posible que el tráfico normal del correo electrónico coincida con esta firma. reservado normalmente para aplicaciones de correo electrónico. Los piratas informáticos pueden instalar aplicaciones de troyanos que utilicen el puerto TCP/IP 25.Configuración de directivas IPS Supervisión de eventos IPS De la lista de eventos generada.

NOTA: el comando está en el menú Más acciones. Tarea Para ver las definiciones de las opciones. incluidos los permisos de vista para acceder al registro de eventos.0 . 5 54 Haga clic en. Consulte Creación de una excepción a Guía del producto McAfee Host Intrusion Prevention 8. nivel de gravedad o fecha de creación.0 para ePolicy Orchestrator 4. Agregar excepciones Haga clic en Agregar. Cree una regla de excepción o de aplicación de confianza.Configuración de directivas IPS Supervisión de eventos IPS Gestión de eventos IPS La visualización de eventos IPS procedentes de clientes y la creación de excepciones o aplicaciones de confianza de los mismos ayudan a ajustar y reforzar la seguridad. oculto. seleccione los criterios en los que desea agrupar los eventos y.... Filtrar por criterios de eventos Seleccione un tipo de evento. no leído. seleccione Solo este grupo o Este grupo y todos los subgrupos. Haga clic en Quitar para eliminar la configuración de agregación. a continuación.0 y. Para. Ver detalles del evento Haga clic en el evento. Aparecerán todos los eventos asociados al grupo.. o haga clic en Nueva aplicación de confianza para crear una regla de aplicación. NOTA: los eventos IPS también aparecen en la ficha Registro de eventos en Informes junto con todos los otros eventos para todos los sistemas. sistemas y árbol de sistemas. Haga clic en Quitar para quitar la configuración del filtro. estado marcado (leído. 1 Vaya a Informes | Host IPS 8.. Marque los eventos para facilitar su filtrado y seguimiento: seleccione la casilla de uno o más eventos y después haga clic en el comando adecuado. De forma predeterminada. Marcar como leído Marcar el evento como leído Marcar como no leído Marcar un evento leído como no leído Marcar como oculto Ocultar el evento Marcar como mostrado Mostrar los eventos ocultos. no se muestran todos los eventos. En la página Seleccionar columnas. Haga lo siguiente. Seleccione un evento y haga clic en Nueva excepción para crear una excepción. haga clic en Aceptar. Filtrar por grupos Desde el menú Filtro. 2 Seleccione el grupo en el árbol de sistemas del que desea mostrar los eventos IPS. 3 Determine cómo desea ver la lista de eventos: 4 Para. mostrado).. Solo aparecerán los eventos de los últimos 30 días. haga clic en ? en la interfaz.. haga clic en Eventos. Aparece la página Registro de eventos. Seleccionar las columnas que se han de mostrar Seleccione Opciones | Elegir columnas. a continuación. El acceso a las fichas de eventos en Informes requiere configuraciones de permisos adicionales. Ordernar por columna Haga clic en el encabezamiento de la columna. Nota: debe filtrar primero por eventos ocultos para poder seleccionarlos.. quite o reordene las columnas que se mostrarán. agregue.

NOTA: el comando está en el menú Acciones. seleccione una directiva de destino de aplicaciones de confianza y haga clic en Aceptar. Guía del producto McAfee Host Intrusion Prevention 8. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host. Tarea Para ver las definiciones de las opciones. mueva la excepción a una directiva Reglas IPS o ajuste la gravedad de la firma.0 para ePolicy Orchestrator 4. NOTA: el comando está en el menú Más acciones.0 o en la página Registro de eventos. tiene la opción de crear una excepción. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Aplicaciones de confianza.0 o en la página Registro de eventos. Tarea Para ver las definiciones de las opciones. requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention. haga clic en ? en la interfaz. Supervisión de reglas de cliente IPS Necesita analizar periódicamente las reglas de cliente IPS creadas automáticamente cuando los clientes están en modo de adaptación. incluidos permisos de vista para acceder al registro de eventos. o manualmente en el cliente que proporciona la opción directiva IU de cliente. seleccione una directiva de destino Reglas IPS y haga clic en Aceptar. 3 En el cuadro de diálogo que aparece. en Informes. ya que podrían indicar un problema grave o un falso positivo. 2 Haga clic en Nueva aplicación de confianza.0 55 . Si se trata de un falso positivo. 1 Seleccione la casilla del evento para el que quiere crear una excepción. Desde aquí. tiene la opción de crear una aplicación de confianza. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Reglas IPS. Las reglas de cliente IPS son excepciones creadas en un cliente para permitir una funcionalidad bloqueada por una firma. Preste especial atención a las excepciones de las firmas de gravedad alta. 3 En el cuadro de diálogo que aparece.Configuración de directivas IPS Supervisión de reglas de cliente IPS partir de un evento o Creación de una aplicación de confianza a partir de un evento para obtener detalles. haga clic en ? en la interfaz. sistemas y árbol del sistema. 1 Seleccione la casilla del evento para el que quiere crear una aplicación de confianza. puede ver o editar los detalles de la nueva aplicación. 2 Haga clic en Nueva excepción. Creación de una aplicación de confianza de un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8. Creación de una excepción para un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8. para permitir que la creación manual de reglas de cliente se habilite.

. al tiempo que se realiza un seguimiento del número de veces que se producen las excepciones.Configuración de directivas IPS Supervisión de reglas de cliente IPS Puede ordenar. haga clic en ? en la interfaz. 3 Determine cómo desea ver la lista de excepciones de cliente: 4 56 Para. filtrar y agregar las excepciones y ver sus detalles. Esto permite encontrar más fácilmente los puntos problemáticos de protección de IPS en los clientes. Haga lo siguiente. seleccione los criterios a los que desea agregar las excepciones y. sistemas y árbol del sistema.0 . Filtrar por criterios de excepción Seleccione el criterio de tiempo. De este modo. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente. Gestión de reglas de cliente IPS La visualización de las reglas de cliente IPS creadas automáticamente en el modo de adaptación o manualmente en un cliente y cómo moverlas a una directiva Reglas IPS o Aplicaciones de confianza permite un ajuste sencillo de la protección IPS. el nombre del equipo o la firma ID en el cuadro de texto de búsqueda y pulse Volver. en Informes.. a continuación. Ordernar por columna Haga clic en el encabezamiento de la columna. Haga clic en Quitar para eliminar la configuración de agregación. puede ascender algunas o todas las excepciones de clientes a una directiva Reglas IPS concreta para reducir los falsos positivos en un entorno del sistema concreto. Tarea Para ver las definiciones de las opciones. Agregar excepciones Haga clic en Agregar. Guía del producto McAfee Host Intrusion Prevention 8. Para mover excepciones a una directiva.0 y haga clic en Reglas de cliente de IPS. seleccione una o más excepciones de la lista. Use la función de agregación para combinar excepciones que tengan los mismos atributos. requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention. 1 Vaya a Informes | Host IPS 8.. incluidos permisos de vista para acceder al registro de eventos.. el nombre del proceso. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host. haga clic en Crear excepción e indique la directiva a la que desea mover las excepciones. Filtrar por grupos Desde el menú Filtro seleccione Solo este grupo o Este grupo y todos los subgrupos. el nombre de usuario. escriba la ruta del proceso. para que solo aparezca una excepción agregada. haga clic en Aceptar.0 para ePolicy Orchestrator 4. Haga clic en Quitar para quitar la configuración del filtro.

Puede agrupar reglas de acuerdo con una función de trabajo. grupos. un servicio o una aplicación. Bloqueo DNS de firewall: define un conjunto de patrones de nombre de dominio que pueden incluir caracteres comodín. ya que le permite agregar reglas existentes. aplicación. los grupos de reglas pueden definirse por opciones de red.Configuración de directivas de firewall Las directivas de firewall de Host Intrusion Prevention activan o desactivan la protección y proporcionan reglas que detienen a los intrusos de la red que pudieran poner en peligro los datos.0 para ePolicy Orchestrator 4. opciones de red. Cuando se aplica. como permitir el tráfico saliente hasta que se haya iniciado el servicio de firewall o el bloqueo de la falsificación de IP y del tráfico malintencionado. esta directiva agrega de manera dinámica una regla cerca de la parte superior de la lista de reglas de firewall que evita la resolución de una dirección IP del dominio especificado. El filtrado con seguimiento de estado y la inspección de paquetes identifican los paquetes para diferentes tipos de conexiones y mantienen en la memoria los atributos de las conexiones de red desde una transmisión de inicio a fin. Un catálogo de IPS en host simplifica la creación de reglas. de aplicación o de programación. Al igual que las reglas. que hay que bloquear. las aplicaciones o el sistema operativo. programa y localización. para así facilitar la gestión. Directivas disponibles Existen tres directivas de firewall: Opciones de firewall: activa la protección de firewall. Puede definir las reglas de manera amplia (por ejemplo. con las distintas opciones de red. transporte. Reglas de firewall: activa la protección de firewall. mediante la identificación de una aplicación o servicio concretos). de transporte. aplicaciones. define los ajustes de firewall con seguimiento de estado y activa la protección especial específica de firewall. Contenido Resumen de directivas de firewall Activación de protección por firewall Definición de la protección de firewall Resumen de directivas de firewall La función de firewall de Host Intrusion Prevention proporciona seguridad mediante el filtrado de tráfico entrante y saliente de los sistemas de red que ejecuten Windows. ya sea de manera individual o por procesos de lotes. Activa y desactiva la protección del firewall.0 57 . ejecutables y localizaciones del catálogo de reglas y grupos nuevos y existentes de firewall. También permite la adición de estos elementos al catálogo. Consiste en un conjunto de reglas que define qué tráfico se permite y qué tráfico se bloquea. Guía del producto McAfee Host Intrusion Prevention 8. todo el tráfico IP) o de manera estricta (por ejemplo.

• Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Esta regla es más específica. Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo. Si se ha activado el modo de aprendizaje. para permitir las solicitudes HTTP.10. Wi-Fi inalámbrico (802.10.10. Si el tráfico cumple con las condiciones de la regla. Host Intrusion Prevention pasa a la siguiente regla de la lista. Capa de enlace El protocolo de capa de enlace describe el control de acceso a los medios (MAC) y algunas aplicaciones menores de detección de errores. la primera regla coincidente que encuentra es la que bloquea este tráfico a través del firewall. Si se ha activado el modo de adaptación. el tráfico interceptado coincide con más de una regla de la lista. Host Intrusion Prevention permite o bloquea el tráfico.10. más específica. No obstante.1.10. donde se utilizan diferentes criterios para restringir el tráfico de la red. Debe colocar la regla de bloqueo. inalámbricos o virtuales. Si no se da ninguna coincidencia de regla.0 para ePolicy Orchestrator 4. Protocolos de firewall El firewall protege trabajando en varios niveles de la arquitectura de red. aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP provenientes de una dirección específica. Esta regla es más general. Ethernet LAN (802. Si es así. Permitiría el tráfico. se crea una regla de permiso para el tráfico.11x) y LAN virtual (VPN) se encuentran en esta capa. Cuando Host Intrusion Prevention encuentra tráfico que coincide con las condiciones de una regla. Así se asegura que.Configuración de directivas de firewall Resumen de directivas de firewall Cómo funcionan las reglas de firewall Las reglas de firewall determinan cómo se debe gestionar el tráfico de red. Va siguiendo la lista de reglas de firewall hasta que encuentra unas reglas que cumplan el tráfico. excepto de una dirección específica (por ejemplo.1. si el tráfico no cumple las condiciones de la primera regla. Host Intrusion Prevention encontraría una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de bloqueo. Cada regla ofrece un conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el tráfico. coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Esto asegura que Host Intrusion Prevention filtra el tráfico adecuadamente. Tanto las reglas de firewall como los grupos distinguen entre enlaces con cables. No aplica ninguna otra regla de la lista. Recomendaciones Al crear o personalizar una directiva de reglas de firewall. en una posición más alta en la lista de reglas de firewall que la regla de permiso. la dirección IP 10.1). realiza la acción asociada. Esta arquitectura de red se construye en el paquete Protocolo de control de transmisión/Protocolo de Internet (TCP/IP). más general. el firewall bloquea el tráfico automáticamente. cuando el firewall intercepta una solicitud de HTTP desde la dirección 10. 58 Guía del producto McAfee Host Intrusion Prevention 8. Por ejemplo.10.3). Host Intrusion Prevention utiliza la prioridad para aplicar reglas: la regla situada en primera posición en las reglas de firewall se aplica primero. A veces. la prioridad hace que Host Intrusion Prevention aplique solo la primera regla coincidente en la lista. se solicita al usuario que realice una acción.0 . necesitará crear dos reglas: • Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.

en las que los paquetes perdidos solo causan una interrupción momentánea del flujo de datos. TCP se multiplexa entre los protocolos de capa de aplicación usando el concepto de "puertos". Garantiza que los datos incluidos en los paquetes de red se entreguen de modo fiable y en orden. TCP TCP es un protocolo de transporte de confianza orientado a la conexión.0 para ePolicy Orchestrator 4. al igual que muchos videojuegos multijugador. Guía del producto McAfee Host Intrusion Prevention 8. TCP es la capa de transporte para la gran mayoría de protocolos de aplicaciones. Internet Control Message Protocol versión 4 y versión 6 (ICMPv4 e ICMPv6). El software de telefonía IP y videoconferencia a menudo usa UDP.0 59 . el lado de servidor de una conexión TCP escucha las conexiones de un puerto fijo. El plan de multiplexación de UDP es idéntico al de TCP: cada datagrama tiene un puerto de origen y de destino. FTP. Los números asociados a los protocolos no de IP se basan en números de Ethernet definidos por Internet Assigned Numbers Authority (IANA) y publicados en http://www. Windows Server 2008 y Windows 7. de 0 a 65535. es compatible con los protocolos arbitrarios no de IP. El firewall de Host IPS ofrece total compatibilidad para IPv4 e IPv6 en Windows XP. SSH. UDP UDP es un protocolo de transporte de mejor solución sin conexión. Capas de transporte IP puede ser utilizado como protocolo de red por una serie de protocolos de transporte distintos.org/assignments/protocol-numbers). Windows Vista. RDP.org/assignments/ethernet-numbers. Por lo general. pero no puede detectar parámetros de capa de red o de transporte en ellos.iana. No ofrece garantías acerca del orden de paquetes o la confianza. Esto implica una cierta cantidad de exceso de trabajo. y hace que los tiempos en las operaciones de TCP sean impredecibles cuando las condiciones de red no son óptimas. En la práctica. User Datagram Protocol (UDP). SMTP. y no tiene funciones de control de flujo. los más comunes son cuatro: TCP. En la práctica. de 0 a 65535. También controla la velocidad a la que se reciben y transmiten los datos. Los puertos de 0 a 1023 se reservan como "puertos conocidos". UDP se usa a menudo como protocolo de transporte para aplicaciones con mucha importancia en el rendimiento (que podrían implementar algunas de las funciones de fiabilidad y ordenación de paquetes del protocolo de aplicación TCP) y en aplicaciones multimedia en tiempo real.Configuración de directivas de firewall Resumen de directivas de firewall Capa de red Los protocolos de capa de red definen planes de direcciones. Los números de este rango se asignan normalmente a protocolos por parte de IANA (www. En el mejor de los casos. limitando así las actividades que pueden darse en la red. HTTP. POP e IMAP usan TCP. Cada paquete de TCP contiene un número de puerto de origen y de destino. las reglas de firewall se crean para bloquear ciertos puertos y permitir otros. tiene algunas propiedades muy deseables para ciertos tipos de tráfico. lo que resulta más aceptable que un flujo que debe detenerse y esperar la retransmisión. Igualmente.iana. Normalmente. permite al administrador bloquear o permitir estos protocolos de capa de red. y la mayoría de sistemas operativos necesitan un proceso que otorgue permisos especiales para escuchar en uno de estos puertos. enrutado y control de red.

incluidas las opciones de red. aplicaciones y programas. Los grupos asociados con muchos de los elementos asociados con reglas. Cómo funcionan los grupos de reglas de firewall Agrupe las reglas de firewall para facilitar la gestión. los grupos tienen configuración de localización. la configuración del grupo tiene prioridad. ICMPv4 se conoce a menudo simplemente como ICMP. Los mensajes de "Destino inaccesible" indican fallos del enrutado. Los números de protocolo de IP se enumeran en www. El tráfico de estos protocolos (a menudo. Otros protocolos de transporte IP es compatible con más de cien protocolos de transporte. En lugar de números de puertos. se usan "Petición de eco" y "Respuesta de eco". Resulta útil para la solución de problemas. las dos versiones de ICMP definen un conjunto de "tipos de mensaje". aunque UDP y TCP también pueden usarse para este fin. la lista completa de protocolos reconocidos por IANA es. ICMPv6 también es importante en una red IPv6. según si la opción "Permitir el tráfico de protocolos no admitidos" está seleccionada en Opciones de firewall. AH y ESP) se usan para el encriptado IP y para VPN. aunque el firewall no es compatible con el mecanismo de multiplexación que estos protocolos pueden usar. que le permite hacer localizaciones para grupos y crear aislamientos de conexión. transportan opciones. al menos. como descubrimiento de vecino (que ARP gestiona en una red IPv4). La ficha Localización y la ficha Opciones de red del grupo le permite que los grupos se rijan por el adaptador de red. NOTA: si el aislamiento de conexión en la ficha Localización está activado. Para el ping. Además de esto.0 para ePolicy Orchestrator 4. Muchos se usan para superponer otros tipos de red sobre una red IP (encapsulado de red). Protocolos comunes no admitidos Hay varios protocolos de red con los que el firewall de IPS en host no es compatible. Si hay algún conflicto entre ellas. La configuración del grupo se procesa antes que la configuración de las reglas que contiene. se siguen procesando de arriba a abajo. No se recomienda que los usuarios bloqueen el tráfico ICMPv6 si IPv6 es compatible con la red.0 . un grupo no puede tener asociadas opciones de transporte ni aplicaciones. el tipo no separable EtherType) puede bloquearse siempre o permitirse siempre. pero la mayoría no se usan a menudo. mínimamente compatible. es decir.org/assignments/protocol-numbers. Algunos de ellos (normalmente GRE. Hacer grupos para localización Host Intrusion Prevention le permite hacer que un grupo y sus reglas se rijan por la localización. Tras activar el estado de la localización y ponerle 60 Guía del producto McAfee Host Intrusion Prevention 8.iana. Los grupos de reglas no afectan a la forma en que Host Intrusion Prevention trata las reglas incluidas en ellos. para que los equipos con múltiples interfaces de red puedan tener aplicadas reglas que sean específicas para el adaptador. Es posible crear reglas para bloquear o permitir el tráfico en los protocolos de transporte de IP. ya que se usa para varias tareas fundamentales. y necesario para el funcionamiento de una red IP. IPv4 e IPv6 tienen variantes de protocolo ICMP separadas y sin relación. En cualquier caso.Configuración de directivas de firewall Resumen de directivas de firewall ICMP ICMP se usa como canal de comunicación fuera de banda entre hosts IP. ICMP también implementa una aplicación Traceroute. ya que constituye el mecanismo de información de errores.

Configuración de directivas de firewall
Resumen de directivas de firewall

un nombre, los parámetros para las conexiones permitidas pueden incluir una o todas las
opciones siguientes para cada adaptador de red:
En la ficha Localización:
• Sufijo DNS específico de conexión
• IP de gateway
• IP de DHCP
• Servidor DNS consultado para resolver las URL
• Servidor WINS usado
• Clave de registro
En la ficha Opciones de red:
• Dirección IP local
• Tipo de soporte
Si dos grupos para localización se aplican a una conexión, Host Intrusion Prevention utiliza la
prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna
regla que coincida en el primer grupo, prosigue con el procesamiento de la regla y podría
encontrar una regla coincidente en el siguiente grupo.
Cuando Host Intrusion Prevention encuentra una coincidencia entre los parámetros de un grupo
para localización y una conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas
como un conjunto pequeño de reglas y usará la prioridad normal. Si algunas de las reglas no
coinciden con el tráfico interceptado, el firewall las omite.
Tenga en cuenta lo siguiente:
• Si Estado de localización está seleccionado, se requiere un nombre de localización.
• Si se selecciona Red local, la dirección IP del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Sufijo DNS , el sufijo DNS del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Puerta de enlace predeterminada, el IP de la puerta de enlace
predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor DHCP, el IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
• Si se selecciona Lista de servidor DNS, la dirección IP del servidor DNS del adaptador
debe coincidir con una de las entradas de la lista.
• Si se selecciona Servidor WINS principal, la dirección IP del servidor WINS principal del
adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor WINS secundario, la dirección IP del servidor WINS secundario
del adaptador debe coincidir al menos con una de las entradas de la lista.

Aislamiento de conexión del grupo de reglas de firewall
Una opción de aislamiento de conexión está disponible para que los grupos prevengan el tráfico
no deseado desde una red designada. Esto puede hacerse por medio de otras interfaces de red
activas en un equipo, como un adaptador inalámbrico que se conecta a un punto wi-fi mientras
que un adaptador con cables se conecta a una LAN.
Cuando se selecciona la opción Aislar esta conexión en la configuración de localización de
un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, el

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

61

Configuración de directivas de firewall
Resumen de directivas de firewall

único tipo de tráfico procesado es el que coincide con las reglas de tráfico permitido anteriores
al grupo en la lista de reglas de firewall y el tráfico que coincide con los criterios del grupo. El
resto del tráfico se bloquea.
NOTA: cualquier grupo con el aislamiento de conexión habilitado no puede tener asociadas
opciones de transporte ni aplicaciones.

Figura 2: Aislamiento de conexión de red
Como ejemplos de uso de la opción de aislamiento de la conexión, considere dos configuraciones:
un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos
en este orden:

62

1

Reglas para una conexión básica

2

Reglas para una conexión VPN

3

Grupo con reglas de conexión de LAN corporativa

4

Grupo con reglas de conexión VPN

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Configuración de directivas de firewall
Resumen de directivas de firewall

Aislamiento de la conexión en la red corporativa
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
de LAN corporativa. Este grupo contiene esta configuración:
• Tipo de soporte: con cable
• Sufijo DNS específico de conexión: mycompany.com
• Dirección de puerta de enlace predeterminada
• Aislar esta conexión: sí
El equipo cuenta con adaptadores de red LAN e inalámbricos y se conecta a la red corporativa
mediante una conexión con cable, aunque la interfaz inalámbrica sigue estando activa, de modo
que se conecta a otro punto fuera de la oficina. El equipo se conecta a ambas redes porque las
reglas de acceso básico están entre las primeras de la lista de reglas de firewall. La conexión
LAN con cable está activa y cumple los criterios del grupo de la LAN corporativa. El firewall
procesa el tráfico a través de LAN, pero debido a que la opción de aislamiento de la conexión
está activada, el resto del tráfico que no pasa por la LAN queda bloqueado.
Aislamiento de la conexión en un hotel
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
VPN. Este grupo contiene esta configuración:
• Tipo de conexión: virtual
• Sufijo DNS: vpn.mycompany.com
• Dirección IP: una dirección en un rango específico para el concentrador VPN
• Aislar esta conexión: sí
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel
para poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso
del túnel VPN. Después de establecer el túnel, el cliente VPN crea un adaptador virtual que
coincide con los criterios del grupo de VPN. El único tráfico que el firewall permite es el del
interior del túnel VPN y el tráfico básico del adaptador actual. Se bloquean los intentos de otros
huéspedes del hotel de acceder al equipo a través de la red, ya sea por cable o de forma
inalámbrica.

Cómo funciona el catálogo de IPS en host
El catálogo de IPS en host simplifica la creación de grupos y reglas de firewall al permitir las
referencias a grupos, reglas, direcciones de red, aplicaciones, ejecutables y datos de localización
de grupos existentes. Además, puede crear referencias a ejecutables de aplicaciones implicadas
en la protección IPS.
Cuando crea una referencia a un elemento del catálogo, crea un enlace dependiente entre este
y una regla o un grupo del firewall. Esto significa que un cambio en el elemento del catálogo
cambiará el grupo o la regla cuando se use. También es posible romper el enlace entre el
elemento del catálogo y un grupo o una regla, para eliminar la dependencia.
El catálogo de IPS en host, que se encuentra en Sistemas, en ePolicy Orchestrator, contiene
seis páginas que enumeran los elementos de reglas de firewall y de grupos de firewall previos.
Los elementos pueden crearse individualmente en el catálogo, agregarse mediante enlace a
otros que se crean en nuevas reglas o nuevos grupos de firewall, o importarse desde
exportaciones en formato .xml de directivas de reglas de firewall.
Las páginas del catálogo incluyen:
• Grupo: lista de los grupos del firewall y propiedades

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

63

• Haga clic en Agregar al catálogo junto al elemento cuando cree o edite reglas o grupos usando el creador de reglas de firewall o el creador de grupos de firewall. introduzca la información y guarde el elemento. • Haga clic en Importar para agregar datos previamente exportados del catálogo de IPS en formato . Esto quiere decir que no puede exportar una directiva de reglas de firewall del catálogo de directivas e importarla al catálogo de IPS en 64 Guía del producto McAfee Host Intrusion Prevention 8. que puede romperse cuando sea necesario.xml del catálogo de IPS en host. haga clic en Establecer filtro para filtrar según los criterios introducidos y haga clic en Borrar para restablecer el filtro.Configuración de directivas de firewall Resumen de directivas de firewall • Regla: lista de las reglas de firewall y propiedades • Aplicación: lista de las aplicaciones a las que se puede hacer referencia en un grupo o una regla de firewall • Ejecutable: lista de ejecutables adjuntos a aplicaciones a los que se puede hacer referencia en un grupo o regla de firewall o en aplicaciones relacionadas con IPS • Red: lista de las direcciones IP a las que se puede hacer referencia en un grupo o una regla de firewall • Localización: lista de información específica de localización para grupos de firewall Tabla 6: Catálogo de IPS en host como origen de elementos Función Directiva Elemento de la directiva Elemento del catálogo Dependencia Firewall Reglas de firewall Regla de firewall Regla Sí Firewall Reglas de firewall Grupo de firewall Grupo Sí Firewall Reglas de firewall Localización del grupo del firewall Localización Sí Firewall Reglas de firewall Grupo/regla de firewall Red Sí Firewall Reglas de firewall Grupo/regla de firewall Aplicación Sí Firewall Reglas de firewall Aplicación de grupo/regla de firewall Ejecutable Sí IPS Reglas IPS Regla de protección de aplicación Ejecutable No General Aplicaciones de confianza Aplicación de confianza Ejecutable No Filtros del catálogo Cada página del catálogo contiene un filtro para buscar elementos en la lista de la página.0 para ePolicy Orchestrator 4. haga clic en el botón Agregar desde catálogo para agregar el elemento adecuado del catálogo. Esto crea un enlace de dependencia entre los elementos. Copiar desde el catálogo Cuando use el creador de reglas de firewall o el creador de grupos de firewall.0 . Haga clic en Mostrar/ocultar opciones de filtrado para ocultar o mostrar el filtro.xml. NOTA: las exportaciones del catálogo de directivas en formato . Agregar al catálogo Puede agregar al catálogo de una de las tres maneras siguientes: • Haga clic en Nuevo en la página del catálogo.xml no son compatibles con el formato .

el estándar actual para las direcciones IP. Por ejemplo. Host Intrusion Prevention es compatible con los dos estándares. Para obtener los datos de la directiva del firewall en el catálogo de IPS en host. Cuando se cierra una conexión o se agota el tiempo de espera. después del cual la entrada se elimina de la tabla si no se recibe ningún paquete que coincida con la conexión. el servicio HTTP normalmente está disponible en el puerto 80 y los servicios FTP lo están en el puerto 21. Los números de puerto abarcan desde 0 hasta 65535. • Direcciones IP de equipo locales y remotas: a cada equipo se le asigna una dirección IP única. mientras que IPv6. IPv4. UDP e ICMP.Configuración de directivas de firewall Resumen de directivas de firewall host para llenarlo con datos de reglas de firewall de las directivas. La tabla de estados rastrea de manera dinámica las conexiones que han coincidido anteriormente con un conjunto de reglas estáticas y refleja el estado de conexión actual de los protocolos TCP/UDP/ICMP. • ID del proceso (PID): un identificador exclusivo para el proceso asociado con el tráfico de una conexión. • Fecha y hora: la fecha del último paquete entrante o saliente asociado con la conexión. incluye los protocolos TCP. un nuevo estándar. permite direcciones de 32 bits. Guía del producto McAfee Host Intrusion Prevention 8. Si un paquete inspeccionado coincide con una entrada de la tabla de estados. como Windows Vista y varios distribuidores de Linux.0 para ePolicy Orchestrator 4. • Tiempo de espera: el límite temporal (en segundos). Se examina cada paquete y si el paquete inspeccionado coincide con una regla de permiso del firewall existente. Cada entrada de la tabla define una conexión basada en: • Protocolo: la forma predefinida por la que un servicio se comunica con otro. Tabla de estado del firewall Un firewall con seguimiento de estado incluye una tabla de estados que almacena información de manera dinámica sobre las conexiones activas creadas por las reglas de tipo Permitir.0 65 . El tiempo de espera de las conexiones TCP se aplica únicamente cuando no se ha establecido la conexión. se permite la entrada del paquete sin realizar ningún examen especial adicional. Esta combinación ofrece una fuerte definición del estado de conexión del equipo. El filtrado de paquetes con seguimiento de estado consiste en el rastreo del estado de la información del protocolo TCP/UDP/ICMP en el nivel de transporte 4 e inferiores de la pila de red OSI. • Números de puerto de equipo locales y remotos: los equipos envían y reciben servicios a través de puertos numerados. La inspección de paquetes con seguimiento de estado es el proceso que consiste en filtrar paquetes con seguimiento de estado y rastrear comandos en el nivel de aplicación 7 de la pila de red. se elimina la entrada de la tabla de estados. El acceso a los comandos de nivel de la aplicación ofrece una inspección libre de errores y asegura el protocolo FTP. use los enlaces de Agregar al catálogo. se permite su entrada y se realiza una entrada en una tabla de estados. Algunos sistemas operativos ya admiten IPv6. permite direcciones de 128 bits. definido con la directiva Opciones del firewall. Inspección y filtrado de paquetes con seguimiento de estado del firewall El firewall de Host Intrusion Prevention proporciona tanto el filtrado de paquetes con seguimiento de estado como la inspección de paquetes con seguimiento de estado.

0 . • Cuando el proceso finaliza. se permite su entrada y se crea una entrada en la tabla de estados. En caso contrario. • Bloquear: se bloquea la entrada del paquete y no se crea ninguna entrada en la tabla de estados. Si el paquete coincide con cualquier entrada de la tabla. Dirección local. Cómo funciona el filtrado con seguimiento de estado El filtrado con seguimiento de estado implica el procesamiento de un paquete frente a dos conjuntos de reglas: un conjunto de reglas configurables de firewall y un conjunto de reglas de firewall dinámico o una tabla de estado. 3 Si el paquete coincide con una regla de bloqueo. Después de establecer una conexión.Configuración de directivas de firewall Resumen de directivas de firewall • Dirección: la dirección (entrante o saliente) del tráfico que activó la entrada. Cada regla de la tabla de estados tiene únicamente una sola acción. NOTA: se considera que una entrada de la tabla de estados coincide si Protocolo. se bloquea. • Si un adaptador obtiene una nueva dirección IP.0 para ePolicy Orchestrator 4. Guía del producto McAfee Host Intrusion Prevention 8. todas las conexiones activas se comprueban en relación con el nuevo conjunto de reglas. Permitir. la entrada de conexión se descarta de la tabla de estados. El proceso de filtrado incluye lo siguiente: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados. Tenga en cuenta lo siguiente sobre la tabla de estados: • Si cambian los conjuntos de reglas de firewall. Puerto local. Las reglas configurables tienen dos acciones posibles: • Permitir: se permite la entrada del paquete y se crea una entrada en la tabla de estados. se examina la lista de reglas configurables del firewall. Si no se encuentra ninguna regla coincidente. Dirección remota y Puerto remoto coinciden con los del paquete. se permite su entrada de manera inmediata. el firewall reconoce la nueva configuración de IP e interrumpe todas las entradas de la tabla de estados que tengan una dirección IP local no válida. 66 2 Si el paquete coincide con una regla de permiso. todas las entradas de la tabla de estados asociadas con un proceso se eliminan. Las entradas de la tabla de estados son resultado de la actividad de la red y reflejan el estado de la pila de red. se permite el tráfico bidireccional incluso con reglas unidireccionales. siempre que la entrada coincida con los parámetros de la conexión de la tabla de estados. con lo que se permite de manera automática cualquier paquete que coincida con una regla de la tabla de estados.

El canal de datos se cierra una vez finalizada la transmisión. Si la opción de inspección FTP se establece con la directiva Opciones del firewall. Figura 3: Proceso de filtrado con seguimiento de estado Cómo funciona la inspección de paquetes con seguimiento de estado La inspección de paquetes con seguimiento de estado combina el filtrado con seguimiento de estado con el acceso a comandos al nivel de aplicación. que asegura protocolos como el FTP. cuando el firewall se encuentra con una conexión abierta en el puerto 21. se establece el canal de control.Configuración de directivas de firewall Resumen de directivas de firewall 4 Si el paquete no coincide con ninguna regla configurable. en ocasiones. Cuando el servidor FTP se encuentra en modo activo. sabe que debe realizar una inspección de paquetes con seguimiento de estado a los paquetes que atraviesen el canal de control FTP. Con el canal de control abierto. Cuando el servidor FTP recibe el primer comando de transferencia de datos (LIST). Cuando un cliente se conecta con un servidor FTP. El firewall analiza el comando PORT (puerto) del paquete y crea una segunda entrada en la tabla de estados para permitir la conexión de datos. este abre la conexión de datos. en modo pasivo. las reglas dinámicas de FTP se denominan reglas de sesión.0 67 . La combinación de la conexión de control y una o más conexiones de datos se llama sesión y. FTP implica dos conexiones: control para los comandos y datos para la información. abre la conexión de datos con el cliente y transfiere los datos. llega al puerto de destino FTP 21 y se crea una entrada en la tabla de estados. el cliente inicia la conexión.0 para ePolicy Orchestrator 4. el cliente se comunica con el servidor FTP. se bloquea. La sesión permanece establecida hasta que se elimina su entrada del canal de control de la tabla de estados. Durante Guía del producto McAfee Host Intrusion Prevention 8.

Cuando un equipo cliente inicia una nueva conexión. Rastreo de protocolo con seguimiento de estado Aquí se resumen los tipos de conexión de protocolo supervisados por el firewall con seguimiento de estado y su gestión. las respuestas DHCP entrantes se permiten si: • No ha caducado la conexión en la tabla de estados. A continuación. Por tanto. únicamente a las conexiones TCP establecidas. Quedan bloqueadas las conexiones preexistentes sin ninguna regla estática coincidente. lo que indica que se trata de una conexión nueva. Se aplica un segundo tiempo de espera TCP. que conllevan protocolos desconocidos de nivel de aplicación al firewall. la funcionalidad de firewall de seguimiento de estado solo se admite con Windows Vista y plataformas posteriores. en el caso de que se haya eliminado un canal de control de una sesión.0 para ePolicy Orchestrator 4. El destino responde enviando al cliente un paquete con un bit SYN-ACK establecido. Se produce una excepción cuando el firewall consulta por primera vez el protocolo TCP y agrega todas las conexiones preexistentes que coinciden con las reglas estáticas.0 . el firewall considera las conexiones UDP e ICMP como conexiones virtuales. Cuando usa IPv6. El firewall consulta la pila TCP cada cuatro minutos y descarta las conexiones que no están indicadas por el protocolo TCP. El tiempo de espera de la conexión TCP. • Las reglas dinámicas se crean según la dirección (cliente/servidor) y el modo (activo/pasivo): Guía del producto McAfee Host Intrusion Prevention 8. DNS Las consultas y respuestas deben coincidir para asegurar que las respuestas de DNS sólo se permiten en el puerto local que originó la consulta y que provienen únicamente de una dirección IP remota que se ha consultado dentro del intervalo de tiempo de espera de conexión virtual UDP. • El firewall realiza una inspección de paquetes con seguimiento de estado en las conexiones TCP abiertas en el puerto 21. La inspección se produce únicamente en el canal de control. envía un paquete a su destino con un bit SYN establecido. permanecen en la tabla de estados mientras la conexión no esté inactiva durante un tiempo superior al periodo de tiempo de espera especificado. todas las conexiones de datos también se eliminan. NOTA: a diferencia del protocolo TCP fiable orientado a la conexión. • La inspección FTP se realiza únicamente en los paquetes con información nueva.Configuración de directivas de firewall Resumen de directivas de firewall la limpieza periódica de la tabla de estados. el cliente responde enviando un paquete con un bit ACK establecido y la conexión de seguimiento de estado queda creada. se aplica únicamente cuando no se ha establecido la conexión. los protocolos UDP e ICMPv4/v6 son menos fiables y no tienen conexión. • El ID de la transacción de respuesta coincide con el de la solicitud. o forzado. Se permiten todos los paquetes salientes pero solo pueden entrar paquetes entrantes que formen parte de la conexión creada. Las conexiones UDP genéricas. Las consultas y respuestas deben coincidir para garantizar que solo se permiten paquetes devueltos para consultas inofensivas. Protocolo Descripción de la gestión UDP Se agrega una conexión UDP a la tabla de estados cuando se encuentra una regla estática que coincida y la acción de la regla es de tipo Permitir. la primera conexión abierta en este puerto. Las respuestas de DNS entrantes se permiten si: DHCP FTP 68 • No ha caducado la conexión en la tabla de estados. Para asegurar estos protocolos. Este tiempo de espera se controla mediante una configuración del Registro y tiene un valor predeterminado de una hora. El tiempo de espera de las conexiones virtuales se define en la directiva Opciones del firewall. • La respuesta proviene de la misma dirección IP remota y del mismo puerto desde el que se envió la solicitud. definido con la directiva Opciones del firewall. que se mantienen únicamente mientras la conexión no esté inactiva durante un tiempo superior al tiempo de espera especificado. Los paquetes retransmitidos se omiten. ICMPv4/v6 Únicamente se rastrean los mensajes de tipo Petición de eco y Respuesta del eco de ICMP. TCP El protocolo TCP funciona en el "establecimiento en 3 direcciones".

cuando se aplique el modo de aprendizaje o el modo de adaptación.0 69 . Cómo afectan los modos aprendizaje y adaptación al firewall Al activar el firewall. se bloquea automáticamente a menos que el firewall se esté ejecutando en los modos de aprendizaje o adaptación. siempre que haya visto anteriormente el comando PASV del cliente FTP y que el comando PASV sea compatible con RFC 959. el tráfico entrante hacia un puerto que no esté abierto en el host se bloquea a menos que se cree una regla de permiso explícita para el tráfico. Host Intrusion Prevention muestra una alerta del modo de aprendizaje cuando intercepta tráfico de red desconocido. entonces examina la lista de reglas estáticas y tampoco encuentra ninguna coincidencia. Además. el tráfico TCP entrante hacia el puerto 23 (Telnet) se bloquea incluso aunque no haya ninguna regla explícita que bloquee este tráfico. Permite o bloquea el tráfico en función de la directiva Reglas de firewall. si el host no ha iniciado el servicio Telnet. Por ejemplo. Host Intrusion Prevention crea automáticamente una regla de tipo Permitir para permitir todo el tráfico que no coincida con una regla de tipo Bloquear existente y crea automáticamente reglas de tipo Permitir dinámicas para el tráfico no coincidente. En el modo de aprendizaje. Para obtener más información acerca del uso del modo de adaptación con el firewall. Puede crear una regla de tipo Permitir explícita para el tráfico que desee. siempre que el comando del puerto sea compatible con RFC 959.Configuración de directivas de firewall Resumen de directivas de firewall Protocolo Descripción de la gestión • Modo activo del cliente FTP: el firewall crea una regla entrante dinámica después de analizar el comando del puerto entrante. • Modo activo del servidor FTP: el firewall crea una regla saliente dinámica tras analizar el comando del puerto entrante. • Modo pasivo del servidor FTP: el firewall crea una regla entrante dinámica. para las comunicaciones salientes o para ambas. • Modo pasivo del cliente FTP: el firewall crea una regla saliente dinámica cuando lee la respuesta del comando PASV enviado por el servidor FTP. Esta alerta solicita al usuario que permita o bloquee el tráfico que no coincida con una regla existente y crea automáticamente reglas dinámicas correspondientes para el tráfico no coincidente. Host Intrusion Prevention supervisa continuamente el tráfico de red que un equipo envía y recibe. Guía del producto McAfee Host Intrusion Prevention 8. Filtrado con seguimiento de estado Al aplicar el modo de adaptación o aprendizaje con el firewall con seguimiento de estado. los pings entrantes se bloquean a menos que se cree una regla de permiso explícita para el tráfico ICMP entrante. La regla se elimina cuando el servidor inicia la conexión de datos o cuando la regla caduca. consulte Preguntas frecuentes: modo de adaptación en Gestión de la protección. Host Intrusion Prevention muestra todas las reglas creadas en clientes con el modo de aprendizaje o el modo de adaptación y permite guardar estas reglas y migrarlas a reglas administrativas. Este es el proceso de filtrado: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados y no encuentra ninguna coincidencia. Si no se encuentra ninguna coincidencia entre el tráfico y una regla existente. Por motivos de seguridad. Puede activar el modo de aprendizaje para las comunicaciones entrantes. el proceso de filtrado crea una nueva regla para encargarse del paquete entrante. En el modo de adaptación. La regla se elimina cuando el cliente inicia la conexión de datos o cuando la regla caduca.0 para ePolicy Orchestrator 4.

Activación de protección por firewall ™ La directiva Opciones del firewall activa la protección por firewall y proporciona TrustedSource y configuración de firewall con seguimiento de estado. • Modo de adaptación: selecciónela para que se creen automáticamente las reglas que permiten el tráfico. • Modo de aprendizaje: selecciónela para que se creen reglas. Use esta opción para permitir el tráfico a través de un entorno de puente con máquinas virtuales. Filtrado y agregación de reglas La aplicación de eventos genera una lista de reglas que satisface todas las variables definidas en los criterios de filtro. y después seleccione el tipo de protección: • Normal (valor predeterminado): use esta configuración cuando no esté ajustando un despliegue. el paquete se libera. todo el tráfico que use protocolos no admitidos se bloqueará. el de salida. En caso contrario. Úsela solo temporalmente cuando esté afinando un despliegue. Si se trata de un paquete TCP. El resultado es una lista de reglas mostradas en grupos y ordenadas por el valor asociado con las variables seleccionadas. que permitan el tráfico.0 . Configuración general Estas son las opciones generales disponibles: • Activado: selecciónela para activar el firewall. Selecciónela también para permitir el tráfico de entrada. pero sí una de las direcciones MAC en la lista de VM compatibles con el firewall. se realiza una entrada en la tabla de estados. según las indicaciones del usuario. se crea una regla de permiso estática unidireccional. Puede hacer un seguimiento de las reglas del cliente y verlas en una vista filtrada o agregada. se coloca en la lista de pendientes. La agregación de reglas de cliente genera una lista de reglas agrupadas por el valor asociado con cada variable seleccionada en el cuadro de diálogo Seleccionar columnas para agregar. pero si se trata de un paquete de TCP. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes. el paquete se descarta. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas creadas en el cliente de forma 70 Guía del producto McAfee Host Intrusion Prevention 8. Reglas de firewall para cliente Un cliente en modo de adaptación o aprendizaje crea reglas de cliente de firewall para permitir la actividad bloqueada. El resultado es una lista de reglas que incluye todos los criterios. También es posible crear reglas manualmente en el equipo cliente. Si esta opción está desactivada. • Permitir el tráfico de protocolos no admitidos: selecciónela para permitir el tráfico que usa protocolos no admitidos. o ambos. 3 Si se permiten nuevas reglas.Configuración de directivas de firewall Activación de protección por firewall 2 No se realiza ninguna entrada en la tabla de estados. Úsela solo temporalmente cuando esté afinando un despliegue.0 para ePolicy Orchestrator 4. • Permitir tráfico mediante puentes: selecciónela para permitir el tráfico con una dirección MAC local que no sea la dirección MAC del sistema local. 4 Si no se permite ninguna regla nueva.

cambiar el nombre. hasta que el servicio de firewall de Host IPS se haya iniciado en el cliente. eliminar y exportar directivas personalizadas. • Tiempo de espera de la conexión virtual de eco UDP e ICMP: el tiempo en segundos durante el que se mantiene activa una conexión virtual de eco UDP o IMCP si no se envían ni reciben más paquetes que coincidan con la conexión. Se restablece su valor configurado cada vez que se envía o recibe un paquete que coincida con la conexión virtual. • Tiempo de espera de la conexión TCP: el tiempo en segundos durante el que sigue activa una conexión TCP no establecida si no se envían ni reciben más paquetes que coincidan con la conexión. editar. • Límite de bloqueo de TrustedSource saliente: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico saliente de una conexión de red. Debería estar siempre seleccionada. • Activar la protección contra falsificación de direcciones IP: selecciónela para bloquear el tráfico de red de direcciones IP no locales del host o de los procesos locales que intenten falsificar su dirección IP. Configuración de firewall con seguimiento de estado Está disponible la configuración del firewall con seguimiento de estado: • Inspección de protocolo FTP: una configuración de firewall con seguimiento de estado que permite hacer el seguimiento de las conexiones FTP. Las opciones incluyen: Riesgo alto. por medio de la interacción del usuario con el modo de aprendizaje o manualmente en un cliente cuando se aplique esta directiva. Puede ver y duplicar directivas preconfiguradas y crear. • Enviar eventos a ePO para infracciones de TrustedSource: selecciónela para enviar eventos al servidor ePO si la configuración del umbral de bloqueo TrustedSource para el tráfico entrante o saliente registra coincidencias. Sin verificar y No bloquear.Configuración de directivas de firewall Activación de protección por firewall automática mediante el modo de adaptación. • Límite de bloqueo de TrustedSource entrante: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico entrante de una conexión de red. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección por firewall está desactivada. Riesgo medio. las conexiones FTP requerirán una regla adicional para el tráfico FTP de cliente entrante y otra para el tráfico FTP de servidor saliente. duplicar.0 71 . y estas opciones se seleccionan para aplicarse cuando se activa el firewall: • Permitir tráfico mediante puentes Guía del producto McAfee Host Intrusion Prevention 8. Las opciones incluyen: Riesgo alto. Sin verificar y No bloquear. Riesgo medio. basada en la directiva McAfee Default. Configuración de la protección Esta configuración permite una protección especial específica del firewall: • Permitir solo el tráfico saliente hasta que el servicio de Host IPS se haya iniciado: selecciónela para permitir el tráfico saliente. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados.0 para ePolicy Orchestrator 4. Si esta opción no está seleccionada. pero no el tráfico entrante. de modo que solo se requiera una regla de firewall para el tráfico FTP cliente saliente y otra para el tráfico FTP servidor entrante.

3 En la página Opciones del firewall que aparece. Preguntas frecuentes: McAfee TrustedSource y el firewall Dos opciones de la directiva Opciones de firewall le permiten bloquear el tráfico entrante y saliente de una conexión de red que McAfee TrustedSource™ ha clasificado como de alto riesgo. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. cambie los valores predeterminados y. TrustedSource calcula de forma dinámica las puntuaciones de reputación que representan el nivel de riesgo para su red que se da cuando visita una página web. y la segunda bloquea o permite el tráfico según la reputación de la conexión y el umbral de bloqueo configurado. el software malintencionado y el comportamiento de sistema a sistema. haga clic en Guardar. Usando los datos obtenidos del análisis. ¿Qué es TrustedSource? TrustedSource es un sistema de inteligencia global de reputación en Internet que determina qué es un buen comportamiento y un mal comportamiento en Internet mediante el uso de análisis en tiempo real de comportamientos mundiales y el envío de patrones para el correo electrónico. haga clic en ? en la página que las muestra. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Opciones del firewall en la lista Categoría. ¿Qué quiere decir "reputación"? Para cada dirección IP en Internet. NOTA: para las directivas editables.0 para ePolicy Orchestrator 4. ¿Cómo funciona? Cuando las opciones de TrustedSource están seleccionadas. La primera regla permite una conexión a TrustedSource. otras opciones incluyen cambiar nombre. TrustedSource calcula un valor de reputación según el comportamiento de envío y de hosting y los varios datos de entorno que TrustedSource recoge. la actividad web. mensajes específicos. Para las directivas no editables. las opciones incluyen visualizar y duplicar. se crean dos reglas de firewall: TrustedSource: permite el Servicio de IPS en host y la obtención de clasificación por parte de TrustedSource. dominios. URL e imágenes. El resultado es una base de datos de puntuaciones de reputación para direcciones IP. Estas preguntas frecuentes explican qué hace TrustedSource y cómo afecta al firewall. Tarea Para ver la definición de las opciones. 72 Guía del producto McAfee Host Intrusion Prevention 8.0 . eliminar y exportar. 2 En la lista de directivas Opciones del firewall. duplicar.Configuración de directivas de firewall Activación de protección por firewall • Conservar las reglas de cliente • Activar la protección contra falsificación de direcciones IP • Usar inspección de protocolo FTP Configuración de la directiva Opciones del firewall Configure las opciones de esta directiva para activar o desactivar la protección de firewall o aplicar el modo de adaptación o aprendizaje. a continuación. Se muestra la lista de directivas.

sin consultas a la reputación en línea. pero que también muestra algunas propiedades que sugieren la necesidad de una inspección adicional. • Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos que creemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino o procedente del mismo requiere un escrutinio especial. En un uso normal de la red. • Riesgo alto: nuestro análisis indica que esta fuente/destino envía o enviará/alojará contenido/tráfico potencialmente malicioso. En segundo lugar. eliminar y exportar las directivas personalizadas editables. ¿Qué pasa si el firewall no puede llegar a los servidores de TrustedSource? ¿Se detiene el tráfico? Si el firewall no puede llegar a cualquiera de los servidores de TrustedSource. permitiéndolo o bloqueándolo. Puede ver y duplicar la directiva preconfigurada y editar. Tabla 7: Directivas Reglas de firewall preconfiguradas Directiva Uso Mínima (valor predeterminado) Utilice esta directiva para la protección mínima predeterminada. la comprobación de reputación se realiza solo cuando se seleccionan las opciones. asigna automáticamente a todas las conexiones aplicables una reputación predeterminada permitida y sigue con un análisis de las reglas posteriores.0 73 . La reputación se expresa en cuatro clases: • Riesgo mínimo (no bloquear): nuestro análisis indica que se trata de una fuente o destino legítimo de contenido/tráfico. ¿Introduce latencia? ¿Cuánta? Cuando TrustedSource recibe una demanda de comprobación de reputación. Definición de la protección de firewall Las reglas de firewall determinan el funcionamiento de un sistema cuando intercepta tráfico de red. McAfee ha hecho todo lo posible para minimizarla. así que creemos que representa un riesgo importante. cambiar el nombre. • Sin verificar: nuestro análisis indica que parece ser una fuente o destino legítimo de contenido/tráfico.0 para ePolicy Orchestrator 4. la mayoría de las conexiones deseadas se resuelven desde la caché. se da una arquitectura de creación de caché inteligente. En primer lugar.Configuración de directivas de firewall Definición de la protección de firewall agrega y relaciona automáticamente de clientes y socios acerca del estado del panorama de las amenazas en Internet. Selecciones de la directiva Reglas de firewall La categoría de directivas de reglas de firewall incluye dos directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. algo de latencia es inevitable. basada en la directiva McAfee Default. duplicar. Hace lo siguiente: • Bloquea cualquier tráfico entrante de ICMP que podría usar un atacante para reunir información sobre su Guía del producto McAfee Host Intrusion Prevention 8. Puede crear y gestionar reglas de firewall mediante la aplicación de la directiva Reglas de firewall y la directiva Bloqueo de DNS de firewall con la configuración adecuada.

combine los resultados de aplicar el modo de adaptación para conocer y comprobar otras reglas. Puede ver y duplicar la directiva preconfigurada y editar. 3 74 Realice una de las operaciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. • Permite el tráfico que usa los puertos OOTP. Simplemente. • Le permite explorar dominios. Selecciones de la directiva de bloqueo de DNS del firewall La categoría de directivas de bloqueo de DNS de firewall contiene una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. 2 En la lista de directivas Reglas del firewall. Tarea Para ver la definición de las opciones. Para las directivas no editables. Se muestra la lista de directivas. si se compara con las directivas de firewall predeterminadas. eliminar y exportar las directivas personalizadas editables. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Reglas del firewall en la lista Categoría. más adelante. Típico entorno corporativo • Permite solicitudes para compartir archivos de Windows procedentes de equipos de la misma subred y bloquea las solicitudes para compartir archivos que procedan de cualquier otra ubicación (la directiva Redes de confianza debe tener Incluir automáticamente la subred local seleccionada). otras opciones incluyen cambiar nombre.0 . NOTA: para las directivas editables personalizadas.0 para ePolicy Orchestrator 4. Configuración de la directiva Reglas del firewall Configure las opciones de esta directiva para definir reglas para la protección por firewall. duplique una directiva existente y edite las reglas y grupos de la directiva para que satisfagan sus necesidades. basada en la directiva McAfee Default. Utilice esta directiva como punto de partida y. haga clic en ? en la página que las muestra. duplicar. eliminar y exportar. • Permite todo el tráfico alto de entrada y el tráfico UDP de salida. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. La directiva tiene todas las funciones y satisface las necesidades de la mayoría de firewall empresariales. cambiar el nombre. grupos de trabajo y equipos Windows. duplicar. las opciones incluyen visualizar y duplicar. IPS en host permite todo el resto de tráfico ICMP. DNS y Net Time UDP. Esta directiva debe generar menos reglas cliente aprendidas en modo de adaptación. SUGERENCIA: no intente crear una directiva desde cero.Configuración de directivas de firewall Definición de la protección de firewall Directiva Uso equipo.

redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Ajustes de estado y de hora En la ficha Resumen. 2 Introduzca la información adecuada en cada ficha. haga clic en Editar en Acciones para editar una regla existente. Consulte Creación y edición de grupos de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles. acción. Este archivo puede importarse al catálogo del firewall o a otra directiva. Creación y edición de reglas de firewall Edite o agregue una nueva regla de firewall a la lista de reglas de una directiva Reglas de firewall si la lista predeterminada no cubre operaciones específicas. estado Red Protocolo de red.0 75 .. • Bajar para bajar el elemento en la lista. Realizar una acción en una única regla o grupo • Selecciona la regla o el grupo para mostrar un resumen de la configuración del elemento en el panel derecho. 4 Haga clic en Exportar para exportar toda la información del grupo o la regla de la directiva a un archivo . Configure estas opciones. • Seleccione la regla o el grupo y haga clic en: • Editar en Acciones para editar un elemento.. • Duplicar para hacer una copia del elemento.. • Eliminar para eliminar el elemento. a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha.xml.0 para ePolicy Orchestrator 4. tipo de soporte. haga clic en Nueva regla para crear una nueva regla. Tarea Para ver la definición de las opciones... • Agregar a catálogo en Acciones para agregar el elemento al catálogo del firewall.Configuración de directivas de firewall Definición de la protección de firewall Para. 3 En esta ficha.. Consulte Creación y edición de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles. Agregar un grupo del firewall Haga clic en Nuevo grupo o en Agregar grupo desde catálogo. haga clic en ? en la página que las muestra. 1 En la página de directivas Reglas de firewall. 5 Haga clic en Guardar para guardar los cambios. • Subir para subir el elemento en la lista. Haga lo siguiente. Agregar una regla del firewall Haga clic en Nueva regla o en Agregar regla desde catálogo. Descripción Nombre (obligatorio). dirección.. Guía del producto McAfee Host Intrusion Prevention 8.. revise los detalles de la regla y haga clic en Guardar.

. tipo de soporte (con cable. Tarea Para ver la definición de las opciones. haga clic en Nuevo Grupo o en Agregar grupo desde catálogo. 5 76 En la ficha Resumen. por ejemplo. dirección. inalámbrico. Configure estas opciones.. 1 En la página de directivas Reglas de firewall. 4 En la ficha Red. introduzca un Nombre para la localización y seleccione un sufijo DNS. Guía del producto McAfee Host Intrusion Prevention 8. haga clic en Nuevo grupo para crear un nuevo grupo. Es posible hacer clic en la flecha para mostrar u ocultar las reglas del grupo. seleccione el tipo de conexión (Con cable. incluida la activación de grupos sincronizados 3 En la ficha Resumen. seleccione Activado tanto para Estado de localización como para Aislamiento de conexión.0 para ePolicy Orchestrator 4. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host. incluido el aislamiento de conexión Red Protocolo de red. virtual). a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha. Inalámbrica o Virtual) a la que desee aplicar las reglas del grupo. revise los detalles del grupo y haga clic en Guardar.Configuración de directivas de firewall Definición de la protección de firewall Creación y edición de grupos de reglas de firewall Cree o edite un grupo de reglas de firewall para una directiva de Reglas de firewall con el objetivo de crear un conjunto de reglas con una sola finalidad... Use un grupo de una sola finalidad con reglas que permitan. haga clic en Guardar. 2 En la ficha Descripción. Creación de grupos de aislamiento de conexión Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados. una puerta de enlace u otros criterios con los que coincidir. en Tipos de soporte.0 . haga clic en ? en la página que las muestra. redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Configuración de estado y de tiempo. Descripción Nombre (obligatorio). estado Localización Configuración para localización. 3 En la ficha localización. 4 Cree reglas nuevas en este grupo. introduzca un nombre descriptivo en el campo Nombre. Tarea 1 En la página de directivas Reglas de firewall. Los grupos aparecen en la lista de reglas precedidos por una flecha. haga clic en Editar en Acciones para editar un grupo existente. 2 Introduzca la información adecuada en cada ficha. la conexión VPN. En esta ficha. NOTA: las opciones de transporte y aplicaciones no están disponibles para grupos de aislamiento de conexión.

1 En la página de directivas Bloqueo DNS del firewall. seleccione.0 para ePolicy Orchestrator 4. Tarea Para ver la definición de las opciones. haga clic en Establecer filtro. 4 Haga clic en el botón Agregar para agregar otras direcciones. 3 Haga cualquiera de las siguientes tareas en la página del catálogo: Para. Red y Localización. Bloqueo del tráfico DNS Para ajustar la protección de firewall. haga clic en Editar en Acciones para editar una regla existente. haga clic en el botón Eliminar para eliminar direcciones. puede crear una lista de servidores de nombre de dominio que Host IPS bloqueará no permitiendo la resolución de su dirección IP. *domain. Tarea Para ver las definiciones de las opciones.Configuración de directivas de firewall Definición de la protección de firewall 6 Cree reglas nuevas en este grupo. en su lugar. Las opciones son: Grupo.. por ejemplo. Proceso. Cambiar la vista de los elementos Seleccione Opciones | Elegir columnas.com. elimine o reordene las columnas y haga clic en Guardar. Haga clic en Editar para editar el elemento. Regla. 1 Vaya a Sistemas | Catálogo de IPS en host.0 77 . Aplicación.. Se permite un nombre por entrada. Uso del catálogo de IPS en host El catálogo de IPS en host le permite agregar nuevos elementos o referirse a elementos existentes para su uso con el firewall. bloquee estos dominios en la dirección remota de una regla del firewall. introduzca el servidor de nombre de dominio que desee bloquear. 5 Haga clic en Guardar para guardar los cambios. haga clic en Nueva regla para crear una nueva regla. haga clic en Guía del producto McAfee Host Intrusion Prevention 8. Esta tarea le ayuda a encontrar y editar los elementos del catálogo existentes. 3 En el cuadro de texto... haga clic en ? en la interfaz. NOTA: no use esta función para bloquear dominios completos. 2 Haga clic en Agregar dominio bloqueado. Haga clic en Borrar para volver a la vista predeterminada. haga clic en ? en la página que las muestra. después. Editar un elemento Haga clic en el enlace asociado al elemento. Use los comodines * y ?. 2 En Tipo de elemento. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host. seleccione un elemento del catálogo. crear y agregar nuevos elementos o importar y exportar elementos del catálogo. Haga lo siguiente. Filtrar por un elemento Introduzca el criterio de filtrado y.

Importar elementos del tipo de catálogo Haga clic en Importar en la parte superior derecha de la página y. incluidos permisos de vista para acceder al registro de eventos.. Ordenar por columna Haga clic en el encabezamiento de la columna.. después.xml. haga clic en el enlace Agregar al catálogo que se encuentra junto al elemento. Crear y agregar un elemento Haga clic en Nuevo... quite o reordene las columnas que se mostrarán. En la página Seleccionar columnas. se ubicará una copia independiente del elemento eliminado con el grupo o la regla enlazados. Tarea Para ver la definición de las opciones. Cuando agrega un elemento desde el catálogo o hacia este. se rompe la dependencia entre el elemento y el catálogo y se crea un elemento nuevo independiente en su lugar.Configuración de directivas de firewall Definición de la protección de firewall Para. Duplicar para crear una copia del elemento y haga clic en Eliminar para eliminar el elemento. localice y abra el archivo en formato . haga clic en ? en la página que las muestra..0 para ePolicy Orchestrator 4. y cómo moverlas a una directiva de Reglas de firewall puede ajustar y reforzar la seguridad. haga clic en Agregar desde catálogo en la parte inferior de la página adecuada del creador.xml... NOTA: el acceso a Reglas de cliente del firewall de la ficha IPS en host en Informes requiere permisos adicionales diferentes que para el firewall de Host Intrusion Prevention. Haga lo siguiente. Haga lo siguiente. Exportar un solo elemento Haga clic en el enlace Exportar asociado al elemento. agregue. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente. Gestión de Reglas de cliente del firewall Visualizar reglas de cliente del firewall creadas automáticamente en los modos de adaptación o aprendizaje o manualmente en un cliente. Seleccionar las columnas que se han de mostrar Seleccione Elegir columnas en el menú Opciones. NOTA: si elimina un elemento que tiene un enlace dependiente. después.0 . con la regla o el grupo enlazados. dé un nombre y guarde el archivo en formato . Si hace clic en el enlace.. sistemas y árbol del sistema. crea un enlace dependiente entre el elemento y el catálogo con un enlace Interrumpir referencia de catálogo. 3 Determine cómo desea ver la lista de reglas del cliente: Para. Guía del producto McAfee Host Intrusion Prevention 8. Para agregar un elemento que haya creado mientras trabaja en el creador de reglas o grupos del firewall. introduzca los datos adecuados y haga clic en Guardar. Exportar todos los elementos del tipo de catálogo Haga clic en Exportar en la parte superior derecha de la página y. 78 1 Vaya a Informes | IPS en host y haga clic en Reglas de cliente del firewall. NOTA: para agregar un elemento del catálogo cuando se crea una regla o grupo de firewall. En la página o páginas que aparecen.

los ejecutables y las URL.. Haga clic en Quitar para quitar la configuración del filtro. después. Desde o Entre. introduzca tanto una fecha de inicio como de fin. seleccione una o más en la lista y haga clic en Crear regla del firewall.0 79 . use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter.Configuración de directivas de firewall Definición de la protección de firewall 4 Para. NOTA: las rutas de las claves de registro para las localizaciones de los grupos de firewall no reconocen los valores de los comodines. Filtrar por texto buscado Escriba la ruta del proceso. el escape es |*|*.. las claves de registro. * (un asterisco) Varios caracteres excluidos / y \. | (canalización) Escape de caracteres comodín. Para mover las reglas a una directiva. haga clic en Aceptar. Host IPS permite el uso de caracteres comodín. Agregar reglas Haga clic en Agregar. Haga clic en Quitar para quitar la configuración del filtro. Haga lo siguiente. ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras. el nombre del equipo o la ID de firma para filtrar. Guía del producto McAfee Host Intrusion Prevention 8. introduzca una fecha de inicio. Si selecciona Desde. ** (dos asteriscos) Varios caracteres incluidos / y \. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos. el nombre del proceso.. a continuación. NOTA: para **.0 para ePolicy Orchestrator 4. Haga clic en Quitar para eliminar la configuración de agregación. seleccione los criterios en los que desee agregar las reglas y. el nombre de usuario. Filtrar por grupos Desde el menú Filtro. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. si selecciona Entre. seleccione Solo este grupo o Este grupo y todos los subgrupos. Preguntas frecuentes: uso de caracteres comodín en reglas de firewall Cuando se introducen valores en ciertos campos de las reglas de firewall.. Filtrar por hora de creación Seleccione el momento en que se creó la regla: Ninguno. indique la directiva a la que desea mover las reglas.

0 .Configuración de directivas de firewall Definición de la protección de firewall 80 Carácter Definición * (un asterisco) Varios caracteres incluidos / y \. | (canalización) Escape de caracteres comodín. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.

Al igual que la directiva Reglas IPS. las contraseñas de acceso a la interfaz del cliente y las opciones de solución de problemas. Marcar las redes como "de confianza" elimina o reduce la necesidad de excepciones IP de red y de reglas de firewall adicionales. esta categoría de directivas puede contener varias instancias de directiva. Aplicaciones de confianza: indica las aplicaciones que son seguras y que no tienen vulnerabilidades conocidas. lo que ayuda al afinar un despliegue. Las redes de confianza pueden incluir direcciones IP individuales o intervalos de direcciones IP.0 81 . Todas las directivas y opciones se aplican a sistemas operativos Windows. solo se aplican algunas directivas y opciones. y que no son específicas de IPS ni del firewall. Contenido Introducción a las directivas generales Definición de la funcionalidad de cliente Definición de redes de confianza Definición de aplicaciones de confianza Introducción a las directivas generales Las directivas generales funcionan con las funciones IPS y firewall. Para saber más. también si el icono de cliente Host Intrusion Prevention aparece en la bandeja del sistema. Para clientes de plataformas Windows y no Windows. los tipos de alertas de intrusos. Marcar las aplicaciones como "de confianza" elimina o reduce la necesidad de excepciones IPS y de reglas de firewall adicionales. Redes de confianza: indica las redes y direcciones IP con las que existen comunicaciones seguras. En los sistemas no Windows. La función de contraseñas se utiliza en clientes tanto de plataformas Windows como no Windows. Solo para clientes Windows.0 para ePolicy Orchestrator 4. incluidas las excepciones de TrustedSource. y controlan el acceso del cliente así como las aplicaciones y redes de confianza. Directivas disponibles Existen tres directivas generales: IU de cliente: determina qué opciones están disponibles para un equipo cliente Windows. consulte Aplicación de directivas con el cliente Solaris/Linux en Uso de clientes IPS en host.Configuración de directivas generales La función General de Host Intrusion Prevention proporciona acceso a las directivas de naturaleza general. Configurar las directivas Redes de confianza y Aplicaciones de confianza puede reducir o eliminar los falsos positivos. Guía del producto McAfee Host Intrusion Prevention 8.

que tiene que realizar operaciones especiales en equipos cliente ignorando las posibles directivas impuestas por los administradores. 82 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto e IU de cliente en la lista Categoría.0 . eliminar y exportar directivas personalizadas.0 para ePolicy Orchestrator 4.Configuración de directivas generales Definición de la funcionalidad de cliente Definición de la funcionalidad de cliente La directiva IU de cliente determina cómo aparecen y funcionan los clientes de IPS en host. el acceso del administrador y el usuario cliente en clientes Windows y el acceso del administrador en clientes no Windows. Desconectado El usuario. • Obtener alertas emergentes de intrusos o evitarlas. 2 En la lista de directivas IU de cliente. Las opciones de esta directiva permiten satisfacer las necesidades de tres funciones típicas de usuario: Tipo de usuario Funcionalidad Normal El usuario medio que tiene el cliente Host Intrusion Prevention instalado en un equipo de sobremesa o en un portátil. Para los clientes Windows se incluyen la configuración de visualización de iconos. Para los clientes no Windows. si determinadas actividades inofensivas están bloqueadas. las reacciones en caso de intrusos. La directiva IU de cliente permite a este usuario: • Ver el icono del cliente Host Intrusion Prevention en la bandeja del sistema y ejecutar la consola del cliente. Se muestra la lista de directivas. solo es válida la función de contraseña para acceso administrativo. las reacciones en caso de intrusos y el acceso de usuarios administradores y clientes. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. duplicar. Puede ver y duplicar la directiva preconfigurada. haga clic en ? en la página que las muestra. editar. La directiva IU de cliente permite que este usuario obtenga una contraseña de administrador sin caducidad para realizar tareas administrativas. • Crear más reglas IPS y de firewall. Las reglas de cliente creadas durante este período de tiempo se conservan. También puede crear. Las tareas administrativas para los usuarios desconectados y administrador incluyen: • Activar o desactivar las directivas IPS y de firewall. probablemente con un portátil. que pasa períodos de tiempo desconectado del servidor Host Intrusion Prevention. La directiva IU de cliente contiene una directiva preconfigurada y una directiva Mis valores predeterminados que se puede editar. cambiar el nombre. La directiva IU de cliente permite a este usuario obtener una contraseña basada en tiempos para realizar tareas administrativas o para activar o desactivar las funciones de protección. Administrador Un administrador TI de todos los equipos. Tarea Para ver la definición de las opciones. El usuario puede tener problemas técnicos con Host Intrusion Prevention o necesitar realizar operaciones sin que interactúen con el programa. • Desactivar temporalmente la protección de IPS y firewall. Configuración de una directiva IU de cliente Configure las opciones de la directiva para indicar la visualización de iconos. NOTA: las modificaciones en las directivas administrativas realizadas desde la consola de ePolicy Orchestrator se aplicarán solo una vez que haya caducado la contraseña. Guía del producto McAfee Host Intrusion Prevention 8. si lo permiten las reglas administrativas.

la contraseña se activa. Para esta función.Configuración de directivas generales Definición de la funcionalidad de cliente 3 En la página IU de cliente. En esta ficha puede establecer las opciones de visualización de la IU de cliente e indicar cómo responde el cliente a un evento de intrusión.0 para ePolicy Orchestrator 4. Tenga en cuenta lo siguiente: • Al desactivar IPS. Definición de opciones avanzadas de IU o Definición de opciones de solución de problemas de IU de cliente para obtener más detalles. en Opciones de visualización. La consola del cliente permanece desbloqueada Guía del producto McAfee Host Intrusion Prevention 8. Definición de opciones generales de IU de cliente Configure las opciones de la ficha Configuración general de la directiva IU de cliente para determinar la visualización de iconos y las reacciones en caso de intrusos solo para clientes Windows. Configuración de opciones avanzadas y contraseñas de IU de cliente Configurar las opciones de la ficha Opciones avanzadas de la directiva IU de cliente para acceso por contraseña en clientes Windows y no Windows. se desactiva la protección IPS en host e IPS de red. seleccione Permitir desactivación de funciones desde el icono de la bandeja y. los comandos de menú no tendrán efecto. Cuando esta directiva se aplica al cliente. después. seleccione mostrar el sistema. seleccione una ficha (Opciones generales. pueden utilizar el icono de la bandeja de Host Intrusion Prevention para desactivar una función sin abrir la consola de cliente. La función desactivada permanece así hasta que la restaura el comando del menú o hasta que una nueva directiva se aplique. haga clic en ? en la interfaz. seleccione la opción para mostrar el icono de menú de bandeja para acceder al menú de la consola del cliente o mostrar la aplicación en la lista Agregar o quitar programas. Hay dos tipos de contraseñas disponibles: • Una contraseña de administrador. Las contraseñas desbloquean la consola del cliente Windows y dan acceso al control de solución de problemas en clientes Windows y no Windows. Opciones de solución de problemas) y realice los cambios necesarios.0 83 . NOTA: los usuarios que necesiten desactivar temporalmente una función de Host Intrusion Prevention para acceder a una aplicación o un sitio de red inofensivo que esté bloqueado. en la ficha Opciones avanzadas. • Si la IU de cliente está desbloqueada. 4 Haga clic en Guardar para guardar los cambios. 1 Haga clic en la ficha Configuración general de la directiva IU de cliente y. Tarea Para ver las definiciones de las opciones. Opciones avanzadas. seleccione las funciones que desee desactivar. que un administrador puede configurar y que es válida mientras la directiva se aplique al cliente. a continuación. 2 En En caso de evento de intruso. seleccione las opciones que controlan la reacción del cliente cuando se encuentra un intruso. Consulte Definición de opciones generales de IU.

Tarea 1 Haga clic en la ficha Opciones avanzadas de la directiva IU de cliente aplicada a un sistema o a un grupo. 5 Seleccione el grupo y. Para volver a abrir los controles de la consola del cliente. Para este tipo de contraseña. a continuación. las directivas no se aplican. En un cuadro de diálogo aparece la contraseña con la fecha y la hora de caducidad. 2 Haga clic en Guardar en caso de que haya efectuado algún cambio en la directiva. La contraseña aparece en el cuadro de diálogo. Tarea 84 1 Compruebe que la opción Activar contraseñas basadas en tiempo de la ficha Avanzadas de la directiva IU de cliente está seleccionada. NOTA: cuando la consola de cliente está desbloqueada. Guía del producto McAfee Host Intrusion Prevention 8. haga clic en Calcular la contraseña basada en tiempos.. consulte Desbloqueo de la interfaz del cliente Windows. Administrador • Escriba una contraseña en el cuadro de texto Contraseña. a continuación. • Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña.. • Seleccione Activar contraseña basada en tiempos. • Introduzca la fecha y la hora en que caduca la contraseña y haga clic en Calcular la contraseña basada en tiempos. 3 Vaya a Sistemas | Árbol de sistemas.. introduzca nuevamente la contraseña de administrador. Basada en tiempos Creación de contraseñas según el sistema Se pueden crear y asignar contraseñas basadas en tiempos en función del sistema. 4 Aplique la directiva IU de cliente al grupo que incluye el sistema al que aplicar la contraseña.Configuración de directivas generales Definición de la funcionalidad de cliente hasta que se cierra. Haga lo siguiente. • Haga clic en Guardar. 2 Determine el tipo de contraseña que desea crear. Esta contraseña se genera automáticamente. en la ficha Sistemas seleccione un sistema único. La consola del cliente permanece desbloqueada hasta que se cierra. 6 Haga clic en Crear contraseña basada en tiempos. Puede indicar el sistema en el que desea crear la contraseña o crear la contraseña en la directiva IU de cliente para todos los sistemas a los que se aplica la directiva. • Haga clic en Guardar.0 . 7 Establezca la fecha y hora en la que caduca la contraseña y. que tiene fecha y hora de caducidad. • Una contraseña basada en tiempos.. Debe contener al menos diez caracteres.0 para ePolicy Orchestrator 4. Para obtener más información.

en MB. advertencia y error. advertencia y error. • Información registra mensajes de información.log. • Advertencia registra los mensajes de advertencia y de error. recuerde volver a activarlos tras solucionar los problemas. en Windows Vista. Guía del producto McAfee Host Intrusion Prevention 8. Tarea 1 Haga clic en la ficha Solución de problemas de la directiva IU de cliente. • Advertencia registra los mensajes de advertencia y de error. En Windows Vista. 2 Seleccione la configuración de directiva que desee aplicar: Para Haga lo siguiente. • Error registra los mensajes de error. • Desactivado no registra ningún mensaje. Activar el registro de IPS Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos de IPS. • Depuración registra todos los mensajes.Configuración de directivas generales Definición de la funcionalidad de cliente Definición de opciones de solución de problemas de IU de cliente Configurar las opciones de la ficha Solución de problemas de la directiva IU de cliente para opciones de registro y activar y desactivar motores.. Activar el registro de firewall Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos del firewall. Cambie el tamaño del registro de 1 MB (predeterminado) a un número más grande. y que desactivan motores IPS determinados.log. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\HipShield.log Incluir infracciones de seguridad en el registro de IPS Seleccione Infracciones de seguridad de registro para que los eventos de infracciones de seguridad aparezcan en el registro de IPS. • Depuración registra todos los mensajes. Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\HipShield. • Información registra mensajes de información. En lugar de utilizar la función de solución de problemas del cliente individual. Establecer el tamaño. Cuando desactive los motores.0 85 . Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc. • Desactivado no registra ningún mensaje.. puede aplicar opciones de solución de problemas de nivel de directiva que activan el registro de eventos IPS y del firewall. • Error registra los mensajes de error. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc.0 para ePolicy Orchestrator 4. del registro de eventos en el cliente.log.

haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada.0 . Agregar una dirección de red de confianza a la lista. rango de direcciones o subred en el cuadro de texto Redes de confianza. duplicar. y a excepciones de IPS de red. También puede crear. Definición de redes de confianza La directiva Redes de confianza mantiene una lista de direcciones de red y subredes. debe establecer la dirección remota como De confianza para aprovechar esta función. consulte Trabajo con clientes de Host Intrusion Prevention.. Configuración de una directiva de redes de confianza Configure las opciones de esta directiva para establecer las opciones de redes de confianza y mantener una lista de direcciones de red y subredes marcadas como de confianza solo para clientes Windows.0 para ePolicy Orchestrator 4. Activar o desactivar los motores Quite la marca de la casilla de verificación para desactivar un motor o selecciónela para activarlo. • Agregar o eliminar direcciones o subredes de la lista de confianza. Haga lo siguiente. o tipo de host HTTP y firmas personalizadas IPS. cambiar el nombre. 2 En la lista de directivas Redes de confianza. Esta categoría de directivas contiene una directiva preconfigurada que incluye las subredes locales automáticamente aunque no indica las direcciones de red. que puede etiquetar como de confianza para clientes de Windows y aplicar a reglas de firewall cuyas direcciones remotas se establezcan como de confianza. y una directiva Mis valores predeterminados que se puede editar.. Marcar la red como de confianza para firmas IPS de red Seleccione De confianza para IPS. NOTA: para las reglas de firewall. están en la lista. Tratar automáticamente a todos los usuarios de la Seleccione Activado en Incluir automáticamente la misma subred como de confianza.. Introduzca una dirección IP de confianza. Tarea Para ver la definición de las opciones.Configuración de directivas generales Definición de redes de confianza Para Haga lo siguiente. eliminar y exportar directivas personalizadas. Puede: • Establecer redes de confianza. 3 Realice una de las operaciones siguientes: Para. haga clic en ? en la página que las muestra. NOTA: para obtener detalles acerca de cómo trabajar directamente con el cliente HIP... Puede ver y duplicar la directiva preconfigurada.. Se muestra la lista de directivas. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Redes de confianza en la lista Categoría. 86 Guía del producto McAfee Host Intrusion Prevention 8. incluso a los que no subred local. incluidas las excepciones de TrustedSource. editar.

que son aplicaciones que se reconocen como seguras en un entorno determinado. convierta la aplicación de copias de seguridad en una aplicación de confianza. así que puede asignar más de una instancia de directiva. duplicar. cuando se ejecuta una aplicación de copias de seguridad.. 3 Realice una de las operaciones siguientes: Para.0 87 . confianza.. Tarea Para ver la definición de las opciones. Por ejemplo. Haga lo siguiente. y puede iniciar errores para prevenir vulnerabilidades de seguridad. La directiva Aplicaciones de confianza es una directiva de múltiples instancias. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Aplicaciones de confianza en la lista Categoría. eliminar y exportar las directivas personalizadas. Configuración de una directiva de aplicaciones de confianza Configure las opciones de la directiva para enumerar las aplicaciones consideradas seguras en un entorno determinado.. No siempre resulta práctico al tratar con varios miles de clientes o cuando se dispone de tiempo y recursos limitados. Haga lo siguiente. Eliminar o agregar una entrada de dirección de red de Haga clic en el botón Eliminar ( – ) o Agregar ( + ).. Por lo tanto.. El mantenimiento de una lista de aplicaciones seguras en un sistema reduce o elimina la mayoría de falsos positivos.. lo que permite un perfil más detallado de uso de aplicaciones de confianza. haga clic en ? en la página que las muestra. Puede ver y duplicar la directiva preconfigurada o puede editar. Guía del producto McAfee Host Intrusion Prevention 8..0 para ePolicy Orchestrator 4. Al afinar un despliegue. Una solución mejor es crear una lista de aplicaciones de confianza. Para evitarlo. NOTA: una aplicación de confianza puede sufrir vulnerabilidades comunes como desbordamiento de búfer y uso ilegal. Para obtener más detalles. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Se muestra la lista de directivas. 2 En la lista de directivas Aplicaciones de confianza. pueden darse muchos eventos de falsos positivos. Esta categoría de directiva contiene una directiva preconfigurada que proporciona una lista de aplicaciones de McAfee y de procesos de Windows concretos.Configuración de directivas generales Definición de aplicaciones de confianza Para. Definición de aplicaciones de confianza La directiva Aplicaciones de confianza es el mecanismo que se emplea para crear una lista de aplicaciones que son de confianza y no deberían generar eventos. una aplicación de confianza se supervisa igualmente. Agregar una aplicación Haga clic en Agregar aplicación.. cambiar el nombre. la creación de reglas de excepción de IPS es una de las maneras de reducir los falsos positivos. 4 Haga clic en Guardar para guardar los cambios. consulte Creación y edición de reglas de aplicaciones de confianza.

. Realizar una acción en una o más aplicaciones al mismo Selecciónelas y haga clic en: tiempo • Activar para activar una aplicación desactivada. NOTA: también puede crear aplicaciones de confianza basándose en un evento. • Eliminar para quitar la aplicación de la lista. Tarea Para ver la definición de las opciones. firewall o ambos. consulte Crear una aplicación de confianza a partir de un evento en Configuración de directivas IPS. NOTA: puede agregar un ejecutable existente desde el catálogo de IPS en host haciendo clic en Agregar desde catálogo. • Duplicar para hacer una copia de la aplicación dentro de la misma directiva con el nombre "copia de" la aplicación original. Haga lo siguiente.Configuración de directivas generales Definición de aplicaciones de confianza Para.. consulte Creación y edición de reglas de aplicaciones de confianza. 1 En la página de la directiva Aplicaciones de confianza.0 para ePolicy Orchestrator 4. • Copiar a para copiar aplicaciones en otra directiva. 3 Haga clic en Nuevo para agregar un ejecutable para la aplicación. para editar una regla existente. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva. 88 Guía del producto McAfee Host Intrusion Prevention 8. Haga clic en: • Editar para editar una aplicación existente. Para obtener más información sobre el catálogo.. 2 Escriba o edite el nombre y el estado de la aplicación. haga clic en ? en la página que las muestra. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall. Se le pedirá que indique la directiva. Haga clic en Guardar para guardar los cambios. 4 Haga clic en Aceptar para guardar los cambios. Para obtener más información. haga clic en Nueva aplicación de confianza para crear una nueva regla o haga clic en Editar . Para obtener más detalles. Creación y edición de reglas de aplicaciones de confianza Edite aplicaciones de confianza existentes o cree aplicaciones nuevas para tener una lista de todas las aplicaciones consideradas seguras para su entorno. • Eliminar para eliminar aplicaciones.. también si la aplicación es de confianza para IPS.0 . Realizar una acción en una sola aplicación 4 • Desactivar para desactivar una aplicación activada.en Acciones.

una directiva de servidor y una directiva IIS. haga clic en Editar asignaciones. a continuación. seleccione Host Intrusion Prevention 8.0: IPS/General en la lista Producto. haga clic en Ver Directiva efectiva. está asignando una unión de todos los elementos de cada instancia de la directiva. por ejemplo. 3 En la página Asignación de directiva. Para las directivas que tienen instancias múltiples. 4 Haga clic en Guardar para guardar todos los cambios. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido.0 89 . haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva. y para Reglas IPS/Aplicaciones de confianza. en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema. haga clic en ? en la interfaz. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas. Una directiva de varias instancias puede ser útil para un servidor IIS. Cuando asigna instancias múltiples. Guía del producto McAfee Host Intrusion Prevention 8. Tarea Para ver las definiciones de las opciones. seleccione un grupo del Árbol de sistemas que contenga el sistema y. NOTA: para un sistema único.Configuración de directivas generales Definición de aplicaciones de confianza La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia. donde puede aplicar una directiva general predeterminada. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas. McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible.0 para ePolicy Orchestrator 4. 2 En Directivas. las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS.

Tabla 8: Menú de McAfee Agent 4.. que muestra el número de versión y otra información del producto. Con McAfee Agent 4. Solo el cliente Windows tiene una interfaz.Uso de clientes de Host Intrusion Prevention El cliente de Host Intrusion Prevention se puede instalar en plataformas Windows..0 Haga clic con el botón derecho en el icono de McAfee Agent. Guía del producto McAfee Host Intrusion Prevention 8. Aquí se describen las funciones básicas de cada versión de cliente. proporciona acceso a la consola de cliente de IPS en host.. Para obtener control completo de todas las opciones de la consola.0 .. La funcionalidad será distinta según la versión de McAfee Agent instalada en el cliente. Configurar Abrir la consola de cliente de Host Intrusion Prevention.0 90 Haga clic en. Acerca de. Abrir el cuadro de diálogo Acerca de Host Intrusion Prevention. pero todas las versiones tienen la funcionalidad de solución de problemas. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales. Solaris y Linux.. Contenido Introducción al cliente Windows Introducción al cliente Solaris Introducción al cliente Linux Introducción al cliente Windows La gestión directa del cliente Windows de Host Intrusion Prevention está disponible a través de una consola de cliente.0 para ePolicy Orchestrator 4. seleccione Host Intrusion Prevention para mostrar un menú con métodos abreviados desde el que podrá abrir la consola.. desbloquee la interfaz con una contraseña. Cuando aparece por primera vez la consola del cliente.exe en C:\Archivos de programa\McAfee\Host Intrusion Prevention. utilice el menú del icono de la bandeja de McAfee o ejecute McAfeeFire. Para mostrarla. Para hacer esto. las opciones se bloquean y solo podrá ver la configuración actual. Para obtener más detalles acerca de la creación y el uso de contraseñas. Menú Icono de la bandeja de sistema Cuando aparece el icono de McAfee en la bandeja de sistema.

. Solo disponible si la función está activada. En Configuración rápida. Esto incluye la funcionalidad IPS en host e IPS de red. estarán disponibles algunos o todos estos comandos adicionales: Tabla 9: Menú de McAfee Agent 4.. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo.. Si se ha seleccionado Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa para un grupo de firewall en una directiva aplicada de Reglas del firewall.. Desactivar Firewall Desactivar la función Firewall. NOTA: tanto McAfee Agent como el cliente de IPS en host deben estar configurados para mostrar un icono para este acceso. Disponible solo si alguna función se ha desactivado.. Para hacer esto.0 con Permitir desactivación Haga clic en.0 con Activar grupo sincronizado Haga clic en.. Si McAfee Agento no aparece en la bandeja de sistema.. Restaurar configuración Activar todas las funciones desactivadas. no se podrá acceder a IPS en host con el icono de la bandeja de sistema.5 Haga clic con el botón derecho en McAfee Agent en la bandeja de sistema y seleccione Gestionar funciones | Host Intrusion Prevention para abrir la consola. estos comandos adicionales estarán disponibles: Tabla 10: Menú de McAfee Agent 4. Solo disponible si la función está activada. Cada vez que selecciona este comando.0 para ePolicy Orchestrator 4... También en Configuración rápida. Con McAfee Agent 4. IPS en host Activar y desactivar la protección de IPS en host. Desactivar IPS Desactivar la función IPS. Tabla 11: Configuración rápida del menú de McAfee Agent 4... Para hacer esto. Disponible solo si las dos funciones están activadas.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Si se selecciona Permitir la desactivación de las funciones desde el icono de la bandeja en una directiva IU de cliente aplicada. si la opción Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa se ha seleccionado para un grupo Guía del producto McAfee Host Intrusion Prevention 8. Para hacer esto.. estas opciones de Host Intrusion Prevention estarán disponibles si la opción Permitir la desactivación de las funciones desde el icono de la bandeja está seleccionada en una directiva aplicada de IU de cliente.5 Haga clic en. Firewall Activar y desactivar la protección del firewall. Desactivar todo Desactivar las funciones IPS y Firewall. aunque el cliente esté configurado para mostrar un icono de bandeja. IPS de red Activar y desactivar la protección de IPS de red. Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso.0 91 . restablece el tiempo de los grupos.

que incluye la configuración de contraseña. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales. escriba la contraseña y haga clic en Aceptar. puede proteger con contraseña la interfaz para evitar cambios accidentales.. seleccione Gestionar funciones. después. 3 En el cuadro de diálogo Inicio de sesión. • Con McAfee Agent 4. Cada vez que selecciona este comando. Contiene varias fichas. se haya aplicado al cliente. Para hacer esto. La consola le permite ver y configurar información de las funciones de Host Intrusion Prevention. Host Intrusion Prevention y. Desbloqueo de la interfaz del cliente Windows Un administrador que. estos comandos adicionales estarán disponibles: Tabla 12: Menú de McAfee Agent 4. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo.. Configurar. Tarea 1 Obtenga una contraseña del administrador de Host Intrusion Prevention. haga clic con el botón derecho en el icono de McAfee. seleccione Host Intrusion Prevention y. Consola de clientes para clientes Windows La consola de clientes Host Intrusion Prevention le da acceso a varias opciones de configuración.5. a continuación. 92 2 Abra la consola del cliente y seleccione Tarea | Desbloquear interfaz de usuario. Configurar. esté gestionando Host Intrusion Prevention por medio de ePolicy Orchestrator. elija una de las siguientes: • Con McAfee Agent 4.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows de firewall en una directiva aplicada de Reglas del firewall. haga clic con el botón derecho en el icono de McAfee. Antes de empezar Asegúrese de que la directiva IPS en host General: IU de cliente.5 con Activar grupo sincronizado Haga clic en. NOTA: para obtener más detalles acerca de la creación de contraseñas. Guía del producto McAfee Host Intrusion Prevention 8. que se corresponden con funciones específicas de Host Intrusion Prevention.0 .0 para ePolicy Orchestrator 4. El cliente no reconoce la contraseña hasta que la actualización de la directiva tiene lugar. Para abrir la consola. Las contraseñas fijas que no caducan y las contraseñas temporales permiten que el administrador y el usuario desbloqueen temporalmente la interfaz para hacer cambios. Esto sucede en la actualización programada de la directiva o si se fuerza una actualización inmediata de la directiva... Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso. desde remoto. • En la carpeta C:\Program Files\McAfee\Host Intrusion Prevention.0.exe. se restablece el tiempo de los grupos. ejecute McAfeeFire.

Tarea 1 En la consola del cliente. portugués. Antes de empezar Para realizar la tarea siguiente. Solución de problemas del cliente Windows Host Intrusion Prevention incluye una función de solución de problemas. que está disponible en el menú Ayuda cuando se bloquea la interfaz. ruso y español.cap en C:\Program Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events o en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events (solo IPS). Registro: IPS * Determina qué tipo de mensaje de IPS se registra. francés. Guía del producto McAfee Host Intrusion Prevention 8. aparece una alerta (solo IPS). Si selecciona "Automático". alemán. 3 Seleccione Edición | Opciones.. Para que esto ocurra. primero debe desbloquear la consola del cliente con una contraseña. 2 Seleccione el idioma para la interfaz de la consola del cliente y haga clic en Aceptar.. Tabla 13: Opciones de la consola del cliente Seleccione. Se guarda en un archivo FirePacketX. la interfaz aparecerá en el idioma del sistema operativo en el que se instala el cliente. Estas son las opciones disponibles: Tabla 14: Opciones de solución de problemas Opción Definición Registro: firewall Determina qué tipo de mensaje de firewall se registra. seleccione Tarea | Establecer idioma de la interfaz de usuario.0 para ePolicy Orchestrator 4. Reproducir sonido Se reproduce un sonido cuando se produce un ataque (solo IPS). 4 En el cuadro de diálogo Opciones de Host Intrusion Prevention. Crear captura de analizador si está disponible Se agrega una columna de captura al Registro de actividad para indicar que se han capturado los datos del intruso...0 93 . Mostrar notificación en bandeja del sistema El icono de bandeja de sistema indica el estado de un ataque cuando este se produce (solo IPS). seleccione y desactive opciones según sea necesario y haga clic en Aceptar. inglés. Mostrar alerta emergente Cuando se produce un ataque. italiano. coreano.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Definición de opciones de IU de cliente La consola del cliente de Host Intrusion Prevention proporciona acceso a algunas opciones determinadas por la directiva IU de cliente y permite personalizarlas para cada cliente individual. Las opciones incluyen: chino. japonés. Mostrar icono de la bandeja Host Intrusion Prevention aparece debajo del menú del icono de la bandeja del sistema de McAfee.

exe en Apéndice B -.0 . 3 Haga clic en Aceptar. La información se escribe en HipShield. Consulte Utilidad Clientcontrol.exe) para ayudar a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention en equipos cliente. Realice esta tarea para activar el registro IPS. Esta utilidad de línea de comando. 2 Seleccione el tipo de mensaje de IPS: • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Opción Definición Infracciones de seguridad de registro * Activar la creación de registros de seguridad de IPS en el registro de IPS.0 para ePolicy Orchestrator 4.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention. no se registrará ningún mensaje.Solución de problemas para obtener más información. Realice esta tarea para activar el registro del firewall. se suministra como parte de la instalación y se encuentra en el cliente. 2 Seleccione el tipo de mensaje del firewall: Guía del producto McAfee Host Intrusion Prevention 8. Tarea 1 En la consola de IPS en host. Definición de opciones de registro del firewall Como parte de la solución de problemas. en C:\Archivos de programa\McAfee\Host Intrusion Prevention. que puede incluirse en las cadenas de instalación y mantenimiento para desactivar temporalmente la protección IPS y activar las funciones de registro. Definición de opciones de registro IPS Como parte de la solución de problemas. Funcionalidad * Desactivar y activar los motores de clase de IPS en host como parte de la solución de problemas. Mostrar el producto en la lista Agregar/Quitar programas Permitir que IPS en host aparezca en la lista Agregar/Quitar programas y que se pueda quitar del cliente. seleccione Ayuda | Solución de problemas. * Esta opción está disponible solo con la protección IPS. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. puede crear registros de actividad IPS que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas. seleccione Ayuda | Solución de problemas. puede crear registros de actividad del firewall que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas. Tarea 94 1 En la consola de IPS en host. NOTA: McAfee ofrece una utilidad (ClientControl.

no se registrará ningún mensaje.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado. Tarea Para ver las definiciones de las opciones. haga clic en ? en la interfaz. también puede desactivar los motores de clase que protegen a un cliente. La ficha Información sobre intrusos muestra los detalles del ataque que generó la alerta. anule la selección de uno o más motores. esta alerta aparece solo si la opción Permitir reglas del cliente está desactivada para la firma que hizo que se produjera el evento. Si el cliente se encuentra en modo de adaptación. 3 Haga clic en Aceptar. NOTA: SQL y HTTP aparecen en la lista solo si el cliente se ejecuta en un sistema operativo del servidor. Para desactivar todos los motores. seleccione Ayuda | Solución de problemas y haga clic en Funcionalidad. 2 En el cuadro de diálogo Motores HIPS. el equipo de usuario o cliente en el que se produjo el ataque. consulte la sección Escritura de firmas personalizadas. Las alertas de firewall sólo aparecen cuando el cliente se encuentra en modo de aprendizaje para estas funciones. se crea un archivo nuevo. 4 Una vez resuelto el problema.0 para ePolicy Orchestrator 4. anule la selección de Activar/Desactivar todos los motores. Para entender mejor qué protege cada clase. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. aparecerá automáticamente una alerta cuando Host Intrusion Prevention detecte un ataque potencial.0 95 . del firewall y de detección de simulaciones. Respuesta a alertas de intrusos Si activa la protección IPS y la opción Mostrar alerta emergente. Entre estos mensajes se encuentran las alertas de detección de intrusos. Cuando el archivo alcanza los 100 MB. el Guía del producto McAfee Host Intrusion Prevention 8. incluidos la descripción del ataque. Alertas del cliente Windows Un usuario puede encontrar muchos tipos de mensaje de alerta y necesita reaccionar de manera acorde. 1 En la consola de IPS en host. Desactivación de motores IPS en host Como parte de la solución de problemas. vuelva a seleccionar todos los motores para los que se haya anulado la selección en el cuadro de diálogo Motores HIPS.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\. 3 Haga clic en Aceptar. McAfee recomienda que solo utilicen este procedimiento de solución de problemas los administradores que estén en comunicación con el departamento de soporte de McAfee. La información se escribe en FireSvc.

Si la alerta es resultado de una firma IP de host. Además. puede seleccionar Todos los hosts. la dirección y los puertos. realice una de las operaciones siguientes: • Haga clic en Denegar para bloquear este tráfico y el similar. el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre de la firma y la dirección IP del host. Como opción. El nombre de usuario siempre se incluye en la excepción. la nueva regla de firewall permitirá o bloqueará solo los puertos específicos: • 96 Si el tráfico interceptado usa un puerto inferior a 1024. si se ha enviado más de una alerta.0 . o crear una regla de excepción para el evento haciendo clic en Crear excepción. Además. La sección Información de conexión muestra información sobre el protocolo de tráfico. Los botones Anterior y Siguiente están disponibles en la parte inferior del cuadro de diálogo. NOTA: esta alerta de intrusión también aparece en las intrusiones del firewall si coincide con una regla de firewall que tenga la opción Tratar coincidencia de regla como intruso seleccionada. la ruta y la versión de la aplicación. Si no selecciona esta opción. puede hacer clic en Notificar al administrador para enviar información acerca del evento al administrador de Host Intrusion Prevention. Este botón sólo estará activo si la opción Permitir que el usuario notifique al administrador está activada en la directiva IU de cliente aplicada. aparece una alerta del firewall y se requiere una respuesta del usuario. La sección Información de aplicación muestra la información de la aplicación que está intentando acceder a la red. Guía del producto McAfee Host Intrusion Prevention 8.. incluidos el nombre. Crear una regla de firewall para una aplicación para todos los puertos y servicios Crear una regla para permitir o bloquear el tráfico de una aplicación a través de cualquier puerto o servicio. el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre del proceso. Si la alerta es resultado de una firma IPS de red. Seleccione No mostrar alertas de eventos IPS para dejar de mostrar las alertas de eventos IPS. la nueva regla permitirá o bloqueará solo ese puerto específico.0 para ePolicy Orchestrator 4. Puede seleccionar Todas las firmas o Todos los procesos.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows proceso implicado en el ataque y la fecha y hora en la que Host Intrusion Prevention lo interceptó. puede aparecer un mensaje genérico especificado por el administrador. seleccione Mostrar alerta emergente en el cuadro de diálogo Opciones. Respuesta a alertas de firewall Si activa la protección del firewall y el modo de aprendizaje para el tráfico entrante o saliente. Puede ignorar el evento haciendo clic en Ignorar. el usuario y la firma. Opcional: seleccione opciones para la nueva regla de firewall: Seleccione. NOTA: los botones Anterior y Siguiente están disponibles en la sección Información de conexión si hay información adicional de protocolos o puertos para una aplicación... Para hacer esto.. 2 • Haga clic en Permitir para permitir que pase por el firewall este tráfico y el similar. Tarea 1 En el cuadro de diálogo de alerta. El botón Crear excepción está activo solo si la opción Permitir reglas del cliente está activada para la firma que hizo que se produjera el error. pero no ambos. Para hacer que las alertas vuelvan a aparecer después de seleccionar esta opción.

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Seleccione...

Para hacer esto...

Eliminar esta regla cuando la aplicación se cierre

Si el tráfico usa el puerto 1024 o superior, la nueva
regla permitirá o bloqueará el rango de puertos de
1024 a 65535.

Crear una regla temporal de permiso o bloqueo que se
borra cuando se cierra la aplicación. Si no selecciona
estas opciones, la nueva regla de firewall se crea como
regla permanente de cliente.

Host Intrusion Prevention crea una nueva regla de firewall según las opciones seleccionadas,
la agrega a la lista de directivas Reglas de firewall y permite o bloquea automáticamente
el tráfico similar.

Respuesta a alertas de simulación detectada
Si activa la protección de firewall, aparece automáticamente una alerta de simulación si Host
Intrusion Prevention detecta una aplicación en su equipo que envíe tráfico de red simulado, y
se requiere la respuesta de un usuario.
Esto quiere decir que la aplicación está intentando hacer que parezca que el tráfico de su equipo
llega en realidad de un equipo diferente. Esto se puede hacer cambiando la dirección IP en los
paquetes salientes. La simulación siempre es una actividad sospechosa. Si ve este cuadro de
diálogo, investigue inmediatamente la aplicación que está enviando el tráfico simulado.
NOTA: el cuadro de diálogo Alerta de simulación detectada aparece solo si selecciona la opción
Mostrar alerta emergente. Si no selecciona esta opción, Host Intrusion Prevention bloqueará
automáticamente el tráfico simulado sin notificarle.
El cuadro de diálogo Alerta de simulación detectada es muy similar a la alerta de la función
Modo de aprendizaje del firewall. Muestra información acerca del tráfico interceptado, en dos
áreas: la sección Información de la aplicación y la sección Información de la conexión.
La sección Información de la aplicación muestra:
• La dirección IP de la que el tráfico simula llegar.
• Información acerca del programa que generó el tráfico simulado.
• La fecha y la hora a la que Host Intrusion Prevention interceptó el tráfico.
La sección Información de conexión proporciona información adicional de la red. En especial,
Dirección local muestra la dirección IP que la aplicación simula tener, mientras que Dirección
remota muestra la dirección IP real.
Cuando Host Intrusion Prevention detecta tráfico simulado en la red, bloquea tanto el tráfico
como la aplicación que lo generó.

Acerca de la ficha Directiva de IPS
La ficha Directiva de IPS se usa para configurar la función IPS, que protege contra los ataques
de intruso al host según reglas de firmas y de comportamiento. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de excepción de cliente. Para obtener más
detalles acerca de las directivas de IPS, consulte Configuración de directivas de IPS.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

97

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

La ficha Directiva de IPS muestra las reglas de excepción importantes para el cliente y
proporciona información resumida y detallada de cada regla.
Tabla 15: Ficha Directiva de IPS
Esta columna...

Muestra

Excepción

Nombre de la excepción.

Firma

Nombre de la firma para la que se crea la excepción.

Aplicación

Aplicación a la que se aplica esta regla, incluidos el nombre
de programa y el nombre del archivo ejecutable.

Personalización de las opciones de Directiva IPS
Las opciones de la parte superior de la ficha controlan la configuración realizada desde las
directivas IPS del servidor después de que se haya desbloqueado la interfaz de cliente.
Tarea
1

En la consola del cliente de IPS en host, haga clic en la ficha Directiva IPS.

2

Seleccione o quite la selección de una opción, según necesite.
Seleccione...

Para hacer esto...

Activar IPS en host

Activar la protección de Host Intrusion Prevention.

Activar IPS de red

Activar la protección de red de Host Intrusion
Prevention.

Activar el modo de adaptación

Activar el modo de adaptación para crear
automáticamente excepciones a las firmas de
prevención de intrusos.

Bloquear atacantes automáticamente

Bloquear los ataques de intrusos automáticamente
durante un periodo de tiempo establecido. Indique el
número de minutos en el campo min.

Creación y edición de reglas de excepción de directivas de IPS
Ver, crear y editar reglas de excepción de IPS en la ficha Directiva de IPS del cliente.
Tarea

98

1

En la ficha Directiva IPS, haga clic en Agregar para agregar una regla.

2

En el cuadro de diálogo Regla de excepción, escriba una descripción de la regla.

3

Seleccione la aplicación a la que se aplica la regla de la lista de aplicaciones, o haga clic
en Examinar para localizar la aplicación.

4

Seleccione La regla de excepción está activa para activar la regla. La excepción se
aplica a todas las firmas, que no está activada ni seleccionada de manera
predeterminada, aplica la excepción a todas las firmas.

5

Haga clic en Aceptar.

6

Para hacer otras ediciones, realice una de las acciones siguientes:

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Para...

Haga lo siguiente...

Ver los detalles de una regla o editar una regla

Haga doble clic en una regla, o seleccione una regla y
haga clic en Propiedades. El cuadro de diálogo Regla
de excepción aparece para mostrar la información
que puede editarse de la regla.

Hacer regla activa/inactiva

Seleccione o cancele la selección de la casilla de
verificación La regla de excepción está activa en el
cuadro de diálogo Regla de excepción. También
puede seleccionar o quitar la marca de selección de la
casilla de verificación junto a un icono de regla en la
lista.

Eliminar una regla

Seleccione una regla y haga clic en Eliminar.

Aplicar cambios inmediatamente

Haga clic en Aplicar. Si no hace clic en este botón
después de hacer cambios, aparecerá un cuadro de
diálogo que le pedirá que guarde los cambios.

Acerca de la ficha Directiva de firewall
Use la ficha Directiva de firewall para configurar la función Firewall, que permite o bloquea las
comunicaciones de red según reglas definidas por el usuario. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de cliente del firewall. Para obtener más
información acerca de las directivas de firewall, consulte Configuración de directivas de firewall.
La lista de reglas de firewall muestra reglas y grupos de reglas relacionados con el cliente y
muestra un resumen e información detallada de cada regla. Las reglas que se muestran en
cursiva no pueden editarse.
Tabla 16: Ficha Directiva de firewall
Elemento

Descripción

Casilla de verificación

Indica si la regla está activa (marcada) o no (sin marca).
En las reglas que se muestran en cursiva, puede activar
o desactivar la regla con la casilla de verificación.

Grupo del firewall

Grupo sincronizado
Grupo con reconocimiento de ubicación

Regla de firewall

Muestra la lista de reglas que incluye. Haga clic en la casilla
más para mostrar las reglas y haga clic en la casilla menos
para ocultarlas.
Indica si el grupo es un grupo sincronizado.
Indica si el grupo es un grupo con reconocimiento de
ubicación.
Muestra las propiedades básicas de la regla. Haga clic en
la casilla más para mostrar las propiedades y haga clic en
la casilla menos para ocultarlas.

Acción de la regla
Indica si la regla permite el tráfico

o si lo bloquea

.
Dirección de la regla
Indica si la regla se aplica al tráfico de
tráfico de

salida, o a ambos

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

entrada, al

.

99

. Transporte El protocolo y las direcciones locales o remotas a las que se aplica esta regla. Activar la protección de la directiva de firewall Activar firewall Activar el modo de aprendizaje para el tráfico entrante Modo de aprendizaje para tráfico entrante Activar el modo de aprendizaje para el tráfico saliente Modo de aprendizaje para tráfico saliente Activar el modo de adaptación Modo de adaptación Ver redes de confianza Redes de confianza Creación y edición de reglas de Firewall Ver. incluido el nombre del archivo ejecutable. Tarea 1 En la ficha Directiva del firewall.. Seleccione. si existe. haga clic en Agregar para agregar una regla. 4 Haga clic en Finalizar para guardar la nueva regla. según necesite.0 . una gama de direcciones. Tarea 1 En la consola del cliente de IPS en host.. realice una de las acciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. una lista de direcciones específicas o especificar todas las direcciones.. escriba el nombre de la regla y seleccione la información de la acción y dirección de la regla. Planificación El programa. haga clic en la ficha Directiva de firewall.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Personalización de las opciones de la Directiva de firewall Las opciones de la parte superior de la ficha controlan la configuración realizada desde las directivas de firewall del servidor después de que se haya desbloqueado la interfaz de cliente. 5 Para hacer otras ediciones. Redes La dirección IP. 2 Seleccione o quite la selección de una opción.. NOTA: solo puede crear reglas. 3 Haga clic en Siguiente para seguir hacia las otras páginas y cambiar la configuración predeterminada. y no grupos. estado. acción y dirección de la regla. Puede definir una dirección individual. General El nombre. Para. Introduzca esta información.0 para ePolicy Orchestrator 4. en la consola del cliente. NOTA: cada página del creador de reglas se corresponde con una ficha del creador de reglas de firewall en la directiva Reglas de firewall. de la regla.. 2 En la página General.. subred. 100 Para esta página. Aplicaciones Las aplicaciones a las que se aplica esta regla. crear y editar reglas de firewall en la ficha Directiva de firewall del cliente. dominio u otros identificadores específicos de esta regla..

Si Crear reglas de cliente está seleccionado en la directiva Opciones de IPS en la consola de ePolicy Orchestrator. Si especificó que deseaba que la dirección estuviera bloqueada hasta que se quitara manualmente de la lista. La lista de hosts bloqueados muestra todos los hosts bloqueados actualmente por Host Intrusion Prevention. Si especificó una hora de caducidad cuando bloqueó la dirección.. El cuadro de diálogo del editar una regla creador de reglas de firewall aparece y muestra la información de la regla. esta columna mostrará Hasta su eliminación.. También puede seleccionar o quitar la marca de selección de la casilla de verificación junto a una regla en la lista. Tiempo restante Durante cuánto tiempo Host Intrusion Prevention continúa bloqueando esta dirección. puede agregar hosts bloqueados o editarlos. Cada línea representa un solo host. Si no hace clic en este botón después de hacer cambios.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Para. Si Host Intrusion Prevention agregó esta dirección porque una de sus reglas de firewall utilizó la opción Tratar coincidencia de regla como intruso. Si la regla no está en cursiva. esta columna describe el tipo de ataque. Aplicar cambios inmediatamente Haga clic en Aplicar. Motivo del bloqueo Una explicación de por qué Host Intrusion Prevention está bloqueando dicha dirección. Acerca de la ficha Hosts bloqueados Utilice la ficha Hosts bloqueados para controlar una lista de hosts bloqueados (direcciones IP) que se crea automáticamente cuando la protección IPS de red (NIPS) está activada. Puede obtener más información acerca de los hosts leyendo la información de cada columna. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. Si Host Intrusion Prevention agregó esta dirección a la lista debido a un intento de ataque al sistema. Ver los detalles de una regla o Seleccione una regla y haga clic en Propiedades. Tabla 17: Ficha Hosts bloqueados Columna Qué muestra Origen La dirección IP que Host Intrusion Prevention está bloqueando. Eliminar una regla Seleccione una regla y haga clic en Eliminar. esta columna muestra solo la dirección IP que bloqueó. Hacer una copia de una regla existente Seleccione la regla (normalmente una regla predeterminada que no se puede editar) y haga clic en Duplicar. podrá editarla..0 para ePolicy Orchestrator 4. Guía del producto McAfee Host Intrusion Prevention 8.. Si agregó esta dirección manualmente. Haga lo siguiente. esta columna mostrará el número de minutos que quedan para que Host Intrusion Prevention elimine la dirección de la lista. Hacer regla activa/inactiva Seleccione o quite la marca de la casilla de verificación junto a Activado en la página General de la regla del firewall. Hora La fecha y hora a las que se agregó esta dirección a la lista de direcciones bloqueadas. esta columna muestra el nombre de la regla de firewall correspondiente.0 101 .

PID La ID del proceso. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. Bloqueará cualquier intento de comunicación desde esa dirección IP hasta que la elimine de la lista de direcciones bloqueadas o hasta que pase el tiempo establecido. o seleccione un host y haga clic en Propiedades. La lista muestra todos los procesos supervisados por el cliente.. 3 Escriba el número de minutos. Acerca de la Ficha Registro de actividad Use la ficha Registro de actividad para configurar la función de creación de registro y realizar un seguimiento de las acciones de Host Intrusion Prevention. realice una de las acciones siguientes: Para. Esta es una lista de solo lectura llena de directivas administrativas y una aplicación específica de cliente creada heurísticamente. El cuadro de diálogo Host bloqueado mostrará la información que se puede editar. El Registro de actividad contiene un registro continuo de las actividades. haga clic en Usar. 2 En el cuadro de diálogo Host bloqueado. que se bloqueará la dirección IP. 102 Guía del producto McAfee Host Intrusion Prevention 8. 5 Para hacer otras ediciones. que es la clave para la búsqueda en caché de un proceso.. Para buscar una dirección IPS por su nombre de dominio..Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Edición de la lista de hosts bloqueados Edite la lista de direcciones bloqueadas para agregar. Tarea 1 Haga clic en Agregar para agregar un host.0 . hasta 60. Si no hace clic en este botón después de hacer cambios. Si encuentra ahí el nombre del host. 4 Haga clic en Aceptar. Las actividades más recientes aparecen en la parte inferior de la lista. NOTA: después de que haya creado una dirección bloqueada. Tabla 18: Ficha Protección de aplicaciones Columna Qué muestra Proceso El proceso de la aplicación. Haga lo siguiente. Aplicar cambios inmediatamente Haga clic en Aplicar. Host Intrusion Prevention agrega una nueva entrada a la lista en la ficha Protección de aplicaciones.0 para ePolicy Orchestrator 4. Ruta completa de aplicación La ruta completa del ejecutable de la aplicación. Ver o editar los detalles de un host bloqueado Haga doble clic en una entrada de host. Borrar un host bloqueado Seleccione un host y haga clic en Eliminar.. haga clic en Búsqueda de DNS. cambiar o ver hosts bloqueados. quitar. Acerca de la ficha Lista de protección de aplicaciones La ficha Lista de protección de aplicaciones muestra una lista de aplicaciones protegidas en el cliente. indique la dirección IP que desee bloquear.

Haga clic con el botón derecho en la entrada del registro para guardar los datos en un archivo de rastreador. puede elegir ocultar estos eventos en el registro mediante filtrado. NOTA: esta columna aparecerá solo si selecciona Crear captura de rastreador. Mensaje Descripción de la acción. Regla coincidente El nombre de la regla coincidente. Aplicación El programa que causó la acción. Registro del tráfico: registrar todos los bloqueados Registrar todo el tráfico bloqueado por el firewall. Guía del producto McAfee Host Intrusion Prevention 8. Tarea 1 En la consola del cliente de IPS en host. 2 Seleccione o quite la selección de una opción. pero no para la función IPS. según necesite. tan detallada como sea posible. Para hacer esto. Registro del tráfico: registrar todos los permitidos Registrar todo el tráfico permitido por el firewall. • Intruso indica una acción de IPS. Evento La función que realizó la acción. haga clic en la ficha Registro de actividad.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Columna Qué muestra Hora La fecha y la hora de la acción Host Intrusion Prevention.. Usuario/Dirección IP La dirección remota a la que esta comunicación se envió o desde la que se envió. así que debe desplazarse o cambiar el tamaño de la columna para ver la columna y su contenido. Sin embargo. Opciones de Filtro: intrusos Filtrar los datos para mostrar los intrusos. Opciones de Filtro: tráfico Filtrar los datos para mostrar el tráfico bloqueado y permitido por el firewall. NOTA: esta columna se encuentra en el extremo derecho de la pantalla. Puede exportar los datos de paquete asociados con esta entrada del registro.0 para ePolicy Orchestrator 4. Personalización de las opciones de Registro de actividad Las opciones de la parte superior de la ficha controlan la configuración de registro realizada desde las directivas IU de cliente del servidor después de que se haya desbloqueado la interfaz de cliente. Seleccione. en el cuadro de diálogo Opciones de McAfee Host Intrusion Prevention. • Servicio indica un evento relacionado con el servicio o los controladores del software. NOTA: puede activar y desactivar la creación de registros para el tráfico del firewall.. Datos de intruso Un icono que indica que Host Intrusion Prevention guardó el paquete de datos asociado con este ataque (solo aparece para las entradas de registro de IPS).0 103 ... • Aplicación indica una acción de un bloqueo de aplicación. • Sistema indica un evento relacionado con los componentes internos del software. • Tráfico indica una acción del firewall...

Redes de confianza Ninguna Aplicaciones de confianza Solo Marcar como de confianza para IPS y Nombre de nuevo proceso para agregar aplicaciones de confianza. En el cuadro de diálogo que aparece.0 104 IU de cliente Ninguna excepto de administración o contraseña basada en tiempos para permitir el uso de la herramienta de solución de problemas.. Aplicación de directivas con el cliente Solaris No todas las directivas que protegen un cliente Windows están disponibles para el cliente Solaris. Aplicar cambios inmediatamente Haga clic en Aplicar. Guardar los contenidos del registro y borrar la lista Haga clic en Exportar. Si no hace clic en este botón después de hacer cambios. Haga lo siguiente. Firewall de Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. General de Host Intrusion Prevention 8. Protege el sistema operativo del servidor.0 . pero no ofrece protección del firewall. Actualizar la pantalla Haga clic en Actualizar. En resumen. de la ficha elija un nombre y guarde el archivo .0 Opciones IPS • Activar HIPS • Activar el modo de adaptación • Conservar reglas de cliente existentes Protección de IPS Todos Reglas IPS • Reglas de excepción • Firmas (solo reglas de HIPS predeterminadas y personalizadas) NOTA: las firmas NIPS y Reglas de protección de aplicaciones no están disponibles. Introducción al cliente Solaris El cliente Solaris de Host Intrusion Prevention identifica y evita intentos potencialmente perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Solaris.0 Ninguna Guía del producto McAfee Host Intrusion Prevention 8... Host Intrusion Prevention protege el servidor host de ataques perjudiciales. Tabla 19: Directivas del cliente Solaris Directiva Opciones disponibles IPS de Host Intrusion Prevention 8. A continuación se enumeran las directivas válidas. junto con los servidores Web Apache y Sun. Borrar permanentemente el contenido del registro Haga clic en Borrar.Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris 3 Haga lo siguiente para cambiar lo que se muestra: Para.. y previene especialmente ataques de desbordamiento del búfer.txt. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios.

Activar el registro de tipos de mensajes específicos. situada en el directorio opt/McAfee/hip. hay varias cosas que investigar. Use la herramienta de solución de problemas para: • Indicar la configuración de registro y el estado del motor del cliente. hipts. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”.. Puede comprobar si el cliente se está ejecutando y detener y reiniciar el cliente. • Activar y desactivar la generación de registros de mensajes. Los mensajes incluyen: hipts message <message name>:on • error • advertencia • depuración • información • infracciones Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”. De manera predeterminada. Entre ellas. El motor está activo de forma predeterminada. Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de problemas: Para.. mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del proceso.0 105 .0 para ePolicy Orchestrator 4. Para usar esta herramienta. hipts logging off Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”. • Activar y desactivar los motores.Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris Solución de problemas del cliente Solaris Si ha surgido algún problema al instalar o desinstalar el cliente. Obtener el estado actual del cliente que indica qué tipo hipts status de registro está activado y qué motores están funcionando. el mensaje de error está desactivado... Además. debe suministrar una contraseña de cliente de Host Intrusion Prevention. Ejecutar. El cliente Solaris no tiene interfaz de usuario para la solución de problemas de funcionamiento. Ofrece una herramienta de solución de problemas de línea de comandos. asegúrese de que todos los archivos se han instalado en el directorio correcto. hipts logging on Desactivar el registro de todos los tipos de mensajes. El registro está desactivado de forma predeterminada. Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • GUID • MMAP • BO • HTTP Guía del producto McAfee Host Intrusion Prevention 8. puede encontrar problemas en el funcionamiento del cliente. Utilice la contraseña predeterminada que se incluye con el cliente (abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela. hipts message all:off Activar el motor indicado. hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”.

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Solaris

Para...

Ejecutar...

Desactivar el motor indicado.

hipts engines <engine name>:off

Activar todos los motores.

hipts engines all:on

Desactivar todos los motores.

hipts engines all:off

SUGERENCIA: además de usar la herramienta de solución de problemas, consulte los archivos
HIPShield.log y HIPClient.log en el directorio /opt/McAfee/hip/log para comprobar las operaciones
o realizar el seguimiento de problemas.

Comprobación de los archivos de instalación de Solaris
Después de una instalación, compruebe que todos los archivos se instalaron en el directorio
adecuado del cliente. El directorio /opt/McAfee/hip deberá incluir estos archivos y directorios
esenciales:
Archivo/nombre de directorio

Descripción

HipClient; HipClient-bin

Cliente Solaris

HipClientPolicy.xml

Reglas de directiva

hipts; hipts-bin

Herramienta de solución de problemas

*.so

Módulos de objetos compartidos de Host Intrusion Prevention y McAfee
Agent

Directorio de registro

Contiene archivos de registro de depuración y error

El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo para
cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion
Prevention.

Comprobación de que el cliente Solaris se ejecuta
Aunque el cliente esté instalado correctamente, puede encontrarse con problemas de
funcionamiento. Si el cliente no aparece en la consola de ePO, por ejemplo, compruebe que se
está ejecutando mediante alguno de estos comandos:
• /etc/rc2.d/S99hip status
• ps –ef | grep Hip

Detención del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Para detener un cliente en ejecución, desactive primero la protección IPS. Utilice uno de
estos procedimientos:
• Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.

2

106

• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:off
Ejecute el comando: /sbin/rc2.d/S99hip stop

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Reinicio del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Ejecute el comando: /sbin/rc2.d/S99hip restart.

2

Active la protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado para
detener el cliente:
• Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:on

Introducción al cliente Linux
El cliente Linux de Host Intrusion Prevention identifica y evita intentos potencialmente
perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Linux. Protege
el sistema operativo del servidor, junto con los servidores Web Apache, y previene especialmente
ataques de desbordamiento del búfer.

Aplicación de directivas con el cliente Linux
No todas las directivas que protegen a un cliente Windows están disponibles para el cliente
Linux. En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales
pero no ofrece protección contra las intrusiones de red, incluido el desbordamiento del búfer.
Las directivas válidas se enumeran a continuación.
Tabla 20: Directivas del cliente Linux
Directiva

Opciones disponibles

IPS de Host Intrusion Prevention 8.0
Opciones IPS

Activar HIPS

Activar el modo de adaptación

Conservar reglas de cliente existentes

Protección de IPS

Todas

Reglas IPS

Reglas de excepción

Firmas (solo reglas de HIPS predeterminadas y
personalizadas)

NOTA: las firmas NIPS y Reglas de protección de
aplicaciones no están disponibles.
General de Host Intrusion Prevention 8.0
IU de cliente

Ninguna excepto de administración o contraseña basada
en tiempos para permitir el uso de la herramienta de
solución de problemas.

Redes de confianza

Ninguna

Aplicaciones de confianza

Solo Marcar como de confianza para IPS y Nombre de
nuevo proceso para agregar aplicaciones de confianza.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

107

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Directiva

Opciones disponibles

Firewall de Host Intrusion Prevention 8.0

Ninguna

Notas acerca del cliente Linux
• El cliente Linux de Host IPS 8.0 no es compatible con SELinux en el modo Implementar.
Para desactivar el modo Implementar, ejecute el comando: system-config-securitylevel, cambie
el ajuste a desactivado y reinicie el sistema cliente.
• Cuando se cargan los módulos de núcleo de Host IPS 8.0 de Linux, se informa de que el
núcleo de SUSE ha sido modificado. El registro del núcleo indica lo siguiente: schook: module
not supported by Novell, setting U taint flag; hipsec: module not supported by Novell, setting
U taint flag. Los requisitos de Novell para módulos de terceras partes causan que el núcleo
IPS en host se marque como modificado. Debido a que los módulos de núcleo de Linux de
Host IPS 8.0 tienen licencia de GPL, es necesario ignorar este mensaje. McAfee está
trabajando con Novell para solucionar este problema.

Solución de problemas del cliente Linux
Si ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas que investigar.
Entre ellas, asegúrese de que todos los archivos se han instalado en el directorio correcto,
mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del
proceso. Además, puede encontrar problemas en el funcionamiento del cliente. Puede comprobar
si el cliente se está ejecutando y detener y reiniciar el cliente.
El cliente Linux no tiene interfaz de usuario para la solución de problemas de funcionamiento.
Ofrece una herramienta de solución de problemas de línea de comandos, hipts, situada en el
directorio opt/McAfee/hip. Para usar esta herramienta, debe suministrar una contraseña de cliente
de Host Intrusion Prevention. Utilice la contraseña predeterminada que se incluye con el cliente
(abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de
administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela.
Use la herramienta de solución de problemas para:
• Indicar la configuración de registro y el estado del motor del cliente.
• Activar y desactivar la generación de registros de mensajes.
• Activar y desactivar los motores.
Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de
problemas:
Para...

Ejecutar...

Obtener el estado actual del cliente que indica qué tipo
hipts status
de registro está activado y qué motores están funcionando.

108

Activar el registro de tipos de mensajes específicos.

hipts logging on

Desactivar el registro de todos los tipos de mensajes. El
registro está desactivado de forma predeterminada.

hipts logging off

Mostrar el tipo de mensaje indicado cuando el registro
está establecido en “activado”. Los mensajes incluyen:

hipts message <message name>:on

error

advertencia

depuración

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

compruebe que todos los archivos se instalaron en el directorio adecuado del cliente. Comprobación de los archivos de instalación de Linux Después de una instalación. ejecute el siguiente comando: ps –ef | grep Hip Guía del producto McAfee Host Intrusion Prevention 8. Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”.xml Reglas de directiva hipts.log. Para ello.so Módulos de objetos compartidos de Host Intrusion Prevention y McAfee Agent Directorio de registro Contiene archivos de registro de depuración y error El historial de instalación se escribe en /opt/McAfee/etc/hip-install. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”.log en el directorio McAfee/hip/log para comprobar las operaciones o realizar el seguimiento de problemas.. hipts engines all:on Desactivar todos los motores. consulte los archivos HIPShield. Consulte este archivo para cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion Prevention. hipts-bin Herramienta de solución de problemas *. hipts engines all:off SUGERENCIA: además de usar la herramienta de solución de problemas. De manera predeterminada. HipClient-bin Cliente Linux HipClientPolicy.. El directorio opt/McAfee/hip deberá incluir estos archivos y directorios esenciales: Nombre del archivo Descripción HipClient. Comprobación de que el cliente Linux se ejecuta Si el cliente no aparece en la consola ePO. hipts message all:off Activar el motor indicado. • información • infracciones Ejecutar. hipts engines <engine name>:off Activar todos los motores.log y HIPClient.. compruebe que el cliente se esté ejecutando. el mensaje de error está desactivado. hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Para.0 para ePolicy Orchestrator 4..0 109 . El motor está activo de forma predeterminada. por ejemplo. Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • HTTP Desactivar el motor indicado.

0 . • Ejecute el comando: hipts engines MISC:on 110 Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. 2 • Ejecute el comando: hipts engines MISC:off Ejecute el comando: hipts agent off Reinicio del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema. Tarea 1 Ejecute el comando: hipts agent on. Utilice uno de estos procedimientos: • Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la directiva al cliente. Siga uno de estos procedimientos. 2 Active la protección IPS.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Detención del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema. según cuál haya utilizado para detener el cliente: • Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva al cliente. Tarea 1 Para detener un cliente. desactive la protección IPS.

0 para ePolicy Orchestrator 4. Cada sección define una categoría de regla y su valor. Contenido Estructura de regla Firmas personalizadas de Windows Firmas personalizadas no Windows Estructura de regla Cada firma contiene una o varias reglas escritas en la sintaxis de ANSI Tool Command Language (TCL).Apéndice A -. Una revisión rápida de las referencias estándar de TCL le garantizará que introduce los valores apropiados correctamente. } NOTA: antes de que intente escribir reglas personalizadas. Esta información también puede usarse al trabajar con la página de detalles avanzados para las excepciones. con una sección por línea. incluida una lista de clases. que define el comportamiento global de la misma. debe revisar la sintaxis para escribir cadenas y secuencias de escape en TCL. Una sección siempre identifica la clase de la regla..0 111 .. La estructura básica de una regla es la siguiente: Rule { Valor SecciónA Valor SecciónB Valor SecciónC . parámetros y directivas. proporciona información acerca de cómo crear firmas personalizadas para las distintas plataformas del cliente.Escritura de firmas personalizadas y excepciones Esta sección describe la estructura de las firmas IPS. Las secciones opcionales cambian según el sistema operativo y la clase de regla. además. Una regla para evitar una solicitud al servidor web que tiene una parte “subject” en la consulta de solicitud http tiene el siguiente formato: Rule { Class Isapi Id 4001 level 4 query { Include *subject* } Guía del producto McAfee Host Intrusion Prevention 8. Cada regla contiene secciones obligatorias y opcionales.

Apéndice A -. ID. y Excluir significa que la sección funciona en todos los valores excepto el indicado. Guía del producto McAfee Host Intrusion Prevention 8.. Consulte Firmas personalizadas de Windows o Indica la clase a la que se aplica Firmas personalizadas no Windows. etiqueta Nombre de la regla entre comillas ". Incluir significa que la sección funciona en el valor indicado.5999 El número de ID único de la firma. la regla. Observaciones para Windows: 112 • Para usuario local: usar <nombre equipo>/<nombre usuario local>. • Para usuario de dominio: usar <nombre dominio>/<nombre usuario dominio>.Escritura de firmas personalizadas y excepciones Estructura de regla method { Include GET } time { Include * } Executable { Include * } user_name { Include * } directives isapi:request } Consulte Firmas personalizadas de Windows y Firmas personalizadas no Windows para obtener una explicación de las distintas secciones y sus valores. nivel 0 Descripción Nivel de gravedad de la firma: 1 0=Desactivado 2 1=Registro 3 2=Bajo 4 3= Medio 4= Alto user_name {Incluir/Excluir nombre de usuario o cuenta de sistema} Los usuarios a los que se aplica la regla.0 . • Para sistema local: usar Local/Sistema. Los números son los disponibles para las reglas personalizadas. Secciones comunes Las secciones más comunes de una regla y sus valores incluyen los elementos siguientes. Necesitará planear de manera acorde cuando desarrolle reglas. consulte la sección de clase en firmas personalizadas de Windows o no Windows. Sección Valor Clase Depende del sistema operativo. pero puede usar en su lugar el servicio local y su contexto de usuario. Para las secciones relacionadas con la sección de clase seleccionada. • Algunas acciones iniciadas desde remoto no llevan la ID del usuario remoto.0 para ePolicy Orchestrator 4.. NOTA: todos los nombres de sección de todas las plataformas diferencian entre mayúsculas y minúsculas. Especifique usuarios concretos o todos los usuarios. Los valores de las secciones diferencian entre mayúsculas y minúsculas solo en las plataformas no Windows. ID 4000 . Las palabras clave Incluir y Excluir se usan para todas las secciones excepto etiqueta." Nombre de la subregla. nivel y directivas.

Tenga en cuenta que cada regla de la misma firma debe tener el mismo valor para ID y secciones de nivel. NOTA: puede crear una firma con múltiples reglas simplemente agregando las reglas una tras otra.microsoft software validation v2.exe" -sdn "CN=\"mcafee. El valor -hash (hash MD5) es una cadena hexbin de 32 caracteres. Ejecutable {Incluir/Excluir ruta de archivo. Por ejemplo. firmante o descripción} Cada ejecutable se especifica dentro de los paréntesis con -path. la sección funciona en el valor indicado. OU=iss. Para supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo abc. L=santa clara. se encierra en llaves { . Los valores -path (nombre de la ruta del archivo).Escritura de firmas personalizadas y excepciones Estructura de regla Sección Valor Descripción Cuando se produce un proceso en el contexto de una sesión nula. Con la subregla de exportación. Cuando marca el valor de una sección con Excluir. use *. -desc. el usuario y el dominio son "Anónimos".txt } Guía del producto McAfee Host Intrusion Prevention 8. Ejemplo: Ejecutable {Include -path "C:\\Program Files\\McAfee\\VirusScan Enterprise\\Mcshield. en C:\test\: files { Exclude C:\\test\\*.txt } Combine las palabras clave para excluir valores de un conjunto de valores incluidos. y se enumeran para cada clase en las últimas secciones.0 113 . En UNIX. mientras que la subregla de exportación no realiza ninguna traducción. la sección funciona en todos los valores excepto el valor indicado Cuando usa estas palabras clave. huella digital. esta sección distingue entre mayúsculas y minúsculas. use dos barras invertidas en las rutas de los archivos. Uso de Incluir y Excluir Cuando marca el valor de una sección con Incluir. NOTA: con la subregla estándar. -sdn. Puede haber múltiples paréntesis para cada sección. use una sola barra invertida en las rutas de los archivos. -sdn (firmante del archivo) y -desc (descripción del archivo) son cadenas y necesitan escapar mediante TCL si contienen espacios y otros caracteres reservados para TCL. Si una regla se aplica a todos los usuarios. esta sección distingue entre mayúsculas y minúsculas. ST=california. -hash. inc. directivas tipo de operación Los tipos de operación dependen de cada clase.. La subregla estándar traduce las barras únicas en las barras dobles necesarias. C=us" -desc "On-Access Scanner service"} Si una regla se aplica a todos los ejecutables. O=\"mcafee.Apéndice A -.0 para ePolicy Orchestrator 4.txt } y para supervisar todos los archivos. }. use *.\".inc. y dentro de los paréntesis puede tener una o varias opciones. En UNIX. files { Include C:\\test\\*.txt:..\". para supervisar todos los archivos de texto en C:\test\: files { Include C:\\test\\*. OU=digital id class 3 . excepto los archivos de texto.

txt } Agregue las dependencias de sección a la regla más específica.Escritura de firmas personalizadas y excepciones Estructura de regla files { Exclude C:\\test\\abc.txt } Cada vez que agrega la misma sección con la misma palabra clave. la firma no se iniciará incluso si el usuario marketing\jjohns realiza una acción que inicie la firma. algunos ejemplos: • Si una subregla incluye al usuario marketing\jjohns y excluye al mismo usuario. consulte la sección de clase en firmas personalizadas de Windows y no Windows. —inactive La firma se encuentra desactivada.0 para ePolicy Orchestrator 4. • Si una subregla incluye all (todos los usuarios). la firma se inicia si el usuario NO es marketing\jjohns.0 . marketing\jjohns. agrega una operación. • Si una subregla incluye al usuario marketing\* pero excluye a marketing\jjohns. A continuación. Para las secciones opcionales relacionadas con la sección de clase seleccionada. lo que explica al sistema que no debe iniciar la regla más general si se inicia la más específica.txt } 114 Guía del producto McAfee Host Intrusion Prevention 8. Sección Valor Descripción dependencias {Include/Exclude “id de una regla”} Define las dependencias entre reglas y previene que se inicien reglas dependientes. Las palabras clave Incluir y Excluir se usan tanto para las dependencias como para los atributos. la firma se inicia solo si el usuario es marketing\anyone. —not_auditable No se generan excepciones para la firma cuando el modo de adaptación se aplica. Secciones comunes opcionales Las secciones opcionales de una regla y sus valores incluyen el elemento siguiente.Apéndice A -. no se inicia.txt } files { Include C:\\test\\abc* } NOTA: en orden de precedencia. Uso de la sección de dependencias Agregue las dependencias de sección opcionales para prevenir que una regla más general se inicie junto a una regla más específica. atributos —no_log Los eventos de la firma no se envían al servidor ePO. excluir gana a incluir. Por ejemplo. En este caso. si hay una regla que supervise un solo archivo de texto en C:\test\ files { Include C:\\test\\abc. y Excluir significa que la sección funciona en todos los valores excepto el indicado. pero excluye al usuario marketing\jjohns. files { Include C:\\test\\abc.txt } así como una regla para supervisar todos los archivos de texto de C:\test\ files { Include C:\\test\\*. Incluir significa que la sección funciona en el valor indicado. Para supervisar cualquier archivo de texto en la carpeta C:\test\ cuyo nombre comience con la cadena “abc”: files { Include C:\\test\\*. —no_trusted_apps La lista de aplicaciones de confianza no se aplica a esta firma. a no ser que el usuario sea marketing\jjohns.

NOTA: para las rutas y las direcciones. Ejemplo: files { Include “C:\*. | (canalización) Escape de caracteres comodín. Ejemplo: files { Include “C:\test\\&.0 115 .Apéndice A -. use * (un asterisco) para excluir / y \.txt } iEnv SystemDrive C:\ donde C es la unidad que contiene la carpeta Windows System.. Tenga en cuenta el uso levemente diferente de los asteriscos con rutas y direcciones que normalmente contienen barras o barras invertidas. * (un asterisco) Varios caracteres incluidos / y \. donde C es la unidad que contiene la carpeta Windows System.txt” ” } & (y comercial) Varios caracteres excepto / y \. Tabla 21: Caracteres comodín Carácter Qué representa ? (signo de interrogación) Un solo carácter. Ejemplo: files {Include [iEnv SystemDrive]\\system32\\abc. use ** (dos asteriscos) para incluir / y \.0 para ePolicy Orchestrator 4. ] como atajo para especificar el archivo de Windows y los nombres de ruta del directorio. los metasímbolos y las variables predefinidas pueden usarse como valor en las secciones disponibles. Ejemplo: files {Include [iEnv SystemRoot]\\system32\\abc. Tabla 22: Caracteres comodín TCL Carácter Qué representa ? (signo de interrogación) Un solo carácter..txt” } Uso de variables de entorno Use las variables de entorno y el comando iEnv con un parámetro (el nombre de la variable) entre corchetes [ . Caracteres comodín Puede usar caracteres comodín para los valores de las secciones. * (un asterisco) Varios caracteres incluidos / y \. se usa el plan de caracteres comodín TCL.txt” } ! (signo de exclamación) Escape de caracteres comodín.Escritura de firmas personalizadas y excepciones Estructura de regla dependencies “the general rule” Caracteres comodín y variables Los caracteres comodín.txt} Guía del producto McAfee Host Intrusion Prevention 8. Variable de entorno Qué representa iEnv SystemRoot C:\winnt\. Para las firmas y subreglas expertas. Ejemplo: files { Include “C:\test\\yahoo!. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas.

0 para ePolicy Orchestrator 4. incluida la raíz del sistema y la raíz de IIS IIS_Ftp_Dir Directorios raíz del sitio FTP IIS_FTP_USR Nombre de cuenta de usuario anónimo de FTP local IIS_FtpLogDir Directorio de archivos de registro de FTP IIS_IUSR Nombre de cuenta de usuario anónimo de web local IIS_IUSRD Nombre de cuenta de usuario anónimo de web de dominio IIS_IWAM Nombre de cuenta de usuario de IIS Web Application Manager IIS_LogFileDir Directorio de archivos de registro Web IIS_LVirt_Root Todos los directorios virtuales de IIS IIS_Processes Procesos con derechos de acceso a recursos de IIS IIS_Services Todos los servicios necesarios para que IIS funcione correctamente Tabla 24: MS SQL Database Server 116 Variable Descripción MSSQL_Allowed_Access_Paths Directorios como \WINNT y \WINNT\System32 que sean accesibles MSSQL_Allowed_Execution_Paths Directorios como \WINNT y \WINNT\System32 que sean ejecutables MSSQL_Allowed_Modification_Paths Directorios como \WINNT\Temp que sean modificables MSSQL_Auxiliary_Services Los servicios auxiliares de MS SQL que se encuentren en el sistema MSSQL_Core_Services Los servicios principales de MS SQL que se encuentren en el sistema MSSQL_Data_Paths El resto de archivos de datos asociados a MS SQL que pueden encontrarse fuera del directorio MSSQL_DataRoot_Path MSSQL_DataRoot_Paths La ruta a los archivos de datos de MS SQL para cada instancia MSSQL_Instances El nombre de cada instancia de MS SQL instalada Guía del producto McAfee Host Intrusion Prevention 8. Estas variables están precedidas por “$.Escritura de firmas personalizadas y excepciones Estructura de regla Uso de variables predefinidas Host Intrusion Prevention proporciona variables predefinidas para la escritura de reglas. Tabla 23: Windows IIS Web Server Variable Descripción IIS_BinDir Directorio donde se encuentra inetinfo.” y se enumeran a continuación.exe IIS_Computer Nombre del equipo donde se ejecuta IIS IIS_Envelope Incluye todos los archivos a los que IIS tiene acceso IIS_Exe_Dirs Directorios virtuales que permiten la ejecución de archivos.Apéndice A -.0 .

Para estas clases y parámetros sin interfaz de usuario. mientras que otras no. La clase usada por una firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma. la única forma de acceder a ellos es el método experto de creación de reglas.0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Variable Descripción MSSQL_Registry_Paths Todas las ubicaciones de registro asociadas con MS SQL Tabla 25: Unix Apache e iPlanet Variable Descripción UAPACHE_Bins Ruta a archivos binarios de Apache UAPACHE_CgiRoots Ruta a archivos raíz de CGI UAPACHE_ConfDirs Directorios que contienen archivos de configuración de Apache UAPACHE_DocRoots Ruta a archivos raíz de documentos UAPACHE_Logs Archivos de registro de Apache UAPACHE_Logs_dir Directorio de archivos de registro UAPACHE_Roots Archivos raíz de servidores Web Apache UAPACHE_Users Usuarios que Apache ejecuta como UAPACHE_VcgiRoots Ruta a archivos raíz de servidores virtuales de CGI UAPACHE_VdocRoots Archivos raíz de documentos virtuales UAPACHE_Vlogs Archivos de registro de servidores virtuales UAPACHE_Vlogs_dir Directorios para los archivos de registro de servidores virtuales UIPLANET_BinDirs Ruta a archivos binarios de iPlanet UIPLANET_CgiDirs Ruta a directorios de CGI UIPLANET_DocDirs Rutas a directorios de documentos UIPLANET_Process Ruta a archivos binarios ns-httpd de iPlanet UIPLANET_Roots Ruta a archivos raíz de iPlanet Firmas personalizadas de Windows Esta sección describe cómo escribir firmas personalizadas en la plataforma Windows. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles en las rutas y las reglas en la clase UNIX_file no Windows utilizan una sola barra. Algunas clases y parámetros aparecen en la interfez de usuario de firma personalizada.0 117 . Para Windows están disponibles las siguientes clases: Clase Cuándo usarla Desbordamiento del búfer Para la protección contra el desbordamiento del búfer Archivos Para la protección de operaciones de archivos y directorios Enlazar Para la protección del enlace de proceso de API Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -.

0 para ePolicy Orchestrator 4. un DLL) cargado por un ejecutable que hace una llamada que crea un desbordamiento del búfer directivas bo:stack Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de la pila del subproceso actual. bo:invalid_call Comprueba que el API se llama desde una instrucción de llamada adecuada. Notas nivel hora user_name Ejecutable 118 dependencias 428 Opcional. bo:target_bytes Una cadena hexadecimal que representa 32 bytes de instrucciones que pueden usarse para crear Guía del producto McAfee Host Intrusion Prevention 8. módulo de llamada Ruta a un módulo (por ejemplo. Consulte la nota 1. bo:heap Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de una pila.0 . bo:writeable_memory Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que no forma parte de una pila ni de un montón del subproceso actual.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Cuándo usarla Uso ilegal de API Para la protección contra el uso ilegal de API de IPS en host Uso ilegal Para la protección contra el uso ilegal de API Isapi Para supervisar las solicitudes de http a IIS Programa Para la protección contra las operaciones de programa Registro Para la protección de las operaciones de valor de registro y clave de registro Servicios Para la protección contra las operaciones de servicios SQL Para la protección contra las operaciones de SQL Desbordamiento de búfer de clase Windows La siguiente tabla enumera las secciones y valores posibles para el desbordamiento del búfer de la clase Windows: Sección Valores Clase Buffer_Overflow ID Consulte Secciones comunes.Apéndice A -.

0 119 . Solo se usa con files:rename y files:hardlink. bo:call_not_found Comprueba que la secuencia de código previa a la dirección de retorno no sea una llamada. Archivos de clase de Windows La siguiente tabla enumera las secciones y los valores posibles para Archivos de clase Windows: Sección Valores Clase Archivos ID Consulte Secciones comunes. bo:call_return_unreadable Comprueba que la dirección de retorno no sea memoria de lectura. desbordamiento de búfer genérico. Consulte las notas 1 y 2. drive_type • Network: acceso a archivos Permite la creación de reglas de clase de archivo de red específicos de los tipos de unidad. incluya la sección "dependencias 428" en la firma personalizada. Notas nivel hora user_name Ejecutable (use este parámetro para distinguir entre acceso a los archivos local y remoto. Consulte las notas 1 y 2.Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas una excepción dirigida para un falso positivo sin desactivar el desbordamiento del búfer durante todo el proceso.0 para ePolicy Orchestrator 4. Nota 1 La Firma 428. es una regla de desbordamiento de búfer genérica. Para evitar que se inicie esta regla. archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos. Consulte la nota 3). bo:call_return_to_api Comprueba que la dirección de retorno sea un punto de entrada de API. dest_file Archivos de destino si la operación implica archivos de origen y de destino Uno de los parámetros requeridos. • Floppy: acceso a unidad de disco • CD: acceso a CD o DVD • OtherRemovable: USB u otros accesos de unidad extraíble • OtherFixed: acceso al disco duro local o a otros discos duros fijos Guía del producto McAfee Host Intrusion Prevention 8. bo:call_different_target_address Comprueba que el objetivo de la llamada no se corresponda con el objetivo enlazado.

0 .0 para ePolicy Orchestrator 4. Por ejemplo. files:write Abre el archivo con acceso de lectura y escritura. la siguiente regla supervisa el cambio de nombre de C:\test\abc.txt” } Nota 2 La directiva files:rename tiene un significado diferente cuando se combina con la sección files y la sección dest_file. así que debe haber un comodín presente en el inicio de la ruta para representar el disco duro.txt” } Si se usa la sección dest_file la ruta absoluta no puede usarse. significa que se supervisa el cambio de nombre del archivo en la sección files. files:attribute Cambia los atributos del archivo. Nota 1 Si se usa la sección files. files:read Abre el archivo con acceso de solo lectura.Apéndice A -.txt” } files { Include “*\\abc. Por ejemplo. Los atributos supervisados son: files:hardlink • solo lectura • oculto • archivar • sistema Crea un enlace no modificable. o mueve el archivo a otro directorio. Cuando se combina con la sección files.txt” } files { Include “*\\test\\abc. las siguientes son representaciones de ruta válidas: files { Include “C:\\test\\abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas directivas files:create Crea un archivo en un directorio. files:rename Cambia el nombre de un archivo en el mismo directorio.txt a cualquier otro nombre: Rule { tag "Sample1" Class Files Id 4001 level 4 files { Include “C:\\test\\abc. o lo mueve a otro directorio. Por ejemplo. files:execute Ejecuta el archivo (ejecutar un directorio significa que este directorio se convertirá en el directorio actual). Consulte la nota 2.txt” } 120 Guía del producto McAfee Host Intrusion Prevention 8.txt” } dest_file { Include “*\\abc. files:delete Borra el archivo de un directorio. la ruta a una carpeta supervisada o archivo pueden ser tanto la ruta completa como un comodín. las siguientes son representaciones de ruta válidas: dest_file { Include “*\\test\\abc.

Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:rename } Combinada con la sección dest_file. las dos secciones (files y dest_file) tienen que coincidir. Por ejemplo. Rule { tag "Sample3" Class Files Id 4001 level 4 files { Include “C:\\test\\abc.txt en la carpeta C:\test\. El nuevo nombre que recibió el archivo. Nombre de GUI Explicación archivos Nombre del archivo al que se accedió. dest_file Solo se aplica al cambio de nombre de archivos. cambie el nombre de ruta del ejecutable a "SystemRemoteClient": Executable { Include -path “SystemRemoteClient” } Así se evitará que cualquier directiva se ejecute si el ejecutable no es local. significa que ningún archivo puede cambiar de nombre al del archivo de la sección dest_file.0 121 .txt” } Guía del producto McAfee Host Intrusion Prevention 8.txt: Rule { tag "Sample2" Class Files Id 4001 level 4 dest_file { Include “*\\test\\abc.txt” } Executable { Include “*”} user_name { Include “*” } directives files:rename } La sección files no es obligatoria si se usa la sección dest_file. la siguiente regla supervisa el cambio de nombre de cualquier archivo a C:\test\abc. Nota 3 Para distinguir entre el acceso remoto al archivo y el acceso local al archivo para cualquier directiva.0 para ePolicy Orchestrator 4. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para los Archivos de clase. La siguiente regla impediría a cualquier usuario y a cualquier proceso crear el archivo abc.Apéndice A -. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Si se usa la sección files.

junto con el nombre de la ruta de acceso. al supervisar los archivos C:\test\abc. Si la firma personalizada tenía múltiples reglas. el contexto de seguridad en el que se ejecuta un proceso). para ser más precisos. cada una de estas reglas necesitará usar la misma ID. Un parámetro necesario.0 para ePolicy Orchestrator 4. Notas nivel hora user_name Ejecutable 122 módulo de administrador El nombre de la ruta del ejecutable que se enlaza con otro ejecutable. Si la regla debiera cubrir múltiples archivos. • files { Include “C:\\test\\abc. Hook de la clase Windows La siguiente tabla enumera las secciones y valores posibles para Hook de la clase Windows: Sección Valores Clase Hook ID Consulte Secciones comunes. directivas hook:set_windows_hook Para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook.txt. • directives files:create: indica que esta regla cubre la creación de un archivo. Guía del producto McAfee Host Intrusion Prevention 8. Consulte Secciones comunes para obtener más información. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. indíquelos aquí. la sección cambia a: files { Include “C:\\test\\abc. • id 4001: asigna la ID 4001 a esta regla. Si desea limitar la regla a contextos de usuarios específicos. Si desea limitar la regla a procesos específicos.Apéndice A -.txt” “C:\\test\\xyz. cada una de estas reglas necesitará usar el mismo nivel. podría añadirlos en esta sección en líneas distintas.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:create } Las distintas secciones de esta regla tienen el siguiente significado: • Archivos de clase: indica que esta regla está relacionada con la clase de operaciones en archivos.txt.txt” }: indica que la regla cubre el archivo específico y la ruta C:\test\abc. incluya el ejecutable en la lista de protección de aplicaciones.txt” }.0 . Por ejemplo. • level 4: asigna el nivel de seguridad "alto" a esta regla.txt y C:\test\xyz. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. escríbalos aquí. Si la firma personalizada tenía múltiples reglas. en el formato Local/user o Domain/user.

directivas illegal_api_use:bad_parameter Se trata de un número de 128 bits que representa una ID única para un componente de software. clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de API de la clase Windows: Sección Valores Clase Illegal_API_Use ID Consulte Secciones comunes.Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso de host ilegal IPS API. Los bits de interrupción se instalan normalmente en los sistemas operativos de Windows por medio de las actualizaciones de seguridad de Windows. Notas nivel hora user_name Ejecutable vulnerability_name Nombre de la vulnerabilidad detailed_event_info Una o más CLSID. Normalmente se muestra como: "{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}" illegal_api_use:invalid_call Use esta clase para crear una firma de bit de interrupción personalizada. Las aplicaciones que usan ActiveX no cargan el software específico de ActiveX si hay un bit de interrupción activo. El bit de interrupción es una característica de seguridad en navegadores web y otras aplicaciones que usen ActiveX.0 123 . Un bit de interrupción especifica el identificador de clase del objeto (CLSID) para los controles de software de ActiveX que se identifican como amenazas de vulnerabilidad de la seguridad. Esto es un ejemplo de una firma: Rule { tag "Sample4" Class Illegal_API_Use Id 4001 level 4 Executable { Include “*”} user_name { Include “*” } vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"} detailed_event_info { Include "0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"} directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call attributes -not_auditable } Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. La finalidad primaria de un bit de interrupción es cerrar los orificios de seguridad.

Apéndice A -.0 para ePolicy Orchestrator 4. Consulte las notas 1-4. isapi:rawdata Para solicitudes de datos sin procesar. Consulte las notas 1-4. consulta Uno de los parámetros requeridos.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso ilegal. isapi:reqquery Para solicitudes de consultas. Notas nivel hora user_name Ejecutable 124 url Uno de los parámetros requeridos. Guía del producto McAfee Host Intrusion Prevention 8. Consulte la otro método de HTTP permitido. Notas nivel hora user_name Ejecutable nombre Un valor de los tres: LsarLookupNames. POST.0 . clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de la clase Windows: Sección Valores Clase Illegal_Use ID Consulte Secciones comunes. isapi:response Para las repuestas de solicitud. LsarLookupSids o ADMCOMConnect directivas illegal:api Isapi (HTTP) de clase Windows La siguiente tabla enumera las secciones y valores posibles para Isapi IIS de la clase Windows: Sección Valores Clase Isapi ID Consulte Secciones comunes. directivas isapi:request Para los tres tipos de solicitudes entrantes de HTTP. método GET. INDEX o cualquier Uno de los parámetros requeridos. Se compara con la parte de consulta de una solicitud entrante. isapi:requrl Para solicitudes de url. nota 4. Se compara con la parte URL de una solicitud entrante.

Nota 2 Antes de efectuar la correspondencia. Nombre de GUI Explicación url Parte de ubicación descodificada y normalizada de una solicitud HTTP entrante (la parte antes del signo de interrogación "?"). la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. Guía del producto McAfee Host Intrusion Prevention 8.exe. se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape. la siguiente regla se activa si IIS recibe la solicitud http: http:// www. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma.Apéndice A -. que coincide con el valor de la sección “url” (es decir. Por ejempo "abc*.myserver.xyz". Utilizando esta convención de nombres. Por ejemplo. Agregando “. método.500" coincide con las cadenas que contienen "abc" que son de 500 caracteres o más. podemos decir que la sección "URL" se compara con {url} y que la sección "consulta" se compara con {query}. En este documento." coincide con cualquier cadena que incluya "abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 Una solicitud entrante de http puede representarse como: http://www. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Isapi. nos referimos a {url} como la parte "URL" de la solicitud http y a {query} como la parte "consulta" de la solicitud http. independientemente de su longitud.xyz*. Nota 4 Una regla debe incluir. "*abc.0 125 .número_de_caracteres” al valor de estas secciones. consulta.com/ {url}?{query}.com/search/abc. abc). una de las siguientes secciones opcionales: url.myserver.0 para ePolicy Orchestrator 4.exe?subject=wildlife&environment=ocean Rule { tag "Sample6" Class Isapi Id 4001 level 1 url { Include “*abc*” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Esta regla se activa porque {url}=/search/abc. al menos.

0 .Apéndice A -. Put. 126 Guía del producto McAfee Host Intrusion Prevention 8. content len Número de bytes en el cuerpo del mensaje que es parte de la consulta. origen Nombre o dirección IP del equipo en el que se originó la solicitud HTTP.myserver. Post y Query). Si la firma personalizada tenía múltiples reglas. Get.exe?subject=wildlife&environment=ocean se evitaría con esta regla. cada una de estas reglas necesitará usar la misma ID. el equipo en el que está instalado el cliente) en el formato <host name>:<IP address>:<port>. web server type Tipo y versión de la aplicación de servidor web usada. local file Nombre físico del archivo que se recupera o se intenta recuperar con la solicitud. La línea de la solicitud es “<method> <location[?query]> <http version> CRLF”.0 para ePolicy Orchestrator 4. La siguiente regla impediría una solicitud al servidor web que contenga "subject" en la parte de consulta de la solicitud HTTP: Rule { tag "Sample7" Class Isapi Id 4001 level 1 query { Include “*subject*” } method { Include “GET” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Por ejemplo. Solo está disponible si la solicitud es autenticada. El nombre de host es la variable de host del encabezado HTTP.com/test/ abc. La dirección contiene tres partes: nombre de host: dirección: número de puerto. usuario Nombre del usuario del cliente que hace la solicitud. Se deja en blanco si no está disponible.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación consulta Parte de consulta descodificada y normalizada de una solicitud HTTP entrante (la parte después del primer signo de interrogación "?"). Las distintas secciones de esta regla tienen el siguiente significado: • Clase Isapi: indica que esta regla está relacionada con la clase de operaciones de Isapi. • Id 4001: asigna la ID 4001 a esta regla. método Método de la solicitud entrante de HTTP (por ejemplo. raw url Línea de solicitud sin procesar (no descodificada y no normalizada) de la solicitud HTTP entrante. Se descodifica y normaliza con IIS. la solicitud GET http://www. servidor Información sobre el servidor Web en el que se creó el evento (es decir.

Guía del producto McAfee Host Intrusion Prevention 8. • method { Include “GET” }: indica que la regla solo puede coincidir con solicitudes GET. • query { Include “*subject*” }: indica que la regla coincide con cualquier solicitud (GET) que contenga la cadena "subject" en la parte de consulta de la solicitud HTTP. Uno de los parámetros requeridos. Programa de clase Windows La siguiente tabla enumera las secciones y valores posibles para los programas de la clase Windows: Sección Valores Clase Programa ID Consulte Secciones comunes. (Ejecute el ejecutable de destino en la interfaz de usuario). • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • level 4: asigna el nivel de seguridad "alto" a esta regla. • PROCESS_CREATE_THREAD: requerido para crear un subproceso.0 127 . se agregarían en esta sección en líneas diferentes. Si desea limitar la regla a contextos de usuarios específicos. • PROCESS_DUP_HANDLE: requerido para duplicar un control. Notas nivel hora user_name Ejecutable nombre de archivo Nombre del proceso en la operación. ruta Nombre de la ruta del proceso. Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso.Apéndice A -. • PROCESS_VM_WRITE: requerido para escribir en la memoria.0 para ePolicy Orchestrator 4. • directives isapi:request: indica que esta regla cubre una solicitud HTTP. junto con el nombre de la ruta de acceso. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. indíquelos aquí. el contexto de seguridad en el que se ejecuta un proceso). Si desea limitar la regla a procesos específicos. cada una de estas reglas necesitará usar el mismo nivel. directivas program:run Selecciónelo para evitar que el ejecutable de destino se ejecute. en el formato Local/user o Domain/user. Consulte Secciones comunes para obtener más información. Si la regla tuviera que cubrir varios archivos en la parte “query”. escríbalos aquí. program:open_with_any Las directivas "program:open_with_x" administran los derechos de acceso creados con OpenProcess(). Si la firma personalizada tenía múltiples reglas. para ser más precisos. Uno de los parámetros requeridos.

• PROCESS_CREATE_THREAD: requerido para crear un subproceso. • PROCESS_DUP_HANDLE: requerido para duplicar un control. program:open_with_terminate Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. • PROCESS_VM_WRITE: requerido para escribir en la memoria. program:open_with_modify Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso. (Se abre con un acceso para crear un subproceso en la interfaz de usuario). (Se abre con un acceso para modificar en la interfaz de usuario). como su clase de prioridad. program:open_with_create_thread Selecciónela para evitar este derecho de acceso específico de proceso: • PROCESS_CREATE_THREAD: requerido para crear un subproceso. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. • SYNCHRONIZE: requerido para esperar a que el proceso termine. • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. como su clase de prioridad.Apéndice A -. • PROCESS_TERMINATE: requerido para terminar un proceso. (Se abre con cualquier acceso en la interfaz de usuario). (Se abre con un acceso para esperar en la interfaz de usuario). • PROCESS_TERMINATE: requerido para terminar un proceso. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso.0 .0 para ePolicy Orchestrator 4. 128 Guía del producto McAfee Host Intrusion Prevention 8. program:open_with_wait Selecciónela para evitar este derecho de acceso específico de proceso: • SYNCHRONIZE: requerido para esperar a que el proceso termine.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. NOTA: no disponible en Microsoft Vista y plataformas posteriores. (Se abre con un acceso para terminar en la interfaz de usuario).

El objetivo será el nombre de la clave.0 129 . registry:permissions Modifica los permisos de una clave de registro. Solo para registry:rename cuando se cambia el nombre de una clave. Guía del producto McAfee Host Intrusion Prevention 8. borrar. registry:create Permite la creación de una clave de registro. registry:enumerate Enumera una clave del registro. registry:restore Restaura un subárbol de un archivo. Nuevos datos del valor. enumerar. Notas nivel hora user_name Ejecutable claves Operación de la clave de registro Uno de los parámetros requeridos. registry:replace Restaura un ajuste del registro. registry:read Obtiene la información de la clave de registro (número de subclaves. Solo para registry:modify o registry:create. directivas registry:delete Elimina una clave o un valor de registro registry:modify Modifica el contenido de un valor de registro o la información de una clave de registro. valores Operación de valor de la clave de registro Uno de los parámetros requeridos. leer.0 para ePolicy Orchestrator 4. registry:rename Cambia el nombre de una clave de registro. etc. dest_keys Operación de la clave de registro Opcional. A usar con las operaciones de valor de registro (borrar. Consulte la nota 1. supervisar.Apéndice A -. cambiar el nombre. registry:open_existing_key Abre una clave de registro existente. registry:monitor Solicita la supervisión de una clave de registro. Opcional. como la función de restauración regedit32. restaurar. sustituir y cargar).Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Registro de la clase Windows La siguiente tabla enumera las secciones y los valores posibles para el registro de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. modificar y crear). A usar con las operaciones de clave (crear. registry:load Carga claves o valores de registro de un archivo. Consulte la nota 2. new_data Operación de valor de la clave de registro. leer. obtiene la lista de todas las subclaves y valores de la clave.) u obtiene el contenido de un valor de registro. es decir. pero solo después de un reinicio.

Apéndice A -. los datos ‘def’ del valor del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc” deben representarse como old_data { Include “%64%65%66”}. datos nuevos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro contiene tras un cambio o que contendría si se produjera el cambio. tipos de datos antiguos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse. Tenga en cuenta lo siguiente: Para los valores de esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\Test \REGISTRY\MACHINE\Test\* HKEY_CURRENT_USER\Test \REGISTRY\CURRENT_USER\Test\* HKEY_CLASSES_ROOT\Test \REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\* HKEY_CURRENT_CONFIG\Test REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\Test\* HKEY_USERS\Test \REGISTRY\USER\Test\* datos antiguos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse. Nota 2 Los datos de la sección de datos nuevos deben ser hexadecimales. Tenga en cuenta lo siguiente: Valores de registro Para esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\ \REGISTRY\MACHINE\ HKEY_CURRENT_USER\ \REGISTRY\CURRENT_USER\ HKEY_CLASSES_ROOT\ \REGISTRY\MACHINE\SOFTWARE\CLASSES\ HKEY_CURRENT_CONFIG\ REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\ HKEY_USERS\ \REGISTRY\USER\ Nombre del valor de registro enlazado con el nombre completo de su clave. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Registro. 130 Guía del producto McAfee Host Intrusion Prevention 8. incluido el nombre de la ruta. Nombre de GUI Explicación Clave de registro Nombre de la clave de registro implicada.0 para ePolicy Orchestrator 4. el valor del Registro “abc” en la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa se representa como \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Por ejemplo. Por ejemplo.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 HKEY_LOCAL_MACHINE en una ruta de registro se sustituye por \REGISTRY\MACHINE\ y CurrentControlSet se sustituye por ControlSet.0 .

para ser más precisos. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. Si desea limitar la regla a contextos de usuarios específicos. • application { Include “*”}: indica que esta regla es válida para todos los procesos. La siguiente regla impediría que cualquier usuario y cualquier proceso pudiera eliminar el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”. Si la regla cubre varios valores. indíquelos aquí. • directives registry:delete: indica que esta regla incluye la eliminación de la clave o el valor de registro.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación tipos de datos nuevos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro contendría tras un cambio o que contendría si se produjera el cambio. • Id 4001: asigna la ID 4001 a esta regla. junto con el nombre de la ruta de acceso. en el formato Local/user o Domain/user. Si la firma personalizada tenía múltiples reglas. escríbalos aquí. cada una de estas reglas necesitará usar la misma ID.Apéndice A -. el contexto de seguridad en el que se ejecuta un proceso).0 para ePolicy Orchestrator 4. cada una de estas reglas necesitará usar el mismo nivel. Servicios de la clase Windows La siguiente tabla enumera las secciones y valores posibles para los servicios de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. • level 4: asigna el nivel de seguridad "alto" a esta regla. • values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }: indica que la regla supervisa el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Si la firma personalizada tenía múltiples reglas. Consulte Secciones comunes para obtener más información. Notas Guía del producto McAfee Host Intrusion Prevention 8. Si desea limitar la regla a procesos específicos.0 131 . agréguelos en esta sección en líneas diferentes. Rule { tag "Sample8" Class Registry Id 4001 level 4 values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } application { Include “*”} user_name { Include “*” } directives registry:delete } Las distintas secciones de esta regla tienen el siguiente significado: • Class Registry: indica que esta regla está relacionada con una solicitud enviada a IIS.

Este puede ser diferente al nombre mostrado en el administrador de servicios. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. El nombre de constituye el sujeto de la un servicio se encuentra en el registro. el nombre que se muestra en el administrador de servicios.Apéndice A -. services:create Crea un servicio. services:continue Continúa un servicio después de una pausa. display_names Muestra el nombre del servicio Uno de los parámetros requeridos. services:logon Modifica la información de inicio de sesión de un servicio. Consulte la nota 1. que se encuentra en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\. Valores posibles Guía del producto McAfee Host Intrusion Prevention 8. servicios Nombre de sistema del servicio Windows en HKLM\CurrentControlSet\Services\. Nota 1 La sección service debe incluir el nombre del servicio de la clave de registro conrrespondiente. directivas services:delete Borra un servicio. services:startup Modifica el modo de inicio de un servicio. HKLM\SYSTEM\CurrentControlSet\Services\.0 para ePolicy Orchestrator 4. Consulte la nota 1. en operación que crea la instancia. que se encuentra en el valor de registro HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service>\ . services:profile_disable Desactiva un perfil de hardware. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Servicios. La sección display_names debe incluir el nombre mostrado del servicio. services:profile_enable Activa un perfil de hardware.0 . services:start Inicia un servicio. services:stop Detiene un servicio. 132 Nombre de GUI Explicación display names Nombre del servicio de Windows que se muestra en el administrador de servicios. Este nombre aparece en el administrador de servicios. services:pause Pausa un servicio.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas nivel hora user_name Ejecutable servicios Nombre del servicio que Uno de los parámetros requeridos.

Consulte Secciones comunes para obtener más información. indíquelos aquí. para ser más precisos. La siguiente regla prevendría la desactivación del servicio de alerta. Si la firma personalizada tenía múltiples reglas.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación Valores posibles params Solo es aplicable al iniciar un servicio: parámetros que se pasan a un servicio cuando se activa.0 para ePolicy Orchestrator 4. Si desea limitar la regla a contextos de usuarios específicos. System. agréguelos en esta sección en líneas diferentes. logon Solo se aplica para los cambios del modo de inicio de sesión de un servicio: la información de inicio de sesión (sistema o cuenta de usuario) usada por el servicio.Apéndice A -. Automatic. el contexto de seguridad en el que se ejecuta un proceso). • application { Include “*”}: indica que esta regla es válida para todos los procesos. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. new startup Solo se aplica para cambiar el Boot. escríbalos aquí. Si la firma personalizada tenía múltiples reglas. old startup Solo se aplica para crear o Boot. • Id 4001: asigna la ID 4001 a esta regla. Disabled modo de inicio de un servicio: indica el modo de inicio que el servicio tenía antes de cambiarlo. Rule { tag "Sample9" Class Services Id 4001 level 4 Service { Include “Alerter” } application { Include “*”} user_name { Include “*” } directives service:stop } Las distintas secciones de esta regla tienen el siguiente significado: • Class Services: indica que esta regla está relacionada con la clase de operaciones en archivos. • level 4: asigna el nivel de seguridad "alto" a esta regla.0 133 . Manual. Disabled cambiar el modo de inicio de un servicio: indica el modo de inicio antes de que se cambiara o intentara cambiarse. Si la regla cubre varios servicios. Manual. cada una de estas reglas necesitará usar el mismo nivel. o el que tendría si se produjera el cambio. junto con el nombre de la ruta de acceso. en el formato Local/user o Domain/user. Si desea limitar la regla a procesos específicos. Guía del producto McAfee Host Intrusion Prevention 8. cada una de estas reglas necesitará usar la misma ID. • Service { Include “Alerter” }: indica que la regla cubre el servicio denominado “Alerter”. System. Automatic.

los espacios en blanco y todo lo que aparezca en los comentarios.txt. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. en el directorio Agent). sql_query Es la cadena de la consulta SQL con los valores de la cadena..0 . sp_param_char_len_one.. sp_param_orign_len-one. si se ha Ejemplo: sa usado la autenticación SQL. client_agent Nombre de la utilidad que envía Ejemplo: OSQL-32. Contiene la longitud del parámetro en número de caracteres. sp_param_one. Contiene la longitud del parámetro en número de bytes. si se ha usado la autenticación de Windows. Internet Information Services la solicitud al sistema cliente. sql_original_query Contiene la consulta SQL completa. exactamente como se recibió (incluidas las cadenas y los espacios en blanco)... Debería coincidir con un nombre de procedimiento almacenado. sp_name Nombre de procedimiento almacenado. o del usuario de confianza.. sql_line_comment El valor se configura como 1 si la consulta incluye un comentario "-" de una sola línea con una sola cita. Notas nivel hora user_name Ejecutable 134 authentication_mode Valor booleano que especifica si se ha usado una autenticación Windows (1) o una autenticación SQL (0). SQL de clase Windows La siguiente tabla enumera las secciones y los valores posibles para los SQL de la clase Windows: Sección Valores Clase MSSQL ID Consulte Secciones comunes..Apéndice A -. Contiene el valor del parámetro. Un procedimiento almacenado se identifica por medio de una lista suministrada de nombres de procedimiento que se incluye en cada versión de agente de SQL (actualmente SPList. db_user_name Nombre del usuario.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • directives service:stop: indica que esta regla cubre la desactivación de un servicio.

32 y 64 bits (7) Clase Desbordamiento del búfer Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) XP 2K3 bo: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 stack x x x x x x x x x x heap x x x x x x x x x x writeable_memory x x x x x x x x x x invalid_call x x x x x x x x x x target_bytes x x x x x x x x x x call_not_found x x x x x x x x x x call_return_unreadable x x x x x x x x x x call_different_target x x x x x x x x x x call_return_to_api x x x x x x x x x x V 2K8 7 Archivos de clase Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x escribir x x x x x x x x x x x x x x x ejecutar x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8. 32 y 64 bits (XP) • Windows 2003.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas sql_user_password Se configura como 1 si la contraseña es NULL y 0 si es distinta. es un texto no configurable de: memoria compartida (LPC).0 135 . transporte En MSSQL 2005/2008. R2 SP2. directivas sql:request. R2. Para las solicitudes de SQL entrantes Clases y directivas de la plataforma Windows Una lista de las clases y directivas efectivas para la plataforma Windows: • Windows XP.0 para ePolicy Orchestrator 4. 32 y 64 bits (2K3) • Windows Vista. SP2. SP3.Apéndice A -. 32 y 64 bits (V) • Windows 2008 R2. Siempre se configura como 0 para los no usuarios de SQL. (32 y 64 bits [2K8]) • Windows 7.

0 para ePolicy Orchestrator 4.0 7 .Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 borrar x x x x x x x x x x x x x x x cambiar nombre x x x x x x x x x x x x x x x atributo x x x x x x x x x x x x x x x writeop x x x x x x x x x x x x x x x hardlink x x x x x x x x x x x x x x x Clase Enlace Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) enlace: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 set_windows_hook x x x x x x x x x x x x x x x Clase Uso ilegal de API Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal_api_use: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 bad_parameter x x x x x x x x x x x x x x x invalid_call x x x x x x x x x x x x x x x Clase Uso ilegal Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 api x x x x x x x x x x x x x x x Clase ISAPI Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) isapi: 136 XP 2K3 V 2K8 Procesos de 32 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 request x x x x x x requrl x x x x x x reqquery x x x x x x rawdata x x x x x x responder x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -.

0 para ePolicy Orchestrator 4.0 137 .Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Programa Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) programa: XP 2K3 V 2K8 7 XP ejecutar x x x x x open_with_any x x x x open_with_create_thread x x x open_with_modify x x open_with_terminate x x open_with_wait x x 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Clase Registro Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) registro: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x borrar x x x x x x x x x x x x x x x modificar x x x x x x x x x x x x x x x permisos x enumerar x x x x x x x x x x x supervisar x x x restaurar x x x sustituir x x x x x x x x x x x x x x x x x x x x x x x x cargar open_existing_key x x x cambiar nombre x x x x x x x x x x x x x x x Clase Servicios Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) servicios: XP 2K3 iniciar x x detener x x interrumpir x x continuar x x inicio x profile_enable x Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -.

Apéndice A -.0 . UNIX_Misc Para salvaguardar la protección de acceso en Solaris y Linux. UNIX_apache Para solicitudes http en Solaris y Linux. mientras que las reglas en la clase UNIX_Files no Windows utilizan una sola barra. Para Solaris y Linux están disponibles las siguientes clases: Clase Cuándo usarla UNIX_file Para el archivo o directorio de uso en Solaris y Linux.0 para ePolicy Orchestrator 4. UNIX_bo Para el desbordamiento del búfer. Solo Solaris. Solaris/Linux clase UNIX_file La siguiente tabla enumera las secciones y los valores posibles para la clase de UNIX_file basada en UNIX: Sección Valores Clase UNIX_file ID Consulte Secciones comunes. UNIX_map Para el mapeado de archivos o dispositivos en la memoria. Notas nivel 138 Guía del producto McAfee Host Intrusion Prevention 8. Solo Solaris. La clase de firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma. UNIX_GUID Para permitir que los usuarios ejecuten un ejecutable con los permisos del propietario o grupo del ejecutable. Solo Solaris.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) servicios: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 profile_disable x x x x x x x x x x x x x x x logon x x x x x x x x x x x x x x x crear x x x x x x x x x x x x x x x borrar x x x x Clase SQL Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) sql: XP 2K3 V 2K8 7 XP request x x x x x 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 x x x x 7 Firmas personalizadas no Windows Esta sección describe cómo escribir firmas personalizadas en las plataformas Solaris y Linux. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles.

unixfile:setattr Solo Linux. unixfile:chmod Cambia los permisos de un directorio o archivo. unixfile:unlink Elimina un archivo de un directorio o elimina un directorio.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos. unixfile:rmdir Elimina un directorio. unixfile:rename Cambia el nombre de un archivo.0 para ePolicy Orchestrator 4. unixfile:access Cambia los atributos del archivo. Consulte la nota 3. unixfile:foolaccess Solo Solaris. zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. de archivos de origen nuevo Modo de permiso del archivo recién creado o permiso modificado Solo Solaris. directivas unixfile:chdir Cambia el directorio de trabajo. unixfile:mkdir Crea un directorio. Archivos para buscar. unixfile:read Abre un archivo en modo de solo lectura. Cambia los permisos y la propiedad del directorio o el archivo.Apéndice A -. unixfile:symlink Crea un enlace simbólico. archivo Lista de permisos de los nombres Solo Solaris. Los atributos supervisados son “Solo lectura”. Consulte la nota 1. Consulte la nota 2.0 139 . origen Nombres de archivos de destino Uno de los parámetros requeridos. Opcional. unixfile:priocntl Solo Solaris. unixfile:write Abre un archivo en modo lectura y escritura. Muestra o establece los parámetros de programación. unixfile:link Crea un enlace no modificable. Consulte la nota 4. unixfile:mknod Crea un nodo. “Oculto”. unixfile:create Crea un archivo. “Archivo” y “Sistema”. Opcional. El nombre de archivo tiene 512 '/' consecutivas. hora user_name Ejecutable Nota 1 Directivas apropiadas por sección: Guía del producto McAfee Host Intrusion Prevention 8. unixfile:chown Cambia la propiedad de un directorio o archivo. Consulte la nota 5. Consulte la nota 1. Consulte la nota 2.

Por ejemplo. • Cuando se combina con la sección origen. la regla: Rule { .0 para ePolicy Orchestrator 4. • Cuando se combina con la sección origen.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directiva Archivo chdir X chmod X chown X crear X vínculo X mkdir X leer X cambiar nombre X rmdir X setattr X symlink X unlink X escribir X Origen Permiso del archivo Nuevo permiso X X X X X X X X Nota 2 El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista de control de acceso (acl). Solo pueden tener los valores “SUID” o “SGID”. Para reducir la protección a una zona concreta. 140 Guía del producto McAfee Host Intrusion Prevention 8. significa que se supervisa la creación de un enlace en el archivo en la sección archivos. significa que no se puede crear ningún enlace con el nombre especificado en la sección origen. Nota 3 La directiva unixfile:link tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos. Nota 4 La directiva unixfile:rename tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos. Nota 5 De manera predeterminada.. todas las zonas están protegidas por la firma.. significa que se supervisa el cambio de nombre del archivo en la sección archivos. agregue una sección de zona en la firma e incluya el nombre de la zona. si tiene una zona llamada "app_zone" cuya raíz es /zones/app. significa que no se puede cambiar el nombre del archivo al archivo de la sección origen.Apéndice A -.0 .

Solo Solaris. los demás métodos de http permitidos Guía del producto McAfee Host Intrusion Prevention 8. “POST”. Consulte la nota 4. nuevo permiso Solo se puede aplicar cuando se crea un nuevo archivo o se realiza una operación chmod: permisos del nuevo archivo. en esta versión.Apéndice A -. Consulte las notas 1-4. Se compara con la parte de consulta de una solicitud entrante.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows file { Include "/tmp/test.. Solaris/Linux class UNIX_apache (HTTP) La siguiente tabla enumera las secciones y valores posibles para la clase de apache basada en UNIX: Sección Valores Clase UNIX_apache ID Consulte Secciones comunes.0 141 . Solo Solaris. “INDEX” y todos Opcional. consulta Opcional. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Nombre de GUI Explicación archivos Nombres del archivo al que se ha accedido o se ha intentando acceder. método “GET”.0 para ePolicy Orchestrator 4.log" } zone { Include "app_zone" } . Tenga en cuenta que. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. Se compara con la parte url de una solicitud entrante.. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase UNIX_Files. o cuando la operación es el cambio de nombre de un archivo: nuevo nombre del archivo. Notas nivel hora user_name Ejecutable url Opcional. Consulte las notas 1-4. la protección del servidor web no se puede reducir a una zona concreta. permiso del origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: permisos de archivo de destino (el archivo que señala el enlace). origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: nombre del nuevo enlace. permiso del archivo Permisos de archivo.

Nota 1 Una solicitud entrante de http puede representarse como: http://www.myserver.Apéndice A -. Consulte la nota 5.0 para ePolicy Orchestrator 4. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”. Utilizando esta convención de nombres. que coincide con el valor de la sección "url" (es decir. la siguiente regla se activa si IIS recibe la solicitud http: http:// www.500” } 142 Guía del producto McAfee Host Intrusion Prevention 8.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. apache:reqquery Para solicitudes de consultas. la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. la siguiente regla coincide si la parte url de la solicitud contiene "abc" y tiene más de 500 caracteres: Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*. podemos decir que la sección "url" se compara con {url} y que la sección "consulta" se compara con {query}.myserver. Nota 2 Antes de efectuar la correspondencia. directivas apache:requrl Para solicitudes de URL. Por ejemplo. nos referimos a {url} como la parte “url” de la solicitud http y a {query} como la parte de “consulta” de la solicitud http. se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape.número_de_caracteres” al valor de estas secciones. apache:rawdata Para solicitudes de datos sin procesar.exe?subject=wildlife&environment=ocean Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request } Esta regla se activa porque {url}=/search/abc. En este documento.com/ {url}?{query}. Por ejemplo. abc).0 .exe. Agregando “.com/search/abc.

ID Consulte Secciones comunes.Apéndice A -.0 143 . una de las siguientes secciones opcionales: url. todas las zonas están protegidas por la firma. directivas unixmisc:killagent Evita que la señal SIGKILL se envíe al cliente. Guía del producto McAfee Host Intrusion Prevention 8. Para reducir la protección a una zona concreta. Tenga en cuenta que. método. file { Include "/tmp/test. la regla: Rule { . consulta.log" } zone { Include "app_zone" } .0 para ePolicy Orchestrator 4. si tiene una zona llamada "app_zone" cuya raíz es /zones/app. al menos. Por ejemplo. la protección del servidor web no se puede reducir a una zona concreta. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Nota 5 De manera predeterminada. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global... en esta versión.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request} } Nota 4 Una regla debe incluir. Solaris/Linux clase UNIX_Misc La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris o Linux UNIX_misc: Sección Valores Notas Clase UNIX_misc Una clase miscelánea que salvaguarda la protección de acceso. agregue una sección de zona en la firma e incluya el nombre de la zona...

zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Para reducir la protección a una zona concreta..Apéndice A -. todas las zonas están protegidas por la firma. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. agregue una sección de zona en la firma e incluya el nombre de la zona. directivas unixbo:binargs Argumentos binarios. unixbo:libc Se usa cuando la dirección de retorno de una función no está en el marco de pila adecuado. unixbo:exec Ejecución del programa. Por ejemplo. Nota 1 De manera predeterminada. Tenga en cuenta que. unixbo:binenv Entorno binario.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Solaris clase UNIX_bo La siguiente tabla enumera las secciones y valores posibles para class_bo (desbordamiento del búfer) de Solaris Sección Valores Clase UNIX_bo ID Consulte Secciones comunes. la protección del servidor web no se puede reducir a una zona concreta.0 . la regla: Rule { . file { Include "/tmp/test... Solaris clase UNIX_map La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_map: 144 Guía del producto McAfee Host Intrusion Prevention 8. unixbo:illegal_address Dirección ilegal.0 para ePolicy Orchestrator 4. como ejecutar un programa desde la pila. en esta versión. Notas nivel hora user_name Ejecutable programa Nombre del programa Programa para buscar. Consulte la nota 1.log" } zone { Include "app_zone" } .. si tiene una zona llamada "app_zone" cuya raíz es /zones/app. unixbo:environment Entorno del programa.

Apéndice A -. Clases y directivas de la plataforma UNIX Una lista de las clases y directivas efectivas para la plataforma no Windows: Guía del producto McAfee Host Intrusion Prevention 8. guid:setregid Establece una ID de grupo real y efectiva.0 para ePolicy Orchestrator 4. ID Consulte Secciones comunes. Solaris clase UNIX_GUID La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_GUID: Sección Valores Notas Clase UNIX_GUID Use esta clase para establecer indicadores de derechos de acceso de Unix que permitan que los usuarios inicien un ejecutable con el permiso del grupo o del propietario del ejecutable. guid:setgid Establece la ID de grupo para permitir que el grupo inicie un ejecutable con el permiso del grupo del ejecutable.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas Clase UNIX_map Use esta clase para asociar archivos o dispositivos UNIX en la memoria. mmap:mmap Asocia archivos o dispositivos en la memoria. guid:setegid Establece una ID de grupo efectiva. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. guid:setreuid Establece una ID de usuario real y efectiva. guid:seteuid Establece una ID de usuario efectiva. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. directivas mmap:mprotect Establece la protección de acceso de las páginas de memoria.0 145 . ID Consulte Secciones comunes. directivas guid:setuid Establece la ID de usuario para permitir que el usuario inicie un ejecutable con el permiso del propietario del ejecutable.

Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Class UNIX_bo Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixbo:binargs X X unixbo:illegal_address X X unixbo:exec X X unixbo:enrironment X X unixbo:binenv X X unixbo:libc X X Class UNIX_file Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixfile:chdir X X X X unixfile:chmod X X X X unixfile:chown X X X X unixfile:create X X X X unixfile:link X X X X unixfile:mkdir X X X X unixfile:read X X X X unixfile:rename X X X X unixfile:rmhdir X X X X unixfile:setattr X X unixfile:symlink X X X X unixfile:unlink X X X X unixfile:write X X X X unixfile:mknod X X X X unixfile:access X X X X unixfile:foolaccess X X unixfile:priocntl X X Class UNIX_Misc Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixmisc:killagent X X X X Class UNIX_apache 146 Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:requrl X X X X apache:reqquery X X X X Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -.0 .0 para ePolicy Orchestrator 4.

0 147 .Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:rawdata X X X X RedHat Linux SuSE Linux Class UNIX_map Directivas Solaris 9 Solaris 10 mmap:mprotect X X mmap:mmap X X Class UNIX_GUID Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 guid:setuid X X guid:seteuid X X guid:setreuid X X guid:setgid X X guid:setegid X X guid:setregid X X Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.

Consulte KB69184 para obtener la información más reciente. seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall.org/assignments/ethernet-numbers). Además. de forma dinámica. donde 0xXXX indica el número del protocolo IANA Ethernet (consulte htttp://www. el firewall no reconoce algunos tipos de tráfico distinto de IP y.exe) • Consola del cliente de McAfee Host Intrusion Prevention (McAfeeFire.0 para ePolicy Orchestrator 4.com le ofrecen la información de soporte más actualizada sobre problemas y la solución de los mismos. Después puede comprobar el registro de actividades de Protocolos distintos de IP entrantes/salientes permitidos: 0xXXX. están bloqueados. el modo de adaptación y el modo de aprendizaje.Apéndice B: solución de problemas Los artículos de la base de datos de conocimientos del sitio Soporte de McAfee http://mcafee. no detectan y crean reglas de firewall para protocolos distintos de IP.exe) Estos servicios tendrían que estar activos cuando se los llame: • Icono de la bandeja del sistema del servicio McAfee Host Intrusion Prevention (FireTray. 148 Guía del producto McAfee Host Intrusion Prevention 8.exe) • Servicio McAfee Validation Trust Protection (mfevtps.exe) • Servicio McAfee Firewall Core (mfefire.0 .exe) ¿Cómo puedo evitar que el firewall bloquee el tráfico distinto de IP? A no ser que esté indicado específicamente en una regla de firewall. Contenido Problemas generales Registros de Host IPS Utilidad Clientcontrol. debido a ello. Utilice esta información para determinar el tráfico distinto de IP necesario y cree una regla de firewall que lo permita. Para evitar que se descarten los protocolos distintos de IP.exe Problemas generales ¿Qué servicios de Host Intrusion Prevention se tendrían que instalar y ejecutar en el sistema del cliente para que el software funcione correctamente? Estos servicios siempre tendrían que estar activados para proporcionar protección de prevención de intrusiones con IPS o firewall o ambos: • Servicio McAfee Host Intrusion Prevention (FireSvc.iana.

busque el evento y cree una excepción.log) y el registro de firewall (escrito en FireSvc. Si se incluye un elemento CVE (Common Vulnerabilities and Exposures) en la descripción de la firma IPS. desactive el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce. visualice la firma relacionada con el evento. tiene que determinar si es la firma u otro elemento el que causa el problema. 2 Desactive el IPS y detenga el servicio del cliente de Host Intrusion Prevention (FireSvc.com y compruébelo con el controlador de Microsoft Pass Thru desinstalado. consulte el artículo 54960 de KnowledgeBase en http://knowledge.Apéndice B: solución de problemas Problemas generales ¿Qué tengo que hacer si una aplicación falla o una función se ve afectada después de instalar o actualizar el contenido de Host Intrusion Prevention? Si el comportamiento de una aplicación ha cambiado después de instalar o actualizar el cliente de Host Intrusion Prevention o una actualización de contenido. Para obtener detalles. Si el problema se produce solo con el módulo IPS activado y no se produjeron infracciones <Evento> en HipShield. Para obtener detalles. seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall del servidor ePolicy Orchestrator y aplique la directiva al cliente. 2 Excluya los ejecutables de protección de la lista de protección de aplicaciones de Host IPS. el tráfico también puede ser descartado si Host Intrusion Prevention está activo. 5 Aísle el motor IPS que podría estar causando el problema. 3 Si una firma nueva está bloqueando actividad por culpa de un evento.mcafee. Si el problema se produce por una firma IPS: 1 Permita el registro de IPS (escrito en HipShield. esto indica que una actualización de seguridad de un parche está disponible. Tenga en cuenta los resultados.com. consulte el artículo 51676 de KnowledgeBase en http://knowledge. 3 Si el problema no se produce.log: 1 Identifique los ejecutables asociados con la aplicación. desinstale el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce. 4 Incluya los ejecutables que excluyó en el paso 2.mcafee.0 para ePolicy Orchestrator 4. vuélvalo a probar para verificar si el problema se produce. Guía del producto McAfee Host Intrusion Prevention 8. Aplique el parche y desactive la firma. 2 Busque INFRACCIÓN en HipShield.com. Vuélvalo a probar con esta opción definida. consulte el artículo 68557 de KnowledgeBase en http://knowledge. 4 Si los parámetros avanzados del evento son limitados.log) en el cliente o en la directiva IU del cliente en el servidor ePolicy Orchestrator y reproduzca el problema. 3 Repita la prueba para la aplicación de funciones. y vuélvalo a probar para verificar si el problema se produce. vaya a la ficha Evento de Host IPS en Informes en el servidor ePolicy Orchestrator.exe) y. a continuación. Si el problema no está relacionado con una firma IPS: 1 Desactive todos los módulos de Host Intrusion Prevention (IPS. 5 Si estos pasos no resuelven el problema. 6 Si el problema no se produce con el NDIS desinstalado. Nota: aunque el firewall esté desactivado.0 149 . 6 Identifique el motor IPS que causa el problema. Asegúrese de hacer la excepción tan diferenciada como sea posible utilizando los parámetros avanzados del evento. IPS de red y Firewall). 4 Si estos pasos no resuelven el problema.log: cualquier detalle de infracción de <Evento>.mcafee.

Prueba de IPS de red. para informar al soporte. Host IPS puede asociarse potencialmente al problema. 6 Realice las comprobaciones siguientes: • Detenga el servicio McAfee Host IPS y vuélvalo a probar. 3 Seleccione Violaciones de seguridad de registro. Los pasos siguientes tendrían que realizarse en el sistema del cliente local con la consola de Host IPS. • Si el problema se ha resuelto. 5 Pruebe el sistema para ver si el problema se repite: • Si el problema persiste. 3 Pruebe el sistema para determinar si el problema se repite: • Si el problema no se repite.0 para ePolicy Orchestrator 4. pase al paso 1 de la fase de pruebas iterativas. Si el problema desaparece. 3 Guarde una copia del registro de actividades y póngale el nombre Registro de actividad de Host IPS wProb. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar Host IPS.0 . • Si el problema se repite: 1 Anule la selección de Activar Host IPS. 2 Desactivar Firewall: haga clic en la ficha Directiva Firewall y anule la selección de Activar Firewall. Si se ha solucionado el problema. Si encuentra la causa del problema pero no puede resolverlo.Apéndice B: solución de problemas Problemas generales ¿Cómo aíslo un componente en Host IPS para descubrir cuál causa el problema? NOTA: este proceso incluye pasos que pueden requerir reincializaciones y accesos repetidos o problemas que se recrean. informe del problema como un problema asociado directamente con el servicio. Si el problema desaparece. Fase de pruebas iterativas de cada componente: Prueba de Host IPS 1 Haga clic en la ficha Registro de actividad y borre el registro. • Desinstale el Host IPS del cliente del sistema local y vuélvalo a probar. pase al paso 6. 2 Seleccione informe de Error en registro de IPS. 4 Seleccione Activar Host IPS y verifique si el problema reaparece. reenvíe los registros que obtenga al Soporte de McAfee. 2 Vuélvalo a probar para verificar si el problema desaparece. 3 Borrar la lista de Hosts bloqueados: haga clic en la ficha Hosts bloqueados y borre la lista seleccionando cada entrada y haciendo clic en Quitar. 4 Haga clic en Funcionalidad. Desactivar todos los componentes y comprobar si hay fallos: 1 Desactivar IPS: haga clic en la ficha Directiva IPS y anule la selección de Activar Host IPS y Activar IPS de red. Prueba de todos los motores IPS 150 1 Haga clic en Ayuda y seleccione Solución de problemas. pase al paso 5. 4 Activar el registro de actividad: haga clic en la ficha Registro de actividad y verifique que todas las casillas de los registros de tráfico y de las opciones de filtro están seleccionadas. Guía del producto McAfee Host Intrusion Prevention 8. informe del problema como un problema asociado con los archivos instalados y no con un componente específico.

Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de adaptación de Host IPS wProb. 6 Guarde una copia del registro hipshield por cada prueba y etiquétela con el nombre del motor al que se ha realizado la prueba. Host IPS en modo de adaptación puede asociarse potencialmente al problema. tenga en cuenta si el problema está asociado con el componente IPS pero no con los motores concretos. 7 Siga uno de estos procedimientos: • Si el problema se repite.0 para ePolicy Orchestrator 4. anule la selección de Activar Host IPS y pase al siguiente paso. 3 Pruebe el sistema para determinar si el problema se repite. Prueba de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro. Prueba de cada motor IPS. IPS de red puede asociarse potencialmente al problema. podría estar asociado con un motor concreto. Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red wProb. seleccione Activar IPS de red y pase al siguiente paso. Prueba de cada motor IPS 1 Haga clic en Ayuda y seleccione Solución de problemas. 3 Pruebe el sistema para determinar si el problema se repite.log para ver si el componente IPS es el problema. 2 Seleccione informe de Error en registro de IPS. uno cada vez. para informar al soporte. Si lo está. anule la selección de Activar/Desactivar todos los motores y haga clic en Aceptar. 3 Seleccione Violaciones de seguridad de registro. 5 Seleccione los motores.0 151 .Apéndice B: solución de problemas Problemas generales 5 En el cuadro de diálogo de motores de HIPS. Revise hipshield. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. • Si el problema no se repite. 6 Pruebe el sistema para determinar si el problema se repite. para informar al soporte. Prueba del bloqueo automático de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro. Guía del producto McAfee Host Intrusion Prevention 8. 4 Siga uno de estos procedimientos: • Si el problema se repite. Si lo está. 7 Cuando se hayan completado las pruebas. anule la selección de Activar modo de adaptación y vuélvalo a probar para ver si el problema está solucionado. Prueba del modo de adaptación de IPS 1 Haga clic en la ficha Registro de actividad y borre el registro. 4 Siga uno de estos procedimientos: • Si el problema se repite. y vuélvalo a probar. • Si el problema no se repite. para informar al soporte. anule la selección de Activar IPS de red y vuélvalo a probar para ver si el problema está solucionado. 4 Haga clic en Funcionalidad. • Si el problema no se repite. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar modo de adaptación. active todos los motores para pasar al siguiente paso. Pase al siguiente paso.

seleccione Activar firewall y pase al siguiente paso. b Vuélvalo a probar para verificar si el problema está solucionado. 3 Haga clic en la casilla Bloquear automáticamente los atacantes. Si lo está. 4 Pruebe el sistema para determinar si el problema se repite. b Vuélvalo a probar para verificar si el problema está solucionado.Apéndice B: solución de problemas Problemas generales 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. tenga en cuenta cualquier entrada de atacante bloqueado y revise para ver si hay falsos positivos. Guía del producto McAfee Host Intrusion Prevention 8. 4 Haga clic en la ficha Registro de actividad y borre el registro. 5 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Saliente. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb. d Haga clic en la ficha Registro de actividad y borre el registro. Prueba de la directiva Firewall 1 Haga clic en la ficha Registro de actividad y borre el registro. 3 Pruebe el sistema para determinar si el problema se repite. Si el problema no se repite. Anule la selección de Saliente. anule la selección de Activar IPS de red y pase al siguiente paso. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red de adaptación wProb. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb.0 . Host IPS Firewall puede asociarse potencialmente al problema. Si lo está. el modo de aprendizaje entrante de Firewall puede asociarse potencialmente al problema. 2 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Entrante. b Haga clic en la ficha Hosts bloqueados. Si se repite: 4 a Anule la selección de Activar firewall. 3 Pruebe el sistema para determinar si el problema se repite. Si se repite: 5 a Anule la selección de Bloquear automáticamente los atacantes y vuélvalo a probar para ver si el problema está solucionado. el modo de aprendizaje saliente de Firewall puede asociarse potencialmente al problema. para informar al soporte. Prueba del modo de aprendizaje de Firewall 152 1 Haga clic en la ficha Registro de actividad y borre el registro.0 para ePolicy Orchestrator 4. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall LearnOUT wProb. Anule la selección de Entrante. 6 Pruebe el sistema para determinar si el problema se repite. Si se repite: a Anule la selección de Entrante. IPS de red en modo atacantes bloqueados puede asociarse potencialmente al problema. para informar al soporte. b Vuélvalo a probar para verificar si el problema está solucionado. Si lo está. Si se repite: a Anule la selección de Saliente. d Haga clic en la ficha Registro de actividad y borre el registro. Si el problema no se repite. para informar al soporte. 2 Haga clic en la ficha Directiva Firewall y seleccione Activar Firewall. Si lo está.

asegúrese de que ninguna regla la precede. Guía del producto McAfee Host Intrusion Prevention 8. para informar al soporte. 2 Haga clic en la ficha Hosts bloqueados y elimine todos los hosts bloqueados de la lista. 3 Defina el Protocolo como TCP IP. Si se repite. Si la regla se ha creado en una directiva en la consola ePO. 8 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y tanto Entrante como Saliente. tienen preferencia sobre las reglas creadas de forma local. Si se repite: 7 a Desactive la regla Permitir todo el tráfico. b Vuélvalo a probar para verificar si el problema está solucionado. Si se repite: a Anule la selección de Entrante y Saliente. 3 Pruebe el sistema para determinar si el problema se repite. b Vuélvalo a probar para verificar si el problema está solucionado. ya que es obligatorio que la primera regla de la lista de reglas de firewall sea una regla Permitir todo el tráfico. d Guarde una copia del Registro de Actividad y póngale el nombre Registro de actividad de Firewall Prueba Permitir todo el tráfico.0 para ePolicy Orchestrator 4. Si lo está. anule la selección de la casilla Activar Firewall y pase al siguiente paso.0 153 . Prueba con la regla Permitir todo el tráfico de Firewall NOTA: es posible que este paso se tenga que configurar desde la consola de gestión de ePO. 2 Defina la Acción en Permitir. 4 Defina la Dirección en Ambos. probablemente no esté asociado con Hosts bloqueados. probablemente hay un error de configuración con las reglas. c Busque Host IPS y amplíelo. c Guarde una copia del registro de actividad y póngale el nombre Registro de actividad deFirewall LearnINOUT wProb. 1 Cree una regla nueva y póngale el nombre Permitir todo el tráfico. Si lo está. Haga clic en la ficha Directiva de Firewall. 9 Pruebe el sistema para determinar si el problema se repite.Apéndice B: solución de problemas Problemas generales 7 Desplácese hasta la ficha Directiva de Firewall. Si se ha creado la regla de forma local. b Desplácese hasta el objeto Catálogo de directivas en el árbol del sistema de ePO. Prueba de la directiva Hosts bloqueados 1 Haga clic en la ficha Registro de actividad y borre el registro. e Exporte la configuración de la Directiva de Host IPS: a Inicie sesión en la consola de ePO. 6 Pruebe el sistema para determinar si el problema se repite. d Haga clic en Exportar todas las directivas. Si se han configurado otras directivas desde la consola. c Haga una captura de pantalla de la lista del firewall en la ficha Directiva de Firewall. mueva la regla Permitir todo el tráfico para que sea la primera regla en la lista de directivas. 5 Guarde la regla. el modo de aprendizaje entrante y saliente de Firewall puede asociarse potencialmente al problema.

Para permitir el registro desde ePolicy Orchestrator: 1 En Host IPS: General. Se activa un valor del decimal 1 en el registro depuración detallada. El uso de una clave de registro local para permitir la depuración del registro sustituye cualquier conjunto de directivas que utilice ePolicy Orchestrator. Windows 7: C:\ProgramData\McAfee\Host Intrusion Prevention ¿Cómo se activa el registro? Puede establecer el registro de Host IPS con la consola del cliente de Host IPS o con la directiva IU de cliente de Host IPS de la consola de ePolicy Orchestrator.0 para ePolicy Orchestrator 4. • Error: registra los mensajes de error. Windows 2008. Los registros de Firewall e IPS se controlan de forma independiente. advertencia y error. 2 Haga clic en la ficha Solución de problemas. NOTA: el registro se puede establecer localmente al agregar el valor DWORD 'depuración_activada' en la clave de registro HKLM\Software\McAfee\HIP. edite la directiva IU de cliente que se aplicará a un cliente.0 . Estas configuraciones de los registros permanecen vigentes hasta que se bloquee la consola del cliente y se produzca una aplicación de la directiva subsiguiente. 2 Seleccione Ayuda | Solución de problemas. 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes. • Desactivado: no registra ningún mensaje. advertencia y error. • Información: registra mensajes de información. Desbloquee la interfaz del usuario con un administrador o una contraseña basada en tiempos. explique el problema y adjunte los datos obtenidos durante este proceso. 154 Guía del producto McAfee Host Intrusion Prevention 8. 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes. • Advertencia: registra los mensajes de advertencia y de error. • Advertencia: registra los mensajes de advertencia y de error. Para permitir el registro del cliente: 1 Desde el icono de la bandeja. póngase en contacto con Soporte de McAfee. Windows 2003: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention • Windows Vista. • Información: registra mensajes de información. abra la consola de Host IPS. Registros de Host IPS ¿Dónde se encuentran los archivos de registro? Todos los archivos de registro están en uno de estos directorios en el sistema del cliente. • Error: registra los mensajes de error.Apéndice B: solución de problemas Registros de Host IPS Si no ha encontrado la causa del problema. según el sistema operativo: • Windows XP.

Los datos que contiene HipShield son ad-hoc y difieren entre las partes del componente Host IPS. ¿Qué se tiene que buscar en HipShield. • Una serie de líneas que empiezan con Processing Buffer xxx. Este registro de valores registra todos los eventos de Host IPS y de IPS de red en HIPShield.Apéndice B: solución de problemas Registros de Host IPS • Desactivado: no registra ningún mensaje. donde 0 significa que la rotación del registro está desactivada. Áreas clave de interés: • Las líneas que empiezan por In install modules new describen la copia de archivos como parte del inicio del componente Host IPS. Cuando se alcanza el número especificado de archivos de copia de seguridad. • Una línea que empieza con IIS . eliminar los archivos de registro antiguos. Guía del producto McAfee Host Intrusion Prevention 8. y el DWORD entrylog_rotate_size_kb tiene el tamaño aproximado en KB de un archivo de registro de copia de seguridad. Los registros de Firewall e IPS se controlan de forma independiente. seguida de una indicación sobre si estos datos son informativos.Start indica que la supervisión IIS está empezando. Si ya existe un archivo con este nombre. los antiguos se eliminan. Este archivo de registro crece hasta los 128 MB y rota con una copia de seguridad. Estas configuraciones de los registros se aplicarán a la siguiente implementación de la directiva. el sufijo se incrementa en uno. • Una línea que empieza con Scrutinizer initialized successfully indica que la descarga del componente IPS ha sido correcta durante la inicialización del examinador.1. Asegúrese de parar el servicio. se cierra el archivo y se le cambia el nombre con el sufijo . Cada entrada del registro HipShield muestra una marca de fecha/hora. cosa que depende de que los archivos mencionados anteriormente se hayan copiado correctamente. El hecho de no copiar estos archivos impide que el componente Host IPS se inicie.scn informa sobre el resultado del proceso de análisis de archivos del analizador xxx. sea cual sea la configuración del estado de registro original en las propiedades de la firma.log. • Una línea que empieza con Hooking xxx indica que el proceso de interceptación prosigue.0 para ePolicy Orchestrator 4. Cuando se ha superado el tamaño especificado de log_rotate_size_kb. NOTA: cuando se recopilen datos para incidentes remitidos al Soporte de McAfee. como se muestra más arriba. recomendamos encarecidamente que se cree el registro de valores debug_enabledy se establezca a 1. Esto reduce el tamaño de los archivos de registro.log. reiniciar el servicio y ejecutar la reproducción. • Una línea que empieza con Scrutinizer started successfully ACTIVATED status indica que el examinador se ha inicializado correctamente. donde xxx es un nombre como EnterceptMgmtServer. La rotación de archivos de registro la controlan las entradas DWORD log_rotate_size_kb y log_rotate_count en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. • Una línea que empieza con New Process: Pid= indica que el componente Host IPS es capaz de supervisar el proceso de creación. Los errores del proceso de análisis de archivos del analizador se indican aquí.0 155 . ¿Qué archivos de registro están asociados con el componente Host IPS? El archivo de registro primario para el componente Host IPS es HipShield. El número xxx indica el PID (proceso ID) del proceso que se está interceptando. de depuración o un error.log? Una ejecución del componente Host IPS empieza con una declaración de banner que identifica la ejecución de la compilación y la marca de fecha/hora de la sesión.scn. La clave log_rotate_count determina el nombre de archivos de registro de copias de seguridad que se tienen que mantener.

log.dll haya procesado el contenido. cierre el editor del registro.db se crean en el mismo directorio que los registros solo cuando la depuración está activada. Crear y asignar un valor a las claves de registro anteriores establece el tamaño máximo de todos estos archivos de registro.log/McTrayHip.log Registro de servicio principal • HipMgtPlugin.log Registro de bandeja FireUI. a continuación. 4 Cambie el valor al tamaño deseado para los registros. el tamaño se puede controlar agregando el siguiente valor de registro: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.0 para ePolicy Orchestrator 4. Valor Dword.log Contiene estos datos Registro del nivel de depuración Estadísticas de los intervalos de aplicación de las directivas • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias Estos archivos crecen hasta que alcanzan el tamaño máximo predeterminado de 100 MB. 3 Haga clic con el botón derecho en MaxFwLogSize y seleccione Modificar. NOTA: la clave de registro MaxFwLogSize controla el tamaño de FireSvc. Estos archivos contienen un volcado de las reglas y las excepciones que se envían al kernel después de que el AgentNT. FireTray.db y except.log. log=True indican que se ha cargado una firma individual.exe Esta utilidad de línea de comandos ayuda a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention 156 Guía del producto McAfee Host Intrusion Prevention 8.0 .log Registro IU del cliente Registro del nivel de depuración • La ubicación coincide con la salida • Clasificación de salida de la conexión TrustedSource • Errores/advertencias Registro de complemento de • McAfee Agent • FireTray. NOTA: Shield. Para establecer el tamaño del registro: 1 Seleccione la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP.log. ¿Qué archivos de registro están asociados con el componente firewall? Los archivos de registro primarios del componente Firewall contienen: Nombre Descripción FireSvc. 2 Póngale nombre al valor nuevo MaxFwLogSize. seleccione Nuevo. Si se desean archivos de registro más grandes o más pequeños. Este valor se introduce en KB. Se incluyen el ID y el nivel de la firma junto con una indicación de si el registro está activado para esta firma. Utilidad Clientcontrol. HipMgtPlugin.Apéndice B: solución de problemas Utilidad Clientcontrol.log y FireUI.exe • Las líneas del formato signature=111 level=2. 5 Haga clic en Aceptar y. a continuación. haga clic con el botón derecho en un espacio en blanco en el panel derecho y.

La utilidad graba sus actividades en ClientControl.exe en equipos cliente. Sintaxis de línea de comandos Convenciones: Guía del producto McAfee Host Intrusion Prevention 8. se produce lo siguiente: • Los servicios de IPS en host están desactivados. y Windows 7. 4 Ejecute una llamada de activación del agente. 2 Seleccione la ficha Avanzadas. aplicar parches en Windows).0 para ePolicy Orchestrator 4. • Cambiar la configuración de registro (requiere un administrador o una contraseña basada en tiempos). abra Host Intrusion Prevention: Directiva general. modifique HKLM\Software\McAfee\HIP en el registro agregando la entrada FwLogLevel de tipo DWORD con un valor de 0x7.Apéndice B: solución de problemas Utilidad Clientcontrol. Windows 2008. Función e instalación Esta utilidad permite que los administradores realicen lo siguiente en los clientes de IPS en host de McAfee: • Iniciar el servicio IPS en host. • Si McAfee Agent aplica directivas mientras usted realiza una actividad que requiere que la protección esté desactivada (por ejemplo.log en: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention. • Detener el servicio IPS en host (requiere un administrador o una contraseña basada en tiempos). Se puede incluir en los comandos de instalación y mantenimiento para desactivar de forma temporal la protección IPS y activar las funciones de registro. su actividad podría quedar bloqueada por las directivas aplicadas. la configuración de la directiva podría permitir que McAfee Agent los reiniciase al siguiente intervalo de comunicación agente-servidor (ASCI). Se crea una entrada en ClientControl. 3 Anule la selección de Comprobación de integridad del producto. o C:\ProgramData\McAfee\Host Intrusion Prevention en Windows Vista. • Sustituir las opciones de configuración con la configuración de la directiva predeterminada. Si el usuario tiene autoridad para detener los servicios en el equipo.log. Para permitir el registro. Incluso si la detención de los servicios de IPS en host es correcta. • Exportar las reglas de protección IPS de inicio del registro. La casilla de IPS en host en la ficha Directiva IPS queda en blanco automáticamente. • Los servicios de IPS en host no se han detenido. Detención de los servicios de IPS en host El parámetro /detener detiene los servicios de IPS en host si el usuario tiene autoridad administrativa para detener los servicios. • Iniciar/detener los motores de IPS en host (requiere un administrador o una contraseña basada en tiempos). • Mostrar los datos de licencia NaiLite que se encuentran en el registro del equipo cliente. • Exportar las opciones de configuración a un archivo con formato de texto. • Exportar el registro de actividad a un archivo con formato de texto. Para evitarlo: 1 En ePolicy Orchestrator.0 157 . • McAfee Agent aplica las directivas al siguiente intervalo de aplicación de directivas.

• < > significa datos introducidos por el usuario.exe • [ ] significa obligatorio.Apéndice B: solución de problemas Utilidad Clientcontrol.log) Definiciones de las opciones de registro: • 0 = desactivado • 1 = error • 2 = advertencia • 3 = información • 4 = depuración • 5 = violación de la seguridad (solo IPS) • /motor <contraseña> [tipo de motor] [opciones de motor] Enciende y apaga los motores.0 . • /inicio Inicia el servicio. Argumentos principales: Solo uno de los siguientes argumentos principales tiene permiso por invocación: • /ayuda • /inicio • /detención • /registro • /motor • /exportación Sin embargo. puede especificar más de una opción de registro cuando cambie la configuración de registro.. • /registro <contraseña> [tipo de registro] [opciones de registro] Genera registros.. .0 para ePolicy Orchestrator 4.log) • 1 = Firewall (crea un FireSvc. Uso: clientcontrol [arg] Definiciones de los argumentos: • /ayuda Muestra la sintaxis de las líneas de comando y las notas. • [xxx. Definiciones del tipo de motor: • 0 = todos 158 Guía del producto McAfee Host Intrusion Prevention 8. • /detención <contraseña> Detiene el servicio. Las opciones de registro se procesan en orden. Ejecutar la utilidad con el comando /ayuda proporciona la información de ayuda y las notas más actualizadas. Definiciones del tipo de registro: • 0 = HIPS (crea un HipShield.] significa uno o más.

exe • 1 = Desbordamiento del búfer • 2 = SQL (solo servidor) • 3 = Registro • 4 = Servicios • 5 = Archivos • 6 = HTTP (solo servidor) • 7 = API de IPS en host • 8 = Uso no autorizado • 9 = Programa • 10= Enlazado Definiciones de las opciones de motor: • 0 = desactivado • 1 = activado • /exportación /s <ruta del archivo de origen de exportación> <ruta del archivo de exportación del registro de eventos> Exporta el registro de eventos a un archivo con formato de texto. Definiciones del tipo de configuración: • 0 = todos • 1 = protección de la aplicaciones • 2 = hosts bloqueados • 3 = firewall • 4 = firmas personalizadas de IPS en host • 5 = excepciones IPS • 6 = configuración • 7 = aplicaciones de confianza • 8 = redes de confianza • 9 = firmas de IPS de red • 10 = firmas de IPS en host • 11 = motores de IPS en host • 12 = sesiones de inicio de sesión • 13 = reglas de bloqueo DNS • /defConfig <contraseña> Sustituye las opciones de configuración con directivas de cliente predeterminadas para la configuración de la protección de aplicaciones. • /exportConfig <ruta del archivo de exportación> <tipo de configuración> Exporta las opciones de configuración a un archivo con formato de texto. No incluya "/s" si no hay un archivo de origen. La ruta del archivo de origen es opcional. Guía del producto McAfee Host Intrusion Prevention 8. firewall y las aplicaciones de confianza.0 para ePolicy Orchestrator 4.0 159 . • /readNaiLic Muestra los datos de licencia de NaiLite.Apéndice B: solución de problemas Utilidad Clientcontrol.

.log o FireSvc.exe /exportación <ruta del archivo de exportación> 3 Copie el archivo de registro exportado a otro equipo para la recopilación y el análisis.exe /<contraseña> [tipo de motor] [opción de motor] 3 Realice la actividad para generar reacciones y entradas de registro. Activar el registro como parte de un ejercicio de resolución de problemas 1 Abra un shell de comandos. Exportar el registro de actividad de IPS en host a un archivo de texto 1 Abra un shell de comandos.Apéndice B: solución de problemas Utilidad Clientcontrol.exe /detención <contraseña> 3 Realice su actividad de mantenimiento. 4 Revise HipShield. NOTA: • Tiene que haber al menos un espacio entre el argumento. 4 Revise HipShield.log o FireSvc. 2 Ejecute clientcontrol.0 para ePolicy Orchestrator 4. la contraseña y cualquier otro parámetro obligatorio. .exe /registro <contraseña> [tipo de registro] [opción de registro. 2 Ejecute clientcontrol.exe • /bootTimeRules <contraseña> <ruta del archivo de exportación> Exporta las reglas IPS de inicio a un archivo con formato de texto.log para obtener información relevante. Desactivar motores específicos de IPS en host como parte de un ejercicio de resolución de problemas 160 1 Abra un shell de comandos. 2 Ejecute clientcontrol. Flujos de trabajo de muestra Aplicar un parche a un equipo protegido por IPS en host de McAfee 1 Abra un shell de comandos.0 . Guía del producto McAfee Host Intrusion Prevention 8.. 2 Ejecute clientcontrol. 4 Ejecute clientcontrol.log para obtener información relevante.exe /inicio (para reiniciar los servicios de Host IPS).] 3 Realice la actividad para generar entradas de registro.

109 Cliente Solaris archivos de instalación 106 comprobación de que el cliente se ejecuta 106 descripción 104 detener y reiniciar 106. creación 70. 95 clientes actualización con llamada de activación del agente o tarea 31 ajuste de IPS en host 21 B blindaje y envoltura 33. IPS en host 29 incorporación de paquetes de IPS en host 30 métodos de IPS en host 31 paquete de contenido de IPS en host 29 adaptadores de red condiciones para permitir la conexión 60 administradores globales asignación de conjuntos de permisos 25 ajuste de IPS en host análisis de eventos 17 directivas de aplicaciones de confianza 87 directivas predeterminadas y 19 gestionar directivas 10 manual y automático 20 modos adaptación y aprendizaje 22 perfiles de uso 10 Alertas de simulación detectada 97 alertas.Índice A C acciones de permiso y bloqueo comunicaciones de red. 102 Ficha Protección de aplicaciones 102 Ficha Registro de actividad 102. 108 solución de problemas de IU de cliente 85 asignación de directivas activación de protección por firewall 70 cambiar 19 IPS en host 9 caracteres comodín reglas de firewall 79 reglas IPS 47 firmas personalizadas 115 Catálogo de directivas Aplicaciones de confianza 87 directivas de firewall personalizadas. 108. IPS en host alertas de intrusos 95 clientes Windows 95 definir opciones para clientes 93 firewall 96 modo aprendizaje y tráfico de red desconocido 69 responder 95. 35 reglas de comportamiento de IPS y 35 Guía del producto McAfee Host Intrusion Prevention 8. 110 comprobar archivos de instalación 109 consideraciones 108 descripción 107 detener y reiniciar 110 implementación de directivas 107 solución de problemas 108. 103 lista de reglas de firewall 99 reglas de excepción para directivas de IPS 97.0 161 .0 para ePolicy Orchestrator 4. 96. historial de instalación 109 cliente Solaris. 73 directivas de propiedad de IPS en host 8 gestión de directivas de IPS en host 18 IU de cliente 82 Redes de confianza 86 Catálogo de IPS en host agregar a 77 contenido 63 dependencias 63 edición 77 explicación 63 exportar a 77 exportar desde 77 filtrar 77 usar 77 Cliente Linux 107. trabajar con 98 Ficha Directiva de firewall 99. crear y editar 100 solución de problemas 93. 100 Ficha Directiva de IPS 97 Ficha Hosts bloqueados 101. 98 reglas de firewall. basada en evento 52 crear una lista en IPS en host 87 crear y editar. en IPS en host 87 creación. directiva de firewall 99 filtrado de firewall con seguimiento de estado 66 actualizar firmas. editar 98 directivas IPS. IPS en host actividad del firewall 94 actividad IPS 94 cliente Linux. historial de instalación 106 solución de problemas 105. 109. 107 implementación de directivas 104 prevención de desbordamiento del búfer 104 solución de problemas 105 Cliente Windows alertas 95 descripción 90 directivas IPS. 94. 97 simulación detectada 97 aplicaciones de confianza configuración. en IPS en host 88 definido 10 directiva Reglas IPS 52 archivos de registro.

0 para ePolicy Orchestrator 4. gestión 78 directiva Reglas IPS caracteres comodín 47 acerca de 8 configuración 40.0 . parámetros para 14 predefinidas y personalizadas 14 seguimiento de actividades 14 contraseñas desbloquear la consola de cliente Windows 92 para directiva IU de cliente 83 usar la herramienta de solución de problemas hipts 105 D desbordamiento del búfer configuración de la directiva Aplicaciones de confianza 87 prevención en el cliente Solaris 104 reglas de comportamiento de IPS y 35 despliegue despliegue del cliente de IPS en host inicial 21 Directivas de IPS en host y 10 perfiles de uso en IPS en host 10 tareas servidor para IPS en host 25 dirección IP configurar redes de confianza 86 Notificaciones y parámetros de IPS en host 28 Dirección IP firewall de seguimiento de estado. en IPS en host 21 Windows (consulte Cliente Windows) 90 conformidad configuración de paneles de IPS en host para ver 19 conjuntos de permisos asignar 26 gestión del despliegue de IPS en host 25 permisos de IPS en host 25 quién configura el sistema 19 consola de cliente Windows desbloquear la interfaz 92 descripción 90 Menú Icono de la bandeja de sistema 90 métodos de apertura 92 personalizar por cliente 93 consultas. configuración 40 uso de 39 Directiva Protección IPS descripción 32 directiva Redes de confianza acerca de 8 configuración 86 definir 86 falsos positivos. configurar 83 opciones 93 solución de problemas 85 directiva efectiva con directivas de instancias múltiples 42 directiva McAfee Default Aplicaciones de confianza 87 Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 directiva Opciones del firewall acerca de 8 configuración 72 uso de 70 Directiva Opciones del firewall TrustedSource 72 descripción 57 directiva Opciones IPS acerca de 8 configuración 38 directivas preconfiguradas 38 modo de adaptación 37 uso de 37 Directiva Opciones IPS descripción 32 directiva Protección IPS acerca de 8 configuración 40 niveles de gravedad. IPS en host gestión de la información 13 informes 10 personalizado.Índice clientes (continuación) análisis de datos en clientes IPS en host 21 consultas para grupos de 14 convenciones de nomenclatura para IPS en host 21 Linux (consulte Cliente Linux) 107 Solaris (consulte Cliente Solaris) 104 trabajar con. reducir 81 prioridad y 86 Directiva Redes de confianza descripción 81 directiva Reglas de firewall caracteres comodín 79 acerca de 8 definir 73 descripción 57 grupos. creación 76 directiva Reglas del firewall configuración 74 reglas de cliente. reducir 81 Directiva Aplicaciones de confianza descripción 81 Directiva de bloqueo de DNS del firewall acerca de 8 definir 73 descripción 57 Directiva de IU de cliente acerca de 8 configuración 82 162 Directiva de IU de cliente (continuación) contraseñas 83 control de icono de bandeja. configurar 83 definir 82 descripción 81 Ficha General. IPv4 contra IPv6 65 grupos con reconocimiento de ubicación 60 grupos de reglas 60 reglas de firewall y 99 supervisión de hosts bloqueados 101 directiva Aplicaciones de confianza acerca de 8 crear y editar 88 definir 87 falsos positivos. 50 definir 40 Guía del producto McAfee Host Intrusion Prevention 8. configuración 39 reacciones.

trabajar con 43 gestión de excepciones 51 registrar eventos 37 reglas de excepción 51 reglas de protección de aplicaciones 36. 100 lista de reglas de firewall. Host IPS introducción a las funciones 57 directivas de instancias múltiples directiva efectiva 42 Preguntas frecuentes 42 utilizar en el despliegue 42 asignar 41. IPS en host ajustar predeterminados 19 anulación. configuración 72 permisos para 25 personalizar opciones 100 rastreo de protocolo con seguimiento de estado 68 Reglas de bloqueo de DNS 77 reglas de cliente 14. Host IPS grupos de reglas. configuración 40 directivas de firewall. 67 lista de reglas 74. 99. 50 reglas de protección de aplicaciones. 88 introducción a las funciones 32 Opciones del firewall 70. configuración 74 reglas. permitir y bloquear 58 tabla de estados 65 firmas ajuste de directivas de IPS en host 10 Guía del producto McAfee Host Intrusion Prevention 8. IPS en host alertas de intrusos. permitir y bloquear 66 acerca de 8 alertas 96 cómo funcionan las reglas de firewall 58 consultas 14 descripción 57 filtrado con seguimiento de estado.Índice directiva Reglas IPS (continuación) descripción 32 eventos. trabajar con 101 filtros cómo funciona el filtrado con seguimiento de estado del firewall 66 consulta de actividades de IPS en host 14 eventos y consultas de IPS en host 10 firewall con seguimiento de estado cómo funciona el filtrado con seguimiento de estado 66 inspección de paquetes. 75 Reglas del firewall. reducir 87 directivas de reglas IPS y excepciones 51 ficha Hosts bloqueados. crear excepciones 10 Reglas de firewall 73. protección básica 7 visualización de directivas 18 y sus categorías 9 E estructura de regla firmas personalizadas 111 Eventos IPS acerca de 37 aplicaciones de confianza. configuración 40 firmas. responder a 95 analizar y ajustar 10 directiva Reglas IPS 40 excepciones 36 firewall. IPS en host introducción a las funciones 81 página de directiva Aplicaciones de confianza 88 permisos para 25 directivas preconfiguradas Aplicaciones de confianza 87 IU de cliente 82 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 directivas. 47. creación 52 gestionar 54 uso de 52 eventos. registros de actividad 102 gestionar 54 infracciones de firma 37 notificaciones 28 registro y ficha eventos de IPS 37 reglas de comportamiento 35 uso de 52 F falsos positivos ajuste de directivas de IPS en host 10 directiva Aplicaciones de confianza. 70 reglas de firewall 10. cómo funciona 66 filtrado de paquetes con seguimiento de estado 65 grupos con reconocimiento de ubicación 76 grupos de reglas 60 grupos de reglas de firewall. trabajar con 52 excepciones. configuración 40 firmas. 73. 74 responder a alertas 97 revisión de características 8 valores predeterminados.0 para ePolicy Orchestrator 4. Host IPS migración 24 asignar 19 crear nuevas 19 directivas. con excepciones de cliente 10 Bloqueo de DNS del firewall 73 Catálogo de directivas 18 cómo se aplican las directivas 9 configuración de las opciones IPS 38 definido 9 dónde encontrar 18 firewall (Consulte firewall. 72 perfiles de uso y ajuste 10 propietario asignado 9 protección preconfigurada 10 reglas de cliente. creación 76 inspección de paquetes con seguimiento de estado 65. ordenación 58 modos de adaptación y aprendizaje 69 opciones de registro 94 Opciones del firewall. 88 Directivas generales. IPS en host inspección de paquetes con seguimiento de estado 65.0 163 . 67 acciones. creación 52 Eventos IPS (continuación) descripción 52 excepciones. reconocimiento de ubicación 60 firewall. IPS en host) 8 gestionar 18 herencia 10 instancias múltiples 41. cómo funciona 67 rastreo de protocolo 68 firewall.

IPS en Host 18 seguimiento de directivas de IPS en host 10 grupos con reconocimiento de ubicación aislamiento de conexión 61 creación 76 grupos de reglas. IPS en host definir opciones para clientes 93 implementación de directivas cliente Linux y 107 cliente Solaris y 104 Clientes de IPS en host y ePO 7 IPS en host 9 interceptación de llamadas de sistema 33 IPS en host actividades y paneles 13 cómo establecer y ajustar la protección 20 cómo funciona 7 conjuntos de permisos 25 directivas y sus categorías 9 ficha Información del intruso 95 funciones y categorías 9 protección básica y avanzada 7 responder a alertas 95 tipos de directivas 8 IPS.Índice firmas (continuación) alertas y firmas NIPS 95 configuración de directiva Reglas IPS 44 creación de un IPS en host personalizado 45 creación mediante el método estándar 45 creación mediante el método experto 45 definido 34 directiva Reglas IPS 40 excepciones 36 HIPS. Desbordamiento de búfer 118 Windows. 20 análisis de eventos de IPS en host y reglas de cliente 17 Cliente Linux y 107 ficha Directivas. UNIX_map 144 Solaris. directiva Aplicaciones de confianza 87 Guía del producto McAfee Host Intrusion Prevention 8. 27 gestionar directivas acceder a directivas de IPS en host 18 ajuste de IPS en host 10. IPS en host grupos de reglas de firewall. IPS en host asignar directivas a 9 cómo se aplican las directivas 9 criterios de configuración 10 eliminación de directivas y herencia para 18 firewall con reconocimiento de ubicación. creación 76 grupos. acerca de 34 host 43 IP de host y excepciones 95 IPS en host predeterminado 43 IPS en host y de red 28 lista de reglas de excepción 97 NIPS. SQL 134 gestión del sistema actualización de protección IPS en host 29 notificaciones para eventos de IPS en host 28 tareas servidor para IPS en host 25. UNIX_apache (HTTP) 141 Solaris. Registro 129 Windows. Windows 123 variables de valor de sección 115 Windows. UNIX_apache (HTTP) 141 Linux. Servicios 131 Windows. Ilegal 124 Windows. UNIX_bo 144 Solaris. UNIX_file (archivos) 138 Linux. Hook 122 Windows.0 . creación 76 notificaciones y 28 y herencia 9 G M gestión de la información análisis de datos de clientes de IPS en host 21 consultas predefinidas y personalizadas para IPS en host 14 paneles y consultas para IPS en host 13 164 I icono de la bandeja del sistema definir opciones de cliente 93 desactivar una función de IPS en host 83 idioma. Isapi 124 Windows. directivas por plataforma 135 Windows. IPS en host permisos para 25 L listas de reglas excepciones para IPS en host 97 reglas de firewall para IPS en host 100 llamadas de activación actualización de clientes IPS en host 31 migración directivas 24 directivas de la versión 7 a la versión 8 24 Mis valores predeterminados. UNIX_GUID 145 Solaris. acerca de 34 niveles de gravedad 43 niveles de gravedad para 39 personalizar 43 red 43 tipos de 43 uso de 43 utilización del asistente para crear 46 firmas de Host Intrusion Prevention 34 firmas de prevención de intrusiones en red 34 firmas personalizadas caracteres comodín 115 descripción general para Linux y Solaris 138 descripción general para Windows 117 directivas válidas en Linux 145 directivas válidas en Solaris 145 directivas válidas en Windows 135 estructura de regla 111 Linux 138 Linux. Archivos 119 Windows. Programa 127 Windows. UNIX_misc 143 Uso ilegal de API. UNIX_misc 143 secciones comunes 112 secciones opcionales 114 Solaris 138 Solaris. UNIX_file (archivos) 138 Solaris.0 para ePolicy Orchestrator 4.

automatización de la actualización 93 cliente Solaris. visión general 56 reglas de comportamiento 35 prioridad directiva Redes de confianza 86 directivas generales.exe. IPS en host y 81 IPS de red y direcciones IP 86 lista de reglas de firewall 58 procesos supervisados. para niveles de gravedad de firma 40 protección IPS. IPS configuración de reacciones para 40 configuración y ajuste de la protección 20 configurar 10.0 para ePolicy Orchestrator 4. ver 102 protección básica directivas de IPS en host predeterminadas 20 IPS en host 7 Protección de IPS activar 37 desactivar 37 protección por firewall activar 70 desactivar 70 protocolos rastreo y firewall con seguimiento de estado 68 puertos conexiones FTP e inspección de paquetes con seguimiento de estado 67 conexiones y alertas de firewall 96 firewall y entradas de tabla de estados 65 tráfico bloqueado y reglas de firewall 69 R reacciones acerca de 35 alertas de firewall. acerca de 34 opciones de registro 94 opciones de registro del firewall 94 personalizar opciones 98 reacciones 35 reglas de cliente 14 reglas de cliente. configuración 39 tipos de 35 trazado hasta la gravedad de IPS 10 recomendaciones de McAfee agrupación de clientes de IPS en host lógica 21 ajuste de directivas predeterminadas de IPS en host 19 Guía del producto McAfee Host Intrusion Prevention 8.Índice Mis valores predeterminados. reiniciar 107 comprobación de que el cliente Solaris se ejecuta 106 comprobar que el cliente Linux se ejecuta 109 detener y reiniciar el cliente Linux 110 Detenión del cliente Solaris 106 P paneles consultas y Host Intrusion Prevention 10 gestión de la información en IPS en host 13 seguimientos de IPS en host predeterminados 13 visualización de conformidad y asuntos de IPS en host 19 paquetes actualizaciones de contenido de IPS en host 29 perfiles de uso agrupación de sistemas de IPS en host 10 ajuste de directivas de IPS en host 10 Preguntas frecuentes modo de adaptación 22 directivas de instancias múltiples 42 prevención de intrusiones (IPS) blindaje y envoltura 33 descripción 32 directiva Protección IPS 39 editar reglas de excepción 98 excepciones 36 firmas. responder a 96 alertas de intrusos. IPS en host acerca de 28 categorías específicas del producto admitidas 28 configuración 19 reglas y eventos 28 O opciones de línea de comandos ClientControl. responder a 95 alertas de simulación detectada. definidas 34 HIPS.0 165 . acerca de 34 interceptación de llamadas de sistema 33 métodos de entrega 33 modo de adaptación y excepciones 36 motores y controladores 33 NIPS. 19 directiva Protección IPS 39 eventos y 52 trabajar con firmas 43 trazado hasta una reacción 10 niveles de seguridad de firmas tipos de 43 notificaciones. responder a 97 configuración. directiva (continuación) Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 modo adaptación Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 modo de adaptación aplicar 22 con IPS contra firewall 22 Preguntas frecuentes 22 reglas que no se han creado automáticamente 22 acerca de 10 ajuste automático 20 colocar clientes de Host IPS en 37 colocar clientes de IPS en host en 22 directiva Opciones IPS 38 excepción y 36 modo de aprendizaje acerca de 10 colocar clientes de IPS en host en 22 Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 reglas de firewall 69 N NIPS (firmas de Network Intrusion Prevention) 101 niveles de gravedad.

108 Cliente Solaris 105 Cliente Windows 93. automatización de la actualización 93 Guía del producto McAfee Host Intrusion Prevention 8.0 . firewall descripción 65 funcionalidad 65 tareas servidor.log 154 HipShield. permitidos o bloqueados 47 uso de 47 S solución de problemas. 56 uso de 51 reglas de firewall crear y editar 75 reglas de protección de aplicaciones acerca de 36 configuración 50 creación 50 descripción 47 directiva Reglas IPS 36.log 154 para funcionalidad de firewall 154 para funcionalidad IPS 154 usar para solucionar problemas 154 registros de actividad. 78 consultas de IPS en host 14 creación de excepciones 36 crear. 56 Firewall 70.exe. IPS en host eliminar entradas 102 opciones de registro del firewall 94 opciones de registro IPS 94 personalizar opciones 103 trabajar con la ficha Registro de actividad 102 visualización 102 Reglas de bloqueo de DNS crear y editar 77 reglas de cliente Firewall 70. IPS en host Ejecutar consulta 27 Exportar consultas 27 Exportar directivas 27 Extracción del repositorio 27 gestión del despliegue 25. IPS en host Cliente Linux 107. 40. 50 166 reglas de protección de aplicaciones (continuación) procesos. 108 IU de cliente 85 opciones 93 registro del firewall. Host IPS aislar los componentes que causan problemas 148 bloquear tráfico distinto de IP 148 comprobar los servicios que se están ejecutando 148 fallo de aplicaciones con Host Intrusion Prevention instalado 148 usar la utilidad ClientControl 156 usar registros 154 solución de problemas. basada en evento 52 Crear excepción 95 definido 10 directiva Reglas IPS 40. 94 desactivación de motores IPS en host 95 herramienta hipts 105. clientes Windows y 97 reglas de cliente y agregación 55. visión general 55.0 para ePolicy Orchestrator 4.Índice recomendaciones de McAfee (continuación) Despliegue de IPS en host en fases 21 ponerse en contacto con el soporte de McAfee para desactivar el motor HIPS 95 sistemas de grupos por criterios de IPS en host 10 utilice la protección de IPS para escalonar el impacto de los eventos 10 registros activar 154 FireSvc. definir opciones 94 sugerencias uso de notificaciones 28 T tabla de estados. 78 IPS 40 reglas de comportamiento blindaje y envoltura 35 definición de actividades de IPS en host legítimas 35 reglas de excepción acerca de 36 ajuste automático 22 configuración de directiva Reglas IPS 51 creación 52 creación. 51 editar directivas IPS 98 eventos y 52 lista. 27 incorporación de actualizaciones 30 Purgar registro de eventos 27 Purgar registro de eventos de amenazas 27 Traductor de propiedades 27 Traductor de propiedades de IPS en host 27 TrustedSource cómo funciona 72 definición 72 Directiva Opciones del firewall de Host IPS 72 Preguntas frecuentes 72 U utilidad ClientControl detener servicios 156 función e instalación 156 sintaxis de línea de comandos 156 usar para solucionar problemas 156 utilidades ClientControl. con modos de adaptación y aprendizaje 10 directiva Reglas IPS.