McAfee Host Intrusion Prevention 8.

0
Guía del producto para su uso con ePolicy Orchestrator 4.0

COPYRIGHT
Copyright © 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de
este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO
ÍNTEGRO.

2

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Contenido
Introducción a Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Protección de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gestión de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Seguimiento y ajuste de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestión de la protección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Gestión de la información. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Paneles de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consultas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Gestión de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dónde encontrar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuración de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Protección predeterminada y ajustes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Migración de directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Gestión del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Conjuntos de permisos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tareas del servidor de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Notificaciones de eventos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Actualizaciones de protección de IPS en host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Configuración de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Resumen de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Métodos para la entrega de protección IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Firmas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Reglas de comportamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Reacciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Reglas de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Activar la protección IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuración de la directiva de opciones IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Configuración de la reacción para firmas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Cómo funcionan las excepciones de IPS. . . . . . 70 Activación de protección por firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Cómo funcionan los grupos de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Contenido Configuración de la directiva Protección IPS. . . . . 79 Configuración de directivas generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Configuración de la directiva Opciones del firewall . . . . . . . . . . . 74 Creación y edición de reglas de firewall . . . 57 Cómo funcionan las reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Cómo funciona el catálogo de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Creación de una aplicación de confianza de un evento. . . . . . . 51 Supervisión de eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Cómo funcionan las firmas de IPS. . . . . . . . . . 72 Definición de la protección de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Inspección y filtrado de paquetes con seguimiento de estado del firewall. . . . . . . . . . . . . 52 Gestión de eventos IPS. . . . . . . . . . . . . . . . . . . 82 4 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . 77 Gestión de Reglas de cliente del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Creación de una excepción para un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Configuración de la directiva Reglas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 . . . . . . . . . . . . . 75 Creación y edición de grupos de reglas de firewall. . . . . 57 Resumen de directivas de firewall. . 78 Preguntas frecuentes: uso de caracteres comodín en reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Cómo funcionan las reglas de protección de aplicaciones de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Uso del catálogo de IPS en host. . . . . . . . 40 Definición de protección de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Gestión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Preguntas frecuentes: McAfee TrustedSource y el firewall. . . . . . . . . . . . . . . . . . . . 73 Configuración de la directiva Reglas del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . 76 Creación de grupos de aislamiento de conexión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Asignación de varias instancias de la directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Introducción a las directivas generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Reglas de firewall para cliente. . . . . 76 Bloqueo del tráfico DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Cómo afectan los modos aprendizaje y adaptación al firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Definición de la funcionalidad de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Configuración de directivas de firewall. . . . . . . . . . . . 55 Supervisión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . 41 Preguntas frecuentes: directivas de instancias múltiples. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Edición de la lista de hosts bloqueados. . . 92 Desbloqueo de la interfaz del cliente Windows. . . . . . . . . . . . . . . . . . 115 Firmas personalizadas de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Acerca de la Ficha Registro de actividad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Acerca de la ficha Directiva de firewall. . . . . . . . . . . . . . . 107 Notas acerca del cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 5 . . . . . . . . . . . . . . . . . . . . . . 82 Definición de opciones generales de IU de cliente. . . . . . . . . . . . . . . . . . . . . 92 Definición de opciones de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Acerca de la ficha Hosts bloqueados. . . . . . . . . . . . . . . . . 88 Asignación de varias instancias de la directiva. . . . . . . . . . . . 83 Definición de opciones de solución de problemas de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Configuración de una directiva de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Definición de redes de confianza. . . . . . . . . . . . . . . . . . . . . . . . 108 Apéndice A -. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Menú Icono de la bandeja de sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Introducción al cliente Solaris . . 102 Acerca de la ficha Lista de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . 112 Secciones comunes opcionales. . . . . . . . . . . . . . . . . . . . . . 117 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Escritura de firmas personalizadas y excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Aplicación de directivas con el cliente Linux. . . . . . . . . . . . 105 Introducción al cliente Linux . . . . . . . . . . . . . . . . . . . . . . . . . 111 Secciones comunes. . . . . . . . . . . 93 Solución de problemas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Estructura de regla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Uso de clientes de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Creación y edición de reglas de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Contenido Configuración de una directiva IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Alertas del cliente Windows. . . 90 Consola de clientes para clientes Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Configuración de una directiva de redes de confianza. . . . . . . . . . . 114 Caracteres comodín y variables. . 86 Definición de aplicaciones de confianza. . . . . . . . . . . . 104 Aplicación de directivas con el cliente Solaris. . . . 83 Configuración de opciones avanzadas y contraseñas de IU de cliente. . . . . . . . . . . . . . . . . 90 Introducción al cliente Windows. . . . . . . . . 104 Solución de problemas del cliente Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Acerca de la ficha Directiva de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Solución de problemas del cliente Linux.

. . . . . . . . . . . . . . . . . . . . . . 127 Registro de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 6 Guía del producto McAfee Host Intrusion Prevention 8. . clase Windows. . . . . . . . . . . . . . . 141 Solaris/Linux clase UNIX_Misc. . . . . . . 129 Servicios de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Uso ilegal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Registros de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Clases y directivas de la plataforma UNIX. . . . . . . . . . 124 Programa de clase Windows. . . . . . . . . . . . 122 Uso de host ilegal IPS API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Isapi (HTTP) de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Contenido Desbordamiento de búfer de clase Windows. . 138 Solaris/Linux clase UNIX_file. . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Problemas generales. . . . . . . . 144 Solaris clase UNIX_GUID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Solaris/Linux class UNIX_apache (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Hook de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Solaris clase UNIX_map. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 SQL de clase Windows. . . . . . . . . . . . . . . . . . . 154 Utilidad Clientcontrol. . 145 Apéndice B: solución de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Clases y directivas de la plataforma Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Firmas personalizadas no Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Solaris clase UNIX_bo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Archivos de clase de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

lo que reduce la urgencia de los parches para nuevas amenazas. Protección básica Host Intrusion Prevention se entrega con un conjunto de configuraciones predeterminadas que proporcionan una protección básica para su entorno. ya está preparado para aplicar la protección. Este enfoque proporciona una solución de gestión única que permite el despliegue masivo en un total de hasta 100. incluidos servidores web y de bases de datos. La función de firewall de Host Intrusion Prevention se adquiere por separado o en combinación con la función IPS de Host Intrusion Prevention. Host Intrusion Prevention está totalmente integrado con ePolicy Orchestrator y utiliza su estructura para proporcionar y aplicar directivas.0 7 . Guía del producto McAfee Host Intrusion Prevention 8. Su tecnología patentada bloquea proactivamente ataques de día cero (zero day) y ataques conocidos. Contenido Protección de IPS en host Directivas de Host IPS Gestión de directivas de IPS en host Seguimiento y ajuste de directivas de IPS en host Protección de IPS en host Una vez que todos los componentes necesarios para Host Intrusion Prevention estén instalados y puedan comunicarse. supervisar los eventos y actualizar las directivas y los contenidos según sea necesario. así como de las aplicaciones que almacenan y proporcionan información. La función IPS dispone de actualizaciones de contenido mensuales. sistema de prevención de intrusiones). Host Intrusion Prevention (en ocasiones abreviado en el producto como Host IPS o HIP) puede proteger información e impedir la puesta en peligro de los recursos del sistema y de la red.000 sistemas en varios idiomas y en la totalidad de la empresa con el objetivo de ofrecer una exhaustiva cobertura real.0 para ePolicy Orchestrator 4. Las opciones incluyen: • Para protección de IPS: • Las firmas de gravedad alta se evitan y las demás firmas se ignoran. Proporciona una solución escalable y de fácil manejo para evitar intrusiones en estaciones de trabajo.Introducción a Host Intrusion Prevention ® McAfee Host Intrusion Prevention es un sistema de detección y prevención de intrusos basado en host que protege los recursos del sistema y las aplicaciones frente a los ataques internos y externos. Logra este objetivo mediante la función de firewall de punto final y la función IPS (Intrusion Prevention System. portátiles y servidores críticos.

excepto para las reglas de autoprotección de IPS.0 se instala por primera vez. La eliminación de las directivas solo puede llevarse a cabo en Catálogo de directivas. • Reglas IPS (todas las plataformas). Las funciones IPS y Firewall contienen una directiva de "reglas" con reglas que definen el comportamiento y una directiva de "opciones" que habilita o deshabilita las reglas. Son las siguientes: IPS. lo que permite que se asignen a un sistema varias directivas de Reglas IPS. la directiva efectiva es el resultado de los contenidos unidos de las directivas.0 para ePolicy Orchestrator 4. Esta directiva es una directiva de múltiples instancias. • Opciones de IPS (todas las plataformas). Una vez creada una directiva. Protección avanzada Para obtener protección avanzada. las firmas. Define excepciones. Directivas de IPS La función IPS incluye tres directivas que protegen los equipos Windows y los que no son Windows. • Para la protección de firewall: • Se permite la conectividad básica de red.Introducción a Host Intrusion Prevention Directivas de Host IPS • Las aplicaciones de McAfee se enumeran como aplicaciones de confianza para todas las reglas. La propiedad de las directivas se asigna en Catálogo de directivas.0 . La aplicación de directivas asegura que las necesidades de seguridad en sistemas gestionados se cumplan. Empiece con un despliegue de muestra para supervisar y ajustar la nueva configuración. Activa o desactiva la protección IPS y la aplicación del modo de adaptación para el ajuste. Si hay configuraciones en conflicto. cambie de configuraciones IPS predeterminadas a configuraciones preestablecidas más estrictas o cree configuraciones personalizadas. firmas y reglas de protección de aplicaciones. Detalla las excepciones. no está activa ninguna protección. Firewall y General. • Protección de IPS (todas las plataformas). cada una con un conjunto de opciones de seguridad. Por lo tanto. Debe activar la protección en la directiva Opciones de IPS u Opciones del firewall y aplicar la directiva al cliente. Los ajustes necesitan equilibrar la protección contra prevención de intrusos y acceder a la información necesaria y a las aplicaciones por tipos de grupo. • Se protegen las aplicaciones y procesos predefinidos. los eventos y las excepciones generadas por los clientes. Directivas de Host IPS Una directiva es un conjunto de parámetros que puede configurar y aplicar en la consola de ePolicy Orchestrator. se aplica la configuración explícita que ofrezca mayor protección. Host Intrusion Prevention proporciona tres funciones de directiva. esta solo puede modificarla o eliminarla su creador. la persona asociada como propietario de la directiva o el administrador global. las reglas de protección de aplicaciones. Define la reacción de protección a los eventos que generan las firmas. NOTA: cuando Host Intrusion Prevention 8. en lugar de una sola direciva. 8 Guía del producto McAfee Host Intrusion Prevention 8.

Introducción a Host Intrusion Prevention
Gestión de directivas de IPS en host

Directivas de firewall
La función Firewall incluye tres directivas que solo protegen los equipos Windows. Filtra el
tráfico de red, lo que permite que el tráfico legítimo pase a través del firewall, y bloquea el
resto.
• Opciones de firewall (solo Windows). Activa o desactiva la protección del firewall y la
aplicación del modo de adaptación o de aprendizaje para el ajuste.
• Reglas de firewall (solo Windows). Define las reglas de firewall.
• Bloqueo DNS del firewall (solo Windows). Define los servidores de nombre de dominio
que han de bloquearse.
Directivas generales
La función General incluye tres directivas que pueden aplicarse a las funciones IPS y Firewall.
• IU de cliente (solo Windows). Define el acceso a la interfaz de usuario de Host Intrusion
Prevention en los sistemas de cliente Windows, así como a las opciones de solución de
problemas. También proporciona protección mediante contraseña a todos los sistemas de
clientes que no son Windows.
• Redes de confianza (solo Windows). Muestra direcciones IP y redes seguras para establecer
comunicación. Se usa con las funciones IPS y Firewall.
• Aplicaciones de confianza (todas las plataformas). Muestra aplicaciones que son de
confianza para realizar operaciones. Se usa con la función IPS. Esta directiva es una directiva
de múltiples instancias, lo que permite que se asignen a un sistema varias directivas de
Aplicaciones de confianza, en lugar de una sola direciva. Por lo tanto, la directiva efectiva
es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto,
se aplica la configuración que ofrezca mayor protección.

Gestión de directivas de IPS en host
La consola de ePolicy Orchestrator le permite configurar las directivas de Host Intrusion
Prevention desde una localización central.
Cómo se hacen efectivas las directivas
Cuando se modifican las directivas de Host Intrusion Prevention en la consola de ePolicy
Orchestrator, los cambios surten efecto en los sistemas gestionados en la siguiente comunicación
entre agente y servidor. El valor predeterminado de este intervalo es de 60 minutos. Para aplicar
las directivas inmediatamente, puede enviar una llamada de activación del agente desde la
consola de ePolicy Orchestrator.
Directivas y sus categorías
La información de directivas de Host Intrusion Prevention se agrupa según función y categoría.
Cada categoría se refiere a un subconjunto específico de valores de directivas.
Una directiva es un grupo de configuraciones definidas con un propósito específico. Puede crear,
modificar o eliminar tantas directivas como sea necesario.
Cada directiva tiene una directiva McAfee Default preconfigurada que no se puede editar o
eliminar. Con excepción de las reglas IPS y las aplicaciones de confianza, todas las directivas
tienen tambien una directiva Mis valores predeterminados que se puede editar y que está
basada en la directiva predeterminada. Algunas categorías de directivas incluyen directivas

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

9

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

preconfiguradas de solo lectura. Si estas directivas cubren sus necesidades, puede aplicar
cualquiera de ellas. Estas directivas de solo lectura, como todas las directivas, pueden duplicarse
y personalizar el duplicado, si fuera necesario.
Las reglas IPS y las aplicaciones de confianza son directivas de instancias múltiples, ya que
puede asignar múltiples instancias de directivas bajo una única directiva. Las instancias de
directivas se combinan automáticamente en una directiva en vigor.
SUGERENCIA: las directivas McAfee Default para Reglas IPS y Aplicaciones de confianza se
actualizan automáticamente como parte del proceso de actualización de contenido. McAfee
recomienda asignar siempre estas directivas a todos los clientes y crear instancias adicionales
de la directiva para personalizar el comportamiento de estas dos directivas.
Cómo se aplican las directivas
Las directivas se aplican a cada grupo o sistema del árbol del sistema, ya sea por herencia o
por asignación. Herencia determina si la configuración de directivas de cualquier sistema procede
de su nodo principal. La herencia está activada de forma predeterminada en todo el árbol de
sistemas. Puede romper la herencia mediante asignación directa de directivas. Host Intrusion
Prevention, si se gestiona desde ePolicy Orchestrator, le permite crear directivas y asignarlas
sin contar con la herencia. Cuando se interrumpe esta herencia asignando una nueva directiva,
todos los grupos y sistemas secundarios heredan la nueva directiva.
Propietarios de las directivas
Cada directiva tiene que tener asignado un propietario. La propiedad asegura que nadie más
que el administrador global, el creador de la directiva o la persona asociada como propietario
de la directiva pueda modificarla. Cualquier administrador puede utilizar una directiva que exista
en el catálogo, pero únicamente el creador, el propietario o el administrador global podrán
modificarla.
SUGERENCIA: en lugar de utilizar una directiva que es propiedad de un administrador diferente,
se aconseja duplicar la directiva y, a continuación, asignar el duplicado. Por otro lado, si asigna
una directiva de la que no es propietario a grupos de árbol del sistema que administra y el
propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva
recibirán estas modificaciones.

Seguimiento y ajuste de directivas de IPS en host
El despliegue y la gestión de los clientes de Host Intrusion Prevention se realizan desde ePolicy
Orchestrator. En el árbol del sistema de ePO, puede agrupar sistemas jerárquicamente por
atributos. Por ejemplo, puede agrupar un primer nivel por localización geográfica y un segundo
nivel por plataforma del sistema operativo o dirección IP. McAfee recomienda agrupar los
sistemas en función de criterios de configuración de Host Intrusion Prevention, incluidos el tipo
de sistema (servidor o equipo de escritorio), el uso de aplicaciones principales (Web, base de
datos o servidor de correo) y ubicaciones estratégicas (DMZ o Intranet). Puede colocar sistemas
que se ajusten a un perfil de uso común en un grupo común del árbol del sistema. De hecho,
puede nombrar un grupo según su perfil de uso (por ejemplo, Servidores web)
Con los equipos agrupados en el árbol del sistema según el tipo, la función o la ubicación
geográfica, es posible dividir fácilmente las funciones administrativas según los mismos criterios.
Con Host Intrusion Prevention puede dividir tareas administrativas de acuerdo con las funciones
del producto, como IPS o firewall.

10

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

El despliegue de Host Intrusion Prevention en miles de equipos se gestiona fácilmente, ya que
la mayoría de los equipos encajan en un pequeño número de perfiles de uso. La gestión de un
gran despliegue se reduce a mantener unas cuantas reglas de directivas. A medida que crece
el despliegue, los sistemas que se acaben de agregar deberán ajustarse a uno o varios perfiles
existentes y colocarse en el grupo correcto del árbol del sistema.
Protección preconfigurada
Host Intrusion Prevention ofrece dos tipos de protección:
• La protección básica está disponible mediante la configuración de directiva McAfee Default.
Esta protección requiere pocos ajustes (o ninguno) y genera pocos eventos. Para muchos
entornos esta protección básica podría ser suficiente.
• La protección avanzada también está disponible en algunas directivas de IPS y firewall
preconfiguradas o mediante la creación de directivas personalizadas. Los servidores, por
ejemplo, necesitan una protección más potente que la que ofrece la protección básica.
En ambos casos, son necesarios algunos ajustes de la configuración de protección para entornos
reales de trabajo.
Modo de adaptación
Para ayudar a ajustar la configuración de la protección, los clientes de Host Intrusion Prevention
pueden crear reglas de cliente para las directivas impuestas por el servidor que bloqueen
actividades inofensivas. La creación automática de reglas de cliente se permite cuando los
clientes están en modo de adaptación. En el modo de adaptación, las reglas del cliente se crean
sin interacción por parte del usuario. Después de crear reglas de cliente, necesita analizarlas
detenidamente y decidir cuál de ellas se debe convertir a directiva impuesta por el servidor.
Con frecuencia, en organizaciones de gran tamaño, evitar las interrupciones en las actividades
de la empresa tiene prioridad sobre los asuntos de seguridad. Por ejemplo, podría ser necesario
instalar periódicamente nuevas aplicaciones en algunos equipos y es posible que no se disponga
del tiempo ni de los recursos necesarios para ajustarlos inmediatamente. Host Intrusion
Prevention permite colocar equipos específicos en modo de adaptación para protección IPS.
Estos equipos pueden realizar un perfil de una aplicación recién instalada y reenviar las reglas
de cliente resultantes al servidor de ePolicy Orchestrator. El administrador puede promover
estas reglas de cliente a un directiva nueva o existente y, a continuación, aplicar la directiva a
otros equipos para gestionar el nuevo software.
En el modo de adaptación, los sistemas no tienen virtualmente ninguna protección, así que el
modo de adaptación debe usarse solo para ajustar un entorno, y es necesario desactivarlo para
aumentar la protección del sistema.
Ajuste
Como parte del despliegue de Host Intrusion Prevention, es necesario identificar un número
pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor manera de conseguirlo
es ajustar un despliegue de prueba y después comenzar a reducir el número de falsos positivos
y eventos generados. Este proceso se denomina ajuste.
Reglas IPS más estrictas señalan un rango más amplio de infracciones y generan muchos más
eventos que en un entorno básico. Si aplica la protección avanzada, McAfee recomienda utilizar
la directiva Protección IPS para escalonar el impacto. Esto implica el trazado de cada uno de
los niveles de gravedad (alta, media, baja o información) con una reacción (prevenir, registrar,
ignorar). Si inicialmente se establecen las reacciones de todos los niveles de gravedad como
Ignorar, excepto las de gravedad alta, se aplican solo estas últimas. Los otros niveles pueden
elevarse de manera gradual a medida que progresa el ajuste.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

11

0 . Los informes se pueden planificar y enviar como mensaje de correo electrónico. Las consultas permiten obtener datos sobre un elemento concreto y filtrar datos de subconjuntos específicos de esos datos. • Las aplicaciones de confianza son procesos de aplicaciones que ignoran todas las reglas IPS y de firewall. • Las reglas de firewall determinan si se permite el tráfico y si se permitirá o bloqueará la recepción o transmisión de paquetes. Esta consultas pueden actualizarse constantemente o ejecutarse con una frecuencia especificada. por ejemplo. • Las reglas de excepción son mecanismos que ignoran una firma de IPS en circunstancias específicas. eventos de alto nivel notificados por clientes concretos durante un período de tiempo determinado.Introducción a Host Intrusion Prevention Seguimiento y ajuste de directivas de IPS en host Puede reducir el número de falsos positivos mediante la creación de reglas de excepción. Paneles y consultas Los paneles permiten el seguimiento del entorno al mostrar distintas consultas a la vez.0 para ePolicy Orchestrator 4. aplicaciones de confianza y reglas de firewall. 12 Guía del producto McAfee Host Intrusion Prevention 8.

Utilice cualquier consulta basada en formularios. Host Intrusion Prevention proporciona dos paneles predeterminados con estos monitores: Tabla 1: Paneles y monitores de Host IPS Panel Monitores IPS en host • Estado del firewall • Estado de IPS en host • Estado del servicio • Recuento de reglas IPS de cliente • Versiones del contenido • Primeros 10 eventos NIPS por IP de origen • Firmas desencadenadas por alto nivel en el escritorio • Firmas desencadenadas por medio nivel en el escritorio • Firmas desencadenadas por bajo nivel en el escritorio • Firmas desencadenadas por alto nivel en el servidor Firmas desencadenadas por IPS en host Guía del producto McAfee Host Intrusion Prevention 8. puede hacer un seguimiento y un informe sobre los asuntos de seguridad que surjan en su entorno.0 13 . Los seguimientos pueden ser cualquier cosa. como un panel que se actualiza con una frecuencia especificada.0 para ePolicy Orchestrator 4. el cambio y actualización de directivas. Utilice los paneles para obtener una visión diaria de la situación de seguridad o para ejecutar consultas sobre información detallada acerca de asuntos concretos.Gestión de la protección La gestión de un despliegue de Host Intrusion Prevention incluye el seguimiento. Puede crear y editar múltiples paneles. para que pueda poner sus consultas más útiles en un panel en vivo. una herramienta esencial para la gestión del entorno. el análisis y la reacción a las actividades. siempre y cuando tenga los permisos. desde una consulta basada en tablas a una pequeña aplicación web. y la realización de tareas del sistema. como el servicio MyAvert Threat. Contenido Gestión de la información Gestión de directivas Gestión del sistema Gestión de la información Tras la instalación de Host Intrusion Prevention. Paneles de IPS en host Los paneles son una recopilación de seguimientos.

para definir filtros precisos en los datos devueltos por el informe. por ejemplo. Reglas de cliente IPS de Host IPS 8. Cuando se haya generado un informe. Ejecutables de reglas de cliente de firewall de Host IPS 8. • Definir un filtro de datos. Opciones de consulta: • Definir un filtro para recopilar solo información seleccionada. • Generar informes gráficos a partir de la información de la base de datos. consulte la documentación de ePolicy Orchestrator. como lo determina el filtro. filtrar los informes según sea necesario. Controle cuánta información del informe será visible para los distintos usuarios.Gestión de la protección Gestión de la información Panel Monitores • Firmas desencadenadas por medio nivel en el servidor • Firmas desencadenadas por bajo nivel en el servidor Para obtener más información acerca de la creación y el uso de paneles.0. entre ellos HTML y Microsoft Excel. Algunos usuarios solo ven informes de sistemas en sitios en los que tengan permisos. Puede exportar informes en una gran variedad de formatos de archivo.0 . Desde la información resumida. Puede crear consultas útiles de eventos y propiedades almacenados en la base de datos de ePO o puede utilizar consultas predefinidas. puede ver la información resumida.0 y Excepciones IPS de Host IPS 8. Consultas de IPS en host Host Intrusion Prevention incluye la funcionalidad de consulta mediante ePolicy Orchestrator. Elegir el grupo o etiqueta que se han de incluir en el informe. exporte esta configuración como una plantilla. Consultas personalizadas Puede crear cuatro consultas concretas de Host IPS con Query Builder: Reglas de cliente de firewall de Host IPS 8. si personaliza la configuración para un informe. profundice uno o dos niveles para obtener información detallada. todo en el mismo informe.0. Puede generar consultas para un grupo de sistemas de cliente seleccionados o limitar los resultados de los informes por producto o por criterios del sistema. imprimir los informes y exportarlos a otro software. que ha definido. utilizando operadores lógicos.0. • Ejecutar consultas de equipos. Tras crear plantillas personalizadas. La información del informe también se controla con la aplicación de filtros. semanal o mensual. Por ejemplo. organícelas en agrupaciones lógicas para que pueda ejecutarlas cuando lo necesite de forma diaria. si existe. para los administradores globales o para los otros usuarios. eventos e instalaciones. 14 Guía del producto McAfee Host Intrusion Prevention 8. Organice y mantenga consultas personalizadas de acuerdo con sus necesidades.0 para ePolicy Orchestrator 4. Consultas predefinidas y personalizadas para analizar la protección La función de generación de informes contiene consultas predeterminadas de Host Intrusion Prevention y permite la creación de consultas personalizadas.

0 15 . Las reglas y grupos del catálogo de IPS tienen el valor de filtro leafNodeId establecido a 0.0 • Reglas IPS de cliente de Host IPS 8. los grupos de firewall del catálogo de IPS y las reglas de cliente de firewall.0 Excepciones IPS de Host IPS 8. para ver las reglas de cliente de firewall.0 • Acción • Dirección NOTA: esta consulta devuelve las reglas de firewall del catálogo de IPS. por lo tanto. establezca el valor de filtro leafNodeld a > 0.0 Huella digital Nombre • Nota • Ruta • ID de regla • Nombre del firmante • Fecha de creación • Descripción • Nombre del ejecutable • Ruta del ejecutable • Huella digital • Nombre completo del ejecutable • Incluir todos los ejecutables • Incluir todas las firmas • Incluir todos los usuarios • Fecha de la última modificación • Versión local • Reacción • ID de firma • Nombre del firmante • Estado • Nombre de usuario • Regla de excepción IPS Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. bloquear y saltar.Gestión de la protección Gestión de la información Los parámetros para estas consultas incluyen: Tabla 2: Consultas de IPS en host y parámetros Consulta Parámetros Reglas de firewall y reglas de cliente de firewall del catálogo de Host IPS 8. • Activado • Última modificación • Usuario de la última modificación • ID de nodo de hoja • Servicios locales • Estado de registro • Protocolo IP • Coincidir con intrusión • Tipo de soporte • Nombre • Nota • Servicios remotos • ID de regla • Planificar fin • Planificar inicio • Cambiar cuando caduque • Protocolo de transporte Ejecutables de regla de cliente de firewall de Host • IPS 8. saltar es la acción para grupos que no tienen la acción permitir/bloquear. Los valores posibles de las acciones son permitir.

Gestión de la protección Gestión de la información Consulta Parámetros • Directiva Reglas IPS Propiedades de IPS en host comunes Las consultas personalizadas de Host IPS y algunas de las otras consultas personalizadas le permiten incluir estas propiedades de IPS en host: • Tipo de agente • Estado del modo de adaptación de IPS • Atacantes bloqueados • Idioma • Versión del cliente • Recuento de regla de excepción local • Versión de contenido • Estado de IPS de red • Estado del modo de adaptación de firewall • Reinicio pendiente • Error en el firewall (Errores) • Versión de complemento • Estado del modo de aprendizaje entrante del firewall • Estado del producto • Estado del modo de aprendizaje saliente del firewall • Versión de hotfix/parche • Recuento de regla del firewall • Estado del firewall • Servicio en ejecución • Versión del producto • Service Pack • Errores de IPS en host • Información del evento de IPS en host (oculto.0 para ePolicy Orchestrator 4. leído) • Estado de IPS en host • Nombre de la firma • Instalar directorio Consultas predefinidas Además de las consultas personalizadas. Reglas para cliente por Muestra las reglas de firewall para cliente enumeradas por protocolo y por intervalo protocolo/intervalo de puertos de puertos. Reglas para cliente por proceso/usuario Muestra las reglas de firewall para cliente enumeradas por proceso y usuario. 16 Guía del producto McAfee Host Intrusion Prevention 8. Reglas para cliente por protocolo/proceso Muestra las reglas de firewall para cliente enumeradas por protocolo y proceso.0 . Versiones del cliente Muestra las primeras tres versiones del cliente con una categoría única para el resto de las versiones. Escoja entre las siguientes consultas predefinidas de Host IPS: Consulta HIP Resumen Reglas para cliente por proceso Muestra las reglas de firewall para cliente enumeradas por proceso. Reglas para cliente por proceso/intervalo de puertos Muestra las reglas de firewall para cliente enumeradas por proceso y por intervalo de puertos. Reglas para cliente por protocolo/nombre de sistema Muestra las reglas de firewall para cliente enumeradas por protocolo y nombre de sistema. Clientes pendientes de reinicio Muestra los sistemas administrados en los que IPS en host está desplegado y el instalador debe reiniciar el sistema. puede usar varias consultas predefinidas tal cual o editarlas para obtener solo la información que necesita.

Guía del producto McAfee Host Intrusion Prevention 8. Informe de excepciones IPS Muestra las directivas de reglas IPS que presentan excepciones IPS. Firmas desencadenadas por alto nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). Estado del servicio Muestra dónde está instalado Host IPS y si se está ejecutando o no en sistemas gestionados. Recuento de reglas de cliente Muestra el número de reglas de firewall para cliente que se han creado con el paso de firewall del tiempo. Firmas desencadenadas por medio nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). pero que no se iniciaron correctamente.0 para ePolicy Orchestrator 4. Firmas desencadenadas por medio nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). 10 firmas más activadas Muestra las 10 primeras firmas IPS activadas. Estado de IPS en host Muestra dónde está activada o desactivada la protección IPS en sistemas gestionados. Errores de firewall Muestra los sistemas administrados en los que la función de firewall está activada mediante directiva. Firmas desencadenadas por bajo nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). pero que no se iniciaron correctamente.Gestión de la protección Gestión de directivas Consulta HIP Resumen Versiones del contenido Muestra las primeras tres versiones del contenido con una categoría única para el resto de las versiones.0 17 . Parte de este proceso necesita un análisis de los eventos y las reglas de los clientes. Errores de IPS en host Muestra los sistemas administrados en los que la función de IPS está activada mediante directiva. Recuento de reglas IPS de cliente Muestra el número de reglas IPS de cliente que se han creado con el paso del tiempo. 10 eventos IPS principales por Muestra los 10 sistemas con mayor número de eventos IPS. Firmas desencadenadas por alto nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). destino 10 NIPS principales por IP de origen Muestra los 10 eventos de intrusión en la red por direcciones IP de origen que más se han dado en los últimos tres meses. Estado del firewall Muestra dónde está activada o desactivada la protección del firewall en sistemas gestionados. Firmas desencadenadas por bajo nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Gestión de directivas La gestión de directivas implica la configuración y aplicación de directivas y el ajuste de la protección para los recursos y las aplicaciones del sistema. Eventos de redes de confianza Muestra los eventos generados por sistemas que forman parte de redes de confianza de IPS en host de IPS en host.

examine todos los sistemas a los que está asignada y asigne una directiva distinta..Gestión de la protección Gestión de directivas Dónde encontrar directivas ePolicy Orchestrator proporciona dos ubicaciones para ver y administrar directivas de Host Intrusion Prevention: la ficha Directivas (ficha Sistemas | Árbol de sistemas | Directivas para un grupo seleccionado en el Árbol de sistemas) y la ficha Catálogo de directivas (Sistemas | Catálogo de directivas). Para un grupo o sistema seleccionado. si no desea que la directiva se herede desde el ascendiente. dé un nombre a la directiva y guárdela (un archivo XML) en la ubicación deseada. Cambiar el nombre de una directiva Haga clic en Cambiar nombre y cambie el nombre de la directiva (no disponible para directivas predeterminadas o preconfiguradas). Antes de eliminar una directiva. Crear una directiva Haga clic en Nueva directiva. NOTA: cuando se elimina una directiva. Guía del producto McAfee Host Intrusion Prevention 8. todos los grupos a los que está actualmente aplicada heredan la directiva de esta categoría desde su ascendiente. cambie el nombre de la directiva y edite su configuración. use la ficha Directivas para: • Ver directivas de una función concreta del producto • Ver detalles de la directiva • Ver la información de herencia • Editar la asignación de directivas • Editar las directivas personalizadas Utilice la ficha Catálogo de directivas para: • Crear directivas • Ver y editar la información de la directiva • Ver dónde está asignada una directiva • Ver la configuración y el propietario de una directiva • Ver las asignaciones en las que se ha desactivado la aplicación de directivas Para. Exportar una directiva Haga clic en Exportar. Editar una directiva Haga clic en Editar (solo disponible para Mis valores predeterminados o directivas personalizadas). Importar directivas Haga clic en Importar. póngale un nombre y edite las opciones. Eliminar una directiva Haga clic en Eliminar (no disponible para directivas predeterminadas o preconfiguradas). Haga lo siguiente.0 para ePolicy Orchestrator 4. dé un nombre a la directiva y guarde el archivo XML correspondiente en la ubicación deseada.. a continuación.0 . a continuación. Exportar todas las directivas Haga clic en Exportar todas las directivas. a continuación. en la parte superior de la página Catálogo de directivas. Si elimina una directiva que está aplicada en el nivel superior.. se aplica la directiva predeterminada de esta categoría. Ver una directiva Haga clic en Ver (solo disponible para McAfee Default o directivas preconfiguradas). Duplicar una directiva Haga clic en Duplicar. seleccione el archivo XML de la directiva y.. haga clic en Aceptar. 18 Asignar un propietario de directiva Haga clic en el propietario de la directiva y seleccione otro propietario de la lista (no disponible para directivas predeterminadas o preconfiguradas).

• Modifique los niveles de gravedad de firmas específicas. • Haga clic en el enlace Duplicar para una directiva. • Configure notificaciones para alertar a usuarios específicos cuando se produzcan eventos concretos.0 19 . reduzca el nivel de gravedad.Gestión de la protección Gestión de directivas Para obtener más detalles sobre alguna de estas funciones. Se muestra la directiva duplicada. Evalúe quiénes son los encargados de configurar partes concretas del sistema y concédales los permisos adecuados. Por ejemplo. copie una existente y dé un nombre a la nueva copia. escriba el nombre de la nueva directiva y haga clic en Aceptar. consulte la documentación de ePolicy Orchestrator. que proporcionan niveles crecientes de la protección preestablecida. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al más amplio conjunto de entornos de cliente y pueden satisfacer sus necesidades. • Cambie las directivas de protección IPS o de las reglas de Firewall predeterminadas. a continuación. Escriba el nombre de la nueva directiva y haga clic en Aceptar. Escriba el nombre de la nueva directiva y haga clic en Aceptar. Edite la directiva y haga clic en Guardar. • Siga uno de estos procedimientos: Guía del producto McAfee Host Intrusion Prevention 8. • Realice una de las acciones siguientes desde el Catálogo de directivas: • Haga clic en el botón Nueva directiva. defina su configuración de seguridad de Host Intrusion Prevention. Tarea Para ver las definiciones de las opciones. haga clic en el botón Duplicar. • Haga clic en el enlace Ver o Editar de una directiva y.0 para ePolicy Orchestrator 4. McAfee recomienda configurar las directivas para proporcionar el máximo nivel de seguridad sin entrar en conflicto con las actividades diarias. Por ejemplo. se recomienda lo siguiente: • Con cuidado. haga clic en ? en la interfaz. Tarea Para ver las definiciones de las opciones. • Configure los paneles para ver un resumen rápido de conformidad y asuntos. Seleccione la directiva de la que quiera realizar una copia. Creación de nuevas directivas Para crear una nueva directiva. Cambio de la asignación de directivas Utilice esta tarea para cambiar la asignación de directivas de Host Intrusion Prevention para un grupo o un único sistema del árbol de sistemas de ePolicy Orchestrator. en la página de directivas. Configuración de directivas Después de instalar el software Host Intrusion Prevention. Para ajustar las directivas para que se adapten a su situación concreta. Puede hacerlo en el Catálogo de directivas o desde una página de directivas. haga clic en ? en la interfaz. cuando una firma se activa por el trabajo cotidiano de los usuarios. se puede enviar una notificación cuando una actividad que activa un evento de gravedad alta se produce en un servidor concreto.

Protección predeterminada Host Intrusion Prevention se entrega con un conjunto de directivas predeterminadas que proporcionan protección básica para su entorno. • Revisión de la lista de reglas de clientes. en la ficha Directivas. haga que estas excepciones formen parte de una directiva nueva o existente. Tanto la protección IPS como por firewall están desactivadas de forma predeterminada y se tienen que activar para permitir que se implementen las directivas de reglas predeterminadas. a continuación. cambie de directivas IPS predeterminadas a directivas preestablecidas más estrictas o cree directivas personalizadas. 20 Guía del producto McAfee Host Intrusion Prevention 8. • Para la protección por firewall. Empiece con un despliegue de muestra para supervisar y ajustar las nuevas configuraciones. Ajuste automático El ajuste automático elimina la necesidad de supervisar constantemente todos los eventos y actividades de todos los usuarios.Gestión de la protección Gestión de directivas • Para un grupo. • Aplique la nueva directiva a un conjunto de equipos y supervise los resultados. a continuación. en la ficha Sistema . • Supervise los efectos de las excepciones nuevas. seleccione un grupo y. • En el modo de adaptación. vaya a Sistemas | Árbol del sistema. no se producen eventos IPS y no se bloquea la actividad. • Repita este proceso con cada tipo de grupo de producción. supervise los eventos para encontrar falsos positivos y cree excepciones o aplicaciones de confianza para evitar que esos eventos se vuelvan a producir. seleccione un grupo que contenga el sistema y. seleccione el sistema y seleccione Más acciones | Modificar directivas en un único sistema. Esto permite una mayor protección a través de las configuraciones personalizadas que se obtienen con el ajuste manual o automático. • Para un sistema. mantener el tráfico de red a un nivel mínimo y permitir la actividad legítima. Protección predeterminada y ajustes Host Intrusion Prevention trabaja con directivas predeterminadas para la protección básica. • Si estas reglas funcionan correctamente al prevenir falsos positivos. Se crean reglas de cliente de forma automática para permitir la actividad legítima. Ajuste manual El ajuste manual necesita un seguimiento directo durante un periodo de tiempo establecido de los eventos y las reglas de clientes que se creen. vaya a Sistemas | Árbol del sistema. supervise el tráfico de red y agregue redes de confianza para permitir el tráfico de red adecuado. • Para obtener protección IPS. Los ajustes implican ajustar la protección de prevención de intrusos y el acceso a la información requerida y a las aplicaciones por tipo de grupo. excepto para vulnerabilidades malintencionadas.0 para ePolicy Orchestrator 4. haga clic en Editar asignación. Para obtener protección avanzada.0 . • Aplique el modo de adaptación para las directivas IPS y Firewall. las aplicaciones de confianza y las redes de confianza.

desactive el modo de adaptación. incluidos NIPS. las intrusiones de Firewall y los eventos de bloqueo de TrustedSource. Si ha colocado clientes en el modo de adaptación. puede agrupar los clientes según su ubicación geográfica. Datos de clientes y lo que le dicen Después de haber instalado y agrupado los clientes. Las directivas nuevas con reglas actualizadas se pueden insertar más tarde desde el servidor. En el despliegue de clientes. Para analizar los datos de eventos. consulte las fichas Reglas de cliente IPS y Reglas de firewall para cliente. su función en la empresa o las características del sistema. Utilice Guía del producto McAfee Host Intrusion Prevention 8. • Agrupe los clientes de forma lógica. • Supervise el grupo de prueba durante unos días para asegurarse de que la configuración de la directiva es adecuada y ofrece la protección deseada. Para analizar las reglas de cliente. comienza a ajustar el despliegue. Una vez que se ha ajustado el despliegue. excepciones y reglas de cliente creadas en el despliegue inicial. Los clientes se pueden agrupar según cualquier criterio que se ajuste a la jerarquía del árbol de sistemas. vea la ficha Eventos de la ficha IPS en host en Informes. agregarlas para encontrar las reglas más habituales y moverlas directamente a una directiva para su aplicación en otros clientes. • Instale los clientes. como el proceso que desencadena el evento. debería ver las reglas de cliente que indican las reglas de bloqueo y excepción de cliente que se crean. Además. Analice el evento y realice la acción adecuada para ajustar el despliegue de Host Intrusion Prevention para proporcionar mejores respuestas a los ataques. McAfee recomienda establecer una convención de nomenclatura para los clientes que resulte fácil de interpretar para las personas que trabajen en el despliegue de Host Intrusion Prevention. en ciertos informes y en datos de eventos generados por las actividades del cliente. Clientes y planificación del despligue El cliente de Host Intrusion Prevention es el componente esencial que proporciona protección. La ficha Eventos muestra todos los eventos de IPS en host. Aunque se pueden desplegar clientes de Host Intrusion Prevention en cada host (servidores. Por ejemplo. Mediante el análisis de estos datos. Debería comenzar a ver los eventos desencadenados por actividad de los clientes. Los clientes se identifican por su nombre en el árbol de sistemas. • Establezca una convención de nomenclatura para los clientes. las reglas de cliente y la configuración de Host Intrusion Prevention. cuándo se ha generando el evento y qué cliente lo ha generado.Gestión de la protección Gestión de directivas • Promocione las reglas de cliente apropiadas para las reglas de directivas administrativas. o bien se puede asignar un nombre de cliente específico durante la instalación. el módulo Informes de ePolicy Orchestrator proporciona informes detallados basados en los eventos. Puede navegar por los detalles de un evento. Puede ver las reglas que se crean. equipos de sobremesa y equipos portátiles) de su empresa. el despliegue habrá finalizado. Los clientes pueden tomar los nombres de los hosts en los que se instalan. McAfee recomienda empezar con la instalación de clientes en un número limitado de sistemas representativos y ajustar su configuración. se pueden desplegar más clientes y aprovechar las directivas.0 21 . • Repita este proceso con cada tipo de grupo de producción.0 para ePolicy Orchestrator 4. Los clientes se pueden instalar con un conjunto predeterminado de directivas de IPS y Firewall. • Al cabo de unas cuantas semanas. se recomienda un método por fases: • Determine el plan de despliegue de clientes inicial.

A continuación. • A medida que se detectan las actividades. Permita que se creen excepciones para esos sistemas a fin de que puedan funcionar con normalidad. A continuación. • La función firewall actúa como filtro entre un equipo y la red o Internet. Si la actividad se considera normal y necesaria para la empresa. puede crear una configuración de ajuste para ellos. Puede establecer la aplicación como de confianza en los sistemas de asistencia técnica para permitir el acceso completo a la misma por parte de los usuarios. El firewall analiza todo el tráfico entrante y saliente a nivel del paquete. como el desbordamiento del búfer. el firewall comprueba su lista de reglas de firewall. Este modo permite a los equipos crear reglas de excepción de cliente en las directivas administrativas. haga que estas excepciones formen parte de una directiva impuesta por el servidor relativa al grupo de ingeniería. Permite que el cliente de Host Intrusion Prevention cree de forma automática reglas para permitir la actividad al mismo tiempo que se preserva una protección mínima de las vulnerabilidades. Por ejemplo. se generan eventos IPS y se crean excepciones. puede permitir el uso de la mensajería instantánea en las organizaciones de asistencia técnica.0 para ePolicy Orchestrator 4. pero no en otras. pero evitar su uso en el departamento de finanzas. Si un paquete cumple con todos los criterios de una regla. desactive el modo de adaptación para obtener una mayor protección de prevención de intrusiones en el sistema. • Ejecute los clientes en modo de adaptación durante una semana como mínimo. Las siguientes preguntas y respuestas deberían ayudarle a utilizar esta función. mientras la directiva sigue evitando esta actividad en otros sistemas. Preguntas frecuentes: modo de adaptación El modo de adaptación es una configuración que puede aplicar a las funciones de IPS y firewall cuando pruebe el despliegue de nuevas directivas. una directiva puede considerar que cierto procesamiento de secuencias de comandos constituye un comportamiento ilegal. el firewall realiza la acción especificada por la regla: permite que el paquete pase por el firewall o lo bloquea. pero ciertos sistemas de los grupos de ingeniería necesitan realizar este tipo de tareas. Al configurar clientes representativos en modo de adaptación. Host Intrusion Prevention permite escoger cualquiera. Por ejemplo. Las excepciones son actividades que se distinguen como comportamiento inofensivo. Este modo primero analiza los eventos en busca de los ataques más dañinos. 22 Guía del producto McAfee Host Intrusion Prevention 8. Esto permite a los clientes disponer de tiempo suficiente para detectar todas las actividades que detectarían normalmente. como copias de seguridad o procesamiento de secuencias de comandos. todas o ninguna de las reglas de cliente y convertirlas en directivas impuestas por el servidor.Gestión de la protección Gestión de directivas estas consultas para comunicar actividades del entorno a otros miembros de su equipo y a la dirección de la empresa. que es un conjunto de criterios con acciones asociadas. Modo de adaptación Un elemento fundamental en el proceso de ajuste incluye colocar clientes Host Intrusion Prevention en el modo de adaptación para IPS y Firewall. A medida que revisa cada paquete que se recibe o se envía. Al finalizar el ajuste. Intente llevar a cabo esta operación en los momentos de actividad planificada. se crean reglas de excepción de cliente.0 . • Es posible que necesite aplicaciones de software para negocios normales en algunas áreas de la empresa. El modo de adaptación lo hace de forma automática sin la interacción del usuario.

Estas firmas se ajustan para detectar y evitar las amenazas más graves contra su sistema.0 para ePolicy Orchestrator 4. • Protocolo ICMP (Internet Control Message Protocol). • El paquete no es TCP. • La acción asociada activa una firma IPS de red. ni protocolo UDP (User Datagram Protocol) ni ICMP. en una directiva Reglas IPS aplicada. • La directiva de reglas de firewall aplicada tiene un grupo con reconocimiento de ubicación con el aislamiento de la conexión activado. • La reacción a la firma es "Ignorar". (Esta configuración es estándar para las firmas IPS de más gravedad. una firma digital y el hash MD5. Con firewall. Con el firewall: • No hay aplicación asociada con el paquete cuando se examina en el registro de actividad del cliente. Las excepciones de cliente IPS se crean según el usuario. como una solicitud de eco. que excluye la operación en cuestión.Gestión de la protección Gestión de directivas ¿Cómo se activa el modo de adaptación? El modo de adaptación se activa al activar esta opción en la directiva Opciones de IPS o la directiva Opciones de firewall y al aplicar esta directiva al cliente de Host Intrusion Prevention. ¿En qué caso no se crea una regla de forma automática con el modo de adaptación? Con IPS: • La firma en la directiva de reglas IPS efectivas no permite la creación de una regla de cliente. • Los paquetes IPsec (Internet Protocol Security) asociados con las soluciones de cliente de las redes privadas virtuales. Guía del producto McAfee Host Intrusion Prevention 8. Algunos de los ejemplos más comunes son: • Solicitudes entrantes para servicios que no están en ejecución. el modo de adaptación crea reglas del lado cliente que permiten que los paquetes de red no estén cubiertos por las reglas de firewall existentes. • Ya existe una excepción. que pueden ser necesarios para compartir archivos de Windows. como el protocolo FTP (file transfer protocol) o Telnet.0 23 . • ICMP entrante o saliente en el sistema operativo Microsoft Windows Vista. • Ya existe una regla en la directiva de reglas de firewall aplicada que permite o bloquea el paquete. • El proceso asociado con la acción es de confianza para IPS en una directiva Aplicaciones de confianza aplicada y la firma no está excluida de las Aplicaciones de confianza. sea cual sea la configuración de la regla de cliente para el servicio de protección automática en una firma 1000. una tarjeta de interfaz de red (NIC) activa que coincide con el grupo y se recibe o se envía el paquete en una NIC que no coincide con el grupo. • Los paquetes TCP (Transmission Control Protocol) hacia el puerto 139 (NetBIOS SSN) o el 445 (MSDS). el proceso y la firma. es poco probable que la actividad empresarial normal requiera una excepción automatizada). ¿En qué se diferencia el funcionamiento del modo de adaptación con IPS o con firewall? Con IPS. Las reglas de firewall para cliente se crean según el proceso y los procesos asociados con las reglas de firewall para clientes se basan en una ruta. • Un usuario intenta detener el servicio IPS en host de McAfee. y solo se basan en la ruta. una descripción de archivo. el modo de adaptación crea reglas del lado cliente que son excepciones a las firmas IPS existentes. por lo tanto.

0 . y la lista Excepciones contiene las excepciones para todas las aplicaciones de confianza predeterminadas establecidas en "De confianza para interceptación de aplicaciones".0 de McAfee Host Intrusion Prevention con los clientes de la versión 8.1] o [7. Host Intrusion Prevention 8.1 ó 7. NOTA: las asignaciones de directivas se transfieren durante la migración.1 ó 7.0 correspondiente del catálogo de directivas con [6.0 al formato de la versión 8.0 sin primero migrar las directivas de la versión 6. Esta migración implica la traducción y migración de directivas. pero 24 Guía del producto McAfee Host Intrusion Prevention 8. Una vez que se haya migrado la directiva.1 ó 7.0.Gestión de la protección Gestión de directivas • Hay más de un usuario registrado en el sistema o no hay ningún usuario registrado en el sistema.0).0 proporciona una manera fácil de migrar directivas con la función Migración de directivas de Host IPS de ePolicy Orchestrator en Automatización.0 para ePolicy Orchestrator 4.0). debe asignar también la directiva Mis reglas IPS predeterminadas en una configuración de múltiples instancias de directivas. NOTA: las aplicaciones que tienen bloqueada la interceptación en las directivas de reglas de bloqueo de aplicaciones no se migran y deben agregarse manualmente a las reglas de protección de aplicaciones en la directiva Reglas IPS tras la migración. • Las directivas de opciones de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8. • Algunas conexiones TCP entrantes como el escritorio remoto o el protocolo HTTP (Hypertext Transfer Protocol) en Secure Sockets Layer (HTTPS) podrían necesitar varios intentos para crear una regla de firewall. su lista Reglas de protección de aplicaciones queda en blanco.0). si migra una directiva de aplicaciones de confianza marcada como "De confianza para la interceptación de aplicaciones" en la versión 8.0. Si se interrumpe la herencia en una ubicación concreta del Árbol de sistemas. la asignación no se sustituye. pero se aplican a todos los usuarios. Una vez migradas estas directivas a directivas de Reglas IPS.0] (estas directivas se han quitado de la versión 8.0. ya que contiene la lista más reciente de protección de aplicaciones a través de actualizaciones de contenido. Aún se pueden crear excepciones con estas reglas de cliente.0] después del nombre de la directiva. • Las directivas de reglas de bloqueo de aplicaciones se migran a directivas de Reglas IPS denominadas de interceptación de aplicaciones y protección contra invocación <nombre> [6. • Las reglas de cliente IPS y las reglas de cliente de firewall no se migran. Todas las directivas se traducen y migran a las directivas correspondientes de la versión 8. • Las directivas de reglas de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8. ¿Hay otras limitaciones? • IPS podría no detectar el usuario asociado con algunas reglas de cliente (se muestra como "dominio desconocido/usuario desconocido" en la regla de cliente en ePolicy Orchestrator). Migración de directivas de Host IPS No se pueden usar las directivas de la versión 6. Asimismo.0). Para usar esta directiva migrada. esta aparece en la función y categoría del producto Host IPS 8. debe crear una excepción para esa aplicación en una firma 6010 (Protección genérica de interceptación de aplicaciones) en una directiva Reglas de IPS en host para conservar la protección de interceptación de aplicaciones. excepto para lo siguiente: • Las directivas de opciones de bloqueo de aplicaciones no se migran (estas directivas se han quitado de la versión 8.

1 o 7.0 de IPS.0. la manera más fácil de migrar todas las directivas existentes es migrarlas directamente. NOTA: al ejecutar la migración de directivas una segunda vez. 1 Haga clic en Automatización | Migración de directivas de Host IPS. Todos los permisos para todos los productos y funciones se asignan automáticamente Guía del producto McAfee Host Intrusion Prevention 8. Revise siempre la asignación de directivas después de migrar las directivas. haga clic en Cerrar. Migración de directivas de forma directa Tras instalar la extensión Host Intrusion Prevention 8.1] o [7. convertir los contenidos del archivo xml a las directivas Host Intrusion Prevention de las versiones 8. 1 Haga clic en Automatización | Migración de directivas de Host IPS.0 en un archivo xml.1/7. importar los archivos xml migrados al catálogo de directivas de ePO. haga clic en Migrar. El archivo xml se ha convertido al formato de las directivas de la versión 8. haga clic en Migrar.1/7.0 exportados previamente y. si quiere migrar de forma selectiva las directivas de la versión 6. 2 En Acción para directivas de Host IPS 6. Conjuntos de permisos de IPS en host Un conjunto de permisos es un grupo de permisos concedidos a una cuenta de usuario para productos específicos o funciones de un producto.0 en lugar de todas las directivas a la vez. 5 Importe el archivo xml en el catálogo de directivas de ePO. 3 Cuando se haya completado la migración de directivas. notificaciones y actualizaciones del contenido.0 únicas a formato xml. Si quiere migrar directivas de forma selectiva. El proceso implica que primero se tienen que exportar directivas Host Intrusion Prevention 6. Este proceso no es selectivo porque se migran todas las directivas 6.1 ó 7. o.1 ó 7. Migración de directivas mediante un archivo xml Si la extensión Host Intrusion Prevention 6.xml y guárdelo para importarlo.1/7.0 existentes.Gestión de la protección Gestión del sistema la herencia podría interrumpirse en otros puntos del Árbol de sistemas. cuando las asignaciones migradas están fusionadas. Gestión del sistema Como parte de la gestión del despliegue de Host Intrusion Prevention.0 del catálogo de directivas ePO. 2 En Acción para directivas de Host IPS 6.0 25 .1/7. hágalo migrándolas mediante un archivo xml. 4 Haga clic con el botón derecho en el enlace del archivo convertido MigratedPolicies. después. Firewall y la función general de directivas se convierten a la versión 8. 3 Seleccione los archivos xml de la versión de Host IPS 6.0 y.0 y aparecen con [6. tiene que realizar tareas del sistema ocasionales.0 no está instalada y previamente ha exportado directivas únicas seleccionadas a un archivo xml.0 para ePolicy Orchestrator 4.0] detrás del nombre. mígrelas mediante el proceso de archivos xml. a continuación. tareas de servidor.0. Todas las versiones 6.1 ó 7. haga clic en Aceptar. Entre estas se incluye la definición de permisos de usuario. Se puede asignar uno o varios conjuntos de permisos. se sustituyen todas las directivas del mismo nombre que se hayan migrado previamente.

. Por ejemplo. un usuario necesita los permisos de vista para acceder al registro de eventos. Registro de eventos Tareas del servidor de IPS en host Tareas servidor Paquetes de IPS en host en el repositorio Software Notificaciones de IPS en host Notificaciones Para obtener más información acerca de los conjuntos de permisos. Los administradores globales pueden asignar conjuntos de permisos existentes al crear o modificar una cuenta de usuario y al crear o modificar conjuntos de permisos.. Para esta función de IPS en host. Las configuraciones de permisos solo otorgan permisos. El administrador global también necesita dar permisos de ePolicy Orchestrator para encargarse de otras áreas que funcionan con Host Intrusion Prevention. Antes de empezar Determine las funciones de Host Intrusion Prevention a las que quiere dar acceso y los conjuntos de permisos adicionales que se tienen que asignar para acceder a todos los aspectos de la función de Host Intrusion Prevention. Asignación de conjuntos de permisos Esta tarea permite asignar permisos a las funciones de Host Intrusion Prevention del servidor ePO. como consultas y paneles. el usuario debe tener permiso para la función Firewall en el conjunto de permisos de Host 26 Guía del producto McAfee Host Intrusion Prevention 8. Con Host Intrusion Prevention. acceso al Árbol de sistemas. Esto es aplicable tanto a las páginas de directivas de Host Intrusion Prevention como a las páginas de reglas para clientes y eventos de Host Intrusion Prevention. consultas Consultas de IPS en host Consultas Reglas de cliente y eventos de cliente de IPS en host Sistemas.Gestión de la protección Gestión del sistema a administradores globales. y los permisos de vista y de cambio para la función de Firewall de Host Intrusion Prevention. en Informes. General Ninguno. Los administradores globales deben otorgar los permisos de IPS en host a los conjuntos de permisos existentes o crear conjuntos de permisos y añadirlos allí. para ver las reglas de firewall para clientes. los permisos de vista para sistemas. solo ver configuración o ver y cambiar configuración. Están disponibles estos permisos. los permisos de vista para acceder al árbol de sistemas.0 para ePolicy Orchestrator 4. nunca quitan un permiso..0 . en Informes.. La extensión de Host Intrusion Prevention agrega una sección de Host Intrusion Prevention a los conjuntos de permisos sin aplicar ningún permiso. Por ejemplo. Tabla 3: Permisos necesarios para trabajar con varias funciones Para estas funciones de IPS en host Se necesitan los siguientes conjuntos de permisos Paneles de IPS en host Paneles. Firewall Ninguno. se otorgan permisos para acceder a cada función del producto y si el usuario tiene permiso de lectura o de lectura/escritura. consulte la documentación de ePolicy Orchestrator. solo ver configuración o ver y cambiar configuración. para analizar y gestionar las reglas de firewall para clientes encontradas en las páginas de IPS en host. solo ver configuración o ver y cambiar configuración. IPS Ninguno.

a los sistemas y al árbol de sistemas Reglas de firewall para cliente de IPS en host Host Intrusion Prevention: firewall. 2 Junto a Host Intrusion Prevention. a los sistemas y al árbol de sistemas Paneles de IPS en host Panel. acceso al registro de eventos. Puede crear tareas servidor personalizadas de Host Intrusion Prevention si hace clic en Nueva tarea y selecciona una o más propiedades de IPS en host en la ficha Acciones del Generador de tareas servidor. acceso al registro de eventos. Para obtener más información sobre el uso y la creación de tareas servidor. Pero puede ejecutarla manualmente si necesita ver de forma inmediata los comentarios de las acciones de los clientes. Tarea Para ver las definiciones de las opciones.0 27 . 1 Vaya a Configuración | Conjuntos de permisos.0 para ePolicy Orchestrator 4. 3 Seleccione el permiso deseado por cada función: • Ninguno • Ver solo la configuración • Ver y cambiar configuración 4 Haga clic en Guardar. Tabla 4: Tareas servidor preconfiguradas y personalizadas Tarea servidor Descripción Traductor de propiedades de IPS en host (preconfigurado) Esta tarea servidor traduce reglas de cliente de Host Intrusion Prevention almacenadas en las bases de datos de ePolicy Orchestrator para gestionar la clasificación. de los sistemas y del acceso al árbol de sistemas. así como para el conjunto de permisos del registro de eventos. haga clic en Nueva tarea y siga los pasos del asistente del Generador de tareas servidor. a los sistemas y al árbol de sistemas Reglas IPS de cliente de IPS en host Host Intrusion Prevention: IPS. haga clic en Editar. consultas Consultas de IPS en host Consultas Tareas del servidor de IPS en host Host Intrusion Prevention proporciona varias tareas servidor preconfiguradas o configurables que puede definir para que se ejecuten en una planificación específica o de forma inmediata como parte del mantenimiento de la protección de Host Intrusion Prevention. haga clic en ? en la interfaz. acceso al registro de eventos. Para crear una tarea servidor personalizada. vaya a Automatización | Tareas servidor y haga clic en el comando adecuado en Acciones. Para trabajar con una tarea servidor existente. consulte la documentación de ePolicy Orchestrator. la agrupación y el filtrado de datos de Host Intrusion Prevention. 5 Asigne otros conjuntos de permisos según sea necesario: Para esta función de IPS en host Asignar este conjunto de permisos Eventos de IPS en host Host Intrusion Prevention: IPS.Gestión de la protección Gestión del sistema Intrusion Prevention. Esta tarea se ejecuta automáticamente cada 15 minutos y no requiere interacción del usuario. Guía del producto McAfee Host Intrusion Prevention 8.

Las reglas de notificación están asociadas al grupo o sitio que contiene los sistemas afectados y se aplican a los eventos. cuando se producen eventos se envían al servidor de ePolicy Orchestrator. • Verifique que la dirección de correo electrónico del destinatario es en la que desea recibir los mensajes de correo electrónico. Si se cumplen las condiciones de una regla. 3 Defina los umbrales para la regla. Puede configurar reglas para enviar correos electrónicos o capturas SNMP. Puede configurar reglas independientes en los distintos niveles del árbol del sistema. o se ejecuta un comando externo. o ejecutar comandos externos cuando el servidor ePolicy Orchestrator reciba y procese eventos específicos. Ejecutar consulta (personalizada) Esta tarea servidor le permite crear una tarea personalizada para ejecutar consultas preconfiguradas de Host Intrusion Prevention en una planificación y un tiempo específicos. Puede especificar las categorías de eventos que generan un mensaje de notificación y la frecuencia con la que se envían. Sugerencias sobre el uso de notificaciones En el entorno de Host Intrusion Prevention.0 para ePolicy Orchestrator 4. También puede configurar cuándo enviar mensajes de notificación mediante la definición de umbrales basados en agregación y regulación. Purgar registro de eventos (personalizada) Esta tarea servidor le permite crear una tarea personalizada para purgar el registro de eventos basado en una consulta de Host Intrusion Prevention. según especifique la regla.0 . Seleccione el Contenido de IPS en host como tipo de paquete para obtener actualizaciones de contenido automáticas. consulte la documentación de ePolicy Orchestrator 4.Gestión de la protección Gestión del sistema Tarea servidor Descripción Extracción del repositorio (personalizada) Esta tarea servidor le permite crear tareas personalizadas para obtener paquetes del sitio de origen y colocarlos en el repositorio principal. Guía del producto McAfee Host Intrusion Prevention 8. Seleccione una consulta de Eventos de IPS en host para purgarla del registro. Reglas de notificación ePolicy Orchestrator proporciona reglas predeterminadas que puede activar para su uso inmediato. se envía un mensaje de notificación. 2 Defina los filtros para la regla. Todas las reglas se crean de la misma manera: 28 1 Describa la regla.0. Notificaciones de eventos de IPS en host Las notificaciones pueden advertirle de cualquier evento que se produzca en los sistemas de clientes de Host Intrusion Prevention. 4 Cree el mensaje que se va a enviar y el tipo de entrega. Antes de activar las reglas predeterminadas: • Especifique el servidor de correo electrónico desde el que se envían los mensajes de notificación. Para obtener detalles completos.

esta nueva información de contenido se pasa a los clientes en la siguiente comunicación entre el servidor y el agente. el envío de la información actualizada a los clientes. el contenido más reciente disponible aparece en la consola de ePO. El proceso básico incluye la incorporación del paquete de actualización al repositorio principal de ePO y. a continuación. Los clientes Guía del producto McAfee Host Intrusion Prevention 8.0 29 . la versión del paquete se compara con la versión de la información de contenido más reciente de la base de datos. las actualizaciones de contenido contienen mayoritariamente información nueva o modificaciones mínimas de la información existente.0 para ePolicy Orchestrator 4. Como estas actualizaciones se producen en la directiva McAfee Default. estas directivas tienen que estar asignadas tanto por Reglas IPS como por Aplicaciones de confianza para poder aprovechar la protección actualizada. se crea una regla para identificar solo una firma IPS. Si el paquete es más nuevo. los comandos de este paquete se extraen y se ejecutan. Al asociar internamente el atributo ID de la firma de un evento con el nombre de la amenaza. A continuación.Gestión de la protección Gestión del sistema Categorías de notificaciones Host Intrusion Prevention admite las siguientes categorías de notificaciones de productos específicos: • Intrusión en host detectada y gestionada • Intrusión de red detectada y gestionada • Desconocido Parámetros de las notificaciones Las notificaciones solo se pueden configurar para todas o para ninguna de las firmas de IPS en host (o de red). Las asignaciones específicas de los parámetros de Host Intrusion Prevention permitidos en el asunto/cuerpo de un mensaje incluyen: Parámetros Valores de los eventos IPS en host y de red Nombres de amenazas reales o reglas ID de firma Sistemas de origen Dirección IP remota Objetos afectados Nombre del proceso Hora de envío de la notificación Hora del incidente ID del evento Asignación ePO del ID del evento Información adicional Nombre de la firma localizado (del equipo del cliente) Actualizaciones de protección de IPS en host Host Intrusion Prevention admite varias versiones de contenido y código de los clientes. Las versiones posteriores admiten siempre el contenido nuevo. Al incorporarlo. Este paquete contiene información sobre la versión del contenido y comandos de actualización. Host Intrusion Prevention admite la especificación de un único ID de firma de IPS como nombre de la amenaza o de la regla en la configuración de reglas de notificación. Las actualizaciones incluyen datos asociados con la directiva Reglas IPS (firmas IPS y reglas de protección de aplicaciones) y la directiva Aplicaciones de confianza (aplicaciones de confianza). por lo tanto. Un paquete de actualización de contenido gestiona las actualizaciones.

2 Dé un nombre a la tarea. Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. a continuación.0 . 4 Seleccione la rama en la que desea instalar el paquete y haga clic en Guardar. Anterior. haga clic en Extracción de horario. a continuación. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention.Gestión de la protección Gestión del sistema obtienen las actualizaciones únicamente mediante comunicaciones con el servidor ePO y no directamente a través de los protocolos FTP o HTTP. Guía del producto McAfee Host Intrusion Prevention 8. el origen del paquete (McAfeeHttp o McAfeeFtp). la modificación no se sustituye por una actualización porque la configuración modificada de estas directivas tiene prioridad sobre la configuración predeterminada. Incorporación manual de paquetes Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. y haga clic en Siguiente . haga clic en Siguiente. 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. 2 Vaya a Software | Repositorio principal y. a continuación. Incorporación de paquetes de actualizaciones Puede crear una tarea de extracción de ePO que incorpore automáticamente los paquetes de actualización de contenido al repositorio principal.0 para ePolicy Orchestrator 4. 3 Seleccione Extracción del repositorio como tipo de tarea. haga clic en Incorporar paquete. Actualizaciones de contenido de HIP y. a continuación. Puede descargar un paquete de actualización e incorporarlo manualmente si no quiere utilizar una tarea de extracción automática. haga clic en Siguiente. 5 Compruebe la información y. SUGERENCIA: asigne siempre la directiva Reglas IPS de McAfee Default y la directiva Aplicaciones de confianza de McAfee Default para beneficiarse de cualquier actualización de contenido. Tarea 1 Vaya a Software | Repositorio principal y. Evaluación) y un paquete seleccionado (Contenido de Host Intrusion Prevention) y. por ejemplo. El paquete aparecerá en la ficha Repositorio principal. a continuación. Tarea 30 1 Descargue el archivo de McAfeeHttp o McAfeeFtp. haga clic en Guardar. Si modifica estas directivas predeterminadas. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention. 3 Seleccione el tipo de paquete y la ubicación. Aparecerá la página Opciones de paquete. la rama que recibe el paquete (Actual.

Tarea • Haga clic con el botón derecho en el icono de McAfee Agent de la bandeja del sistema y seleccione Actualizar ahora. haga clic en Siguiente. Guía del producto McAfee Host Intrusion Prevention 8.0 31 . Aparecerá el cuadro de diálogo Progreso de actualización automática de McAfee. haga clic en Siguiente. 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. 2 Dé un nombre a la tarea. y se extraerán y aplicarán las actualizaciones de contenido al cliente. seleccione Actualizar (McAfee Agent) como el tipo de tarea y. 5 Revise los detalles y. seleccione el grupo al que desea enviar las actualizaciones del contenido y haga clic en Nueva tarea. seleccione Contenido de Host Intrusion Prevention y. puede enviar las actualizaciones al cliente mediante la programación de una tarea de actualización o el envío de una llamada de activación de agente para que se actualice inmediatamente. a continuación.Gestión de la protección Gestión del sistema Actualización de clientes con contenido Una vez incorporado el paquete de actualización al repositorio principal. Actualización de contenido desde el cliente Un cliente también puede pedir actualizaciones a demanda si el icono de McAfee Agent aparece en la barra de estado del sistema del equipo del cliente. Tarea 1 Vaya a Sistemas | Árbol de sistemas | Tareas del cliente. a continuación. haga clic en Guardar. a continuación.0 para ePolicy Orchestrator 4. 3 Seleccione Paquetes seleccionados.

que anulan las firmas que bloquean la actividad legítima. registrar) cuando no se producen firmas de una gravedad específica (alta. firmas y reglas de protección de aplicaciones. Reglas IPS: define una protección IPS mediante la aplicación y análisis de firmas y de comportamiento para proteger contra ataques zero-day y conocidos.0 para ePolicy Orchestrator 4. Contenido Resumen de directivas IPS Activar la protección IPS Configuración de la reacción para firmas IPS Definición de protección de IPS Supervisión de eventos IPS Supervisión de reglas de cliente IPS Resumen de directivas IPS La función IPS (Intrusion Prevention System) controla todas las comunicaciones del sistema (nivel kernel) y API (nivel de usuario) y bloquea las que podrían resultar en actividades dañinas. así como ataques zero-day o ataques anteriormente desconocidos. media.Configuración de directivas IPS Las directivas IPS activan y desactivan la protección de Host Intrusion Prevention. que describen qué procesos proteger. que anulan las firmas que bloquean la actividad legítima. baja). Las excepciones. y al aplicar opciones específicas para los sistemas Windows. Este método híbrido detecta la mayoría de ataques conocidos. Cuando se realiza una llamada. y las reglas de protección de aplicaciones. Host Intrusion Prevention determina qué proceso está utilizando una llamada. establecen el nivel de reacción frente a eventos y proporcionan protección a través de la aplicación de excepciones. Directivas disponibles Existen tres directivas IPS: Opciones de IPS: permite la protección IPS al activar y desactivar la protección IPS del host y de la red. el contexto de seguridad en el que se ejecuta el proceso y los recursos a los que se accede. bloquear o registrar una acción. La protección también procede de excepciones. Protección IPS: indica al sistema cómo tiene que reaccionar (bloquear. Un controlador de kernel que recibe entradas redireccionadas en la tabla de llamadas del sistema de modo de usuario supervisa la cadena de llamadas del sistema. y las reglas de protección de aplicaciones. el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas según comportamiento para determinar si permitir. 32 Guía del producto McAfee Host Intrusion Prevention 8. ignorar. La protección IPS se mantiene actualizada con actualizaciones de contenido mensuales que contienen firmas nuevas y revisadas y reglas de protección de aplicaciones.0 .

que permiten la comunicación entre los modos de usuario y de kernel. Ofrece protección mediante el análisis del flujo HTTP que llega a una aplicación y que coincide con las solicitud HTTP entrantes. Cuando se realiza una llamada. Esto garantiza que el motor de Host Intrusion Prevention verá las solicitudes en texto sin formato y bloqueará las solicitudes malintencionadas antes de que se procesen. La estrategia del blindaje funciona para evitar accesos. Debido a que el procesador evita el acceso directo a las funciones a nivel de kernel. que comprueba la solicitud con su conjunto de reglas de firma y de comportamiento para determinar si bloquear o permitir la solicitud. el robo de datos y el pirateo de servidores. datos. Las actualizaciones de contenido proporcionan firmas nuevas y actualizadas y reglas de protección de aplicaciones para mantener la protección en curso. a archivos de aplicación. El motor de protección HTTP se instala entre la descripción SSL del servidor web y el elemento descodificador que convierte las solicitudes en texto sin formato. Un controlador de kernel de Host Intrusion Prevention que recibe entradas redireccionadas en la tabla de llamadas del sistema de nivel de usuario supervisa la cadena de llamadas del sistema. se dirige al controlador Host Intrusion Prevention. Las llamadas de sistema exponen todas las funcionalidades de kernel que los programas de nivel de usuario requieren. esta categoría de directivas puede contener varias instancias de directiva.0 para ePolicy Orchestrator 4. complementan las firmas. y se implementan dentro del sistema operativo. Host Intrusion Prevention se introduce en la cadena de llamadas de sistema al instalar un controlador a nivel de kernel y al redirigir las entradas en la tabla de llamadas del sistema. datos. configuraciones de registro y servicios. los programas de nivel de usuario usan llamadas de sistema. y el motor del servidor web. bloquear o registrar una acción. la desfiguración de páginas web. Guía del producto McAfee Host Intrusion Prevention 8. a las conexiones de red y a la memoria compartida. Al igual que la directiva Aplicaciones de confianza. el contexto de seguridad en el que se ejecuta el proceso y el recurso al que se accede.0 33 . Los programas de nivel de usuario usan la funcionalidad proporcionada por el kernel para acceder a las unidades de disco. La estrategia de la envoltura funciona para evitar que las aplicaciones obtengan acceso a archivos. Motor HTTP para servidores web Host Intrusion Prevention le ofrece protección contra ataques dirigidos a aplicaciones y sistemas web con el motor de protección HTTP. usando una tabla de llamadas de sistema. Cuando una aplicación solicitud un archivo. Interceptación de llamadas de sistema Host Intrusion Prevention supervisa todas las llamadas de sistema y de API y bloquea la actividad malintencionada. Determina qué proceso usa una llamada. configuraciones de registro y servicios fuera de su campo de aplicación. el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas de comportamiento para determinar si permitir. Las firmas HTTP evitan los ataques transversales de directorio y Unicode. la interceptación de llamadas de sistema y la instalación de motores y controladores específicos son los métodos usados para entregar protección IPS. Métodos para la entrega de protección IPS El blindaje y la envoltura.Configuración de directivas IPS Resumen de directivas IPS que indican qué procesos proteger. desde vulnerabilidades de seguridad exteriores a su envoltura de funcionamiento. Blindaje y envoltura Host Intrusion Prevention usa las firmas de blindaje y envoltura para proteger contra ataques.

implementan envoltura de base de datos para asegurarse de que la base de datos funcione dentro de un perfil de comportamiento. 34 Guía del producto McAfee Host Intrusion Prevention 8. A menudo. • Protegen los equipos portátiles cuando se encuentran fuera de la red protegida. Al detectar un ataque. si está bien formada y si hay signos claros de inyección SQL. se impide el desbordamiento del búfer al bloquear los programas malintencionados insertados en el espacio de direcciones que aprovecha un ataque. localización del origen de la consulta. • Proporcionan una última línea de defensa contra los ataques que han eludido otras herramientas de seguridad. Firmas Las firmas son una recopilación de reglas de prevención de intrusiones que se pueden hacer corresponder con una secuencia de tráfico. Firmas del IPS en host La protección de Host Intrusion Prevention se encuentra en sistemas individuales. • Evitan los ataques internos o el uso indebido de dispositivos ubicados en el mismo segmento de la red.Configuración de directivas IPS Resumen de directivas IPS Motor SQL para servidores SQL Host Intrusion Prevention protege contra ataques a servidores de base de datos con su motor de inspección SQL. estaciones de trabajo o portátiles. Las firmas se diseñan para aplicaciones y sistemas operativos específicos. estos ataques se centran en aumentar los privilegios del usuario a “raíz” o “administrador” para dañar otros sistemas de la red. Por ejemplo. El cliente de Host Intrusion Prevention inspecciona el tráfico que entra y sale de un sistema. los servicios y los recursos de la base de datos. Las firmas de base de datos SQL ofrecen la protección principal ofrecida por las firmas normales y agregan reglas específicas de interceptación y protección de bases de datos. validez de la consulta y otros parámetros. Por ejemplo. La mayoría de las firmas protegen todo el sistema operativo. como servidores. El motor SQL de IPS en host intercepta las consultas entrantes de la base de datos antes de que las procese el motor de la base de datos. Las reglas de protección SQL se diferencian por usuario. que se instala entre las bibliotecas de red de la base de datos y el motor de la base de datos. una firma podría buscar una cadena específica en una solicitud HTTP. Las firmas de base de datos SQL implementan blindaje de bases de datos para proteger los archivos de datos. mientras que algunas protegen aplicaciones específicas. Se examina cada consulta para ver si coincide con alguna firma conocida de ataque. y examina el comportamiento de las aplicaciones y el sistema operativo para buscar ataques. Además. por ejemplo. La instalación de programas de puerta trasera (back door) con aplicaciones como Internet Explorer se bloquea al interceptar y denegar el comando “write file” (escribir archivo) de la aplicación. Estas reglas proporcionan protección contra los ataques conocidos. evitan que un programa escriba en un archivo.0 . • Protegen de los ataques locales introducidos por CD o dispositivos USB. servidores Web como Apache e IIS. el cliente lo puede bloquear en la conexión del segmento de red o puede emitir comandos para detener el comportamiento iniciado por el ataque. Examina todas las solicitudes SQL y bloquea las que pudieran iniciar un evento.0 para ePolicy Orchestrator 4. Si una cadena coincide con un ataque conocido. Estas firmas: • Protegen frente a un ataque y los resultados de un ataque. por ejemplo. se lleva a cabo una acción.

llamada blindaje y envoltura de aplicación. Este tipo de protección. las reglas de comportamiento previenen los ataques de desbordamiento de búfer y evitan ejecuciones de código derivadas de un ataque de desbordamiento de búfer. Firmas IPS de red La protección IPS de red también se encuentra ubicada en sistemas individuales.0 para ePolicy Orchestrator 4. La actividad que no coincide con estas reglas se considera sospechosa y activa una respuesta. el estado de registro y la configuración de creación de reglas de cliente de estas firmas. Además. Se examinan todos los flujos entre el sistema protegido y el resto de la red para un ataque. • Registrar: el evento se registra pero no se impide la operación. Host Intrusion Prevention contiene una lista predeterminada de un número pequeño de firmas de IPS de red para plataformas Windows. pero en este momento no puede agregar firmas personalizadas a la lista. y evita que las aplicaciones se usen para atacar otras aplicaciones. Reacciones Una reacción es lo que hace el cliente Host Intrusion Prevention cuando se activa una firma con una gravedad específica. evita poner en peligro aplicaciones y datos. Cuando se identifica un ataque. • Protegen los servidores y los sistemas que se conectan a ellos. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima. uno de los métodos más comunes para atacar servidores y equipos de sobremesa. Reglas de comportamiento Las reglas basadas en el comportamiento bloquean los ataques de tipo zero-day y garantizan el comportamiento apropiado de sistemas operativos y aplicaciones. Puede editar el nivel de gravedad.0 35 . • Evitar: el evento se registra y se impide la operación. o agregar firmas personalizadas a la lista. Puede editar el nivel de gravedad. Host Intrusion Prevention contiene una larga lista predeterminada de firmas de IPS en host para todas las plataformas. • Protegen sistemas en arquitecturas de red obsoletas o no habituales como Token Ring o FDDI. el estado de registro y la configuración de creación de reglas de cliente de estas firmas. • Ofrecen protección frente a ataques de denegación de servicio de red y ataques orientados al ancho de banda que deniegan o degradan el tráfico de red. el evento no se registra y la operación no se impide. se llevará a cabo una acción. El cliente reacciona de una de estas tres maneras: • Ignorar: no hay ninguna reacción.Configuración de directivas IPS Resumen de directivas IPS • Ofrecen protección frente a ataques en los que la secuencia de datos codificados finaliza en el sistema protegido al examinar el comportamiento y los datos descifrados. Guía del producto McAfee Host Intrusion Prevention 8. Si cualquier otro proceso intenta acceder a los archivos HTML. Estas firmas: • Protegen los sistemas secundarios en un segmento de red. Por ejemplo. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido. se descartan o se bloquean los datos infractores que pasan por el sistema. una regla de comportamiento puede indicar que solo un proceso de servidor web puede acceder a los archivos HTML.

0 . Los clientes en modo de adaptación crean excepciones automáticamente. filtradas y agregadas. En algunos casos. en Informes. Puede hacer un seguimiento de las excepciones en la consola de ePolicy Orchestrator y mostrarlas en vistas normales. Para asegurar que algunas firmas no se omiten nunca. 36 Guía del producto McAfee Host Intrusion Prevention 8. La protección contra el desbordamiento del búfer es genérica para Host Intrusion Prevention y se puede aplicar a cualquier proceso interceptado. Los eventos de actividades inofensivas que resultan ser falsos positivos se pueden anular mediante la creación de una excepción a la regla de firma o mediante la calificación de aplicaciones como de confianza. La directiva IPS incluye una lista predeterminada de reglas de protección de aplicaciones para las plataformas Windows. La directiva Protección IPS define automáticamente la reacción para los niveles de gravedad de firma.0 para ePolicy Orchestrator 4. edite la firma y desactive las opciones de Permitir reglas del cliente. Reglas de protección de aplicaciones Las reglas de protección de aplicaciones proporcionan protección para listas de procesos definidas y generadas contra desbordamientos del búfer. Esta lista se actualiza. Supervisar los eventos y las reglas de excepción del cliente ayuda a determinar cómo ajustar la implementación para lograr una protección IPS más efectiva. Cuando se detectan actividades dañinas. puede crear una excepción que permita las actividades legítimas. si es necesario. NOTA: se puede permitir directamente el registro en cada firma. Las reacciones incluyen omitir. Para omitir esta firma. si ha activado la opción Incluir automáticamente aplicaciones para red y basadas en servicio en la directiva Opciones de IPS. El nivel de protección establecido para firmas en la directiva Protección IPS determina las acciones adoptadas por un cliente al producirse un evento. Excepciones Una excepción anula una actividad bloqueada por la reacción a una firma. al permitir la interceptación de API a nivel de usuario. registrar o evitar la actividad. una excepción podría indicar que se omita una operación para un cliente en concreto. siempre que instala una actualización de contenido. Por ejemplo. Los clientes de Host Intrusion Prevention contienen un conjunto de reglas de firma IPS que determinan si las actividades que se realizan en un equipo son inofensivas o dañinas. que cuando un cliente reconoce una firma de gravedad baja registra la incidencia de esa firma y permite que se produzca la operación. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que pueden aplicarse a otros clientes.Configuración de directivas IPS Resumen de directivas IPS Una directiva de seguridad podría indicar. Los administradores pueden crear excepciones manualmente en cualquier momento. Puede crear estas excepciones manualmente o colocar clientes en modo de adaptación y permitirles crear reglas de excepción de cliente. se envían alertas denominadas eventos al servidor de ePO y aparecen en la ficha IPS en host. el comportamiento que una firma define como un ataque podría ser parte de la rutina de trabajo habitual de un usuario o una actividad que está permitida para una aplicación protegida. denominadas reglas de cliente. Puede agregar automáticamente aplicaciones para red y basadas en servicio a esta lista. por ejemplo. y que cuando reconoce una firma de gravedad alta impide la operación.

NOTA: el cliente de Host Intrusion Prevention agrega eventos para que no se envíen todos los eventos al servidor ePO. Si un evento vuelve a suceder tras 20 segundos. se informa del evento adicional. Esta opción está disponible de manera independiente de la aplicación de las reglas IPS en host. Solo está disponible si IPS de red está activado. según el número de minutos indicado. Para todas las plataformas Estas opciones están disponibles para clientes en todas las plataformas: • Host IPS activado: selecciónela para activar la protección de IPS por medio de la aplicación de reglas IPS de Host IPS. • Conservar los hosts bloqueados: selecciónela para permitir que un cliente bloquee un host (dirección IP) hasta que se definan los parámetros de "Bloquear automáticamente los Guía del producto McAfee Host Intrusion Prevention 8. Úsela solo temporalmente cuando esté afinando un despliegue. • Modo de adaptación activado (las reglas se aprenden automáticamente): selecciónela para activar el modo de adaptación. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas de excepción creadas en el cliente. en la consola ePO del sistema del cliente. pueden ajustar las reacciones a eventos o crear excepciones o reglas de aplicaciones de confianza para reducir el número de eventos y ajustar la configuración de protección. Activar la protección IPS La directiva Opciones de IPS determina cómo se aplica la protección de IPS. Después. NOTA: este control también está disponible directamente en el cliente. Solo para plataformas Windows Estas opciones están disponibles para clientes solo en plataformas Windows: • IPS de red activado: seleccione esta opción para aplicar reglas IPS de red. Los administradores pueden ver y supervisar estos eventos para analizar infracciones de reglas del sistema.Configuración de directivas IPS Activar la protección IPS Eventos Se generan eventos IPS cuando un cliente reacciona a una firma activada. NOTA: este control también está disponible directamente en el cliente. Los administradores pueden ver todos los eventos en la ficha IPS en host. NOTA: estos controles también están disponibles directamente en el cliente.0 para ePolicy Orchestrator 4. Así se evita que numerosos eventos que ocurren en menos de 20 segundos se envíen de manera repetida al servidor. en el que los clientes crean reglas de excepción automáticamente para permitir el comportamiento bloqueado. en Informes. • Bloquear automáticamente los intrusos de la red: seleccione esta opción para bloquear el tráfico de entrada y salida en un host hasta que se quite manualmente de una lista de bloqueos en un cliente. en Informes. Ofrece opciones para plataformas Windows y no Windows.0 37 . Los eventos se registran en la ficha Eventos de la ficha IPS en host. ya sea de forma automática en el modo de adaptación o manualmente en un cliente Windows cuando se aplique esta directiva.

basada en la directiva McAfee Default. Puede ver y duplicar directivas preconfiguradas. Configuración de la directiva de opciones IPS Configure las opciones de esta directiva para activar o desactivar la protección IPS y aplicar el modo de adaptación.Configuración de directivas IPS Activar la protección IPS intrusos de la red". y después aplicar la directiva a los sistemas del cliente. Se muestra la lista de directivas. volver a nombrar. duplicar. y se seleccionan estas opciones para aplicarse cuando la protección de IPS se activa: • Bloquear automáticamente los intrusos de red durante 10 minutos (solo Windows) • Conservar los hosts bloqueados (solo Windows) • Conservar las reglas de cliente SUGERENCIA: para activar la protección IPS en los sistemas del cliente. 3 38 En la página Opciones IPS que aparece.0 para ePolicy Orchestrator 4. haga clic en ? en la interfaz. 1 Vaya a Sistemas | Catálogo de directivas y seleccione Host Intrusion Prevention:IPS en la lista Producto y Opciones IPS en la lista Categorías. 2 En la lista de directivas Opciones IPS. • Protección IPS de inicio activada: selecciónela para aplicar un conjunto codificado de reglas de protección de archivos y de registro hasta que el servicio Host IPS se haya iniciado en el cliente. y. eliminar y exportar. el administrador de Host Intrusion Prevention deberá activar primero las opciones IPS en host e IPS de red en esta directiva. haga los cambios que sean necesarios. otras opciones incluyen: cambiar nombre.0 . el host se bloquea hasta la siguiente aplicación de la directiva. duplicar. incluyendo el estado. borrar y exportar directivas personalizadas. Para las directivas no editables. Guía del producto McAfee Host Intrusion Prevention 8. • Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones: seleccione esta opción para permitir a un cliente agregar automáticamente aplicaciones de alto riesgo a la lista de aplicaciones protegidas de la directiva Reglas IPS. La protección IPS en los sistemas del cliente no es automática. a diferencia de las versiones anteriores del producto. las opciones incluyen visualizar y duplicar. Tarea Para ver las definiciones de las opciones. editar. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. el inicio y la configuración IPS de red. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. a continuación. haga clic en Guardar. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección de IPS en host y de IPS de red está desactivada. NOTA: Para las directivas editables. puede crear. Si no se selecciona.

basada en la directiva McAfee Default. Puede ver y duplicar directivas preconfiguradas. puede seleccionar ignorar como reacción. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. media y baja y registrar el resto. por lo general. borrar y exportar directivas personalizadas. registrar las que tienen una gravedad baja y omitir el resto. Los eventos de este nivel se dan durante la actividad normal del sistema y. Cuando es probable que una actividad sea peligrosa. volver a nombrar. se aumenta la seguridad del sistema subyacente.0 para ePolicy Orchestrator 4. así como en los servidores Web y SQL. Selecciones de directiva La categoría de directivas incluye seis directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. Advertencia Registrar las firmas con una gravedad alta y omitir el resto. Estos niveles de gravedad indican peligro potencial para un sistema y le permiten definir reacciones específicas para distintos niveles de daño potencial.Configuración de directivas IPS Configuración de la reacción para firmas IPS Configuración de la reacción para firmas IPS La directiva Protección IPS define la reacción protectora para los niveles de gravedad de firma. Las directivas preconfiguradas incluyen: Tabla 5: Directivas Protección IPS Nombre Función Protección básica (McAfee Default) Evitar las firmas con una gravedad alta y omitir el resto. no demuestran un ataque.0 39 . no son de comportamiento. • Bajo: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema están bloqueados y no se pueden modificar. por lo general. Evite estas firmas en los sistemas más importantes. Protección máxima Evitar las firmas con una gravedad alta. Guía del producto McAfee Host Intrusion Prevention 8. Preparación para protección mejorada Evitar las firmas con gravedad alta. Preparación para protección máxima Evitar las firmas con una gravedad alta y media. Cada firma tiene uno de los cuatro niveles de gravedad: • Alto: firmas de amenazas de seguridad o acciones dañinas claramente identificables. Por ejemplo. • Medio : firmas de actividades relacionadas con el comportamiento en las que las aplicaciones funcionan fuera de su ámbito. registrar las que tienen una gravedad media y omitir el resto. pero es necesario realizar ajustes adicionales. Evite estas firmas en todos los sistemas. Si se evitan estas firmas. editar. puede crear. puede establecer evitar como reacción. • Información: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema se modifican y que pueden indicar un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. duplicar. si es poco probable que la actividad sospechosa cause daños. Estas firmas son específicas para amenazas bien identificadas y. Protección mejorada Evitar las firmas con una gravedad alta y media y omitir el resto. Puede modificar estos niveles de gravedad y las reacciones para todas las firmas.

0 . puede editar. 2 En la lista de directivas Protección IPS que aparece. en Informes. Definición de protección de IPS Las directivas de reglas IPS aplican las protecciones de prevención de intrusión. Tarea Para ver las definiciones de las opciones. 40 Guía del producto McAfee Host Intrusion Prevention 8. borrar y exportar las directivas personalizadas que haya creado. Cada directiva Reglas IPS incluye detalles configurables de: • Firmas • Reglas de protección de aplicaciones • Reglas de excepción Tambien necesita ir a la página Host IPS. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. duplicar.Configuración de directivas IPS Definición de protección de IPS Configuración de la directiva Protección IPS Configure las opciones de esta directiva para establecer las reacciones protectoras para firmas de un nivel de gravedad concreto. Tarea Para ver las definiciones de las opciones. otras opciones incluyen cambiar nombre. duplicar. a continuación. haga clic en ? en la interfaz. las opciones incluyen visualizar y duplicar. para trabajar con: • Eventos IPS • Reglas IPS de cliente Selecciones de directiva Esta categoría de directiva contiene una directiva predeterminanda preconfigurada que proporciona protección IPS básica. Puede ver y duplicar la directiva preconfigurada. Esta directiva es una directiva de instancia múltiple que puede tener asignadas varias instancias. haga clic en Guardar. También puede asignar más de una instancia de la directiva para unir varias reglas de directiva. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Protección IPS en la lista Categoría. Configuración de la directiva Reglas IPS Configure las opciones de esta directiva para definir firmas. reglas de protección de aplicaciones y excepciones. Para las directivas no editables. eliminar y exportar. haga clic en ? en la interfaz. volver a nombrar.0 para ePolicy Orchestrator 4. haga los cambios que sean necesarios y. 3 En la página Protección IPS que aparece. NOTA: para las directivas editables. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso.

0: IPS/General en la lista Producto.0 para ePolicy Orchestrator 4. Configuración de las reglas de protección de aplicaciones IPS y Configuración de las excepciones IPS para obtener más detalles. Consulte Configuración de firmas IPS. 3 En la página Asignación de directiva. 2 En la lista de directivas Reglas IPS. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas. Tarea Para ver las definiciones de las opciones. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas. a continuación.0 41 . Guía del producto McAfee Host Intrusion Prevention 8. Una directiva de varias instancias puede ser útil para un servidor IIS. y para Reglas IPS/Aplicaciones de confianza. La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia. Se muestra la lista de directivas. Cuando asigna instancias múltiples. seleccione Host Intrusion Prevention 8. Para las directivas que tienen instancias múltiples. haga los cambios que sean necesarios y. a continuación. las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva. en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema. seleccione un grupo del Árbol de sistemas que contenga el sistema y. McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible.Configuración de directivas IPS Definición de protección de IPS 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. 3 En la página Reglas IPS que aparece. eliminar y exportar. está asignando una unión de todos los elementos de cada instancia de la directiva. una directiva de servidor y una directiva IIS. NOTA: para un sistema único. NOTA: para las directivas editables. las opciones incluyen visualizar y duplicar. haga clic en Editar asignaciones. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva. otras opciones incluyen: cambiar nombre. duplicar. haga clic en Guardar. haga clic en ? en la interfaz. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. Para las directivas no editables. 4 Haga clic en Guardar para guardar todos los cambios. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido. por ejemplo. donde puede aplicar una directiva general predeterminada. 2 En Directivas. haga clic en Ver Directiva efectiva.

las reglas de cliente 42 Guía del producto McAfee Host Intrusion Prevention 8. se aplica el valor predeterminado. se necesitan solo nueve. Media. se aplica el valor predeterminado. • La configuración de reglas de cliente efectivas de una firma es la configuración personalizada. con el enfoque de las instancias múltiples. La prioridad es: Alta. Las versiones de McAfee Default de estas directivas se actualizan cada vez que se actualiza el contenido de seguridad Host Intrusion Prevention. una combinación de tres departamentos. Puede utilizar el modo de adaptación para determinar qué recursos proteger o en cuáles confiar para un grupo dado. Si no se personaliza el estado de registro. Si se personaliza en dos o más directivas Reglas IPS aplicadas. Pero las reglas en las diferentes directivas asignadas se contradicen. tres ubicaciones y tres tipos de equipo serían necesarias 27 directivas. el resultado es una unión de todas las instancias llamada la directiva efectiva. y cree excepciones y aplicaciones de confianza para cada grupo. Baja.0 para ePolicy Orchestrator 4. Todas las otras directivas son directivas de instancia única. Desactivada. ¿Cómo se calcula la directiva efectiva? Es posible que una regla de una instancia tenga una configuración que contradiga la de la misma regla en otra instancia de la directiva. Si se personalizan en dos o más directivas Reglas IPS aplicadas. servidores) puede tener un conjunto único de aplicaciones que necesite protección pero que también pueda realizar funciones empresariales esenciales. Estas directivas permiten la aplicación de más de una directiva de forma simultánea en un único cliente. estaciones de trabajo. el estado de registro personalizado activado tiene prioridad sobre el desactivado. Sin una directiva de reglas IPS de instancias múltiples. • El estado de registro efectivo de una firma es el estado de registro personalizado. ¿Cómo puedo utilizar la asignación de la directiva de instancias múltiples para simplificar mi despliegue? Primero. siempre se tienen que asignar estas políticas a los clientes para comprobar que se aplican las actualizaciones del contenido de seguridad. Si no se personaliza la gravedad. Cuando se aplica más de una instancia. Esta propiedad podría estar basada en: • Departamento: cada departamento debería requerir protección de un conjunto único de recursos y excepciones para un conjunto único de actividades empresariales. proteja los recursos. Por esta razón. Para las reglas IPS: • La gravedad efectiva para una firma es la gravedad personalizada más alta. IPS en host tiene reglas para gestionar estos conflictos al establecer la directiva efectiva total.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: directivas de instancias múltiples Host Intrusion Prevention ofrece dos directivas de instancias múltiples: Reglas IPS y Aplicaciones de confianza. defina grupos de usuarios para el despliegue que tengan una propiedad esencial en común que dicte qué recursos deben protegerse y qué recursos necesitan excepciones para trabajar correctamente. Después de esto.0 . • Tipo de equipo: cada tipo de equipo (equipo portátil. Información. • Ubicación: cada ubicación puede tener sus propios estándares de seguridad únicos o un conjunto único de recursos que necesiten protección y excepciones para la actividad empresarial. A continuación. una para una ubicación concreta y una para un tipo de equipo concreto) y aplique la instancia adecuada. cree instancias de reglas IPS y directivas de aplicaciones de confianza para cada grupo de usuarios (una directiva de reglas IPS para un departamento concreto.

Servicio y HTTP. Si se evitan estas firmas. Cada firma tiene un nivel de gravedad predeterminado. en Informes. Es conveniente prevenir estas firmas en los servidores importantes después del ajuste. Los eventos de este nivel se dan durante la actividad normal del sistema y. Para las aplicaciones de confianza: • El conjunto de aplicaciones de confianza es la unión de todas las aplicaciones de confianza. Tipos de firmas La directiva Reglas IPS puede incluir tres tipos de firmas: • Firmas de Host IPS: firmas predeterminadas de Host Intrusion Prevention. no demuestran un ataque. Cada firma tiene una descripción y un nivel de gravedad predeterminado. pero es necesario realizar ajustes adicionales. metodologías de ataque e intrusiones en una red. • Marcar una aplicación como de confianza para IPS o Firewall tiene prioridad. • El conjunto de excepciones efectivo es la unión de todas las excepciones aplicadas. Firmas de Host IPS Las firmas de prevención de intrusión basadas en host detectan y evitan los ataques de actividad de las operaciones del sistema e incluyen las reglas Archivo. se aumenta la seguridad del sistema subyacente.0 para ePolicy Orchestrator 4. El blindaje bloquea los recursos de sistema y aplicaciones para que no puedan cambiarse. Registro. un administrador puede modificar el nivel de gravedad de una firma. por lo general. • Medio: firmas más relacionadas con el comportamiento y que evitan el funcionamiento de las aplicaciones fuera de su entorno (relevante para clientes que protegen servidores Web y Microsoft SQL Server 2000). incluso si la misma aplicación no está marcada como de confianza para esta función en otra directiva de aplicaciones de confianza asignada. se aplica el valor predeterminado. La mayoría de estas firmas son específicas para amenazas bien identificadas y. Si no se personaliza la configuración de las reglas de cliente. • Firmas IPS en red: firmas predeterminadas de prevención de intrusión de red. no son de comportamiento. Guía del producto McAfee Host Intrusion Prevention 8. Al activarse. • Firmas de IPS personalizadas: firmas de Host Intrusion Prevention personalizadas creadas por el usuario. Cómo funcionan las firmas de IPS Las firmas describen amenazas de seguridad. • Bajo: firmas más relacionadas con el comportamiento y que protegen las aplicaciones. Deberían prevenirse en todos los hosts. Están desarrolladas por los expertos en seguridad de Host Intrusion Prevention y se proporcionan con el producto y con las actualizaciones del contenido. que describe el peligro potencial de un ataque: • Alto: firmas que protegen frente a amenazas de seguridad o acciones dañinas claramente identificables. • Información: indica una modificación en la configuración del sistema que puede crear un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Con los niveles de privilegios adecuados.Configuración de directivas IPS Definición de protección de IPS personalizadas activadas tienen prioridad sobre las desactivadas.0 43 . por lo general. las firmas basadas en host generan un evento IPS que aparece en la ficha Eventos de la ficha IPS en host.

Se muestra la lista de directivas. como el usuario del sistema operativo o el nombre del proceso. por ejemplo. Configuración de firmas IPS Edite firmas predeterminadas. un administrador puede modificar el nivel de gravedad de una firma. sin embargo. estado de registro. tipo.0 . direcciones IP. puede crear una firma personalizada para protegerla. haga clic en Editar para hacer los cambios en la página Reglas IPS y. de las Reglas de cliente o del Estado de registro e introducir notas en el cuadro Nota para documentar el cambio. Puede filtrar según gravedad de la firma. agregue firmas personalizadas y mueva firmas a otra directiva de la ficha Firmas de la directiva Reglas IPS. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. haga clic en Editar. NOTA: no puede crear firmas personalizadas basadas en la red. Haga lo siguiente. Para trabajar con firmas. Los detalles avanzados contienen parámetros específicos de red que se pueden especificar. haga clic en la ficha Firmas en la directiva Reglas IPS.. Cada firma tiene una descripción y un nivel de gravedad predeterminado. Con los niveles de privilegios adecuados.. haga clic en ? en la interfaz. Los eventos generados por firmas basadas en red se muestran junto con los eventos basados en host en la ficha Eventos y presentan el mismo comportamiento que los eventos basados en host. 3 Realice una de las operaciones siguientes: Para. Haga clic en Quitar para quitar la configuración del filtro. • 44 Si la firma es una firma predeterminada. Aparecen en la misma lista de firmas que las firmas basadas en host. Tarea Para ver las definiciones de las opciones. a continuación. Editar una firma En Acciones.Configuración de directivas IPS Definición de protección de IPS Firmas de IPS personalizadas Las firmas personalizadas son firmas basadas en host que puede crear para ofrecer protección adicional a la protección predeterminada. no puede especificar atributos de parámetros adicionales.. plataforma. si el cliente esta habilitado o texto concreto que incluya nombre. notas o versión de contenido de las firmas. puede modificar la configuración del Nivel de gravedad. Puede crear excepciones para firmas basadas en red.. Se puede revertir la configuración predeterminada de las firmas Guía del producto McAfee Host Intrusion Prevention 8. Buscar una firma en la lista Utilice los filtros situados en primera posición en la lista de firmas. al crear una carpeta nueva con archivos importantes. Por ejemplo. Haga clic en Aceptar para guardar las modificaciones. haga clic en la ficha Firmas. Firmas IPS de red Las firmas de prevención de intrusos basadas en red detectan y evitan los ataques de red conocidos que llegan al sistema host.0 para ePolicy Orchestrator 4. 2 En Acciones.

Aparecerá una página Firma en blanco. Agregar una firma Haga clic en Nueva o Nueva (Asistente).0 para ePolicy Orchestrator 4. escriba un nombre (obligatorio) y seleccione la plataforma. predeterminadas haciendo clic en Revertir en Acciones. Por ello. 2 En la ficha Firma IPS de la firma. Eliminar una firma personalizada En Acciones. haga clic en ? en la interfaz. el estado de registro y si se debe permitir la creación de reglas de cliente. 4 En la ficha Subreglas. Esta descripción aparece en el Evento IPS al activarse la firma. la firma vuelve a ordenarse en la lista. En la página que aparece.Configuración de directivas IPS Definición de protección de IPS Para. Haga clic en Aceptar para guardar las modificaciones.. seleccionando las firmas y haciendo clic en Editar varias. 3 En la ficha Descripción. haga clic en Aceptar . Indique la directiva en la que desea copiar la firma y haga clic en Aceptar. Tarea Para ver las definiciones de las opciones. NOTA: puede realizar cambios en varias firmas a la vez. quizás tendrá que buscar en la lista para encontrar la firma editada. • Si la firma es una firma personalizada. 1 En la ficha Firmas de la directiva Reglas IPS. NOTA: puede copiar varias firmas a la vez seleccionando todas las firmas antes de hacer clic en Copiar en. Haga lo siguiente. introduzca una descripción de lo que va a proteger la firma. de las Reglas de cliente. las reglas de cliente y el estado de registro. seleccione la casilla para cambiar los valores predeterminados. Creación de firmas personalizadas Cree firmas de prevención de intrusiones en host personalizadas desde la ficha Firmas de la directiva Reglas IPS para proteger operaciones específicas no cubiertas por firmas predeterminadas. 4 Haga clic en Guardar para guardar los cambios. modifique la configuración del Nivel de gravedad. NOTA: solo se pueden eliminar la firmas personalizadas.. Copiar una firma en otra directiva Seleccione la firma y haga clic en Copiar en para copiarla en otra directiva. seleccione Nueva subregla estándar o Nueva subregla de experto para crear una regla. Guía del producto McAfee Host Intrusion Prevention 8.. haga clic en Eliminar.0 45 . haga clic en Nueva. el nivel de gravedad. seleccione la configuración de los tres elementos editables y. a continuación. del Estado de registro o de la Descripción e introduzca notas en el cuadro Nota pata documentar el cambio. NOTA: cuando haya editado una firma y guardado los cambios. Para los niveles de gravedad..

NOTA: las firmas que se crean con el asistente no tienen ninguna flexibilidad para las operaciones que la firma está protegiendo ya que no puede cambiar. El método experto. el nivel de gravedad. Haga clic en Siguiente para continuar. Las opciones incluyen: Archivos. consulte la sección de clase adecuada de Escritura de firmas personalizadas y excepciones. haga clic en Nueva (Asistente). Se ha compilado la regla y se ha verificado la sintaxis. 2 2 Especifique la clase de operaciones que están bloqueadas y que van a activar la firma. aparecerá un cuadro de diálogo en el que se describe el error. Para obtener detalles sobre cómo trabajar con tipos de clases. 1 Escriba la sintaxis de la regla para las firmas. Registros. Guía del producto McAfee Host Intrusion Prevention 8. NOTA: puede incluir varias reglas en una firma. asegúrese de que entiende las reglas de sintaxis. cuál es y su valor. introduzca una descripción de lo que va a proteger la firma. Si hay un error en la verificación de la regla. 5 Haga clic en Aceptar. recomendado solo para usuarios avanzados. nombre del archivo. 2 En la ficha Información básica. 1 Escriba un nombre para la firma (obligatorio) y seleccione un tipo de clase de regla.0 . Utilice el formato ANSI y la sintaxis TCL. Antes de escribir una regla. el estado de registro y si se debe permitir la creación de reglas de cliente. 5 Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla. identificación por huellas digitales hash MD5 o firmante. aparecerá un cuadro de diálogo en el que se describe el error. escriba un nombre y seleccione la plataforma. le permite proporcionar la sintaxis de las reglas sin limitarle al número de tipos que se pueden incluir en la firma. 5 Haga clic en Aceptar. Corrija el error y verifique la regla de nuevo. Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla. 4 Incluya un ejecutable como un parámetro con información sobre por lo menos uno de estos cuatro valores: descripción del archivo. seleccione el elemento que desea proteger de las modificaciones e introduzca los detalles. Tarea Para ver las definiciones de las opciones. Se ha compilado la regla y se ha verificado la sintaxis. operaciones y parámetros. haga clic en ? en la interfaz. Esta descripción aparece en el Evento IPS al activarse la firma. 3 Indique si desea incluir o excluir un parámetro en concreto. HTTP.0 para ePolicy Orchestrator 4. agregar o borrar operaciones. Servicios y SQL. 3 En la ficha Descripción. Interceptación. Corrija el error y verifique la regla de nuevo.Configuración de directivas IPS Definición de protección de IPS Método estándar Método experto El método estándar limita el número de tipos que se pueden incluir en la regla de firma. Programas. Creación de firmas personalizadas con un asistente Utilice el asistente de firma personalizada para simplificar la creación de nuevas firmas. 46 1 En la ficha Firmas de Reglas IPS. Si hay un error en la verificación de la regla. 4 En la ficha Definición de regla. que pueden incluir un nombre para la regla.

txt” } Cómo funcionan las reglas de protección de aplicaciones de IPS Las reglas de protección de aplicaciones controlan qué procesos reciben una protección contra desbordamiento de búfer genérica de Host Intrusion Prevention. | (canalización) Escape de caracteres comodín. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter.0 para ePolicy Orchestrator 4. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. ** (dos asteriscos) Varios caracteres incluidos / y \. * (un asterisco) Varios caracteres excluidos / y \. ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras. | (canalización) Escape de caracteres comodín. NOTA: para **. Ejemplo: files { Include “C:\test\\yahoo!. el escape es |*|*. Ejemplo: files { Include “C:\*. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas.txt” ” } & (y comercial) Varios caracteres excepto / y \. las claves de registro. Ejemplo: files { Include “C:\test\\&. Estas reglas permiten o bloquean el enlace de API a nivel de usuario para listas definidas y generadas de procesos. los ejecutables y las URL. * (un asterisco) Varios caracteres incluidos / y \.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: uso de caracteres comodín en las reglas IPS Las reglas IPS en host permiten el uso de caracteres comodín cuando se introducen valores en ciertos campos. El enlace de Guía del producto McAfee Host Intrusion Prevention 8.txt” } ! (signo de exclamación) Escape de caracteres comodín. ¿Qué caracteres comodín puedo usar para los valores de subregla experta de firma? Para todos los valores cuando se crea una subregla mediante el método experto: Carácter Definición ? (signo de interrogación) Un solo carácter. * (un asterisco) Varios caracteres incluidos / y \. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos.0 47 .

• Cada vez que la lista de procesos que escuchan en un puerto de red se actualiza. 48 Guía del producto McAfee Host Intrusion Prevention 8. Esta opción incluye. se bloquea el enlace y el proceso no se protege. los procesos a los que se permite el enlace se agregan dinámicamente a la lista cuando el análisis del proceso está habilitado. Solo los procesos que en la lista muestran el estado incluido reciben la protección contra desbordamiento de búfer. todos los servicios y las aplicaciones de Windows que escuchan en puertos de red. de manera implícita. Si no es así. • Cada vez que la lista de protección de la aplicación se actualiza mediante el servidor de ePolicy Orchestrator. Además. Esta lista se actualiza con actualizaciones de contenido que se aplican a la directiva Reglas IPS de McAfee Default. el proceso se analiza para ver si escucha en un puerto de red o se ejecuta como un servicio. comprueba si se ha incluido en la lista Protección de aplicaciones. Este análisis se realiza en estas circunstancias: • Cada vez que el cliente se inicia y se enumeran los procesos en ejecución. la opción "Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones" de la directiva Opciones de IPS debe estar seleccionada. Si no está excluido. Este análisis implica la comprobación de si el proceso está excluido de la lista Protección de aplicaciones. Si tampoco es así.0 para ePolicy Orchestrator 4. NOTA: para la actualización dinámica de la lista.Configuración de directivas IPS Definición de protección de IPS registro y archivos a nivel del kernel no se ve afectado. • Cada vez que se inicia un proceso. Host Intrusion Prevention proporciona una lista estática de procesos que se permiten o bloquean.0 .

que es la clave para que el caché busque un proceso. el componente IPS localiza la entrada correspondiente en su lista de procesos en ejecución.0 para ePolicy Orchestrator 4. se permite el enlace y se protege el proceso. llama a un API exportado por un componente IPS y pasa la información al API para que lo añada a la lista supervisada. Este caché realiza el seguimiento de la información de enlazado. Un proceso enlazado se desenlaza si el servidor envía una lista Guía del producto McAfee Host Intrusion Prevention 8. Figura 1: Análisis de Reglas de protección de aplicaciones El componente de IPS mantiene un caché de información al ejecutar procesos. El firewall proporciona el PID (ID del proceso). Los procesos que no estén ya enlazados y que no formen parte del bloqueo estático se enlazarán. Cuando se llama al API. la cual se actualiza siempre que un proceso se enlaza o desenlaza. El componente de firewall determina si un proceso escucha en un puerto de red. La API exportada por el componente IPS también permite a la interfaz del usuario de cliente obtener la lista de los procesos enlazados actualmente.Configuración de directivas IPS Definición de protección de IPS Si escucha en un puerto o se ejecuta como un servicio.0 49 .

. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar. haga clic en ? en la interfaz. a diferencia de la vista de la directiva Reglas IPS. Tarea Para ver las definiciones de las opciones.. Creación de reglas de protección de aplicaciones Si la directiva Reglas IPS no tiene una regla de protección de aplicaciones que necesite en su entorno.0 para ePolicy Orchestrator 4. Si las listas indican que un proceso no debería estar enlazado y lo está. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. cada proceso enumerado en el caché de información de procesos en ejecución se compara con la lista actualizada. La interfaz de usuario de cliente. 2 En Acciones. Editar una regla de aplicación En Acciones. NOTA: para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook. Buscar una regla de aplicación en la lista Utilice los filtros situados en primera posición en la lista de aplicaciones. haga clic en Editar para hacer los cambios en la página Reglas IPS y. 3 Realice una de las operaciones siguientes: Para.. Si la lista indica que un proceso debería estar enlazado y no lo está. la inclusión o un texto específico que incluya el nombre del proceso.Configuración de directivas IPS Definición de protección de IPS de procesos actualizada que especifique que el proceso ya enlazado no debería seguir enlazado. agregue y elimine reglas. Haga clic en Quitar para quitar la configuración del filtro. Se muestra la lista de directivas. muestra una lista estática de todos los procesos de aplicación enlazados. la ruta o el nombre del equipo. Agregar una regla de aplicación Haga clic en Nueva. se procede a eliminar el enlace.. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. Configuración de reglas de protección de aplicaciones de IPS Edite. Puede filtrar según el estado de la regla. a continuación. Cuando la lista de enlaces del proceso se actualiza. Haga lo siguiente.0 . La lista de enlazado de procesos puede verse y editarse en la ficha Reglas de protección de aplicaciones. haga clic en Editar. Eliminación de una regla de aplicación En Acciones. y muévalas a otra directiva desde la ficha Reglas de protección de aplicaciones de Reglas IPS de la directiva Reglas IPS. 50 Guía del producto McAfee Host Intrusion Prevention 8. 4 Haga clic en Guardar para guardar los cambios. haga clic en la ficha Reglas de protección de aplicaciones. haga clic en Eliminar. se procede a enlazarlo. incluya el ejecutable en la lista de protección de aplicaciones. Copiar una regla de aplicación en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva. puede crear una.

0 51 .Configuración de directivas IPS Definición de protección de IPS Tarea Para ver las definiciones de las opciones. Tarea Para ver las definiciones de las opciones. Las excepciones permiten reducir alertas de falsos positivos. por ejemplo. un comportamiento que se interpretaría como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. De manera alternativa. 3 Haga clic en Guardar.exe. Se muestra la lista de directivas. haga clic en ? en la interfaz. debe crear una excepción que permita esta acción. si la regla de la aplicación se incluye en la lista de protección y los ejecutables a los que desea aplicar la regla. Configuración de las excepciones IPS Edite.exe. podría sospechar que se ha instalado un troyano. y muévalas a otra directiva desde la ficha Excepciones de reglas IPS de la directiva Reglas IPS.Suspicious Executable Mod. cree una excepción que permita que la aplicación realice dichos cambios en los archivos. SUGERENCIA: si crea una firma personalizada que evite la modificación de archivos (edición. haga clic en ? en la interfaz. puede agregar a la subregla de la firma personalizada el parámetro con la aplicación configurada como Excluir. por ejemplo. 1 En la ficha Reglas de protección de aplicaciones de la directiva Reglas IPS. un cliente reconoce la firma Outlook Envelope . puesto que Outlook podría estar modificando una aplicación que normalmente no está asociada con el correo electrónico. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall. Esto se denomina alerta de falso positivo. Guía del producto McAfee Host Intrusion Prevention 8. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. Por tanto.0 para ePolicy Orchestrator 4. No obstante. En este ejemplo. un evento activado por esta firma es motivo de alarma. Después de darle un nombre y guardar la nueva regla. Esta firma indica que la aplicación de correo electrónico Outlook está intentando modificar una aplicación fuera del envoltorio de recursos habituales de Outlook. Para evitar los falsos positivos. Notepad. 2 • Seleccione una regla y haga clic en Duplicar. haga algo de lo siguiente: • Haga clic en Nueva. Para obtener más información sobre el catálogo. cambio de nombre o eliminación) de una carpeta concreta. cree una excepción para dicho comportamiento. Introduzca el nombre (obligatorio). Cómo funcionan las excepciones de IPS A veces. haga clic en Editar. si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico. el estado. al realizar pruebas de los clientes. minimizan el flujo de datos innecesarios hacia la consola y garantizan que las alertas sean amenazas de seguridad reales. pero desea que una aplicación específica pueda realizar dichas modificaciones. Aparecerá una página Aplicación en blanco. guardar un archivo con Outlook. agregue y elimine excepciones. Por ejemplo. NOTA: puede agregar un ejecutable existente del catálogo de IPS en host al hacer clic en Agregar desde catálogo.

Haga lo siguiente. junto con los demás eventos del resto de productos gestionados por ePolicy Orchestrator). asegúrese de que está activada y. NOTA: cuando la misma operación activa dos eventos. haga clic en Editar.. Eliminar una regla de excepción En Acciones.Configuración de directivas IPS Supervisión de eventos IPS 2 En Acciones. 1 En la ficha Reglas de excepción de la directiva Reglas IPS. haga clic en Nueva. Tarea Para ver las definiciones de las opciones. fecha de modificación o texto específico que incluya regla o texto de notas. Editar una regla de excepción En Acciones. haga clic en Editar para hacer los cambios en la página Reglas IPS y. haga clic en la ficha Reglas de excepción. 4 Haga clic en Guardar.0 para ePolicy Orchestrator 4.. los parámetros o los grupos de dominio que representan un papel como excepción según comportamiento para la firma. Consulte Escritura de firmas personalizadas y excepciones para obtener más información sobre este tema. Supervisión de eventos IPS Un evento IPS se desencadena cuando se produce una infracción de la seguridad. haga clic en ? en la interfaz. cree una excepción para dicha firma. Esto puede implicar la definición de parámetros y valores de excepción. según lo definido en una firma. con uno de los cuatro criterios de nivel de seguridad: Alta. se adopta la reacción de firma con el nivel más alto. Haga clic en Quitar para quitar la configuración del filtro. incluya las firmas en las que se aplique la excepción. 4 Haga clic en Guardar para guardar los cambios. Baja e Información. Puede filtrar según estado de la regla. Media.. a continuación. haga clic en Eliminar. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. Buscar una regla de excepción en la lista Utilice los filtros situados en primera posición en la lista de excepciones. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar.. si se detecta y se informa de ello al servidor ePO.0 . El evento IPS aparece en la ficha Eventos de la ficha Host IPS (o en la ficha Registro de eventos. 3 Configure los ejecutables. 52 Guía del producto McAfee Host Intrusion Prevention 8. 3 Realice una de las operaciones siguientes: Para. a continuación. Copiar una regla de excepción en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva. Agregar una regla de excepción Haga clic en Nueva. Creación de reglas de excepción Para permitir un comportamiento impedido por una firma. 2 Ponga nombre a la excepción. en Informes.

Outlook). el reconocimiento de esta firma podría indicar que alguien está intentando alterar el sistema.Configuración de directivas IPS Supervisión de eventos IPS De la lista de eventos generada. como la instalación de WinZip por parte de un empleado en uno de sus equipos. Guía del producto McAfee Host Intrusion Prevention 8.exe. cree una excepción para este evento. Por otra parte. durante el proceso de prueba de clientes. puede tener sospechas razonables de que se trata de un troyano. un comportamiento que se interprete como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. configure el sistema con lo siguiente: • Excepciones: reglas que anulan una regla de firma. también podría detectar que una serie de clientes activan los programas de inicio de las firmas. de forma que se dispone de más tiempo para analizar los eventos graves que se producen. • Aplicaciones de confianza: aplicaciones que se marcan como de confianza cuyas operaciones podrían ser bloqueadas por una firma. Para permitir los eventos. un evento activado por esta firma es motivo de alarma. puede determinar qué eventos pueden permitirse y cuáles indican un comportamiento sospechoso. Reacción a los eventos En algunas circunstancias. Cuando esto se produce. También puede indicar algo benigno. Normalmente. es posible que algunos de ellos reconozcan la firma de acceso a correo electrónico. reservado normalmente para aplicaciones de correo electrónico. puede crear una regla de excepción o una regla de aplicación de confianza para dicho comportamiento. Los piratas informáticos pueden instalar aplicaciones de troyanos que utilicen el puerto TCP/IP 25. como Notepad. La instalación de WinZip agrega un valor a la clave de registro Ejecutar. La creación de excepciones y aplicaciones de confianza le permite disminuir las alertas de falsos positivos y garantiza que las notificaciones que recibe son importantes. El resultado es una lista de eventos mostrados en grupos y ordenados por el valor asociado con las variables seleccionadas. Este proceso de ajuste mantiene en un nivel mínimo los eventos que aparecen. Si el proceso no está asociado normalmente con el correo electrónico. y esta acción se detectaría mediante la firma TCP/IP Port 25 Activity (SMTP). Filtrado y agregación de eventos La aplicación de eventos genera una lista de eventos que satisface todas las variables definidas en los criterios de filtro. Para eliminar el inicio de eventos cada vez que alguien instala software autorizado. La agregación de eventos de cliente genera una lista de eventos agrupados por el valor asociado con cada variable seleccionada en el cuadro de diálogo "Seleccionar columnas para agregar". Por ejemplo. también es posible que el tráfico normal del correo electrónico coincida con esta firma. investigue el proceso que inició el evento.0 para ePolicy Orchestrator 4. Por ejemplo.0 53 . El resultado es una lista de eventos que incluye todos los criterios. Si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico (por ejemplo. puede crear excepciones para dichos eventos. Cuando vea esta firma. lo cual indica que se modifica o se crea un valor en las claves del Registro siguientes: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce Dado que los valores almacenados bajo estas claves indican programas que se inician al encender el equipo.

Marque los eventos para facilitar su filtrado y seguimiento: seleccione la casilla de uno o más eventos y después haga clic en el comando adecuado. Aparece la página Registro de eventos. Filtrar por criterios de eventos Seleccione un tipo de evento. Seleccionar las columnas que se han de mostrar Seleccione Opciones | Elegir columnas. Agregar excepciones Haga clic en Agregar. Tarea Para ver las definiciones de las opciones. haga clic en Eventos. 3 Determine cómo desea ver la lista de eventos: 4 Para. Ordernar por columna Haga clic en el encabezamiento de la columna. Solo aparecerán los eventos de los últimos 30 días. Haga lo siguiente. NOTA: el comando está en el menú Más acciones.0 y. a continuación. Aparecerán todos los eventos asociados al grupo. Filtrar por grupos Desde el menú Filtro. De forma predeterminada. El acceso a las fichas de eventos en Informes requiere configuraciones de permisos adicionales. oculto. estado marcado (leído. nivel de gravedad o fecha de creación... mostrado). Haga clic en Quitar para eliminar la configuración de agregación. Haga clic en Quitar para quitar la configuración del filtro. no leído. NOTA: los eventos IPS también aparecen en la ficha Registro de eventos en Informes junto con todos los otros eventos para todos los sistemas.0 para ePolicy Orchestrator 4. seleccione los criterios en los que desea agrupar los eventos y. Marcar como leído Marcar el evento como leído Marcar como no leído Marcar un evento leído como no leído Marcar como oculto Ocultar el evento Marcar como mostrado Mostrar los eventos ocultos.. sistemas y árbol de sistemas. quite o reordene las columnas que se mostrarán. haga clic en ? en la interfaz. a continuación.0 . no se muestran todos los eventos. haga clic en Aceptar. 5 54 Haga clic en. agregue. 1 Vaya a Informes | Host IPS 8. 2 Seleccione el grupo en el árbol de sistemas del que desea mostrar los eventos IPS. incluidos los permisos de vista para acceder al registro de eventos. Nota: debe filtrar primero por eventos ocultos para poder seleccionarlos... Cree una regla de excepción o de aplicación de confianza. Ver detalles del evento Haga clic en el evento.. Para. seleccione Solo este grupo o Este grupo y todos los subgrupos. o haga clic en Nueva aplicación de confianza para crear una regla de aplicación. Seleccione un evento y haga clic en Nueva excepción para crear una excepción.. Consulte Creación de una excepción a Guía del producto McAfee Host Intrusion Prevention 8.Configuración de directivas IPS Supervisión de eventos IPS Gestión de eventos IPS La visualización de eventos IPS procedentes de clientes y la creación de excepciones o aplicaciones de confianza de los mismos ayudan a ajustar y reforzar la seguridad.. En la página Seleccionar columnas.

haga clic en ? en la interfaz. seleccione una directiva de destino de aplicaciones de confianza y haga clic en Aceptar.0 55 . requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention. mueva la excepción a una directiva Reglas IPS o ajuste la gravedad de la firma. tiene la opción de crear una excepción. ya que podrían indicar un problema grave o un falso positivo. Las reglas de cliente IPS son excepciones creadas en un cliente para permitir una funcionalidad bloqueada por una firma. 1 Seleccione la casilla del evento para el que quiere crear una excepción.Configuración de directivas IPS Supervisión de reglas de cliente IPS partir de un evento o Creación de una aplicación de confianza a partir de un evento para obtener detalles. en Informes. Tarea Para ver las definiciones de las opciones. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. Tarea Para ver las definiciones de las opciones. 2 Haga clic en Nueva excepción. Preste especial atención a las excepciones de las firmas de gravedad alta. o manualmente en el cliente que proporciona la opción directiva IU de cliente. para permitir que la creación manual de reglas de cliente se habilite. Creación de una aplicación de confianza de un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Reglas IPS. sistemas y árbol del sistema.0 o en la página Registro de eventos. 3 En el cuadro de diálogo que aparece. puede ver o editar los detalles de la nueva aplicación.0 o en la página Registro de eventos. 1 Seleccione la casilla del evento para el que quiere crear una aplicación de confianza. Si se trata de un falso positivo. NOTA: el comando está en el menú Acciones. 2 Haga clic en Nueva aplicación de confianza. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Aplicaciones de confianza. Desde aquí. NOTA: el comando está en el menú Más acciones. Supervisión de reglas de cliente IPS Necesita analizar periódicamente las reglas de cliente IPS creadas automáticamente cuando los clientes están en modo de adaptación. incluidos permisos de vista para acceder al registro de eventos. haga clic en ? en la interfaz. tiene la opción de crear una aplicación de confianza. Creación de una excepción para un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8. seleccione una directiva de destino Reglas IPS y haga clic en Aceptar. 3 En el cuadro de diálogo que aparece.

sistemas y árbol del sistema. Guía del producto McAfee Host Intrusion Prevention 8. el nombre de usuario. haga clic en Aceptar. Filtrar por grupos Desde el menú Filtro seleccione Solo este grupo o Este grupo y todos los subgrupos. Use la función de agregación para combinar excepciones que tengan los mismos atributos. De este modo. puede ascender algunas o todas las excepciones de clientes a una directiva Reglas IPS concreta para reducir los falsos positivos en un entorno del sistema concreto.0 .0 para ePolicy Orchestrator 4. haga clic en ? en la interfaz. Haga clic en Quitar para quitar la configuración del filtro. Para mover excepciones a una directiva. a continuación. Haga lo siguiente. haga clic en Crear excepción e indique la directiva a la que desea mover las excepciones. el nombre del proceso. para que solo aparezca una excepción agregada..Configuración de directivas IPS Supervisión de reglas de cliente IPS Puede ordenar. Haga clic en Quitar para eliminar la configuración de agregación. Gestión de reglas de cliente IPS La visualización de las reglas de cliente IPS creadas automáticamente en el modo de adaptación o manualmente en un cliente y cómo moverlas a una directiva Reglas IPS o Aplicaciones de confianza permite un ajuste sencillo de la protección IPS. seleccione una o más excepciones de la lista. Agregar excepciones Haga clic en Agregar.0 y haga clic en Reglas de cliente de IPS. en Informes.. al tiempo que se realiza un seguimiento del número de veces que se producen las excepciones. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host. Ordernar por columna Haga clic en el encabezamiento de la columna. 3 Determine cómo desea ver la lista de excepciones de cliente: 4 56 Para. Tarea Para ver las definiciones de las opciones. incluidos permisos de vista para acceder al registro de eventos. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente.. requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention. Esto permite encontrar más fácilmente los puntos problemáticos de protección de IPS en los clientes. seleccione los criterios a los que desea agregar las excepciones y. escriba la ruta del proceso. 1 Vaya a Informes | Host IPS 8. el nombre del equipo o la firma ID en el cuadro de texto de búsqueda y pulse Volver.. filtrar y agregar las excepciones y ver sus detalles. Filtrar por criterios de excepción Seleccione el criterio de tiempo.

para así facilitar la gestión. que hay que bloquear. grupos. Al igual que las reglas.0 para ePolicy Orchestrator 4. aplicación. Activa y desactiva la protección del firewall. Guía del producto McAfee Host Intrusion Prevention 8. Un catálogo de IPS en host simplifica la creación de reglas. transporte. Reglas de firewall: activa la protección de firewall. todo el tráfico IP) o de manera estricta (por ejemplo. los grupos de reglas pueden definirse por opciones de red. de aplicación o de programación. como permitir el tráfico saliente hasta que se haya iniciado el servicio de firewall o el bloqueo de la falsificación de IP y del tráfico malintencionado. Puede agrupar reglas de acuerdo con una función de trabajo.Configuración de directivas de firewall Las directivas de firewall de Host Intrusion Prevention activan o desactivan la protección y proporcionan reglas que detienen a los intrusos de la red que pudieran poner en peligro los datos. programa y localización. define los ajustes de firewall con seguimiento de estado y activa la protección especial específica de firewall. de transporte. opciones de red. ejecutables y localizaciones del catálogo de reglas y grupos nuevos y existentes de firewall. esta directiva agrega de manera dinámica una regla cerca de la parte superior de la lista de reglas de firewall que evita la resolución de una dirección IP del dominio especificado. Bloqueo DNS de firewall: define un conjunto de patrones de nombre de dominio que pueden incluir caracteres comodín. Consiste en un conjunto de reglas que define qué tráfico se permite y qué tráfico se bloquea. un servicio o una aplicación.0 57 . El filtrado con seguimiento de estado y la inspección de paquetes identifican los paquetes para diferentes tipos de conexiones y mantienen en la memoria los atributos de las conexiones de red desde una transmisión de inicio a fin. las aplicaciones o el sistema operativo. Contenido Resumen de directivas de firewall Activación de protección por firewall Definición de la protección de firewall Resumen de directivas de firewall La función de firewall de Host Intrusion Prevention proporciona seguridad mediante el filtrado de tráfico entrante y saliente de los sistemas de red que ejecuten Windows. aplicaciones. ya que le permite agregar reglas existentes. con las distintas opciones de red. Directivas disponibles Existen tres directivas de firewall: Opciones de firewall: activa la protección de firewall. Puede definir las reglas de manera amplia (por ejemplo. ya sea de manera individual o por procesos de lotes. Cuando se aplica. También permite la adición de estos elementos al catálogo. mediante la identificación de una aplicación o servicio concretos).

No aplica ninguna otra regla de la lista.1. Por ejemplo. coloque las reglas más específicas al principio de la lista y las reglas más generales al final. aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP provenientes de una dirección específica. inalámbricos o virtuales. necesitará crear dos reglas: • Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10.10.1.10. la prioridad hace que Host Intrusion Prevention aplique solo la primera regla coincidente en la lista. Cuando Host Intrusion Prevention encuentra tráfico que coincide con las condiciones de una regla. la dirección IP 10. Host Intrusion Prevention utiliza la prioridad para aplicar reglas: la regla situada en primera posición en las reglas de firewall se aplica primero. cuando el firewall intercepta una solicitud de HTTP desde la dirección 10. Capa de enlace El protocolo de capa de enlace describe el control de acceso a los medios (MAC) y algunas aplicaciones menores de detección de errores. para permitir las solicitudes HTTP. en una posición más alta en la lista de reglas de firewall que la regla de permiso.3). si el tráfico no cumple las condiciones de la primera regla. Host Intrusion Prevention pasa a la siguiente regla de la lista. la primera regla coincidente que encuentra es la que bloquea este tráfico a través del firewall. Si se ha activado el modo de aprendizaje. más general. Esta regla es más específica. se crea una regla de permiso para el tráfico. Si se ha activado el modo de adaptación. excepto de una dirección específica (por ejemplo. el tráfico interceptado coincide con más de una regla de la lista. A veces. el firewall bloquea el tráfico automáticamente. Ethernet LAN (802. Si es así.1). Esto asegura que Host Intrusion Prevention filtra el tráfico adecuadamente.10.0 . Host Intrusion Prevention permite o bloquea el tráfico. Permitiría el tráfico. Wi-Fi inalámbrico (802. Esta regla es más general. No obstante. Si el tráfico cumple con las condiciones de la regla. se solicita al usuario que realice una acción. Protocolos de firewall El firewall protege trabajando en varios niveles de la arquitectura de red.10.Configuración de directivas de firewall Resumen de directivas de firewall Cómo funcionan las reglas de firewall Las reglas de firewall determinan cómo se debe gestionar el tráfico de red. Esta arquitectura de red se construye en el paquete Protocolo de control de transmisión/Protocolo de Internet (TCP/IP). Va siguiendo la lista de reglas de firewall hasta que encuentra unas reglas que cumplan el tráfico. Recomendaciones Al crear o personalizar una directiva de reglas de firewall.11x) y LAN virtual (VPN) se encuentran en esta capa. donde se utilizan diferentes criterios para restringir el tráfico de la red.0 para ePolicy Orchestrator 4. más específica. Tanto las reglas de firewall como los grupos distinguen entre enlaces con cables. Debe colocar la regla de bloqueo. Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo. 58 Guía del producto McAfee Host Intrusion Prevention 8. Así se asegura que. Si no se da ninguna coincidencia de regla. Host Intrusion Prevention encontraría una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de bloqueo.10. realiza la acción asociada.10. • Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP. Cada regla ofrece un conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el tráfico.

TCP es la capa de transporte para la gran mayoría de protocolos de aplicaciones. SSH. Los números de este rango se asignan normalmente a protocolos por parte de IANA (www.org/assignments/protocol-numbers). TCP se multiplexa entre los protocolos de capa de aplicación usando el concepto de "puertos". UDP UDP es un protocolo de transporte de mejor solución sin conexión. en las que los paquetes perdidos solo causan una interrupción momentánea del flujo de datos. SMTP. HTTP. TCP TCP es un protocolo de transporte de confianza orientado a la conexión.iana. Guía del producto McAfee Host Intrusion Prevention 8. POP e IMAP usan TCP.0 para ePolicy Orchestrator 4.Configuración de directivas de firewall Resumen de directivas de firewall Capa de red Los protocolos de capa de red definen planes de direcciones. Esto implica una cierta cantidad de exceso de trabajo. de 0 a 65535. pero no puede detectar parámetros de capa de red o de transporte en ellos. Windows Vista. es compatible con los protocolos arbitrarios no de IP. al igual que muchos videojuegos multijugador. y hace que los tiempos en las operaciones de TCP sean impredecibles cuando las condiciones de red no son óptimas. FTP. RDP. el lado de servidor de una conexión TCP escucha las conexiones de un puerto fijo. User Datagram Protocol (UDP). tiene algunas propiedades muy deseables para ciertos tipos de tráfico. Normalmente. En la práctica.org/assignments/ethernet-numbers. El firewall de Host IPS ofrece total compatibilidad para IPv4 e IPv6 en Windows XP. Por lo general. los más comunes son cuatro: TCP. las reglas de firewall se crean para bloquear ciertos puertos y permitir otros. No ofrece garantías acerca del orden de paquetes o la confianza. El software de telefonía IP y videoconferencia a menudo usa UDP. Los puertos de 0 a 1023 se reservan como "puertos conocidos". En la práctica. permite al administrador bloquear o permitir estos protocolos de capa de red. lo que resulta más aceptable que un flujo que debe detenerse y esperar la retransmisión. Los números asociados a los protocolos no de IP se basan en números de Ethernet definidos por Internet Assigned Numbers Authority (IANA) y publicados en http://www. Windows Server 2008 y Windows 7. Capas de transporte IP puede ser utilizado como protocolo de red por una serie de protocolos de transporte distintos. enrutado y control de red. Igualmente. En el mejor de los casos. limitando así las actividades que pueden darse en la red. y la mayoría de sistemas operativos necesitan un proceso que otorgue permisos especiales para escuchar en uno de estos puertos. Garantiza que los datos incluidos en los paquetes de red se entreguen de modo fiable y en orden. y no tiene funciones de control de flujo. También controla la velocidad a la que se reciben y transmiten los datos. UDP se usa a menudo como protocolo de transporte para aplicaciones con mucha importancia en el rendimiento (que podrían implementar algunas de las funciones de fiabilidad y ordenación de paquetes del protocolo de aplicación TCP) y en aplicaciones multimedia en tiempo real. El plan de multiplexación de UDP es idéntico al de TCP: cada datagrama tiene un puerto de origen y de destino.0 59 . de 0 a 65535.iana. Internet Control Message Protocol versión 4 y versión 6 (ICMPv4 e ICMPv6). Cada paquete de TCP contiene un número de puerto de origen y de destino.

AH y ESP) se usan para el encriptado IP y para VPN. La configuración del grupo se procesa antes que la configuración de las reglas que contiene. Los grupos de reglas no afectan a la forma en que Host Intrusion Prevention trata las reglas incluidas en ellos.0 . los grupos tienen configuración de localización. Hacer grupos para localización Host Intrusion Prevention le permite hacer que un grupo y sus reglas se rijan por la localización. la lista completa de protocolos reconocidos por IANA es. Otros protocolos de transporte IP es compatible con más de cien protocolos de transporte. Muchos se usan para superponer otros tipos de red sobre una red IP (encapsulado de red). IPv4 e IPv6 tienen variantes de protocolo ICMP separadas y sin relación. según si la opción "Permitir el tráfico de protocolos no admitidos" está seleccionada en Opciones de firewall. Además de esto. ICMPv4 se conoce a menudo simplemente como ICMP. para que los equipos con múltiples interfaces de red puedan tener aplicadas reglas que sean específicas para el adaptador. Para el ping. pero la mayoría no se usan a menudo. aplicaciones y programas. aunque el firewall no es compatible con el mecanismo de multiplexación que estos protocolos pueden usar. ya que se usa para varias tareas fundamentales. aunque UDP y TCP también pueden usarse para este fin. Algunos de ellos (normalmente GRE. que le permite hacer localizaciones para grupos y crear aislamientos de conexión.0 para ePolicy Orchestrator 4. ICMPv6 también es importante en una red IPv6. La ficha Localización y la ficha Opciones de red del grupo le permite que los grupos se rijan por el adaptador de red. En lugar de números de puertos. Tras activar el estado de la localización y ponerle 60 Guía del producto McAfee Host Intrusion Prevention 8. y necesario para el funcionamiento de una red IP. NOTA: si el aislamiento de conexión en la ficha Localización está activado. las dos versiones de ICMP definen un conjunto de "tipos de mensaje". ya que constituye el mecanismo de información de errores. transportan opciones. Resulta útil para la solución de problemas. se usan "Petición de eco" y "Respuesta de eco". Los mensajes de "Destino inaccesible" indican fallos del enrutado. En cualquier caso. Protocolos comunes no admitidos Hay varios protocolos de red con los que el firewall de IPS en host no es compatible. como descubrimiento de vecino (que ARP gestiona en una red IPv4). la configuración del grupo tiene prioridad. Cómo funcionan los grupos de reglas de firewall Agrupe las reglas de firewall para facilitar la gestión.Configuración de directivas de firewall Resumen de directivas de firewall ICMP ICMP se usa como canal de comunicación fuera de banda entre hosts IP. ICMP también implementa una aplicación Traceroute.org/assignments/protocol-numbers. Los números de protocolo de IP se enumeran en www. al menos. mínimamente compatible. se siguen procesando de arriba a abajo. Los grupos asociados con muchos de los elementos asociados con reglas. No se recomienda que los usuarios bloqueen el tráfico ICMPv6 si IPv6 es compatible con la red. Es posible crear reglas para bloquear o permitir el tráfico en los protocolos de transporte de IP. incluidas las opciones de red. El tráfico de estos protocolos (a menudo. el tipo no separable EtherType) puede bloquearse siempre o permitirse siempre. un grupo no puede tener asociadas opciones de transporte ni aplicaciones. es decir. Si hay algún conflicto entre ellas.iana.

Configuración de directivas de firewall
Resumen de directivas de firewall

un nombre, los parámetros para las conexiones permitidas pueden incluir una o todas las
opciones siguientes para cada adaptador de red:
En la ficha Localización:
• Sufijo DNS específico de conexión
• IP de gateway
• IP de DHCP
• Servidor DNS consultado para resolver las URL
• Servidor WINS usado
• Clave de registro
En la ficha Opciones de red:
• Dirección IP local
• Tipo de soporte
Si dos grupos para localización se aplican a una conexión, Host Intrusion Prevention utiliza la
prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna
regla que coincida en el primer grupo, prosigue con el procesamiento de la regla y podría
encontrar una regla coincidente en el siguiente grupo.
Cuando Host Intrusion Prevention encuentra una coincidencia entre los parámetros de un grupo
para localización y una conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas
como un conjunto pequeño de reglas y usará la prioridad normal. Si algunas de las reglas no
coinciden con el tráfico interceptado, el firewall las omite.
Tenga en cuenta lo siguiente:
• Si Estado de localización está seleccionado, se requiere un nombre de localización.
• Si se selecciona Red local, la dirección IP del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Sufijo DNS , el sufijo DNS del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Puerta de enlace predeterminada, el IP de la puerta de enlace
predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor DHCP, el IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
• Si se selecciona Lista de servidor DNS, la dirección IP del servidor DNS del adaptador
debe coincidir con una de las entradas de la lista.
• Si se selecciona Servidor WINS principal, la dirección IP del servidor WINS principal del
adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor WINS secundario, la dirección IP del servidor WINS secundario
del adaptador debe coincidir al menos con una de las entradas de la lista.

Aislamiento de conexión del grupo de reglas de firewall
Una opción de aislamiento de conexión está disponible para que los grupos prevengan el tráfico
no deseado desde una red designada. Esto puede hacerse por medio de otras interfaces de red
activas en un equipo, como un adaptador inalámbrico que se conecta a un punto wi-fi mientras
que un adaptador con cables se conecta a una LAN.
Cuando se selecciona la opción Aislar esta conexión en la configuración de localización de
un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, el

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

61

Configuración de directivas de firewall
Resumen de directivas de firewall

único tipo de tráfico procesado es el que coincide con las reglas de tráfico permitido anteriores
al grupo en la lista de reglas de firewall y el tráfico que coincide con los criterios del grupo. El
resto del tráfico se bloquea.
NOTA: cualquier grupo con el aislamiento de conexión habilitado no puede tener asociadas
opciones de transporte ni aplicaciones.

Figura 2: Aislamiento de conexión de red
Como ejemplos de uso de la opción de aislamiento de la conexión, considere dos configuraciones:
un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos
en este orden:

62

1

Reglas para una conexión básica

2

Reglas para una conexión VPN

3

Grupo con reglas de conexión de LAN corporativa

4

Grupo con reglas de conexión VPN

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Configuración de directivas de firewall
Resumen de directivas de firewall

Aislamiento de la conexión en la red corporativa
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
de LAN corporativa. Este grupo contiene esta configuración:
• Tipo de soporte: con cable
• Sufijo DNS específico de conexión: mycompany.com
• Dirección de puerta de enlace predeterminada
• Aislar esta conexión: sí
El equipo cuenta con adaptadores de red LAN e inalámbricos y se conecta a la red corporativa
mediante una conexión con cable, aunque la interfaz inalámbrica sigue estando activa, de modo
que se conecta a otro punto fuera de la oficina. El equipo se conecta a ambas redes porque las
reglas de acceso básico están entre las primeras de la lista de reglas de firewall. La conexión
LAN con cable está activa y cumple los criterios del grupo de la LAN corporativa. El firewall
procesa el tráfico a través de LAN, pero debido a que la opción de aislamiento de la conexión
está activada, el resto del tráfico que no pasa por la LAN queda bloqueado.
Aislamiento de la conexión en un hotel
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
VPN. Este grupo contiene esta configuración:
• Tipo de conexión: virtual
• Sufijo DNS: vpn.mycompany.com
• Dirección IP: una dirección en un rango específico para el concentrador VPN
• Aislar esta conexión: sí
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel
para poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso
del túnel VPN. Después de establecer el túnel, el cliente VPN crea un adaptador virtual que
coincide con los criterios del grupo de VPN. El único tráfico que el firewall permite es el del
interior del túnel VPN y el tráfico básico del adaptador actual. Se bloquean los intentos de otros
huéspedes del hotel de acceder al equipo a través de la red, ya sea por cable o de forma
inalámbrica.

Cómo funciona el catálogo de IPS en host
El catálogo de IPS en host simplifica la creación de grupos y reglas de firewall al permitir las
referencias a grupos, reglas, direcciones de red, aplicaciones, ejecutables y datos de localización
de grupos existentes. Además, puede crear referencias a ejecutables de aplicaciones implicadas
en la protección IPS.
Cuando crea una referencia a un elemento del catálogo, crea un enlace dependiente entre este
y una regla o un grupo del firewall. Esto significa que un cambio en el elemento del catálogo
cambiará el grupo o la regla cuando se use. También es posible romper el enlace entre el
elemento del catálogo y un grupo o una regla, para eliminar la dependencia.
El catálogo de IPS en host, que se encuentra en Sistemas, en ePolicy Orchestrator, contiene
seis páginas que enumeran los elementos de reglas de firewall y de grupos de firewall previos.
Los elementos pueden crearse individualmente en el catálogo, agregarse mediante enlace a
otros que se crean en nuevas reglas o nuevos grupos de firewall, o importarse desde
exportaciones en formato .xml de directivas de reglas de firewall.
Las páginas del catálogo incluyen:
• Grupo: lista de los grupos del firewall y propiedades

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

63

haga clic en Establecer filtro para filtrar según los criterios introducidos y haga clic en Borrar para restablecer el filtro. Esto crea un enlace de dependencia entre los elementos. • Haga clic en Agregar al catálogo junto al elemento cuando cree o edite reglas o grupos usando el creador de reglas de firewall o el creador de grupos de firewall.xml no son compatibles con el formato . introduzca la información y guarde el elemento. Agregar al catálogo Puede agregar al catálogo de una de las tres maneras siguientes: • Haga clic en Nuevo en la página del catálogo. haga clic en el botón Agregar desde catálogo para agregar el elemento adecuado del catálogo.0 . Haga clic en Mostrar/ocultar opciones de filtrado para ocultar o mostrar el filtro. que puede romperse cuando sea necesario. Copiar desde el catálogo Cuando use el creador de reglas de firewall o el creador de grupos de firewall.0 para ePolicy Orchestrator 4.Configuración de directivas de firewall Resumen de directivas de firewall • Regla: lista de las reglas de firewall y propiedades • Aplicación: lista de las aplicaciones a las que se puede hacer referencia en un grupo o una regla de firewall • Ejecutable: lista de ejecutables adjuntos a aplicaciones a los que se puede hacer referencia en un grupo o regla de firewall o en aplicaciones relacionadas con IPS • Red: lista de las direcciones IP a las que se puede hacer referencia en un grupo o una regla de firewall • Localización: lista de información específica de localización para grupos de firewall Tabla 6: Catálogo de IPS en host como origen de elementos Función Directiva Elemento de la directiva Elemento del catálogo Dependencia Firewall Reglas de firewall Regla de firewall Regla Sí Firewall Reglas de firewall Grupo de firewall Grupo Sí Firewall Reglas de firewall Localización del grupo del firewall Localización Sí Firewall Reglas de firewall Grupo/regla de firewall Red Sí Firewall Reglas de firewall Grupo/regla de firewall Aplicación Sí Firewall Reglas de firewall Aplicación de grupo/regla de firewall Ejecutable Sí IPS Reglas IPS Regla de protección de aplicación Ejecutable No General Aplicaciones de confianza Aplicación de confianza Ejecutable No Filtros del catálogo Cada página del catálogo contiene un filtro para buscar elementos en la lista de la página. • Haga clic en Importar para agregar datos previamente exportados del catálogo de IPS en formato .xml del catálogo de IPS en host.xml. NOTA: las exportaciones del catálogo de directivas en formato . Esto quiere decir que no puede exportar una directiva de reglas de firewall del catálogo de directivas e importarla al catálogo de IPS en 64 Guía del producto McAfee Host Intrusion Prevention 8.

permite direcciones de 32 bits. Inspección y filtrado de paquetes con seguimiento de estado del firewall El firewall de Host Intrusion Prevention proporciona tanto el filtrado de paquetes con seguimiento de estado como la inspección de paquetes con seguimiento de estado. • Números de puerto de equipo locales y remotos: los equipos envían y reciben servicios a través de puertos numerados. se permite su entrada y se realiza una entrada en una tabla de estados.Configuración de directivas de firewall Resumen de directivas de firewall host para llenarlo con datos de reglas de firewall de las directivas. Por ejemplo. Esta combinación ofrece una fuerte definición del estado de conexión del equipo. • ID del proceso (PID): un identificador exclusivo para el proceso asociado con el tráfico de una conexión. IPv4. permite direcciones de 128 bits. Si un paquete inspeccionado coincide con una entrada de la tabla de estados. Algunos sistemas operativos ya admiten IPv6. el estándar actual para las direcciones IP. un nuevo estándar. Host Intrusion Prevention es compatible con los dos estándares. definido con la directiva Opciones del firewall. El filtrado de paquetes con seguimiento de estado consiste en el rastreo del estado de la información del protocolo TCP/UDP/ICMP en el nivel de transporte 4 e inferiores de la pila de red OSI. el servicio HTTP normalmente está disponible en el puerto 80 y los servicios FTP lo están en el puerto 21. incluye los protocolos TCP. La tabla de estados rastrea de manera dinámica las conexiones que han coincidido anteriormente con un conjunto de reglas estáticas y refleja el estado de conexión actual de los protocolos TCP/UDP/ICMP. • Tiempo de espera: el límite temporal (en segundos). La inspección de paquetes con seguimiento de estado es el proceso que consiste en filtrar paquetes con seguimiento de estado y rastrear comandos en el nivel de aplicación 7 de la pila de red.0 para ePolicy Orchestrator 4. • Fecha y hora: la fecha del último paquete entrante o saliente asociado con la conexión. Para obtener los datos de la directiva del firewall en el catálogo de IPS en host. El acceso a los comandos de nivel de la aplicación ofrece una inspección libre de errores y asegura el protocolo FTP.0 65 . Se examina cada paquete y si el paquete inspeccionado coincide con una regla de permiso del firewall existente. Los números de puerto abarcan desde 0 hasta 65535. use los enlaces de Agregar al catálogo. mientras que IPv6. como Windows Vista y varios distribuidores de Linux. • Direcciones IP de equipo locales y remotas: a cada equipo se le asigna una dirección IP única. Cada entrada de la tabla define una conexión basada en: • Protocolo: la forma predefinida por la que un servicio se comunica con otro. se permite la entrada del paquete sin realizar ningún examen especial adicional. Cuando se cierra una conexión o se agota el tiempo de espera. se elimina la entrada de la tabla de estados. Tabla de estado del firewall Un firewall con seguimiento de estado incluye una tabla de estados que almacena información de manera dinámica sobre las conexiones activas creadas por las reglas de tipo Permitir. Guía del producto McAfee Host Intrusion Prevention 8. después del cual la entrada se elimina de la tabla si no se recibe ningún paquete que coincida con la conexión. UDP e ICMP. El tiempo de espera de las conexiones TCP se aplica únicamente cuando no se ha establecido la conexión.

la entrada de conexión se descarta de la tabla de estados. Si no se encuentra ninguna regla coincidente. se permite su entrada de manera inmediata. Dirección remota y Puerto remoto coinciden con los del paquete. Permitir. se examina la lista de reglas configurables del firewall. 3 Si el paquete coincide con una regla de bloqueo. Puerto local. se permite su entrada y se crea una entrada en la tabla de estados. se bloquea. Tenga en cuenta lo siguiente sobre la tabla de estados: • Si cambian los conjuntos de reglas de firewall. Guía del producto McAfee Host Intrusion Prevention 8. con lo que se permite de manera automática cualquier paquete que coincida con una regla de la tabla de estados. Las entradas de la tabla de estados son resultado de la actividad de la red y reflejan el estado de la pila de red. NOTA: se considera que una entrada de la tabla de estados coincide si Protocolo. el firewall reconoce la nueva configuración de IP e interrumpe todas las entradas de la tabla de estados que tengan una dirección IP local no válida. se permite el tráfico bidireccional incluso con reglas unidireccionales. todas las entradas de la tabla de estados asociadas con un proceso se eliminan. 66 2 Si el paquete coincide con una regla de permiso. Cómo funciona el filtrado con seguimiento de estado El filtrado con seguimiento de estado implica el procesamiento de un paquete frente a dos conjuntos de reglas: un conjunto de reglas configurables de firewall y un conjunto de reglas de firewall dinámico o una tabla de estado. • Si un adaptador obtiene una nueva dirección IP.0 para ePolicy Orchestrator 4. Después de establecer una conexión. Si el paquete coincide con cualquier entrada de la tabla. Cada regla de la tabla de estados tiene únicamente una sola acción.Configuración de directivas de firewall Resumen de directivas de firewall • Dirección: la dirección (entrante o saliente) del tráfico que activó la entrada. Las reglas configurables tienen dos acciones posibles: • Permitir: se permite la entrada del paquete y se crea una entrada en la tabla de estados. • Cuando el proceso finaliza. todas las conexiones activas se comprueban en relación con el nuevo conjunto de reglas. Dirección local. siempre que la entrada coincida con los parámetros de la conexión de la tabla de estados. El proceso de filtrado incluye lo siguiente: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados. • Bloquear: se bloquea la entrada del paquete y no se crea ninguna entrada en la tabla de estados.0 . En caso contrario.

Configuración de directivas de firewall Resumen de directivas de firewall 4 Si el paquete no coincide con ninguna regla configurable. La sesión permanece establecida hasta que se elimina su entrada del canal de control de la tabla de estados. Si la opción de inspección FTP se establece con la directiva Opciones del firewall. El canal de datos se cierra una vez finalizada la transmisión. El firewall analiza el comando PORT (puerto) del paquete y crea una segunda entrada en la tabla de estados para permitir la conexión de datos. sabe que debe realizar una inspección de paquetes con seguimiento de estado a los paquetes que atraviesen el canal de control FTP. llega al puerto de destino FTP 21 y se crea una entrada en la tabla de estados. FTP implica dos conexiones: control para los comandos y datos para la información. abre la conexión de datos con el cliente y transfiere los datos. Cuando el servidor FTP recibe el primer comando de transferencia de datos (LIST). las reglas dinámicas de FTP se denominan reglas de sesión.0 67 . el cliente inicia la conexión. en modo pasivo. La combinación de la conexión de control y una o más conexiones de datos se llama sesión y. cuando el firewall se encuentra con una conexión abierta en el puerto 21. este abre la conexión de datos. se establece el canal de control. Durante Guía del producto McAfee Host Intrusion Prevention 8. que asegura protocolos como el FTP.0 para ePolicy Orchestrator 4. Con el canal de control abierto. en ocasiones. Cuando un cliente se conecta con un servidor FTP. Figura 3: Proceso de filtrado con seguimiento de estado Cómo funciona la inspección de paquetes con seguimiento de estado La inspección de paquetes con seguimiento de estado combina el filtrado con seguimiento de estado con el acceso a comandos al nivel de aplicación. se bloquea. el cliente se comunica con el servidor FTP. Cuando el servidor FTP se encuentra en modo activo.

Se produce una excepción cuando el firewall consulta por primera vez el protocolo TCP y agrega todas las conexiones preexistentes que coinciden con las reglas estáticas. Quedan bloqueadas las conexiones preexistentes sin ninguna regla estática coincidente. • Las reglas dinámicas se crean según la dirección (cliente/servidor) y el modo (activo/pasivo): Guía del producto McAfee Host Intrusion Prevention 8. lo que indica que se trata de una conexión nueva. • El ID de la transacción de respuesta coincide con el de la solicitud. La inspección se produce únicamente en el canal de control. Se permiten todos los paquetes salientes pero solo pueden entrar paquetes entrantes que formen parte de la conexión creada. las respuestas DHCP entrantes se permiten si: • No ha caducado la conexión en la tabla de estados. Los paquetes retransmitidos se omiten.Configuración de directivas de firewall Resumen de directivas de firewall la limpieza periódica de la tabla de estados.0 . en el caso de que se haya eliminado un canal de control de una sesión. los protocolos UDP e ICMPv4/v6 son menos fiables y no tienen conexión. la funcionalidad de firewall de seguimiento de estado solo se admite con Windows Vista y plataformas posteriores. Para asegurar estos protocolos. ICMPv4/v6 Únicamente se rastrean los mensajes de tipo Petición de eco y Respuesta del eco de ICMP. El firewall consulta la pila TCP cada cuatro minutos y descarta las conexiones que no están indicadas por el protocolo TCP. la primera conexión abierta en este puerto. Por tanto. todas las conexiones de datos también se eliminan. Protocolo Descripción de la gestión UDP Se agrega una conexión UDP a la tabla de estados cuando se encuentra una regla estática que coincida y la acción de la regla es de tipo Permitir. DNS Las consultas y respuestas deben coincidir para asegurar que las respuestas de DNS sólo se permiten en el puerto local que originó la consulta y que provienen únicamente de una dirección IP remota que se ha consultado dentro del intervalo de tiempo de espera de conexión virtual UDP. definido con la directiva Opciones del firewall. el cliente responde enviando un paquete con un bit ACK establecido y la conexión de seguimiento de estado queda creada. Las consultas y respuestas deben coincidir para garantizar que solo se permiten paquetes devueltos para consultas inofensivas. que conllevan protocolos desconocidos de nivel de aplicación al firewall. el firewall considera las conexiones UDP e ICMP como conexiones virtuales. se aplica únicamente cuando no se ha establecido la conexión. • La inspección FTP se realiza únicamente en los paquetes con información nueva. El tiempo de espera de la conexión TCP. o forzado. Este tiempo de espera se controla mediante una configuración del Registro y tiene un valor predeterminado de una hora. Cuando un equipo cliente inicia una nueva conexión. • El firewall realiza una inspección de paquetes con seguimiento de estado en las conexiones TCP abiertas en el puerto 21.0 para ePolicy Orchestrator 4. únicamente a las conexiones TCP establecidas. El destino responde enviando al cliente un paquete con un bit SYN-ACK establecido. • La respuesta proviene de la misma dirección IP remota y del mismo puerto desde el que se envió la solicitud. Las conexiones UDP genéricas. envía un paquete a su destino con un bit SYN establecido. permanecen en la tabla de estados mientras la conexión no esté inactiva durante un tiempo superior al periodo de tiempo de espera especificado. que se mantienen únicamente mientras la conexión no esté inactiva durante un tiempo superior al tiempo de espera especificado. TCP El protocolo TCP funciona en el "establecimiento en 3 direcciones". Las respuestas de DNS entrantes se permiten si: DHCP FTP 68 • No ha caducado la conexión en la tabla de estados. Cuando usa IPv6. Se aplica un segundo tiempo de espera TCP. A continuación. Rastreo de protocolo con seguimiento de estado Aquí se resumen los tipos de conexión de protocolo supervisados por el firewall con seguimiento de estado y su gestión. El tiempo de espera de las conexiones virtuales se define en la directiva Opciones del firewall. NOTA: a diferencia del protocolo TCP fiable orientado a la conexión.

entonces examina la lista de reglas estáticas y tampoco encuentra ninguna coincidencia. En el modo de adaptación. Puede activar el modo de aprendizaje para las comunicaciones entrantes. La regla se elimina cuando el cliente inicia la conexión de datos o cuando la regla caduca. Además. cuando se aplique el modo de aprendizaje o el modo de adaptación. Permite o bloquea el tráfico en función de la directiva Reglas de firewall. • Modo pasivo del cliente FTP: el firewall crea una regla saliente dinámica cuando lee la respuesta del comando PASV enviado por el servidor FTP. Filtrado con seguimiento de estado Al aplicar el modo de adaptación o aprendizaje con el firewall con seguimiento de estado. siempre que el comando del puerto sea compatible con RFC 959. Si no se encuentra ninguna coincidencia entre el tráfico y una regla existente.Configuración de directivas de firewall Resumen de directivas de firewall Protocolo Descripción de la gestión • Modo activo del cliente FTP: el firewall crea una regla entrante dinámica después de analizar el comando del puerto entrante. siempre que haya visto anteriormente el comando PASV del cliente FTP y que el comando PASV sea compatible con RFC 959. para las comunicaciones salientes o para ambas. Host Intrusion Prevention muestra todas las reglas creadas en clientes con el modo de aprendizaje o el modo de adaptación y permite guardar estas reglas y migrarlas a reglas administrativas. los pings entrantes se bloquean a menos que se cree una regla de permiso explícita para el tráfico ICMP entrante. el proceso de filtrado crea una nueva regla para encargarse del paquete entrante.0 para ePolicy Orchestrator 4.0 69 . si el host no ha iniciado el servicio Telnet. En el modo de aprendizaje. • Modo pasivo del servidor FTP: el firewall crea una regla entrante dinámica. consulte Preguntas frecuentes: modo de adaptación en Gestión de la protección. Host Intrusion Prevention muestra una alerta del modo de aprendizaje cuando intercepta tráfico de red desconocido. el tráfico TCP entrante hacia el puerto 23 (Telnet) se bloquea incluso aunque no haya ninguna regla explícita que bloquee este tráfico. Por motivos de seguridad. Por ejemplo. Esta alerta solicita al usuario que permita o bloquee el tráfico que no coincida con una regla existente y crea automáticamente reglas dinámicas correspondientes para el tráfico no coincidente. Host Intrusion Prevention crea automáticamente una regla de tipo Permitir para permitir todo el tráfico que no coincida con una regla de tipo Bloquear existente y crea automáticamente reglas de tipo Permitir dinámicas para el tráfico no coincidente. Host Intrusion Prevention supervisa continuamente el tráfico de red que un equipo envía y recibe. Guía del producto McAfee Host Intrusion Prevention 8. el tráfico entrante hacia un puerto que no esté abierto en el host se bloquea a menos que se cree una regla de permiso explícita para el tráfico. Cómo afectan los modos aprendizaje y adaptación al firewall Al activar el firewall. La regla se elimina cuando el servidor inicia la conexión de datos o cuando la regla caduca. se bloquea automáticamente a menos que el firewall se esté ejecutando en los modos de aprendizaje o adaptación. Este es el proceso de filtrado: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados y no encuentra ninguna coincidencia. Para obtener más información acerca del uso del modo de adaptación con el firewall. • Modo activo del servidor FTP: el firewall crea una regla saliente dinámica tras analizar el comando del puerto entrante. Puede crear una regla de tipo Permitir explícita para el tráfico que desee.

0 . El resultado es una lista de reglas que incluye todos los criterios. Activación de protección por firewall ™ La directiva Opciones del firewall activa la protección por firewall y proporciona TrustedSource y configuración de firewall con seguimiento de estado. Use esta opción para permitir el tráfico a través de un entorno de puente con máquinas virtuales. Reglas de firewall para cliente Un cliente en modo de adaptación o aprendizaje crea reglas de cliente de firewall para permitir la actividad bloqueada. Si se trata de un paquete TCP. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes. 4 Si no se permite ninguna regla nueva. El resultado es una lista de reglas mostradas en grupos y ordenadas por el valor asociado con las variables seleccionadas. y después seleccione el tipo de protección: • Normal (valor predeterminado): use esta configuración cuando no esté ajustando un despliegue. • Modo de aprendizaje: selecciónela para que se creen reglas.Configuración de directivas de firewall Activación de protección por firewall 2 No se realiza ninguna entrada en la tabla de estados. Úsela solo temporalmente cuando esté afinando un despliegue. se coloca en la lista de pendientes. el paquete se descarta. 3 Si se permiten nuevas reglas. Si esta opción está desactivada. En caso contrario. Puede hacer un seguimiento de las reglas del cliente y verlas en una vista filtrada o agregada. • Modo de adaptación: selecciónela para que se creen automáticamente las reglas que permiten el tráfico. el de salida. pero sí una de las direcciones MAC en la lista de VM compatibles con el firewall. según las indicaciones del usuario. Selecciónela también para permitir el tráfico de entrada. o ambos. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas creadas en el cliente de forma 70 Guía del producto McAfee Host Intrusion Prevention 8. el paquete se libera. Configuración general Estas son las opciones generales disponibles: • Activado: selecciónela para activar el firewall. pero si se trata de un paquete de TCP. se crea una regla de permiso estática unidireccional. • Permitir el tráfico de protocolos no admitidos: selecciónela para permitir el tráfico que usa protocolos no admitidos. Úsela solo temporalmente cuando esté afinando un despliegue.0 para ePolicy Orchestrator 4. todo el tráfico que use protocolos no admitidos se bloqueará. La agregación de reglas de cliente genera una lista de reglas agrupadas por el valor asociado con cada variable seleccionada en el cuadro de diálogo Seleccionar columnas para agregar. Filtrado y agregación de reglas La aplicación de eventos genera una lista de reglas que satisface todas las variables definidas en los criterios de filtro. que permitan el tráfico. • Permitir tráfico mediante puentes: selecciónela para permitir el tráfico con una dirección MAC local que no sea la dirección MAC del sistema local. se realiza una entrada en la tabla de estados. También es posible crear reglas manualmente en el equipo cliente.

Configuración de firewall con seguimiento de estado Está disponible la configuración del firewall con seguimiento de estado: • Inspección de protocolo FTP: una configuración de firewall con seguimiento de estado que permite hacer el seguimiento de las conexiones FTP. basada en la directiva McAfee Default. Sin verificar y No bloquear. Se restablece su valor configurado cada vez que se envía o recibe un paquete que coincida con la conexión virtual. y estas opciones se seleccionan para aplicarse cuando se activa el firewall: • Permitir tráfico mediante puentes Guía del producto McAfee Host Intrusion Prevention 8. Riesgo medio. • Enviar eventos a ePO para infracciones de TrustedSource: selecciónela para enviar eventos al servidor ePO si la configuración del umbral de bloqueo TrustedSource para el tráfico entrante o saliente registra coincidencias.Configuración de directivas de firewall Activación de protección por firewall automática mediante el modo de adaptación. • Activar la protección contra falsificación de direcciones IP: selecciónela para bloquear el tráfico de red de direcciones IP no locales del host o de los procesos locales que intenten falsificar su dirección IP. Las opciones incluyen: Riesgo alto. • Límite de bloqueo de TrustedSource entrante: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico entrante de una conexión de red. • Límite de bloqueo de TrustedSource saliente: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico saliente de una conexión de red. duplicar. editar. eliminar y exportar directivas personalizadas. Las opciones incluyen: Riesgo alto. Riesgo medio. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. hasta que el servicio de firewall de Host IPS se haya iniciado en el cliente. Debería estar siempre seleccionada. • Tiempo de espera de la conexión TCP: el tiempo en segundos durante el que sigue activa una conexión TCP no establecida si no se envían ni reciben más paquetes que coincidan con la conexión. Configuración de la protección Esta configuración permite una protección especial específica del firewall: • Permitir solo el tráfico saliente hasta que el servicio de Host IPS se haya iniciado: selecciónela para permitir el tráfico saliente. • Tiempo de espera de la conexión virtual de eco UDP e ICMP: el tiempo en segundos durante el que se mantiene activa una conexión virtual de eco UDP o IMCP si no se envían ni reciben más paquetes que coincidan con la conexión. de modo que solo se requiera una regla de firewall para el tráfico FTP cliente saliente y otra para el tráfico FTP servidor entrante. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección por firewall está desactivada. las conexiones FTP requerirán una regla adicional para el tráfico FTP de cliente entrante y otra para el tráfico FTP de servidor saliente. por medio de la interacción del usuario con el modo de aprendizaje o manualmente en un cliente cuando se aplique esta directiva. Si esta opción no está seleccionada. cambiar el nombre. pero no el tráfico entrante.0 para ePolicy Orchestrator 4. Sin verificar y No bloquear.0 71 . Puede ver y duplicar directivas preconfiguradas y crear.

Se muestra la lista de directivas. 3 En la página Opciones del firewall que aparece. Tarea Para ver la definición de las opciones.Configuración de directivas de firewall Activación de protección por firewall • Conservar las reglas de cliente • Activar la protección contra falsificación de direcciones IP • Usar inspección de protocolo FTP Configuración de la directiva Opciones del firewall Configure las opciones de esta directiva para activar o desactivar la protección de firewall o aplicar el modo de adaptación o aprendizaje. La primera regla permite una conexión a TrustedSource. y la segunda bloquea o permite el tráfico según la reputación de la conexión y el umbral de bloqueo configurado. se crean dos reglas de firewall: TrustedSource: permite el Servicio de IPS en host y la obtención de clasificación por parte de TrustedSource. dominios. Usando los datos obtenidos del análisis.0 para ePolicy Orchestrator 4. haga clic en Guardar.0 . URL e imágenes. 2 En la lista de directivas Opciones del firewall. mensajes específicos. la actividad web. Estas preguntas frecuentes explican qué hace TrustedSource y cómo afecta al firewall. ¿Qué quiere decir "reputación"? Para cada dirección IP en Internet. Preguntas frecuentes: McAfee TrustedSource y el firewall Dos opciones de la directiva Opciones de firewall le permiten bloquear el tráfico entrante y saliente de una conexión de red que McAfee TrustedSource™ ha clasificado como de alto riesgo. cambie los valores predeterminados y. las opciones incluyen visualizar y duplicar. ¿Qué es TrustedSource? TrustedSource es un sistema de inteligencia global de reputación en Internet que determina qué es un buen comportamiento y un mal comportamiento en Internet mediante el uso de análisis en tiempo real de comportamientos mundiales y el envío de patrones para el correo electrónico. a continuación. ¿Cómo funciona? Cuando las opciones de TrustedSource están seleccionadas. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Para las directivas no editables. duplicar. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Opciones del firewall en la lista Categoría. TrustedSource calcula un valor de reputación según el comportamiento de envío y de hosting y los varios datos de entorno que TrustedSource recoge. haga clic en ? en la página que las muestra. eliminar y exportar. 72 Guía del producto McAfee Host Intrusion Prevention 8. el software malintencionado y el comportamiento de sistema a sistema. otras opciones incluyen cambiar nombre. NOTA: para las directivas editables. TrustedSource calcula de forma dinámica las puntuaciones de reputación que representan el nivel de riesgo para su red que se da cuando visita una página web. El resultado es una base de datos de puntuaciones de reputación para direcciones IP.

pero que también muestra algunas propiedades que sugieren la necesidad de una inspección adicional. basada en la directiva McAfee Default. ¿Introduce latencia? ¿Cuánta? Cuando TrustedSource recibe una demanda de comprobación de reputación. En primer lugar. Puede ver y duplicar la directiva preconfigurada y editar. En segundo lugar. • Sin verificar: nuestro análisis indica que parece ser una fuente o destino legítimo de contenido/tráfico. Tabla 7: Directivas Reglas de firewall preconfiguradas Directiva Uso Mínima (valor predeterminado) Utilice esta directiva para la protección mínima predeterminada. se da una arquitectura de creación de caché inteligente.0 para ePolicy Orchestrator 4. sin consultas a la reputación en línea. algo de latencia es inevitable. permitiéndolo o bloqueándolo.Configuración de directivas de firewall Definición de la protección de firewall agrega y relaciona automáticamente de clientes y socios acerca del estado del panorama de las amenazas en Internet. En un uso normal de la red.0 73 . McAfee ha hecho todo lo posible para minimizarla. • Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos que creemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino o procedente del mismo requiere un escrutinio especial. eliminar y exportar las directivas personalizadas editables. • Riesgo alto: nuestro análisis indica que esta fuente/destino envía o enviará/alojará contenido/tráfico potencialmente malicioso. Definición de la protección de firewall Las reglas de firewall determinan el funcionamiento de un sistema cuando intercepta tráfico de red. Selecciones de la directiva Reglas de firewall La categoría de directivas de reglas de firewall incluye dos directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. la comprobación de reputación se realiza solo cuando se seleccionan las opciones. La reputación se expresa en cuatro clases: • Riesgo mínimo (no bloquear): nuestro análisis indica que se trata de una fuente o destino legítimo de contenido/tráfico. Puede crear y gestionar reglas de firewall mediante la aplicación de la directiva Reglas de firewall y la directiva Bloqueo de DNS de firewall con la configuración adecuada. cambiar el nombre. Hace lo siguiente: • Bloquea cualquier tráfico entrante de ICMP que podría usar un atacante para reunir información sobre su Guía del producto McAfee Host Intrusion Prevention 8. ¿Qué pasa si el firewall no puede llegar a los servidores de TrustedSource? ¿Se detiene el tráfico? Si el firewall no puede llegar a cualquiera de los servidores de TrustedSource. duplicar. la mayoría de las conexiones deseadas se resuelven desde la caché. así que creemos que representa un riesgo importante. asigna automáticamente a todas las conexiones aplicables una reputación predeterminada permitida y sigue con un análisis de las reglas posteriores.

Para las directivas no editables. NOTA: para las directivas editables personalizadas. Esta directiva debe generar menos reglas cliente aprendidas en modo de adaptación. las opciones incluyen visualizar y duplicar. si se compara con las directivas de firewall predeterminadas. eliminar y exportar. Configuración de la directiva Reglas del firewall Configure las opciones de esta directiva para definir reglas para la protección por firewall. • Permite el tráfico que usa los puertos OOTP. • Permite todo el tráfico alto de entrada y el tráfico UDP de salida. Simplemente. La directiva tiene todas las funciones y satisface las necesidades de la mayoría de firewall empresariales. 3 74 Realice una de las operaciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. Típico entorno corporativo • Permite solicitudes para compartir archivos de Windows procedentes de equipos de la misma subred y bloquea las solicitudes para compartir archivos que procedan de cualquier otra ubicación (la directiva Redes de confianza debe tener Incluir automáticamente la subred local seleccionada). Selecciones de la directiva de bloqueo de DNS del firewall La categoría de directivas de bloqueo de DNS de firewall contiene una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. basada en la directiva McAfee Default. DNS y Net Time UDP. Utilice esta directiva como punto de partida y. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. duplicar. Se muestra la lista de directivas. eliminar y exportar las directivas personalizadas editables. más adelante. Tarea Para ver la definición de las opciones. otras opciones incluyen cambiar nombre. • Le permite explorar dominios.0 para ePolicy Orchestrator 4. cambiar el nombre. combine los resultados de aplicar el modo de adaptación para conocer y comprobar otras reglas. haga clic en ? en la página que las muestra. grupos de trabajo y equipos Windows. duplicar. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Reglas del firewall en la lista Categoría. SUGERENCIA: no intente crear una directiva desde cero. Puede ver y duplicar la directiva preconfigurada y editar. duplique una directiva existente y edite las reglas y grupos de la directiva para que satisfagan sus necesidades. 2 En la lista de directivas Reglas del firewall.Configuración de directivas de firewall Definición de la protección de firewall Directiva Uso equipo.0 . IPS en host permite todo el resto de tráfico ICMP.

haga clic en ? en la página que las muestra. tipo de soporte. estado Red Protocolo de red. Guía del producto McAfee Host Intrusion Prevention 8. • Seleccione la regla o el grupo y haga clic en: • Editar en Acciones para editar un elemento.. haga clic en Editar en Acciones para editar una regla existente. 1 En la página de directivas Reglas de firewall. • Duplicar para hacer una copia del elemento.. Agregar un grupo del firewall Haga clic en Nuevo grupo o en Agregar grupo desde catálogo. revise los detalles de la regla y haga clic en Guardar. redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Ajustes de estado y de hora En la ficha Resumen. dirección. 2 Introduzca la información adecuada en cada ficha....0 para ePolicy Orchestrator 4. Agregar una regla del firewall Haga clic en Nueva regla o en Agregar regla desde catálogo.0 75 . a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha. 3 En esta ficha. acción. Consulte Creación y edición de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles. Creación y edición de reglas de firewall Edite o agregue una nueva regla de firewall a la lista de reglas de una directiva Reglas de firewall si la lista predeterminada no cubre operaciones específicas. Haga lo siguiente. • Subir para subir el elemento en la lista. • Eliminar para eliminar el elemento.xml. Consulte Creación y edición de grupos de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles.. Descripción Nombre (obligatorio). Este archivo puede importarse al catálogo del firewall o a otra directiva. Configure estas opciones. 4 Haga clic en Exportar para exportar toda la información del grupo o la regla de la directiva a un archivo .. • Agregar a catálogo en Acciones para agregar el elemento al catálogo del firewall.Configuración de directivas de firewall Definición de la protección de firewall Para. haga clic en Nueva regla para crear una nueva regla. 5 Haga clic en Guardar para guardar los cambios.. Realizar una acción en una única regla o grupo • Selecciona la regla o el grupo para mostrar un resumen de la configuración del elemento en el panel derecho. • Bajar para bajar el elemento en la lista. Tarea Para ver la definición de las opciones.

introduzca un Nombre para la localización y seleccione un sufijo DNS. NOTA: las opciones de transporte y aplicaciones no están disponibles para grupos de aislamiento de conexión. Use un grupo de una sola finalidad con reglas que permitan. haga clic en Guardar.. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host.. virtual). revise los detalles del grupo y haga clic en Guardar. estado Localización Configuración para localización.0 para ePolicy Orchestrator 4. Tarea 1 En la página de directivas Reglas de firewall. Inalámbrica o Virtual) a la que desee aplicar las reglas del grupo. Creación de grupos de aislamiento de conexión Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados. haga clic en Nuevo grupo para crear un nuevo grupo. 2 Introduzca la información adecuada en cada ficha. Tarea Para ver la definición de las opciones. haga clic en ? en la página que las muestra. 2 En la ficha Descripción.Configuración de directivas de firewall Definición de la protección de firewall Creación y edición de grupos de reglas de firewall Cree o edite un grupo de reglas de firewall para una directiva de Reglas de firewall con el objetivo de crear un conjunto de reglas con una sola finalidad. 3 En la ficha localización.. tipo de soporte (con cable. una puerta de enlace u otros criterios con los que coincidir. 4 En la ficha Red. haga clic en Nuevo Grupo o en Agregar grupo desde catálogo. inalámbrico. introduzca un nombre descriptivo en el campo Nombre. por ejemplo.. En esta ficha. incluido el aislamiento de conexión Red Protocolo de red. Configure estas opciones. seleccione Activado tanto para Estado de localización como para Aislamiento de conexión. seleccione el tipo de conexión (Con cable. 5 76 En la ficha Resumen. Los grupos aparecen en la lista de reglas precedidos por una flecha. redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Configuración de estado y de tiempo. 4 Cree reglas nuevas en este grupo. la conexión VPN. Descripción Nombre (obligatorio). a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha. haga clic en Editar en Acciones para editar un grupo existente.0 . dirección. Es posible hacer clic en la flecha para mostrar u ocultar las reglas del grupo. Guía del producto McAfee Host Intrusion Prevention 8. 1 En la página de directivas Reglas de firewall. en Tipos de soporte. incluida la activación de grupos sincronizados 3 En la ficha Resumen.

en su lugar. haga clic en Guía del producto McAfee Host Intrusion Prevention 8. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host. *domain. después. haga clic en ? en la interfaz. Editar un elemento Haga clic en el enlace asociado al elemento. 3 En el cuadro de texto. Bloqueo del tráfico DNS Para ajustar la protección de firewall. Tarea Para ver las definiciones de las opciones. crear y agregar nuevos elementos o importar y exportar elementos del catálogo.0 77 . 1 Vaya a Sistemas | Catálogo de IPS en host. 3 Haga cualquiera de las siguientes tareas en la página del catálogo: Para. haga clic en Editar en Acciones para editar una regla existente.com. Esta tarea le ayuda a encontrar y editar los elementos del catálogo existentes. Haga clic en Editar para editar el elemento. elimine o reordene las columnas y haga clic en Guardar. seleccione un elemento del catálogo. Red y Localización. 5 Haga clic en Guardar para guardar los cambios. Se permite un nombre por entrada. 1 En la página de directivas Bloqueo DNS del firewall. Las opciones son: Grupo. por ejemplo. 4 Haga clic en el botón Agregar para agregar otras direcciones. Uso del catálogo de IPS en host El catálogo de IPS en host le permite agregar nuevos elementos o referirse a elementos existentes para su uso con el firewall..0 para ePolicy Orchestrator 4. haga clic en Nueva regla para crear una nueva regla.. Filtrar por un elemento Introduzca el criterio de filtrado y. Regla. Use los comodines * y ?. 2 En Tipo de elemento. Tarea Para ver la definición de las opciones. seleccione.Configuración de directivas de firewall Definición de la protección de firewall 6 Cree reglas nuevas en este grupo. haga clic en el botón Eliminar para eliminar direcciones.. Cambiar la vista de los elementos Seleccione Opciones | Elegir columnas.. Haga lo siguiente. puede crear una lista de servidores de nombre de dominio que Host IPS bloqueará no permitiendo la resolución de su dirección IP. haga clic en Establecer filtro. NOTA: no use esta función para bloquear dominios completos. Haga clic en Borrar para volver a la vista predeterminada. 2 Haga clic en Agregar dominio bloqueado. bloquee estos dominios en la dirección remota de una regla del firewall. introduzca el servidor de nombre de dominio que desee bloquear. Proceso. haga clic en ? en la página que las muestra. Aplicación.

incluidos permisos de vista para acceder al registro de eventos. sistemas y árbol del sistema. NOTA: para agregar un elemento del catálogo cuando se crea una regla o grupo de firewall. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente.. NOTA: si elimina un elemento que tiene un enlace dependiente.. Exportar todos los elementos del tipo de catálogo Haga clic en Exportar en la parte superior derecha de la página y. Exportar un solo elemento Haga clic en el enlace Exportar asociado al elemento. haga clic en ? en la página que las muestra. localice y abra el archivo en formato . se rompe la dependencia entre el elemento y el catálogo y se crea un elemento nuevo independiente en su lugar. después. dé un nombre y guarde el archivo en formato . Duplicar para crear una copia del elemento y haga clic en Eliminar para eliminar el elemento.Configuración de directivas de firewall Definición de la protección de firewall Para..xml.xml. Cuando agrega un elemento desde el catálogo o hacia este. Si hace clic en el enlace.0 para ePolicy Orchestrator 4. Importar elementos del tipo de catálogo Haga clic en Importar en la parte superior derecha de la página y.. Seleccionar las columnas que se han de mostrar Seleccione Elegir columnas en el menú Opciones. y cómo moverlas a una directiva de Reglas de firewall puede ajustar y reforzar la seguridad.. haga clic en el enlace Agregar al catálogo que se encuentra junto al elemento. Guía del producto McAfee Host Intrusion Prevention 8. se ubicará una copia independiente del elemento eliminado con el grupo o la regla enlazados. con la regla o el grupo enlazados. Gestión de Reglas de cliente del firewall Visualizar reglas de cliente del firewall creadas automáticamente en los modos de adaptación o aprendizaje o manualmente en un cliente. NOTA: el acceso a Reglas de cliente del firewall de la ficha IPS en host en Informes requiere permisos adicionales diferentes que para el firewall de Host Intrusion Prevention. 78 1 Vaya a Informes | IPS en host y haga clic en Reglas de cliente del firewall.. Crear y agregar un elemento Haga clic en Nuevo. Tarea Para ver la definición de las opciones. En la página o páginas que aparecen. quite o reordene las columnas que se mostrarán. agregue. crea un enlace dependiente entre el elemento y el catálogo con un enlace Interrumpir referencia de catálogo. 3 Determine cómo desea ver la lista de reglas del cliente: Para.0 . después... En la página Seleccionar columnas. Para agregar un elemento que haya creado mientras trabaja en el creador de reglas o grupos del firewall. haga clic en Agregar desde catálogo en la parte inferior de la página adecuada del creador. Ordenar por columna Haga clic en el encabezamiento de la columna. Haga lo siguiente. introduzca los datos adecuados y haga clic en Guardar. Haga lo siguiente.

Agregar reglas Haga clic en Agregar. seleccione una o más en la lista y haga clic en Crear regla del firewall. después.0 79 . Guía del producto McAfee Host Intrusion Prevention 8. Host IPS permite el uso de caracteres comodín. el nombre del equipo o la ID de firma para filtrar. el escape es |*|*. introduzca una fecha de inicio. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. Desde o Entre. introduzca tanto una fecha de inicio como de fin. Filtrar por grupos Desde el menú Filtro. | (canalización) Escape de caracteres comodín.. ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras. Filtrar por hora de creación Seleccione el momento en que se creó la regla: Ninguno. Haga clic en Quitar para quitar la configuración del filtro. seleccione Solo este grupo o Este grupo y todos los subgrupos. Haga clic en Quitar para quitar la configuración del filtro.. ** (dos asteriscos) Varios caracteres incluidos / y \. Haga clic en Quitar para eliminar la configuración de agregación. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos. haga clic en Aceptar. si selecciona Entre. el nombre de usuario. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. Para mover las reglas a una directiva. NOTA: para **. Preguntas frecuentes: uso de caracteres comodín en reglas de firewall Cuando se introducen valores en ciertos campos de las reglas de firewall..0 para ePolicy Orchestrator 4. Filtrar por texto buscado Escriba la ruta del proceso. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. Si selecciona Desde. * (un asterisco) Varios caracteres excluidos / y \. el nombre del proceso. seleccione los criterios en los que desee agregar las reglas y. los ejecutables y las URL. las claves de registro. Haga lo siguiente.Configuración de directivas de firewall Definición de la protección de firewall 4 Para.. a continuación. indique la directiva a la que desea mover las reglas. NOTA: las rutas de las claves de registro para las localizaciones de los grupos de firewall no reconocen los valores de los comodines.

0 . | (canalización) Escape de caracteres comodín.Configuración de directivas de firewall Definición de la protección de firewall 80 Carácter Definición * (un asterisco) Varios caracteres incluidos / y \. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.

Al igual que la directiva Reglas IPS. Guía del producto McAfee Host Intrusion Prevention 8. los tipos de alertas de intrusos. Para saber más. consulte Aplicación de directivas con el cliente Solaris/Linux en Uso de clientes IPS en host. Marcar las redes como "de confianza" elimina o reduce la necesidad de excepciones IP de red y de reglas de firewall adicionales.Configuración de directivas generales La función General de Host Intrusion Prevention proporciona acceso a las directivas de naturaleza general. Solo para clientes Windows. Las redes de confianza pueden incluir direcciones IP individuales o intervalos de direcciones IP. también si el icono de cliente Host Intrusion Prevention aparece en la bandeja del sistema. Aplicaciones de confianza: indica las aplicaciones que son seguras y que no tienen vulnerabilidades conocidas. esta categoría de directivas puede contener varias instancias de directiva. y que no son específicas de IPS ni del firewall. y controlan el acceso del cliente así como las aplicaciones y redes de confianza. solo se aplican algunas directivas y opciones. Contenido Introducción a las directivas generales Definición de la funcionalidad de cliente Definición de redes de confianza Definición de aplicaciones de confianza Introducción a las directivas generales Las directivas generales funcionan con las funciones IPS y firewall. las contraseñas de acceso a la interfaz del cliente y las opciones de solución de problemas. Todas las directivas y opciones se aplican a sistemas operativos Windows. Configurar las directivas Redes de confianza y Aplicaciones de confianza puede reducir o eliminar los falsos positivos. Directivas disponibles Existen tres directivas generales: IU de cliente: determina qué opciones están disponibles para un equipo cliente Windows.0 81 .0 para ePolicy Orchestrator 4. lo que ayuda al afinar un despliegue. incluidas las excepciones de TrustedSource. Para clientes de plataformas Windows y no Windows. Redes de confianza: indica las redes y direcciones IP con las que existen comunicaciones seguras. En los sistemas no Windows. Marcar las aplicaciones como "de confianza" elimina o reduce la necesidad de excepciones IPS y de reglas de firewall adicionales. La función de contraseñas se utiliza en clientes tanto de plataformas Windows como no Windows.

que tiene que realizar operaciones especiales en equipos cliente ignorando las posibles directivas impuestas por los administradores. editar. Tarea Para ver la definición de las opciones. eliminar y exportar directivas personalizadas.0 para ePolicy Orchestrator 4. Las reglas de cliente creadas durante este período de tiempo se conservan. Las opciones de esta directiva permiten satisfacer las necesidades de tres funciones típicas de usuario: Tipo de usuario Funcionalidad Normal El usuario medio que tiene el cliente Host Intrusion Prevention instalado en un equipo de sobremesa o en un portátil. Puede ver y duplicar la directiva preconfigurada. Configuración de una directiva IU de cliente Configure las opciones de la directiva para indicar la visualización de iconos. duplicar.Configuración de directivas generales Definición de la funcionalidad de cliente Definición de la funcionalidad de cliente La directiva IU de cliente determina cómo aparecen y funcionan los clientes de IPS en host. NOTA: las modificaciones en las directivas administrativas realizadas desde la consola de ePolicy Orchestrator se aplicarán solo una vez que haya caducado la contraseña. Desconectado El usuario. las reacciones en caso de intrusos. Para los clientes Windows se incluyen la configuración de visualización de iconos. haga clic en ? en la página que las muestra. solo es válida la función de contraseña para acceso administrativo. si determinadas actividades inofensivas están bloqueadas. 82 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto e IU de cliente en la lista Categoría. La directiva IU de cliente permite a este usuario obtener una contraseña basada en tiempos para realizar tareas administrativas o para activar o desactivar las funciones de protección. Guía del producto McAfee Host Intrusion Prevention 8. • Crear más reglas IPS y de firewall. Se muestra la lista de directivas. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. • Desactivar temporalmente la protección de IPS y firewall. El usuario puede tener problemas técnicos con Host Intrusion Prevention o necesitar realizar operaciones sin que interactúen con el programa. que pasa períodos de tiempo desconectado del servidor Host Intrusion Prevention. Para los clientes no Windows. La directiva IU de cliente permite que este usuario obtenga una contraseña de administrador sin caducidad para realizar tareas administrativas. La directiva IU de cliente contiene una directiva preconfigurada y una directiva Mis valores predeterminados que se puede editar. También puede crear. las reacciones en caso de intrusos y el acceso de usuarios administradores y clientes. Administrador Un administrador TI de todos los equipos. si lo permiten las reglas administrativas. • Obtener alertas emergentes de intrusos o evitarlas. el acceso del administrador y el usuario cliente en clientes Windows y el acceso del administrador en clientes no Windows. probablemente con un portátil. 2 En la lista de directivas IU de cliente. cambiar el nombre.0 . Las tareas administrativas para los usuarios desconectados y administrador incluyen: • Activar o desactivar las directivas IPS y de firewall. La directiva IU de cliente permite a este usuario: • Ver el icono del cliente Host Intrusion Prevention en la bandeja del sistema y ejecutar la consola del cliente.

Consulte Definición de opciones generales de IU. Las contraseñas desbloquean la consola del cliente Windows y dan acceso al control de solución de problemas en clientes Windows y no Windows. NOTA: los usuarios que necesiten desactivar temporalmente una función de Host Intrusion Prevention para acceder a una aplicación o un sitio de red inofensivo que esté bloqueado. Cuando esta directiva se aplica al cliente. los comandos de menú no tendrán efecto. La función desactivada permanece así hasta que la restaura el comando del menú o hasta que una nueva directiva se aplique. pueden utilizar el icono de la bandeja de Host Intrusion Prevention para desactivar una función sin abrir la consola de cliente. La consola del cliente permanece desbloqueada Guía del producto McAfee Host Intrusion Prevention 8. en la ficha Opciones avanzadas. • Si la IU de cliente está desbloqueada. Opciones de solución de problemas) y realice los cambios necesarios. seleccione una ficha (Opciones generales. a continuación. Hay dos tipos de contraseñas disponibles: • Una contraseña de administrador. haga clic en ? en la interfaz. En esta ficha puede establecer las opciones de visualización de la IU de cliente e indicar cómo responde el cliente a un evento de intrusión. se desactiva la protección IPS en host e IPS de red. seleccione Permitir desactivación de funciones desde el icono de la bandeja y. seleccione mostrar el sistema. 1 Haga clic en la ficha Configuración general de la directiva IU de cliente y. Para esta función. que un administrador puede configurar y que es válida mientras la directiva se aplique al cliente. seleccione la opción para mostrar el icono de menú de bandeja para acceder al menú de la consola del cliente o mostrar la aplicación en la lista Agregar o quitar programas. Tenga en cuenta lo siguiente: • Al desactivar IPS.Configuración de directivas generales Definición de la funcionalidad de cliente 3 En la página IU de cliente. seleccione las opciones que controlan la reacción del cliente cuando se encuentra un intruso. seleccione las funciones que desee desactivar.0 para ePolicy Orchestrator 4. en Opciones de visualización. 4 Haga clic en Guardar para guardar los cambios. Definición de opciones avanzadas de IU o Definición de opciones de solución de problemas de IU de cliente para obtener más detalles. Configuración de opciones avanzadas y contraseñas de IU de cliente Configurar las opciones de la ficha Opciones avanzadas de la directiva IU de cliente para acceso por contraseña en clientes Windows y no Windows. Opciones avanzadas. Tarea Para ver las definiciones de las opciones. 2 En En caso de evento de intruso.0 83 . Definición de opciones generales de IU de cliente Configure las opciones de la ficha Configuración general de la directiva IU de cliente para determinar la visualización de iconos y las reacciones en caso de intrusos solo para clientes Windows. después. la contraseña se activa.

• Haga clic en Guardar. que tiene fecha y hora de caducidad. 4 Aplique la directiva IU de cliente al grupo que incluye el sistema al que aplicar la contraseña. Para este tipo de contraseña. En un cuadro de diálogo aparece la contraseña con la fecha y la hora de caducidad. Para obtener más información. 2 Haga clic en Guardar en caso de que haya efectuado algún cambio en la directiva. • Seleccione Activar contraseña basada en tiempos. Puede indicar el sistema en el que desea crear la contraseña o crear la contraseña en la directiva IU de cliente para todos los sistemas a los que se aplica la directiva. • Una contraseña basada en tiempos. La contraseña aparece en el cuadro de diálogo. Administrador • Escriba una contraseña en el cuadro de texto Contraseña.. consulte Desbloqueo de la interfaz del cliente Windows. 3 Vaya a Sistemas | Árbol de sistemas. Tarea 84 1 Compruebe que la opción Activar contraseñas basadas en tiempo de la ficha Avanzadas de la directiva IU de cliente está seleccionada. Guía del producto McAfee Host Intrusion Prevention 8. 5 Seleccione el grupo y. haga clic en Calcular la contraseña basada en tiempos. en la ficha Sistemas seleccione un sistema único. 2 Determine el tipo de contraseña que desea crear. Basada en tiempos Creación de contraseñas según el sistema Se pueden crear y asignar contraseñas basadas en tiempos en función del sistema.. La consola del cliente permanece desbloqueada hasta que se cierra. • Haga clic en Guardar. Debe contener al menos diez caracteres. introduzca nuevamente la contraseña de administrador.0 . NOTA: cuando la consola de cliente está desbloqueada. a continuación.. Haga lo siguiente.0 para ePolicy Orchestrator 4. Para volver a abrir los controles de la consola del cliente. • Introduzca la fecha y la hora en que caduca la contraseña y haga clic en Calcular la contraseña basada en tiempos. 6 Haga clic en Crear contraseña basada en tiempos. • Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña. 7 Establezca la fecha y hora en la que caduca la contraseña y. a continuación. Tarea 1 Haga clic en la ficha Opciones avanzadas de la directiva IU de cliente aplicada a un sistema o a un grupo.Configuración de directivas generales Definición de la funcionalidad de cliente hasta que se cierra.. Esta contraseña se genera automáticamente. las directivas no se aplican.

En lugar de utilizar la función de solución de problemas del cliente individual. y que desactivan motores IPS determinados. Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc. • Depuración registra todos los mensajes. • Error registra los mensajes de error.log.0 para ePolicy Orchestrator 4.. Cuando desactive los motores. • Advertencia registra los mensajes de advertencia y de error. Guía del producto McAfee Host Intrusion Prevention 8. Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\HipShield. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\HipShield. • Información registra mensajes de información. en MB. 2 Seleccione la configuración de directiva que desee aplicar: Para Haga lo siguiente. puede aplicar opciones de solución de problemas de nivel de directiva que activan el registro de eventos IPS y del firewall. • Desactivado no registra ningún mensaje. • Información registra mensajes de información.Configuración de directivas generales Definición de la funcionalidad de cliente Definición de opciones de solución de problemas de IU de cliente Configurar las opciones de la ficha Solución de problemas de la directiva IU de cliente para opciones de registro y activar y desactivar motores. Activar el registro de IPS Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos de IPS.. Activar el registro de firewall Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos del firewall. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc. Tarea 1 Haga clic en la ficha Solución de problemas de la directiva IU de cliente. En Windows Vista.log. en Windows Vista. recuerde volver a activarlos tras solucionar los problemas. del registro de eventos en el cliente. Cambie el tamaño del registro de 1 MB (predeterminado) a un número más grande. • Depuración registra todos los mensajes. advertencia y error. advertencia y error.0 85 . • Advertencia registra los mensajes de advertencia y de error.log Incluir infracciones de seguridad en el registro de IPS Seleccione Infracciones de seguridad de registro para que los eventos de infracciones de seguridad aparezcan en el registro de IPS. • Error registra los mensajes de error. • Desactivado no registra ningún mensaje. Establecer el tamaño.log.

Marcar la red como de confianza para firmas IPS de red Seleccione De confianza para IPS. También puede crear.. y a excepciones de IPS de red. 2 En la lista de directivas Redes de confianza. editar. o tipo de host HTTP y firmas personalizadas IPS.. que puede etiquetar como de confianza para clientes de Windows y aplicar a reglas de firewall cuyas direcciones remotas se establezcan como de confianza. y una directiva Mis valores predeterminados que se puede editar. Configuración de una directiva de redes de confianza Configure las opciones de esta directiva para establecer las opciones de redes de confianza y mantener una lista de direcciones de red y subredes marcadas como de confianza solo para clientes Windows. incluidas las excepciones de TrustedSource. rango de direcciones o subred en el cuadro de texto Redes de confianza. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Tarea Para ver la definición de las opciones. NOTA: para las reglas de firewall. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Redes de confianza en la lista Categoría.Configuración de directivas generales Definición de redes de confianza Para Haga lo siguiente. 86 Guía del producto McAfee Host Intrusion Prevention 8. haga clic en ? en la página que las muestra. Haga lo siguiente. eliminar y exportar directivas personalizadas. NOTA: para obtener detalles acerca de cómo trabajar directamente con el cliente HIP. • Agregar o eliminar direcciones o subredes de la lista de confianza.0 para ePolicy Orchestrator 4. Introduzca una dirección IP de confianza. Definición de redes de confianza La directiva Redes de confianza mantiene una lista de direcciones de red y subredes. Puede ver y duplicar la directiva preconfigurada. Se muestra la lista de directivas.. consulte Trabajo con clientes de Host Intrusion Prevention. Agregar una dirección de red de confianza a la lista. Tratar automáticamente a todos los usuarios de la Seleccione Activado en Incluir automáticamente la misma subred como de confianza. Esta categoría de directivas contiene una directiva preconfigurada que incluye las subredes locales automáticamente aunque no indica las direcciones de red.. 3 Realice una de las operaciones siguientes: Para. debe establecer la dirección remota como De confianza para aprovechar esta función. incluso a los que no subred local. Activar o desactivar los motores Quite la marca de la casilla de verificación para desactivar un motor o selecciónela para activarlo. Puede: • Establecer redes de confianza.0 .. cambiar el nombre. están en la lista. duplicar..

0 para ePolicy Orchestrator 4... Al afinar un despliegue. Para evitarlo. Por ejemplo.0 87 . cambiar el nombre. haga clic en ? en la página que las muestra. Agregar una aplicación Haga clic en Agregar aplicación.. Guía del producto McAfee Host Intrusion Prevention 8. Definición de aplicaciones de confianza La directiva Aplicaciones de confianza es el mecanismo que se emplea para crear una lista de aplicaciones que son de confianza y no deberían generar eventos. pueden darse muchos eventos de falsos positivos. Tarea Para ver la definición de las opciones. eliminar y exportar las directivas personalizadas. El mantenimiento de una lista de aplicaciones seguras en un sistema reduce o elimina la mayoría de falsos positivos. y puede iniciar errores para prevenir vulnerabilidades de seguridad. Haga lo siguiente. la creación de reglas de excepción de IPS es una de las maneras de reducir los falsos positivos. confianza. lo que permite un perfil más detallado de uso de aplicaciones de confianza.. consulte Creación y edición de reglas de aplicaciones de confianza. convierta la aplicación de copias de seguridad en una aplicación de confianza. Puede ver y duplicar la directiva preconfigurada o puede editar. Para obtener más detalles. 3 Realice una de las operaciones siguientes: Para.. Se muestra la lista de directivas. La directiva Aplicaciones de confianza es una directiva de múltiples instancias.Configuración de directivas generales Definición de aplicaciones de confianza Para. NOTA: una aplicación de confianza puede sufrir vulnerabilidades comunes como desbordamiento de búfer y uso ilegal. Configuración de una directiva de aplicaciones de confianza Configure las opciones de la directiva para enumerar las aplicaciones consideradas seguras en un entorno determinado. 4 Haga clic en Guardar para guardar los cambios. No siempre resulta práctico al tratar con varios miles de clientes o cuando se dispone de tiempo y recursos limitados.. cuando se ejecuta una aplicación de copias de seguridad. 2 En la lista de directivas Aplicaciones de confianza. Esta categoría de directiva contiene una directiva preconfigurada que proporciona una lista de aplicaciones de McAfee y de procesos de Windows concretos.. así que puede asignar más de una instancia de directiva. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Aplicaciones de confianza en la lista Categoría.. duplicar. que son aplicaciones que se reconocen como seguras en un entorno determinado. Por lo tanto. una aplicación de confianza se supervisa igualmente. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Eliminar o agregar una entrada de dirección de red de Haga clic en el botón Eliminar ( – ) o Agregar ( + ). Haga lo siguiente. Una solución mejor es crear una lista de aplicaciones de confianza.

consulte Crear una aplicación de confianza a partir de un evento en Configuración de directivas IPS. para editar una regla existente. Para obtener más información.. Para obtener más información sobre el catálogo. Creación y edición de reglas de aplicaciones de confianza Edite aplicaciones de confianza existentes o cree aplicaciones nuevas para tener una lista de todas las aplicaciones consideradas seguras para su entorno. Para obtener más detalles.. 4 Haga clic en Aceptar para guardar los cambios. Realizar una acción en una sola aplicación 4 • Desactivar para desactivar una aplicación activada. Tarea Para ver la definición de las opciones. 2 Escriba o edite el nombre y el estado de la aplicación. 1 En la página de la directiva Aplicaciones de confianza. Haga clic en: • Editar para editar una aplicación existente.0 . consulte Creación y edición de reglas de aplicaciones de confianza. • Duplicar para hacer una copia de la aplicación dentro de la misma directiva con el nombre "copia de" la aplicación original. haga clic en Nueva aplicación de confianza para crear una nueva regla o haga clic en Editar . • Eliminar para quitar la aplicación de la lista. 88 Guía del producto McAfee Host Intrusion Prevention 8.en Acciones. • Eliminar para eliminar aplicaciones. Realizar una acción en una o más aplicaciones al mismo Selecciónelas y haga clic en: tiempo • Activar para activar una aplicación desactivada. firewall o ambos... NOTA: puede agregar un ejecutable existente desde el catálogo de IPS en host haciendo clic en Agregar desde catálogo. Haga lo siguiente. 3 Haga clic en Nuevo para agregar un ejecutable para la aplicación. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva.Configuración de directivas generales Definición de aplicaciones de confianza Para. también si la aplicación es de confianza para IPS. Haga clic en Guardar para guardar los cambios. Se le pedirá que indique la directiva. • Copiar a para copiar aplicaciones en otra directiva. NOTA: también puede crear aplicaciones de confianza basándose en un evento. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall.0 para ePolicy Orchestrator 4. haga clic en ? en la página que las muestra.

haga clic en Ver Directiva efectiva. por ejemplo. seleccione un grupo del Árbol de sistemas que contenga el sistema y.Configuración de directivas generales Definición de aplicaciones de confianza La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia. seleccione Host Intrusion Prevention 8. donde puede aplicar una directiva general predeterminada. las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS. 3 En la página Asignación de directiva. haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva. 2 En Directivas. NOTA: para un sistema único. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas. una directiva de servidor y una directiva IIS.0 89 . McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible. Para las directivas que tienen instancias múltiples. Una directiva de varias instancias puede ser útil para un servidor IIS. haga clic en Editar asignaciones. está asignando una unión de todos los elementos de cada instancia de la directiva. haga clic en ? en la interfaz.0 para ePolicy Orchestrator 4. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas. 4 Haga clic en Guardar para guardar todos los cambios. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido. en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema. Tarea Para ver las definiciones de las opciones.0: IPS/General en la lista Producto. y para Reglas IPS/Aplicaciones de confianza. Guía del producto McAfee Host Intrusion Prevention 8. Cuando asigna instancias múltiples. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. a continuación.

Uso de clientes de Host Intrusion Prevention El cliente de Host Intrusion Prevention se puede instalar en plataformas Windows. las opciones se bloquean y solo podrá ver la configuración actual. Solo el cliente Windows tiene una interfaz. Para mostrarla.. Tabla 8: Menú de McAfee Agent 4. Acerca de. Para obtener más detalles acerca de la creación y el uso de contraseñas..0 para ePolicy Orchestrator 4.. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales. Abrir el cuadro de diálogo Acerca de Host Intrusion Prevention. que muestra el número de versión y otra información del producto.. Con McAfee Agent 4. utilice el menú del icono de la bandeja de McAfee o ejecute McAfeeFire.exe en C:\Archivos de programa\McAfee\Host Intrusion Prevention. proporciona acceso a la consola de cliente de IPS en host.. Cuando aparece por primera vez la consola del cliente. desbloquee la interfaz con una contraseña.0 . Guía del producto McAfee Host Intrusion Prevention 8.0 90 Haga clic en. Aquí se describen las funciones básicas de cada versión de cliente. Para obtener control completo de todas las opciones de la consola. Contenido Introducción al cliente Windows Introducción al cliente Solaris Introducción al cliente Linux Introducción al cliente Windows La gestión directa del cliente Windows de Host Intrusion Prevention está disponible a través de una consola de cliente. Configurar Abrir la consola de cliente de Host Intrusion Prevention. La funcionalidad será distinta según la versión de McAfee Agent instalada en el cliente.0 Haga clic con el botón derecho en el icono de McAfee Agent. pero todas las versiones tienen la funcionalidad de solución de problemas. Menú Icono de la bandeja de sistema Cuando aparece el icono de McAfee en la bandeja de sistema. Para hacer esto.. seleccione Host Intrusion Prevention para mostrar un menú con métodos abreviados desde el que podrá abrir la consola. Solaris y Linux.

. Solo disponible si la función está activada. IPS de red Activar y desactivar la protección de IPS de red. IPS en host Activar y desactivar la protección de IPS en host. Con McAfee Agent 4. restablece el tiempo de los grupos.. estarán disponibles algunos o todos estos comandos adicionales: Tabla 9: Menú de McAfee Agent 4. Si McAfee Agento no aparece en la bandeja de sistema. aunque el cliente esté configurado para mostrar un icono de bandeja..0 91 . Tabla 11: Configuración rápida del menú de McAfee Agent 4. Esto incluye la funcionalidad IPS en host e IPS de red. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo.... estos comandos adicionales estarán disponibles: Tabla 10: Menú de McAfee Agent 4. Firewall Activar y desactivar la protección del firewall. También en Configuración rápida. NOTA: tanto McAfee Agent como el cliente de IPS en host deben estar configurados para mostrar un icono para este acceso. estas opciones de Host Intrusion Prevention estarán disponibles si la opción Permitir la desactivación de las funciones desde el icono de la bandeja está seleccionada en una directiva aplicada de IU de cliente. Para hacer esto.0 con Activar grupo sincronizado Haga clic en. Para hacer esto. Para hacer esto. Restaurar configuración Activar todas las funciones desactivadas... Desactivar Firewall Desactivar la función Firewall.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Si se selecciona Permitir la desactivación de las funciones desde el icono de la bandeja en una directiva IU de cliente aplicada. Disponible solo si las dos funciones están activadas.5 Haga clic en.. si la opción Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa se ha seleccionado para un grupo Guía del producto McAfee Host Intrusion Prevention 8. Cada vez que selecciona este comando. Disponible solo si alguna función se ha desactivado.0 para ePolicy Orchestrator 4. Solo disponible si la función está activada. En Configuración rápida. Desactivar todo Desactivar las funciones IPS y Firewall. Desactivar IPS Desactivar la función IPS. no se podrá acceder a IPS en host con el icono de la bandeja de sistema.5 Haga clic con el botón derecho en McAfee Agent en la bandeja de sistema y seleccione Gestionar funciones | Host Intrusion Prevention para abrir la consola... Si se ha seleccionado Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa para un grupo de firewall en una directiva aplicada de Reglas del firewall..0 con Permitir desactivación Haga clic en. Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso.

• En la carpeta C:\Program Files\McAfee\Host Intrusion Prevention. escriba la contraseña y haga clic en Aceptar. • Con McAfee Agent 4. se haya aplicado al cliente. Host Intrusion Prevention y. Configurar. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo. Antes de empezar Asegúrese de que la directiva IPS en host General: IU de cliente. Cada vez que selecciona este comando. haga clic con el botón derecho en el icono de McAfee. puede proteger con contraseña la interfaz para evitar cambios accidentales.. NOTA: para obtener más detalles acerca de la creación de contraseñas. 92 2 Abra la consola del cliente y seleccione Tarea | Desbloquear interfaz de usuario. Para abrir la consola.. Esto sucede en la actualización programada de la directiva o si se fuerza una actualización inmediata de la directiva. desde remoto. Contiene varias fichas. Tarea 1 Obtenga una contraseña del administrador de Host Intrusion Prevention.. que incluye la configuración de contraseña. elija una de las siguientes: • Con McAfee Agent 4. Guía del producto McAfee Host Intrusion Prevention 8.. haga clic con el botón derecho en el icono de McAfee. La consola le permite ver y configurar información de las funciones de Host Intrusion Prevention.5 con Activar grupo sincronizado Haga clic en.exe. Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso. que se corresponden con funciones específicas de Host Intrusion Prevention. seleccione Gestionar funciones.0 . Consola de clientes para clientes Windows La consola de clientes Host Intrusion Prevention le da acceso a varias opciones de configuración.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows de firewall en una directiva aplicada de Reglas del firewall. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales. ejecute McAfeeFire. Configurar.0 para ePolicy Orchestrator 4. Las contraseñas fijas que no caducan y las contraseñas temporales permiten que el administrador y el usuario desbloqueen temporalmente la interfaz para hacer cambios. estos comandos adicionales estarán disponibles: Tabla 12: Menú de McAfee Agent 4. a continuación.5.0. seleccione Host Intrusion Prevention y. después. El cliente no reconoce la contraseña hasta que la actualización de la directiva tiene lugar. se restablece el tiempo de los grupos. Desbloqueo de la interfaz del cliente Windows Un administrador que. esté gestionando Host Intrusion Prevention por medio de ePolicy Orchestrator. Para hacer esto. 3 En el cuadro de diálogo Inicio de sesión.

francés. Si selecciona "Automático". Estas son las opciones disponibles: Tabla 14: Opciones de solución de problemas Opción Definición Registro: firewall Determina qué tipo de mensaje de firewall se registra. la interfaz aparecerá en el idioma del sistema operativo en el que se instala el cliente. coreano. japonés. 2 Seleccione el idioma para la interfaz de la consola del cliente y haga clic en Aceptar. seleccione Tarea | Establecer idioma de la interfaz de usuario. alemán. Se guarda en un archivo FirePacketX.. 4 En el cuadro de diálogo Opciones de Host Intrusion Prevention.. primero debe desbloquear la consola del cliente con una contraseña. aparece una alerta (solo IPS). seleccione y desactive opciones según sea necesario y haga clic en Aceptar.cap en C:\Program Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events o en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events (solo IPS). Solución de problemas del cliente Windows Host Intrusion Prevention incluye una función de solución de problemas. que está disponible en el menú Ayuda cuando se bloquea la interfaz. 3 Seleccione Edición | Opciones. Para que esto ocurra. Crear captura de analizador si está disponible Se agrega una columna de captura al Registro de actividad para indicar que se han capturado los datos del intruso. Mostrar icono de la bandeja Host Intrusion Prevention aparece debajo del menú del icono de la bandeja del sistema de McAfee. portugués.0 para ePolicy Orchestrator 4. inglés. Reproducir sonido Se reproduce un sonido cuando se produce un ataque (solo IPS). Guía del producto McAfee Host Intrusion Prevention 8. Mostrar notificación en bandeja del sistema El icono de bandeja de sistema indica el estado de un ataque cuando este se produce (solo IPS). Antes de empezar Para realizar la tarea siguiente.. Tarea 1 En la consola del cliente. Mostrar alerta emergente Cuando se produce un ataque. ruso y español.0 93 . Las opciones incluyen: chino. Tabla 13: Opciones de la consola del cliente Seleccione.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Definición de opciones de IU de cliente La consola del cliente de Host Intrusion Prevention proporciona acceso a algunas opciones determinadas por la directiva IU de cliente y permite personalizarlas para cada cliente individual. italiano.. Registro: IPS * Determina qué tipo de mensaje de IPS se registra.

Realice esta tarea para activar el registro del firewall. Tarea 1 En la consola de IPS en host. La información se escribe en HipShield.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Opción Definición Infracciones de seguridad de registro * Activar la creación de registros de seguridad de IPS en el registro de IPS. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. Funcionalidad * Desactivar y activar los motores de clase de IPS en host como parte de la solución de problemas. Tarea 94 1 En la consola de IPS en host.exe en Apéndice B -. Consulte Utilidad Clientcontrol. puede crear registros de actividad del firewall que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas.exe) para ayudar a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention en equipos cliente. Definición de opciones de registro del firewall Como parte de la solución de problemas. * Esta opción está disponible solo con la protección IPS. Definición de opciones de registro IPS Como parte de la solución de problemas. no se registrará ningún mensaje.0 . se suministra como parte de la instalación y se encuentra en el cliente.Solución de problemas para obtener más información. Realice esta tarea para activar el registro IPS. en C:\Archivos de programa\McAfee\Host Intrusion Prevention. puede crear registros de actividad IPS que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas.0 para ePolicy Orchestrator 4. 3 Haga clic en Aceptar. seleccione Ayuda | Solución de problemas.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention. seleccione Ayuda | Solución de problemas. NOTA: McAfee ofrece una utilidad (ClientControl. que puede incluirse en las cadenas de instalación y mantenimiento para desactivar temporalmente la protección IPS y activar las funciones de registro. 2 Seleccione el tipo de mensaje de IPS: • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado. Esta utilidad de línea de comando. 2 Seleccione el tipo de mensaje del firewall: Guía del producto McAfee Host Intrusion Prevention 8. Mostrar el producto en la lista Agregar/Quitar programas Permitir que IPS en host aparezca en la lista Agregar/Quitar programas y que se pueda quitar del cliente.

Tarea Para ver las definiciones de las opciones. se crea un archivo nuevo. seleccione Ayuda | Solución de problemas y haga clic en Funcionalidad. el Guía del producto McAfee Host Intrusion Prevention 8.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. Respuesta a alertas de intrusos Si activa la protección IPS y la opción Mostrar alerta emergente. consulte la sección Escritura de firmas personalizadas. Alertas del cliente Windows Un usuario puede encontrar muchos tipos de mensaje de alerta y necesita reaccionar de manera acorde. esta alerta aparece solo si la opción Permitir reglas del cliente está desactivada para la firma que hizo que se produjera el evento. el equipo de usuario o cliente en el que se produjo el ataque. 4 Una vez resuelto el problema. haga clic en ? en la interfaz. 3 Haga clic en Aceptar. La información se escribe en FireSvc. anule la selección de uno o más motores. Cuando el archivo alcanza los 100 MB. La ficha Información sobre intrusos muestra los detalles del ataque que generó la alerta. NOTA: SQL y HTTP aparecen en la lista solo si el cliente se ejecuta en un sistema operativo del servidor. también puede desactivar los motores de clase que protegen a un cliente. anule la selección de Activar/Desactivar todos los motores. Las alertas de firewall sólo aparecen cuando el cliente se encuentra en modo de aprendizaje para estas funciones. Para entender mejor qué protege cada clase. Si el cliente se encuentra en modo de adaptación. 3 Haga clic en Aceptar. McAfee recomienda que solo utilicen este procedimiento de solución de problemas los administradores que estén en comunicación con el departamento de soporte de McAfee. 1 En la consola de IPS en host.0 para ePolicy Orchestrator 4.0 95 .Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado. no se registrará ningún mensaje. incluidos la descripción del ataque. del firewall y de detección de simulaciones. Desactivación de motores IPS en host Como parte de la solución de problemas. Entre estos mensajes se encuentran las alertas de detección de intrusos. aparecerá automáticamente una alerta cuando Host Intrusion Prevention detecte un ataque potencial. vuelva a seleccionar todos los motores para los que se haya anulado la selección en el cuadro de diálogo Motores HIPS. Para desactivar todos los motores. 2 En el cuadro de diálogo Motores HIPS.

El nombre de usuario siempre se incluye en la excepción. la nueva regla de firewall permitirá o bloqueará solo los puertos específicos: • 96 Si el tráfico interceptado usa un puerto inferior a 1024. la nueva regla permitirá o bloqueará solo ese puerto específico.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows proceso implicado en el ataque y la fecha y hora en la que Host Intrusion Prevention lo interceptó. seleccione Mostrar alerta emergente en el cuadro de diálogo Opciones. Puede seleccionar Todas las firmas o Todos los procesos. el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre de la firma y la dirección IP del host. El botón Crear excepción está activo solo si la opción Permitir reglas del cliente está activada para la firma que hizo que se produjera el error. pero no ambos. Seleccione No mostrar alertas de eventos IPS para dejar de mostrar las alertas de eventos IPS. Este botón sólo estará activo si la opción Permitir que el usuario notifique al administrador está activada en la directiva IU de cliente aplicada. incluidos el nombre. Crear una regla de firewall para una aplicación para todos los puertos y servicios Crear una regla para permitir o bloquear el tráfico de una aplicación a través de cualquier puerto o servicio. Tarea 1 En el cuadro de diálogo de alerta. Además. puede hacer clic en Notificar al administrador para enviar información acerca del evento al administrador de Host Intrusion Prevention. el usuario y la firma. Los botones Anterior y Siguiente están disponibles en la parte inferior del cuadro de diálogo. la ruta y la versión de la aplicación. realice una de las operaciones siguientes: • Haga clic en Denegar para bloquear este tráfico y el similar.. NOTA: esta alerta de intrusión también aparece en las intrusiones del firewall si coincide con una regla de firewall que tenga la opción Tratar coincidencia de regla como intruso seleccionada.0 . Para hacer esto. puede seleccionar Todos los hosts. aparece una alerta del firewall y se requiere una respuesta del usuario. La sección Información de conexión muestra información sobre el protocolo de tráfico. Además. Para hacer que las alertas vuelvan a aparecer después de seleccionar esta opción. si se ha enviado más de una alerta. La sección Información de aplicación muestra la información de la aplicación que está intentando acceder a la red.. Opcional: seleccione opciones para la nueva regla de firewall: Seleccione. el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre del proceso. Guía del producto McAfee Host Intrusion Prevention 8. Si no selecciona esta opción. Si la alerta es resultado de una firma IP de host.. o crear una regla de excepción para el evento haciendo clic en Crear excepción.. Puede ignorar el evento haciendo clic en Ignorar. Si la alerta es resultado de una firma IPS de red. 2 • Haga clic en Permitir para permitir que pase por el firewall este tráfico y el similar.0 para ePolicy Orchestrator 4. puede aparecer un mensaje genérico especificado por el administrador. la dirección y los puertos. Como opción. NOTA: los botones Anterior y Siguiente están disponibles en la sección Información de conexión si hay información adicional de protocolos o puertos para una aplicación. Respuesta a alertas de firewall Si activa la protección del firewall y el modo de aprendizaje para el tráfico entrante o saliente.

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Seleccione...

Para hacer esto...

Eliminar esta regla cuando la aplicación se cierre

Si el tráfico usa el puerto 1024 o superior, la nueva
regla permitirá o bloqueará el rango de puertos de
1024 a 65535.

Crear una regla temporal de permiso o bloqueo que se
borra cuando se cierra la aplicación. Si no selecciona
estas opciones, la nueva regla de firewall se crea como
regla permanente de cliente.

Host Intrusion Prevention crea una nueva regla de firewall según las opciones seleccionadas,
la agrega a la lista de directivas Reglas de firewall y permite o bloquea automáticamente
el tráfico similar.

Respuesta a alertas de simulación detectada
Si activa la protección de firewall, aparece automáticamente una alerta de simulación si Host
Intrusion Prevention detecta una aplicación en su equipo que envíe tráfico de red simulado, y
se requiere la respuesta de un usuario.
Esto quiere decir que la aplicación está intentando hacer que parezca que el tráfico de su equipo
llega en realidad de un equipo diferente. Esto se puede hacer cambiando la dirección IP en los
paquetes salientes. La simulación siempre es una actividad sospechosa. Si ve este cuadro de
diálogo, investigue inmediatamente la aplicación que está enviando el tráfico simulado.
NOTA: el cuadro de diálogo Alerta de simulación detectada aparece solo si selecciona la opción
Mostrar alerta emergente. Si no selecciona esta opción, Host Intrusion Prevention bloqueará
automáticamente el tráfico simulado sin notificarle.
El cuadro de diálogo Alerta de simulación detectada es muy similar a la alerta de la función
Modo de aprendizaje del firewall. Muestra información acerca del tráfico interceptado, en dos
áreas: la sección Información de la aplicación y la sección Información de la conexión.
La sección Información de la aplicación muestra:
• La dirección IP de la que el tráfico simula llegar.
• Información acerca del programa que generó el tráfico simulado.
• La fecha y la hora a la que Host Intrusion Prevention interceptó el tráfico.
La sección Información de conexión proporciona información adicional de la red. En especial,
Dirección local muestra la dirección IP que la aplicación simula tener, mientras que Dirección
remota muestra la dirección IP real.
Cuando Host Intrusion Prevention detecta tráfico simulado en la red, bloquea tanto el tráfico
como la aplicación que lo generó.

Acerca de la ficha Directiva de IPS
La ficha Directiva de IPS se usa para configurar la función IPS, que protege contra los ataques
de intruso al host según reglas de firmas y de comportamiento. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de excepción de cliente. Para obtener más
detalles acerca de las directivas de IPS, consulte Configuración de directivas de IPS.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

97

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

La ficha Directiva de IPS muestra las reglas de excepción importantes para el cliente y
proporciona información resumida y detallada de cada regla.
Tabla 15: Ficha Directiva de IPS
Esta columna...

Muestra

Excepción

Nombre de la excepción.

Firma

Nombre de la firma para la que se crea la excepción.

Aplicación

Aplicación a la que se aplica esta regla, incluidos el nombre
de programa y el nombre del archivo ejecutable.

Personalización de las opciones de Directiva IPS
Las opciones de la parte superior de la ficha controlan la configuración realizada desde las
directivas IPS del servidor después de que se haya desbloqueado la interfaz de cliente.
Tarea
1

En la consola del cliente de IPS en host, haga clic en la ficha Directiva IPS.

2

Seleccione o quite la selección de una opción, según necesite.
Seleccione...

Para hacer esto...

Activar IPS en host

Activar la protección de Host Intrusion Prevention.

Activar IPS de red

Activar la protección de red de Host Intrusion
Prevention.

Activar el modo de adaptación

Activar el modo de adaptación para crear
automáticamente excepciones a las firmas de
prevención de intrusos.

Bloquear atacantes automáticamente

Bloquear los ataques de intrusos automáticamente
durante un periodo de tiempo establecido. Indique el
número de minutos en el campo min.

Creación y edición de reglas de excepción de directivas de IPS
Ver, crear y editar reglas de excepción de IPS en la ficha Directiva de IPS del cliente.
Tarea

98

1

En la ficha Directiva IPS, haga clic en Agregar para agregar una regla.

2

En el cuadro de diálogo Regla de excepción, escriba una descripción de la regla.

3

Seleccione la aplicación a la que se aplica la regla de la lista de aplicaciones, o haga clic
en Examinar para localizar la aplicación.

4

Seleccione La regla de excepción está activa para activar la regla. La excepción se
aplica a todas las firmas, que no está activada ni seleccionada de manera
predeterminada, aplica la excepción a todas las firmas.

5

Haga clic en Aceptar.

6

Para hacer otras ediciones, realice una de las acciones siguientes:

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Para...

Haga lo siguiente...

Ver los detalles de una regla o editar una regla

Haga doble clic en una regla, o seleccione una regla y
haga clic en Propiedades. El cuadro de diálogo Regla
de excepción aparece para mostrar la información
que puede editarse de la regla.

Hacer regla activa/inactiva

Seleccione o cancele la selección de la casilla de
verificación La regla de excepción está activa en el
cuadro de diálogo Regla de excepción. También
puede seleccionar o quitar la marca de selección de la
casilla de verificación junto a un icono de regla en la
lista.

Eliminar una regla

Seleccione una regla y haga clic en Eliminar.

Aplicar cambios inmediatamente

Haga clic en Aplicar. Si no hace clic en este botón
después de hacer cambios, aparecerá un cuadro de
diálogo que le pedirá que guarde los cambios.

Acerca de la ficha Directiva de firewall
Use la ficha Directiva de firewall para configurar la función Firewall, que permite o bloquea las
comunicaciones de red según reglas definidas por el usuario. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de cliente del firewall. Para obtener más
información acerca de las directivas de firewall, consulte Configuración de directivas de firewall.
La lista de reglas de firewall muestra reglas y grupos de reglas relacionados con el cliente y
muestra un resumen e información detallada de cada regla. Las reglas que se muestran en
cursiva no pueden editarse.
Tabla 16: Ficha Directiva de firewall
Elemento

Descripción

Casilla de verificación

Indica si la regla está activa (marcada) o no (sin marca).
En las reglas que se muestran en cursiva, puede activar
o desactivar la regla con la casilla de verificación.

Grupo del firewall

Grupo sincronizado
Grupo con reconocimiento de ubicación

Regla de firewall

Muestra la lista de reglas que incluye. Haga clic en la casilla
más para mostrar las reglas y haga clic en la casilla menos
para ocultarlas.
Indica si el grupo es un grupo sincronizado.
Indica si el grupo es un grupo con reconocimiento de
ubicación.
Muestra las propiedades básicas de la regla. Haga clic en
la casilla más para mostrar las propiedades y haga clic en
la casilla menos para ocultarlas.

Acción de la regla
Indica si la regla permite el tráfico

o si lo bloquea

.
Dirección de la regla
Indica si la regla se aplica al tráfico de
tráfico de

salida, o a ambos

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

entrada, al

.

99

y no grupos. Redes La dirección IP. General El nombre. Introduzca esta información. NOTA: solo puede crear reglas.. Puede definir una dirección individual. según necesite. si existe. dominio u otros identificadores específicos de esta regla. Para. 100 Para esta página. realice una de las acciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. una gama de direcciones. una lista de direcciones específicas o especificar todas las direcciones. escriba el nombre de la regla y seleccione la información de la acción y dirección de la regla. Tarea 1 En la ficha Directiva del firewall..0 . 5 Para hacer otras ediciones.. 2 Seleccione o quite la selección de una opción.. en la consola del cliente. crear y editar reglas de firewall en la ficha Directiva de firewall del cliente. incluido el nombre del archivo ejecutable. acción y dirección de la regla. 2 En la página General. Transporte El protocolo y las direcciones locales o remotas a las que se aplica esta regla. haga clic en Agregar para agregar una regla. de la regla.. subred. estado.0 para ePolicy Orchestrator 4..Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Personalización de las opciones de la Directiva de firewall Las opciones de la parte superior de la ficha controlan la configuración realizada desde las directivas de firewall del servidor después de que se haya desbloqueado la interfaz de cliente. Activar la protección de la directiva de firewall Activar firewall Activar el modo de aprendizaje para el tráfico entrante Modo de aprendizaje para tráfico entrante Activar el modo de aprendizaje para el tráfico saliente Modo de aprendizaje para tráfico saliente Activar el modo de adaptación Modo de adaptación Ver redes de confianza Redes de confianza Creación y edición de reglas de Firewall Ver. haga clic en la ficha Directiva de firewall... NOTA: cada página del creador de reglas se corresponde con una ficha del creador de reglas de firewall en la directiva Reglas de firewall. Aplicaciones Las aplicaciones a las que se aplica esta regla. Planificación El programa. Tarea 1 En la consola del cliente de IPS en host. Seleccione. 3 Haga clic en Siguiente para seguir hacia las otras páginas y cambiar la configuración predeterminada. 4 Haga clic en Finalizar para guardar la nueva regla.

esta columna muestra solo la dirección IP que bloqueó. podrá editarla. Si Host Intrusion Prevention agregó esta dirección porque una de sus reglas de firewall utilizó la opción Tratar coincidencia de regla como intruso.. Hacer una copia de una regla existente Seleccione la regla (normalmente una regla predeterminada que no se puede editar) y haga clic en Duplicar. Hora La fecha y hora a las que se agregó esta dirección a la lista de direcciones bloqueadas. esta columna mostrará el número de minutos que quedan para que Host Intrusion Prevention elimine la dirección de la lista. Motivo del bloqueo Una explicación de por qué Host Intrusion Prevention está bloqueando dicha dirección.. Eliminar una regla Seleccione una regla y haga clic en Eliminar. Haga lo siguiente. Si la regla no está en cursiva. Hacer regla activa/inactiva Seleccione o quite la marca de la casilla de verificación junto a Activado en la página General de la regla del firewall. Si Host Intrusion Prevention agregó esta dirección a la lista debido a un intento de ataque al sistema. Si agregó esta dirección manualmente. Cada línea representa un solo host. La lista de hosts bloqueados muestra todos los hosts bloqueados actualmente por Host Intrusion Prevention.. Aplicar cambios inmediatamente Haga clic en Aplicar. Si especificó una hora de caducidad cuando bloqueó la dirección. Tiempo restante Durante cuánto tiempo Host Intrusion Prevention continúa bloqueando esta dirección. Tabla 17: Ficha Hosts bloqueados Columna Qué muestra Origen La dirección IP que Host Intrusion Prevention está bloqueando. Acerca de la ficha Hosts bloqueados Utilice la ficha Hosts bloqueados para controlar una lista de hosts bloqueados (direcciones IP) que se crea automáticamente cuando la protección IPS de red (NIPS) está activada. puede agregar hosts bloqueados o editarlos.0 para ePolicy Orchestrator 4.0 101 . Si no hace clic en este botón después de hacer cambios. esta columna muestra el nombre de la regla de firewall correspondiente. esta columna describe el tipo de ataque.. Si Crear reglas de cliente está seleccionado en la directiva Opciones de IPS en la consola de ePolicy Orchestrator. También puede seleccionar o quitar la marca de selección de la casilla de verificación junto a una regla en la lista. Guía del producto McAfee Host Intrusion Prevention 8. El cuadro de diálogo del editar una regla creador de reglas de firewall aparece y muestra la información de la regla. Si especificó que deseaba que la dirección estuviera bloqueada hasta que se quitara manualmente de la lista.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Para. Ver los detalles de una regla o Seleccione una regla y haga clic en Propiedades. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. esta columna mostrará Hasta su eliminación. Puede obtener más información acerca de los hosts leyendo la información de cada columna.

realice una de las acciones siguientes: Para.0 para ePolicy Orchestrator 4. La lista muestra todos los procesos supervisados por el cliente. haga clic en Búsqueda de DNS. PID La ID del proceso. Bloqueará cualquier intento de comunicación desde esa dirección IP hasta que la elimine de la lista de direcciones bloqueadas o hasta que pase el tiempo establecido. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. NOTA: después de que haya creado una dirección bloqueada. Tabla 18: Ficha Protección de aplicaciones Columna Qué muestra Proceso El proceso de la aplicación..0 . Ver o editar los detalles de un host bloqueado Haga doble clic en una entrada de host.. 3 Escriba el número de minutos. cambiar o ver hosts bloqueados. 2 En el cuadro de diálogo Host bloqueado. Las actividades más recientes aparecen en la parte inferior de la lista. 4 Haga clic en Aceptar. Aplicar cambios inmediatamente Haga clic en Aplicar. Haga lo siguiente. haga clic en Usar. El cuadro de diálogo Host bloqueado mostrará la información que se puede editar. Esta es una lista de solo lectura llena de directivas administrativas y una aplicación específica de cliente creada heurísticamente.. Acerca de la ficha Lista de protección de aplicaciones La ficha Lista de protección de aplicaciones muestra una lista de aplicaciones protegidas en el cliente. indique la dirección IP que desee bloquear. Si encuentra ahí el nombre del host. Acerca de la Ficha Registro de actividad Use la ficha Registro de actividad para configurar la función de creación de registro y realizar un seguimiento de las acciones de Host Intrusion Prevention. quitar. Host Intrusion Prevention agrega una nueva entrada a la lista en la ficha Protección de aplicaciones. Si no hace clic en este botón después de hacer cambios.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Edición de la lista de hosts bloqueados Edite la lista de direcciones bloqueadas para agregar. 102 Guía del producto McAfee Host Intrusion Prevention 8. que es la clave para la búsqueda en caché de un proceso. o seleccione un host y haga clic en Propiedades. que se bloqueará la dirección IP. Borrar un host bloqueado Seleccione un host y haga clic en Eliminar. 5 Para hacer otras ediciones.. Ruta completa de aplicación La ruta completa del ejecutable de la aplicación. El Registro de actividad contiene un registro continuo de las actividades. Para buscar una dirección IPS por su nombre de dominio. Tarea 1 Haga clic en Agregar para agregar un host. hasta 60.

Datos de intruso Un icono que indica que Host Intrusion Prevention guardó el paquete de datos asociado con este ataque (solo aparece para las entradas de registro de IPS). haga clic en la ficha Registro de actividad. Evento La función que realizó la acción. según necesite. Registro del tráfico: registrar todos los bloqueados Registrar todo el tráfico bloqueado por el firewall. Puede exportar los datos de paquete asociados con esta entrada del registro.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Columna Qué muestra Hora La fecha y la hora de la acción Host Intrusion Prevention..0 103 . Opciones de Filtro: tráfico Filtrar los datos para mostrar el tráfico bloqueado y permitido por el firewall. Regla coincidente El nombre de la regla coincidente. Personalización de las opciones de Registro de actividad Las opciones de la parte superior de la ficha controlan la configuración de registro realizada desde las directivas IU de cliente del servidor después de que se haya desbloqueado la interfaz de cliente. • Tráfico indica una acción del firewall. • Intruso indica una acción de IPS. NOTA: esta columna aparecerá solo si selecciona Crear captura de rastreador. 2 Seleccione o quite la selección de una opción. Tarea 1 En la consola del cliente de IPS en host. Haga clic con el botón derecho en la entrada del registro para guardar los datos en un archivo de rastreador.. Mensaje Descripción de la acción. pero no para la función IPS. NOTA: puede activar y desactivar la creación de registros para el tráfico del firewall. Guía del producto McAfee Host Intrusion Prevention 8. NOTA: esta columna se encuentra en el extremo derecho de la pantalla. Opciones de Filtro: intrusos Filtrar los datos para mostrar los intrusos. Usuario/Dirección IP La dirección remota a la que esta comunicación se envió o desde la que se envió. así que debe desplazarse o cambiar el tamaño de la columna para ver la columna y su contenido. Seleccione.. tan detallada como sea posible. Sin embargo. puede elegir ocultar estos eventos en el registro mediante filtrado.. • Sistema indica un evento relacionado con los componentes internos del software.. Registro del tráfico: registrar todos los permitidos Registrar todo el tráfico permitido por el firewall. Para hacer esto. Aplicación El programa que causó la acción. • Servicio indica un evento relacionado con el servicio o los controladores del software.0 para ePolicy Orchestrator 4.. en el cuadro de diálogo Opciones de McAfee Host Intrusion Prevention. • Aplicación indica una acción de un bloqueo de aplicación.

Firewall de Host Intrusion Prevention 8...0 para ePolicy Orchestrator 4. Redes de confianza Ninguna Aplicaciones de confianza Solo Marcar como de confianza para IPS y Nombre de nuevo proceso para agregar aplicaciones de confianza. y previene especialmente ataques de desbordamiento del búfer. Host Intrusion Prevention protege el servidor host de ataques perjudiciales. En resumen. Borrar permanentemente el contenido del registro Haga clic en Borrar. Tabla 19: Directivas del cliente Solaris Directiva Opciones disponibles IPS de Host Intrusion Prevention 8. Actualizar la pantalla Haga clic en Actualizar.Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris 3 Haga lo siguiente para cambiar lo que se muestra: Para.txt..0 Ninguna Guía del producto McAfee Host Intrusion Prevention 8.. Si no hace clic en este botón después de hacer cambios. Introducción al cliente Solaris El cliente Solaris de Host Intrusion Prevention identifica y evita intentos potencialmente perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Solaris. de la ficha elija un nombre y guarde el archivo . Aplicar cambios inmediatamente Haga clic en Aplicar. Aplicación de directivas con el cliente Solaris No todas las directivas que protegen un cliente Windows están disponibles para el cliente Solaris. En el cuadro de diálogo que aparece.0 . Haga lo siguiente. pero no ofrece protección del firewall. Protege el sistema operativo del servidor. A continuación se enumeran las directivas válidas. General de Host Intrusion Prevention 8.0 Opciones IPS • Activar HIPS • Activar el modo de adaptación • Conservar reglas de cliente existentes Protección de IPS Todos Reglas IPS • Reglas de excepción • Firmas (solo reglas de HIPS predeterminadas y personalizadas) NOTA: las firmas NIPS y Reglas de protección de aplicaciones no están disponibles. junto con los servidores Web Apache y Sun. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios.0 104 IU de cliente Ninguna excepto de administración o contraseña basada en tiempos para permitir el uso de la herramienta de solución de problemas. Guardar los contenidos del registro y borrar la lista Haga clic en Exportar.

El registro está desactivado de forma predeterminada. El motor está activo de forma predeterminada. Puede comprobar si el cliente se está ejecutando y detener y reiniciar el cliente. • Activar y desactivar los motores. el mensaje de error está desactivado. mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del proceso. Los mensajes incluyen: hipts message <message name>:on • error • advertencia • depuración • información • infracciones Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”. Ejecutar. Además.. Para usar esta herramienta. El cliente Solaris no tiene interfaz de usuario para la solución de problemas de funcionamiento.. hipts message all:off Activar el motor indicado. Entre ellas. situada en el directorio opt/McAfee/hip. Obtener el estado actual del cliente que indica qué tipo hipts status de registro está activado y qué motores están funcionando. Ofrece una herramienta de solución de problemas de línea de comandos. hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”. Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • GUID • MMAP • BO • HTTP Guía del producto McAfee Host Intrusion Prevention 8. hipts.0 105 . De manera predeterminada.Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris Solución de problemas del cliente Solaris Si ha surgido algún problema al instalar o desinstalar el cliente. Use la herramienta de solución de problemas para: • Indicar la configuración de registro y el estado del motor del cliente. hay varias cosas que investigar. debe suministrar una contraseña de cliente de Host Intrusion Prevention. puede encontrar problemas en el funcionamiento del cliente. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”.0 para ePolicy Orchestrator 4. asegúrese de que todos los archivos se han instalado en el directorio correcto. Activar el registro de tipos de mensajes específicos. • Activar y desactivar la generación de registros de mensajes. hipts logging on Desactivar el registro de todos los tipos de mensajes.. Utilice la contraseña predeterminada que se incluye con el cliente (abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela. Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de problemas: Para. hipts logging off Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”..

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Solaris

Para...

Ejecutar...

Desactivar el motor indicado.

hipts engines <engine name>:off

Activar todos los motores.

hipts engines all:on

Desactivar todos los motores.

hipts engines all:off

SUGERENCIA: además de usar la herramienta de solución de problemas, consulte los archivos
HIPShield.log y HIPClient.log en el directorio /opt/McAfee/hip/log para comprobar las operaciones
o realizar el seguimiento de problemas.

Comprobación de los archivos de instalación de Solaris
Después de una instalación, compruebe que todos los archivos se instalaron en el directorio
adecuado del cliente. El directorio /opt/McAfee/hip deberá incluir estos archivos y directorios
esenciales:
Archivo/nombre de directorio

Descripción

HipClient; HipClient-bin

Cliente Solaris

HipClientPolicy.xml

Reglas de directiva

hipts; hipts-bin

Herramienta de solución de problemas

*.so

Módulos de objetos compartidos de Host Intrusion Prevention y McAfee
Agent

Directorio de registro

Contiene archivos de registro de depuración y error

El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo para
cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion
Prevention.

Comprobación de que el cliente Solaris se ejecuta
Aunque el cliente esté instalado correctamente, puede encontrarse con problemas de
funcionamiento. Si el cliente no aparece en la consola de ePO, por ejemplo, compruebe que se
está ejecutando mediante alguno de estos comandos:
• /etc/rc2.d/S99hip status
• ps –ef | grep Hip

Detención del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Para detener un cliente en ejecución, desactive primero la protección IPS. Utilice uno de
estos procedimientos:
• Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.

2

106

• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:off
Ejecute el comando: /sbin/rc2.d/S99hip stop

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Reinicio del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Ejecute el comando: /sbin/rc2.d/S99hip restart.

2

Active la protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado para
detener el cliente:
• Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:on

Introducción al cliente Linux
El cliente Linux de Host Intrusion Prevention identifica y evita intentos potencialmente
perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Linux. Protege
el sistema operativo del servidor, junto con los servidores Web Apache, y previene especialmente
ataques de desbordamiento del búfer.

Aplicación de directivas con el cliente Linux
No todas las directivas que protegen a un cliente Windows están disponibles para el cliente
Linux. En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales
pero no ofrece protección contra las intrusiones de red, incluido el desbordamiento del búfer.
Las directivas válidas se enumeran a continuación.
Tabla 20: Directivas del cliente Linux
Directiva

Opciones disponibles

IPS de Host Intrusion Prevention 8.0
Opciones IPS

Activar HIPS

Activar el modo de adaptación

Conservar reglas de cliente existentes

Protección de IPS

Todas

Reglas IPS

Reglas de excepción

Firmas (solo reglas de HIPS predeterminadas y
personalizadas)

NOTA: las firmas NIPS y Reglas de protección de
aplicaciones no están disponibles.
General de Host Intrusion Prevention 8.0
IU de cliente

Ninguna excepto de administración o contraseña basada
en tiempos para permitir el uso de la herramienta de
solución de problemas.

Redes de confianza

Ninguna

Aplicaciones de confianza

Solo Marcar como de confianza para IPS y Nombre de
nuevo proceso para agregar aplicaciones de confianza.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

107

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Directiva

Opciones disponibles

Firewall de Host Intrusion Prevention 8.0

Ninguna

Notas acerca del cliente Linux
• El cliente Linux de Host IPS 8.0 no es compatible con SELinux en el modo Implementar.
Para desactivar el modo Implementar, ejecute el comando: system-config-securitylevel, cambie
el ajuste a desactivado y reinicie el sistema cliente.
• Cuando se cargan los módulos de núcleo de Host IPS 8.0 de Linux, se informa de que el
núcleo de SUSE ha sido modificado. El registro del núcleo indica lo siguiente: schook: module
not supported by Novell, setting U taint flag; hipsec: module not supported by Novell, setting
U taint flag. Los requisitos de Novell para módulos de terceras partes causan que el núcleo
IPS en host se marque como modificado. Debido a que los módulos de núcleo de Linux de
Host IPS 8.0 tienen licencia de GPL, es necesario ignorar este mensaje. McAfee está
trabajando con Novell para solucionar este problema.

Solución de problemas del cliente Linux
Si ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas que investigar.
Entre ellas, asegúrese de que todos los archivos se han instalado en el directorio correcto,
mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del
proceso. Además, puede encontrar problemas en el funcionamiento del cliente. Puede comprobar
si el cliente se está ejecutando y detener y reiniciar el cliente.
El cliente Linux no tiene interfaz de usuario para la solución de problemas de funcionamiento.
Ofrece una herramienta de solución de problemas de línea de comandos, hipts, situada en el
directorio opt/McAfee/hip. Para usar esta herramienta, debe suministrar una contraseña de cliente
de Host Intrusion Prevention. Utilice la contraseña predeterminada que se incluye con el cliente
(abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de
administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela.
Use la herramienta de solución de problemas para:
• Indicar la configuración de registro y el estado del motor del cliente.
• Activar y desactivar la generación de registros de mensajes.
• Activar y desactivar los motores.
Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de
problemas:
Para...

Ejecutar...

Obtener el estado actual del cliente que indica qué tipo
hipts status
de registro está activado y qué motores están funcionando.

108

Activar el registro de tipos de mensajes específicos.

hipts logging on

Desactivar el registro de todos los tipos de mensajes. El
registro está desactivado de forma predeterminada.

hipts logging off

Mostrar el tipo de mensaje indicado cuando el registro
está establecido en “activado”. Los mensajes incluyen:

hipts message <message name>:on

error

advertencia

depuración

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

por ejemplo.. Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • HTTP Desactivar el motor indicado.log y HIPClient. De manera predeterminada.xml Reglas de directiva hipts. • información • infracciones Ejecutar.0 para ePolicy Orchestrator 4. consulte los archivos HIPShield.0 109 . hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”. compruebe que el cliente se esté ejecutando.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Para. ejecute el siguiente comando: ps –ef | grep Hip Guía del producto McAfee Host Intrusion Prevention 8. hipts engines all:off SUGERENCIA: además de usar la herramienta de solución de problemas.. hipts-bin Herramienta de solución de problemas *. El directorio opt/McAfee/hip deberá incluir estos archivos y directorios esenciales: Nombre del archivo Descripción HipClient. Para ello. Consulte este archivo para cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion Prevention. Comprobación de que el cliente Linux se ejecuta Si el cliente no aparece en la consola ePO..log en el directorio McAfee/hip/log para comprobar las operaciones o realizar el seguimiento de problemas.so Módulos de objetos compartidos de Host Intrusion Prevention y McAfee Agent Directorio de registro Contiene archivos de registro de depuración y error El historial de instalación se escribe en /opt/McAfee/etc/hip-install. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”. el mensaje de error está desactivado.log. compruebe que todos los archivos se instalaron en el directorio adecuado del cliente. El motor está activo de forma predeterminada.. hipts engines all:on Desactivar todos los motores. Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”. HipClient-bin Cliente Linux HipClientPolicy. hipts engines <engine name>:off Activar todos los motores. hipts message all:off Activar el motor indicado. Comprobación de los archivos de instalación de Linux Después de una instalación.

según cuál haya utilizado para detener el cliente: • Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva al cliente. Siga uno de estos procedimientos. Tarea 1 Ejecute el comando: hipts agent on. 2 • Ejecute el comando: hipts engines MISC:off Ejecute el comando: hipts agent off Reinicio del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Detención del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema. desactive la protección IPS.0 . • Ejecute el comando: hipts engines MISC:on 110 Guía del producto McAfee Host Intrusion Prevention 8. 2 Active la protección IPS.0 para ePolicy Orchestrator 4. Tarea 1 Para detener un cliente. Utilice uno de estos procedimientos: • Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la directiva al cliente.

debe revisar la sintaxis para escribir cadenas y secuencias de escape en TCL. proporciona información acerca de cómo crear firmas personalizadas para las distintas plataformas del cliente. Esta información también puede usarse al trabajar con la página de detalles avanzados para las excepciones. Cada regla contiene secciones obligatorias y opcionales. Las secciones opcionales cambian según el sistema operativo y la clase de regla. Cada sección define una categoría de regla y su valor. } NOTA: antes de que intente escribir reglas personalizadas. Una regla para evitar una solicitud al servidor web que tiene una parte “subject” en la consulta de solicitud http tiene el siguiente formato: Rule { Class Isapi Id 4001 level 4 query { Include *subject* } Guía del producto McAfee Host Intrusion Prevention 8. Contenido Estructura de regla Firmas personalizadas de Windows Firmas personalizadas no Windows Estructura de regla Cada firma contiene una o varias reglas escritas en la sintaxis de ANSI Tool Command Language (TCL).. parámetros y directivas. además.0 para ePolicy Orchestrator 4. que define el comportamiento global de la misma. con una sección por línea. Una revisión rápida de las referencias estándar de TCL le garantizará que introduce los valores apropiados correctamente. Una sección siempre identifica la clase de la regla.. incluida una lista de clases. La estructura básica de una regla es la siguiente: Rule { Valor SecciónA Valor SecciónB Valor SecciónC .Escritura de firmas personalizadas y excepciones Esta sección describe la estructura de las firmas IPS.0 111 .Apéndice A -.

" Nombre de la subregla. Observaciones para Windows: 112 • Para usuario local: usar <nombre equipo>/<nombre usuario local>. ID 4000 . y Excluir significa que la sección funciona en todos los valores excepto el indicado. nivel y directivas. Consulte Firmas personalizadas de Windows o Indica la clase a la que se aplica Firmas personalizadas no Windows.. Sección Valor Clase Depende del sistema operativo. Necesitará planear de manera acorde cuando desarrolle reglas. la regla.0 para ePolicy Orchestrator 4.. consulte la sección de clase en firmas personalizadas de Windows o no Windows. Para las secciones relacionadas con la sección de clase seleccionada. Incluir significa que la sección funciona en el valor indicado. Las palabras clave Incluir y Excluir se usan para todas las secciones excepto etiqueta. Especifique usuarios concretos o todos los usuarios. Los números son los disponibles para las reglas personalizadas.0 .5999 El número de ID único de la firma.Apéndice A -. Secciones comunes Las secciones más comunes de una regla y sus valores incluyen los elementos siguientes. ID. NOTA: todos los nombres de sección de todas las plataformas diferencian entre mayúsculas y minúsculas.Escritura de firmas personalizadas y excepciones Estructura de regla method { Include GET } time { Include * } Executable { Include * } user_name { Include * } directives isapi:request } Consulte Firmas personalizadas de Windows y Firmas personalizadas no Windows para obtener una explicación de las distintas secciones y sus valores. • Para usuario de dominio: usar <nombre dominio>/<nombre usuario dominio>. pero puede usar en su lugar el servicio local y su contexto de usuario. etiqueta Nombre de la regla entre comillas ". Los valores de las secciones diferencian entre mayúsculas y minúsculas solo en las plataformas no Windows. nivel 0 Descripción Nivel de gravedad de la firma: 1 0=Desactivado 2 1=Registro 3 2=Bajo 4 3= Medio 4= Alto user_name {Incluir/Excluir nombre de usuario o cuenta de sistema} Los usuarios a los que se aplica la regla. • Para sistema local: usar Local/Sistema. Guía del producto McAfee Host Intrusion Prevention 8. • Algunas acciones iniciadas desde remoto no llevan la ID del usuario remoto.

txt:.inc. En UNIX. Ejemplo: Ejecutable {Include -path "C:\\Program Files\\McAfee\\VirusScan Enterprise\\Mcshield. Cuando marca el valor de una sección con Excluir.. NOTA: puede crear una firma con múltiples reglas simplemente agregando las reglas una tras otra. -sdn. use una sola barra invertida en las rutas de los archivos.\". files { Include C:\\test\\*. Con la subregla de exportación. y se enumeran para cada clase en las últimas secciones. Los valores -path (nombre de la ruta del archivo). L=santa clara.txt } Guía del producto McAfee Host Intrusion Prevention 8. use *. Tenga en cuenta que cada regla de la misma firma debe tener el mismo valor para ID y secciones de nivel. }. OU=digital id class 3 . O=\"mcafee. ST=california. esta sección distingue entre mayúsculas y minúsculas. -desc. y dentro de los paréntesis puede tener una o varias opciones. Para supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo abc. La subregla estándar traduce las barras únicas en las barras dobles necesarias. Uso de Incluir y Excluir Cuando marca el valor de una sección con Incluir.Apéndice A -. use dos barras invertidas en las rutas de los archivos. Por ejemplo. OU=iss. -sdn (firmante del archivo) y -desc (descripción del archivo) son cadenas y necesitan escapar mediante TCL si contienen espacios y otros caracteres reservados para TCL.txt } y para supervisar todos los archivos. para supervisar todos los archivos de texto en C:\test\: files { Include C:\\test\\*. -hash.txt } Combine las palabras clave para excluir valores de un conjunto de valores incluidos. firmante o descripción} Cada ejecutable se especifica dentro de los paréntesis con -path.. la sección funciona en el valor indicado. Ejecutable {Incluir/Excluir ruta de archivo. En UNIX. Puede haber múltiples paréntesis para cada sección. en C:\test\: files { Exclude C:\\test\\*. el usuario y el dominio son "Anónimos".\". use *. la sección funciona en todos los valores excepto el valor indicado Cuando usa estas palabras clave. Si una regla se aplica a todos los usuarios. inc. NOTA: con la subregla estándar. huella digital.Escritura de firmas personalizadas y excepciones Estructura de regla Sección Valor Descripción Cuando se produce un proceso en el contexto de una sesión nula. directivas tipo de operación Los tipos de operación dependen de cada clase.exe" -sdn "CN=\"mcafee.0 para ePolicy Orchestrator 4. C=us" -desc "On-Access Scanner service"} Si una regla se aplica a todos los ejecutables. se encierra en llaves { .microsoft software validation v2.0 113 . El valor -hash (hash MD5) es una cadena hexbin de 32 caracteres. mientras que la subregla de exportación no realiza ninguna traducción. esta sección distingue entre mayúsculas y minúsculas. excepto los archivos de texto.

• Si una subregla incluye all (todos los usuarios). Por ejemplo.Apéndice A -. si hay una regla que supervise un solo archivo de texto en C:\test\ files { Include C:\\test\\abc.txt } 114 Guía del producto McAfee Host Intrusion Prevention 8. —inactive La firma se encuentra desactivada. Uso de la sección de dependencias Agregue las dependencias de sección opcionales para prevenir que una regla más general se inicie junto a una regla más específica.Escritura de firmas personalizadas y excepciones Estructura de regla files { Exclude C:\\test\\abc. la firma se inicia solo si el usuario es marketing\anyone.0 para ePolicy Orchestrator 4. En este caso.0 . files { Include C:\\test\\abc. no se inicia. consulte la sección de clase en firmas personalizadas de Windows y no Windows. y Excluir significa que la sección funciona en todos los valores excepto el indicado. excluir gana a incluir. la firma no se iniciará incluso si el usuario marketing\jjohns realiza una acción que inicie la firma. A continuación. Las palabras clave Incluir y Excluir se usan tanto para las dependencias como para los atributos. • Si una subregla incluye al usuario marketing\* pero excluye a marketing\jjohns.txt } Cada vez que agrega la misma sección con la misma palabra clave. agrega una operación. la firma se inicia si el usuario NO es marketing\jjohns. Incluir significa que la sección funciona en el valor indicado.txt } así como una regla para supervisar todos los archivos de texto de C:\test\ files { Include C:\\test\\*. Sección Valor Descripción dependencias {Include/Exclude “id de una regla”} Define las dependencias entre reglas y previene que se inicien reglas dependientes. —no_trusted_apps La lista de aplicaciones de confianza no se aplica a esta firma. atributos —no_log Los eventos de la firma no se envían al servidor ePO. marketing\jjohns. Para supervisar cualquier archivo de texto en la carpeta C:\test\ cuyo nombre comience con la cadena “abc”: files { Include C:\\test\\*.txt } Agregue las dependencias de sección a la regla más específica. algunos ejemplos: • Si una subregla incluye al usuario marketing\jjohns y excluye al mismo usuario. Secciones comunes opcionales Las secciones opcionales de una regla y sus valores incluyen el elemento siguiente. pero excluye al usuario marketing\jjohns. a no ser que el usuario sea marketing\jjohns.txt } files { Include C:\\test\\abc* } NOTA: en orden de precedencia. —not_auditable No se generan excepciones para la firma cuando el modo de adaptación se aplica. Para las secciones opcionales relacionadas con la sección de clase seleccionada. lo que explica al sistema que no debe iniciar la regla más general si se inicia la más específica.

Escritura de firmas personalizadas y excepciones Estructura de regla dependencies “the general rule” Caracteres comodín y variables Los caracteres comodín. | (canalización) Escape de caracteres comodín.txt } iEnv SystemDrive C:\ donde C es la unidad que contiene la carpeta Windows System. donde C es la unidad que contiene la carpeta Windows System. Ejemplo: files {Include [iEnv SystemRoot]\\system32\\abc.Apéndice A -. ] como atajo para especificar el archivo de Windows y los nombres de ruta del directorio. Ejemplo: files { Include “C:\test\\yahoo!. los metasímbolos y las variables predefinidas pueden usarse como valor en las secciones disponibles.0 115 . use ** (dos asteriscos) para incluir / y \. * (un asterisco) Varios caracteres incluidos / y \. NOTA: para las rutas y las direcciones.txt” ” } & (y comercial) Varios caracteres excepto / y \..txt” } Uso de variables de entorno Use las variables de entorno y el comando iEnv con un parámetro (el nombre de la variable) entre corchetes [ . Variable de entorno Qué representa iEnv SystemRoot C:\winnt\. * (un asterisco) Varios caracteres incluidos / y \. Ejemplo: files {Include [iEnv SystemDrive]\\system32\\abc. use * (un asterisco) para excluir / y \. Ejemplo: files { Include “C:\*. Caracteres comodín Puede usar caracteres comodín para los valores de las secciones.0 para ePolicy Orchestrator 4.txt” } ! (signo de exclamación) Escape de caracteres comodín.. Ejemplo: files { Include “C:\test\\&. Para las firmas y subreglas expertas.txt} Guía del producto McAfee Host Intrusion Prevention 8. Tenga en cuenta el uso levemente diferente de los asteriscos con rutas y direcciones que normalmente contienen barras o barras invertidas. Tabla 21: Caracteres comodín Carácter Qué representa ? (signo de interrogación) Un solo carácter. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. Tabla 22: Caracteres comodín TCL Carácter Qué representa ? (signo de interrogación) Un solo carácter. se usa el plan de caracteres comodín TCL.

exe IIS_Computer Nombre del equipo donde se ejecuta IIS IIS_Envelope Incluye todos los archivos a los que IIS tiene acceso IIS_Exe_Dirs Directorios virtuales que permiten la ejecución de archivos.Apéndice A -. incluida la raíz del sistema y la raíz de IIS IIS_Ftp_Dir Directorios raíz del sitio FTP IIS_FTP_USR Nombre de cuenta de usuario anónimo de FTP local IIS_FtpLogDir Directorio de archivos de registro de FTP IIS_IUSR Nombre de cuenta de usuario anónimo de web local IIS_IUSRD Nombre de cuenta de usuario anónimo de web de dominio IIS_IWAM Nombre de cuenta de usuario de IIS Web Application Manager IIS_LogFileDir Directorio de archivos de registro Web IIS_LVirt_Root Todos los directorios virtuales de IIS IIS_Processes Procesos con derechos de acceso a recursos de IIS IIS_Services Todos los servicios necesarios para que IIS funcione correctamente Tabla 24: MS SQL Database Server 116 Variable Descripción MSSQL_Allowed_Access_Paths Directorios como \WINNT y \WINNT\System32 que sean accesibles MSSQL_Allowed_Execution_Paths Directorios como \WINNT y \WINNT\System32 que sean ejecutables MSSQL_Allowed_Modification_Paths Directorios como \WINNT\Temp que sean modificables MSSQL_Auxiliary_Services Los servicios auxiliares de MS SQL que se encuentren en el sistema MSSQL_Core_Services Los servicios principales de MS SQL que se encuentren en el sistema MSSQL_Data_Paths El resto de archivos de datos asociados a MS SQL que pueden encontrarse fuera del directorio MSSQL_DataRoot_Path MSSQL_DataRoot_Paths La ruta a los archivos de datos de MS SQL para cada instancia MSSQL_Instances El nombre de cada instancia de MS SQL instalada Guía del producto McAfee Host Intrusion Prevention 8.Escritura de firmas personalizadas y excepciones Estructura de regla Uso de variables predefinidas Host Intrusion Prevention proporciona variables predefinidas para la escritura de reglas.0 para ePolicy Orchestrator 4. Estas variables están precedidas por “$.” y se enumeran a continuación. Tabla 23: Windows IIS Web Server Variable Descripción IIS_BinDir Directorio donde se encuentra inetinfo.0 .

Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Variable Descripción MSSQL_Registry_Paths Todas las ubicaciones de registro asociadas con MS SQL Tabla 25: Unix Apache e iPlanet Variable Descripción UAPACHE_Bins Ruta a archivos binarios de Apache UAPACHE_CgiRoots Ruta a archivos raíz de CGI UAPACHE_ConfDirs Directorios que contienen archivos de configuración de Apache UAPACHE_DocRoots Ruta a archivos raíz de documentos UAPACHE_Logs Archivos de registro de Apache UAPACHE_Logs_dir Directorio de archivos de registro UAPACHE_Roots Archivos raíz de servidores Web Apache UAPACHE_Users Usuarios que Apache ejecuta como UAPACHE_VcgiRoots Ruta a archivos raíz de servidores virtuales de CGI UAPACHE_VdocRoots Archivos raíz de documentos virtuales UAPACHE_Vlogs Archivos de registro de servidores virtuales UAPACHE_Vlogs_dir Directorios para los archivos de registro de servidores virtuales UIPLANET_BinDirs Ruta a archivos binarios de iPlanet UIPLANET_CgiDirs Ruta a directorios de CGI UIPLANET_DocDirs Rutas a directorios de documentos UIPLANET_Process Ruta a archivos binarios ns-httpd de iPlanet UIPLANET_Roots Ruta a archivos raíz de iPlanet Firmas personalizadas de Windows Esta sección describe cómo escribir firmas personalizadas en la plataforma Windows. La clase usada por una firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles en las rutas y las reglas en la clase UNIX_file no Windows utilizan una sola barra. Para Windows están disponibles las siguientes clases: Clase Cuándo usarla Desbordamiento del búfer Para la protección contra el desbordamiento del búfer Archivos Para la protección de operaciones de archivos y directorios Enlazar Para la protección del enlace de proceso de API Guía del producto McAfee Host Intrusion Prevention 8. mientras que otras no.0 para ePolicy Orchestrator 4.0 117 . Para estas clases y parámetros sin interfaz de usuario. Algunas clases y parámetros aparecen en la interfez de usuario de firma personalizada. la única forma de acceder a ellos es el método experto de creación de reglas.

bo:writeable_memory Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que no forma parte de una pila ni de un montón del subproceso actual.0 . bo:target_bytes Una cadena hexadecimal que representa 32 bytes de instrucciones que pueden usarse para crear Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. bo:invalid_call Comprueba que el API se llama desde una instrucción de llamada adecuada. módulo de llamada Ruta a un módulo (por ejemplo. bo:heap Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de una pila.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Cuándo usarla Uso ilegal de API Para la protección contra el uso ilegal de API de IPS en host Uso ilegal Para la protección contra el uso ilegal de API Isapi Para supervisar las solicitudes de http a IIS Programa Para la protección contra las operaciones de programa Registro Para la protección de las operaciones de valor de registro y clave de registro Servicios Para la protección contra las operaciones de servicios SQL Para la protección contra las operaciones de SQL Desbordamiento de búfer de clase Windows La siguiente tabla enumera las secciones y valores posibles para el desbordamiento del búfer de la clase Windows: Sección Valores Clase Buffer_Overflow ID Consulte Secciones comunes. un DLL) cargado por un ejecutable que hace una llamada que crea un desbordamiento del búfer directivas bo:stack Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de la pila del subproceso actual. Consulte la nota 1.Apéndice A -. Notas nivel hora user_name Ejecutable 118 dependencias 428 Opcional.

Consulte la nota 3). bo:call_return_unreadable Comprueba que la dirección de retorno no sea memoria de lectura. Notas nivel hora user_name Ejecutable (use este parámetro para distinguir entre acceso a los archivos local y remoto. es una regla de desbordamiento de búfer genérica. Consulte las notas 1 y 2. incluya la sección "dependencias 428" en la firma personalizada. Consulte las notas 1 y 2.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas una excepción dirigida para un falso positivo sin desactivar el desbordamiento del búfer durante todo el proceso.0 119 . drive_type • Network: acceso a archivos Permite la creación de reglas de clase de archivo de red específicos de los tipos de unidad. bo:call_different_target_address Comprueba que el objetivo de la llamada no se corresponda con el objetivo enlazado. • Floppy: acceso a unidad de disco • CD: acceso a CD o DVD • OtherRemovable: USB u otros accesos de unidad extraíble • OtherFixed: acceso al disco duro local o a otros discos duros fijos Guía del producto McAfee Host Intrusion Prevention 8. bo:call_return_to_api Comprueba que la dirección de retorno sea un punto de entrada de API. bo:call_not_found Comprueba que la secuencia de código previa a la dirección de retorno no sea una llamada. Archivos de clase de Windows La siguiente tabla enumera las secciones y los valores posibles para Archivos de clase Windows: Sección Valores Clase Archivos ID Consulte Secciones comunes. Nota 1 La Firma 428. Solo se usa con files:rename y files:hardlink. archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos. desbordamiento de búfer genérico. dest_file Archivos de destino si la operación implica archivos de origen y de destino Uno de los parámetros requeridos.Apéndice A -.0 para ePolicy Orchestrator 4. Para evitar que se inicie esta regla.

txt” } Nota 2 La directiva files:rename tiene un significado diferente cuando se combina con la sección files y la sección dest_file. las siguientes son representaciones de ruta válidas: dest_file { Include “*\\test\\abc. las siguientes son representaciones de ruta válidas: files { Include “C:\\test\\abc. Por ejemplo.txt” } Si se usa la sección dest_file la ruta absoluta no puede usarse. así que debe haber un comodín presente en el inicio de la ruta para representar el disco duro. Por ejemplo.txt” } 120 Guía del producto McAfee Host Intrusion Prevention 8. o mueve el archivo a otro directorio. files:attribute Cambia los atributos del archivo. significa que se supervisa el cambio de nombre del archivo en la sección files.Apéndice A -.txt” } dest_file { Include “*\\abc.txt a cualquier otro nombre: Rule { tag "Sample1" Class Files Id 4001 level 4 files { Include “C:\\test\\abc. Nota 1 Si se usa la sección files.txt” } files { Include “*\\abc. files:delete Borra el archivo de un directorio. Por ejemplo. Consulte la nota 2. la siguiente regla supervisa el cambio de nombre de C:\test\abc.0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas directivas files:create Crea un archivo en un directorio. Cuando se combina con la sección files.txt” } files { Include “*\\test\\abc. la ruta a una carpeta supervisada o archivo pueden ser tanto la ruta completa como un comodín. files:execute Ejecuta el archivo (ejecutar un directorio significa que este directorio se convertirá en el directorio actual). files:read Abre el archivo con acceso de solo lectura. o lo mueve a otro directorio.0 . files:write Abre el archivo con acceso de lectura y escritura. files:rename Cambia el nombre de un archivo en el mismo directorio. Los atributos supervisados son: files:hardlink • solo lectura • oculto • archivar • sistema Crea un enlace no modificable.

la siguiente regla supervisa el cambio de nombre de cualquier archivo a C:\test\abc. La siguiente regla impediría a cualquier usuario y a cualquier proceso crear el archivo abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:rename } Combinada con la sección dest_file. dest_file Solo se aplica al cambio de nombre de archivos. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma.0 para ePolicy Orchestrator 4.0 121 . El nuevo nombre que recibió el archivo. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para los Archivos de clase. Por ejemplo. Si se usa la sección files.txt” } Executable { Include “*”} user_name { Include “*” } directives files:rename } La sección files no es obligatoria si se usa la sección dest_file. las dos secciones (files y dest_file) tienen que coincidir.Apéndice A -.txt en la carpeta C:\test\. significa que ningún archivo puede cambiar de nombre al del archivo de la sección dest_file. Rule { tag "Sample3" Class Files Id 4001 level 4 files { Include “C:\\test\\abc. Nota 3 Para distinguir entre el acceso remoto al archivo y el acceso local al archivo para cualquier directiva.txt” } Guía del producto McAfee Host Intrusion Prevention 8. cambie el nombre de ruta del ejecutable a "SystemRemoteClient": Executable { Include -path “SystemRemoteClient” } Así se evitará que cualquier directiva se ejecute si el ejecutable no es local. Nombre de GUI Explicación archivos Nombre del archivo al que se accedió.txt: Rule { tag "Sample2" Class Files Id 4001 level 4 dest_file { Include “*\\test\\abc.

• user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. escríbalos aquí. incluya el ejecutable en la lista de protección de aplicaciones. al supervisar los archivos C:\test\abc.Apéndice A -. cada una de estas reglas necesitará usar la misma ID. Hook de la clase Windows La siguiente tabla enumera las secciones y valores posibles para Hook de la clase Windows: Sección Valores Clase Hook ID Consulte Secciones comunes. Si desea limitar la regla a contextos de usuarios específicos.txt y C:\test\xyz. • files { Include “C:\\test\\abc. la sección cambia a: files { Include “C:\\test\\abc. el contexto de seguridad en el que se ejecuta un proceso). • level 4: asigna el nivel de seguridad "alto" a esta regla.txt” }. cada una de estas reglas necesitará usar el mismo nivel. junto con el nombre de la ruta de acceso. directivas hook:set_windows_hook Para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook. Por ejemplo. indíquelos aquí.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:create } Las distintas secciones de esta regla tienen el siguiente significado: • Archivos de clase: indica que esta regla está relacionada con la clase de operaciones en archivos.txt” }: indica que la regla cubre el archivo específico y la ruta C:\test\abc. para ser más precisos.txt.txt” “C:\\test\\xyz. Si la regla debiera cubrir múltiples archivos. Un parámetro necesario. Si la firma personalizada tenía múltiples reglas.0 para ePolicy Orchestrator 4. • directives files:create: indica que esta regla cubre la creación de un archivo. Si desea limitar la regla a procesos específicos. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. Notas nivel hora user_name Ejecutable 122 módulo de administrador El nombre de la ruta del ejecutable que se enlaza con otro ejecutable. Consulte Secciones comunes para obtener más información. Si la firma personalizada tenía múltiples reglas. en el formato Local/user o Domain/user. • id 4001: asigna la ID 4001 a esta regla. Guía del producto McAfee Host Intrusion Prevention 8. podría añadirlos en esta sección en líneas distintas.0 .txt.

directivas illegal_api_use:bad_parameter Se trata de un número de 128 bits que representa una ID única para un componente de software. Esto es un ejemplo de una firma: Rule { tag "Sample4" Class Illegal_API_Use Id 4001 level 4 Executable { Include “*”} user_name { Include “*” } vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"} detailed_event_info { Include "0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"} directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call attributes -not_auditable } Guía del producto McAfee Host Intrusion Prevention 8. Un bit de interrupción especifica el identificador de clase del objeto (CLSID) para los controles de software de ActiveX que se identifican como amenazas de vulnerabilidad de la seguridad. Los bits de interrupción se instalan normalmente en los sistemas operativos de Windows por medio de las actualizaciones de seguridad de Windows. Notas nivel hora user_name Ejecutable vulnerability_name Nombre de la vulnerabilidad detailed_event_info Una o más CLSID. Las aplicaciones que usan ActiveX no cargan el software específico de ActiveX si hay un bit de interrupción activo.0 123 .0 para ePolicy Orchestrator 4. clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de API de la clase Windows: Sección Valores Clase Illegal_API_Use ID Consulte Secciones comunes. La finalidad primaria de un bit de interrupción es cerrar los orificios de seguridad. Normalmente se muestra como: "{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}" illegal_api_use:invalid_call Use esta clase para crear una firma de bit de interrupción personalizada.Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso de host ilegal IPS API. El bit de interrupción es una característica de seguridad en navegadores web y otras aplicaciones que usen ActiveX.

isapi:response Para las repuestas de solicitud. método GET. Se compara con la parte de consulta de una solicitud entrante.Apéndice A -. POST. consulta Uno de los parámetros requeridos. isapi:reqquery Para solicitudes de consultas. Notas nivel hora user_name Ejecutable nombre Un valor de los tres: LsarLookupNames.0 .0 para ePolicy Orchestrator 4. nota 4. Guía del producto McAfee Host Intrusion Prevention 8. Consulte las notas 1-4. Consulte la otro método de HTTP permitido. isapi:rawdata Para solicitudes de datos sin procesar. Consulte las notas 1-4. directivas isapi:request Para los tres tipos de solicitudes entrantes de HTTP.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso ilegal. LsarLookupSids o ADMCOMConnect directivas illegal:api Isapi (HTTP) de clase Windows La siguiente tabla enumera las secciones y valores posibles para Isapi IIS de la clase Windows: Sección Valores Clase Isapi ID Consulte Secciones comunes. Notas nivel hora user_name Ejecutable 124 url Uno de los parámetros requeridos. clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de la clase Windows: Sección Valores Clase Illegal_Use ID Consulte Secciones comunes. INDEX o cualquier Uno de los parámetros requeridos. isapi:requrl Para solicitudes de url. Se compara con la parte URL de una solicitud entrante.

com/ {url}?{query}. nos referimos a {url} como la parte "URL" de la solicitud http y a {query} como la parte "consulta" de la solicitud http.myserver. se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape.xyz". "*abc. que coincide con el valor de la sección “url” (es decir. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Isapi. independientemente de su longitud. podemos decir que la sección "URL" se compara con {url} y que la sección "consulta" se compara con {query}. consulta. la siguiente regla se activa si IIS recibe la solicitud http: http:// www.número_de_caracteres” al valor de estas secciones. la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. al menos. Utilizando esta convención de nombres." coincide con cualquier cadena que incluya "abc.0 para ePolicy Orchestrator 4. Por ejempo "abc*.exe?subject=wildlife&environment=ocean Rule { tag "Sample6" Class Isapi Id 4001 level 1 url { Include “*abc*” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Esta regla se activa porque {url}=/search/abc. Nombre de GUI Explicación url Parte de ubicación descodificada y normalizada de una solicitud HTTP entrante (la parte antes del signo de interrogación "?").com/search/abc. Guía del producto McAfee Host Intrusion Prevention 8. Agregando “.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 Una solicitud entrante de http puede representarse como: http://www. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”.Apéndice A -.exe. método. Nota 2 Antes de efectuar la correspondencia.xyz*. una de las siguientes secciones opcionales: url. abc).500" coincide con las cadenas que contienen "abc" que son de 500 caracteres o más.0 125 . Por ejemplo.myserver. En este documento. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Nota 4 Una regla debe incluir.

la solicitud GET http://www. cada una de estas reglas necesitará usar la misma ID. web server type Tipo y versión de la aplicación de servidor web usada. Post y Query). origen Nombre o dirección IP del equipo en el que se originó la solicitud HTTP. La siguiente regla impediría una solicitud al servidor web que contenga "subject" en la parte de consulta de la solicitud HTTP: Rule { tag "Sample7" Class Isapi Id 4001 level 1 query { Include “*subject*” } method { Include “GET” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Por ejemplo. Se deja en blanco si no está disponible. Si la firma personalizada tenía múltiples reglas. local file Nombre físico del archivo que se recupera o se intenta recuperar con la solicitud.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación consulta Parte de consulta descodificada y normalizada de una solicitud HTTP entrante (la parte después del primer signo de interrogación "?").0 . Las distintas secciones de esta regla tienen el siguiente significado: • Clase Isapi: indica que esta regla está relacionada con la clase de operaciones de Isapi. el equipo en el que está instalado el cliente) en el formato <host name>:<IP address>:<port>. La línea de la solicitud es “<method> <location[?query]> <http version> CRLF”. La dirección contiene tres partes: nombre de host: dirección: número de puerto. Solo está disponible si la solicitud es autenticada. Se descodifica y normaliza con IIS. raw url Línea de solicitud sin procesar (no descodificada y no normalizada) de la solicitud HTTP entrante.Apéndice A -.com/test/ abc.0 para ePolicy Orchestrator 4. 126 Guía del producto McAfee Host Intrusion Prevention 8.myserver.exe?subject=wildlife&environment=ocean se evitaría con esta regla. • Id 4001: asigna la ID 4001 a esta regla. Get. El nombre de host es la variable de host del encabezado HTTP. Put. content len Número de bytes en el cuerpo del mensaje que es parte de la consulta. usuario Nombre del usuario del cliente que hace la solicitud. servidor Información sobre el servidor Web en el que se creó el evento (es decir. método Método de la solicitud entrante de HTTP (por ejemplo.

cada una de estas reglas necesitará usar el mismo nivel. (Ejecute el ejecutable de destino en la interfaz de usuario).Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • level 4: asigna el nivel de seguridad "alto" a esta regla. Si desea limitar la regla a contextos de usuarios específicos. en el formato Local/user o Domain/user. directivas program:run Selecciónelo para evitar que el ejecutable de destino se ejecute. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. • PROCESS_VM_WRITE: requerido para escribir en la memoria. indíquelos aquí. program:open_with_any Las directivas "program:open_with_x" administran los derechos de acceso creados con OpenProcess(). se agregarían en esta sección en líneas diferentes. • method { Include “GET” }: indica que la regla solo puede coincidir con solicitudes GET. • directives isapi:request: indica que esta regla cubre una solicitud HTTP.Apéndice A -. • query { Include “*subject*” }: indica que la regla coincide con cualquier solicitud (GET) que contenga la cadena "subject" en la parte de consulta de la solicitud HTTP. Consulte Secciones comunes para obtener más información. Si desea limitar la regla a procesos específicos.0 para ePolicy Orchestrator 4. para ser más precisos. • PROCESS_DUP_HANDLE: requerido para duplicar un control. el contexto de seguridad en el que se ejecuta un proceso). Guía del producto McAfee Host Intrusion Prevention 8. junto con el nombre de la ruta de acceso. Uno de los parámetros requeridos. Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso. Si la firma personalizada tenía múltiples reglas. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. Si la regla tuviera que cubrir varios archivos en la parte “query”.0 127 . Notas nivel hora user_name Ejecutable nombre de archivo Nombre del proceso en la operación. Uno de los parámetros requeridos. • PROCESS_CREATE_THREAD: requerido para crear un subproceso. ruta Nombre de la ruta del proceso. Programa de clase Windows La siguiente tabla enumera las secciones y valores posibles para los programas de la clase Windows: Sección Valores Clase Programa ID Consulte Secciones comunes. escríbalos aquí.

como su clase de prioridad. 128 Guía del producto McAfee Host Intrusion Prevention 8. (Se abre con un acceso para crear un subproceso en la interfaz de usuario). program:open_with_terminate Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso.0 . (Se abre con cualquier acceso en la interfaz de usuario). • PROCESS_CREATE_THREAD: requerido para crear un subproceso. program:open_with_create_thread Selecciónela para evitar este derecho de acceso específico de proceso: • PROCESS_CREATE_THREAD: requerido para crear un subproceso. NOTA: no disponible en Microsoft Vista y plataformas posteriores.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. program:open_with_modify Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso. como su clase de prioridad.Apéndice A -.0 para ePolicy Orchestrator 4. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. (Se abre con un acceso para terminar en la interfaz de usuario). • PROCESS_TERMINATE: requerido para terminar un proceso. • SYNCHRONIZE: requerido para esperar a que el proceso termine. (Se abre con un acceso para esperar en la interfaz de usuario). • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. • PROCESS_VM_WRITE: requerido para escribir en la memoria. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. (Se abre con un acceso para modificar en la interfaz de usuario). • PROCESS_TERMINATE: requerido para terminar un proceso. • PROCESS_DUP_HANDLE: requerido para duplicar un control. program:open_with_wait Selecciónela para evitar este derecho de acceso específico de proceso: • SYNCHRONIZE: requerido para esperar a que el proceso termine.

new_data Operación de valor de la clave de registro. como la función de restauración regedit32. valores Operación de valor de la clave de registro Uno de los parámetros requeridos. registry:restore Restaura un subárbol de un archivo. Notas nivel hora user_name Ejecutable claves Operación de la clave de registro Uno de los parámetros requeridos. supervisar. es decir. registry:enumerate Enumera una clave del registro. obtiene la lista de todas las subclaves y valores de la clave. modificar y crear).0 129 . registry:rename Cambia el nombre de una clave de registro. El objetivo será el nombre de la clave. registry:open_existing_key Abre una clave de registro existente. A usar con las operaciones de valor de registro (borrar. borrar.0 para ePolicy Orchestrator 4.) u obtiene el contenido de un valor de registro. registry:create Permite la creación de una clave de registro. Solo para registry:rename cuando se cambia el nombre de una clave. Nuevos datos del valor. sustituir y cargar). Opcional. dest_keys Operación de la clave de registro Opcional. directivas registry:delete Elimina una clave o un valor de registro registry:modify Modifica el contenido de un valor de registro o la información de una clave de registro. registry:replace Restaura un ajuste del registro. Guía del producto McAfee Host Intrusion Prevention 8. cambiar el nombre. registry:read Obtiene la información de la clave de registro (número de subclaves. registry:load Carga claves o valores de registro de un archivo. etc. Consulte la nota 1. registry:permissions Modifica los permisos de una clave de registro. pero solo después de un reinicio.Apéndice A -. restaurar. registry:monitor Solicita la supervisión de una clave de registro. Consulte la nota 2. leer.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Registro de la clase Windows La siguiente tabla enumera las secciones y los valores posibles para el registro de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. enumerar. Solo para registry:modify o registry:create. A usar con las operaciones de clave (crear. leer.

Nombre de GUI Explicación Clave de registro Nombre de la clave de registro implicada. tipos de datos antiguos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse. incluido el nombre de la ruta. Por ejemplo. Tenga en cuenta lo siguiente: Valores de registro Para esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\ \REGISTRY\MACHINE\ HKEY_CURRENT_USER\ \REGISTRY\CURRENT_USER\ HKEY_CLASSES_ROOT\ \REGISTRY\MACHINE\SOFTWARE\CLASSES\ HKEY_CURRENT_CONFIG\ REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\ HKEY_USERS\ \REGISTRY\USER\ Nombre del valor de registro enlazado con el nombre completo de su clave.0 . Nota 2 Los datos de la sección de datos nuevos deben ser hexadecimales.0 para ePolicy Orchestrator 4. los datos ‘def’ del valor del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc” deben representarse como old_data { Include “%64%65%66”}. Tenga en cuenta lo siguiente: Para los valores de esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\Test \REGISTRY\MACHINE\Test\* HKEY_CURRENT_USER\Test \REGISTRY\CURRENT_USER\Test\* HKEY_CLASSES_ROOT\Test \REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\* HKEY_CURRENT_CONFIG\Test REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\Test\* HKEY_USERS\Test \REGISTRY\USER\Test\* datos antiguos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse. 130 Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -. datos nuevos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro contiene tras un cambio o que contendría si se produjera el cambio.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 HKEY_LOCAL_MACHINE en una ruta de registro se sustituye por \REGISTRY\MACHINE\ y CurrentControlSet se sustituye por ControlSet. Por ejemplo. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. el valor del Registro “abc” en la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa se representa como \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Registro.

Apéndice A -. • level 4: asigna el nivel de seguridad "alto" a esta regla. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. agréguelos en esta sección en líneas diferentes. en el formato Local/user o Domain/user. cada una de estas reglas necesitará usar la misma ID. junto con el nombre de la ruta de acceso.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación tipos de datos nuevos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro contendría tras un cambio o que contendría si se produjera el cambio. Si la firma personalizada tenía múltiples reglas.0 131 . Si la firma personalizada tenía múltiples reglas. • application { Include “*”}: indica que esta regla es válida para todos los procesos. Notas Guía del producto McAfee Host Intrusion Prevention 8. La siguiente regla impediría que cualquier usuario y cualquier proceso pudiera eliminar el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”. • Id 4001: asigna la ID 4001 a esta regla. escríbalos aquí. Servicios de la clase Windows La siguiente tabla enumera las secciones y valores posibles para los servicios de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. Rule { tag "Sample8" Class Registry Id 4001 level 4 values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } application { Include “*”} user_name { Include “*” } directives registry:delete } Las distintas secciones de esta regla tienen el siguiente significado: • Class Registry: indica que esta regla está relacionada con una solicitud enviada a IIS. indíquelos aquí. Si la regla cubre varios valores. cada una de estas reglas necesitará usar el mismo nivel. para ser más precisos. • directives registry:delete: indica que esta regla incluye la eliminación de la clave o el valor de registro. • values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }: indica que la regla supervisa el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.0 para ePolicy Orchestrator 4. Si desea limitar la regla a contextos de usuarios específicos. el contexto de seguridad en el que se ejecuta un proceso). Consulte Secciones comunes para obtener más información. Si desea limitar la regla a procesos específicos.

Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas nivel hora user_name Ejecutable servicios Nombre del servicio que Uno de los parámetros requeridos. services:logon Modifica la información de inicio de sesión de un servicio. directivas services:delete Borra un servicio. services:profile_disable Desactiva un perfil de hardware.Apéndice A -. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Servicios. services:profile_enable Activa un perfil de hardware. El nombre de constituye el sujeto de la un servicio se encuentra en el registro. servicios Nombre de sistema del servicio Windows en HKLM\CurrentControlSet\Services\. services:pause Pausa un servicio. el nombre que se muestra en el administrador de servicios. La sección display_names debe incluir el nombre mostrado del servicio. Consulte la nota 1. Este puede ser diferente al nombre mostrado en el administrador de servicios. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Este nombre aparece en el administrador de servicios. services:continue Continúa un servicio después de una pausa. services:startup Modifica el modo de inicio de un servicio. Valores posibles Guía del producto McAfee Host Intrusion Prevention 8. que se encuentra en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\. services:create Crea un servicio.0 para ePolicy Orchestrator 4. Consulte la nota 1. que se encuentra en el valor de registro HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service>\ . services:stop Detiene un servicio.0 . display_names Muestra el nombre del servicio Uno de los parámetros requeridos. HKLM\SYSTEM\CurrentControlSet\Services\. services:start Inicia un servicio. 132 Nombre de GUI Explicación display names Nombre del servicio de Windows que se muestra en el administrador de servicios. Nota 1 La sección service debe incluir el nombre del servicio de la clave de registro conrrespondiente. en operación que crea la instancia.

Manual. para ser más precisos. cada una de estas reglas necesitará usar la misma ID. new startup Solo se aplica para cambiar el Boot. Automatic.0 para ePolicy Orchestrator 4. La siguiente regla prevendría la desactivación del servicio de alerta.Apéndice A -. Manual. agréguelos en esta sección en líneas diferentes. • application { Include “*”}: indica que esta regla es válida para todos los procesos. Si desea limitar la regla a procesos específicos. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. Si la regla cubre varios servicios.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación Valores posibles params Solo es aplicable al iniciar un servicio: parámetros que se pasan a un servicio cuando se activa. en el formato Local/user o Domain/user. Si la firma personalizada tenía múltiples reglas. cada una de estas reglas necesitará usar el mismo nivel. el contexto de seguridad en el que se ejecuta un proceso). • Id 4001: asigna la ID 4001 a esta regla.0 133 . old startup Solo se aplica para crear o Boot. Rule { tag "Sample9" Class Services Id 4001 level 4 Service { Include “Alerter” } application { Include “*”} user_name { Include “*” } directives service:stop } Las distintas secciones de esta regla tienen el siguiente significado: • Class Services: indica que esta regla está relacionada con la clase de operaciones en archivos. o el que tendría si se produjera el cambio. junto con el nombre de la ruta de acceso. System. Disabled cambiar el modo de inicio de un servicio: indica el modo de inicio antes de que se cambiara o intentara cambiarse. Automatic. Si la firma personalizada tenía múltiples reglas. Disabled modo de inicio de un servicio: indica el modo de inicio que el servicio tenía antes de cambiarlo. • Service { Include “Alerter” }: indica que la regla cubre el servicio denominado “Alerter”. Guía del producto McAfee Host Intrusion Prevention 8. Si desea limitar la regla a contextos de usuarios específicos. • level 4: asigna el nivel de seguridad "alto" a esta regla. escríbalos aquí. System. indíquelos aquí. Consulte Secciones comunes para obtener más información. logon Solo se aplica para los cambios del modo de inicio de sesión de un servicio: la información de inicio de sesión (sistema o cuenta de usuario) usada por el servicio.

Guía del producto McAfee Host Intrusion Prevention 8. sql_original_query Contiene la consulta SQL completa. los espacios en blanco y todo lo que aparezca en los comentarios.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • directives service:stop: indica que esta regla cubre la desactivación de un servicio. Contiene la longitud del parámetro en número de bytes.. Internet Information Services la solicitud al sistema cliente. db_user_name Nombre del usuario. exactamente como se recibió (incluidas las cadenas y los espacios en blanco). en el directorio Agent)...Apéndice A -. o del usuario de confianza.. Debería coincidir con un nombre de procedimiento almacenado. si se ha Ejemplo: sa usado la autenticación SQL.0 para ePolicy Orchestrator 4. client_agent Nombre de la utilidad que envía Ejemplo: OSQL-32. Notas nivel hora user_name Ejecutable 134 authentication_mode Valor booleano que especifica si se ha usado una autenticación Windows (1) o una autenticación SQL (0).. sp_name Nombre de procedimiento almacenado. SQL de clase Windows La siguiente tabla enumera las secciones y los valores posibles para los SQL de la clase Windows: Sección Valores Clase MSSQL ID Consulte Secciones comunes. sql_query Es la cadena de la consulta SQL con los valores de la cadena.. Un procedimiento almacenado se identifica por medio de una lista suministrada de nombres de procedimiento que se incluye en cada versión de agente de SQL (actualmente SPList. Contiene el valor del parámetro. sp_param_char_len_one. sql_line_comment El valor se configura como 1 si la consulta incluye un comentario "-" de una sola línea con una sola cita. Contiene la longitud del parámetro en número de caracteres. sp_param_one.txt. sp_param_orign_len-one.0 . si se ha usado la autenticación de Windows.

Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas sql_user_password Se configura como 1 si la contraseña es NULL y 0 si es distinta. 32 y 64 bits (2K3) • Windows Vista. transporte En MSSQL 2005/2008. es un texto no configurable de: memoria compartida (LPC). Siempre se configura como 0 para los no usuarios de SQL. R2. SP2. 32 y 64 bits (7) Clase Desbordamiento del búfer Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) XP 2K3 bo: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 stack x x x x x x x x x x heap x x x x x x x x x x writeable_memory x x x x x x x x x x invalid_call x x x x x x x x x x target_bytes x x x x x x x x x x call_not_found x x x x x x x x x x call_return_unreadable x x x x x x x x x x call_different_target x x x x x x x x x x call_return_to_api x x x x x x x x x x V 2K8 7 Archivos de clase Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x escribir x x x x x x x x x x x x x x x ejecutar x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. R2 SP2. (32 y 64 bits [2K8]) • Windows 7. Para las solicitudes de SQL entrantes Clases y directivas de la plataforma Windows Una lista de las clases y directivas efectivas para la plataforma Windows: • Windows XP. SP3.0 135 . directivas sql:request. 32 y 64 bits (V) • Windows 2008 R2.Apéndice A -. 32 y 64 bits (XP) • Windows 2003.

0 para ePolicy Orchestrator 4.0 7 .Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 borrar x x x x x x x x x x x x x x x cambiar nombre x x x x x x x x x x x x x x x atributo x x x x x x x x x x x x x x x writeop x x x x x x x x x x x x x x x hardlink x x x x x x x x x x x x x x x Clase Enlace Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) enlace: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 set_windows_hook x x x x x x x x x x x x x x x Clase Uso ilegal de API Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal_api_use: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 bad_parameter x x x x x x x x x x x x x x x invalid_call x x x x x x x x x x x x x x x Clase Uso ilegal Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 api x x x x x x x x x x x x x x x Clase ISAPI Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) isapi: 136 XP 2K3 V 2K8 Procesos de 32 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 request x x x x x x requrl x x x x x x reqquery x x x x x x rawdata x x x x x x responder x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.

0 137 .Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Programa Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) programa: XP 2K3 V 2K8 7 XP ejecutar x x x x x open_with_any x x x x open_with_create_thread x x x open_with_modify x x open_with_terminate x x open_with_wait x x 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Clase Registro Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) registro: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x borrar x x x x x x x x x x x x x x x modificar x x x x x x x x x x x x x x x permisos x enumerar x x x x x x x x x x x supervisar x x x restaurar x x x sustituir x x x x x x x x x x x x x x x x x x x x x x x x cargar open_existing_key x x x cambiar nombre x x x x x x x x x x x x x x x Clase Servicios Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) servicios: XP 2K3 iniciar x x detener x x interrumpir x x continuar x x inicio x profile_enable x Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.

Solo Solaris. UNIX_apache Para solicitudes http en Solaris y Linux. Solo Solaris.Apéndice A -.0 para ePolicy Orchestrator 4. Solaris/Linux clase UNIX_file La siguiente tabla enumera las secciones y los valores posibles para la clase de UNIX_file basada en UNIX: Sección Valores Clase UNIX_file ID Consulte Secciones comunes.0 . Para Solaris y Linux están disponibles las siguientes clases: Clase Cuándo usarla UNIX_file Para el archivo o directorio de uso en Solaris y Linux. La clase de firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma. UNIX_GUID Para permitir que los usuarios ejecuten un ejecutable con los permisos del propietario o grupo del ejecutable. mientras que las reglas en la clase UNIX_Files no Windows utilizan una sola barra. Notas nivel 138 Guía del producto McAfee Host Intrusion Prevention 8. UNIX_Misc Para salvaguardar la protección de acceso en Solaris y Linux. Solo Solaris. UNIX_bo Para el desbordamiento del búfer.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) servicios: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 profile_disable x x x x x x x x x x x x x x x logon x x x x x x x x x x x x x x x crear x x x x x x x x x x x x x x x borrar x x x x Clase SQL Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) sql: XP 2K3 V 2K8 7 XP request x x x x x 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 x x x x 7 Firmas personalizadas no Windows Esta sección describe cómo escribir firmas personalizadas en las plataformas Solaris y Linux. UNIX_map Para el mapeado de archivos o dispositivos en la memoria. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles.

hora user_name Ejecutable Nota 1 Directivas apropiadas por sección: Guía del producto McAfee Host Intrusion Prevention 8. Archivos para buscar. unixfile:create Crea un archivo. de archivos de origen nuevo Modo de permiso del archivo recién creado o permiso modificado Solo Solaris. Consulte la nota 1. zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Consulte la nota 1. Consulte la nota 4. Muestra o establece los parámetros de programación. “Archivo” y “Sistema”. Consulte la nota 2. directivas unixfile:chdir Cambia el directorio de trabajo. Cambia los permisos y la propiedad del directorio o el archivo. unixfile:rmdir Elimina un directorio. Consulte la nota 5. unixfile:read Abre un archivo en modo de solo lectura. archivo Lista de permisos de los nombres Solo Solaris. “Oculto”.0 para ePolicy Orchestrator 4. Opcional. Opcional. unixfile:mkdir Crea un directorio. unixfile:link Crea un enlace no modificable. unixfile:write Abre un archivo en modo lectura y escritura. Consulte la nota 3. origen Nombres de archivos de destino Uno de los parámetros requeridos. unixfile:chmod Cambia los permisos de un directorio o archivo. Los atributos supervisados son “Solo lectura”.0 139 .Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos. unixfile:access Cambia los atributos del archivo. unixfile:mknod Crea un nodo. El nombre de archivo tiene 512 '/' consecutivas. unixfile:chown Cambia la propiedad de un directorio o archivo. Consulte la nota 2. unixfile:foolaccess Solo Solaris. unixfile:priocntl Solo Solaris. unixfile:unlink Elimina un archivo de un directorio o elimina un directorio. unixfile:rename Cambia el nombre de un archivo. unixfile:symlink Crea un enlace simbólico. unixfile:setattr Solo Linux.Apéndice A -.

. Nota 5 De manera predeterminada. Nota 4 La directiva unixfile:rename tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos. Por ejemplo. significa que se supervisa la creación de un enlace en el archivo en la sección archivos.0 . significa que no se puede crear ningún enlace con el nombre especificado en la sección origen. significa que no se puede cambiar el nombre del archivo al archivo de la sección origen.Apéndice A -. significa que se supervisa el cambio de nombre del archivo en la sección archivos. 140 Guía del producto McAfee Host Intrusion Prevention 8. todas las zonas están protegidas por la firma. agregue una sección de zona en la firma e incluya el nombre de la zona.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directiva Archivo chdir X chmod X chown X crear X vínculo X mkdir X leer X cambiar nombre X rmdir X setattr X symlink X unlink X escribir X Origen Permiso del archivo Nuevo permiso X X X X X X X X Nota 2 El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista de control de acceso (acl). Para reducir la protección a una zona concreta. la regla: Rule { . Solo pueden tener los valores “SUID” o “SGID”. • Cuando se combina con la sección origen.. Nota 3 La directiva unixfile:link tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos. • Cuando se combina con la sección origen. si tiene una zona llamada "app_zone" cuya raíz es /zones/app.0 para ePolicy Orchestrator 4.

“INDEX” y todos Opcional. método “GET”. Solo Solaris. los demás métodos de http permitidos Guía del producto McAfee Host Intrusion Prevention 8. Solo Solaris. permiso del origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: permisos de archivo de destino (el archivo que señala el enlace). Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase UNIX_Files.. Tenga en cuenta que. o cuando la operación es el cambio de nombre de un archivo: nuevo nombre del archivo. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. Consulte la nota 4. en esta versión. Consulte las notas 1-4.Apéndice A -.log" } zone { Include "app_zone" } . consulta Opcional. permiso del archivo Permisos de archivo. Nombre de GUI Explicación archivos Nombres del archivo al que se ha accedido o se ha intentando acceder. Se compara con la parte url de una solicitud entrante. Consulte las notas 1-4. “POST”. la protección del servidor web no se puede reducir a una zona concreta.. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Solaris/Linux class UNIX_apache (HTTP) La siguiente tabla enumera las secciones y valores posibles para la clase de apache basada en UNIX: Sección Valores Clase UNIX_apache ID Consulte Secciones comunes.0 para ePolicy Orchestrator 4. Se compara con la parte de consulta de una solicitud entrante. Notas nivel hora user_name Ejecutable url Opcional.0 141 . origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: nombre del nuevo enlace. nuevo permiso Solo se puede aplicar cuando se crea un nuevo archivo o se realiza una operación chmod: permisos del nuevo archivo.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows file { Include "/tmp/test.

Por ejemplo.0 . la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”. nos referimos a {url} como la parte “url” de la solicitud http y a {query} como la parte de “consulta” de la solicitud http. Nota 1 Una solicitud entrante de http puede representarse como: http://www.exe?subject=wildlife&environment=ocean Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request } Esta regla se activa porque {url}=/search/abc.500” } 142 Guía del producto McAfee Host Intrusion Prevention 8.número_de_caracteres” al valor de estas secciones.com/ {url}?{query}.com/search/abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Nota 2 Antes de efectuar la correspondencia. la siguiente regla coincide si la parte url de la solicitud contiene "abc" y tiene más de 500 caracteres: Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*.exe. apache:rawdata Para solicitudes de datos sin procesar. se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape. abc).myserver. directivas apache:requrl Para solicitudes de URL. que coincide con el valor de la sección "url" (es decir.0 para ePolicy Orchestrator 4. podemos decir que la sección "url" se compara con {url} y que la sección "consulta" se compara con {query}.myserver. Consulte la nota 5. Por ejemplo. Agregando “. apache:reqquery Para solicitudes de consultas. la siguiente regla se activa si IIS recibe la solicitud http: http:// www. Utilizando esta convención de nombres. En este documento.Apéndice A -.

método..Apéndice A -. en esta versión. file { Include "/tmp/test. la regla: Rule { .0 para ePolicy Orchestrator 4. todas las zonas están protegidas por la firma. directivas unixmisc:killagent Evita que la señal SIGKILL se envíe al cliente. Por ejemplo. Para reducir la protección a una zona concreta.log" } zone { Include "app_zone" } . una de las siguientes secciones opcionales: url. si tiene una zona llamada "app_zone" cuya raíz es /zones/app. agregue una sección de zona en la firma e incluya el nombre de la zona.0 143 . Guía del producto McAfee Host Intrusion Prevention 8.... } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. ID Consulte Secciones comunes.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request} } Nota 4 Una regla debe incluir. Solaris/Linux clase UNIX_Misc La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris o Linux UNIX_misc: Sección Valores Notas Clase UNIX_misc Una clase miscelánea que salvaguarda la protección de acceso. al menos. la protección del servidor web no se puede reducir a una zona concreta. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Nota 5 De manera predeterminada. Tenga en cuenta que. consulta.

Consulte la nota 1. unixbo:libc Se usa cuando la dirección de retorno de una función no está en el marco de pila adecuado. si tiene una zona llamada "app_zone" cuya raíz es /zones/app.0 para ePolicy Orchestrator 4. file { Include "/tmp/test. la protección del servidor web no se puede reducir a una zona concreta. Nota 1 De manera predeterminada..log" } zone { Include "app_zone" } . zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Para reducir la protección a una zona concreta.. la regla: Rule { . agregue una sección de zona en la firma e incluya el nombre de la zona. todas las zonas están protegidas por la firma. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global.. unixbo:environment Entorno del programa.0 . Tenga en cuenta que. Notas nivel hora user_name Ejecutable programa Nombre del programa Programa para buscar. unixbo:exec Ejecución del programa. unixbo:illegal_address Dirección ilegal. en esta versión. como ejecutar un programa desde la pila. directivas unixbo:binargs Argumentos binarios.Apéndice A -. Por ejemplo..Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Solaris clase UNIX_bo La siguiente tabla enumera las secciones y valores posibles para class_bo (desbordamiento del búfer) de Solaris Sección Valores Clase UNIX_bo ID Consulte Secciones comunes. Solaris clase UNIX_map La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_map: 144 Guía del producto McAfee Host Intrusion Prevention 8. unixbo:binenv Entorno binario.

ID Consulte Secciones comunes. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. guid:setreuid Establece una ID de usuario real y efectiva. Clases y directivas de la plataforma UNIX Una lista de las clases y directivas efectivas para la plataforma no Windows: Guía del producto McAfee Host Intrusion Prevention 8. guid:setegid Establece una ID de grupo efectiva. guid:setregid Establece una ID de grupo real y efectiva. directivas mmap:mprotect Establece la protección de acceso de las páginas de memoria. Solaris clase UNIX_GUID La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_GUID: Sección Valores Notas Clase UNIX_GUID Use esta clase para establecer indicadores de derechos de acceso de Unix que permitan que los usuarios inicien un ejecutable con el permiso del grupo o del propietario del ejecutable.Apéndice A -. directivas guid:setuid Establece la ID de usuario para permitir que el usuario inicie un ejecutable con el permiso del propietario del ejecutable.0 para ePolicy Orchestrator 4. guid:setgid Establece la ID de grupo para permitir que el grupo inicie un ejecutable con el permiso del grupo del ejecutable. ID Consulte Secciones comunes. mmap:mmap Asocia archivos o dispositivos en la memoria.0 145 . guid:seteuid Establece una ID de usuario efectiva.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas Clase UNIX_map Use esta clase para asociar archivos o dispositivos UNIX en la memoria.

Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Class UNIX_bo Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixbo:binargs X X unixbo:illegal_address X X unixbo:exec X X unixbo:enrironment X X unixbo:binenv X X unixbo:libc X X Class UNIX_file Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixfile:chdir X X X X unixfile:chmod X X X X unixfile:chown X X X X unixfile:create X X X X unixfile:link X X X X unixfile:mkdir X X X X unixfile:read X X X X unixfile:rename X X X X unixfile:rmhdir X X X X unixfile:setattr X X unixfile:symlink X X X X unixfile:unlink X X X X unixfile:write X X X X unixfile:mknod X X X X unixfile:access X X X X unixfile:foolaccess X X unixfile:priocntl X X Class UNIX_Misc Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixmisc:killagent X X X X Class UNIX_apache 146 Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:requrl X X X X apache:reqquery X X X X Guía del producto McAfee Host Intrusion Prevention 8.0 .0 para ePolicy Orchestrator 4.

Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:rawdata X X X X RedHat Linux SuSE Linux Class UNIX_map Directivas Solaris 9 Solaris 10 mmap:mprotect X X mmap:mmap X X Class UNIX_GUID Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 guid:setuid X X guid:seteuid X X guid:setreuid X X guid:setgid X X guid:setegid X X guid:setregid X X Guía del producto McAfee Host Intrusion Prevention 8.0 147 .0 para ePolicy Orchestrator 4.Apéndice A -.

exe) • Consola del cliente de McAfee Host Intrusion Prevention (McAfeeFire. no detectan y crean reglas de firewall para protocolos distintos de IP.exe) • Servicio McAfee Validation Trust Protection (mfevtps. seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall. el firewall no reconoce algunos tipos de tráfico distinto de IP y. el modo de adaptación y el modo de aprendizaje. de forma dinámica.exe) • Servicio McAfee Firewall Core (mfefire.exe Problemas generales ¿Qué servicios de Host Intrusion Prevention se tendrían que instalar y ejecutar en el sistema del cliente para que el software funcione correctamente? Estos servicios siempre tendrían que estar activados para proporcionar protección de prevención de intrusiones con IPS o firewall o ambos: • Servicio McAfee Host Intrusion Prevention (FireSvc. donde 0xXXX indica el número del protocolo IANA Ethernet (consulte htttp://www.exe) ¿Cómo puedo evitar que el firewall bloquee el tráfico distinto de IP? A no ser que esté indicado específicamente en una regla de firewall. están bloqueados. Consulte KB69184 para obtener la información más reciente. Utilice esta información para determinar el tráfico distinto de IP necesario y cree una regla de firewall que lo permita.0 para ePolicy Orchestrator 4. debido a ello.Apéndice B: solución de problemas Los artículos de la base de datos de conocimientos del sitio Soporte de McAfee http://mcafee.exe) Estos servicios tendrían que estar activos cuando se los llame: • Icono de la bandeja del sistema del servicio McAfee Host Intrusion Prevention (FireTray. Después puede comprobar el registro de actividades de Protocolos distintos de IP entrantes/salientes permitidos: 0xXXX.iana.0 .com le ofrecen la información de soporte más actualizada sobre problemas y la solución de los mismos. Además.org/assignments/ethernet-numbers). 148 Guía del producto McAfee Host Intrusion Prevention 8. Contenido Problemas generales Registros de Host IPS Utilidad Clientcontrol. Para evitar que se descarten los protocolos distintos de IP.

Tenga en cuenta los resultados. 3 Si el problema no se produce.exe) y. 6 Identifique el motor IPS que causa el problema.com. tiene que determinar si es la firma u otro elemento el que causa el problema. Si el problema se produce por una firma IPS: 1 Permita el registro de IPS (escrito en HipShield. desactive el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce.log) y el registro de firewall (escrito en FireSvc.com. busque el evento y cree una excepción. esto indica que una actualización de seguridad de un parche está disponible. consulte el artículo 68557 de KnowledgeBase en http://knowledge. seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall del servidor ePolicy Orchestrator y aplique la directiva al cliente. 3 Si una firma nueva está bloqueando actividad por culpa de un evento.mcafee. vaya a la ficha Evento de Host IPS en Informes en el servidor ePolicy Orchestrator. 4 Incluya los ejecutables que excluyó en el paso 2.0 149 . 2 Busque INFRACCIÓN en HipShield. a continuación. Vuélvalo a probar con esta opción definida. IPS de red y Firewall). 4 Si estos pasos no resuelven el problema. Si el problema se produce solo con el módulo IPS activado y no se produjeron infracciones <Evento> en HipShield. vuélvalo a probar para verificar si el problema se produce. 6 Si el problema no se produce con el NDIS desinstalado.log: 1 Identifique los ejecutables asociados con la aplicación. Aplique el parche y desactive la firma. Si se incluye un elemento CVE (Common Vulnerabilities and Exposures) en la descripción de la firma IPS. Nota: aunque el firewall esté desactivado. consulte el artículo 54960 de KnowledgeBase en http://knowledge. consulte el artículo 51676 de KnowledgeBase en http://knowledge. Guía del producto McAfee Host Intrusion Prevention 8.log) en el cliente o en la directiva IU del cliente en el servidor ePolicy Orchestrator y reproduzca el problema. Asegúrese de hacer la excepción tan diferenciada como sea posible utilizando los parámetros avanzados del evento. el tráfico también puede ser descartado si Host Intrusion Prevention está activo.log: cualquier detalle de infracción de <Evento>. Si el problema no está relacionado con una firma IPS: 1 Desactive todos los módulos de Host Intrusion Prevention (IPS. desinstale el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce. 3 Repita la prueba para la aplicación de funciones. 5 Si estos pasos no resuelven el problema.com y compruébelo con el controlador de Microsoft Pass Thru desinstalado. visualice la firma relacionada con el evento. y vuélvalo a probar para verificar si el problema se produce.0 para ePolicy Orchestrator 4. 2 Excluya los ejecutables de protección de la lista de protección de aplicaciones de Host IPS.mcafee. 5 Aísle el motor IPS que podría estar causando el problema. Para obtener detalles.mcafee.Apéndice B: solución de problemas Problemas generales ¿Qué tengo que hacer si una aplicación falla o una función se ve afectada después de instalar o actualizar el contenido de Host Intrusion Prevention? Si el comportamiento de una aplicación ha cambiado después de instalar o actualizar el cliente de Host Intrusion Prevention o una actualización de contenido. 2 Desactive el IPS y detenga el servicio del cliente de Host Intrusion Prevention (FireSvc. Para obtener detalles. 4 Si los parámetros avanzados del evento son limitados.

Prueba de IPS de red. Si el problema desaparece. • Si el problema se ha resuelto.0 . Fase de pruebas iterativas de cada componente: Prueba de Host IPS 1 Haga clic en la ficha Registro de actividad y borre el registro. pase al paso 6. 4 Activar el registro de actividad: haga clic en la ficha Registro de actividad y verifique que todas las casillas de los registros de tráfico y de las opciones de filtro están seleccionadas. 2 Seleccione informe de Error en registro de IPS. • Si el problema se repite: 1 Anule la selección de Activar Host IPS.0 para ePolicy Orchestrator 4. Prueba de todos los motores IPS 150 1 Haga clic en Ayuda y seleccione Solución de problemas. Los pasos siguientes tendrían que realizarse en el sistema del cliente local con la consola de Host IPS. Desactivar todos los componentes y comprobar si hay fallos: 1 Desactivar IPS: haga clic en la ficha Directiva IPS y anule la selección de Activar Host IPS y Activar IPS de red. Si encuentra la causa del problema pero no puede resolverlo. 3 Borrar la lista de Hosts bloqueados: haga clic en la ficha Hosts bloqueados y borre la lista seleccionando cada entrada y haciendo clic en Quitar. informe del problema como un problema asociado directamente con el servicio.Apéndice B: solución de problemas Problemas generales ¿Cómo aíslo un componente en Host IPS para descubrir cuál causa el problema? NOTA: este proceso incluye pasos que pueden requerir reincializaciones y accesos repetidos o problemas que se recrean. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar Host IPS. 2 Desactivar Firewall: haga clic en la ficha Directiva Firewall y anule la selección de Activar Firewall. pase al paso 5. informe del problema como un problema asociado con los archivos instalados y no con un componente específico. Si el problema desaparece. 3 Guarde una copia del registro de actividades y póngale el nombre Registro de actividad de Host IPS wProb. 3 Seleccione Violaciones de seguridad de registro. 4 Seleccione Activar Host IPS y verifique si el problema reaparece. 2 Vuélvalo a probar para verificar si el problema desaparece. 6 Realice las comprobaciones siguientes: • Detenga el servicio McAfee Host IPS y vuélvalo a probar. pase al paso 1 de la fase de pruebas iterativas. 3 Pruebe el sistema para determinar si el problema se repite: • Si el problema no se repite. reenvíe los registros que obtenga al Soporte de McAfee. Host IPS puede asociarse potencialmente al problema. • Desinstale el Host IPS del cliente del sistema local y vuélvalo a probar. Guía del producto McAfee Host Intrusion Prevention 8. 4 Haga clic en Funcionalidad. Si se ha solucionado el problema. 5 Pruebe el sistema para ver si el problema se repite: • Si el problema persiste. para informar al soporte.

log para ver si el componente IPS es el problema. 5 Seleccione los motores. anule la selección de Activar modo de adaptación y vuélvalo a probar para ver si el problema está solucionado. anule la selección de Activar IPS de red y vuélvalo a probar para ver si el problema está solucionado. Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red wProb. • Si el problema no se repite. 6 Guarde una copia del registro hipshield por cada prueba y etiquétela con el nombre del motor al que se ha realizado la prueba. anule la selección de Activar Host IPS y pase al siguiente paso. 7 Siga uno de estos procedimientos: • Si el problema se repite. anule la selección de Activar/Desactivar todos los motores y haga clic en Aceptar. podría estar asociado con un motor concreto. Si lo está. IPS de red puede asociarse potencialmente al problema.0 para ePolicy Orchestrator 4. uno cada vez. Pase al siguiente paso. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar modo de adaptación. Prueba del bloqueo automático de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro. para informar al soporte. Prueba de cada motor IPS 1 Haga clic en Ayuda y seleccione Solución de problemas. • Si el problema no se repite. tenga en cuenta si el problema está asociado con el componente IPS pero no con los motores concretos. Host IPS en modo de adaptación puede asociarse potencialmente al problema. para informar al soporte. 4 Haga clic en Funcionalidad. y vuélvalo a probar. Guía del producto McAfee Host Intrusion Prevention 8. active todos los motores para pasar al siguiente paso.0 151 . 7 Cuando se hayan completado las pruebas. seleccione Activar IPS de red y pase al siguiente paso. 3 Pruebe el sistema para determinar si el problema se repite. Revise hipshield. Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de adaptación de Host IPS wProb. • Si el problema no se repite. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. para informar al soporte. Prueba de cada motor IPS. Prueba de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro. Si lo está. Prueba del modo de adaptación de IPS 1 Haga clic en la ficha Registro de actividad y borre el registro. 3 Seleccione Violaciones de seguridad de registro. 3 Pruebe el sistema para determinar si el problema se repite. 6 Pruebe el sistema para determinar si el problema se repite.Apéndice B: solución de problemas Problemas generales 5 En el cuadro de diálogo de motores de HIPS. 2 Seleccione informe de Error en registro de IPS. 4 Siga uno de estos procedimientos: • Si el problema se repite. 4 Siga uno de estos procedimientos: • Si el problema se repite.

c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb. el modo de aprendizaje entrante de Firewall puede asociarse potencialmente al problema. para informar al soporte. Si se repite: 4 a Anule la selección de Activar firewall. Prueba del modo de aprendizaje de Firewall 152 1 Haga clic en la ficha Registro de actividad y borre el registro. Anule la selección de Entrante. 2 Haga clic en la ficha Directiva Firewall y seleccione Activar Firewall. seleccione Activar firewall y pase al siguiente paso. b Haga clic en la ficha Hosts bloqueados. Host IPS Firewall puede asociarse potencialmente al problema. Si se repite: 5 a Anule la selección de Bloquear automáticamente los atacantes y vuélvalo a probar para ver si el problema está solucionado. 6 Pruebe el sistema para determinar si el problema se repite. para informar al soporte. Si lo está. 3 Pruebe el sistema para determinar si el problema se repite. tenga en cuenta cualquier entrada de atacante bloqueado y revise para ver si hay falsos positivos. Si lo está. 4 Pruebe el sistema para determinar si el problema se repite. 4 Haga clic en la ficha Registro de actividad y borre el registro. d Haga clic en la ficha Registro de actividad y borre el registro. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall LearnOUT wProb. IPS de red en modo atacantes bloqueados puede asociarse potencialmente al problema. 5 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Saliente. el modo de aprendizaje saliente de Firewall puede asociarse potencialmente al problema. para informar al soporte. Si se repite: a Anule la selección de Entrante.Apéndice B: solución de problemas Problemas generales 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. Si el problema no se repite. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red de adaptación wProb. Prueba de la directiva Firewall 1 Haga clic en la ficha Registro de actividad y borre el registro.0 . Si se repite: a Anule la selección de Saliente. b Vuélvalo a probar para verificar si el problema está solucionado. anule la selección de Activar IPS de red y pase al siguiente paso. Si lo está. Guía del producto McAfee Host Intrusion Prevention 8. Si el problema no se repite. b Vuélvalo a probar para verificar si el problema está solucionado. 3 Haga clic en la casilla Bloquear automáticamente los atacantes. 3 Pruebe el sistema para determinar si el problema se repite. Anule la selección de Saliente. d Haga clic en la ficha Registro de actividad y borre el registro. 2 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Entrante.0 para ePolicy Orchestrator 4. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb. b Vuélvalo a probar para verificar si el problema está solucionado. Si lo está.

3 Pruebe el sistema para determinar si el problema se repite. 4 Defina la Dirección en Ambos. Si se repite: 7 a Desactive la regla Permitir todo el tráfico. Haga clic en la ficha Directiva de Firewall. 1 Cree una regla nueva y póngale el nombre Permitir todo el tráfico. Prueba de la directiva Hosts bloqueados 1 Haga clic en la ficha Registro de actividad y borre el registro. c Haga una captura de pantalla de la lista del firewall en la ficha Directiva de Firewall. 2 Defina la Acción en Permitir.0 para ePolicy Orchestrator 4. 6 Pruebe el sistema para determinar si el problema se repite. Prueba con la regla Permitir todo el tráfico de Firewall NOTA: es posible que este paso se tenga que configurar desde la consola de gestión de ePO. 3 Defina el Protocolo como TCP IP. Si se repite: a Anule la selección de Entrante y Saliente. probablemente no esté asociado con Hosts bloqueados. Si se han configurado otras directivas desde la consola. Si se ha creado la regla de forma local. tienen preferencia sobre las reglas creadas de forma local. Si lo está. para informar al soporte. mueva la regla Permitir todo el tráfico para que sea la primera regla en la lista de directivas. c Guarde una copia del registro de actividad y póngale el nombre Registro de actividad deFirewall LearnINOUT wProb. Si la regla se ha creado en una directiva en la consola ePO. Si se repite.0 153 . b Vuélvalo a probar para verificar si el problema está solucionado. anule la selección de la casilla Activar Firewall y pase al siguiente paso. b Vuélvalo a probar para verificar si el problema está solucionado. 2 Haga clic en la ficha Hosts bloqueados y elimine todos los hosts bloqueados de la lista. 8 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y tanto Entrante como Saliente. el modo de aprendizaje entrante y saliente de Firewall puede asociarse potencialmente al problema.Apéndice B: solución de problemas Problemas generales 7 Desplácese hasta la ficha Directiva de Firewall. b Desplácese hasta el objeto Catálogo de directivas en el árbol del sistema de ePO. ya que es obligatorio que la primera regla de la lista de reglas de firewall sea una regla Permitir todo el tráfico. d Haga clic en Exportar todas las directivas. asegúrese de que ninguna regla la precede. Si lo está. c Busque Host IPS y amplíelo. 5 Guarde la regla. e Exporte la configuración de la Directiva de Host IPS: a Inicie sesión en la consola de ePO. Guía del producto McAfee Host Intrusion Prevention 8. probablemente hay un error de configuración con las reglas. d Guarde una copia del Registro de Actividad y póngale el nombre Registro de actividad de Firewall Prueba Permitir todo el tráfico. 9 Pruebe el sistema para determinar si el problema se repite.

2 Haga clic en la ficha Solución de problemas. 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes.0 . Para permitir el registro del cliente: 1 Desde el icono de la bandeja. explique el problema y adjunte los datos obtenidos durante este proceso.Apéndice B: solución de problemas Registros de Host IPS Si no ha encontrado la causa del problema. • Advertencia: registra los mensajes de advertencia y de error. Registros de Host IPS ¿Dónde se encuentran los archivos de registro? Todos los archivos de registro están en uno de estos directorios en el sistema del cliente. • Desactivado: no registra ningún mensaje. Windows 2008. edite la directiva IU de cliente que se aplicará a un cliente. póngase en contacto con Soporte de McAfee. Estas configuraciones de los registros permanecen vigentes hasta que se bloquee la consola del cliente y se produzca una aplicación de la directiva subsiguiente. abra la consola de Host IPS. • Error: registra los mensajes de error. • Información: registra mensajes de información. Los registros de Firewall e IPS se controlan de forma independiente. NOTA: el registro se puede establecer localmente al agregar el valor DWORD 'depuración_activada' en la clave de registro HKLM\Software\McAfee\HIP. Se activa un valor del decimal 1 en el registro depuración detallada. 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes. según el sistema operativo: • Windows XP.0 para ePolicy Orchestrator 4. 2 Seleccione Ayuda | Solución de problemas. 154 Guía del producto McAfee Host Intrusion Prevention 8. Windows 7: C:\ProgramData\McAfee\Host Intrusion Prevention ¿Cómo se activa el registro? Puede establecer el registro de Host IPS con la consola del cliente de Host IPS o con la directiva IU de cliente de Host IPS de la consola de ePolicy Orchestrator. • Error: registra los mensajes de error. advertencia y error. Windows 2003: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention • Windows Vista. advertencia y error. • Advertencia: registra los mensajes de advertencia y de error. Desbloquee la interfaz del usuario con un administrador o una contraseña basada en tiempos. Para permitir el registro desde ePolicy Orchestrator: 1 En Host IPS: General. El uso de una clave de registro local para permitir la depuración del registro sustituye cualquier conjunto de directivas que utilice ePolicy Orchestrator. • Información: registra mensajes de información.

Áreas clave de interés: • Las líneas que empiezan por In install modules new describen la copia de archivos como parte del inicio del componente Host IPS. Los errores del proceso de análisis de archivos del analizador se indican aquí. seguida de una indicación sobre si estos datos son informativos. Cuando se alcanza el número especificado de archivos de copia de seguridad. Cada entrada del registro HipShield muestra una marca de fecha/hora. Guía del producto McAfee Host Intrusion Prevention 8. El número xxx indica el PID (proceso ID) del proceso que se está interceptando. Si ya existe un archivo con este nombre.scn. ¿Qué se tiene que buscar en HipShield. Cuando se ha superado el tamaño especificado de log_rotate_size_kb.Apéndice B: solución de problemas Registros de Host IPS • Desactivado: no registra ningún mensaje. • Una línea que empieza con Scrutinizer started successfully ACTIVATED status indica que el examinador se ha inicializado correctamente. eliminar los archivos de registro antiguos. Estas configuraciones de los registros se aplicarán a la siguiente implementación de la directiva. Este registro de valores registra todos los eventos de Host IPS y de IPS de red en HIPShield. cosa que depende de que los archivos mencionados anteriormente se hayan copiado correctamente.scn informa sobre el resultado del proceso de análisis de archivos del analizador xxx.0 para ePolicy Orchestrator 4.0 155 . como se muestra más arriba. • Una línea que empieza con IIS . los antiguos se eliminan.log? Una ejecución del componente Host IPS empieza con una declaración de banner que identifica la ejecución de la compilación y la marca de fecha/hora de la sesión. La rotación de archivos de registro la controlan las entradas DWORD log_rotate_size_kb y log_rotate_count en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP.Start indica que la supervisión IIS está empezando. donde 0 significa que la rotación del registro está desactivada. • Una línea que empieza con New Process: Pid= indica que el componente Host IPS es capaz de supervisar el proceso de creación.log. reiniciar el servicio y ejecutar la reproducción. NOTA: cuando se recopilen datos para incidentes remitidos al Soporte de McAfee. El hecho de no copiar estos archivos impide que el componente Host IPS se inicie. recomendamos encarecidamente que se cree el registro de valores debug_enabledy se establezca a 1. Los datos que contiene HipShield son ad-hoc y difieren entre las partes del componente Host IPS. ¿Qué archivos de registro están asociados con el componente Host IPS? El archivo de registro primario para el componente Host IPS es HipShield. La clave log_rotate_count determina el nombre de archivos de registro de copias de seguridad que se tienen que mantener. el sufijo se incrementa en uno. • Una serie de líneas que empiezan con Processing Buffer xxx. donde xxx es un nombre como EnterceptMgmtServer. de depuración o un error. se cierra el archivo y se le cambia el nombre con el sufijo . y el DWORD entrylog_rotate_size_kb tiene el tamaño aproximado en KB de un archivo de registro de copia de seguridad. Este archivo de registro crece hasta los 128 MB y rota con una copia de seguridad. • Una línea que empieza con Scrutinizer initialized successfully indica que la descarga del componente IPS ha sido correcta durante la inicialización del examinador. Los registros de Firewall e IPS se controlan de forma independiente. Esto reduce el tamaño de los archivos de registro.log. Asegúrese de parar el servicio. • Una línea que empieza con Hooking xxx indica que el proceso de interceptación prosigue.1. sea cual sea la configuración del estado de registro original en las propiedades de la firma.

log. seleccione Nuevo. NOTA: la clave de registro MaxFwLogSize controla el tamaño de FireSvc. 4 Cambie el valor al tamaño deseado para los registros. NOTA: Shield.dll haya procesado el contenido. 3 Haga clic con el botón derecho en MaxFwLogSize y seleccione Modificar.exe • Las líneas del formato signature=111 level=2. 5 Haga clic en Aceptar y. el tamaño se puede controlar agregando el siguiente valor de registro: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.log/McTrayHip. Utilidad Clientcontrol. Crear y asignar un valor a las claves de registro anteriores establece el tamaño máximo de todos estos archivos de registro.log Registro de servicio principal • HipMgtPlugin. Para establecer el tamaño del registro: 1 Seleccione la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. HipMgtPlugin.log. Si se desean archivos de registro más grandes o más pequeños. Este valor se introduce en KB. log=True indican que se ha cargado una firma individual. cierre el editor del registro. Valor Dword. a continuación.db se crean en el mismo directorio que los registros solo cuando la depuración está activada.exe Esta utilidad de línea de comandos ayuda a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention 156 Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0 .log Registro de bandeja FireUI.db y except. a continuación. Se incluyen el ID y el nivel de la firma junto con una indicación de si el registro está activado para esta firma. ¿Qué archivos de registro están asociados con el componente firewall? Los archivos de registro primarios del componente Firewall contienen: Nombre Descripción FireSvc.log.log Registro IU del cliente Registro del nivel de depuración • La ubicación coincide con la salida • Clasificación de salida de la conexión TrustedSource • Errores/advertencias Registro de complemento de • McAfee Agent • FireTray. 2 Póngale nombre al valor nuevo MaxFwLogSize.Apéndice B: solución de problemas Utilidad Clientcontrol.log Contiene estos datos Registro del nivel de depuración Estadísticas de los intervalos de aplicación de las directivas • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias Estos archivos crecen hasta que alcanzan el tamaño máximo predeterminado de 100 MB. FireTray. haga clic con el botón derecho en un espacio en blanco en el panel derecho y. Estos archivos contienen un volcado de las reglas y las excepciones que se envían al kernel después de que el AgentNT.log y FireUI.

• McAfee Agent aplica las directivas al siguiente intervalo de aplicación de directivas. Función e instalación Esta utilidad permite que los administradores realicen lo siguiente en los clientes de IPS en host de McAfee: • Iniciar el servicio IPS en host. o C:\ProgramData\McAfee\Host Intrusion Prevention en Windows Vista. • Si McAfee Agent aplica directivas mientras usted realiza una actividad que requiere que la protección esté desactivada (por ejemplo. 4 Ejecute una llamada de activación del agente. Incluso si la detención de los servicios de IPS en host es correcta. aplicar parches en Windows). Sintaxis de línea de comandos Convenciones: Guía del producto McAfee Host Intrusion Prevention 8. Windows 2008. • Cambiar la configuración de registro (requiere un administrador o una contraseña basada en tiempos). abra Host Intrusion Prevention: Directiva general. 2 Seleccione la ficha Avanzadas. La utilidad graba sus actividades en ClientControl. 3 Anule la selección de Comprobación de integridad del producto.0 157 . Si el usuario tiene autoridad para detener los servicios en el equipo. La casilla de IPS en host en la ficha Directiva IPS queda en blanco automáticamente. • Sustituir las opciones de configuración con la configuración de la directiva predeterminada. • Iniciar/detener los motores de IPS en host (requiere un administrador o una contraseña basada en tiempos). y Windows 7. Se crea una entrada en ClientControl. Detención de los servicios de IPS en host El parámetro /detener detiene los servicios de IPS en host si el usuario tiene autoridad administrativa para detener los servicios. modifique HKLM\Software\McAfee\HIP en el registro agregando la entrada FwLogLevel de tipo DWORD con un valor de 0x7.0 para ePolicy Orchestrator 4.log en: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention. • Mostrar los datos de licencia NaiLite que se encuentran en el registro del equipo cliente.exe en equipos cliente. la configuración de la directiva podría permitir que McAfee Agent los reiniciase al siguiente intervalo de comunicación agente-servidor (ASCI). • Detener el servicio IPS en host (requiere un administrador o una contraseña basada en tiempos). • Exportar las opciones de configuración a un archivo con formato de texto. se produce lo siguiente: • Los servicios de IPS en host están desactivados. • Los servicios de IPS en host no se han detenido. • Exportar las reglas de protección IPS de inicio del registro. su actividad podría quedar bloqueada por las directivas aplicadas. Para evitarlo: 1 En ePolicy Orchestrator. • Exportar el registro de actividad a un archivo con formato de texto. Para permitir el registro.Apéndice B: solución de problemas Utilidad Clientcontrol. Se puede incluir en los comandos de instalación y mantenimiento para desactivar de forma temporal la protección IPS y activar las funciones de registro.log.

Apéndice B: solución de problemas Utilidad Clientcontrol. Ejecutar la utilidad con el comando /ayuda proporciona la información de ayuda y las notas más actualizadas.. Las opciones de registro se procesan en orden. Argumentos principales: Solo uno de los siguientes argumentos principales tiene permiso por invocación: • /ayuda • /inicio • /detención • /registro • /motor • /exportación Sin embargo.] significa uno o más. • [xxx. Definiciones del tipo de registro: • 0 = HIPS (crea un HipShield..log) • 1 = Firewall (crea un FireSvc. . • /registro <contraseña> [tipo de registro] [opciones de registro] Genera registros. Uso: clientcontrol [arg] Definiciones de los argumentos: • /ayuda Muestra la sintaxis de las líneas de comando y las notas.0 para ePolicy Orchestrator 4.0 . puede especificar más de una opción de registro cuando cambie la configuración de registro.log) Definiciones de las opciones de registro: • 0 = desactivado • 1 = error • 2 = advertencia • 3 = información • 4 = depuración • 5 = violación de la seguridad (solo IPS) • /motor <contraseña> [tipo de motor] [opciones de motor] Enciende y apaga los motores.exe • [ ] significa obligatorio. • < > significa datos introducidos por el usuario. • /inicio Inicia el servicio. • /detención <contraseña> Detiene el servicio. Definiciones del tipo de motor: • 0 = todos 158 Guía del producto McAfee Host Intrusion Prevention 8.

firewall y las aplicaciones de confianza.exe • 1 = Desbordamiento del búfer • 2 = SQL (solo servidor) • 3 = Registro • 4 = Servicios • 5 = Archivos • 6 = HTTP (solo servidor) • 7 = API de IPS en host • 8 = Uso no autorizado • 9 = Programa • 10= Enlazado Definiciones de las opciones de motor: • 0 = desactivado • 1 = activado • /exportación /s <ruta del archivo de origen de exportación> <ruta del archivo de exportación del registro de eventos> Exporta el registro de eventos a un archivo con formato de texto. Definiciones del tipo de configuración: • 0 = todos • 1 = protección de la aplicaciones • 2 = hosts bloqueados • 3 = firewall • 4 = firmas personalizadas de IPS en host • 5 = excepciones IPS • 6 = configuración • 7 = aplicaciones de confianza • 8 = redes de confianza • 9 = firmas de IPS de red • 10 = firmas de IPS en host • 11 = motores de IPS en host • 12 = sesiones de inicio de sesión • 13 = reglas de bloqueo DNS • /defConfig <contraseña> Sustituye las opciones de configuración con directivas de cliente predeterminadas para la configuración de la protección de aplicaciones. Guía del producto McAfee Host Intrusion Prevention 8. • /readNaiLic Muestra los datos de licencia de NaiLite.Apéndice B: solución de problemas Utilidad Clientcontrol.0 159 .0 para ePolicy Orchestrator 4. • /exportConfig <ruta del archivo de exportación> <tipo de configuración> Exporta las opciones de configuración a un archivo con formato de texto. La ruta del archivo de origen es opcional. No incluya "/s" si no hay un archivo de origen.

.exe • /bootTimeRules <contraseña> <ruta del archivo de exportación> Exporta las reglas IPS de inicio a un archivo con formato de texto. Guía del producto McAfee Host Intrusion Prevention 8. 2 Ejecute clientcontrol. 2 Ejecute clientcontrol. 4 Revise HipShield. 2 Ejecute clientcontrol.exe /registro <contraseña> [tipo de registro] [opción de registro. 2 Ejecute clientcontrol. Desactivar motores específicos de IPS en host como parte de un ejercicio de resolución de problemas 160 1 Abra un shell de comandos. 4 Revise HipShield.Apéndice B: solución de problemas Utilidad Clientcontrol. Exportar el registro de actividad de IPS en host a un archivo de texto 1 Abra un shell de comandos.exe /<contraseña> [tipo de motor] [opción de motor] 3 Realice la actividad para generar reacciones y entradas de registro.log o FireSvc.log para obtener información relevante.0 . Activar el registro como parte de un ejercicio de resolución de problemas 1 Abra un shell de comandos. 4 Ejecute clientcontrol..] 3 Realice la actividad para generar entradas de registro. Flujos de trabajo de muestra Aplicar un parche a un equipo protegido por IPS en host de McAfee 1 Abra un shell de comandos. NOTA: • Tiene que haber al menos un espacio entre el argumento. .0 para ePolicy Orchestrator 4.exe /inicio (para reiniciar los servicios de Host IPS). la contraseña y cualquier otro parámetro obligatorio.log para obtener información relevante.exe /exportación <ruta del archivo de exportación> 3 Copie el archivo de registro exportado a otro equipo para la recopilación y el análisis.exe /detención <contraseña> 3 Realice su actividad de mantenimiento.log o FireSvc.

directiva de firewall 99 filtrado de firewall con seguimiento de estado 66 actualizar firmas. 94. 103 lista de reglas de firewall 99 reglas de excepción para directivas de IPS 97. 109. creación 70. trabajar con 98 Ficha Directiva de firewall 99. 102 Ficha Protección de aplicaciones 102 Ficha Registro de actividad 102. 96. 97 simulación detectada 97 aplicaciones de confianza configuración. 109 Cliente Solaris archivos de instalación 106 comprobación de que el cliente se ejecuta 106 descripción 104 detener y reiniciar 106. 73 directivas de propiedad de IPS en host 8 gestión de directivas de IPS en host 18 IU de cliente 82 Redes de confianza 86 Catálogo de IPS en host agregar a 77 contenido 63 dependencias 63 edición 77 explicación 63 exportar a 77 exportar desde 77 filtrar 77 usar 77 Cliente Linux 107. en IPS en host 87 creación.0 161 . 108. editar 98 directivas IPS. IPS en host 29 incorporación de paquetes de IPS en host 30 métodos de IPS en host 31 paquete de contenido de IPS en host 29 adaptadores de red condiciones para permitir la conexión 60 administradores globales asignación de conjuntos de permisos 25 ajuste de IPS en host análisis de eventos 17 directivas de aplicaciones de confianza 87 directivas predeterminadas y 19 gestionar directivas 10 manual y automático 20 modos adaptación y aprendizaje 22 perfiles de uso 10 Alertas de simulación detectada 97 alertas. en IPS en host 88 definido 10 directiva Reglas IPS 52 archivos de registro.Índice A C acciones de permiso y bloqueo comunicaciones de red. IPS en host alertas de intrusos 95 clientes Windows 95 definir opciones para clientes 93 firewall 96 modo aprendizaje y tráfico de red desconocido 69 responder 95. 108 solución de problemas de IU de cliente 85 asignación de directivas activación de protección por firewall 70 cambiar 19 IPS en host 9 caracteres comodín reglas de firewall 79 reglas IPS 47 firmas personalizadas 115 Catálogo de directivas Aplicaciones de confianza 87 directivas de firewall personalizadas. basada en evento 52 crear una lista en IPS en host 87 crear y editar. 107 implementación de directivas 104 prevención de desbordamiento del búfer 104 solución de problemas 105 Cliente Windows alertas 95 descripción 90 directivas IPS. 95 clientes actualización con llamada de activación del agente o tarea 31 ajuste de IPS en host 21 B blindaje y envoltura 33. crear y editar 100 solución de problemas 93. 110 comprobar archivos de instalación 109 consideraciones 108 descripción 107 detener y reiniciar 110 implementación de directivas 107 solución de problemas 108. historial de instalación 109 cliente Solaris. historial de instalación 106 solución de problemas 105. 100 Ficha Directiva de IPS 97 Ficha Hosts bloqueados 101. 35 reglas de comportamiento de IPS y 35 Guía del producto McAfee Host Intrusion Prevention 8. IPS en host actividad del firewall 94 actividad IPS 94 cliente Linux.0 para ePolicy Orchestrator 4. 98 reglas de firewall.

configurar 83 definir 82 descripción 81 Ficha General. IPS en host gestión de la información 13 informes 10 personalizado. creación 76 directiva Reglas del firewall configuración 74 reglas de cliente. parámetros para 14 predefinidas y personalizadas 14 seguimiento de actividades 14 contraseñas desbloquear la consola de cliente Windows 92 para directiva IU de cliente 83 usar la herramienta de solución de problemas hipts 105 D desbordamiento del búfer configuración de la directiva Aplicaciones de confianza 87 prevención en el cliente Solaris 104 reglas de comportamiento de IPS y 35 despliegue despliegue del cliente de IPS en host inicial 21 Directivas de IPS en host y 10 perfiles de uso en IPS en host 10 tareas servidor para IPS en host 25 dirección IP configurar redes de confianza 86 Notificaciones y parámetros de IPS en host 28 Dirección IP firewall de seguimiento de estado. configurar 83 opciones 93 solución de problemas 85 directiva efectiva con directivas de instancias múltiples 42 directiva McAfee Default Aplicaciones de confianza 87 Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 directiva Opciones del firewall acerca de 8 configuración 72 uso de 70 Directiva Opciones del firewall TrustedSource 72 descripción 57 directiva Opciones IPS acerca de 8 configuración 38 directivas preconfiguradas 38 modo de adaptación 37 uso de 37 Directiva Opciones IPS descripción 32 directiva Protección IPS acerca de 8 configuración 40 niveles de gravedad. 50 definir 40 Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. reducir 81 Directiva Aplicaciones de confianza descripción 81 Directiva de bloqueo de DNS del firewall acerca de 8 definir 73 descripción 57 Directiva de IU de cliente acerca de 8 configuración 82 162 Directiva de IU de cliente (continuación) contraseñas 83 control de icono de bandeja. en IPS en host 21 Windows (consulte Cliente Windows) 90 conformidad configuración de paneles de IPS en host para ver 19 conjuntos de permisos asignar 26 gestión del despliegue de IPS en host 25 permisos de IPS en host 25 quién configura el sistema 19 consola de cliente Windows desbloquear la interfaz 92 descripción 90 Menú Icono de la bandeja de sistema 90 métodos de apertura 92 personalizar por cliente 93 consultas. IPv4 contra IPv6 65 grupos con reconocimiento de ubicación 60 grupos de reglas 60 reglas de firewall y 99 supervisión de hosts bloqueados 101 directiva Aplicaciones de confianza acerca de 8 crear y editar 88 definir 87 falsos positivos. gestión 78 directiva Reglas IPS caracteres comodín 47 acerca de 8 configuración 40.0 . reducir 81 prioridad y 86 Directiva Redes de confianza descripción 81 directiva Reglas de firewall caracteres comodín 79 acerca de 8 definir 73 descripción 57 grupos. configuración 39 reacciones. configuración 40 uso de 39 Directiva Protección IPS descripción 32 directiva Redes de confianza acerca de 8 configuración 86 definir 86 falsos positivos.Índice clientes (continuación) análisis de datos en clientes IPS en host 21 consultas para grupos de 14 convenciones de nomenclatura para IPS en host 21 Linux (consulte Cliente Linux) 107 Solaris (consulte Cliente Solaris) 104 trabajar con.

configuración 40 firmas. creación 52 gestionar 54 uso de 52 eventos. 74 responder a alertas 97 revisión de características 8 valores predeterminados. reconocimiento de ubicación 60 firewall. IPS en host) 8 gestionar 18 herencia 10 instancias múltiples 41. responder a 95 analizar y ajustar 10 directiva Reglas IPS 40 excepciones 36 firewall.0 para ePolicy Orchestrator 4. 72 perfiles de uso y ajuste 10 propietario asignado 9 protección preconfigurada 10 reglas de cliente. trabajar con 43 gestión de excepciones 51 registrar eventos 37 reglas de excepción 51 reglas de protección de aplicaciones 36. creación 76 inspección de paquetes con seguimiento de estado 65. reducir 87 directivas de reglas IPS y excepciones 51 ficha Hosts bloqueados. 100 lista de reglas de firewall. permitir y bloquear 66 acerca de 8 alertas 96 cómo funcionan las reglas de firewall 58 consultas 14 descripción 57 filtrado con seguimiento de estado. 50 reglas de protección de aplicaciones. 73. 70 reglas de firewall 10. trabajar con 52 excepciones. 67 lista de reglas 74. cómo funciona 67 rastreo de protocolo 68 firewall. ordenación 58 modos de adaptación y aprendizaje 69 opciones de registro 94 Opciones del firewall. IPS en host alertas de intrusos. configuración 72 permisos para 25 personalizar opciones 100 rastreo de protocolo con seguimiento de estado 68 Reglas de bloqueo de DNS 77 reglas de cliente 14. configuración 74 reglas. IPS en host ajustar predeterminados 19 anulación. Host IPS grupos de reglas. 88 Directivas generales.0 163 . crear excepciones 10 Reglas de firewall 73. 75 Reglas del firewall. 67 acciones. IPS en host inspección de paquetes con seguimiento de estado 65.Índice directiva Reglas IPS (continuación) descripción 32 eventos. Host IPS migración 24 asignar 19 crear nuevas 19 directivas. 88 introducción a las funciones 32 Opciones del firewall 70. protección básica 7 visualización de directivas 18 y sus categorías 9 E estructura de regla firmas personalizadas 111 Eventos IPS acerca de 37 aplicaciones de confianza. IPS en host introducción a las funciones 81 página de directiva Aplicaciones de confianza 88 permisos para 25 directivas preconfiguradas Aplicaciones de confianza 87 IU de cliente 82 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 directivas. permitir y bloquear 58 tabla de estados 65 firmas ajuste de directivas de IPS en host 10 Guía del producto McAfee Host Intrusion Prevention 8. registros de actividad 102 gestionar 54 infracciones de firma 37 notificaciones 28 registro y ficha eventos de IPS 37 reglas de comportamiento 35 uso de 52 F falsos positivos ajuste de directivas de IPS en host 10 directiva Aplicaciones de confianza. configuración 40 firmas. Host IPS introducción a las funciones 57 directivas de instancias múltiples directiva efectiva 42 Preguntas frecuentes 42 utilizar en el despliegue 42 asignar 41. configuración 40 directivas de firewall. creación 52 Eventos IPS (continuación) descripción 52 excepciones. cómo funciona 66 filtrado de paquetes con seguimiento de estado 65 grupos con reconocimiento de ubicación 76 grupos de reglas 60 grupos de reglas de firewall. 47. 99. trabajar con 101 filtros cómo funciona el filtrado con seguimiento de estado del firewall 66 consulta de actividades de IPS en host 14 eventos y consultas de IPS en host 10 firewall con seguimiento de estado cómo funciona el filtrado con seguimiento de estado 66 inspección de paquetes. con excepciones de cliente 10 Bloqueo de DNS del firewall 73 Catálogo de directivas 18 cómo se aplican las directivas 9 configuración de las opciones IPS 38 definido 9 dónde encontrar 18 firewall (Consulte firewall.

Registro 129 Windows. acerca de 34 host 43 IP de host y excepciones 95 IPS en host predeterminado 43 IPS en host y de red 28 lista de reglas de excepción 97 NIPS. acerca de 34 niveles de gravedad 43 niveles de gravedad para 39 personalizar 43 red 43 tipos de 43 uso de 43 utilización del asistente para crear 46 firmas de Host Intrusion Prevention 34 firmas de prevención de intrusiones en red 34 firmas personalizadas caracteres comodín 115 descripción general para Linux y Solaris 138 descripción general para Windows 117 directivas válidas en Linux 145 directivas válidas en Solaris 145 directivas válidas en Windows 135 estructura de regla 111 Linux 138 Linux.0 . UNIX_apache (HTTP) 141 Linux. creación 76 grupos. Servicios 131 Windows. directivas por plataforma 135 Windows. UNIX_misc 143 secciones comunes 112 secciones opcionales 114 Solaris 138 Solaris. directiva Aplicaciones de confianza 87 Guía del producto McAfee Host Intrusion Prevention 8. IPS en host definir opciones para clientes 93 implementación de directivas cliente Linux y 107 cliente Solaris y 104 Clientes de IPS en host y ePO 7 IPS en host 9 interceptación de llamadas de sistema 33 IPS en host actividades y paneles 13 cómo establecer y ajustar la protección 20 cómo funciona 7 conjuntos de permisos 25 directivas y sus categorías 9 ficha Información del intruso 95 funciones y categorías 9 protección básica y avanzada 7 responder a alertas 95 tipos de directivas 8 IPS. UNIX_map 144 Solaris. Ilegal 124 Windows. UNIX_apache (HTTP) 141 Solaris. 27 gestionar directivas acceder a directivas de IPS en host 18 ajuste de IPS en host 10. IPS en host grupos de reglas de firewall. SQL 134 gestión del sistema actualización de protección IPS en host 29 notificaciones para eventos de IPS en host 28 tareas servidor para IPS en host 25. creación 76 notificaciones y 28 y herencia 9 G M gestión de la información análisis de datos de clientes de IPS en host 21 consultas predefinidas y personalizadas para IPS en host 14 paneles y consultas para IPS en host 13 164 I icono de la bandeja del sistema definir opciones de cliente 93 desactivar una función de IPS en host 83 idioma. Programa 127 Windows. Archivos 119 Windows. 20 análisis de eventos de IPS en host y reglas de cliente 17 Cliente Linux y 107 ficha Directivas. UNIX_GUID 145 Solaris. Isapi 124 Windows. UNIX_file (archivos) 138 Solaris. Desbordamiento de búfer 118 Windows. UNIX_file (archivos) 138 Linux.0 para ePolicy Orchestrator 4. Hook 122 Windows. IPS en host asignar directivas a 9 cómo se aplican las directivas 9 criterios de configuración 10 eliminación de directivas y herencia para 18 firewall con reconocimiento de ubicación. Windows 123 variables de valor de sección 115 Windows.Índice firmas (continuación) alertas y firmas NIPS 95 configuración de directiva Reglas IPS 44 creación de un IPS en host personalizado 45 creación mediante el método estándar 45 creación mediante el método experto 45 definido 34 directiva Reglas IPS 40 excepciones 36 HIPS. IPS en host permisos para 25 L listas de reglas excepciones para IPS en host 97 reglas de firewall para IPS en host 100 llamadas de activación actualización de clientes IPS en host 31 migración directivas 24 directivas de la versión 7 a la versión 8 24 Mis valores predeterminados. UNIX_bo 144 Solaris. UNIX_misc 143 Uso ilegal de API. IPS en Host 18 seguimiento de directivas de IPS en host 10 grupos con reconocimiento de ubicación aislamiento de conexión 61 creación 76 grupos de reglas.

acerca de 34 interceptación de llamadas de sistema 33 métodos de entrega 33 modo de adaptación y excepciones 36 motores y controladores 33 NIPS. responder a 95 alertas de simulación detectada.0 para ePolicy Orchestrator 4. directiva (continuación) Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 modo adaptación Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 modo de adaptación aplicar 22 con IPS contra firewall 22 Preguntas frecuentes 22 reglas que no se han creado automáticamente 22 acerca de 10 ajuste automático 20 colocar clientes de Host IPS en 37 colocar clientes de IPS en host en 22 directiva Opciones IPS 38 excepción y 36 modo de aprendizaje acerca de 10 colocar clientes de IPS en host en 22 Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 reglas de firewall 69 N NIPS (firmas de Network Intrusion Prevention) 101 niveles de gravedad.Índice Mis valores predeterminados. responder a 97 configuración. ver 102 protección básica directivas de IPS en host predeterminadas 20 IPS en host 7 Protección de IPS activar 37 desactivar 37 protección por firewall activar 70 desactivar 70 protocolos rastreo y firewall con seguimiento de estado 68 puertos conexiones FTP e inspección de paquetes con seguimiento de estado 67 conexiones y alertas de firewall 96 firewall y entradas de tabla de estados 65 tráfico bloqueado y reglas de firewall 69 R reacciones acerca de 35 alertas de firewall. configuración 39 tipos de 35 trazado hasta la gravedad de IPS 10 recomendaciones de McAfee agrupación de clientes de IPS en host lógica 21 ajuste de directivas predeterminadas de IPS en host 19 Guía del producto McAfee Host Intrusion Prevention 8. IPS en host acerca de 28 categorías específicas del producto admitidas 28 configuración 19 reglas y eventos 28 O opciones de línea de comandos ClientControl.exe. visión general 56 reglas de comportamiento 35 prioridad directiva Redes de confianza 86 directivas generales. IPS en host y 81 IPS de red y direcciones IP 86 lista de reglas de firewall 58 procesos supervisados. reiniciar 107 comprobación de que el cliente Solaris se ejecuta 106 comprobar que el cliente Linux se ejecuta 109 detener y reiniciar el cliente Linux 110 Detenión del cliente Solaris 106 P paneles consultas y Host Intrusion Prevention 10 gestión de la información en IPS en host 13 seguimientos de IPS en host predeterminados 13 visualización de conformidad y asuntos de IPS en host 19 paquetes actualizaciones de contenido de IPS en host 29 perfiles de uso agrupación de sistemas de IPS en host 10 ajuste de directivas de IPS en host 10 Preguntas frecuentes modo de adaptación 22 directivas de instancias múltiples 42 prevención de intrusiones (IPS) blindaje y envoltura 33 descripción 32 directiva Protección IPS 39 editar reglas de excepción 98 excepciones 36 firmas. automatización de la actualización 93 cliente Solaris. IPS configuración de reacciones para 40 configuración y ajuste de la protección 20 configurar 10. 19 directiva Protección IPS 39 eventos y 52 trabajar con firmas 43 trazado hasta una reacción 10 niveles de seguridad de firmas tipos de 43 notificaciones. acerca de 34 opciones de registro 94 opciones de registro del firewall 94 personalizar opciones 98 reacciones 35 reglas de cliente 14 reglas de cliente. para niveles de gravedad de firma 40 protección IPS.0 165 . definidas 34 HIPS. responder a 96 alertas de intrusos.

definir opciones 94 sugerencias uso de notificaciones 28 T tabla de estados. 78 IPS 40 reglas de comportamiento blindaje y envoltura 35 definición de actividades de IPS en host legítimas 35 reglas de excepción acerca de 36 ajuste automático 22 configuración de directiva Reglas IPS 51 creación 52 creación.0 . IPS en host Ejecutar consulta 27 Exportar consultas 27 Exportar directivas 27 Extracción del repositorio 27 gestión del despliegue 25. 56 uso de 51 reglas de firewall crear y editar 75 reglas de protección de aplicaciones acerca de 36 configuración 50 creación 50 descripción 47 directiva Reglas IPS 36.exe. automatización de la actualización 93 Guía del producto McAfee Host Intrusion Prevention 8. 78 consultas de IPS en host 14 creación de excepciones 36 crear. visión general 55. 108 IU de cliente 85 opciones 93 registro del firewall.log 154 para funcionalidad de firewall 154 para funcionalidad IPS 154 usar para solucionar problemas 154 registros de actividad. clientes Windows y 97 reglas de cliente y agregación 55.0 para ePolicy Orchestrator 4. 27 incorporación de actualizaciones 30 Purgar registro de eventos 27 Purgar registro de eventos de amenazas 27 Traductor de propiedades 27 Traductor de propiedades de IPS en host 27 TrustedSource cómo funciona 72 definición 72 Directiva Opciones del firewall de Host IPS 72 Preguntas frecuentes 72 U utilidad ClientControl detener servicios 156 función e instalación 156 sintaxis de línea de comandos 156 usar para solucionar problemas 156 utilidades ClientControl.Índice recomendaciones de McAfee (continuación) Despliegue de IPS en host en fases 21 ponerse en contacto con el soporte de McAfee para desactivar el motor HIPS 95 sistemas de grupos por criterios de IPS en host 10 utilice la protección de IPS para escalonar el impacto de los eventos 10 registros activar 154 FireSvc. 56 Firewall 70. 108 Cliente Solaris 105 Cliente Windows 93. con modos de adaptación y aprendizaje 10 directiva Reglas IPS. IPS en host Cliente Linux 107. IPS en host eliminar entradas 102 opciones de registro del firewall 94 opciones de registro IPS 94 personalizar opciones 103 trabajar con la ficha Registro de actividad 102 visualización 102 Reglas de bloqueo de DNS crear y editar 77 reglas de cliente Firewall 70. permitidos o bloqueados 47 uso de 47 S solución de problemas. 51 editar directivas IPS 98 eventos y 52 lista. 50 166 reglas de protección de aplicaciones (continuación) procesos. basada en evento 52 Crear excepción 95 definido 10 directiva Reglas IPS 40. firewall descripción 65 funcionalidad 65 tareas servidor.log 154 HipShield. 94 desactivación de motores IPS en host 95 herramienta hipts 105. Host IPS aislar los componentes que causan problemas 148 bloquear tráfico distinto de IP 148 comprobar los servicios que se están ejecutando 148 fallo de aplicaciones con Host Intrusion Prevention instalado 148 usar la utilidad ClientControl 156 usar registros 154 solución de problemas. 40.

Sign up to vote on this title
UsefulNot useful