McAfee Host Intrusion Prevention 8.

0
Guía del producto para su uso con ePolicy Orchestrator 4.0

COPYRIGHT
Copyright © 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de
este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIÓN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO
ÍNTEGRO.

2

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Contenido
Introducción a Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Protección de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gestión de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Seguimiento y ajuste de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestión de la protección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Gestión de la información. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Paneles de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consultas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Gestión de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dónde encontrar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuración de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Protección predeterminada y ajustes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Migración de directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Gestión del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Conjuntos de permisos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tareas del servidor de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Notificaciones de eventos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Actualizaciones de protección de IPS en host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Configuración de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Resumen de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Métodos para la entrega de protección IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Firmas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Reglas de comportamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Reacciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Reglas de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Activar la protección IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuración de la directiva de opciones IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Configuración de la reacción para firmas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Bloqueo del tráfico DNS. . . . . . . . . . . . . . . . 47 Cómo funcionan las excepciones de IPS. . . . . . . . . 63 Inspección y filtrado de paquetes con seguimiento de estado del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Definición de la funcionalidad de cliente. . . 57 Cómo funcionan las reglas de firewall. . . . . . . 79 Configuración de directivas generales . . . . . . . . . . . . . . . . . 40 Asignación de varias instancias de la directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Supervisión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Creación y edición de grupos de reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Supervisión de eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Definición de la protección de firewall. . . . . . . .0 . . . . . . . . . . . . . . . . . 57 Resumen de directivas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Creación de una excepción para un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . 41 Preguntas frecuentes: directivas de instancias múltiples. . . . . . . . . . . . 73 Configuración de la directiva Reglas del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Configuración de la directiva Reglas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Cómo funciona el catálogo de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Activación de protección por firewall. . . . . . . . . . . . . . . . . . . . . 58 Cómo funcionan los grupos de reglas de firewall . . . . . . 65 Cómo afectan los modos aprendizaje y adaptación al firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Configuración de la directiva Opciones del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Preguntas frecuentes: McAfee TrustedSource y el firewall. . . . . . . . . . . . . . . . . . . . . 40 Definición de protección de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Cómo funcionan las firmas de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Gestión de Reglas de cliente del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Configuración de directivas de firewall. . . . . . . . . . . . . 52 Gestión de eventos IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Creación de una aplicación de confianza de un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Preguntas frecuentes: uso de caracteres comodín en reglas de firewall. . . . . . . .Contenido Configuración de la directiva Protección IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Introducción a las directivas generales. . . . . . . . . . . . . . . . . . . . . . . . . 55 Gestión de reglas de cliente IPS. . . . . . . . . . . . . . . . . . 74 Creación y edición de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Uso del catálogo de IPS en host. . . . . . . . . . . . . 76 Creación de grupos de aislamiento de conexión. . . . . . . . 43 Cómo funcionan las reglas de protección de aplicaciones de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Reglas de firewall para cliente. . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . 85 Definición de redes de confianza. . . . . . . . . . . . . . . 92 Desbloqueo de la interfaz del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Edición de la lista de hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . 93 Alertas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Introducción al cliente Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Uso de clientes de Host Intrusion Prevention . . .0 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Solución de problemas del cliente Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Introducción al cliente Solaris . . . . . . . . . . 114 Caracteres comodín y variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Consola de clientes para clientes Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Definición de opciones de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . 86 Definición de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Menú Icono de la bandeja de sistema. . . . . . . . . . . . . . . . . . . . 87 Configuración de una directiva de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . 82 Definición de opciones generales de IU de cliente. . . . . . 87 Creación y edición de reglas de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Escritura de firmas personalizadas y excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Solución de problemas del cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Aplicación de directivas con el cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Secciones comunes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Introducción al cliente Windows. . . . . . . . . 112 Secciones comunes opcionales. . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Configuración de opciones avanzadas y contraseñas de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Acerca de la ficha Directiva de firewall. . . . . . .Contenido Configuración de una directiva IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Definición de opciones de solución de problemas de IU de cliente. . . . . . . . . . . . . . . . . 95 Acerca de la ficha Directiva de IPS. . . 102 Acerca de la Ficha Registro de actividad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Asignación de varias instancias de la directiva. . . . . . 107 Notas acerca del cliente Linux. . . . . . . . . 86 Configuración de una directiva de redes de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Aplicación de directivas con el cliente Solaris. . . . . . . . . 93 Solución de problemas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Firmas personalizadas de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Acerca de la ficha Hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Apéndice A -. . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Estructura de regla. . . . . . . . . . . . . . 102 Acerca de la ficha Lista de protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . 135 Firmas personalizadas no Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Solaris/Linux clase UNIX_file. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Solaris clase UNIX_map. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .0 para ePolicy Orchestrator 4. . . . . . . . . . . . . 148 Registros de Host IPS. . . . . . . . . . . . . . . . . . . . . . . 131 SQL de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Solaris/Linux class UNIX_apache (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Clases y directivas de la plataforma UNIX. . . . . . . . . . . . . . . . 124 Programa de clase Windows. . . . . . . . . . . . . . . . . . . . . 148 Problemas generales. 143 Solaris clase UNIX_bo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Utilidad Clientcontrol. . . . . . . . 129 Servicios de la clase Windows. . . . . . . .Contenido Desbordamiento de búfer de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Solaris/Linux clase UNIX_Misc. . . . . . . . . . . 145 Apéndice B: solución de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Hook de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Uso ilegal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Registro de la clase Windows. . . . . . . . . . . . . . . . . . . 134 Clases y directivas de la plataforma Windows. . 118 Archivos de clase de Windows. . . . . . . . . . . . . . . 124 Isapi (HTTP) de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Uso de host ilegal IPS API. . . . . . . . . . . 156 6 Guía del producto McAfee Host Intrusion Prevention 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Solaris clase UNIX_GUID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .exe. . . . . . . . . . . . . . . . . . . . . . . . . . . .

La función de firewall de Host Intrusion Prevention se adquiere por separado o en combinación con la función IPS de Host Intrusion Prevention. Guía del producto McAfee Host Intrusion Prevention 8.0 7 . así como de las aplicaciones que almacenan y proporcionan información.0 para ePolicy Orchestrator 4.Introducción a Host Intrusion Prevention ® McAfee Host Intrusion Prevention es un sistema de detección y prevención de intrusos basado en host que protege los recursos del sistema y las aplicaciones frente a los ataques internos y externos.000 sistemas en varios idiomas y en la totalidad de la empresa con el objetivo de ofrecer una exhaustiva cobertura real. Protección básica Host Intrusion Prevention se entrega con un conjunto de configuraciones predeterminadas que proporcionan una protección básica para su entorno. Este enfoque proporciona una solución de gestión única que permite el despliegue masivo en un total de hasta 100. Contenido Protección de IPS en host Directivas de Host IPS Gestión de directivas de IPS en host Seguimiento y ajuste de directivas de IPS en host Protección de IPS en host Una vez que todos los componentes necesarios para Host Intrusion Prevention estén instalados y puedan comunicarse. Host Intrusion Prevention está totalmente integrado con ePolicy Orchestrator y utiliza su estructura para proporcionar y aplicar directivas. portátiles y servidores críticos. La función IPS dispone de actualizaciones de contenido mensuales. Las opciones incluyen: • Para protección de IPS: • Las firmas de gravedad alta se evitan y las demás firmas se ignoran. supervisar los eventos y actualizar las directivas y los contenidos según sea necesario. Host Intrusion Prevention (en ocasiones abreviado en el producto como Host IPS o HIP) puede proteger información e impedir la puesta en peligro de los recursos del sistema y de la red. lo que reduce la urgencia de los parches para nuevas amenazas. incluidos servidores web y de bases de datos. ya está preparado para aplicar la protección. Logra este objetivo mediante la función de firewall de punto final y la función IPS (Intrusion Prevention System. Su tecnología patentada bloquea proactivamente ataques de día cero (zero day) y ataques conocidos. Proporciona una solución escalable y de fácil manejo para evitar intrusiones en estaciones de trabajo. sistema de prevención de intrusiones).

Define la reacción de protección a los eventos que generan las firmas. La eliminación de las directivas solo puede llevarse a cabo en Catálogo de directivas. no está activa ninguna protección. se aplica la configuración explícita que ofrezca mayor protección. Protección avanzada Para obtener protección avanzada. • Protección de IPS (todas las plataformas). lo que permite que se asignen a un sistema varias directivas de Reglas IPS. Los ajustes necesitan equilibrar la protección contra prevención de intrusos y acceder a la información necesaria y a las aplicaciones por tipos de grupo. excepto para las reglas de autoprotección de IPS. Detalla las excepciones. Una vez creada una directiva. en lugar de una sola direciva. Host Intrusion Prevention proporciona tres funciones de directiva. La aplicación de directivas asegura que las necesidades de seguridad en sistemas gestionados se cumplan. firmas y reglas de protección de aplicaciones. los eventos y las excepciones generadas por los clientes. Las funciones IPS y Firewall contienen una directiva de "reglas" con reglas que definen el comportamiento y una directiva de "opciones" que habilita o deshabilita las reglas. la persona asociada como propietario de la directiva o el administrador global. las reglas de protección de aplicaciones. Debe activar la protección en la directiva Opciones de IPS u Opciones del firewall y aplicar la directiva al cliente. • Reglas IPS (todas las plataformas). NOTA: cuando Host Intrusion Prevention 8. esta solo puede modificarla o eliminarla su creador.0 para ePolicy Orchestrator 4. Define excepciones. La propiedad de las directivas se asigna en Catálogo de directivas. Son las siguientes: IPS. Directivas de IPS La función IPS incluye tres directivas que protegen los equipos Windows y los que no son Windows. • Se protegen las aplicaciones y procesos predefinidos.0 . Esta directiva es una directiva de múltiples instancias. cambie de configuraciones IPS predeterminadas a configuraciones preestablecidas más estrictas o cree configuraciones personalizadas. Empiece con un despliegue de muestra para supervisar y ajustar la nueva configuración. la directiva efectiva es el resultado de los contenidos unidos de las directivas. 8 Guía del producto McAfee Host Intrusion Prevention 8. • Opciones de IPS (todas las plataformas).0 se instala por primera vez. Activa o desactiva la protección IPS y la aplicación del modo de adaptación para el ajuste. cada una con un conjunto de opciones de seguridad. • Para la protección de firewall: • Se permite la conectividad básica de red. Firewall y General.Introducción a Host Intrusion Prevention Directivas de Host IPS • Las aplicaciones de McAfee se enumeran como aplicaciones de confianza para todas las reglas. Por lo tanto. Directivas de Host IPS Una directiva es un conjunto de parámetros que puede configurar y aplicar en la consola de ePolicy Orchestrator. las firmas. Si hay configuraciones en conflicto.

Introducción a Host Intrusion Prevention
Gestión de directivas de IPS en host

Directivas de firewall
La función Firewall incluye tres directivas que solo protegen los equipos Windows. Filtra el
tráfico de red, lo que permite que el tráfico legítimo pase a través del firewall, y bloquea el
resto.
• Opciones de firewall (solo Windows). Activa o desactiva la protección del firewall y la
aplicación del modo de adaptación o de aprendizaje para el ajuste.
• Reglas de firewall (solo Windows). Define las reglas de firewall.
• Bloqueo DNS del firewall (solo Windows). Define los servidores de nombre de dominio
que han de bloquearse.
Directivas generales
La función General incluye tres directivas que pueden aplicarse a las funciones IPS y Firewall.
• IU de cliente (solo Windows). Define el acceso a la interfaz de usuario de Host Intrusion
Prevention en los sistemas de cliente Windows, así como a las opciones de solución de
problemas. También proporciona protección mediante contraseña a todos los sistemas de
clientes que no son Windows.
• Redes de confianza (solo Windows). Muestra direcciones IP y redes seguras para establecer
comunicación. Se usa con las funciones IPS y Firewall.
• Aplicaciones de confianza (todas las plataformas). Muestra aplicaciones que son de
confianza para realizar operaciones. Se usa con la función IPS. Esta directiva es una directiva
de múltiples instancias, lo que permite que se asignen a un sistema varias directivas de
Aplicaciones de confianza, en lugar de una sola direciva. Por lo tanto, la directiva efectiva
es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto,
se aplica la configuración que ofrezca mayor protección.

Gestión de directivas de IPS en host
La consola de ePolicy Orchestrator le permite configurar las directivas de Host Intrusion
Prevention desde una localización central.
Cómo se hacen efectivas las directivas
Cuando se modifican las directivas de Host Intrusion Prevention en la consola de ePolicy
Orchestrator, los cambios surten efecto en los sistemas gestionados en la siguiente comunicación
entre agente y servidor. El valor predeterminado de este intervalo es de 60 minutos. Para aplicar
las directivas inmediatamente, puede enviar una llamada de activación del agente desde la
consola de ePolicy Orchestrator.
Directivas y sus categorías
La información de directivas de Host Intrusion Prevention se agrupa según función y categoría.
Cada categoría se refiere a un subconjunto específico de valores de directivas.
Una directiva es un grupo de configuraciones definidas con un propósito específico. Puede crear,
modificar o eliminar tantas directivas como sea necesario.
Cada directiva tiene una directiva McAfee Default preconfigurada que no se puede editar o
eliminar. Con excepción de las reglas IPS y las aplicaciones de confianza, todas las directivas
tienen tambien una directiva Mis valores predeterminados que se puede editar y que está
basada en la directiva predeterminada. Algunas categorías de directivas incluyen directivas

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

9

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

preconfiguradas de solo lectura. Si estas directivas cubren sus necesidades, puede aplicar
cualquiera de ellas. Estas directivas de solo lectura, como todas las directivas, pueden duplicarse
y personalizar el duplicado, si fuera necesario.
Las reglas IPS y las aplicaciones de confianza son directivas de instancias múltiples, ya que
puede asignar múltiples instancias de directivas bajo una única directiva. Las instancias de
directivas se combinan automáticamente en una directiva en vigor.
SUGERENCIA: las directivas McAfee Default para Reglas IPS y Aplicaciones de confianza se
actualizan automáticamente como parte del proceso de actualización de contenido. McAfee
recomienda asignar siempre estas directivas a todos los clientes y crear instancias adicionales
de la directiva para personalizar el comportamiento de estas dos directivas.
Cómo se aplican las directivas
Las directivas se aplican a cada grupo o sistema del árbol del sistema, ya sea por herencia o
por asignación. Herencia determina si la configuración de directivas de cualquier sistema procede
de su nodo principal. La herencia está activada de forma predeterminada en todo el árbol de
sistemas. Puede romper la herencia mediante asignación directa de directivas. Host Intrusion
Prevention, si se gestiona desde ePolicy Orchestrator, le permite crear directivas y asignarlas
sin contar con la herencia. Cuando se interrumpe esta herencia asignando una nueva directiva,
todos los grupos y sistemas secundarios heredan la nueva directiva.
Propietarios de las directivas
Cada directiva tiene que tener asignado un propietario. La propiedad asegura que nadie más
que el administrador global, el creador de la directiva o la persona asociada como propietario
de la directiva pueda modificarla. Cualquier administrador puede utilizar una directiva que exista
en el catálogo, pero únicamente el creador, el propietario o el administrador global podrán
modificarla.
SUGERENCIA: en lugar de utilizar una directiva que es propiedad de un administrador diferente,
se aconseja duplicar la directiva y, a continuación, asignar el duplicado. Por otro lado, si asigna
una directiva de la que no es propietario a grupos de árbol del sistema que administra y el
propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva
recibirán estas modificaciones.

Seguimiento y ajuste de directivas de IPS en host
El despliegue y la gestión de los clientes de Host Intrusion Prevention se realizan desde ePolicy
Orchestrator. En el árbol del sistema de ePO, puede agrupar sistemas jerárquicamente por
atributos. Por ejemplo, puede agrupar un primer nivel por localización geográfica y un segundo
nivel por plataforma del sistema operativo o dirección IP. McAfee recomienda agrupar los
sistemas en función de criterios de configuración de Host Intrusion Prevention, incluidos el tipo
de sistema (servidor o equipo de escritorio), el uso de aplicaciones principales (Web, base de
datos o servidor de correo) y ubicaciones estratégicas (DMZ o Intranet). Puede colocar sistemas
que se ajusten a un perfil de uso común en un grupo común del árbol del sistema. De hecho,
puede nombrar un grupo según su perfil de uso (por ejemplo, Servidores web)
Con los equipos agrupados en el árbol del sistema según el tipo, la función o la ubicación
geográfica, es posible dividir fácilmente las funciones administrativas según los mismos criterios.
Con Host Intrusion Prevention puede dividir tareas administrativas de acuerdo con las funciones
del producto, como IPS o firewall.

10

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Introducción a Host Intrusion Prevention
Seguimiento y ajuste de directivas de IPS en host

El despliegue de Host Intrusion Prevention en miles de equipos se gestiona fácilmente, ya que
la mayoría de los equipos encajan en un pequeño número de perfiles de uso. La gestión de un
gran despliegue se reduce a mantener unas cuantas reglas de directivas. A medida que crece
el despliegue, los sistemas que se acaben de agregar deberán ajustarse a uno o varios perfiles
existentes y colocarse en el grupo correcto del árbol del sistema.
Protección preconfigurada
Host Intrusion Prevention ofrece dos tipos de protección:
• La protección básica está disponible mediante la configuración de directiva McAfee Default.
Esta protección requiere pocos ajustes (o ninguno) y genera pocos eventos. Para muchos
entornos esta protección básica podría ser suficiente.
• La protección avanzada también está disponible en algunas directivas de IPS y firewall
preconfiguradas o mediante la creación de directivas personalizadas. Los servidores, por
ejemplo, necesitan una protección más potente que la que ofrece la protección básica.
En ambos casos, son necesarios algunos ajustes de la configuración de protección para entornos
reales de trabajo.
Modo de adaptación
Para ayudar a ajustar la configuración de la protección, los clientes de Host Intrusion Prevention
pueden crear reglas de cliente para las directivas impuestas por el servidor que bloqueen
actividades inofensivas. La creación automática de reglas de cliente se permite cuando los
clientes están en modo de adaptación. En el modo de adaptación, las reglas del cliente se crean
sin interacción por parte del usuario. Después de crear reglas de cliente, necesita analizarlas
detenidamente y decidir cuál de ellas se debe convertir a directiva impuesta por el servidor.
Con frecuencia, en organizaciones de gran tamaño, evitar las interrupciones en las actividades
de la empresa tiene prioridad sobre los asuntos de seguridad. Por ejemplo, podría ser necesario
instalar periódicamente nuevas aplicaciones en algunos equipos y es posible que no se disponga
del tiempo ni de los recursos necesarios para ajustarlos inmediatamente. Host Intrusion
Prevention permite colocar equipos específicos en modo de adaptación para protección IPS.
Estos equipos pueden realizar un perfil de una aplicación recién instalada y reenviar las reglas
de cliente resultantes al servidor de ePolicy Orchestrator. El administrador puede promover
estas reglas de cliente a un directiva nueva o existente y, a continuación, aplicar la directiva a
otros equipos para gestionar el nuevo software.
En el modo de adaptación, los sistemas no tienen virtualmente ninguna protección, así que el
modo de adaptación debe usarse solo para ajustar un entorno, y es necesario desactivarlo para
aumentar la protección del sistema.
Ajuste
Como parte del despliegue de Host Intrusion Prevention, es necesario identificar un número
pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor manera de conseguirlo
es ajustar un despliegue de prueba y después comenzar a reducir el número de falsos positivos
y eventos generados. Este proceso se denomina ajuste.
Reglas IPS más estrictas señalan un rango más amplio de infracciones y generan muchos más
eventos que en un entorno básico. Si aplica la protección avanzada, McAfee recomienda utilizar
la directiva Protección IPS para escalonar el impacto. Esto implica el trazado de cada uno de
los niveles de gravedad (alta, media, baja o información) con una reacción (prevenir, registrar,
ignorar). Si inicialmente se establecen las reacciones de todos los niveles de gravedad como
Ignorar, excepto las de gravedad alta, se aplican solo estas últimas. Los otros niveles pueden
elevarse de manera gradual a medida que progresa el ajuste.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

11

0 . por ejemplo. Los informes se pueden planificar y enviar como mensaje de correo electrónico. • Las reglas de excepción son mecanismos que ignoran una firma de IPS en circunstancias específicas. Las consultas permiten obtener datos sobre un elemento concreto y filtrar datos de subconjuntos específicos de esos datos. eventos de alto nivel notificados por clientes concretos durante un período de tiempo determinado. • Las aplicaciones de confianza son procesos de aplicaciones que ignoran todas las reglas IPS y de firewall. aplicaciones de confianza y reglas de firewall. Esta consultas pueden actualizarse constantemente o ejecutarse con una frecuencia especificada.0 para ePolicy Orchestrator 4.Introducción a Host Intrusion Prevention Seguimiento y ajuste de directivas de IPS en host Puede reducir el número de falsos positivos mediante la creación de reglas de excepción. Paneles y consultas Los paneles permiten el seguimiento del entorno al mostrar distintas consultas a la vez. • Las reglas de firewall determinan si se permite el tráfico y si se permitirá o bloqueará la recepción o transmisión de paquetes. 12 Guía del producto McAfee Host Intrusion Prevention 8.

siempre y cuando tenga los permisos. una herramienta esencial para la gestión del entorno. el cambio y actualización de directivas.0 13 . puede hacer un seguimiento y un informe sobre los asuntos de seguridad que surjan en su entorno. Puede crear y editar múltiples paneles.Gestión de la protección La gestión de un despliegue de Host Intrusion Prevention incluye el seguimiento. como el servicio MyAvert Threat. Contenido Gestión de la información Gestión de directivas Gestión del sistema Gestión de la información Tras la instalación de Host Intrusion Prevention. y la realización de tareas del sistema. el análisis y la reacción a las actividades.0 para ePolicy Orchestrator 4. Paneles de IPS en host Los paneles son una recopilación de seguimientos. como un panel que se actualiza con una frecuencia especificada. para que pueda poner sus consultas más útiles en un panel en vivo. Host Intrusion Prevention proporciona dos paneles predeterminados con estos monitores: Tabla 1: Paneles y monitores de Host IPS Panel Monitores IPS en host • Estado del firewall • Estado de IPS en host • Estado del servicio • Recuento de reglas IPS de cliente • Versiones del contenido • Primeros 10 eventos NIPS por IP de origen • Firmas desencadenadas por alto nivel en el escritorio • Firmas desencadenadas por medio nivel en el escritorio • Firmas desencadenadas por bajo nivel en el escritorio • Firmas desencadenadas por alto nivel en el servidor Firmas desencadenadas por IPS en host Guía del producto McAfee Host Intrusion Prevention 8. Utilice los paneles para obtener una visión diaria de la situación de seguridad o para ejecutar consultas sobre información detallada acerca de asuntos concretos. desde una consulta basada en tablas a una pequeña aplicación web. Utilice cualquier consulta basada en formularios. Los seguimientos pueden ser cualquier cosa.

Puede exportar informes en una gran variedad de formatos de archivo. Opciones de consulta: • Definir un filtro para recopilar solo información seleccionada. • Generar informes gráficos a partir de la información de la base de datos. profundice uno o dos niveles para obtener información detallada. Por ejemplo. Puede generar consultas para un grupo de sistemas de cliente seleccionados o limitar los resultados de los informes por producto o por criterios del sistema. entre ellos HTML y Microsoft Excel. que ha definido.0 y Excepciones IPS de Host IPS 8. Consultas predefinidas y personalizadas para analizar la protección La función de generación de informes contiene consultas predeterminadas de Host Intrusion Prevention y permite la creación de consultas personalizadas. para los administradores globales o para los otros usuarios. eventos e instalaciones. Desde la información resumida. Organice y mantenga consultas personalizadas de acuerdo con sus necesidades. puede ver la información resumida.0 . Reglas de cliente IPS de Host IPS 8. por ejemplo. Consultas personalizadas Puede crear cuatro consultas concretas de Host IPS con Query Builder: Reglas de cliente de firewall de Host IPS 8. Controle cuánta información del informe será visible para los distintos usuarios. si personaliza la configuración para un informe.0.Gestión de la protección Gestión de la información Panel Monitores • Firmas desencadenadas por medio nivel en el servidor • Firmas desencadenadas por bajo nivel en el servidor Para obtener más información acerca de la creación y el uso de paneles. imprimir los informes y exportarlos a otro software. para definir filtros precisos en los datos devueltos por el informe. Elegir el grupo o etiqueta que se han de incluir en el informe.0. consulte la documentación de ePolicy Orchestrator. como lo determina el filtro. Ejecutables de reglas de cliente de firewall de Host IPS 8. • Ejecutar consultas de equipos. todo en el mismo informe. • Definir un filtro de datos.0 para ePolicy Orchestrator 4. Cuando se haya generado un informe. Tras crear plantillas personalizadas. 14 Guía del producto McAfee Host Intrusion Prevention 8.0. organícelas en agrupaciones lógicas para que pueda ejecutarlas cuando lo necesite de forma diaria. La información del informe también se controla con la aplicación de filtros. semanal o mensual. Algunos usuarios solo ven informes de sistemas en sitios en los que tengan permisos. utilizando operadores lógicos. exporte esta configuración como una plantilla. Puede crear consultas útiles de eventos y propiedades almacenados en la base de datos de ePO o puede utilizar consultas predefinidas. filtrar los informes según sea necesario. Consultas de IPS en host Host Intrusion Prevention incluye la funcionalidad de consulta mediante ePolicy Orchestrator. si existe.

• Activado • Última modificación • Usuario de la última modificación • ID de nodo de hoja • Servicios locales • Estado de registro • Protocolo IP • Coincidir con intrusión • Tipo de soporte • Nombre • Nota • Servicios remotos • ID de regla • Planificar fin • Planificar inicio • Cambiar cuando caduque • Protocolo de transporte Ejecutables de regla de cliente de firewall de Host • IPS 8. saltar es la acción para grupos que no tienen la acción permitir/bloquear. Los valores posibles de las acciones son permitir. los grupos de firewall del catálogo de IPS y las reglas de cliente de firewall. Las reglas y grupos del catálogo de IPS tienen el valor de filtro leafNodeId establecido a 0.0 15 . establezca el valor de filtro leafNodeld a > 0.0 • Acción • Dirección NOTA: esta consulta devuelve las reglas de firewall del catálogo de IPS.Gestión de la protección Gestión de la información Los parámetros para estas consultas incluyen: Tabla 2: Consultas de IPS en host y parámetros Consulta Parámetros Reglas de firewall y reglas de cliente de firewall del catálogo de Host IPS 8. bloquear y saltar.0 Excepciones IPS de Host IPS 8. para ver las reglas de cliente de firewall.0 • Reglas IPS de cliente de Host IPS 8.0 Huella digital Nombre • Nota • Ruta • ID de regla • Nombre del firmante • Fecha de creación • Descripción • Nombre del ejecutable • Ruta del ejecutable • Huella digital • Nombre completo del ejecutable • Incluir todos los ejecutables • Incluir todas las firmas • Incluir todos los usuarios • Fecha de la última modificación • Versión local • Reacción • ID de firma • Nombre del firmante • Estado • Nombre de usuario • Regla de excepción IPS Guía del producto McAfee Host Intrusion Prevention 8. por lo tanto.0 para ePolicy Orchestrator 4.

puede usar varias consultas predefinidas tal cual o editarlas para obtener solo la información que necesita. leído) • Estado de IPS en host • Nombre de la firma • Instalar directorio Consultas predefinidas Además de las consultas personalizadas. 16 Guía del producto McAfee Host Intrusion Prevention 8. Reglas para cliente por proceso/intervalo de puertos Muestra las reglas de firewall para cliente enumeradas por proceso y por intervalo de puertos. Versiones del cliente Muestra las primeras tres versiones del cliente con una categoría única para el resto de las versiones. Reglas para cliente por Muestra las reglas de firewall para cliente enumeradas por protocolo y por intervalo protocolo/intervalo de puertos de puertos.0 para ePolicy Orchestrator 4.Gestión de la protección Gestión de la información Consulta Parámetros • Directiva Reglas IPS Propiedades de IPS en host comunes Las consultas personalizadas de Host IPS y algunas de las otras consultas personalizadas le permiten incluir estas propiedades de IPS en host: • Tipo de agente • Estado del modo de adaptación de IPS • Atacantes bloqueados • Idioma • Versión del cliente • Recuento de regla de excepción local • Versión de contenido • Estado de IPS de red • Estado del modo de adaptación de firewall • Reinicio pendiente • Error en el firewall (Errores) • Versión de complemento • Estado del modo de aprendizaje entrante del firewall • Estado del producto • Estado del modo de aprendizaje saliente del firewall • Versión de hotfix/parche • Recuento de regla del firewall • Estado del firewall • Servicio en ejecución • Versión del producto • Service Pack • Errores de IPS en host • Información del evento de IPS en host (oculto. Clientes pendientes de reinicio Muestra los sistemas administrados en los que IPS en host está desplegado y el instalador debe reiniciar el sistema. Reglas para cliente por proceso/usuario Muestra las reglas de firewall para cliente enumeradas por proceso y usuario. Reglas para cliente por protocolo/proceso Muestra las reglas de firewall para cliente enumeradas por protocolo y proceso. Escoja entre las siguientes consultas predefinidas de Host IPS: Consulta HIP Resumen Reglas para cliente por proceso Muestra las reglas de firewall para cliente enumeradas por proceso.0 . Reglas para cliente por protocolo/nombre de sistema Muestra las reglas de firewall para cliente enumeradas por protocolo y nombre de sistema.

Eventos de redes de confianza Muestra los eventos generados por sistemas que forman parte de redes de confianza de IPS en host de IPS en host. 10 eventos IPS principales por Muestra los 10 sistemas con mayor número de eventos IPS. Estado del firewall Muestra dónde está activada o desactivada la protección del firewall en sistemas gestionados. Firmas desencadenadas por medio nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). Guía del producto McAfee Host Intrusion Prevention 8. 10 firmas más activadas Muestra las 10 primeras firmas IPS activadas. Recuento de reglas IPS de cliente Muestra el número de reglas IPS de cliente que se han creado con el paso del tiempo. Firmas desencadenadas por bajo nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Gestión de directivas La gestión de directivas implica la configuración y aplicación de directivas y el ajuste de la protección para los recursos y las aplicaciones del sistema. Recuento de reglas de cliente Muestra el número de reglas de firewall para cliente que se han creado con el paso de firewall del tiempo. pero que no se iniciaron correctamente.0 para ePolicy Orchestrator 4. Firmas desencadenadas por alto nivel en el escritorio Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). Estado de IPS en host Muestra dónde está activada o desactivada la protección IPS en sistemas gestionados. Firmas desencadenadas por alto nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad alta (crítica). Errores de firewall Muestra los sistemas administrados en los que la función de firewall está activada mediante directiva.0 17 . destino 10 NIPS principales por IP de origen Muestra los 10 eventos de intrusión en la red por direcciones IP de origen que más se han dado en los últimos tres meses. Firmas desencadenadas por bajo nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad baja (aviso). Errores de IPS en host Muestra los sistemas administrados en los que la función de IPS está activada mediante directiva. Informe de excepciones IPS Muestra las directivas de reglas IPS que presentan excepciones IPS.Gestión de la protección Gestión de directivas Consulta HIP Resumen Versiones del contenido Muestra las primeras tres versiones del contenido con una categoría única para el resto de las versiones. pero que no se iniciaron correctamente. Firmas desencadenadas por medio nivel en el servidor Muestra las 10 firmas IPS más desencadenadas de gravedad media (advertencia). Parte de este proceso necesita un análisis de los eventos y las reglas de los clientes. Estado del servicio Muestra dónde está instalado Host IPS y si se está ejecutando o no en sistemas gestionados.

18 Asignar un propietario de directiva Haga clic en el propietario de la directiva y seleccione otro propietario de la lista (no disponible para directivas predeterminadas o preconfiguradas).0 para ePolicy Orchestrator 4. se aplica la directiva predeterminada de esta categoría.. Duplicar una directiva Haga clic en Duplicar. si no desea que la directiva se herede desde el ascendiente.. Eliminar una directiva Haga clic en Eliminar (no disponible para directivas predeterminadas o preconfiguradas). Editar una directiva Haga clic en Editar (solo disponible para Mis valores predeterminados o directivas personalizadas). Importar directivas Haga clic en Importar. en la parte superior de la página Catálogo de directivas. todos los grupos a los que está actualmente aplicada heredan la directiva de esta categoría desde su ascendiente. Para un grupo o sistema seleccionado.. Ver una directiva Haga clic en Ver (solo disponible para McAfee Default o directivas preconfiguradas). haga clic en Aceptar. dé un nombre a la directiva y guárdela (un archivo XML) en la ubicación deseada. a continuación. Cambiar el nombre de una directiva Haga clic en Cambiar nombre y cambie el nombre de la directiva (no disponible para directivas predeterminadas o preconfiguradas). Haga lo siguiente. Guía del producto McAfee Host Intrusion Prevention 8. NOTA: cuando se elimina una directiva. cambie el nombre de la directiva y edite su configuración.Gestión de la protección Gestión de directivas Dónde encontrar directivas ePolicy Orchestrator proporciona dos ubicaciones para ver y administrar directivas de Host Intrusion Prevention: la ficha Directivas (ficha Sistemas | Árbol de sistemas | Directivas para un grupo seleccionado en el Árbol de sistemas) y la ficha Catálogo de directivas (Sistemas | Catálogo de directivas). a continuación. póngale un nombre y edite las opciones. Si elimina una directiva que está aplicada en el nivel superior. Exportar todas las directivas Haga clic en Exportar todas las directivas. Antes de eliminar una directiva. a continuación. use la ficha Directivas para: • Ver directivas de una función concreta del producto • Ver detalles de la directiva • Ver la información de herencia • Editar la asignación de directivas • Editar las directivas personalizadas Utilice la ficha Catálogo de directivas para: • Crear directivas • Ver y editar la información de la directiva • Ver dónde está asignada una directiva • Ver la configuración y el propietario de una directiva • Ver las asignaciones en las que se ha desactivado la aplicación de directivas Para. Crear una directiva Haga clic en Nueva directiva. examine todos los sistemas a los que está asignada y asigne una directiva distinta.0 . seleccione el archivo XML de la directiva y. dé un nombre a la directiva y guarde el archivo XML correspondiente en la ubicación deseada.. Exportar una directiva Haga clic en Exportar.

• Cambie las directivas de protección IPS o de las reglas de Firewall predeterminadas. Configuración de directivas Después de instalar el software Host Intrusion Prevention. Edite la directiva y haga clic en Guardar. haga clic en ? en la interfaz. reduzca el nivel de gravedad. que proporcionan niveles crecientes de la protección preestablecida. Puede hacerlo en el Catálogo de directivas o desde una página de directivas. consulte la documentación de ePolicy Orchestrator. defina su configuración de seguridad de Host Intrusion Prevention. Se muestra la directiva duplicada. McAfee recomienda configurar las directivas para proporcionar el máximo nivel de seguridad sin entrar en conflicto con las actividades diarias. Cambio de la asignación de directivas Utilice esta tarea para cambiar la asignación de directivas de Host Intrusion Prevention para un grupo o un único sistema del árbol de sistemas de ePolicy Orchestrator. • Configure los paneles para ver un resumen rápido de conformidad y asuntos. • Realice una de las acciones siguientes desde el Catálogo de directivas: • Haga clic en el botón Nueva directiva. Por ejemplo. copie una existente y dé un nombre a la nueva copia. Tarea Para ver las definiciones de las opciones. • Modifique los niveles de gravedad de firmas específicas. Creación de nuevas directivas Para crear una nueva directiva. Escriba el nombre de la nueva directiva y haga clic en Aceptar. • Configure notificaciones para alertar a usuarios específicos cuando se produzcan eventos concretos. • Haga clic en el enlace Duplicar para una directiva. se puede enviar una notificación cuando una actividad que activa un evento de gravedad alta se produce en un servidor concreto. Para ajustar las directivas para que se adapten a su situación concreta. escriba el nombre de la nueva directiva y haga clic en Aceptar. a continuación. Por ejemplo. en la página de directivas. se recomienda lo siguiente: • Con cuidado. haga clic en el botón Duplicar. haga clic en ? en la interfaz.Gestión de la protección Gestión de directivas Para obtener más detalles sobre alguna de estas funciones. • Siga uno de estos procedimientos: Guía del producto McAfee Host Intrusion Prevention 8. Seleccione la directiva de la que quiera realizar una copia.0 para ePolicy Orchestrator 4. • Haga clic en el enlace Ver o Editar de una directiva y. cuando una firma se activa por el trabajo cotidiano de los usuarios. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al más amplio conjunto de entornos de cliente y pueden satisfacer sus necesidades. Tarea Para ver las definiciones de las opciones.0 19 . Evalúe quiénes son los encargados de configurar partes concretas del sistema y concédales los permisos adecuados. Escriba el nombre de la nueva directiva y haga clic en Aceptar.

Protección predeterminada Host Intrusion Prevention se entrega con un conjunto de directivas predeterminadas que proporcionan protección básica para su entorno. cambie de directivas IPS predeterminadas a directivas preestablecidas más estrictas o cree directivas personalizadas. las aplicaciones de confianza y las redes de confianza. seleccione un grupo y. Los ajustes implican ajustar la protección de prevención de intrusos y el acceso a la información requerida y a las aplicaciones por tipo de grupo. • Aplique el modo de adaptación para las directivas IPS y Firewall. a continuación. • Para un sistema.0 . • Si estas reglas funcionan correctamente al prevenir falsos positivos. vaya a Sistemas | Árbol del sistema. Se crean reglas de cliente de forma automática para permitir la actividad legítima. • Supervise los efectos de las excepciones nuevas. • Revisión de la lista de reglas de clientes. Tanto la protección IPS como por firewall están desactivadas de forma predeterminada y se tienen que activar para permitir que se implementen las directivas de reglas predeterminadas. • Para la protección por firewall. supervise los eventos para encontrar falsos positivos y cree excepciones o aplicaciones de confianza para evitar que esos eventos se vuelvan a producir.0 para ePolicy Orchestrator 4. seleccione un grupo que contenga el sistema y. • En el modo de adaptación. seleccione el sistema y seleccione Más acciones | Modificar directivas en un único sistema. en la ficha Directivas. 20 Guía del producto McAfee Host Intrusion Prevention 8. vaya a Sistemas | Árbol del sistema. Para obtener protección avanzada. haga clic en Editar asignación.Gestión de la protección Gestión de directivas • Para un grupo. Ajuste manual El ajuste manual necesita un seguimiento directo durante un periodo de tiempo establecido de los eventos y las reglas de clientes que se creen. a continuación. Empiece con un despliegue de muestra para supervisar y ajustar las nuevas configuraciones. en la ficha Sistema . excepto para vulnerabilidades malintencionadas. supervise el tráfico de red y agregue redes de confianza para permitir el tráfico de red adecuado. haga que estas excepciones formen parte de una directiva nueva o existente. Esto permite una mayor protección a través de las configuraciones personalizadas que se obtienen con el ajuste manual o automático. • Para obtener protección IPS. • Aplique la nueva directiva a un conjunto de equipos y supervise los resultados. Ajuste automático El ajuste automático elimina la necesidad de supervisar constantemente todos los eventos y actividades de todos los usuarios. Protección predeterminada y ajustes Host Intrusion Prevention trabaja con directivas predeterminadas para la protección básica. no se producen eventos IPS y no se bloquea la actividad. • Repita este proceso con cada tipo de grupo de producción. mantener el tráfico de red a un nivel mínimo y permitir la actividad legítima.

• Instale los clientes. • Agrupe los clientes de forma lógica. La ficha Eventos muestra todos los eventos de IPS en host. Una vez que se ha ajustado el despliegue. • Repita este proceso con cada tipo de grupo de producción. puede agrupar los clientes según su ubicación geográfica. comienza a ajustar el despliegue. Puede navegar por los detalles de un evento. como el proceso que desencadena el evento. Para analizar los datos de eventos. Además. cuándo se ha generando el evento y qué cliente lo ha generado. incluidos NIPS. Mediante el análisis de estos datos. excepciones y reglas de cliente creadas en el despliegue inicial. Debería comenzar a ver los eventos desencadenados por actividad de los clientes. Los clientes se pueden agrupar según cualquier criterio que se ajuste a la jerarquía del árbol de sistemas. en ciertos informes y en datos de eventos generados por las actividades del cliente. Utilice Guía del producto McAfee Host Intrusion Prevention 8. agregarlas para encontrar las reglas más habituales y moverlas directamente a una directiva para su aplicación en otros clientes. las reglas de cliente y la configuración de Host Intrusion Prevention. • Supervise el grupo de prueba durante unos días para asegurarse de que la configuración de la directiva es adecuada y ofrece la protección deseada. consulte las fichas Reglas de cliente IPS y Reglas de firewall para cliente. Las directivas nuevas con reglas actualizadas se pueden insertar más tarde desde el servidor. Clientes y planificación del despligue El cliente de Host Intrusion Prevention es el componente esencial que proporciona protección. vea la ficha Eventos de la ficha IPS en host en Informes. • Establezca una convención de nomenclatura para los clientes. Para analizar las reglas de cliente. McAfee recomienda establecer una convención de nomenclatura para los clientes que resulte fácil de interpretar para las personas que trabajen en el despliegue de Host Intrusion Prevention. se recomienda un método por fases: • Determine el plan de despliegue de clientes inicial. su función en la empresa o las características del sistema. Puede ver las reglas que se crean. desactive el modo de adaptación. Si ha colocado clientes en el modo de adaptación. En el despliegue de clientes. Los clientes pueden tomar los nombres de los hosts en los que se instalan. • Al cabo de unas cuantas semanas. el despliegue habrá finalizado. Por ejemplo. Los clientes se pueden instalar con un conjunto predeterminado de directivas de IPS y Firewall. Analice el evento y realice la acción adecuada para ajustar el despliegue de Host Intrusion Prevention para proporcionar mejores respuestas a los ataques. McAfee recomienda empezar con la instalación de clientes en un número limitado de sistemas representativos y ajustar su configuración. o bien se puede asignar un nombre de cliente específico durante la instalación.0 para ePolicy Orchestrator 4.Gestión de la protección Gestión de directivas • Promocione las reglas de cliente apropiadas para las reglas de directivas administrativas. debería ver las reglas de cliente que indican las reglas de bloqueo y excepción de cliente que se crean. Aunque se pueden desplegar clientes de Host Intrusion Prevention en cada host (servidores.0 21 . Los clientes se identifican por su nombre en el árbol de sistemas. se pueden desplegar más clientes y aprovechar las directivas. Datos de clientes y lo que le dicen Después de haber instalado y agrupado los clientes. las intrusiones de Firewall y los eventos de bloqueo de TrustedSource. equipos de sobremesa y equipos portátiles) de su empresa. el módulo Informes de ePolicy Orchestrator proporciona informes detallados basados en los eventos.

pero evitar su uso en el departamento de finanzas. Host Intrusion Prevention permite escoger cualquiera. Esto permite a los clientes disponer de tiempo suficiente para detectar todas las actividades que detectarían normalmente. puede crear una configuración de ajuste para ellos.Gestión de la protección Gestión de directivas estas consultas para comunicar actividades del entorno a otros miembros de su equipo y a la dirección de la empresa. que es un conjunto de criterios con acciones asociadas. como copias de seguridad o procesamiento de secuencias de comandos. Al finalizar el ajuste. Por ejemplo. puede permitir el uso de la mensajería instantánea en las organizaciones de asistencia técnica. el firewall comprueba su lista de reglas de firewall. Este modo primero analiza los eventos en busca de los ataques más dañinos. A continuación. • Ejecute los clientes en modo de adaptación durante una semana como mínimo.0 . Intente llevar a cabo esta operación en los momentos de actividad planificada. desactive el modo de adaptación para obtener una mayor protección de prevención de intrusiones en el sistema. todas o ninguna de las reglas de cliente y convertirlas en directivas impuestas por el servidor. 22 Guía del producto McAfee Host Intrusion Prevention 8. El modo de adaptación lo hace de forma automática sin la interacción del usuario. Este modo permite a los equipos crear reglas de excepción de cliente en las directivas administrativas. el firewall realiza la acción especificada por la regla: permite que el paquete pase por el firewall o lo bloquea. mientras la directiva sigue evitando esta actividad en otros sistemas. como el desbordamiento del búfer. Si un paquete cumple con todos los criterios de una regla. pero no en otras. haga que estas excepciones formen parte de una directiva impuesta por el servidor relativa al grupo de ingeniería. Preguntas frecuentes: modo de adaptación El modo de adaptación es una configuración que puede aplicar a las funciones de IPS y firewall cuando pruebe el despliegue de nuevas directivas. Permite que el cliente de Host Intrusion Prevention cree de forma automática reglas para permitir la actividad al mismo tiempo que se preserva una protección mínima de las vulnerabilidades. Las siguientes preguntas y respuestas deberían ayudarle a utilizar esta función. • Es posible que necesite aplicaciones de software para negocios normales en algunas áreas de la empresa. Modo de adaptación Un elemento fundamental en el proceso de ajuste incluye colocar clientes Host Intrusion Prevention en el modo de adaptación para IPS y Firewall. pero ciertos sistemas de los grupos de ingeniería necesitan realizar este tipo de tareas. A continuación. una directiva puede considerar que cierto procesamiento de secuencias de comandos constituye un comportamiento ilegal. se crean reglas de excepción de cliente. Las excepciones son actividades que se distinguen como comportamiento inofensivo. Al configurar clientes representativos en modo de adaptación. Si la actividad se considera normal y necesaria para la empresa.0 para ePolicy Orchestrator 4. A medida que revisa cada paquete que se recibe o se envía. se generan eventos IPS y se crean excepciones. Por ejemplo. El firewall analiza todo el tráfico entrante y saliente a nivel del paquete. Permita que se creen excepciones para esos sistemas a fin de que puedan funcionar con normalidad. Puede establecer la aplicación como de confianza en los sistemas de asistencia técnica para permitir el acceso completo a la misma por parte de los usuarios. • A medida que se detectan las actividades. • La función firewall actúa como filtro entre un equipo y la red o Internet.

• Protocolo ICMP (Internet Control Message Protocol). como el protocolo FTP (file transfer protocol) o Telnet. es poco probable que la actividad empresarial normal requiera una excepción automatizada). • Los paquetes TCP (Transmission Control Protocol) hacia el puerto 139 (NetBIOS SSN) o el 445 (MSDS). • ICMP entrante o saliente en el sistema operativo Microsoft Windows Vista. Con el firewall: • No hay aplicación asociada con el paquete cuando se examina en el registro de actividad del cliente. que pueden ser necesarios para compartir archivos de Windows. y solo se basan en la ruta. el modo de adaptación crea reglas del lado cliente que son excepciones a las firmas IPS existentes. Las reglas de firewall para cliente se crean según el proceso y los procesos asociados con las reglas de firewall para clientes se basan en una ruta. como una solicitud de eco. sea cual sea la configuración de la regla de cliente para el servicio de protección automática en una firma 1000. el proceso y la firma. en una directiva Reglas IPS aplicada. • El proceso asociado con la acción es de confianza para IPS en una directiva Aplicaciones de confianza aplicada y la firma no está excluida de las Aplicaciones de confianza. Estas firmas se ajustan para detectar y evitar las amenazas más graves contra su sistema. ¿En qué se diferencia el funcionamiento del modo de adaptación con IPS o con firewall? Con IPS.Gestión de la protección Gestión de directivas ¿Cómo se activa el modo de adaptación? El modo de adaptación se activa al activar esta opción en la directiva Opciones de IPS o la directiva Opciones de firewall y al aplicar esta directiva al cliente de Host Intrusion Prevention. • La directiva de reglas de firewall aplicada tiene un grupo con reconocimiento de ubicación con el aislamiento de la conexión activado. • Un usuario intenta detener el servicio IPS en host de McAfee. ni protocolo UDP (User Datagram Protocol) ni ICMP. • Los paquetes IPsec (Internet Protocol Security) asociados con las soluciones de cliente de las redes privadas virtuales. el modo de adaptación crea reglas del lado cliente que permiten que los paquetes de red no estén cubiertos por las reglas de firewall existentes. Las excepciones de cliente IPS se crean según el usuario. una descripción de archivo. ¿En qué caso no se crea una regla de forma automática con el modo de adaptación? Con IPS: • La firma en la directiva de reglas IPS efectivas no permite la creación de una regla de cliente. una firma digital y el hash MD5. que excluye la operación en cuestión. • La acción asociada activa una firma IPS de red. • Ya existe una excepción. • La reacción a la firma es "Ignorar". una tarjeta de interfaz de red (NIC) activa que coincide con el grupo y se recibe o se envía el paquete en una NIC que no coincide con el grupo. por lo tanto. Algunos de los ejemplos más comunes son: • Solicitudes entrantes para servicios que no están en ejecución. Guía del producto McAfee Host Intrusion Prevention 8. (Esta configuración es estándar para las firmas IPS de más gravedad. • El paquete no es TCP. Con firewall.0 para ePolicy Orchestrator 4. • Ya existe una regla en la directiva de reglas de firewall aplicada que permite o bloquea el paquete.0 23 .

debe asignar también la directiva Mis reglas IPS predeterminadas en una configuración de múltiples instancias de directivas.0. pero 24 Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. • Las directivas de reglas de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8.0 al formato de la versión 8. • Las directivas de reglas de bloqueo de aplicaciones se migran a directivas de Reglas IPS denominadas de interceptación de aplicaciones y protección contra invocación <nombre> [6. NOTA: las aplicaciones que tienen bloqueada la interceptación en las directivas de reglas de bloqueo de aplicaciones no se migran y deben agregarse manualmente a las reglas de protección de aplicaciones en la directiva Reglas IPS tras la migración. Una vez que se haya migrado la directiva.0.1] o [7. • Las reglas de cliente IPS y las reglas de cliente de firewall no se migran.0). debe crear una excepción para esa aplicación en una firma 6010 (Protección genérica de interceptación de aplicaciones) en una directiva Reglas de IPS en host para conservar la protección de interceptación de aplicaciones.0 de McAfee Host Intrusion Prevention con los clientes de la versión 8. Esta migración implica la traducción y migración de directivas.0). ya que contiene la lista más reciente de protección de aplicaciones a través de actualizaciones de contenido.0 correspondiente del catálogo de directivas con [6. Host Intrusion Prevention 8. y la lista Excepciones contiene las excepciones para todas las aplicaciones de confianza predeterminadas establecidas en "De confianza para interceptación de aplicaciones". si migra una directiva de aplicaciones de confianza marcada como "De confianza para la interceptación de aplicaciones" en la versión 8.0 sin primero migrar las directivas de la versión 6. Una vez migradas estas directivas a directivas de Reglas IPS.0] después del nombre de la directiva. ¿Hay otras limitaciones? • IPS podría no detectar el usuario asociado con algunas reglas de cliente (se muestra como "dominio desconocido/usuario desconocido" en la regla de cliente en ePolicy Orchestrator).1 ó 7.0 . Para usar esta directiva migrada.0] (estas directivas se han quitado de la versión 8. excepto para lo siguiente: • Las directivas de opciones de bloqueo de aplicaciones no se migran (estas directivas se han quitado de la versión 8. la asignación no se sustituye. NOTA: las asignaciones de directivas se transfieren durante la migración.0). Todas las directivas se traducen y migran a las directivas correspondientes de la versión 8.0.1 ó 7. pero se aplican a todos los usuarios. Migración de directivas de Host IPS No se pueden usar las directivas de la versión 6. esta aparece en la función y categoría del producto Host IPS 8.1 ó 7. su lista Reglas de protección de aplicaciones queda en blanco. Asimismo.0).0 proporciona una manera fácil de migrar directivas con la función Migración de directivas de Host IPS de ePolicy Orchestrator en Automatización. Aún se pueden crear excepciones con estas reglas de cliente.Gestión de la protección Gestión de directivas • Hay más de un usuario registrado en el sistema o no hay ningún usuario registrado en el sistema. • Algunas conexiones TCP entrantes como el escritorio remoto o el protocolo HTTP (Hypertext Transfer Protocol) en Secure Sockets Layer (HTTPS) podrían necesitar varios intentos para crear una regla de firewall. Si se interrumpe la herencia en una ubicación concreta del Árbol de sistemas. • Las directivas de opciones de cuarentena de firewall no se migran (estas directivas se han quitado de la versión 8.

0 25 . haga clic en Migrar.1/7. hágalo migrándolas mediante un archivo xml. Todas las versiones 6.1 ó 7.0 únicas a formato xml.0 no está instalada y previamente ha exportado directivas únicas seleccionadas a un archivo xml.0 para ePolicy Orchestrator 4.Gestión de la protección Gestión del sistema la herencia podría interrumpirse en otros puntos del Árbol de sistemas. Entre estas se incluye la definición de permisos de usuario.1 ó 7.0 de IPS.0 y aparecen con [6. haga clic en Aceptar.0 exportados previamente y. Gestión del sistema Como parte de la gestión del despliegue de Host Intrusion Prevention. haga clic en Cerrar. Todos los permisos para todos los productos y funciones se asignan automáticamente Guía del producto McAfee Host Intrusion Prevention 8. Si quiere migrar directivas de forma selectiva.1] o [7.0.1/7. Migración de directivas mediante un archivo xml Si la extensión Host Intrusion Prevention 6. Revise siempre la asignación de directivas después de migrar las directivas. mígrelas mediante el proceso de archivos xml. NOTA: al ejecutar la migración de directivas una segunda vez. Migración de directivas de forma directa Tras instalar la extensión Host Intrusion Prevention 8.1/7.0 existentes. tiene que realizar tareas del sistema ocasionales. cuando las asignaciones migradas están fusionadas. Se puede asignar uno o varios conjuntos de permisos.1 ó 7. importar los archivos xml migrados al catálogo de directivas de ePO. Conjuntos de permisos de IPS en host Un conjunto de permisos es un grupo de permisos concedidos a una cuenta de usuario para productos específicos o funciones de un producto. convertir los contenidos del archivo xml a las directivas Host Intrusion Prevention de las versiones 8. 2 En Acción para directivas de Host IPS 6. a continuación. si quiere migrar de forma selectiva las directivas de la versión 6. 5 Importe el archivo xml en el catálogo de directivas de ePO. 2 En Acción para directivas de Host IPS 6.0 en lugar de todas las directivas a la vez.0 del catálogo de directivas ePO. El archivo xml se ha convertido al formato de las directivas de la versión 8. 1 Haga clic en Automatización | Migración de directivas de Host IPS. notificaciones y actualizaciones del contenido. Este proceso no es selectivo porque se migran todas las directivas 6.1 o 7. la manera más fácil de migrar todas las directivas existentes es migrarlas directamente. 3 Cuando se haya completado la migración de directivas.0 y. 4 Haga clic con el botón derecho en el enlace del archivo convertido MigratedPolicies.1/7. después. tareas de servidor.xml y guárdelo para importarlo. 1 Haga clic en Automatización | Migración de directivas de Host IPS.0. El proceso implica que primero se tienen que exportar directivas Host Intrusion Prevention 6. 3 Seleccione los archivos xml de la versión de Host IPS 6. Firewall y la función general de directivas se convierten a la versión 8. o.0 en un archivo xml. haga clic en Migrar. se sustituyen todas las directivas del mismo nombre que se hayan migrado previamente.0] detrás del nombre.

como consultas y paneles. solo ver configuración o ver y cambiar configuración.Gestión de la protección Gestión del sistema a administradores globales. solo ver configuración o ver y cambiar configuración. solo ver configuración o ver y cambiar configuración. consulte la documentación de ePolicy Orchestrator. Registro de eventos Tareas del servidor de IPS en host Tareas servidor Paquetes de IPS en host en el repositorio Software Notificaciones de IPS en host Notificaciones Para obtener más información acerca de los conjuntos de permisos. consultas Consultas de IPS en host Consultas Reglas de cliente y eventos de cliente de IPS en host Sistemas. acceso al Árbol de sistemas. un usuario necesita los permisos de vista para acceder al registro de eventos. Por ejemplo. en Informes. para ver las reglas de firewall para clientes.. Con Host Intrusion Prevention. en Informes. el usuario debe tener permiso para la función Firewall en el conjunto de permisos de Host 26 Guía del producto McAfee Host Intrusion Prevention 8. Asignación de conjuntos de permisos Esta tarea permite asignar permisos a las funciones de Host Intrusion Prevention del servidor ePO. Las configuraciones de permisos solo otorgan permisos. Los administradores globales pueden asignar conjuntos de permisos existentes al crear o modificar una cuenta de usuario y al crear o modificar conjuntos de permisos. Antes de empezar Determine las funciones de Host Intrusion Prevention a las que quiere dar acceso y los conjuntos de permisos adicionales que se tienen que asignar para acceder a todos los aspectos de la función de Host Intrusion Prevention.. y los permisos de vista y de cambio para la función de Firewall de Host Intrusion Prevention. Esto es aplicable tanto a las páginas de directivas de Host Intrusion Prevention como a las páginas de reglas para clientes y eventos de Host Intrusion Prevention. Firewall Ninguno. para analizar y gestionar las reglas de firewall para clientes encontradas en las páginas de IPS en host. Los administradores globales deben otorgar los permisos de IPS en host a los conjuntos de permisos existentes o crear conjuntos de permisos y añadirlos allí. IPS Ninguno. Para esta función de IPS en host. nunca quitan un permiso. La extensión de Host Intrusion Prevention agrega una sección de Host Intrusion Prevention a los conjuntos de permisos sin aplicar ningún permiso. los permisos de vista para sistemas. El administrador global también necesita dar permisos de ePolicy Orchestrator para encargarse de otras áreas que funcionan con Host Intrusion Prevention. General Ninguno.0 .0 para ePolicy Orchestrator 4. se otorgan permisos para acceder a cada función del producto y si el usuario tiene permiso de lectura o de lectura/escritura. Tabla 3: Permisos necesarios para trabajar con varias funciones Para estas funciones de IPS en host Se necesitan los siguientes conjuntos de permisos Paneles de IPS en host Paneles.. Están disponibles estos permisos. Por ejemplo.. los permisos de vista para acceder al árbol de sistemas.

consulte la documentación de ePolicy Orchestrator. consultas Consultas de IPS en host Consultas Tareas del servidor de IPS en host Host Intrusion Prevention proporciona varias tareas servidor preconfiguradas o configurables que puede definir para que se ejecuten en una planificación específica o de forma inmediata como parte del mantenimiento de la protección de Host Intrusion Prevention.Gestión de la protección Gestión del sistema Intrusion Prevention. a los sistemas y al árbol de sistemas Reglas IPS de cliente de IPS en host Host Intrusion Prevention: IPS. Esta tarea se ejecuta automáticamente cada 15 minutos y no requiere interacción del usuario. a los sistemas y al árbol de sistemas Paneles de IPS en host Panel. Para crear una tarea servidor personalizada. haga clic en ? en la interfaz.0 para ePolicy Orchestrator 4. 1 Vaya a Configuración | Conjuntos de permisos. acceso al registro de eventos. Tarea Para ver las definiciones de las opciones. 3 Seleccione el permiso deseado por cada función: • Ninguno • Ver solo la configuración • Ver y cambiar configuración 4 Haga clic en Guardar. acceso al registro de eventos. 2 Junto a Host Intrusion Prevention.0 27 . vaya a Automatización | Tareas servidor y haga clic en el comando adecuado en Acciones. Pero puede ejecutarla manualmente si necesita ver de forma inmediata los comentarios de las acciones de los clientes. Tabla 4: Tareas servidor preconfiguradas y personalizadas Tarea servidor Descripción Traductor de propiedades de IPS en host (preconfigurado) Esta tarea servidor traduce reglas de cliente de Host Intrusion Prevention almacenadas en las bases de datos de ePolicy Orchestrator para gestionar la clasificación. a los sistemas y al árbol de sistemas Reglas de firewall para cliente de IPS en host Host Intrusion Prevention: firewall. la agrupación y el filtrado de datos de Host Intrusion Prevention. de los sistemas y del acceso al árbol de sistemas. 5 Asigne otros conjuntos de permisos según sea necesario: Para esta función de IPS en host Asignar este conjunto de permisos Eventos de IPS en host Host Intrusion Prevention: IPS. Guía del producto McAfee Host Intrusion Prevention 8. Para obtener más información sobre el uso y la creación de tareas servidor. Para trabajar con una tarea servidor existente. acceso al registro de eventos. haga clic en Editar. haga clic en Nueva tarea y siga los pasos del asistente del Generador de tareas servidor. así como para el conjunto de permisos del registro de eventos. Puede crear tareas servidor personalizadas de Host Intrusion Prevention si hace clic en Nueva tarea y selecciona una o más propiedades de IPS en host en la ficha Acciones del Generador de tareas servidor.

0 para ePolicy Orchestrator 4. Guía del producto McAfee Host Intrusion Prevention 8. Ejecutar consulta (personalizada) Esta tarea servidor le permite crear una tarea personalizada para ejecutar consultas preconfiguradas de Host Intrusion Prevention en una planificación y un tiempo específicos. • Verifique que la dirección de correo electrónico del destinatario es en la que desea recibir los mensajes de correo electrónico. Seleccione una consulta de Eventos de IPS en host para purgarla del registro. Para obtener detalles completos. Antes de activar las reglas predeterminadas: • Especifique el servidor de correo electrónico desde el que se envían los mensajes de notificación. o ejecutar comandos externos cuando el servidor ePolicy Orchestrator reciba y procese eventos específicos. 4 Cree el mensaje que se va a enviar y el tipo de entrega. 2 Defina los filtros para la regla. Notificaciones de eventos de IPS en host Las notificaciones pueden advertirle de cualquier evento que se produzca en los sistemas de clientes de Host Intrusion Prevention. Seleccione el Contenido de IPS en host como tipo de paquete para obtener actualizaciones de contenido automáticas. se envía un mensaje de notificación. Puede configurar reglas para enviar correos electrónicos o capturas SNMP.Gestión de la protección Gestión del sistema Tarea servidor Descripción Extracción del repositorio (personalizada) Esta tarea servidor le permite crear tareas personalizadas para obtener paquetes del sitio de origen y colocarlos en el repositorio principal. consulte la documentación de ePolicy Orchestrator 4. cuando se producen eventos se envían al servidor de ePolicy Orchestrator.0 . Las reglas de notificación están asociadas al grupo o sitio que contiene los sistemas afectados y se aplican a los eventos. 3 Defina los umbrales para la regla. Reglas de notificación ePolicy Orchestrator proporciona reglas predeterminadas que puede activar para su uso inmediato. Si se cumplen las condiciones de una regla. Sugerencias sobre el uso de notificaciones En el entorno de Host Intrusion Prevention. o se ejecuta un comando externo. según especifique la regla. Purgar registro de eventos (personalizada) Esta tarea servidor le permite crear una tarea personalizada para purgar el registro de eventos basado en una consulta de Host Intrusion Prevention. Todas las reglas se crean de la misma manera: 28 1 Describa la regla.0. También puede configurar cuándo enviar mensajes de notificación mediante la definición de umbrales basados en agregación y regulación. Puede especificar las categorías de eventos que generan un mensaje de notificación y la frecuencia con la que se envían. Puede configurar reglas independientes en los distintos niveles del árbol del sistema.

se crea una regla para identificar solo una firma IPS. A continuación. el contenido más reciente disponible aparece en la consola de ePO. El proceso básico incluye la incorporación del paquete de actualización al repositorio principal de ePO y. Las versiones posteriores admiten siempre el contenido nuevo. por lo tanto. los comandos de este paquete se extraen y se ejecutan. el envío de la información actualizada a los clientes. a continuación. las actualizaciones de contenido contienen mayoritariamente información nueva o modificaciones mínimas de la información existente. Host Intrusion Prevention admite la especificación de un único ID de firma de IPS como nombre de la amenaza o de la regla en la configuración de reglas de notificación. Como estas actualizaciones se producen en la directiva McAfee Default. esta nueva información de contenido se pasa a los clientes en la siguiente comunicación entre el servidor y el agente. la versión del paquete se compara con la versión de la información de contenido más reciente de la base de datos. Este paquete contiene información sobre la versión del contenido y comandos de actualización. estas directivas tienen que estar asignadas tanto por Reglas IPS como por Aplicaciones de confianza para poder aprovechar la protección actualizada. Las actualizaciones incluyen datos asociados con la directiva Reglas IPS (firmas IPS y reglas de protección de aplicaciones) y la directiva Aplicaciones de confianza (aplicaciones de confianza).Gestión de la protección Gestión del sistema Categorías de notificaciones Host Intrusion Prevention admite las siguientes categorías de notificaciones de productos específicos: • Intrusión en host detectada y gestionada • Intrusión de red detectada y gestionada • Desconocido Parámetros de las notificaciones Las notificaciones solo se pueden configurar para todas o para ninguna de las firmas de IPS en host (o de red).0 para ePolicy Orchestrator 4. Los clientes Guía del producto McAfee Host Intrusion Prevention 8. Las asignaciones específicas de los parámetros de Host Intrusion Prevention permitidos en el asunto/cuerpo de un mensaje incluyen: Parámetros Valores de los eventos IPS en host y de red Nombres de amenazas reales o reglas ID de firma Sistemas de origen Dirección IP remota Objetos afectados Nombre del proceso Hora de envío de la notificación Hora del incidente ID del evento Asignación ePO del ID del evento Información adicional Nombre de la firma localizado (del equipo del cliente) Actualizaciones de protección de IPS en host Host Intrusion Prevention admite varias versiones de contenido y código de los clientes. Al asociar internamente el atributo ID de la firma de un evento con el nombre de la amenaza. Un paquete de actualización de contenido gestiona las actualizaciones. Si el paquete es más nuevo. Al incorporarlo.0 29 .

Incorporación manual de paquetes Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. el origen del paquete (McAfeeHttp o McAfeeFtp). 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. 3 Seleccione Extracción del repositorio como tipo de tarea. Anterior. Evaluación) y un paquete seleccionado (Contenido de Host Intrusion Prevention) y. a continuación. 5 Compruebe la información y. Aparecerá la página Opciones de paquete. Puede descargar un paquete de actualización e incorporarlo manualmente si no quiere utilizar una tarea de extracción automática. haga clic en Incorporar paquete. la rama que recibe el paquete (Actual. y haga clic en Siguiente . Tarea 1 Vaya a Software | Repositorio principal y. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention.0 para ePolicy Orchestrator 4. Guía del producto McAfee Host Intrusion Prevention 8. a continuación. 4 Seleccione la rama en la que desea instalar el paquete y haga clic en Guardar. Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio principal. haga clic en Guardar. 3 Seleccione el tipo de paquete y la ubicación. haga clic en Siguiente. Actualizaciones de contenido de HIP y. El paquete aparecerá en la ficha Repositorio principal. SUGERENCIA: asigne siempre la directiva Reglas IPS de McAfee Default y la directiva Aplicaciones de confianza de McAfee Default para beneficiarse de cualquier actualización de contenido. 2 Vaya a Software | Repositorio principal y. a continuación.Gestión de la protección Gestión del sistema obtienen las actualizaciones únicamente mediante comunicaciones con el servidor ePO y no directamente a través de los protocolos FTP o HTTP. haga clic en Siguiente. Incorporación de paquetes de actualizaciones Puede crear una tarea de extracción de ePO que incorpore automáticamente los paquetes de actualización de contenido al repositorio principal. la modificación no se sustituye por una actualización porque la configuración modificada de estas directivas tiene prioridad sobre la configuración predeterminada. Si modifica estas directivas predeterminadas. a continuación. por ejemplo. 2 Dé un nombre a la tarea. lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention. Tarea 30 1 Descargue el archivo de McAfeeHttp o McAfeeFtp. a continuación.0 . haga clic en Extracción de horario.

Tarea 1 Vaya a Sistemas | Árbol de sistemas | Tareas del cliente. 4 Planifique la tarea según sus preferencias y haga clic en Siguiente. Tarea • Haga clic con el botón derecho en el icono de McAfee Agent de la bandeja del sistema y seleccione Actualizar ahora. a continuación. a continuación. haga clic en Guardar. y se extraerán y aplicarán las actualizaciones de contenido al cliente.0 para ePolicy Orchestrator 4. Aparecerá el cuadro de diálogo Progreso de actualización automática de McAfee.0 31 .Gestión de la protección Gestión del sistema Actualización de clientes con contenido Una vez incorporado el paquete de actualización al repositorio principal. a continuación. Actualización de contenido desde el cliente Un cliente también puede pedir actualizaciones a demanda si el icono de McAfee Agent aparece en la barra de estado del sistema del equipo del cliente. seleccione el grupo al que desea enviar las actualizaciones del contenido y haga clic en Nueva tarea. seleccione Actualizar (McAfee Agent) como el tipo de tarea y. haga clic en Siguiente. 5 Revise los detalles y. seleccione Contenido de Host Intrusion Prevention y. haga clic en Siguiente. 2 Dé un nombre a la tarea. 3 Seleccione Paquetes seleccionados. Guía del producto McAfee Host Intrusion Prevention 8. puede enviar las actualizaciones al cliente mediante la programación de una tarea de actualización o el envío de una llamada de activación de agente para que se actualice inmediatamente.

Host Intrusion Prevention determina qué proceso está utilizando una llamada. ignorar. y al aplicar opciones específicas para los sistemas Windows. Protección IPS: indica al sistema cómo tiene que reaccionar (bloquear. baja). el contexto de seguridad en el que se ejecuta el proceso y los recursos a los que se accede. que describen qué procesos proteger. 32 Guía del producto McAfee Host Intrusion Prevention 8. Directivas disponibles Existen tres directivas IPS: Opciones de IPS: permite la protección IPS al activar y desactivar la protección IPS del host y de la red. que anulan las firmas que bloquean la actividad legítima. y las reglas de protección de aplicaciones. Contenido Resumen de directivas IPS Activar la protección IPS Configuración de la reacción para firmas IPS Definición de protección de IPS Supervisión de eventos IPS Supervisión de reglas de cliente IPS Resumen de directivas IPS La función IPS (Intrusion Prevention System) controla todas las comunicaciones del sistema (nivel kernel) y API (nivel de usuario) y bloquea las que podrían resultar en actividades dañinas. media.Configuración de directivas IPS Las directivas IPS activan y desactivan la protección de Host Intrusion Prevention. Un controlador de kernel que recibe entradas redireccionadas en la tabla de llamadas del sistema de modo de usuario supervisa la cadena de llamadas del sistema. La protección también procede de excepciones. Cuando se realiza una llamada.0 . establecen el nivel de reacción frente a eventos y proporcionan protección a través de la aplicación de excepciones. Este método híbrido detecta la mayoría de ataques conocidos. firmas y reglas de protección de aplicaciones. Las excepciones.0 para ePolicy Orchestrator 4. y las reglas de protección de aplicaciones. bloquear o registrar una acción. Reglas IPS: define una protección IPS mediante la aplicación y análisis de firmas y de comportamiento para proteger contra ataques zero-day y conocidos. que anulan las firmas que bloquean la actividad legítima. así como ataques zero-day o ataques anteriormente desconocidos. La protección IPS se mantiene actualizada con actualizaciones de contenido mensuales que contienen firmas nuevas y revisadas y reglas de protección de aplicaciones. registrar) cuando no se producen firmas de una gravedad específica (alta. el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas según comportamiento para determinar si permitir.

La estrategia del blindaje funciona para evitar accesos. Debido a que el procesador evita el acceso directo a las funciones a nivel de kernel. la desfiguración de páginas web. los programas de nivel de usuario usan llamadas de sistema. el contexto de seguridad en el que se ejecuta el proceso y el recurso al que se accede. bloquear o registrar una acción. Determina qué proceso usa una llamada. Cuando una aplicación solicitud un archivo. datos. configuraciones de registro y servicios. datos. Al igual que la directiva Aplicaciones de confianza.0 33 . Guía del producto McAfee Host Intrusion Prevention 8. a archivos de aplicación. La estrategia de la envoltura funciona para evitar que las aplicaciones obtengan acceso a archivos. que comprueba la solicitud con su conjunto de reglas de firma y de comportamiento para determinar si bloquear o permitir la solicitud. Motor HTTP para servidores web Host Intrusion Prevention le ofrece protección contra ataques dirigidos a aplicaciones y sistemas web con el motor de protección HTTP. se dirige al controlador Host Intrusion Prevention. Las llamadas de sistema exponen todas las funcionalidades de kernel que los programas de nivel de usuario requieren. Cuando se realiza una llamada. el controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de reglas de comportamiento para determinar si permitir. complementan las firmas. desde vulnerabilidades de seguridad exteriores a su envoltura de funcionamiento.Configuración de directivas IPS Resumen de directivas IPS que indican qué procesos proteger. a las conexiones de red y a la memoria compartida. Las actualizaciones de contenido proporcionan firmas nuevas y actualizadas y reglas de protección de aplicaciones para mantener la protección en curso. El motor de protección HTTP se instala entre la descripción SSL del servidor web y el elemento descodificador que convierte las solicitudes en texto sin formato. configuraciones de registro y servicios fuera de su campo de aplicación. Host Intrusion Prevention se introduce en la cadena de llamadas de sistema al instalar un controlador a nivel de kernel y al redirigir las entradas en la tabla de llamadas del sistema. Métodos para la entrega de protección IPS El blindaje y la envoltura. Ofrece protección mediante el análisis del flujo HTTP que llega a una aplicación y que coincide con las solicitud HTTP entrantes. y el motor del servidor web. Esto garantiza que el motor de Host Intrusion Prevention verá las solicitudes en texto sin formato y bloqueará las solicitudes malintencionadas antes de que se procesen. la interceptación de llamadas de sistema y la instalación de motores y controladores específicos son los métodos usados para entregar protección IPS. Las firmas HTTP evitan los ataques transversales de directorio y Unicode. que permiten la comunicación entre los modos de usuario y de kernel. Interceptación de llamadas de sistema Host Intrusion Prevention supervisa todas las llamadas de sistema y de API y bloquea la actividad malintencionada. Un controlador de kernel de Host Intrusion Prevention que recibe entradas redireccionadas en la tabla de llamadas del sistema de nivel de usuario supervisa la cadena de llamadas del sistema. esta categoría de directivas puede contener varias instancias de directiva. usando una tabla de llamadas de sistema. Blindaje y envoltura Host Intrusion Prevention usa las firmas de blindaje y envoltura para proteger contra ataques. Los programas de nivel de usuario usan la funcionalidad proporcionada por el kernel para acceder a las unidades de disco. el robo de datos y el pirateo de servidores. y se implementan dentro del sistema operativo.0 para ePolicy Orchestrator 4.

Examina todas las solicitudes SQL y bloquea las que pudieran iniciar un evento. estaciones de trabajo o portátiles. • Evitan los ataques internos o el uso indebido de dispositivos ubicados en el mismo segmento de la red.0 para ePolicy Orchestrator 4. Firmas del IPS en host La protección de Host Intrusion Prevention se encuentra en sistemas individuales. el cliente lo puede bloquear en la conexión del segmento de red o puede emitir comandos para detener el comportamiento iniciado por el ataque. Por ejemplo. y examina el comportamiento de las aplicaciones y el sistema operativo para buscar ataques.Configuración de directivas IPS Resumen de directivas IPS Motor SQL para servidores SQL Host Intrusion Prevention protege contra ataques a servidores de base de datos con su motor de inspección SQL. validez de la consulta y otros parámetros. Firmas Las firmas son una recopilación de reglas de prevención de intrusiones que se pueden hacer corresponder con una secuencia de tráfico. La mayoría de las firmas protegen todo el sistema operativo. Además. se lleva a cabo una acción. que se instala entre las bibliotecas de red de la base de datos y el motor de la base de datos. implementan envoltura de base de datos para asegurarse de que la base de datos funcione dentro de un perfil de comportamiento. Al detectar un ataque. por ejemplo. El cliente de Host Intrusion Prevention inspecciona el tráfico que entra y sale de un sistema. • Protegen los equipos portátiles cuando se encuentran fuera de la red protegida. servidores Web como Apache e IIS. Estas firmas: • Protegen frente a un ataque y los resultados de un ataque. Las firmas de base de datos SQL ofrecen la protección principal ofrecida por las firmas normales y agregan reglas específicas de interceptación y protección de bases de datos. localización del origen de la consulta. • Protegen de los ataques locales introducidos por CD o dispositivos USB. Por ejemplo. como servidores. estos ataques se centran en aumentar los privilegios del usuario a “raíz” o “administrador” para dañar otros sistemas de la red. 34 Guía del producto McAfee Host Intrusion Prevention 8. Las firmas de base de datos SQL implementan blindaje de bases de datos para proteger los archivos de datos. se impide el desbordamiento del búfer al bloquear los programas malintencionados insertados en el espacio de direcciones que aprovecha un ataque. una firma podría buscar una cadena específica en una solicitud HTTP. Se examina cada consulta para ver si coincide con alguna firma conocida de ataque. Las firmas se diseñan para aplicaciones y sistemas operativos específicos. Si una cadena coincide con un ataque conocido. los servicios y los recursos de la base de datos.0 . Estas reglas proporcionan protección contra los ataques conocidos. A menudo. Las reglas de protección SQL se diferencian por usuario. mientras que algunas protegen aplicaciones específicas. El motor SQL de IPS en host intercepta las consultas entrantes de la base de datos antes de que las procese el motor de la base de datos. si está bien formada y si hay signos claros de inyección SQL. evitan que un programa escriba en un archivo. por ejemplo. • Proporcionan una última línea de defensa contra los ataques que han eludido otras herramientas de seguridad. La instalación de programas de puerta trasera (back door) con aplicaciones como Internet Explorer se bloquea al interceptar y denegar el comando “write file” (escribir archivo) de la aplicación.

se descartan o se bloquean los datos infractores que pasan por el sistema. Se examinan todos los flujos entre el sistema protegido y el resto de la red para un ataque. Estas firmas: • Protegen los sistemas secundarios en un segmento de red.0 para ePolicy Orchestrator 4. y evita que las aplicaciones se usen para atacar otras aplicaciones.0 35 . o agregar firmas personalizadas a la lista.Configuración de directivas IPS Resumen de directivas IPS • Ofrecen protección frente a ataques en los que la secuencia de datos codificados finaliza en el sistema protegido al examinar el comportamiento y los datos descifrados. Host Intrusion Prevention contiene una larga lista predeterminada de firmas de IPS en host para todas las plataformas. Puede editar el nivel de gravedad. Firmas IPS de red La protección IPS de red también se encuentra ubicada en sistemas individuales. • Protegen los servidores y los sistemas que se conectan a ellos. Si cualquier otro proceso intenta acceder a los archivos HTML. Las reglas de comportamiento heurísticas definen un perfil de actividad legítima. Puede editar el nivel de gravedad. • Ofrecen protección frente a ataques de denegación de servicio de red y ataques orientados al ancho de banda que deniegan o degradan el tráfico de red. • Protegen sistemas en arquitecturas de red obsoletas o no habituales como Token Ring o FDDI. Reacciones Una reacción es lo que hace el cliente Host Intrusion Prevention cuando se activa una firma con una gravedad específica. uno de los métodos más comunes para atacar servidores y equipos de sobremesa. las reglas de comportamiento previenen los ataques de desbordamiento de búfer y evitan ejecuciones de código derivadas de un ataque de desbordamiento de búfer. el estado de registro y la configuración de creación de reglas de cliente de estas firmas. Además. Cuando se identifica un ataque. El cliente reacciona de una de estas tres maneras: • Ignorar: no hay ninguna reacción. evita poner en peligro aplicaciones y datos. Guía del producto McAfee Host Intrusion Prevention 8. La actividad que no coincide con estas reglas se considera sospechosa y activa una respuesta. pero en este momento no puede agregar firmas personalizadas a la lista. Reglas de comportamiento Las reglas basadas en el comportamiento bloquean los ataques de tipo zero-day y garantizan el comportamiento apropiado de sistemas operativos y aplicaciones. • Registrar: el evento se registra pero no se impide la operación. Este tipo de protección. Host Intrusion Prevention contiene una lista predeterminada de un número pequeño de firmas de IPS de red para plataformas Windows. Por ejemplo. llamada blindaje y envoltura de aplicación. se llevará a cabo una acción. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido. el estado de registro y la configuración de creación de reglas de cliente de estas firmas. • Evitar: el evento se registra y se impide la operación. una regla de comportamiento puede indicar que solo un proceso de servidor web puede acceder a los archivos HTML. el evento no se registra y la operación no se impide. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de contenido.

Los clientes de Host Intrusion Prevention contienen un conjunto de reglas de firma IPS que determinan si las actividades que se realizan en un equipo son inofensivas o dañinas. NOTA: se puede permitir directamente el registro en cada firma. si es necesario. La protección contra el desbordamiento del búfer es genérica para Host Intrusion Prevention y se puede aplicar a cualquier proceso interceptado. registrar o evitar la actividad. una excepción podría indicar que se omita una operación para un cliente en concreto. Reglas de protección de aplicaciones Las reglas de protección de aplicaciones proporcionan protección para listas de procesos definidas y generadas contra desbordamientos del búfer. El nivel de protección establecido para firmas en la directiva Protección IPS determina las acciones adoptadas por un cliente al producirse un evento. el comportamiento que una firma define como un ataque podría ser parte de la rutina de trabajo habitual de un usuario o una actividad que está permitida para una aplicación protegida. Cuando se detectan actividades dañinas. La directiva IPS incluye una lista predeterminada de reglas de protección de aplicaciones para las plataformas Windows. Para asegurar que algunas firmas no se omiten nunca. edite la firma y desactive las opciones de Permitir reglas del cliente. al permitir la interceptación de API a nivel de usuario. En algunos casos. Excepciones Una excepción anula una actividad bloqueada por la reacción a una firma.Configuración de directivas IPS Resumen de directivas IPS Una directiva de seguridad podría indicar. La directiva Protección IPS define automáticamente la reacción para los niveles de gravedad de firma. en Informes. y que cuando reconoce una firma de gravedad alta impide la operación. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que pueden aplicarse a otros clientes. Puede crear estas excepciones manualmente o colocar clientes en modo de adaptación y permitirles crear reglas de excepción de cliente. Esta lista se actualiza. Por ejemplo. Los administradores pueden crear excepciones manualmente en cualquier momento. siempre que instala una actualización de contenido. denominadas reglas de cliente. puede crear una excepción que permita las actividades legítimas. se envían alertas denominadas eventos al servidor de ePO y aparecen en la ficha IPS en host. Para omitir esta firma. Puede hacer un seguimiento de las excepciones en la consola de ePolicy Orchestrator y mostrarlas en vistas normales. Las reacciones incluyen omitir. filtradas y agregadas.0 para ePolicy Orchestrator 4. Supervisar los eventos y las reglas de excepción del cliente ayuda a determinar cómo ajustar la implementación para lograr una protección IPS más efectiva. que cuando un cliente reconoce una firma de gravedad baja registra la incidencia de esa firma y permite que se produzca la operación. 36 Guía del producto McAfee Host Intrusion Prevention 8.0 . si ha activado la opción Incluir automáticamente aplicaciones para red y basadas en servicio en la directiva Opciones de IPS. por ejemplo. Puede agregar automáticamente aplicaciones para red y basadas en servicio a esta lista. Los eventos de actividades inofensivas que resultan ser falsos positivos se pueden anular mediante la creación de una excepción a la regla de firma o mediante la calificación de aplicaciones como de confianza. Los clientes en modo de adaptación crean excepciones automáticamente.

NOTA: el cliente de Host Intrusion Prevention agrega eventos para que no se envíen todos los eventos al servidor ePO. NOTA: este control también está disponible directamente en el cliente. NOTA: estos controles también están disponibles directamente en el cliente. pueden ajustar las reacciones a eventos o crear excepciones o reglas de aplicaciones de confianza para reducir el número de eventos y ajustar la configuración de protección. según el número de minutos indicado. Úsela solo temporalmente cuando esté afinando un despliegue. en el que los clientes crean reglas de excepción automáticamente para permitir el comportamiento bloqueado. Así se evita que numerosos eventos que ocurren en menos de 20 segundos se envíen de manera repetida al servidor.0 para ePolicy Orchestrator 4. Los administradores pueden ver todos los eventos en la ficha IPS en host. ya sea de forma automática en el modo de adaptación o manualmente en un cliente Windows cuando se aplique esta directiva. Activar la protección IPS La directiva Opciones de IPS determina cómo se aplica la protección de IPS. • Bloquear automáticamente los intrusos de la red: seleccione esta opción para bloquear el tráfico de entrada y salida en un host hasta que se quite manualmente de una lista de bloqueos en un cliente. Para todas las plataformas Estas opciones están disponibles para clientes en todas las plataformas: • Host IPS activado: selecciónela para activar la protección de IPS por medio de la aplicación de reglas IPS de Host IPS. Esta opción está disponible de manera independiente de la aplicación de las reglas IPS en host. Si un evento vuelve a suceder tras 20 segundos. Los administradores pueden ver y supervisar estos eventos para analizar infracciones de reglas del sistema. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas de excepción creadas en el cliente. Solo está disponible si IPS de red está activado. Los eventos se registran en la ficha Eventos de la ficha IPS en host.0 37 . Solo para plataformas Windows Estas opciones están disponibles para clientes solo en plataformas Windows: • IPS de red activado: seleccione esta opción para aplicar reglas IPS de red. • Conservar los hosts bloqueados: selecciónela para permitir que un cliente bloquee un host (dirección IP) hasta que se definan los parámetros de "Bloquear automáticamente los Guía del producto McAfee Host Intrusion Prevention 8.Configuración de directivas IPS Activar la protección IPS Eventos Se generan eventos IPS cuando un cliente reacciona a una firma activada. en Informes. NOTA: este control también está disponible directamente en el cliente. en Informes. Después. en la consola ePO del sistema del cliente. • Modo de adaptación activado (las reglas se aprenden automáticamente): selecciónela para activar el modo de adaptación. se informa del evento adicional. Ofrece opciones para plataformas Windows y no Windows.

2 En la lista de directivas Opciones IPS. a diferencia de las versiones anteriores del producto. basada en la directiva McAfee Default. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. haga los cambios que sean necesarios. Configuración de la directiva de opciones IPS Configure las opciones de esta directiva para activar o desactivar la protección IPS y aplicar el modo de adaptación. el administrador de Host Intrusion Prevention deberá activar primero las opciones IPS en host e IPS de red en esta directiva.0 para ePolicy Orchestrator 4. Si no se selecciona. puede crear. duplicar. Para las directivas no editables. haga clic en Guardar.0 . otras opciones incluyen: cambiar nombre. incluyendo el estado. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección de IPS en host y de IPS de red está desactivada. a continuación. volver a nombrar. Tarea Para ver las definiciones de las opciones. el host se bloquea hasta la siguiente aplicación de la directiva. • Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones: seleccione esta opción para permitir a un cliente agregar automáticamente aplicaciones de alto riesgo a la lista de aplicaciones protegidas de la directiva Reglas IPS.Configuración de directivas IPS Activar la protección IPS intrusos de la red". NOTA: Para las directivas editables. borrar y exportar directivas personalizadas. Se muestra la lista de directivas. duplicar. haga clic en ? en la interfaz. y después aplicar la directiva a los sistemas del cliente. • Protección IPS de inicio activada: selecciónela para aplicar un conjunto codificado de reglas de protección de archivos y de registro hasta que el servicio Host IPS se haya iniciado en el cliente. Puede ver y duplicar directivas preconfiguradas. La protección IPS en los sistemas del cliente no es automática. y. y se seleccionan estas opciones para aplicarse cuando la protección de IPS se activa: • Bloquear automáticamente los intrusos de red durante 10 minutos (solo Windows) • Conservar los hosts bloqueados (solo Windows) • Conservar las reglas de cliente SUGERENCIA: para activar la protección IPS en los sistemas del cliente. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. 1 Vaya a Sistemas | Catálogo de directivas y seleccione Host Intrusion Prevention:IPS en la lista Producto y Opciones IPS en la lista Categorías. editar. Guía del producto McAfee Host Intrusion Prevention 8. las opciones incluyen visualizar y duplicar. el inicio y la configuración IPS de red. eliminar y exportar. 3 38 En la página Opciones IPS que aparece.

Protección mejorada Evitar las firmas con una gravedad alta y media y omitir el resto. Las directivas preconfiguradas incluyen: Tabla 5: Directivas Protección IPS Nombre Función Protección básica (McAfee Default) Evitar las firmas con una gravedad alta y omitir el resto. registrar las que tienen una gravedad media y omitir el resto. Por ejemplo.Configuración de directivas IPS Configuración de la reacción para firmas IPS Configuración de la reacción para firmas IPS La directiva Protección IPS define la reacción protectora para los niveles de gravedad de firma. así como en los servidores Web y SQL. registrar las que tienen una gravedad baja y omitir el resto. Los eventos de este nivel se dan durante la actividad normal del sistema y. no son de comportamiento. Preparación para protección mejorada Evitar las firmas con gravedad alta. se aumenta la seguridad del sistema subyacente. Preparación para protección máxima Evitar las firmas con una gravedad alta y media. Evite estas firmas en todos los sistemas. pero es necesario realizar ajustes adicionales. duplicar. por lo general. Estos niveles de gravedad indican peligro potencial para un sistema y le permiten definir reacciones específicas para distintos niveles de daño potencial. Guía del producto McAfee Host Intrusion Prevention 8. Puede ver y duplicar directivas preconfiguradas. Si se evitan estas firmas.0 para ePolicy Orchestrator 4. media y baja y registrar el resto. volver a nombrar. borrar y exportar directivas personalizadas. si es poco probable que la actividad sospechosa cause daños. Cada firma tiene uno de los cuatro niveles de gravedad: • Alto: firmas de amenazas de seguridad o acciones dañinas claramente identificables.0 39 . puede establecer evitar como reacción. puede crear. Evite estas firmas en los sistemas más importantes. Protección máxima Evitar las firmas con una gravedad alta. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. Advertencia Registrar las firmas con una gravedad alta y omitir el resto. por lo general. Selecciones de directiva La categoría de directivas incluye seis directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. no demuestran un ataque. puede seleccionar ignorar como reacción. Estas firmas son específicas para amenazas bien identificadas y. • Medio : firmas de actividades relacionadas con el comportamiento en las que las aplicaciones funcionan fuera de su ámbito. basada en la directiva McAfee Default. Cuando es probable que una actividad sea peligrosa. editar. • Bajo: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema están bloqueados y no se pueden modificar. • Información: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema se modifican y que pueden indicar un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Puede modificar estos niveles de gravedad y las reacciones para todas las firmas.

Puede ver y duplicar la directiva preconfigurada. duplicar. duplicar. NOTA: para las directivas editables. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. También puede asignar más de una instancia de la directiva para unir varias reglas de directiva. Tarea Para ver las definiciones de las opciones. puede editar. Para las directivas no editables. Cada directiva Reglas IPS incluye detalles configurables de: • Firmas • Reglas de protección de aplicaciones • Reglas de excepción Tambien necesita ir a la página Host IPS. eliminar y exportar. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Protección IPS en la lista Categoría. Configuración de la directiva Reglas IPS Configure las opciones de esta directiva para definir firmas. Tarea Para ver las definiciones de las opciones. para trabajar con: • Eventos IPS • Reglas IPS de cliente Selecciones de directiva Esta categoría de directiva contiene una directiva predeterminanda preconfigurada que proporciona protección IPS básica. haga los cambios que sean necesarios y. a continuación. haga clic en ? en la interfaz. en Informes.0 para ePolicy Orchestrator 4. borrar y exportar las directivas personalizadas que haya creado. haga clic en ? en la interfaz. 2 En la lista de directivas Protección IPS que aparece. Definición de protección de IPS Las directivas de reglas IPS aplican las protecciones de prevención de intrusión. Esta directiva es una directiva de instancia múltiple que puede tener asignadas varias instancias.0 . las opciones incluyen visualizar y duplicar.Configuración de directivas IPS Definición de protección de IPS Configuración de la directiva Protección IPS Configure las opciones de esta directiva para establecer las reacciones protectoras para firmas de un nivel de gravedad concreto. volver a nombrar. 3 En la página Protección IPS que aparece. otras opciones incluyen cambiar nombre. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. haga clic en Guardar. 40 Guía del producto McAfee Host Intrusion Prevention 8. reglas de protección de aplicaciones y excepciones.

0 para ePolicy Orchestrator 4. Consulte Configuración de firmas IPS. 2 En la lista de directivas Reglas IPS. seleccione Host Intrusion Prevention 8. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva. y para Reglas IPS/Aplicaciones de confianza. 3 En la página Reglas IPS que aparece. haga los cambios que sean necesarios y. 3 En la página Asignación de directiva. Se muestra la lista de directivas. 2 En Directivas. Cuando asigna instancias múltiples. La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia.Configuración de directivas IPS Definición de protección de IPS 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría.0: IPS/General en la lista Producto. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas. las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS. haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva.0 41 . haga clic en Editar asignaciones. McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible. las opciones incluyen visualizar y duplicar. haga clic en ? en la interfaz. eliminar y exportar. Para las directivas que tienen instancias múltiples. una directiva de servidor y una directiva IIS. a continuación. está asignando una unión de todos los elementos de cada instancia de la directiva. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido. NOTA: para las directivas editables. en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema. Para las directivas no editables. Configuración de las reglas de protección de aplicaciones IPS y Configuración de las excepciones IPS para obtener más detalles. Una directiva de varias instancias puede ser útil para un servidor IIS. por ejemplo. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas. haga clic en Ver Directiva efectiva. duplicar. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. Guía del producto McAfee Host Intrusion Prevention 8. otras opciones incluyen: cambiar nombre. seleccione un grupo del Árbol de sistemas que contenga el sistema y. Tarea Para ver las definiciones de las opciones. haga clic en Guardar. a continuación. donde puede aplicar una directiva general predeterminada. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. 4 Haga clic en Guardar para guardar todos los cambios. NOTA: para un sistema único.

Información. proteja los recursos. Las versiones de McAfee Default de estas directivas se actualizan cada vez que se actualiza el contenido de seguridad Host Intrusion Prevention. Después de esto. IPS en host tiene reglas para gestionar estos conflictos al establecer la directiva efectiva total. servidores) puede tener un conjunto único de aplicaciones que necesite protección pero que también pueda realizar funciones empresariales esenciales. Todas las otras directivas son directivas de instancia única. Desactivada. Para las reglas IPS: • La gravedad efectiva para una firma es la gravedad personalizada más alta. Baja. se aplica el valor predeterminado. La prioridad es: Alta. Puede utilizar el modo de adaptación para determinar qué recursos proteger o en cuáles confiar para un grupo dado. Si se personaliza en dos o más directivas Reglas IPS aplicadas. Si no se personaliza la gravedad.0 para ePolicy Orchestrator 4.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: directivas de instancias múltiples Host Intrusion Prevention ofrece dos directivas de instancias múltiples: Reglas IPS y Aplicaciones de confianza. Sin una directiva de reglas IPS de instancias múltiples. Esta propiedad podría estar basada en: • Departamento: cada departamento debería requerir protección de un conjunto único de recursos y excepciones para un conjunto único de actividades empresariales. y cree excepciones y aplicaciones de confianza para cada grupo. las reglas de cliente 42 Guía del producto McAfee Host Intrusion Prevention 8. Por esta razón. estaciones de trabajo. una para una ubicación concreta y una para un tipo de equipo concreto) y aplique la instancia adecuada. Si no se personaliza el estado de registro. • La configuración de reglas de cliente efectivas de una firma es la configuración personalizada. el resultado es una unión de todas las instancias llamada la directiva efectiva. se aplica el valor predeterminado. ¿Cómo puedo utilizar la asignación de la directiva de instancias múltiples para simplificar mi despliegue? Primero. • Tipo de equipo: cada tipo de equipo (equipo portátil. Media. • Ubicación: cada ubicación puede tener sus propios estándares de seguridad únicos o un conjunto único de recursos que necesiten protección y excepciones para la actividad empresarial. Estas directivas permiten la aplicación de más de una directiva de forma simultánea en un único cliente. ¿Cómo se calcula la directiva efectiva? Es posible que una regla de una instancia tenga una configuración que contradiga la de la misma regla en otra instancia de la directiva. Pero las reglas en las diferentes directivas asignadas se contradicen. Si se personalizan en dos o más directivas Reglas IPS aplicadas. • El estado de registro efectivo de una firma es el estado de registro personalizado. A continuación. el estado de registro personalizado activado tiene prioridad sobre el desactivado. tres ubicaciones y tres tipos de equipo serían necesarias 27 directivas. una combinación de tres departamentos. cree instancias de reglas IPS y directivas de aplicaciones de confianza para cada grupo de usuarios (una directiva de reglas IPS para un departamento concreto. Cuando se aplica más de una instancia. siempre se tienen que asignar estas políticas a los clientes para comprobar que se aplican las actualizaciones del contenido de seguridad. se necesitan solo nueve.0 . con el enfoque de las instancias múltiples. defina grupos de usuarios para el despliegue que tengan una propiedad esencial en común que dicte qué recursos deben protegerse y qué recursos necesitan excepciones para trabajar correctamente.

las firmas basadas en host generan un evento IPS que aparece en la ficha Eventos de la ficha IPS en host.Configuración de directivas IPS Definición de protección de IPS personalizadas activadas tienen prioridad sobre las desactivadas. • El conjunto de excepciones efectivo es la unión de todas las excepciones aplicadas. Registro. Con los niveles de privilegios adecuados. Cómo funcionan las firmas de IPS Las firmas describen amenazas de seguridad. se aplica el valor predeterminado. El blindaje bloquea los recursos de sistema y aplicaciones para que no puedan cambiarse. metodologías de ataque e intrusiones en una red. por lo general. pero es necesario realizar ajustes adicionales. Firmas de Host IPS Las firmas de prevención de intrusión basadas en host detectan y evitan los ataques de actividad de las operaciones del sistema e incluyen las reglas Archivo.0 43 .0 para ePolicy Orchestrator 4. se aumenta la seguridad del sistema subyacente. • Medio: firmas más relacionadas con el comportamiento y que evitan el funcionamiento de las aplicaciones fuera de su entorno (relevante para clientes que protegen servidores Web y Microsoft SQL Server 2000). Si no se personaliza la configuración de las reglas de cliente. Guía del producto McAfee Host Intrusion Prevention 8. Están desarrolladas por los expertos en seguridad de Host Intrusion Prevention y se proporcionan con el producto y con las actualizaciones del contenido. Servicio y HTTP. • Marcar una aplicación como de confianza para IPS o Firewall tiene prioridad. • Firmas IPS en red: firmas predeterminadas de prevención de intrusión de red. • Firmas de IPS personalizadas: firmas de Host Intrusion Prevention personalizadas creadas por el usuario. Si se evitan estas firmas. Los eventos de este nivel se dan durante la actividad normal del sistema y. un administrador puede modificar el nivel de gravedad de una firma. La mayoría de estas firmas son específicas para amenazas bien identificadas y. que describe el peligro potencial de un ataque: • Alto: firmas que protegen frente a amenazas de seguridad o acciones dañinas claramente identificables. • Información: indica una modificación en la configuración del sistema que puede crear un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. por lo general. Tipos de firmas La directiva Reglas IPS puede incluir tres tipos de firmas: • Firmas de Host IPS: firmas predeterminadas de Host Intrusion Prevention. Para las aplicaciones de confianza: • El conjunto de aplicaciones de confianza es la unión de todas las aplicaciones de confianza. Cada firma tiene un nivel de gravedad predeterminado. Es conveniente prevenir estas firmas en los servidores importantes después del ajuste. no son de comportamiento. Deberían prevenirse en todos los hosts. incluso si la misma aplicación no está marcada como de confianza para esta función en otra directiva de aplicaciones de confianza asignada. no demuestran un ataque. • Bajo: firmas más relacionadas con el comportamiento y que protegen las aplicaciones. Cada firma tiene una descripción y un nivel de gravedad predeterminado. en Informes. Al activarse.

Se puede revertir la configuración predeterminada de las firmas Guía del producto McAfee Host Intrusion Prevention 8. por ejemplo. haga clic en Editar para hacer los cambios en la página Reglas IPS y. no puede especificar atributos de parámetros adicionales. haga clic en ? en la interfaz. puede modificar la configuración del Nivel de gravedad.. Los eventos generados por firmas basadas en red se muestran junto con los eventos basados en host en la ficha Eventos y presentan el mismo comportamiento que los eventos basados en host. haga clic en la ficha Firmas. haga clic en Editar. Cada firma tiene una descripción y un nivel de gravedad predeterminado. Para trabajar con firmas. Puede crear excepciones para firmas basadas en red. agregue firmas personalizadas y mueva firmas a otra directiva de la ficha Firmas de la directiva Reglas IPS. • 44 Si la firma es una firma predeterminada. Por ejemplo.. haga clic en la ficha Firmas en la directiva Reglas IPS. de las Reglas de cliente o del Estado de registro e introducir notas en el cuadro Nota para documentar el cambio. tipo. Con los niveles de privilegios adecuados. notas o versión de contenido de las firmas. Se muestra la lista de directivas. al crear una carpeta nueva con archivos importantes. si el cliente esta habilitado o texto concreto que incluya nombre. Los detalles avanzados contienen parámetros específicos de red que se pueden especificar... Tarea Para ver las definiciones de las opciones. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. Haga clic en Quitar para quitar la configuración del filtro. sin embargo. Buscar una firma en la lista Utilice los filtros situados en primera posición en la lista de firmas. NOTA: no puede crear firmas personalizadas basadas en la red. 2 En Acciones.0 para ePolicy Orchestrator 4. puede crear una firma personalizada para protegerla. estado de registro. Configuración de firmas IPS Edite firmas predeterminadas.0 . Haga lo siguiente. Firmas IPS de red Las firmas de prevención de intrusos basadas en red detectan y evitan los ataques de red conocidos que llegan al sistema host. 3 Realice una de las operaciones siguientes: Para. un administrador puede modificar el nivel de gravedad de una firma. Puede filtrar según gravedad de la firma. como el usuario del sistema operativo o el nombre del proceso. a continuación. direcciones IP. Haga clic en Aceptar para guardar las modificaciones. Aparecen en la misma lista de firmas que las firmas basadas en host. Editar una firma En Acciones.Configuración de directivas IPS Definición de protección de IPS Firmas de IPS personalizadas Las firmas personalizadas son firmas basadas en host que puede crear para ofrecer protección adicional a la protección predeterminada. plataforma.

seleccione Nueva subregla estándar o Nueva subregla de experto para crear una regla. Copiar una firma en otra directiva Seleccione la firma y haga clic en Copiar en para copiarla en otra directiva.. Creación de firmas personalizadas Cree firmas de prevención de intrusiones en host personalizadas desde la ficha Firmas de la directiva Reglas IPS para proteger operaciones específicas no cubiertas por firmas predeterminadas. Esta descripción aparece en el Evento IPS al activarse la firma.0 45 .. modifique la configuración del Nivel de gravedad. seleccione la configuración de los tres elementos editables y. haga clic en Aceptar . del Estado de registro o de la Descripción e introduzca notas en el cuadro Nota pata documentar el cambio. 4 Haga clic en Guardar para guardar los cambios. Eliminar una firma personalizada En Acciones. quizás tendrá que buscar en la lista para encontrar la firma editada. haga clic en Nueva. de las Reglas de cliente. seleccione la casilla para cambiar los valores predeterminados. Haga clic en Aceptar para guardar las modificaciones. NOTA: puede realizar cambios en varias firmas a la vez. introduzca una descripción de lo que va a proteger la firma. seleccionando las firmas y haciendo clic en Editar varias. haga clic en ? en la interfaz. Haga lo siguiente. 3 En la ficha Descripción. la firma vuelve a ordenarse en la lista. NOTA: puede copiar varias firmas a la vez seleccionando todas las firmas antes de hacer clic en Copiar en. Indique la directiva en la que desea copiar la firma y haga clic en Aceptar. • Si la firma es una firma personalizada. NOTA: cuando haya editado una firma y guardado los cambios.Configuración de directivas IPS Definición de protección de IPS Para.. Aparecerá una página Firma en blanco. haga clic en Eliminar. En la página que aparece. Guía del producto McAfee Host Intrusion Prevention 8. a continuación. 4 En la ficha Subreglas. Por ello. Agregar una firma Haga clic en Nueva o Nueva (Asistente). 2 En la ficha Firma IPS de la firma. predeterminadas haciendo clic en Revertir en Acciones.. escriba un nombre (obligatorio) y seleccione la plataforma. las reglas de cliente y el estado de registro. Tarea Para ver las definiciones de las opciones. el estado de registro y si se debe permitir la creación de reglas de cliente. 1 En la ficha Firmas de la directiva Reglas IPS. el nivel de gravedad.0 para ePolicy Orchestrator 4. NOTA: solo se pueden eliminar la firmas personalizadas. Para los niveles de gravedad.

Corrija el error y verifique la regla de nuevo. haga clic en Nueva (Asistente). 46 1 En la ficha Firmas de Reglas IPS. 2 2 Especifique la clase de operaciones que están bloqueadas y que van a activar la firma.0 . asegúrese de que entiende las reglas de sintaxis. Se ha compilado la regla y se ha verificado la sintaxis. cuál es y su valor. 4 En la ficha Definición de regla. el nivel de gravedad. HTTP. 2 En la ficha Información básica. Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla. Guía del producto McAfee Host Intrusion Prevention 8. Antes de escribir una regla. el estado de registro y si se debe permitir la creación de reglas de cliente. Programas. 3 Indique si desea incluir o excluir un parámetro en concreto. Si hay un error en la verificación de la regla. El método experto. haga clic en ? en la interfaz. identificación por huellas digitales hash MD5 o firmante. NOTA: puede incluir varias reglas en una firma. 1 Escriba un nombre para la firma (obligatorio) y seleccione un tipo de clase de regla. 3 En la ficha Descripción. Creación de firmas personalizadas con un asistente Utilice el asistente de firma personalizada para simplificar la creación de nuevas firmas. escriba un nombre y seleccione la plataforma. Las opciones incluyen: Archivos. Se ha compilado la regla y se ha verificado la sintaxis. consulte la sección de clase adecuada de Escritura de firmas personalizadas y excepciones. introduzca una descripción de lo que va a proteger la firma. 5 Haga clic en Aceptar y se agregará la regla a la lista en la parte superior de la ficha Subregla. 1 Escriba la sintaxis de la regla para las firmas. le permite proporcionar la sintaxis de las reglas sin limitarle al número de tipos que se pueden incluir en la firma. recomendado solo para usuarios avanzados. Interceptación. NOTA: las firmas que se crean con el asistente no tienen ninguna flexibilidad para las operaciones que la firma está protegiendo ya que no puede cambiar. aparecerá un cuadro de diálogo en el que se describe el error.0 para ePolicy Orchestrator 4. Haga clic en Siguiente para continuar. Corrija el error y verifique la regla de nuevo. Esta descripción aparece en el Evento IPS al activarse la firma. 4 Incluya un ejecutable como un parámetro con información sobre por lo menos uno de estos cuatro valores: descripción del archivo. Utilice el formato ANSI y la sintaxis TCL. operaciones y parámetros. agregar o borrar operaciones. Si hay un error en la verificación de la regla. aparecerá un cuadro de diálogo en el que se describe el error. Servicios y SQL. seleccione el elemento que desea proteger de las modificaciones e introduzca los detalles. nombre del archivo. Para obtener detalles sobre cómo trabajar con tipos de clases. que pueden incluir un nombre para la regla. Tarea Para ver las definiciones de las opciones. 5 Haga clic en Aceptar. 5 Haga clic en Aceptar. Registros.Configuración de directivas IPS Definición de protección de IPS Método estándar Método experto El método estándar limita el número de tipos que se pueden incluir en la regla de firma.

NOTA: para **.txt” ” } & (y comercial) Varios caracteres excepto / y \.txt” } ! (signo de exclamación) Escape de caracteres comodín. | (canalización) Escape de caracteres comodín. El enlace de Guía del producto McAfee Host Intrusion Prevention 8. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. el escape es |*|*. los ejecutables y las URL. Ejemplo: files { Include “C:\test\yahoo!.Configuración de directivas IPS Definición de protección de IPS Preguntas frecuentes: uso de caracteres comodín en las reglas IPS Las reglas IPS en host permiten el uso de caracteres comodín cuando se introducen valores en ciertos campos. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos. ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras. Ejemplo: files { Include “C:\*.0 para ePolicy Orchestrator 4. ¿Qué caracteres comodín puedo usar para los valores de subregla experta de firma? Para todos los valores cuando se crea una subregla mediante el método experto: Carácter Definición ? (signo de interrogación) Un solo carácter. * (un asterisco) Varios caracteres incluidos / y \. Estas reglas permiten o bloquean el enlace de API a nivel de usuario para listas definidas y generadas de procesos. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. las claves de registro.txt” } Cómo funcionan las reglas de protección de aplicaciones de IPS Las reglas de protección de aplicaciones controlan qué procesos reciben una protección contra desbordamiento de búfer genérica de Host Intrusion Prevention.0 47 . * (un asterisco) Varios caracteres excluidos / y \. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. Ejemplo: files { Include “C:\test\&. * (un asterisco) Varios caracteres incluidos / y \. | (canalización) Escape de caracteres comodín. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. ** (dos asteriscos) Varios caracteres incluidos / y \.

Solo los procesos que en la lista muestran el estado incluido reciben la protección contra desbordamiento de búfer. Esta opción incluye. • Cada vez que se inicia un proceso. Host Intrusion Prevention proporciona una lista estática de procesos que se permiten o bloquean. se bloquea el enlace y el proceso no se protege. Este análisis implica la comprobación de si el proceso está excluido de la lista Protección de aplicaciones. NOTA: para la actualización dinámica de la lista. 48 Guía del producto McAfee Host Intrusion Prevention 8. de manera implícita. • Cada vez que la lista de protección de la aplicación se actualiza mediante el servidor de ePolicy Orchestrator. Si no es así. Además. comprueba si se ha incluido en la lista Protección de aplicaciones. Si tampoco es así.0 para ePolicy Orchestrator 4.0 . el proceso se analiza para ver si escucha en un puerto de red o se ejecuta como un servicio. los procesos a los que se permite el enlace se agregan dinámicamente a la lista cuando el análisis del proceso está habilitado.Configuración de directivas IPS Definición de protección de IPS registro y archivos a nivel del kernel no se ve afectado. la opción "Incluir automáticamente aplicaciones para red y basadas en servicios en la lista de protección de aplicaciones" de la directiva Opciones de IPS debe estar seleccionada. Este análisis se realiza en estas circunstancias: • Cada vez que el cliente se inicia y se enumeran los procesos en ejecución. • Cada vez que la lista de procesos que escuchan en un puerto de red se actualiza. Esta lista se actualiza con actualizaciones de contenido que se aplican a la directiva Reglas IPS de McAfee Default. todos los servicios y las aplicaciones de Windows que escuchan en puertos de red. Si no está excluido.

Figura 1: Análisis de Reglas de protección de aplicaciones El componente de IPS mantiene un caché de información al ejecutar procesos. La API exportada por el componente IPS también permite a la interfaz del usuario de cliente obtener la lista de los procesos enlazados actualmente. la cual se actualiza siempre que un proceso se enlaza o desenlaza.0 para ePolicy Orchestrator 4. El componente de firewall determina si un proceso escucha en un puerto de red. se permite el enlace y se protege el proceso. que es la clave para que el caché busque un proceso. Un proceso enlazado se desenlaza si el servidor envía una lista Guía del producto McAfee Host Intrusion Prevention 8. El firewall proporciona el PID (ID del proceso). Este caché realiza el seguimiento de la información de enlazado. Los procesos que no estén ya enlazados y que no formen parte del bloqueo estático se enlazarán. Cuando se llama al API. el componente IPS localiza la entrada correspondiente en su lista de procesos en ejecución. llama a un API exportado por un componente IPS y pasa la información al API para que lo añada a la lista supervisada.Configuración de directivas IPS Definición de protección de IPS Si escucha en un puerto o se ejecuta como un servicio.0 49 .

Creación de reglas de protección de aplicaciones Si la directiva Reglas IPS no tiene una regla de protección de aplicaciones que necesite en su entorno. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. Se muestra la lista de directivas. NOTA: para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook. La interfaz de usuario de cliente. cada proceso enumerado en el caché de información de procesos en ejecución se compara con la lista actualizada. Si las listas indican que un proceso no debería estar enlazado y lo está. haga clic en la ficha Reglas de protección de aplicaciones..Configuración de directivas IPS Definición de protección de IPS de procesos actualizada que especifique que el proceso ya enlazado no debería seguir enlazado. muestra una lista estática de todos los procesos de aplicación enlazados. se procede a eliminar el enlace. Tarea Para ver las definiciones de las opciones. Cuando la lista de enlaces del proceso se actualiza. Haga clic en Quitar para quitar la configuración del filtro. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. haga clic en Editar para hacer los cambios en la página Reglas IPS y. Puede filtrar según el estado de la regla. se procede a enlazarlo. Editar una regla de aplicación En Acciones. La lista de enlazado de procesos puede verse y editarse en la ficha Reglas de protección de aplicaciones. la inclusión o un texto específico que incluya el nombre del proceso. 3 Realice una de las operaciones siguientes: Para. haga clic en ? en la interfaz. Buscar una regla de aplicación en la lista Utilice los filtros situados en primera posición en la lista de aplicaciones. Configuración de reglas de protección de aplicaciones de IPS Edite. Si la lista indica que un proceso debería estar enlazado y no lo está. la ruta o el nombre del equipo. Agregar una regla de aplicación Haga clic en Nueva. haga clic en Editar. puede crear una. Haga lo siguiente. a continuación. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar.. incluya el ejecutable en la lista de protección de aplicaciones. a diferencia de la vista de la directiva Reglas IPS. 2 En Acciones..0 para ePolicy Orchestrator 4. Eliminación de una regla de aplicación En Acciones.0 . agregue y elimine reglas. 4 Haga clic en Guardar para guardar los cambios.. Copiar una regla de aplicación en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva. 50 Guía del producto McAfee Host Intrusion Prevention 8. haga clic en Eliminar. y muévalas a otra directiva desde la ficha Reglas de protección de aplicaciones de Reglas IPS de la directiva Reglas IPS.

Cómo funcionan las excepciones de IPS A veces. En este ejemplo. puede agregar a la subregla de la firma personalizada el parámetro con la aplicación configurada como Excluir. agregue y elimine excepciones. haga clic en ? en la interfaz. guardar un archivo con Outlook.Configuración de directivas IPS Definición de protección de IPS Tarea Para ver las definiciones de las opciones.0 51 . 3 Haga clic en Guardar. por ejemplo. cambio de nombre o eliminación) de una carpeta concreta. podría sospechar que se ha instalado un troyano. si la regla de la aplicación se incluye en la lista de protección y los ejecutables a los que desea aplicar la regla. Aparecerá una página Aplicación en blanco. De manera alternativa. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall.0 para ePolicy Orchestrator 4. debe crear una excepción que permita esta acción. Esto se denomina alerta de falso positivo. Tarea Para ver las definiciones de las opciones.exe. haga clic en Editar. cree una excepción que permita que la aplicación realice dichos cambios en los archivos. y muévalas a otra directiva desde la ficha Excepciones de reglas IPS de la directiva Reglas IPS.Suspicious Executable Mod. si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico. Después de darle un nombre y guardar la nueva regla. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: IPS en la lista Producto y Reglas IPS en la lista Categoría. 1 En la ficha Reglas de protección de aplicaciones de la directiva Reglas IPS. pero desea que una aplicación específica pueda realizar dichas modificaciones. Notepad. minimizan el flujo de datos innecesarios hacia la consola y garantizan que las alertas sean amenazas de seguridad reales. SUGERENCIA: si crea una firma personalizada que evite la modificación de archivos (edición. Para evitar los falsos positivos. Esta firma indica que la aplicación de correo electrónico Outlook está intentando modificar una aplicación fuera del envoltorio de recursos habituales de Outlook. puesto que Outlook podría estar modificando una aplicación que normalmente no está asociada con el correo electrónico. un evento activado por esta firma es motivo de alarma. haga algo de lo siguiente: • Haga clic en Nueva. al realizar pruebas de los clientes. Para obtener más información sobre el catálogo. NOTA: puede agregar un ejecutable existente del catálogo de IPS en host al hacer clic en Agregar desde catálogo. un cliente reconoce la firma Outlook Envelope . Configuración de las excepciones IPS Edite.exe. Guía del producto McAfee Host Intrusion Prevention 8. No obstante. Por tanto. Las excepciones permiten reducir alertas de falsos positivos. haga clic en ? en la interfaz. por ejemplo. Por ejemplo. 2 • Seleccione una regla y haga clic en Duplicar. el estado. un comportamiento que se interpretaría como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. Introduzca el nombre (obligatorio). Se muestra la lista de directivas. cree una excepción para dicho comportamiento.

a continuación. si se detecta y se informa de ello al servidor ePO. a continuación. haga clic en ? en la interfaz.0 . Puede filtrar según estado de la regla. NOTA: cuando la misma operación activa dos eventos. los parámetros o los grupos de dominio que representan un papel como excepción según comportamiento para la firma. Agregar una regla de excepción Haga clic en Nueva.Configuración de directivas IPS Supervisión de eventos IPS 2 En Acciones. Haga clic en Quitar para quitar la configuración del filtro. Editar una regla de excepción En Acciones. en Informes. incluya las firmas en las que se aplique la excepción. Tarea Para ver las definiciones de las opciones. Eliminar una regla de excepción En Acciones. NOTA: puede copiar varias reglas a la vez seleccionando todas las reglas antes de hacer clic en Copiar en. Haga lo siguiente.. haga clic en Nueva. Creación de reglas de excepción Para permitir un comportamiento impedido por una firma. 3 Configure los ejecutables. 52 Guía del producto McAfee Host Intrusion Prevention 8. Buscar una regla de excepción en la lista Utilice los filtros situados en primera posición en la lista de excepciones. Indique la directiva en la que desea copiar la regla y haga clic en Aceptar.. cree una excepción para dicha firma..0 para ePolicy Orchestrator 4. haga clic en Editar. 4 Haga clic en Guardar para guardar los cambios. asegúrese de que está activada y. 2 Ponga nombre a la excepción. Baja e Información. haga clic en Eliminar. con uno de los cuatro criterios de nivel de seguridad: Alta. 1 En la ficha Reglas de excepción de la directiva Reglas IPS. Copiar una regla de excepción en otra directiva Seleccione la regla y haga clic en Copiar en para copiarla en otra directiva. fecha de modificación o texto específico que incluya regla o texto de notas. Supervisión de eventos IPS Un evento IPS se desencadena cuando se produce una infracción de la seguridad. según lo definido en una firma. Consulte Escritura de firmas personalizadas y excepciones para obtener más información sobre este tema.. El evento IPS aparece en la ficha Eventos de la ficha Host IPS (o en la ficha Registro de eventos. Media. se adopta la reacción de firma con el nivel más alto. 3 Realice una de las operaciones siguientes: Para. Esto puede implicar la definición de parámetros y valores de excepción. 4 Haga clic en Guardar. haga clic en la ficha Reglas de excepción. haga clic en Editar para hacer los cambios en la página Reglas IPS y. junto con los demás eventos del resto de productos gestionados por ePolicy Orchestrator).

Por ejemplo. reservado normalmente para aplicaciones de correo electrónico. y esta acción se detectaría mediante la firma TCP/IP Port 25 Activity (SMTP). Si el proceso no está asociado normalmente con el correo electrónico. investigue el proceso que inició el evento.0 53 .exe. puede tener sospechas razonables de que se trata de un troyano. el reconocimiento de esta firma podría indicar que alguien está intentando alterar el sistema. Cuando vea esta firma. un evento activado por esta firma es motivo de alarma. Por otra parte. Los piratas informáticos pueden instalar aplicaciones de troyanos que utilicen el puerto TCP/IP 25. La creación de excepciones y aplicaciones de confianza le permite disminuir las alertas de falsos positivos y garantiza que las notificaciones que recibe son importantes. como Notepad. La instalación de WinZip agrega un valor a la clave de registro Ejecutar. Filtrado y agregación de eventos La aplicación de eventos genera una lista de eventos que satisface todas las variables definidas en los criterios de filtro. Para eliminar el inicio de eventos cada vez que alguien instala software autorizado. El resultado es una lista de eventos mostrados en grupos y ordenados por el valor asociado con las variables seleccionadas. durante el proceso de prueba de clientes. Para permitir los eventos. Reacción a los eventos En algunas circunstancias. También puede indicar algo benigno. un comportamiento que se interprete como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. Si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico (por ejemplo.Configuración de directivas IPS Supervisión de eventos IPS De la lista de eventos generada. El resultado es una lista de eventos que incluye todos los criterios. Este proceso de ajuste mantiene en un nivel mínimo los eventos que aparecen. puede crear una regla de excepción o una regla de aplicación de confianza para dicho comportamiento. Guía del producto McAfee Host Intrusion Prevention 8. cree una excepción para este evento. La agregación de eventos de cliente genera una lista de eventos agrupados por el valor asociado con cada variable seleccionada en el cuadro de diálogo "Seleccionar columnas para agregar". puede determinar qué eventos pueden permitirse y cuáles indican un comportamiento sospechoso. Por ejemplo. también podría detectar que una serie de clientes activan los programas de inicio de las firmas. como la instalación de WinZip por parte de un empleado en uno de sus equipos. Cuando esto se produce. de forma que se dispone de más tiempo para analizar los eventos graves que se producen. Outlook).0 para ePolicy Orchestrator 4. también es posible que el tráfico normal del correo electrónico coincida con esta firma. lo cual indica que se modifica o se crea un valor en las claves del Registro siguientes: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce Dado que los valores almacenados bajo estas claves indican programas que se inician al encender el equipo. configure el sistema con lo siguiente: • Excepciones: reglas que anulan una regla de firma. Normalmente. es posible que algunos de ellos reconozcan la firma de acceso a correo electrónico. puede crear excepciones para dichos eventos. • Aplicaciones de confianza: aplicaciones que se marcan como de confianza cuyas operaciones podrían ser bloqueadas por una firma.

1 Vaya a Informes | Host IPS 8.. a continuación. Filtrar por criterios de eventos Seleccione un tipo de evento. Aparecerán todos los eventos asociados al grupo. Marcar como leído Marcar el evento como leído Marcar como no leído Marcar un evento leído como no leído Marcar como oculto Ocultar el evento Marcar como mostrado Mostrar los eventos ocultos. Para. Ordernar por columna Haga clic en el encabezamiento de la columna. o haga clic en Nueva aplicación de confianza para crear una regla de aplicación. agregue. oculto. Solo aparecerán los eventos de los últimos 30 días. haga clic en Eventos. haga clic en ? en la interfaz. Haga clic en Quitar para eliminar la configuración de agregación. Haga lo siguiente. nivel de gravedad o fecha de creación. Seleccione un evento y haga clic en Nueva excepción para crear una excepción. Aparece la página Registro de eventos... no se muestran todos los eventos. 2 Seleccione el grupo en el árbol de sistemas del que desea mostrar los eventos IPS. 3 Determine cómo desea ver la lista de eventos: 4 Para. sistemas y árbol de sistemas. NOTA: los eventos IPS también aparecen en la ficha Registro de eventos en Informes junto con todos los otros eventos para todos los sistemas. seleccione Solo este grupo o Este grupo y todos los subgrupos. De forma predeterminada...0 . haga clic en Aceptar. Cree una regla de excepción o de aplicación de confianza. Nota: debe filtrar primero por eventos ocultos para poder seleccionarlos.Configuración de directivas IPS Supervisión de eventos IPS Gestión de eventos IPS La visualización de eventos IPS procedentes de clientes y la creación de excepciones o aplicaciones de confianza de los mismos ayudan a ajustar y reforzar la seguridad. NOTA: el comando está en el menú Más acciones. Tarea Para ver las definiciones de las opciones.. incluidos los permisos de vista para acceder al registro de eventos. 5 54 Haga clic en. estado marcado (leído. no leído...0 para ePolicy Orchestrator 4. Marque los eventos para facilitar su filtrado y seguimiento: seleccione la casilla de uno o más eventos y después haga clic en el comando adecuado. Agregar excepciones Haga clic en Agregar. seleccione los criterios en los que desea agrupar los eventos y. El acceso a las fichas de eventos en Informes requiere configuraciones de permisos adicionales. Seleccionar las columnas que se han de mostrar Seleccione Opciones | Elegir columnas. Consulte Creación de una excepción a Guía del producto McAfee Host Intrusion Prevention 8. quite o reordene las columnas que se mostrarán.0 y. Haga clic en Quitar para quitar la configuración del filtro. Filtrar por grupos Desde el menú Filtro. Ver detalles del evento Haga clic en el evento. mostrado). En la página Seleccionar columnas. a continuación.

requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention. 1 Seleccione la casilla del evento para el que quiere crear una aplicación de confianza. o manualmente en el cliente que proporciona la opción directiva IU de cliente. mueva la excepción a una directiva Reglas IPS o ajuste la gravedad de la firma.Configuración de directivas IPS Supervisión de reglas de cliente IPS partir de un evento o Creación de una aplicación de confianza a partir de un evento para obtener detalles. tiene la opción de crear una aplicación de confianza. puede ver o editar los detalles de la nueva aplicación. NOTA: el comando está en el menú Acciones. haga clic en ? en la interfaz. NOTA: el comando está en el menú Más acciones. tiene la opción de crear una excepción.0 o en la página Registro de eventos. haga clic en ? en la interfaz. Preste especial atención a las excepciones de las firmas de gravedad alta. seleccione una directiva de destino Reglas IPS y haga clic en Aceptar. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host.0 para ePolicy Orchestrator 4. Las reglas de cliente IPS son excepciones creadas en un cliente para permitir una funcionalidad bloqueada por una firma. Desde aquí. 2 Haga clic en Nueva excepción. Creación de una aplicación de confianza de un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8. 1 Seleccione la casilla del evento para el que quiere crear una excepción. 3 En el cuadro de diálogo que aparece. 3 En el cuadro de diálogo que aparece. Guía del producto McAfee Host Intrusion Prevention 8. Si se trata de un falso positivo. Tarea Para ver las definiciones de las opciones. seleccione una directiva de destino de aplicaciones de confianza y haga clic en Aceptar. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Aplicaciones de confianza. Tarea Para ver las definiciones de las opciones. Se ha creado la excepción y se ha añadido de forma automática al final de la lista de excepciones de la directiva de destino Reglas IPS. ya que podrían indicar un problema grave o un falso positivo.0 55 . incluidos permisos de vista para acceder al registro de eventos. Creación de una excepción para un evento Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8.0 o en la página Registro de eventos. sistemas y árbol del sistema. Supervisión de reglas de cliente IPS Necesita analizar periódicamente las reglas de cliente IPS creadas automáticamente cuando los clientes están en modo de adaptación. en Informes. para permitir que la creación manual de reglas de cliente se habilite. 2 Haga clic en Nueva aplicación de confianza.

1 Vaya a Informes | Host IPS 8.. el nombre del equipo o la firma ID en el cuadro de texto de búsqueda y pulse Volver. Tarea Para ver las definiciones de las opciones. puede ascender algunas o todas las excepciones de clientes a una directiva Reglas IPS concreta para reducir los falsos positivos en un entorno del sistema concreto. Ordernar por columna Haga clic en el encabezamiento de la columna. 3 Determine cómo desea ver la lista de excepciones de cliente: 4 56 Para. requiere permisos adicionales diferentes que para IPS de Host Intrusion Prevention.. Haga clic en Quitar para quitar la configuración del filtro. seleccione los criterios a los que desea agregar las excepciones y. De este modo. Haga lo siguiente. Para mover excepciones a una directiva..0 para ePolicy Orchestrator 4. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente. haga clic en ? en la interfaz. NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host. Gestión de reglas de cliente IPS La visualización de las reglas de cliente IPS creadas automáticamente en el modo de adaptación o manualmente en un cliente y cómo moverlas a una directiva Reglas IPS o Aplicaciones de confianza permite un ajuste sencillo de la protección IPS. incluidos permisos de vista para acceder al registro de eventos. el nombre de usuario. al tiempo que se realiza un seguimiento del número de veces que se producen las excepciones. para que solo aparezca una excepción agregada. seleccione una o más excepciones de la lista.0 . sistemas y árbol del sistema. a continuación. haga clic en Crear excepción e indique la directiva a la que desea mover las excepciones. Filtrar por grupos Desde el menú Filtro seleccione Solo este grupo o Este grupo y todos los subgrupos..0 y haga clic en Reglas de cliente de IPS.Configuración de directivas IPS Supervisión de reglas de cliente IPS Puede ordenar. filtrar y agregar las excepciones y ver sus detalles. Haga clic en Quitar para eliminar la configuración de agregación. en Informes. Esto permite encontrar más fácilmente los puntos problemáticos de protección de IPS en los clientes. Filtrar por criterios de excepción Seleccione el criterio de tiempo. escriba la ruta del proceso. haga clic en Aceptar. Agregar excepciones Haga clic en Agregar. el nombre del proceso. Use la función de agregación para combinar excepciones que tengan los mismos atributos. Guía del producto McAfee Host Intrusion Prevention 8.

opciones de red. con las distintas opciones de red. todo el tráfico IP) o de manera estricta (por ejemplo. Bloqueo DNS de firewall: define un conjunto de patrones de nombre de dominio que pueden incluir caracteres comodín. un servicio o una aplicación. Directivas disponibles Existen tres directivas de firewall: Opciones de firewall: activa la protección de firewall. El filtrado con seguimiento de estado y la inspección de paquetes identifican los paquetes para diferentes tipos de conexiones y mantienen en la memoria los atributos de las conexiones de red desde una transmisión de inicio a fin. ya sea de manera individual o por procesos de lotes. de aplicación o de programación. como permitir el tráfico saliente hasta que se haya iniciado el servicio de firewall o el bloqueo de la falsificación de IP y del tráfico malintencionado. grupos. Al igual que las reglas. de transporte. los grupos de reglas pueden definirse por opciones de red. programa y localización.Configuración de directivas de firewall Las directivas de firewall de Host Intrusion Prevention activan o desactivan la protección y proporcionan reglas que detienen a los intrusos de la red que pudieran poner en peligro los datos. Guía del producto McAfee Host Intrusion Prevention 8. define los ajustes de firewall con seguimiento de estado y activa la protección especial específica de firewall. mediante la identificación de una aplicación o servicio concretos). Reglas de firewall: activa la protección de firewall. Un catálogo de IPS en host simplifica la creación de reglas. Contenido Resumen de directivas de firewall Activación de protección por firewall Definición de la protección de firewall Resumen de directivas de firewall La función de firewall de Host Intrusion Prevention proporciona seguridad mediante el filtrado de tráfico entrante y saliente de los sistemas de red que ejecuten Windows. ejecutables y localizaciones del catálogo de reglas y grupos nuevos y existentes de firewall. Puede definir las reglas de manera amplia (por ejemplo. aplicación. transporte. Puede agrupar reglas de acuerdo con una función de trabajo. aplicaciones.0 57 . que hay que bloquear. Consiste en un conjunto de reglas que define qué tráfico se permite y qué tráfico se bloquea. las aplicaciones o el sistema operativo. para así facilitar la gestión. Activa y desactiva la protección del firewall. esta directiva agrega de manera dinámica una regla cerca de la parte superior de la lista de reglas de firewall que evita la resolución de una dirección IP del dominio especificado. Cuando se aplica.0 para ePolicy Orchestrator 4. ya que le permite agregar reglas existentes. También permite la adición de estos elementos al catálogo.

Por ejemplo. la prioridad hace que Host Intrusion Prevention aplique solo la primera regla coincidente en la lista. Cada regla ofrece un conjunto de condiciones que el tráfico debe cumplir así como una acción para permitir o bloquear el tráfico. el tráfico interceptado coincide con más de una regla de la lista.0 para ePolicy Orchestrator 4. excepto de una dirección específica (por ejemplo.0 . realiza la acción asociada. Debe colocar la regla de bloqueo. Capa de enlace El protocolo de capa de enlace describe el control de acceso a los medios (MAC) y algunas aplicaciones menores de detección de errores. donde se utilizan diferentes criterios para restringir el tráfico de la red.10. la primera regla coincidente que encuentra es la que bloquea este tráfico a través del firewall. Host Intrusion Prevention utiliza la prioridad para aplicar reglas: la regla situada en primera posición en las reglas de firewall se aplica primero.Configuración de directivas de firewall Resumen de directivas de firewall Cómo funcionan las reglas de firewall Las reglas de firewall determinan cómo se debe gestionar el tráfico de red. más específica. Si se ha activado el modo de adaptación.10. Cuando Host Intrusion Prevention encuentra tráfico que coincide con las condiciones de una regla. Si no se da ninguna coincidencia de regla.10. coloque las reglas más específicas al principio de la lista y las reglas más generales al final.1). Protocolos de firewall El firewall protege trabajando en varios niveles de la arquitectura de red. Ethernet LAN (802. el firewall bloquea el tráfico automáticamente. Si el tráfico cumple con las condiciones de la regla.1. más general. No aplica ninguna otra regla de la lista.1. Si colocó la regla de permiso en una posición superior a la de la regla de bloqueo.3). Si es así. Host Intrusion Prevention pasa a la siguiente regla de la lista. • Regla de permiso: permite todo el tráfico que utiliza el servicio HTTP.10.10. Esta arquitectura de red se construye en el paquete Protocolo de control de transmisión/Protocolo de Internet (TCP/IP). Esto asegura que Host Intrusion Prevention filtra el tráfico adecuadamente. la dirección IP 10. Va siguiendo la lista de reglas de firewall hasta que encuentra unas reglas que cumplan el tráfico. Tanto las reglas de firewall como los grupos distinguen entre enlaces con cables. cuando el firewall intercepta una solicitud de HTTP desde la dirección 10. No obstante. en una posición más alta en la lista de reglas de firewall que la regla de permiso. Host Intrusion Prevention permite o bloquea el tráfico. Esta regla es más específica. necesitará crear dos reglas: • Regla de bloqueo: bloquea el tráfico HTTP desde la dirección IP 10. Host Intrusion Prevention encontraría una coincidencia de la solicitud HTTP con la regla de permiso antes de poder encontrar la regla de bloqueo. 58 Guía del producto McAfee Host Intrusion Prevention 8. A veces. se crea una regla de permiso para el tráfico. Así se asegura que. Esta regla es más general.10. Si se ha activado el modo de aprendizaje.11x) y LAN virtual (VPN) se encuentran en esta capa. si el tráfico no cumple las condiciones de la primera regla. inalámbricos o virtuales. aunque lo que el usuario deseara fuera bloquear las solicitudes HTTP provenientes de una dirección específica. Wi-Fi inalámbrico (802. Permitiría el tráfico. para permitir las solicitudes HTTP. se solicita al usuario que realice una acción. Recomendaciones Al crear o personalizar una directiva de reglas de firewall.

Los números asociados a los protocolos no de IP se basan en números de Ethernet definidos por Internet Assigned Numbers Authority (IANA) y publicados en http://www. los más comunes son cuatro: TCP.0 59 . Cada paquete de TCP contiene un número de puerto de origen y de destino. TCP TCP es un protocolo de transporte de confianza orientado a la conexión.org/assignments/ethernet-numbers. El plan de multiplexación de UDP es idéntico al de TCP: cada datagrama tiene un puerto de origen y de destino. SMTP.Configuración de directivas de firewall Resumen de directivas de firewall Capa de red Los protocolos de capa de red definen planes de direcciones. en las que los paquetes perdidos solo causan una interrupción momentánea del flujo de datos.org/assignments/protocol-numbers). al igual que muchos videojuegos multijugador. permite al administrador bloquear o permitir estos protocolos de capa de red.iana. RDP. Windows Server 2008 y Windows 7. y la mayoría de sistemas operativos necesitan un proceso que otorgue permisos especiales para escuchar en uno de estos puertos. SSH. limitando así las actividades que pueden darse en la red. El software de telefonía IP y videoconferencia a menudo usa UDP.0 para ePolicy Orchestrator 4. Garantiza que los datos incluidos en los paquetes de red se entreguen de modo fiable y en orden. No ofrece garantías acerca del orden de paquetes o la confianza. En la práctica. TCP es la capa de transporte para la gran mayoría de protocolos de aplicaciones. Internet Control Message Protocol versión 4 y versión 6 (ICMPv4 e ICMPv6). enrutado y control de red. User Datagram Protocol (UDP). FTP. pero no puede detectar parámetros de capa de red o de transporte en ellos. las reglas de firewall se crean para bloquear ciertos puertos y permitir otros. y no tiene funciones de control de flujo. Por lo general. Normalmente. Los puertos de 0 a 1023 se reservan como "puertos conocidos". Windows Vista. En el mejor de los casos. Los números de este rango se asignan normalmente a protocolos por parte de IANA (www. tiene algunas propiedades muy deseables para ciertos tipos de tráfico. lo que resulta más aceptable que un flujo que debe detenerse y esperar la retransmisión. Igualmente. y hace que los tiempos en las operaciones de TCP sean impredecibles cuando las condiciones de red no son óptimas. Guía del producto McAfee Host Intrusion Prevention 8. de 0 a 65535. Capas de transporte IP puede ser utilizado como protocolo de red por una serie de protocolos de transporte distintos. de 0 a 65535. TCP se multiplexa entre los protocolos de capa de aplicación usando el concepto de "puertos". POP e IMAP usan TCP. UDP UDP es un protocolo de transporte de mejor solución sin conexión. UDP se usa a menudo como protocolo de transporte para aplicaciones con mucha importancia en el rendimiento (que podrían implementar algunas de las funciones de fiabilidad y ordenación de paquetes del protocolo de aplicación TCP) y en aplicaciones multimedia en tiempo real. es compatible con los protocolos arbitrarios no de IP. En la práctica. También controla la velocidad a la que se reciben y transmiten los datos.iana. el lado de servidor de una conexión TCP escucha las conexiones de un puerto fijo. HTTP. Esto implica una cierta cantidad de exceso de trabajo. El firewall de Host IPS ofrece total compatibilidad para IPv4 e IPv6 en Windows XP.

es decir.org/assignments/protocol-numbers. y necesario para el funcionamiento de una red IP. mínimamente compatible. Los mensajes de "Destino inaccesible" indican fallos del enrutado. para que los equipos con múltiples interfaces de red puedan tener aplicadas reglas que sean específicas para el adaptador.0 . ICMPv6 también es importante en una red IPv6. Tras activar el estado de la localización y ponerle 60 Guía del producto McAfee Host Intrusion Prevention 8. ya que se usa para varias tareas fundamentales. aunque UDP y TCP también pueden usarse para este fin. la configuración del grupo tiene prioridad. Protocolos comunes no admitidos Hay varios protocolos de red con los que el firewall de IPS en host no es compatible. como descubrimiento de vecino (que ARP gestiona en una red IPv4). Los números de protocolo de IP se enumeran en www. se usan "Petición de eco" y "Respuesta de eco". NOTA: si el aislamiento de conexión en la ficha Localización está activado. Cómo funcionan los grupos de reglas de firewall Agrupe las reglas de firewall para facilitar la gestión. los grupos tienen configuración de localización. IPv4 e IPv6 tienen variantes de protocolo ICMP separadas y sin relación. pero la mayoría no se usan a menudo.iana. Además de esto. ICMP también implementa una aplicación Traceroute. La configuración del grupo se procesa antes que la configuración de las reglas que contiene. Si hay algún conflicto entre ellas.Configuración de directivas de firewall Resumen de directivas de firewall ICMP ICMP se usa como canal de comunicación fuera de banda entre hosts IP. la lista completa de protocolos reconocidos por IANA es. las dos versiones de ICMP definen un conjunto de "tipos de mensaje". aunque el firewall no es compatible con el mecanismo de multiplexación que estos protocolos pueden usar. No se recomienda que los usuarios bloqueen el tráfico ICMPv6 si IPv6 es compatible con la red. transportan opciones. En cualquier caso. AH y ESP) se usan para el encriptado IP y para VPN. En lugar de números de puertos. La ficha Localización y la ficha Opciones de red del grupo le permite que los grupos se rijan por el adaptador de red. un grupo no puede tener asociadas opciones de transporte ni aplicaciones. Resulta útil para la solución de problemas. Algunos de ellos (normalmente GRE.0 para ePolicy Orchestrator 4. Para el ping. incluidas las opciones de red. Muchos se usan para superponer otros tipos de red sobre una red IP (encapsulado de red). Hacer grupos para localización Host Intrusion Prevention le permite hacer que un grupo y sus reglas se rijan por la localización. se siguen procesando de arriba a abajo. Otros protocolos de transporte IP es compatible con más de cien protocolos de transporte. al menos. ya que constituye el mecanismo de información de errores. que le permite hacer localizaciones para grupos y crear aislamientos de conexión. según si la opción "Permitir el tráfico de protocolos no admitidos" está seleccionada en Opciones de firewall. aplicaciones y programas. Los grupos de reglas no afectan a la forma en que Host Intrusion Prevention trata las reglas incluidas en ellos. ICMPv4 se conoce a menudo simplemente como ICMP. Es posible crear reglas para bloquear o permitir el tráfico en los protocolos de transporte de IP. El tráfico de estos protocolos (a menudo. Los grupos asociados con muchos de los elementos asociados con reglas. el tipo no separable EtherType) puede bloquearse siempre o permitirse siempre.

Configuración de directivas de firewall
Resumen de directivas de firewall

un nombre, los parámetros para las conexiones permitidas pueden incluir una o todas las
opciones siguientes para cada adaptador de red:
En la ficha Localización:
• Sufijo DNS específico de conexión
• IP de gateway
• IP de DHCP
• Servidor DNS consultado para resolver las URL
• Servidor WINS usado
• Clave de registro
En la ficha Opciones de red:
• Dirección IP local
• Tipo de soporte
Si dos grupos para localización se aplican a una conexión, Host Intrusion Prevention utiliza la
prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna
regla que coincida en el primer grupo, prosigue con el procesamiento de la regla y podría
encontrar una regla coincidente en el siguiente grupo.
Cuando Host Intrusion Prevention encuentra una coincidencia entre los parámetros de un grupo
para localización y una conexión activa, aplica las reglas incluidas en el grupo. Tratará las reglas
como un conjunto pequeño de reglas y usará la prioridad normal. Si algunas de las reglas no
coinciden con el tráfico interceptado, el firewall las omite.
Tenga en cuenta lo siguiente:
• Si Estado de localización está seleccionado, se requiere un nombre de localización.
• Si se selecciona Red local, la dirección IP del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Sufijo DNS , el sufijo DNS del adaptador debe coincidir con una de las
entradas de la lista.
• Si se selecciona Puerta de enlace predeterminada, el IP de la puerta de enlace
predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor DHCP, el IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
• Si se selecciona Lista de servidor DNS, la dirección IP del servidor DNS del adaptador
debe coincidir con una de las entradas de la lista.
• Si se selecciona Servidor WINS principal, la dirección IP del servidor WINS principal del
adaptador debe coincidir al menos con una de las entradas de la lista.
• Si se selecciona Servidor WINS secundario, la dirección IP del servidor WINS secundario
del adaptador debe coincidir al menos con una de las entradas de la lista.

Aislamiento de conexión del grupo de reglas de firewall
Una opción de aislamiento de conexión está disponible para que los grupos prevengan el tráfico
no deseado desde una red designada. Esto puede hacerse por medio de otras interfaces de red
activas en un equipo, como un adaptador inalámbrico que se conecta a un punto wi-fi mientras
que un adaptador con cables se conecta a una LAN.
Cuando se selecciona la opción Aislar esta conexión en la configuración de localización de
un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, el

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

61

Configuración de directivas de firewall
Resumen de directivas de firewall

único tipo de tráfico procesado es el que coincide con las reglas de tráfico permitido anteriores
al grupo en la lista de reglas de firewall y el tráfico que coincide con los criterios del grupo. El
resto del tráfico se bloquea.
NOTA: cualquier grupo con el aislamiento de conexión habilitado no puede tener asociadas
opciones de transporte ni aplicaciones.

Figura 2: Aislamiento de conexión de red
Como ejemplos de uso de la opción de aislamiento de la conexión, considere dos configuraciones:
un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos
en este orden:

62

1

Reglas para una conexión básica

2

Reglas para una conexión VPN

3

Grupo con reglas de conexión de LAN corporativa

4

Grupo con reglas de conexión VPN

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Configuración de directivas de firewall
Resumen de directivas de firewall

Aislamiento de la conexión en la red corporativa
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
de LAN corporativa. Este grupo contiene esta configuración:
• Tipo de soporte: con cable
• Sufijo DNS específico de conexión: mycompany.com
• Dirección de puerta de enlace predeterminada
• Aislar esta conexión: sí
El equipo cuenta con adaptadores de red LAN e inalámbricos y se conecta a la red corporativa
mediante una conexión con cable, aunque la interfaz inalámbrica sigue estando activa, de modo
que se conecta a otro punto fuera de la oficina. El equipo se conecta a ambas redes porque las
reglas de acceso básico están entre las primeras de la lista de reglas de firewall. La conexión
LAN con cable está activa y cumple los criterios del grupo de la LAN corporativa. El firewall
procesa el tráfico a través de LAN, pero debido a que la opción de aislamiento de la conexión
está activada, el resto del tráfico que no pasa por la LAN queda bloqueado.
Aislamiento de la conexión en un hotel
Las reglas de conexión se procesan hasta que se encuentra el grupo con reglas de conexión
VPN. Este grupo contiene esta configuración:
• Tipo de conexión: virtual
• Sufijo DNS: vpn.mycompany.com
• Dirección IP: una dirección en un rango específico para el concentrador VPN
• Aislar esta conexión: sí
Las reglas de conexión general permiten configurar una cuenta basada en tiempos en el hotel
para poder acceder a Internet. Las reglas de conexión de VPN permiten la conexión y el uso
del túnel VPN. Después de establecer el túnel, el cliente VPN crea un adaptador virtual que
coincide con los criterios del grupo de VPN. El único tráfico que el firewall permite es el del
interior del túnel VPN y el tráfico básico del adaptador actual. Se bloquean los intentos de otros
huéspedes del hotel de acceder al equipo a través de la red, ya sea por cable o de forma
inalámbrica.

Cómo funciona el catálogo de IPS en host
El catálogo de IPS en host simplifica la creación de grupos y reglas de firewall al permitir las
referencias a grupos, reglas, direcciones de red, aplicaciones, ejecutables y datos de localización
de grupos existentes. Además, puede crear referencias a ejecutables de aplicaciones implicadas
en la protección IPS.
Cuando crea una referencia a un elemento del catálogo, crea un enlace dependiente entre este
y una regla o un grupo del firewall. Esto significa que un cambio en el elemento del catálogo
cambiará el grupo o la regla cuando se use. También es posible romper el enlace entre el
elemento del catálogo y un grupo o una regla, para eliminar la dependencia.
El catálogo de IPS en host, que se encuentra en Sistemas, en ePolicy Orchestrator, contiene
seis páginas que enumeran los elementos de reglas de firewall y de grupos de firewall previos.
Los elementos pueden crearse individualmente en el catálogo, agregarse mediante enlace a
otros que se crean en nuevas reglas o nuevos grupos de firewall, o importarse desde
exportaciones en formato .xml de directivas de reglas de firewall.
Las páginas del catálogo incluyen:
• Grupo: lista de los grupos del firewall y propiedades

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

63

xml no son compatibles con el formato .0 para ePolicy Orchestrator 4. introduzca la información y guarde el elemento.Configuración de directivas de firewall Resumen de directivas de firewall • Regla: lista de las reglas de firewall y propiedades • Aplicación: lista de las aplicaciones a las que se puede hacer referencia en un grupo o una regla de firewall • Ejecutable: lista de ejecutables adjuntos a aplicaciones a los que se puede hacer referencia en un grupo o regla de firewall o en aplicaciones relacionadas con IPS • Red: lista de las direcciones IP a las que se puede hacer referencia en un grupo o una regla de firewall • Localización: lista de información específica de localización para grupos de firewall Tabla 6: Catálogo de IPS en host como origen de elementos Función Directiva Elemento de la directiva Elemento del catálogo Dependencia Firewall Reglas de firewall Regla de firewall Regla Sí Firewall Reglas de firewall Grupo de firewall Grupo Sí Firewall Reglas de firewall Localización del grupo del firewall Localización Sí Firewall Reglas de firewall Grupo/regla de firewall Red Sí Firewall Reglas de firewall Grupo/regla de firewall Aplicación Sí Firewall Reglas de firewall Aplicación de grupo/regla de firewall Ejecutable Sí IPS Reglas IPS Regla de protección de aplicación Ejecutable No General Aplicaciones de confianza Aplicación de confianza Ejecutable No Filtros del catálogo Cada página del catálogo contiene un filtro para buscar elementos en la lista de la página.xml del catálogo de IPS en host. Copiar desde el catálogo Cuando use el creador de reglas de firewall o el creador de grupos de firewall. haga clic en Establecer filtro para filtrar según los criterios introducidos y haga clic en Borrar para restablecer el filtro. que puede romperse cuando sea necesario. NOTA: las exportaciones del catálogo de directivas en formato .xml.0 . • Haga clic en Agregar al catálogo junto al elemento cuando cree o edite reglas o grupos usando el creador de reglas de firewall o el creador de grupos de firewall. Haga clic en Mostrar/ocultar opciones de filtrado para ocultar o mostrar el filtro. • Haga clic en Importar para agregar datos previamente exportados del catálogo de IPS en formato . Esto quiere decir que no puede exportar una directiva de reglas de firewall del catálogo de directivas e importarla al catálogo de IPS en 64 Guía del producto McAfee Host Intrusion Prevention 8. Agregar al catálogo Puede agregar al catálogo de una de las tres maneras siguientes: • Haga clic en Nuevo en la página del catálogo. haga clic en el botón Agregar desde catálogo para agregar el elemento adecuado del catálogo. Esto crea un enlace de dependencia entre los elementos.

El acceso a los comandos de nivel de la aplicación ofrece una inspección libre de errores y asegura el protocolo FTP. Cuando se cierra una conexión o se agota el tiempo de espera. el servicio HTTP normalmente está disponible en el puerto 80 y los servicios FTP lo están en el puerto 21. incluye los protocolos TCP.Configuración de directivas de firewall Resumen de directivas de firewall host para llenarlo con datos de reglas de firewall de las directivas. • Fecha y hora: la fecha del último paquete entrante o saliente asociado con la conexión. el estándar actual para las direcciones IP. se permite la entrada del paquete sin realizar ningún examen especial adicional. La tabla de estados rastrea de manera dinámica las conexiones que han coincidido anteriormente con un conjunto de reglas estáticas y refleja el estado de conexión actual de los protocolos TCP/UDP/ICMP. Tabla de estado del firewall Un firewall con seguimiento de estado incluye una tabla de estados que almacena información de manera dinámica sobre las conexiones activas creadas por las reglas de tipo Permitir. se permite su entrada y se realiza una entrada en una tabla de estados. • Números de puerto de equipo locales y remotos: los equipos envían y reciben servicios a través de puertos numerados. permite direcciones de 32 bits. Se examina cada paquete y si el paquete inspeccionado coincide con una regla de permiso del firewall existente. Por ejemplo.0 para ePolicy Orchestrator 4. Para obtener los datos de la directiva del firewall en el catálogo de IPS en host. La inspección de paquetes con seguimiento de estado es el proceso que consiste en filtrar paquetes con seguimiento de estado y rastrear comandos en el nivel de aplicación 7 de la pila de red. Si un paquete inspeccionado coincide con una entrada de la tabla de estados. se elimina la entrada de la tabla de estados. definido con la directiva Opciones del firewall. Esta combinación ofrece una fuerte definición del estado de conexión del equipo. El tiempo de espera de las conexiones TCP se aplica únicamente cuando no se ha establecido la conexión. Inspección y filtrado de paquetes con seguimiento de estado del firewall El firewall de Host Intrusion Prevention proporciona tanto el filtrado de paquetes con seguimiento de estado como la inspección de paquetes con seguimiento de estado. mientras que IPv6. Guía del producto McAfee Host Intrusion Prevention 8.0 65 . IPv4. Los números de puerto abarcan desde 0 hasta 65535. use los enlaces de Agregar al catálogo. como Windows Vista y varios distribuidores de Linux. Host Intrusion Prevention es compatible con los dos estándares. El filtrado de paquetes con seguimiento de estado consiste en el rastreo del estado de la información del protocolo TCP/UDP/ICMP en el nivel de transporte 4 e inferiores de la pila de red OSI. UDP e ICMP. permite direcciones de 128 bits. Cada entrada de la tabla define una conexión basada en: • Protocolo: la forma predefinida por la que un servicio se comunica con otro. • Direcciones IP de equipo locales y remotas: a cada equipo se le asigna una dirección IP única. • ID del proceso (PID): un identificador exclusivo para el proceso asociado con el tráfico de una conexión. después del cual la entrada se elimina de la tabla si no se recibe ningún paquete que coincida con la conexión. Algunos sistemas operativos ya admiten IPv6. • Tiempo de espera: el límite temporal (en segundos). un nuevo estándar.

0 . la entrada de conexión se descarta de la tabla de estados. Las entradas de la tabla de estados son resultado de la actividad de la red y reflejan el estado de la pila de red. con lo que se permite de manera automática cualquier paquete que coincida con una regla de la tabla de estados. Puerto local. • Si un adaptador obtiene una nueva dirección IP. Cada regla de la tabla de estados tiene únicamente una sola acción. El proceso de filtrado incluye lo siguiente: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados. 66 2 Si el paquete coincide con una regla de permiso. Si el paquete coincide con cualquier entrada de la tabla. se permite su entrada y se crea una entrada en la tabla de estados. siempre que la entrada coincida con los parámetros de la conexión de la tabla de estados. Después de establecer una conexión. se examina la lista de reglas configurables del firewall. todas las conexiones activas se comprueban en relación con el nuevo conjunto de reglas. se permite el tráfico bidireccional incluso con reglas unidireccionales. Guía del producto McAfee Host Intrusion Prevention 8. Cómo funciona el filtrado con seguimiento de estado El filtrado con seguimiento de estado implica el procesamiento de un paquete frente a dos conjuntos de reglas: un conjunto de reglas configurables de firewall y un conjunto de reglas de firewall dinámico o una tabla de estado. NOTA: se considera que una entrada de la tabla de estados coincide si Protocolo. Las reglas configurables tienen dos acciones posibles: • Permitir: se permite la entrada del paquete y se crea una entrada en la tabla de estados. 3 Si el paquete coincide con una regla de bloqueo. • Bloquear: se bloquea la entrada del paquete y no se crea ninguna entrada en la tabla de estados. Permitir. se bloquea. Si no se encuentra ninguna regla coincidente. • Cuando el proceso finaliza. Dirección local.0 para ePolicy Orchestrator 4.Configuración de directivas de firewall Resumen de directivas de firewall • Dirección: la dirección (entrante o saliente) del tráfico que activó la entrada. En caso contrario. Tenga en cuenta lo siguiente sobre la tabla de estados: • Si cambian los conjuntos de reglas de firewall. Dirección remota y Puerto remoto coinciden con los del paquete. todas las entradas de la tabla de estados asociadas con un proceso se eliminan. el firewall reconoce la nueva configuración de IP e interrumpe todas las entradas de la tabla de estados que tengan una dirección IP local no válida. se permite su entrada de manera inmediata.

0 67 . que asegura protocolos como el FTP. el cliente inicia la conexión. llega al puerto de destino FTP 21 y se crea una entrada en la tabla de estados. Cuando un cliente se conecta con un servidor FTP.0 para ePolicy Orchestrator 4. este abre la conexión de datos. Cuando el servidor FTP recibe el primer comando de transferencia de datos (LIST). abre la conexión de datos con el cliente y transfiere los datos. La combinación de la conexión de control y una o más conexiones de datos se llama sesión y. Cuando el servidor FTP se encuentra en modo activo. se bloquea. en modo pasivo. Con el canal de control abierto. las reglas dinámicas de FTP se denominan reglas de sesión. se establece el canal de control. Figura 3: Proceso de filtrado con seguimiento de estado Cómo funciona la inspección de paquetes con seguimiento de estado La inspección de paquetes con seguimiento de estado combina el filtrado con seguimiento de estado con el acceso a comandos al nivel de aplicación. sabe que debe realizar una inspección de paquetes con seguimiento de estado a los paquetes que atraviesen el canal de control FTP. Durante Guía del producto McAfee Host Intrusion Prevention 8. Si la opción de inspección FTP se establece con la directiva Opciones del firewall. El firewall analiza el comando PORT (puerto) del paquete y crea una segunda entrada en la tabla de estados para permitir la conexión de datos. FTP implica dos conexiones: control para los comandos y datos para la información. en ocasiones.Configuración de directivas de firewall Resumen de directivas de firewall 4 Si el paquete no coincide con ninguna regla configurable. el cliente se comunica con el servidor FTP. El canal de datos se cierra una vez finalizada la transmisión. cuando el firewall se encuentra con una conexión abierta en el puerto 21. La sesión permanece establecida hasta que se elimina su entrada del canal de control de la tabla de estados.

Cuando usa IPv6. El tiempo de espera de las conexiones virtuales se define en la directiva Opciones del firewall. Las consultas y respuestas deben coincidir para garantizar que solo se permiten paquetes devueltos para consultas inofensivas. definido con la directiva Opciones del firewall. Quedan bloqueadas las conexiones preexistentes sin ninguna regla estática coincidente. envía un paquete a su destino con un bit SYN establecido.0 para ePolicy Orchestrator 4. o forzado. NOTA: a diferencia del protocolo TCP fiable orientado a la conexión. Rastreo de protocolo con seguimiento de estado Aquí se resumen los tipos de conexión de protocolo supervisados por el firewall con seguimiento de estado y su gestión. • La inspección FTP se realiza únicamente en los paquetes con información nueva. Cuando un equipo cliente inicia una nueva conexión. Este tiempo de espera se controla mediante una configuración del Registro y tiene un valor predeterminado de una hora. que conllevan protocolos desconocidos de nivel de aplicación al firewall.0 . la primera conexión abierta en este puerto. El firewall consulta la pila TCP cada cuatro minutos y descarta las conexiones que no están indicadas por el protocolo TCP. en el caso de que se haya eliminado un canal de control de una sesión.Configuración de directivas de firewall Resumen de directivas de firewall la limpieza periódica de la tabla de estados. Protocolo Descripción de la gestión UDP Se agrega una conexión UDP a la tabla de estados cuando se encuentra una regla estática que coincida y la acción de la regla es de tipo Permitir. se aplica únicamente cuando no se ha establecido la conexión. los protocolos UDP e ICMPv4/v6 son menos fiables y no tienen conexión. Se aplica un segundo tiempo de espera TCP. A continuación. todas las conexiones de datos también se eliminan. Se produce una excepción cuando el firewall consulta por primera vez el protocolo TCP y agrega todas las conexiones preexistentes que coinciden con las reglas estáticas. TCP El protocolo TCP funciona en el "establecimiento en 3 direcciones". Los paquetes retransmitidos se omiten. • El ID de la transacción de respuesta coincide con el de la solicitud. El tiempo de espera de la conexión TCP. • La respuesta proviene de la misma dirección IP remota y del mismo puerto desde el que se envió la solicitud. que se mantienen únicamente mientras la conexión no esté inactiva durante un tiempo superior al tiempo de espera especificado. DNS Las consultas y respuestas deben coincidir para asegurar que las respuestas de DNS sólo se permiten en el puerto local que originó la consulta y que provienen únicamente de una dirección IP remota que se ha consultado dentro del intervalo de tiempo de espera de conexión virtual UDP. el cliente responde enviando un paquete con un bit ACK establecido y la conexión de seguimiento de estado queda creada. • Las reglas dinámicas se crean según la dirección (cliente/servidor) y el modo (activo/pasivo): Guía del producto McAfee Host Intrusion Prevention 8. La inspección se produce únicamente en el canal de control. • El firewall realiza una inspección de paquetes con seguimiento de estado en las conexiones TCP abiertas en el puerto 21. lo que indica que se trata de una conexión nueva. la funcionalidad de firewall de seguimiento de estado solo se admite con Windows Vista y plataformas posteriores. ICMPv4/v6 Únicamente se rastrean los mensajes de tipo Petición de eco y Respuesta del eco de ICMP. el firewall considera las conexiones UDP e ICMP como conexiones virtuales. Las respuestas de DNS entrantes se permiten si: DHCP FTP 68 • No ha caducado la conexión en la tabla de estados. Por tanto. únicamente a las conexiones TCP establecidas. las respuestas DHCP entrantes se permiten si: • No ha caducado la conexión en la tabla de estados. Se permiten todos los paquetes salientes pero solo pueden entrar paquetes entrantes que formen parte de la conexión creada. Las conexiones UDP genéricas. El destino responde enviando al cliente un paquete con un bit SYN-ACK establecido. permanecen en la tabla de estados mientras la conexión no esté inactiva durante un tiempo superior al periodo de tiempo de espera especificado. Para asegurar estos protocolos.

Si no se encuentra ninguna coincidencia entre el tráfico y una regla existente. La regla se elimina cuando el servidor inicia la conexión de datos o cuando la regla caduca. para las comunicaciones salientes o para ambas. Además. Host Intrusion Prevention crea automáticamente una regla de tipo Permitir para permitir todo el tráfico que no coincida con una regla de tipo Bloquear existente y crea automáticamente reglas de tipo Permitir dinámicas para el tráfico no coincidente. Filtrado con seguimiento de estado Al aplicar el modo de adaptación o aprendizaje con el firewall con seguimiento de estado. Por ejemplo. • Modo pasivo del servidor FTP: el firewall crea una regla entrante dinámica. Por motivos de seguridad. Esta alerta solicita al usuario que permita o bloquee el tráfico que no coincida con una regla existente y crea automáticamente reglas dinámicas correspondientes para el tráfico no coincidente. siempre que el comando del puerto sea compatible con RFC 959. Host Intrusion Prevention supervisa continuamente el tráfico de red que un equipo envía y recibe. Host Intrusion Prevention muestra una alerta del modo de aprendizaje cuando intercepta tráfico de red desconocido. En el modo de aprendizaje. Puede activar el modo de aprendizaje para las comunicaciones entrantes. En el modo de adaptación. si el host no ha iniciado el servicio Telnet. • Modo activo del servidor FTP: el firewall crea una regla saliente dinámica tras analizar el comando del puerto entrante. Para obtener más información acerca del uso del modo de adaptación con el firewall. cuando se aplique el modo de aprendizaje o el modo de adaptación. se bloquea automáticamente a menos que el firewall se esté ejecutando en los modos de aprendizaje o adaptación.0 69 . Guía del producto McAfee Host Intrusion Prevention 8. entonces examina la lista de reglas estáticas y tampoco encuentra ninguna coincidencia. el proceso de filtrado crea una nueva regla para encargarse del paquete entrante. consulte Preguntas frecuentes: modo de adaptación en Gestión de la protección. el tráfico entrante hacia un puerto que no esté abierto en el host se bloquea a menos que se cree una regla de permiso explícita para el tráfico. • Modo pasivo del cliente FTP: el firewall crea una regla saliente dinámica cuando lee la respuesta del comando PASV enviado por el servidor FTP. Puede crear una regla de tipo Permitir explícita para el tráfico que desee. siempre que haya visto anteriormente el comando PASV del cliente FTP y que el comando PASV sea compatible con RFC 959. los pings entrantes se bloquean a menos que se cree una regla de permiso explícita para el tráfico ICMP entrante.0 para ePolicy Orchestrator 4. Host Intrusion Prevention muestra todas las reglas creadas en clientes con el modo de aprendizaje o el modo de adaptación y permite guardar estas reglas y migrarlas a reglas administrativas. Cómo afectan los modos aprendizaje y adaptación al firewall Al activar el firewall. Este es el proceso de filtrado: 1 El firewall compara un paquete entrante con las entradas de la tabla de estados y no encuentra ninguna coincidencia.Configuración de directivas de firewall Resumen de directivas de firewall Protocolo Descripción de la gestión • Modo activo del cliente FTP: el firewall crea una regla entrante dinámica después de analizar el comando del puerto entrante. el tráfico TCP entrante hacia el puerto 23 (Telnet) se bloquea incluso aunque no haya ninguna regla explícita que bloquee este tráfico. La regla se elimina cuando el cliente inicia la conexión de datos o cuando la regla caduca. Permite o bloquea el tráfico en función de la directiva Reglas de firewall.

En caso contrario. La agregación de reglas de cliente genera una lista de reglas agrupadas por el valor asociado con cada variable seleccionada en el cuadro de diálogo Seleccionar columnas para agregar. el paquete se libera. el de salida. También es posible crear reglas manualmente en el equipo cliente. Configuración general Estas son las opciones generales disponibles: • Activado: selecciónela para activar el firewall. y después seleccione el tipo de protección: • Normal (valor predeterminado): use esta configuración cuando no esté ajustando un despliegue. • Conservar las reglas de cliente existentes cuando se aplique esta directiva: selecciónela para permitir que los clientes conserven las reglas creadas en el cliente de forma 70 Guía del producto McAfee Host Intrusion Prevention 8. Úsela solo temporalmente cuando esté afinando un despliegue. 4 Si no se permite ninguna regla nueva. Puede hacer un seguimiento de las reglas del cliente y verlas en una vista filtrada o agregada. o ambos. Reglas de firewall para cliente Un cliente en modo de adaptación o aprendizaje crea reglas de cliente de firewall para permitir la actividad bloqueada. Selecciónela también para permitir el tráfico de entrada. Si esta opción está desactivada. • Modo de aprendizaje: selecciónela para que se creen reglas. Úsela solo temporalmente cuando esté afinando un despliegue. • Permitir tráfico mediante puentes: selecciónela para permitir el tráfico con una dirección MAC local que no sea la dirección MAC del sistema local. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes. Si se trata de un paquete TCP. El resultado es una lista de reglas mostradas en grupos y ordenadas por el valor asociado con las variables seleccionadas. según las indicaciones del usuario. pero sí una de las direcciones MAC en la lista de VM compatibles con el firewall.0 . se crea una regla de permiso estática unidireccional. El resultado es una lista de reglas que incluye todos los criterios. que permitan el tráfico.Configuración de directivas de firewall Activación de protección por firewall 2 No se realiza ninguna entrada en la tabla de estados. se realiza una entrada en la tabla de estados.0 para ePolicy Orchestrator 4. todo el tráfico que use protocolos no admitidos se bloqueará. el paquete se descarta. se coloca en la lista de pendientes. Filtrado y agregación de reglas La aplicación de eventos genera una lista de reglas que satisface todas las variables definidas en los criterios de filtro. • Modo de adaptación: selecciónela para que se creen automáticamente las reglas que permiten el tráfico. Activación de protección por firewall ™ La directiva Opciones del firewall activa la protección por firewall y proporciona TrustedSource y configuración de firewall con seguimiento de estado. 3 Si se permiten nuevas reglas. • Permitir el tráfico de protocolos no admitidos: selecciónela para permitir el tráfico que usa protocolos no admitidos. Use esta opción para permitir el tráfico a través de un entorno de puente con máquinas virtuales. pero si se trata de un paquete de TCP.

• Enviar eventos a ePO para infracciones de TrustedSource: selecciónela para enviar eventos al servidor ePO si la configuración del umbral de bloqueo TrustedSource para el tráfico entrante o saliente registra coincidencias. y estas opciones se seleccionan para aplicarse cuando se activa el firewall: • Permitir tráfico mediante puentes Guía del producto McAfee Host Intrusion Prevention 8. • Tiempo de espera de la conexión virtual de eco UDP e ICMP: el tiempo en segundos durante el que se mantiene activa una conexión virtual de eco UDP o IMCP si no se envían ni reciben más paquetes que coincidan con la conexión. Riesgo medio. Selecciones de directiva La categoría de directivas incluye una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. pero no el tráfico entrante. de modo que solo se requiera una regla de firewall para el tráfico FTP cliente saliente y otra para el tráfico FTP servidor entrante. las conexiones FTP requerirán una regla adicional para el tráfico FTP de cliente entrante y otra para el tráfico FTP de servidor saliente.Configuración de directivas de firewall Activación de protección por firewall automática mediante el modo de adaptación. eliminar y exportar directivas personalizadas. Configuración de firewall con seguimiento de estado Está disponible la configuración del firewall con seguimiento de estado: • Inspección de protocolo FTP: una configuración de firewall con seguimiento de estado que permite hacer el seguimiento de las conexiones FTP. Puede ver y duplicar directivas preconfiguradas y crear. • Tiempo de espera de la conexión TCP: el tiempo en segundos durante el que sigue activa una conexión TCP no establecida si no se envían ni reciben más paquetes que coincidan con la conexión. por medio de la interacción del usuario con el modo de aprendizaje o manualmente en un cliente cuando se aplique esta directiva. Debería estar siempre seleccionada. hasta que el servicio de firewall de Host IPS se haya iniciado en el cliente. basada en la directiva McAfee Default. duplicar.0 para ePolicy Orchestrator 4. La directiva preconfigurada tiene las siguientes configuraciones: McAfee Default La protección por firewall está desactivada. • Límite de bloqueo de TrustedSource saliente: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico saliente de una conexión de red. Sin verificar y No bloquear. cambiar el nombre. Si esta opción no está seleccionada. editar. Se restablece su valor configurado cada vez que se envía o recibe un paquete que coincida con la conexión virtual. • Límite de bloqueo de TrustedSource entrante: seleccione de la lista la clasificación TrustedSource a la que se bloqueará el tráfico entrante de una conexión de red. • Activar la protección contra falsificación de direcciones IP: selecciónela para bloquear el tráfico de red de direcciones IP no locales del host o de los procesos locales que intenten falsificar su dirección IP. Sin verificar y No bloquear. Las opciones incluyen: Riesgo alto. Configuración de la protección Esta configuración permite una protección especial específica del firewall: • Permitir solo el tráfico saliente hasta que el servicio de Host IPS se haya iniciado: selecciónela para permitir el tráfico saliente.0 71 . Las opciones incluyen: Riesgo alto. Riesgo medio.

y la segunda bloquea o permite el tráfico según la reputación de la conexión y el umbral de bloqueo configurado. La primera regla permite una conexión a TrustedSource. las opciones incluyen visualizar y duplicar. Para las directivas no editables. TrustedSource calcula un valor de reputación según el comportamiento de envío y de hosting y los varios datos de entorno que TrustedSource recoge. El resultado es una base de datos de puntuaciones de reputación para direcciones IP. a continuación. Estas preguntas frecuentes explican qué hace TrustedSource y cómo afecta al firewall. 72 Guía del producto McAfee Host Intrusion Prevention 8. el software malintencionado y el comportamiento de sistema a sistema. mensajes específicos. Se muestra la lista de directivas. Usando los datos obtenidos del análisis. NOTA: para las directivas editables. haga clic en ? en la página que las muestra. ¿Qué es TrustedSource? TrustedSource es un sistema de inteligencia global de reputación en Internet que determina qué es un buen comportamiento y un mal comportamiento en Internet mediante el uso de análisis en tiempo real de comportamientos mundiales y el envío de patrones para el correo electrónico. cambie los valores predeterminados y. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Tarea Para ver la definición de las opciones. dominios. TrustedSource calcula de forma dinámica las puntuaciones de reputación que representan el nivel de riesgo para su red que se da cuando visita una página web.0 para ePolicy Orchestrator 4. ¿Cómo funciona? Cuando las opciones de TrustedSource están seleccionadas. eliminar y exportar.Configuración de directivas de firewall Activación de protección por firewall • Conservar las reglas de cliente • Activar la protección contra falsificación de direcciones IP • Usar inspección de protocolo FTP Configuración de la directiva Opciones del firewall Configure las opciones de esta directiva para activar o desactivar la protección de firewall o aplicar el modo de adaptación o aprendizaje. haga clic en Guardar. Preguntas frecuentes: McAfee TrustedSource y el firewall Dos opciones de la directiva Opciones de firewall le permiten bloquear el tráfico entrante y saliente de una conexión de red que McAfee TrustedSource™ ha clasificado como de alto riesgo. URL e imágenes. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Opciones del firewall en la lista Categoría. 3 En la página Opciones del firewall que aparece. otras opciones incluyen cambiar nombre. ¿Qué quiere decir "reputación"? Para cada dirección IP en Internet. se crean dos reglas de firewall: TrustedSource: permite el Servicio de IPS en host y la obtención de clasificación por parte de TrustedSource.0 . la actividad web. duplicar. 2 En la lista de directivas Opciones del firewall.

En un uso normal de la red. permitiéndolo o bloqueándolo. pero que también muestra algunas propiedades que sugieren la necesidad de una inspección adicional.0 73 . • Riesgo alto: nuestro análisis indica que esta fuente/destino envía o enviará/alojará contenido/tráfico potencialmente malicioso. Tabla 7: Directivas Reglas de firewall preconfiguradas Directiva Uso Mínima (valor predeterminado) Utilice esta directiva para la protección mínima predeterminada. Hace lo siguiente: • Bloquea cualquier tráfico entrante de ICMP que podría usar un atacante para reunir información sobre su Guía del producto McAfee Host Intrusion Prevention 8. Puede ver y duplicar la directiva preconfigurada y editar. En primer lugar. Selecciones de la directiva Reglas de firewall La categoría de directivas de reglas de firewall incluye dos directivas preconfiguradas y una directiva editable llamada Mis valores predeterminados. ¿Introduce latencia? ¿Cuánta? Cuando TrustedSource recibe una demanda de comprobación de reputación. duplicar. La reputación se expresa en cuatro clases: • Riesgo mínimo (no bloquear): nuestro análisis indica que se trata de una fuente o destino legítimo de contenido/tráfico. la mayoría de las conexiones deseadas se resuelven desde la caché. la comprobación de reputación se realiza solo cuando se seleccionan las opciones. asigna automáticamente a todas las conexiones aplicables una reputación predeterminada permitida y sigue con un análisis de las reglas posteriores. algo de latencia es inevitable. eliminar y exportar las directivas personalizadas editables. basada en la directiva McAfee Default. • Riesgo medio: nuestro análisis indica que esta fuente/destino muestra comportamientos que creemos que son sospechosos y el contenido/tráfico dirigido a esta fuente/destino o procedente del mismo requiere un escrutinio especial. así que creemos que representa un riesgo importante. Definición de la protección de firewall Las reglas de firewall determinan el funcionamiento de un sistema cuando intercepta tráfico de red. • Sin verificar: nuestro análisis indica que parece ser una fuente o destino legítimo de contenido/tráfico. McAfee ha hecho todo lo posible para minimizarla. cambiar el nombre. En segundo lugar. ¿Qué pasa si el firewall no puede llegar a los servidores de TrustedSource? ¿Se detiene el tráfico? Si el firewall no puede llegar a cualquiera de los servidores de TrustedSource. sin consultas a la reputación en línea.0 para ePolicy Orchestrator 4. se da una arquitectura de creación de caché inteligente.Configuración de directivas de firewall Definición de la protección de firewall agrega y relaciona automáticamente de clientes y socios acerca del estado del panorama de las amenazas en Internet. Puede crear y gestionar reglas de firewall mediante la aplicación de la directiva Reglas de firewall y la directiva Bloqueo de DNS de firewall con la configuración adecuada.

duplique una directiva existente y edite las reglas y grupos de la directiva para que satisfagan sus necesidades. Utilice esta directiva como punto de partida y. Selecciones de la directiva de bloqueo de DNS del firewall La categoría de directivas de bloqueo de DNS de firewall contiene una directiva preconfigurada y una directiva editable llamada Mis valores predeterminados. cambiar el nombre. eliminar y exportar. • Permite el tráfico que usa los puertos OOTP. Tarea Para ver la definición de las opciones. grupos de trabajo y equipos Windows.0 . NOTA: para las directivas editables personalizadas. Típico entorno corporativo • Permite solicitudes para compartir archivos de Windows procedentes de equipos de la misma subred y bloquea las solicitudes para compartir archivos que procedan de cualquier otra ubicación (la directiva Redes de confianza debe tener Incluir automáticamente la subred local seleccionada). La directiva tiene todas las funciones y satisface las necesidades de la mayoría de firewall empresariales. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. las opciones incluyen visualizar y duplicar. Para las directivas no editables. haga clic en ? en la página que las muestra. duplicar. Configuración de la directiva Reglas del firewall Configure las opciones de esta directiva para definir reglas para la protección por firewall. 2 En la lista de directivas Reglas del firewall. si se compara con las directivas de firewall predeterminadas. Simplemente. duplicar.Configuración de directivas de firewall Definición de la protección de firewall Directiva Uso equipo. • Permite todo el tráfico alto de entrada y el tráfico UDP de salida. IPS en host permite todo el resto de tráfico ICMP. basada en la directiva McAfee Default. Esta directiva debe generar menos reglas cliente aprendidas en modo de adaptación. 3 74 Realice una de las operaciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. combine los resultados de aplicar el modo de adaptación para conocer y comprobar otras reglas. más adelante. • Le permite explorar dominios. Se muestra la lista de directivas. Puede ver y duplicar la directiva preconfigurada y editar.0 para ePolicy Orchestrator 4. DNS y Net Time UDP. eliminar y exportar las directivas personalizadas editables. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: Firewall en la lista Producto y Reglas del firewall en la lista Categoría. SUGERENCIA: no intente crear una directiva desde cero. otras opciones incluyen cambiar nombre.

redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Ajustes de estado y de hora En la ficha Resumen.. Agregar un grupo del firewall Haga clic en Nuevo grupo o en Agregar grupo desde catálogo. Creación y edición de reglas de firewall Edite o agregue una nueva regla de firewall a la lista de reglas de una directiva Reglas de firewall si la lista predeterminada no cubre operaciones específicas. • Eliminar para eliminar el elemento. Guía del producto McAfee Host Intrusion Prevention 8. Consulte Creación y edición de grupos de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles. haga clic en Editar en Acciones para editar una regla existente. • Agregar a catálogo en Acciones para agregar el elemento al catálogo del firewall. estado Red Protocolo de red. acción.. Realizar una acción en una única regla o grupo • Selecciona la regla o el grupo para mostrar un resumen de la configuración del elemento en el panel derecho. revise los detalles de la regla y haga clic en Guardar.. 2 Introduzca la información adecuada en cada ficha. Tarea Para ver la definición de las opciones. Agregar una regla del firewall Haga clic en Nueva regla o en Agregar regla desde catálogo.. 5 Haga clic en Guardar para guardar los cambios.xml. Este archivo puede importarse al catálogo del firewall o a otra directiva.. • Bajar para bajar el elemento en la lista. dirección. 3 En esta ficha. Consulte Creación y edición de reglas de firewall o Uso del catálogo de IPS en host para obtener más detalles. a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha. Descripción Nombre (obligatorio).. haga clic en ? en la página que las muestra.. 4 Haga clic en Exportar para exportar toda la información del grupo o la regla de la directiva a un archivo . Configure estas opciones. haga clic en Nueva regla para crear una nueva regla. • Duplicar para hacer una copia del elemento.0 para ePolicy Orchestrator 4. tipo de soporte.. Haga lo siguiente. • Seleccione la regla o el grupo y haga clic en: • Editar en Acciones para editar un elemento. • Subir para subir el elemento en la lista. 1 En la página de directivas Reglas de firewall.Configuración de directivas de firewall Definición de la protección de firewall Para.0 75 .

una puerta de enlace u otros criterios con los que coincidir. la conexión VPN. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host. 2 Introduzca la información adecuada en cada ficha. En esta ficha. haga clic en ? en la página que las muestra. haga clic en Nuevo Grupo o en Agregar grupo desde catálogo. introduzca un Nombre para la localización y seleccione un sufijo DNS. incluida la activación de grupos sincronizados 3 En la ficha Resumen. seleccione Activado tanto para Estado de localización como para Aislamiento de conexión. redes locales o remotas Transporte Protocolo de transporte Aplicación Aplicaciones y ejecutables Planificación Configuración de estado y de tiempo. Use un grupo de una sola finalidad con reglas que permitan.. 5 76 En la ficha Resumen. haga clic en Nuevo grupo para crear un nuevo grupo. 4 Cree reglas nuevas en este grupo. Inalámbrica o Virtual) a la que desee aplicar las reglas del grupo. 4 En la ficha Red. revise los detalles del grupo y haga clic en Guardar. 2 En la ficha Descripción. inalámbrico. Es posible hacer clic en la flecha para mostrar u ocultar las reglas del grupo. tipo de soporte (con cable. Los grupos aparecen en la lista de reglas precedidos por una flecha. seleccione el tipo de conexión (Con cable. incluido el aislamiento de conexión Red Protocolo de red. Tarea 1 En la página de directivas Reglas de firewall.0 . Guía del producto McAfee Host Intrusion Prevention 8..0 para ePolicy Orchestrator 4.. en Tipos de soporte. Configure estas opciones. NOTA: las opciones de transporte y aplicaciones no están disponibles para grupos de aislamiento de conexión. dirección. haga clic en Editar en Acciones para editar un grupo existente.Configuración de directivas de firewall Definición de la protección de firewall Creación y edición de grupos de reglas de firewall Cree o edite un grupo de reglas de firewall para una directiva de Reglas de firewall con el objetivo de crear un conjunto de reglas con una sola finalidad.. introduzca un nombre descriptivo en el campo Nombre. estado Localización Configuración para localización. 3 En la ficha localización. a las que es posible acceder haciendo clic en Siguiente o en el enlace de la ficha. 1 En la página de directivas Reglas de firewall. Descripción Nombre (obligatorio). haga clic en Guardar. Tarea Para ver la definición de las opciones. Creación de grupos de aislamiento de conexión Cree un grupo de reglas de firewall de aislamiento de conexión para establecer un conjunto de reglas que se apliquen solo cuando se conecta a una red con unos parámetros determinados. virtual). por ejemplo.

Tarea Para ver las definiciones de las opciones.Configuración de directivas de firewall Definición de la protección de firewall 6 Cree reglas nuevas en este grupo.com. seleccione. Haga clic en Borrar para volver a la vista predeterminada. Se permite un nombre por entrada. Uso del catálogo de IPS en host El catálogo de IPS en host le permite agregar nuevos elementos o referirse a elementos existentes para su uso con el firewall.0 para ePolicy Orchestrator 4. Regla. introduzca el servidor de nombre de dominio que desee bloquear..0 77 . *domain. Bloqueo del tráfico DNS Para ajustar la protección de firewall. elimine o reordene las columnas y haga clic en Guardar. NOTA: no use esta función para bloquear dominios completos. en su lugar. haga clic en el botón Eliminar para eliminar direcciones. Editar un elemento Haga clic en el enlace asociado al elemento. bloquee estos dominios en la dirección remota de una regla del firewall. haga clic en ? en la página que las muestra. seleccione un elemento del catálogo. Las opciones son: Grupo. Red y Localización. 1 En la página de directivas Bloqueo DNS del firewall. Use los comodines * y ?. Esta tarea le ayuda a encontrar y editar los elementos del catálogo existentes. Tarea Para ver la definición de las opciones. o mueva las reglas existentes a este desde la lista de reglas de firewall o desde el catálogo de IPS en host. Haga clic en Editar para editar el elemento. haga clic en Guía del producto McAfee Host Intrusion Prevention 8. Proceso. Aplicación. 2 En Tipo de elemento. haga clic en Editar en Acciones para editar una regla existente. crear y agregar nuevos elementos o importar y exportar elementos del catálogo. haga clic en Nueva regla para crear una nueva regla. haga clic en ? en la interfaz. 3 Haga cualquiera de las siguientes tareas en la página del catálogo: Para.. Haga lo siguiente.. haga clic en Establecer filtro. 3 En el cuadro de texto. por ejemplo.. 4 Haga clic en el botón Agregar para agregar otras direcciones. puede crear una lista de servidores de nombre de dominio que Host IPS bloqueará no permitiendo la resolución de su dirección IP. 2 Haga clic en Agregar dominio bloqueado. después. Cambiar la vista de los elementos Seleccione Opciones | Elegir columnas. 5 Haga clic en Guardar para guardar los cambios. 1 Vaya a Sistemas | Catálogo de IPS en host. Filtrar por un elemento Introduzca el criterio de filtrado y.

Haga lo siguiente. Tarea Para ver la definición de las opciones. Cuando agrega un elemento desde el catálogo o hacia este. localice y abra el archivo en formato . Seleccionar las columnas que se han de mostrar Seleccione Elegir columnas en el menú Opciones. quite o reordene las columnas que se mostrarán.xml. Importar elementos del tipo de catálogo Haga clic en Importar en la parte superior derecha de la página y. agregue.. Haga lo siguiente.. En la página o páginas que aparecen. Exportar un solo elemento Haga clic en el enlace Exportar asociado al elemento.. NOTA: para agregar un elemento del catálogo cuando se crea una regla o grupo de firewall. se rompe la dependencia entre el elemento y el catálogo y se crea un elemento nuevo independiente en su lugar. incluidos permisos de vista para acceder al registro de eventos. 3 Determine cómo desea ver la lista de reglas del cliente: Para.. haga clic en ? en la página que las muestra.. Exportar todos los elementos del tipo de catálogo Haga clic en Exportar en la parte superior derecha de la página y..Configuración de directivas de firewall Definición de la protección de firewall Para.. Ordenar por columna Haga clic en el encabezamiento de la columna. Duplicar para crear una copia del elemento y haga clic en Eliminar para eliminar el elemento.0 para ePolicy Orchestrator 4. En la página Seleccionar columnas. Si hace clic en el enlace. Guía del producto McAfee Host Intrusion Prevention 8. haga clic en el enlace Agregar al catálogo que se encuentra junto al elemento. 78 1 Vaya a Informes | IPS en host y haga clic en Reglas de cliente del firewall. NOTA: si elimina un elemento que tiene un enlace dependiente. Para agregar un elemento que haya creado mientras trabaja en el creador de reglas o grupos del firewall. y cómo moverlas a una directiva de Reglas de firewall puede ajustar y reforzar la seguridad..0 . después. 2 Seleccione el grupo en el árbol del sistema del que desea mostrar las reglas de cliente. introduzca los datos adecuados y haga clic en Guardar. sistemas y árbol del sistema. dé un nombre y guarde el archivo en formato . Crear y agregar un elemento Haga clic en Nuevo. NOTA: el acceso a Reglas de cliente del firewall de la ficha IPS en host en Informes requiere permisos adicionales diferentes que para el firewall de Host Intrusion Prevention.xml. haga clic en Agregar desde catálogo en la parte inferior de la página adecuada del creador. con la regla o el grupo enlazados. después. Gestión de Reglas de cliente del firewall Visualizar reglas de cliente del firewall creadas automáticamente en los modos de adaptación o aprendizaje o manualmente en un cliente. se ubicará una copia independiente del elemento eliminado con el grupo o la regla enlazados. crea un enlace dependiente entre el elemento y el catálogo con un enlace Interrumpir referencia de catálogo.

introduzca tanto una fecha de inicio como de fin. si selecciona Entre. Guía del producto McAfee Host Intrusion Prevention 8. seleccione una o más en la lista y haga clic en Crear regla del firewall. Si selecciona Desde. a continuación. ¿Qué caracteres comodín puedo usar para los valores de ruta y de dirección? Para las rutas de archivos. Agregar reglas Haga clic en Agregar. haga clic en Aceptar. Filtrar por hora de creación Seleccione el momento en que se creó la regla: Ninguno. * (un asterisco) Varios caracteres excluidos / y \.. Para mover las reglas a una directiva.. seleccione los criterios en los que desee agregar las reglas y.0 79 . Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. introduzca una fecha de inicio. indique la directiva a la que desea mover las reglas. Filtrar por texto buscado Escriba la ruta del proceso. Haga clic en Quitar para eliminar la configuración de agregación. Haga clic en Quitar para quitar la configuración del filtro. el escape es |*|*. los ejecutables y las URL. Filtrar por grupos Desde el menú Filtro. Desde o Entre.0 para ePolicy Orchestrator 4. ** (dos asteriscos) Varios caracteres incluidos / y \. después. Preguntas frecuentes: uso de caracteres comodín en reglas de firewall Cuando se introducen valores en ciertos campos de las reglas de firewall. el nombre del proceso. use los siguientes caracteres comodín: Carácter Definición ? (signo de interrogación) Un solo carácter. | (canalización) Escape de caracteres comodín. Haga lo siguiente. NOTA: para **. el nombre del equipo o la ID de firma para filtrar.Configuración de directivas de firewall Definición de la protección de firewall 4 Para. el nombre de usuario. Haga clic en Quitar para quitar la configuración del filtro. ¿Qué caracteres comodín puedo usar para todos los demás valores? Para los valores que normalmente no contienen información de ruta con barras.. NOTA: las rutas de las claves de registro para las localizaciones de los grupos de firewall no reconocen los valores de los comodines.. las claves de registro. Host IPS permite el uso de caracteres comodín. seleccione Solo este grupo o Este grupo y todos los subgrupos.

| (canalización) Escape de caracteres comodín.0 para ePolicy Orchestrator 4. Guía del producto McAfee Host Intrusion Prevention 8.0 .Configuración de directivas de firewall Definición de la protección de firewall 80 Carácter Definición * (un asterisco) Varios caracteres incluidos / y \.

Marcar las redes como "de confianza" elimina o reduce la necesidad de excepciones IP de red y de reglas de firewall adicionales. Guía del producto McAfee Host Intrusion Prevention 8. y que no son específicas de IPS ni del firewall. incluidas las excepciones de TrustedSource. consulte Aplicación de directivas con el cliente Solaris/Linux en Uso de clientes IPS en host.0 81 . Contenido Introducción a las directivas generales Definición de la funcionalidad de cliente Definición de redes de confianza Definición de aplicaciones de confianza Introducción a las directivas generales Las directivas generales funcionan con las funciones IPS y firewall. y controlan el acceso del cliente así como las aplicaciones y redes de confianza. esta categoría de directivas puede contener varias instancias de directiva.0 para ePolicy Orchestrator 4. solo se aplican algunas directivas y opciones. Todas las directivas y opciones se aplican a sistemas operativos Windows. En los sistemas no Windows. Para clientes de plataformas Windows y no Windows. Las redes de confianza pueden incluir direcciones IP individuales o intervalos de direcciones IP. Aplicaciones de confianza: indica las aplicaciones que son seguras y que no tienen vulnerabilidades conocidas. también si el icono de cliente Host Intrusion Prevention aparece en la bandeja del sistema. Marcar las aplicaciones como "de confianza" elimina o reduce la necesidad de excepciones IPS y de reglas de firewall adicionales. Solo para clientes Windows. Al igual que la directiva Reglas IPS. Redes de confianza: indica las redes y direcciones IP con las que existen comunicaciones seguras. lo que ayuda al afinar un despliegue. los tipos de alertas de intrusos.Configuración de directivas generales La función General de Host Intrusion Prevention proporciona acceso a las directivas de naturaleza general. Configurar las directivas Redes de confianza y Aplicaciones de confianza puede reducir o eliminar los falsos positivos. Para saber más. La función de contraseñas se utiliza en clientes tanto de plataformas Windows como no Windows. Directivas disponibles Existen tres directivas generales: IU de cliente: determina qué opciones están disponibles para un equipo cliente Windows. las contraseñas de acceso a la interfaz del cliente y las opciones de solución de problemas.

haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Se muestra la lista de directivas.0 para ePolicy Orchestrator 4. El usuario puede tener problemas técnicos con Host Intrusion Prevention o necesitar realizar operaciones sin que interactúen con el programa.0 . haga clic en ? en la página que las muestra. las reacciones en caso de intrusos y el acceso de usuarios administradores y clientes. duplicar. si determinadas actividades inofensivas están bloqueadas. que tiene que realizar operaciones especiales en equipos cliente ignorando las posibles directivas impuestas por los administradores. Para los clientes no Windows. Guía del producto McAfee Host Intrusion Prevention 8. La directiva IU de cliente permite a este usuario: • Ver el icono del cliente Host Intrusion Prevention en la bandeja del sistema y ejecutar la consola del cliente. La directiva IU de cliente permite que este usuario obtenga una contraseña de administrador sin caducidad para realizar tareas administrativas. También puede crear. • Crear más reglas IPS y de firewall. las reacciones en caso de intrusos. editar. Las tareas administrativas para los usuarios desconectados y administrador incluyen: • Activar o desactivar las directivas IPS y de firewall. el acceso del administrador y el usuario cliente en clientes Windows y el acceso del administrador en clientes no Windows. Tarea Para ver la definición de las opciones. eliminar y exportar directivas personalizadas.Configuración de directivas generales Definición de la funcionalidad de cliente Definición de la funcionalidad de cliente La directiva IU de cliente determina cómo aparecen y funcionan los clientes de IPS en host. cambiar el nombre. si lo permiten las reglas administrativas. 82 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto e IU de cliente en la lista Categoría. NOTA: las modificaciones en las directivas administrativas realizadas desde la consola de ePolicy Orchestrator se aplicarán solo una vez que haya caducado la contraseña. Las reglas de cliente creadas durante este período de tiempo se conservan. • Desactivar temporalmente la protección de IPS y firewall. Configuración de una directiva IU de cliente Configure las opciones de la directiva para indicar la visualización de iconos. Puede ver y duplicar la directiva preconfigurada. Administrador Un administrador TI de todos los equipos. que pasa períodos de tiempo desconectado del servidor Host Intrusion Prevention. Las opciones de esta directiva permiten satisfacer las necesidades de tres funciones típicas de usuario: Tipo de usuario Funcionalidad Normal El usuario medio que tiene el cliente Host Intrusion Prevention instalado en un equipo de sobremesa o en un portátil. La directiva IU de cliente contiene una directiva preconfigurada y una directiva Mis valores predeterminados que se puede editar. La directiva IU de cliente permite a este usuario obtener una contraseña basada en tiempos para realizar tareas administrativas o para activar o desactivar las funciones de protección. • Obtener alertas emergentes de intrusos o evitarlas. solo es válida la función de contraseña para acceso administrativo. Desconectado El usuario. probablemente con un portátil. 2 En la lista de directivas IU de cliente. Para los clientes Windows se incluyen la configuración de visualización de iconos.

Consulte Definición de opciones generales de IU. seleccione Permitir desactivación de funciones desde el icono de la bandeja y. NOTA: los usuarios que necesiten desactivar temporalmente una función de Host Intrusion Prevention para acceder a una aplicación o un sitio de red inofensivo que esté bloqueado. la contraseña se activa. seleccione las funciones que desee desactivar. Las contraseñas desbloquean la consola del cliente Windows y dan acceso al control de solución de problemas en clientes Windows y no Windows. en la ficha Opciones avanzadas. seleccione la opción para mostrar el icono de menú de bandeja para acceder al menú de la consola del cliente o mostrar la aplicación en la lista Agregar o quitar programas. que un administrador puede configurar y que es válida mientras la directiva se aplique al cliente. los comandos de menú no tendrán efecto. seleccione mostrar el sistema. Para esta función.0 83 . Cuando esta directiva se aplica al cliente. se desactiva la protección IPS en host e IPS de red. Definición de opciones generales de IU de cliente Configure las opciones de la ficha Configuración general de la directiva IU de cliente para determinar la visualización de iconos y las reacciones en caso de intrusos solo para clientes Windows. en Opciones de visualización. Tarea Para ver las definiciones de las opciones. Configuración de opciones avanzadas y contraseñas de IU de cliente Configurar las opciones de la ficha Opciones avanzadas de la directiva IU de cliente para acceso por contraseña en clientes Windows y no Windows. La función desactivada permanece así hasta que la restaura el comando del menú o hasta que una nueva directiva se aplique. después. En esta ficha puede establecer las opciones de visualización de la IU de cliente e indicar cómo responde el cliente a un evento de intrusión. Opciones de solución de problemas) y realice los cambios necesarios. Definición de opciones avanzadas de IU o Definición de opciones de solución de problemas de IU de cliente para obtener más detalles. 1 Haga clic en la ficha Configuración general de la directiva IU de cliente y. seleccione una ficha (Opciones generales.0 para ePolicy Orchestrator 4. a continuación. pueden utilizar el icono de la bandeja de Host Intrusion Prevention para desactivar una función sin abrir la consola de cliente.Configuración de directivas generales Definición de la funcionalidad de cliente 3 En la página IU de cliente. • Si la IU de cliente está desbloqueada. 2 En En caso de evento de intruso. Tenga en cuenta lo siguiente: • Al desactivar IPS. Opciones avanzadas. haga clic en ? en la interfaz. La consola del cliente permanece desbloqueada Guía del producto McAfee Host Intrusion Prevention 8. 4 Haga clic en Guardar para guardar los cambios. Hay dos tipos de contraseñas disponibles: • Una contraseña de administrador. seleccione las opciones que controlan la reacción del cliente cuando se encuentra un intruso.

• Seleccione Activar contraseña basada en tiempos.. 3 Vaya a Sistemas | Árbol de sistemas. 4 Aplique la directiva IU de cliente al grupo que incluye el sistema al que aplicar la contraseña. haga clic en Calcular la contraseña basada en tiempos. Tarea 84 1 Compruebe que la opción Activar contraseñas basadas en tiempo de la ficha Avanzadas de la directiva IU de cliente está seleccionada. Tarea 1 Haga clic en la ficha Opciones avanzadas de la directiva IU de cliente aplicada a un sistema o a un grupo. La consola del cliente permanece desbloqueada hasta que se cierra. que tiene fecha y hora de caducidad. Para volver a abrir los controles de la consola del cliente. introduzca nuevamente la contraseña de administrador. en la ficha Sistemas seleccione un sistema único. • Introduzca la fecha y la hora en que caduca la contraseña y haga clic en Calcular la contraseña basada en tiempos.. 2 Determine el tipo de contraseña que desea crear. • Una contraseña basada en tiempos. NOTA: cuando la consola de cliente está desbloqueada. a continuación. En un cuadro de diálogo aparece la contraseña con la fecha y la hora de caducidad. consulte Desbloqueo de la interfaz del cliente Windows. Esta contraseña se genera automáticamente.Configuración de directivas generales Definición de la funcionalidad de cliente hasta que se cierra. • Haga clic en Guardar. 6 Haga clic en Crear contraseña basada en tiempos. a continuación. 2 Haga clic en Guardar en caso de que haya efectuado algún cambio en la directiva.. 7 Establezca la fecha y hora en la que caduca la contraseña y. • Haga clic en Guardar. Haga lo siguiente. Administrador • Escriba una contraseña en el cuadro de texto Contraseña.. Debe contener al menos diez caracteres. • Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña. La contraseña aparece en el cuadro de diálogo. las directivas no se aplican. Para este tipo de contraseña.0 para ePolicy Orchestrator 4.0 . Para obtener más información. Guía del producto McAfee Host Intrusion Prevention 8. Basada en tiempos Creación de contraseñas según el sistema Se pueden crear y asignar contraseñas basadas en tiempos en función del sistema. Puede indicar el sistema en el que desea crear la contraseña o crear la contraseña en la directiva IU de cliente para todos los sistemas a los que se aplica la directiva. 5 Seleccione el grupo y.

• Depuración registra todos los mensajes.0 para ePolicy Orchestrator 4. Guía del producto McAfee Host Intrusion Prevention 8. Cuando desactive los motores. Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc. en MB. en Windows Vista. recuerde volver a activarlos tras solucionar los problemas. • Depuración registra todos los mensajes. del registro de eventos en el cliente. advertencia y error. Establecer el tamaño. Windows 2008 y Windows 7: C:\Datos de programa\McAfee\Host Intrusion Prevention\HipShield... puede aplicar opciones de solución de problemas de nivel de directiva que activan el registro de eventos IPS y del firewall.log. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\FireSvc. Activar el registro de firewall Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos del firewall.Configuración de directivas generales Definición de la funcionalidad de cliente Definición de opciones de solución de problemas de IU de cliente Configurar las opciones de la ficha Solución de problemas de la directiva IU de cliente para opciones de registro y activar y desactivar motores.log Incluir infracciones de seguridad en el registro de IPS Seleccione Infracciones de seguridad de registro para que los eventos de infracciones de seguridad aparezcan en el registro de IPS. • Error registra los mensajes de error. • Desactivado no registra ningún mensaje. La ruta al archivo de registro en los clientes Windows es: C:\Documents and Settings\All Users\Datos de programa\McAfee\Host Intrusion Prevention\HipShield. En lugar de utilizar la función de solución de problemas del cliente individual. Activar el registro de IPS Seleccione de la lista el tipo de mensaje que va a activar el registro de eventos de IPS. • Advertencia registra los mensajes de advertencia y de error. • Advertencia registra los mensajes de advertencia y de error. advertencia y error. • Información registra mensajes de información. • Información registra mensajes de información.log. • Desactivado no registra ningún mensaje. y que desactivan motores IPS determinados.0 85 . • Error registra los mensajes de error. En Windows Vista.log. 2 Seleccione la configuración de directiva que desee aplicar: Para Haga lo siguiente. Tarea 1 Haga clic en la ficha Solución de problemas de la directiva IU de cliente. Cambie el tamaño del registro de 1 MB (predeterminado) a un número más grande.

Se muestra la lista de directivas. Puede: • Establecer redes de confianza. Tratar automáticamente a todos los usuarios de la Seleccione Activado en Incluir automáticamente la misma subred como de confianza. y a excepciones de IPS de red.. Definición de redes de confianza La directiva Redes de confianza mantiene una lista de direcciones de red y subredes. Haga lo siguiente. cambiar el nombre. Marcar la red como de confianza para firmas IPS de red Seleccione De confianza para IPS. Tarea Para ver la definición de las opciones.Configuración de directivas generales Definición de redes de confianza Para Haga lo siguiente. También puede crear. NOTA: para las reglas de firewall. que puede etiquetar como de confianza para clientes de Windows y aplicar a reglas de firewall cuyas direcciones remotas se establezcan como de confianza... duplicar. incluso a los que no subred local. rango de direcciones o subred en el cuadro de texto Redes de confianza. • Agregar o eliminar direcciones o subredes de la lista de confianza. Configuración de una directiva de redes de confianza Configure las opciones de esta directiva para establecer las opciones de redes de confianza y mantener una lista de direcciones de red y subredes marcadas como de confianza solo para clientes Windows. Agregar una dirección de red de confianza a la lista. y una directiva Mis valores predeterminados que se puede editar. o tipo de host HTTP y firmas personalizadas IPS. Activar o desactivar los motores Quite la marca de la casilla de verificación para desactivar un motor o selecciónela para activarlo. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Redes de confianza en la lista Categoría. haga clic en ? en la página que las muestra. editar.. NOTA: para obtener detalles acerca de cómo trabajar directamente con el cliente HIP. consulte Trabajo con clientes de Host Intrusion Prevention. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. Introduzca una dirección IP de confianza.0 para ePolicy Orchestrator 4.0 . 3 Realice una de las operaciones siguientes: Para.. 2 En la lista de directivas Redes de confianza. están en la lista. eliminar y exportar directivas personalizadas. debe establecer la dirección remota como De confianza para aprovechar esta función.. Esta categoría de directivas contiene una directiva preconfigurada que incluye las subredes locales automáticamente aunque no indica las direcciones de red. Puede ver y duplicar la directiva preconfigurada. 86 Guía del producto McAfee Host Intrusion Prevention 8. incluidas las excepciones de TrustedSource.

. Puede ver y duplicar la directiva preconfigurada o puede editar. No siempre resulta práctico al tratar con varios miles de clientes o cuando se dispone de tiempo y recursos limitados. Definición de aplicaciones de confianza La directiva Aplicaciones de confianza es el mecanismo que se emplea para crear una lista de aplicaciones que son de confianza y no deberían generar eventos. 3 Realice una de las operaciones siguientes: Para. y puede iniciar errores para prevenir vulnerabilidades de seguridad. Eliminar o agregar una entrada de dirección de red de Haga clic en el botón Eliminar ( – ) o Agregar ( + ).... Haga lo siguiente. la creación de reglas de excepción de IPS es una de las maneras de reducir los falsos positivos. NOTA: una aplicación de confianza puede sufrir vulnerabilidades comunes como desbordamiento de búfer y uso ilegal.0 87 . Esta categoría de directiva contiene una directiva preconfigurada que proporciona una lista de aplicaciones de McAfee y de procesos de Windows concretos. Para evitarlo. Agregar una aplicación Haga clic en Agregar aplicación. haga clic en ? en la página que las muestra. pueden darse muchos eventos de falsos positivos. Configuración de una directiva de aplicaciones de confianza Configure las opciones de la directiva para enumerar las aplicaciones consideradas seguras en un entorno determinado. confianza. eliminar y exportar las directivas personalizadas. Haga lo siguiente. lo que permite un perfil más detallado de uso de aplicaciones de confianza. duplicar. cuando se ejecuta una aplicación de copias de seguridad.Configuración de directivas generales Definición de aplicaciones de confianza Para.. 4 Haga clic en Guardar para guardar los cambios. El mantenimiento de una lista de aplicaciones seguras en un sistema reduce o elimina la mayoría de falsos positivos. una aplicación de confianza se supervisa igualmente. Guía del producto McAfee Host Intrusion Prevention 8. Por ejemplo. cambiar el nombre. Una solución mejor es crear una lista de aplicaciones de confianza. convierta la aplicación de copias de seguridad en una aplicación de confianza..0 para ePolicy Orchestrator 4. Para obtener más detalles. Al afinar un despliegue. La directiva Aplicaciones de confianza es una directiva de múltiples instancias. que son aplicaciones que se reconocen como seguras en un entorno determinado. Se muestra la lista de directivas. Por lo tanto.. así que puede asignar más de una instancia de directiva. 2 En la lista de directivas Aplicaciones de confianza. Tarea Para ver la definición de las opciones. 1 Vaya a Sistema | Catálogo de directivas y seleccione Host Intrusion Prevention: General en la lista Producto y Aplicaciones de confianza en la lista Categoría.. haga clic en Editar en Acciones para cambiar la configuración de una directiva personalizada. consulte Creación y edición de reglas de aplicaciones de confianza.

Para obtener más información. Asignación de varias instancias de la directiva Asignación de una o más instancias de la directiva a un grupo o sistema en el árbol de sistemas de ePolicy Orchestrator para la protección con varios fines de una única directiva.. Tarea Para ver la definición de las opciones.0 . Para obtener más información sobre el catálogo. Se le pedirá que indique la directiva. haga clic en ? en la página que las muestra. Haga clic en Guardar para guardar los cambios. 1 En la página de la directiva Aplicaciones de confianza.0 para ePolicy Orchestrator 4. Haga clic en: • Editar para editar una aplicación existente. 88 Guía del producto McAfee Host Intrusion Prevention 8. NOTA: puede agregar un ejecutable existente desde el catálogo de IPS en host haciendo clic en Agregar desde catálogo. Creación y edición de reglas de aplicaciones de confianza Edite aplicaciones de confianza existentes o cree aplicaciones nuevas para tener una lista de todas las aplicaciones consideradas seguras para su entorno. • Duplicar para hacer una copia de la aplicación dentro de la misma directiva con el nombre "copia de" la aplicación original. 4 Haga clic en Aceptar para guardar los cambios. haga clic en Nueva aplicación de confianza para crear una nueva regla o haga clic en Editar . para editar una regla existente. • Eliminar para eliminar aplicaciones. también si la aplicación es de confianza para IPS.. Realizar una acción en una sola aplicación 4 • Desactivar para desactivar una aplicación activada. consulte Creación y edición de reglas de aplicaciones de confianza. NOTA: también puede crear aplicaciones de confianza basándose en un evento.. • Eliminar para quitar la aplicación de la lista. consulte Cómo funciona el catálogo de IPS en host en Configuración de directivas de firewall. consulte Crear una aplicación de confianza a partir de un evento en Configuración de directivas IPS. 2 Escriba o edite el nombre y el estado de la aplicación. Realizar una acción en una o más aplicaciones al mismo Selecciónelas y haga clic en: tiempo • Activar para activar una aplicación desactivada. • Copiar a para copiar aplicaciones en otra directiva.. Haga lo siguiente. Para obtener más detalles.Configuración de directivas generales Definición de aplicaciones de confianza Para. 3 Haga clic en Nuevo para agregar un ejecutable para la aplicación. firewall o ambos.en Acciones.

las dos últimas configuradas de forma más específica para sistemas de destino que funcionen como servidores IIS. donde puede aplicar una directiva general predeterminada. seleccione Host Intrusion Prevention 8.Configuración de directivas generales Definición de aplicaciones de confianza La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias múltiples que pueden tener asignada más de una instancia. en la ficha Sistemas seleccione el sistema y seleccione Más acciones | Modificar directivas en un solo sistema. haga clic en Ver Directiva efectiva. Una directiva de varias instancias puede ser útil para un servidor IIS. haga clic en Nueva instancia de directiva y seleccione una directiva de la lista de Directivas asignadas para la instancia adicional de la directiva. 2 En Directivas. un vínculo a Directiva efectiva aparece para proporcionar una vista de los detalles de las directivas de instancias combinadas.0: IPS/General en la lista Producto. y para Reglas IPS/Aplicaciones de confianza. seleccione un grupo del Árbol de sistemas que contenga el sistema y. a continuación. por ejemplo.0 para ePolicy Orchestrator 4. 1 Vaya a Sistemas | Árbol de sistemas y seleccione el grupo que desee en el árbol de sistemas.0 89 . Cuando asigna instancias múltiples. haga clic en ? en la interfaz. McAfee recomienda que estas dos directivas se apliquen siempre para asegurarse de que la protección está tan actualizada como sea posible. haga clic en Editar asignaciones. NOTA: para un sistema único. una directiva de servidor y una directiva IIS. está asignando una unión de todos los elementos de cada instancia de la directiva. NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza cuando se actualiza el contenido. Para las directivas que tienen instancias múltiples. Guía del producto McAfee Host Intrusion Prevention 8. Tarea Para ver las definiciones de las opciones. 3 En la página Asignación de directiva. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias múltiples. 4 Haga clic en Guardar para guardar todos los cambios.

Solaris y Linux. seleccione Host Intrusion Prevention para mostrar un menú con métodos abreviados desde el que podrá abrir la consola. Configurar Abrir la consola de cliente de Host Intrusion Prevention.0 .. Con McAfee Agent 4.. las opciones se bloquean y solo podrá ver la configuración actual. pero todas las versiones tienen la funcionalidad de solución de problemas.Uso de clientes de Host Intrusion Prevention El cliente de Host Intrusion Prevention se puede instalar en plataformas Windows. Para hacer esto. que muestra el número de versión y otra información del producto. Abrir el cuadro de diálogo Acerca de Host Intrusion Prevention.exe en C:\Archivos de programa\McAfee\Host Intrusion Prevention.. Tabla 8: Menú de McAfee Agent 4. Para mostrarla. Acerca de.0 Haga clic con el botón derecho en el icono de McAfee Agent. proporciona acceso a la consola de cliente de IPS en host.. Cuando aparece por primera vez la consola del cliente. Para obtener control completo de todas las opciones de la consola. Guía del producto McAfee Host Intrusion Prevention 8. Para obtener más detalles acerca de la creación y el uso de contraseñas. Contenido Introducción al cliente Windows Introducción al cliente Solaris Introducción al cliente Linux Introducción al cliente Windows La gestión directa del cliente Windows de Host Intrusion Prevention está disponible a través de una consola de cliente. La funcionalidad será distinta según la versión de McAfee Agent instalada en el cliente. utilice el menú del icono de la bandeja de McAfee o ejecute McAfeeFire. Menú Icono de la bandeja de sistema Cuando aparece el icono de McAfee en la bandeja de sistema. Solo el cliente Windows tiene una interfaz.0 para ePolicy Orchestrator 4. Aquí se describen las funciones básicas de cada versión de cliente. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales.0 90 Haga clic en. desbloquee la interfaz con una contraseña...

. Solo disponible si la función está activada. Para hacer esto. Para hacer esto.. estos comandos adicionales estarán disponibles: Tabla 10: Menú de McAfee Agent 4.0 con Permitir desactivación Haga clic en.. no se podrá acceder a IPS en host con el icono de la bandeja de sistema. Si McAfee Agento no aparece en la bandeja de sistema... También en Configuración rápida.5 Haga clic en.. Tabla 11: Configuración rápida del menú de McAfee Agent 4. si la opción Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa se ha seleccionado para un grupo Guía del producto McAfee Host Intrusion Prevention 8. Desactivar IPS Desactivar la función IPS.0 91 . Esto incluye la funcionalidad IPS en host e IPS de red. Desactivar Firewall Desactivar la función Firewall. estas opciones de Host Intrusion Prevention estarán disponibles si la opción Permitir la desactivación de las funciones desde el icono de la bandeja está seleccionada en una directiva aplicada de IU de cliente. Desactivar todo Desactivar las funciones IPS y Firewall. Si se ha seleccionado Activar el grupo sincronizado del menú del icono de la bandeja de McAfee de la ficha Programa para un grupo de firewall en una directiva aplicada de Reglas del firewall.0 para ePolicy Orchestrator 4.... Solo disponible si la función está activada. Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso. Para hacer esto. NOTA: tanto McAfee Agent como el cliente de IPS en host deben estar configurados para mostrar un icono para este acceso. IPS de red Activar y desactivar la protección de IPS de red. IPS en host Activar y desactivar la protección de IPS en host. En Configuración rápida. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo. restablece el tiempo de los grupos.. Firewall Activar y desactivar la protección del firewall. Restaurar configuración Activar todas las funciones desactivadas.. Disponible solo si alguna función se ha desactivado. Con McAfee Agent 4. aunque el cliente esté configurado para mostrar un icono de bandeja..Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Si se selecciona Permitir la desactivación de las funciones desde el icono de la bandeja en una directiva IU de cliente aplicada. estarán disponibles algunos o todos estos comandos adicionales: Tabla 9: Menú de McAfee Agent 4.5 Haga clic con el botón derecho en McAfee Agent en la bandeja de sistema y seleccione Gestionar funciones | Host Intrusion Prevention para abrir la consola.0 con Activar grupo sincronizado Haga clic en. Disponible solo si las dos funciones están activadas. Cada vez que selecciona este comando.

haga clic con el botón derecho en el icono de McAfee. Configurar. El cliente no reconoce la contraseña hasta que la actualización de la directiva tiene lugar.. Configurar. Activar grupos de firewall sincronizados de IPS en host Activar los grupos de firewall sincronizados durante una cantidad de tiempo establecida para permitir el acceso no de red a Internet antes de que se apliquen las reglas que restringen el acceso. elija una de las siguientes: • Con McAfee Agent 4. se restablece el tiempo de los grupos.exe. Las contraseñas fijas que no caducan y las contraseñas temporales permiten que el administrador y el usuario desbloqueen temporalmente la interfaz para hacer cambios. haga clic con el botón derecho en el icono de McAfee. 3 En el cuadro de diálogo Inicio de sesión. Desbloqueo de la interfaz del cliente Windows Un administrador que. esté gestionando Host Intrusion Prevention por medio de ePolicy Orchestrator. Esto sucede en la actualización programada de la directiva o si se fuerza una actualización inmediata de la directiva. después. que se corresponden con funciones específicas de Host Intrusion Prevention. • En la carpeta C:\Program Files\McAfee\Host Intrusion Prevention. La consola le permite ver y configurar información de las funciones de Host Intrusion Prevention. Antes de empezar Asegúrese de que la directiva IPS en host General: IU de cliente. seleccione Host Intrusion Prevention y. 92 2 Abra la consola del cliente y seleccione Tarea | Desbloquear interfaz de usuario. Consola de clientes para clientes Windows La consola de clientes Host Intrusion Prevention le da acceso a varias opciones de configuración. Contiene varias fichas. a continuación. escriba la contraseña y haga clic en Aceptar. puede proteger con contraseña la interfaz para evitar cambios accidentales. Cada vez que selecciona este comando.. seleccione Gestionar funciones.. Guía del producto McAfee Host Intrusion Prevention 8..5. • Con McAfee Agent 4. se haya aplicado al cliente. que incluye la configuración de contraseña.0 para ePolicy Orchestrator 4. Host Intrusion Prevention y. desde remoto. estos comandos adicionales estarán disponibles: Tabla 12: Menú de McAfee Agent 4. consulte Establecer opciones avanzadas y contraseñas de IU de cliente en Configuración de directivas generales. Para hacer esto. ejecute McAfeeFire. Tarea 1 Obtenga una contraseña del administrador de Host Intrusion Prevention. Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el en host tiempo restante de activación de cada grupo.0 .Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows de firewall en una directiva aplicada de Reglas del firewall. Para abrir la consola. NOTA: para obtener más detalles acerca de la creación de contraseñas.0.5 con Activar grupo sincronizado Haga clic en.

Para que esto ocurra. Guía del producto McAfee Host Intrusion Prevention 8.cap en C:\Program Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events o en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events (solo IPS). primero debe desbloquear la consola del cliente con una contraseña. inglés. Tabla 13: Opciones de la consola del cliente Seleccione. la interfaz aparecerá en el idioma del sistema operativo en el que se instala el cliente... 2 Seleccione el idioma para la interfaz de la consola del cliente y haga clic en Aceptar. alemán. Registro: IPS * Determina qué tipo de mensaje de IPS se registra. Solución de problemas del cliente Windows Host Intrusion Prevention incluye una función de solución de problemas.0 para ePolicy Orchestrator 4..Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Definición de opciones de IU de cliente La consola del cliente de Host Intrusion Prevention proporciona acceso a algunas opciones determinadas por la directiva IU de cliente y permite personalizarlas para cada cliente individual.0 93 . coreano. Si selecciona "Automático". aparece una alerta (solo IPS). japonés. portugués. Mostrar alerta emergente Cuando se produce un ataque. francés. ruso y español. Tarea 1 En la consola del cliente. Reproducir sonido Se reproduce un sonido cuando se produce un ataque (solo IPS). seleccione y desactive opciones según sea necesario y haga clic en Aceptar. Mostrar icono de la bandeja Host Intrusion Prevention aparece debajo del menú del icono de la bandeja del sistema de McAfee. Antes de empezar Para realizar la tarea siguiente. Crear captura de analizador si está disponible Se agrega una columna de captura al Registro de actividad para indicar que se han capturado los datos del intruso.. italiano. 3 Seleccione Edición | Opciones. que está disponible en el menú Ayuda cuando se bloquea la interfaz. Estas son las opciones disponibles: Tabla 14: Opciones de solución de problemas Opción Definición Registro: firewall Determina qué tipo de mensaje de firewall se registra. 4 En el cuadro de diálogo Opciones de Host Intrusion Prevention. Se guarda en un archivo FirePacketX. Mostrar notificación en bandeja del sistema El icono de bandeja de sistema indica el estado de un ataque cuando este se produce (solo IPS). seleccione Tarea | Establecer idioma de la interfaz de usuario. Las opciones incluyen: chino.

3 Haga clic en Aceptar. Tarea 1 En la consola de IPS en host. Consulte Utilidad Clientcontrol. puede crear registros de actividad del firewall que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas. La información se escribe en HipShield.0 . * Esta opción está disponible solo con la protección IPS.exe en Apéndice B -. Mostrar el producto en la lista Agregar/Quitar programas Permitir que IPS en host aparezca en la lista Agregar/Quitar programas y que se pueda quitar del cliente. Esta utilidad de línea de comando.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention. NOTA: McAfee ofrece una utilidad (ClientControl.exe) para ayudar a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention en equipos cliente. puede crear registros de actividad IPS que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas. Realice esta tarea para activar el registro IPS. en C:\Archivos de programa\McAfee\Host Intrusion Prevention. Tarea 94 1 En la consola de IPS en host. 2 Seleccione el tipo de mensaje de IPS: • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado. Definición de opciones de registro del firewall Como parte de la solución de problemas.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Opción Definición Infracciones de seguridad de registro * Activar la creación de registros de seguridad de IPS en el registro de IPS. Funcionalidad * Desactivar y activar los motores de clase de IPS en host como parte de la solución de problemas.Solución de problemas para obtener más información. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. 2 Seleccione el tipo de mensaje del firewall: Guía del producto McAfee Host Intrusion Prevention 8. se suministra como parte de la instalación y se encuentra en el cliente.0 para ePolicy Orchestrator 4. Definición de opciones de registro IPS Como parte de la solución de problemas. Realice esta tarea para activar el registro del firewall. seleccione Ayuda | Solución de problemas. que puede incluirse en las cadenas de instalación y mantenimiento para desactivar temporalmente la protección IPS y activar las funciones de registro. seleccione Ayuda | Solución de problemas. no se registrará ningún mensaje.

seleccione Ayuda | Solución de problemas y haga clic en Funcionalidad. no se registrará ningún mensaje. Las alertas de firewall sólo aparecen cuando el cliente se encuentra en modo de aprendizaje para estas funciones. Cuando el archivo alcanza los 100 MB. 4 Una vez resuelto el problema. Respuesta a alertas de intrusos Si activa la protección IPS y la opción Mostrar alerta emergente. 3 Haga clic en Aceptar. La información se escribe en FireSvc.log en C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\. anule la selección de uno o más motores. NOTA: SQL y HTTP aparecen en la lista solo si el cliente se ejecuta en un sistema operativo del servidor. Desactivación de motores IPS en host Como parte de la solución de problemas.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows • Depurar • Desactivado • Error • Información • Advertencia Si el tipo de mensaje está configurado como Desactivado. Para entender mejor qué protege cada clase. Si el cliente se encuentra en modo de adaptación. 1 En la consola de IPS en host. incluidos la descripción del ataque. aparecerá automáticamente una alerta cuando Host Intrusion Prevention detecte un ataque potencial. haga clic en ? en la interfaz.0 95 . el Guía del producto McAfee Host Intrusion Prevention 8. se crea un archivo nuevo. La ficha Información sobre intrusos muestra los detalles del ataque que generó la alerta. el equipo de usuario o cliente en el que se produjo el ataque. 3 Haga clic en Aceptar. Alertas del cliente Windows Un usuario puede encontrar muchos tipos de mensaje de alerta y necesita reaccionar de manera acorde. también puede desactivar los motores de clase que protegen a un cliente. vuelva a seleccionar todos los motores para los que se haya anulado la selección en el cuadro de diálogo Motores HIPS. McAfee recomienda que solo utilicen este procedimiento de solución de problemas los administradores que estén en comunicación con el departamento de soporte de McAfee. Tarea Para ver las definiciones de las opciones. del firewall y de detección de simulaciones. Entre estos mensajes se encuentran las alertas de detección de intrusos. 2 En el cuadro de diálogo Motores HIPS.0 para ePolicy Orchestrator 4. consulte la sección Escritura de firmas personalizadas. en Windows Vista y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. esta alerta aparece solo si la opción Permitir reglas del cliente está desactivada para la firma que hizo que se produjera el evento. Para desactivar todos los motores. anule la selección de Activar/Desactivar todos los motores.

Para hacer que las alertas vuelvan a aparecer después de seleccionar esta opción. puede seleccionar Todos los hosts. Opcional: seleccione opciones para la nueva regla de firewall: Seleccione. Crear una regla de firewall para una aplicación para todos los puertos y servicios Crear una regla para permitir o bloquear el tráfico de una aplicación a través de cualquier puerto o servicio.0 para ePolicy Orchestrator 4. Este botón sólo estará activo si la opción Permitir que el usuario notifique al administrador está activada en la directiva IU de cliente aplicada. seleccione Mostrar alerta emergente en el cuadro de diálogo Opciones. realice una de las operaciones siguientes: • Haga clic en Denegar para bloquear este tráfico y el similar. Además. aparece una alerta del firewall y se requiere una respuesta del usuario. La sección Información de conexión muestra información sobre el protocolo de tráfico.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows proceso implicado en el ataque y la fecha y hora en la que Host Intrusion Prevention lo interceptó. puede aparecer un mensaje genérico especificado por el administrador.. Para hacer esto. Tarea 1 En el cuadro de diálogo de alerta. incluidos el nombre.0 . el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre del proceso. Si la alerta es resultado de una firma IP de host. Además. puede hacer clic en Notificar al administrador para enviar información acerca del evento al administrador de Host Intrusion Prevention. pero no ambos. El nombre de usuario siempre se incluye en la excepción. Seleccione No mostrar alertas de eventos IPS para dejar de mostrar las alertas de eventos IPS.. si se ha enviado más de una alerta. el usuario y la firma.. la ruta y la versión de la aplicación. La sección Información de aplicación muestra la información de la aplicación que está intentando acceder a la red. Guía del producto McAfee Host Intrusion Prevention 8.. Respuesta a alertas de firewall Si activa la protección del firewall y el modo de aprendizaje para el tráfico entrante o saliente. 2 • Haga clic en Permitir para permitir que pase por el firewall este tráfico y el similar. la nueva regla de firewall permitirá o bloqueará solo los puertos específicos: • 96 Si el tráfico interceptado usa un puerto inferior a 1024. o crear una regla de excepción para el evento haciendo clic en Crear excepción. Puede ignorar el evento haciendo clic en Ignorar. la nueva regla permitirá o bloqueará solo ese puerto específico. la dirección y los puertos. el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre de la firma y la dirección IP del host. NOTA: los botones Anterior y Siguiente están disponibles en la sección Información de conexión si hay información adicional de protocolos o puertos para una aplicación. Puede seleccionar Todas las firmas o Todos los procesos. Los botones Anterior y Siguiente están disponibles en la parte inferior del cuadro de diálogo. Como opción. Si la alerta es resultado de una firma IPS de red. El botón Crear excepción está activo solo si la opción Permitir reglas del cliente está activada para la firma que hizo que se produjera el error. NOTA: esta alerta de intrusión también aparece en las intrusiones del firewall si coincide con una regla de firewall que tenga la opción Tratar coincidencia de regla como intruso seleccionada. Si no selecciona esta opción.

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Seleccione...

Para hacer esto...

Eliminar esta regla cuando la aplicación se cierre

Si el tráfico usa el puerto 1024 o superior, la nueva
regla permitirá o bloqueará el rango de puertos de
1024 a 65535.

Crear una regla temporal de permiso o bloqueo que se
borra cuando se cierra la aplicación. Si no selecciona
estas opciones, la nueva regla de firewall se crea como
regla permanente de cliente.

Host Intrusion Prevention crea una nueva regla de firewall según las opciones seleccionadas,
la agrega a la lista de directivas Reglas de firewall y permite o bloquea automáticamente
el tráfico similar.

Respuesta a alertas de simulación detectada
Si activa la protección de firewall, aparece automáticamente una alerta de simulación si Host
Intrusion Prevention detecta una aplicación en su equipo que envíe tráfico de red simulado, y
se requiere la respuesta de un usuario.
Esto quiere decir que la aplicación está intentando hacer que parezca que el tráfico de su equipo
llega en realidad de un equipo diferente. Esto se puede hacer cambiando la dirección IP en los
paquetes salientes. La simulación siempre es una actividad sospechosa. Si ve este cuadro de
diálogo, investigue inmediatamente la aplicación que está enviando el tráfico simulado.
NOTA: el cuadro de diálogo Alerta de simulación detectada aparece solo si selecciona la opción
Mostrar alerta emergente. Si no selecciona esta opción, Host Intrusion Prevention bloqueará
automáticamente el tráfico simulado sin notificarle.
El cuadro de diálogo Alerta de simulación detectada es muy similar a la alerta de la función
Modo de aprendizaje del firewall. Muestra información acerca del tráfico interceptado, en dos
áreas: la sección Información de la aplicación y la sección Información de la conexión.
La sección Información de la aplicación muestra:
• La dirección IP de la que el tráfico simula llegar.
• Información acerca del programa que generó el tráfico simulado.
• La fecha y la hora a la que Host Intrusion Prevention interceptó el tráfico.
La sección Información de conexión proporciona información adicional de la red. En especial,
Dirección local muestra la dirección IP que la aplicación simula tener, mientras que Dirección
remota muestra la dirección IP real.
Cuando Host Intrusion Prevention detecta tráfico simulado en la red, bloquea tanto el tráfico
como la aplicación que lo generó.

Acerca de la ficha Directiva de IPS
La ficha Directiva de IPS se usa para configurar la función IPS, que protege contra los ataques
de intruso al host según reglas de firmas y de comportamiento. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de excepción de cliente. Para obtener más
detalles acerca de las directivas de IPS, consulte Configuración de directivas de IPS.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

97

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

La ficha Directiva de IPS muestra las reglas de excepción importantes para el cliente y
proporciona información resumida y detallada de cada regla.
Tabla 15: Ficha Directiva de IPS
Esta columna...

Muestra

Excepción

Nombre de la excepción.

Firma

Nombre de la firma para la que se crea la excepción.

Aplicación

Aplicación a la que se aplica esta regla, incluidos el nombre
de programa y el nombre del archivo ejecutable.

Personalización de las opciones de Directiva IPS
Las opciones de la parte superior de la ficha controlan la configuración realizada desde las
directivas IPS del servidor después de que se haya desbloqueado la interfaz de cliente.
Tarea
1

En la consola del cliente de IPS en host, haga clic en la ficha Directiva IPS.

2

Seleccione o quite la selección de una opción, según necesite.
Seleccione...

Para hacer esto...

Activar IPS en host

Activar la protección de Host Intrusion Prevention.

Activar IPS de red

Activar la protección de red de Host Intrusion
Prevention.

Activar el modo de adaptación

Activar el modo de adaptación para crear
automáticamente excepciones a las firmas de
prevención de intrusos.

Bloquear atacantes automáticamente

Bloquear los ataques de intrusos automáticamente
durante un periodo de tiempo establecido. Indique el
número de minutos en el campo min.

Creación y edición de reglas de excepción de directivas de IPS
Ver, crear y editar reglas de excepción de IPS en la ficha Directiva de IPS del cliente.
Tarea

98

1

En la ficha Directiva IPS, haga clic en Agregar para agregar una regla.

2

En el cuadro de diálogo Regla de excepción, escriba una descripción de la regla.

3

Seleccione la aplicación a la que se aplica la regla de la lista de aplicaciones, o haga clic
en Examinar para localizar la aplicación.

4

Seleccione La regla de excepción está activa para activar la regla. La excepción se
aplica a todas las firmas, que no está activada ni seleccionada de manera
predeterminada, aplica la excepción a todas las firmas.

5

Haga clic en Aceptar.

6

Para hacer otras ediciones, realice una de las acciones siguientes:

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Windows

Para...

Haga lo siguiente...

Ver los detalles de una regla o editar una regla

Haga doble clic en una regla, o seleccione una regla y
haga clic en Propiedades. El cuadro de diálogo Regla
de excepción aparece para mostrar la información
que puede editarse de la regla.

Hacer regla activa/inactiva

Seleccione o cancele la selección de la casilla de
verificación La regla de excepción está activa en el
cuadro de diálogo Regla de excepción. También
puede seleccionar o quitar la marca de selección de la
casilla de verificación junto a un icono de regla en la
lista.

Eliminar una regla

Seleccione una regla y haga clic en Eliminar.

Aplicar cambios inmediatamente

Haga clic en Aplicar. Si no hace clic en este botón
después de hacer cambios, aparecerá un cuadro de
diálogo que le pedirá que guarde los cambios.

Acerca de la ficha Directiva de firewall
Use la ficha Directiva de firewall para configurar la función Firewall, que permite o bloquea las
comunicaciones de red según reglas definidas por el usuario. En esta ficha podrá activar o
desactivar la funcionalidad y configurar las reglas de cliente del firewall. Para obtener más
información acerca de las directivas de firewall, consulte Configuración de directivas de firewall.
La lista de reglas de firewall muestra reglas y grupos de reglas relacionados con el cliente y
muestra un resumen e información detallada de cada regla. Las reglas que se muestran en
cursiva no pueden editarse.
Tabla 16: Ficha Directiva de firewall
Elemento

Descripción

Casilla de verificación

Indica si la regla está activa (marcada) o no (sin marca).
En las reglas que se muestran en cursiva, puede activar
o desactivar la regla con la casilla de verificación.

Grupo del firewall

Grupo sincronizado
Grupo con reconocimiento de ubicación

Regla de firewall

Muestra la lista de reglas que incluye. Haga clic en la casilla
más para mostrar las reglas y haga clic en la casilla menos
para ocultarlas.
Indica si el grupo es un grupo sincronizado.
Indica si el grupo es un grupo con reconocimiento de
ubicación.
Muestra las propiedades básicas de la regla. Haga clic en
la casilla más para mostrar las propiedades y haga clic en
la casilla menos para ocultarlas.

Acción de la regla
Indica si la regla permite el tráfico

o si lo bloquea

.
Dirección de la regla
Indica si la regla se aplica al tráfico de
tráfico de

salida, o a ambos

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

entrada, al

.

99

y no grupos. crear y editar reglas de firewall en la ficha Directiva de firewall del cliente. subred. 2 Seleccione o quite la selección de una opción. 5 Para hacer otras ediciones. Aplicaciones Las aplicaciones a las que se aplica esta regla. haga clic en Agregar para agregar una regla.. incluido el nombre del archivo ejecutable. una gama de direcciones. dominio u otros identificadores específicos de esta regla. Para. 2 En la página General.. Planificación El programa. 4 Haga clic en Finalizar para guardar la nueva regla.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Personalización de las opciones de la Directiva de firewall Las opciones de la parte superior de la ficha controlan la configuración realizada desde las directivas de firewall del servidor después de que se haya desbloqueado la interfaz de cliente. según necesite. estado. Tarea 1 En la ficha Directiva del firewall.. Seleccione.. de la regla. en la consola del cliente.. Puede definir una dirección individual. una lista de direcciones específicas o especificar todas las direcciones. 100 Para esta página.. NOTA: cada página del creador de reglas se corresponde con una ficha del creador de reglas de firewall en la directiva Reglas de firewall. realice una de las acciones siguientes: Guía del producto McAfee Host Intrusion Prevention 8. Introduzca esta información. Activar la protección de la directiva de firewall Activar firewall Activar el modo de aprendizaje para el tráfico entrante Modo de aprendizaje para tráfico entrante Activar el modo de aprendizaje para el tráfico saliente Modo de aprendizaje para tráfico saliente Activar el modo de adaptación Modo de adaptación Ver redes de confianza Redes de confianza Creación y edición de reglas de Firewall Ver.0 para ePolicy Orchestrator 4. Redes La dirección IP. 3 Haga clic en Siguiente para seguir hacia las otras páginas y cambiar la configuración predeterminada. escriba el nombre de la regla y seleccione la información de la acción y dirección de la regla. NOTA: solo puede crear reglas.0 . Transporte El protocolo y las direcciones locales o remotas a las que se aplica esta regla. Tarea 1 En la consola del cliente de IPS en host. haga clic en la ficha Directiva de firewall... acción y dirección de la regla. si existe. General El nombre.

0 para ePolicy Orchestrator 4. Si Host Intrusion Prevention agregó esta dirección a la lista debido a un intento de ataque al sistema. Acerca de la ficha Hosts bloqueados Utilice la ficha Hosts bloqueados para controlar una lista de hosts bloqueados (direcciones IP) que se crea automáticamente cuando la protección IPS de red (NIPS) está activada.. Hacer una copia de una regla existente Seleccione la regla (normalmente una regla predeterminada que no se puede editar) y haga clic en Duplicar. Hora La fecha y hora a las que se agregó esta dirección a la lista de direcciones bloqueadas. Ver los detalles de una regla o Seleccione una regla y haga clic en Propiedades. El cuadro de diálogo del editar una regla creador de reglas de firewall aparece y muestra la información de la regla.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Para. Haga lo siguiente. La lista de hosts bloqueados muestra todos los hosts bloqueados actualmente por Host Intrusion Prevention. Si especificó una hora de caducidad cuando bloqueó la dirección. Guía del producto McAfee Host Intrusion Prevention 8. esta columna mostrará Hasta su eliminación. Si agregó esta dirección manualmente. Eliminar una regla Seleccione una regla y haga clic en Eliminar.. Tabla 17: Ficha Hosts bloqueados Columna Qué muestra Origen La dirección IP que Host Intrusion Prevention está bloqueando. esta columna muestra el nombre de la regla de firewall correspondiente. puede agregar hosts bloqueados o editarlos. esta columna mostrará el número de minutos que quedan para que Host Intrusion Prevention elimine la dirección de la lista. Hacer regla activa/inactiva Seleccione o quite la marca de la casilla de verificación junto a Activado en la página General de la regla del firewall. Aplicar cambios inmediatamente Haga clic en Aplicar. Motivo del bloqueo Una explicación de por qué Host Intrusion Prevention está bloqueando dicha dirección. Si la regla no está en cursiva. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. Si no hace clic en este botón después de hacer cambios. Cada línea representa un solo host. Tiempo restante Durante cuánto tiempo Host Intrusion Prevention continúa bloqueando esta dirección.. Si Host Intrusion Prevention agregó esta dirección porque una de sus reglas de firewall utilizó la opción Tratar coincidencia de regla como intruso. Si Crear reglas de cliente está seleccionado en la directiva Opciones de IPS en la consola de ePolicy Orchestrator. esta columna describe el tipo de ataque. Puede obtener más información acerca de los hosts leyendo la información de cada columna. También puede seleccionar o quitar la marca de selección de la casilla de verificación junto a una regla en la lista. esta columna muestra solo la dirección IP que bloqueó. podrá editarla.0 101 . Si especificó que deseaba que la dirección estuviera bloqueada hasta que se quitara manualmente de la lista..

Haga lo siguiente. PID La ID del proceso. haga clic en Búsqueda de DNS. Tabla 18: Ficha Protección de aplicaciones Columna Qué muestra Proceso El proceso de la aplicación. realice una de las acciones siguientes: Para. 102 Guía del producto McAfee Host Intrusion Prevention 8.Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Edición de la lista de hosts bloqueados Edite la lista de direcciones bloqueadas para agregar. quitar. 3 Escriba el número de minutos. Acerca de la ficha Lista de protección de aplicaciones La ficha Lista de protección de aplicaciones muestra una lista de aplicaciones protegidas en el cliente. 2 En el cuadro de diálogo Host bloqueado. 5 Para hacer otras ediciones. La lista muestra todos los procesos supervisados por el cliente.0 . hasta 60.. Host Intrusion Prevention agrega una nueva entrada a la lista en la ficha Protección de aplicaciones. Bloqueará cualquier intento de comunicación desde esa dirección IP hasta que la elimine de la lista de direcciones bloqueadas o hasta que pase el tiempo establecido. Esta es una lista de solo lectura llena de directivas administrativas y una aplicación específica de cliente creada heurísticamente. o seleccione un host y haga clic en Propiedades. Si encuentra ahí el nombre del host.. Aplicar cambios inmediatamente Haga clic en Aplicar.. Borrar un host bloqueado Seleccione un host y haga clic en Eliminar.0 para ePolicy Orchestrator 4. El Registro de actividad contiene un registro continuo de las actividades. que es la clave para la búsqueda en caché de un proceso. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. Tarea 1 Haga clic en Agregar para agregar un host. que se bloqueará la dirección IP. cambiar o ver hosts bloqueados. Las actividades más recientes aparecen en la parte inferior de la lista. Si no hace clic en este botón después de hacer cambios. haga clic en Usar. El cuadro de diálogo Host bloqueado mostrará la información que se puede editar. Para buscar una dirección IPS por su nombre de dominio. NOTA: después de que haya creado una dirección bloqueada. 4 Haga clic en Aceptar.. Ruta completa de aplicación La ruta completa del ejecutable de la aplicación. indique la dirección IP que desee bloquear. Ver o editar los detalles de un host bloqueado Haga doble clic en una entrada de host. Acerca de la Ficha Registro de actividad Use la ficha Registro de actividad para configurar la función de creación de registro y realizar un seguimiento de las acciones de Host Intrusion Prevention.

0 103 . NOTA: esta columna aparecerá solo si selecciona Crear captura de rastreador. Para hacer esto.. Guía del producto McAfee Host Intrusion Prevention 8. en el cuadro de diálogo Opciones de McAfee Host Intrusion Prevention. Seleccione. • Servicio indica un evento relacionado con el servicio o los controladores del software. haga clic en la ficha Registro de actividad. 2 Seleccione o quite la selección de una opción. Opciones de Filtro: tráfico Filtrar los datos para mostrar el tráfico bloqueado y permitido por el firewall.. pero no para la función IPS.. Evento La función que realizó la acción. Puede exportar los datos de paquete asociados con esta entrada del registro. Sin embargo. tan detallada como sea posible. • Tráfico indica una acción del firewall. Registro del tráfico: registrar todos los permitidos Registrar todo el tráfico permitido por el firewall.. NOTA: puede activar y desactivar la creación de registros para el tráfico del firewall. Regla coincidente El nombre de la regla coincidente. Aplicación El programa que causó la acción. según necesite. Personalización de las opciones de Registro de actividad Las opciones de la parte superior de la ficha controlan la configuración de registro realizada desde las directivas IU de cliente del servidor después de que se haya desbloqueado la interfaz de cliente.. así que debe desplazarse o cambiar el tamaño de la columna para ver la columna y su contenido. NOTA: esta columna se encuentra en el extremo derecho de la pantalla.0 para ePolicy Orchestrator 4. puede elegir ocultar estos eventos en el registro mediante filtrado. Mensaje Descripción de la acción. Datos de intruso Un icono que indica que Host Intrusion Prevention guardó el paquete de datos asociado con este ataque (solo aparece para las entradas de registro de IPS).Uso de clientes de Host Intrusion Prevention Introducción al cliente Windows Columna Qué muestra Hora La fecha y la hora de la acción Host Intrusion Prevention. Tarea 1 En la consola del cliente de IPS en host. Usuario/Dirección IP La dirección remota a la que esta comunicación se envió o desde la que se envió. Haga clic con el botón derecho en la entrada del registro para guardar los datos en un archivo de rastreador.. Opciones de Filtro: intrusos Filtrar los datos para mostrar los intrusos. Registro del tráfico: registrar todos los bloqueados Registrar todo el tráfico bloqueado por el firewall. • Intruso indica una acción de IPS. • Sistema indica un evento relacionado con los componentes internos del software. • Aplicación indica una acción de un bloqueo de aplicación.

0 104 IU de cliente Ninguna excepto de administración o contraseña basada en tiempos para permitir el uso de la herramienta de solución de problemas. pero no ofrece protección del firewall. A continuación se enumeran las directivas válidas.0 .0 Ninguna Guía del producto McAfee Host Intrusion Prevention 8. de la ficha elija un nombre y guarde el archivo . General de Host Intrusion Prevention 8. Haga lo siguiente... Si no hace clic en este botón después de hacer cambios.0 Opciones IPS • Activar HIPS • Activar el modo de adaptación • Conservar reglas de cliente existentes Protección de IPS Todos Reglas IPS • Reglas de excepción • Firmas (solo reglas de HIPS predeterminadas y personalizadas) NOTA: las firmas NIPS y Reglas de protección de aplicaciones no están disponibles. Actualizar la pantalla Haga clic en Actualizar. Aplicar cambios inmediatamente Haga clic en Aplicar.txt. Borrar permanentemente el contenido del registro Haga clic en Borrar. Tabla 19: Directivas del cliente Solaris Directiva Opciones disponibles IPS de Host Intrusion Prevention 8. En el cuadro de diálogo que aparece. Aplicación de directivas con el cliente Solaris No todas las directivas que protegen un cliente Windows están disponibles para el cliente Solaris. Redes de confianza Ninguna Aplicaciones de confianza Solo Marcar como de confianza para IPS y Nombre de nuevo proceso para agregar aplicaciones de confianza. En resumen. Introducción al cliente Solaris El cliente Solaris de Host Intrusion Prevention identifica y evita intentos potencialmente perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Solaris. Firewall de Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.. y previene especialmente ataques de desbordamiento del búfer. aparecerá un cuadro de diálogo que le pedirá que guarde los cambios. junto con los servidores Web Apache y Sun. Protege el sistema operativo del servidor. Guardar los contenidos del registro y borrar la lista Haga clic en Exportar..Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris 3 Haga lo siguiente para cambiar lo que se muestra: Para. Host Intrusion Prevention protege el servidor host de ataques perjudiciales.

hipts logging off Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”. Además. • Activar y desactivar los motores. debe suministrar una contraseña de cliente de Host Intrusion Prevention... Obtener el estado actual del cliente que indica qué tipo hipts status de registro está activado y qué motores están funcionando. • Activar y desactivar la generación de registros de mensajes. El motor está activo de forma predeterminada. hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”.0 105 .0 para ePolicy Orchestrator 4. el mensaje de error está desactivado.. Use la herramienta de solución de problemas para: • Indicar la configuración de registro y el estado del motor del cliente. hipts logging on Desactivar el registro de todos los tipos de mensajes. Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • GUID • MMAP • BO • HTTP Guía del producto McAfee Host Intrusion Prevention 8. Activar el registro de tipos de mensajes específicos. Entre ellas. hipts. Utilice la contraseña predeterminada que se incluye con el cliente (abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela. Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de problemas: Para. El registro está desactivado de forma predeterminada.Uso de clientes de Host Intrusion Prevention Introducción al cliente Solaris Solución de problemas del cliente Solaris Si ha surgido algún problema al instalar o desinstalar el cliente. hay varias cosas que investigar. Puede comprobar si el cliente se está ejecutando y detener y reiniciar el cliente. situada en el directorio opt/McAfee/hip. asegúrese de que todos los archivos se han instalado en el directorio correcto. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”. Ofrece una herramienta de solución de problemas de línea de comandos. hipts message all:off Activar el motor indicado. De manera predeterminada. mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del proceso. Ejecutar. El cliente Solaris no tiene interfaz de usuario para la solución de problemas de funcionamiento.. Para usar esta herramienta. puede encontrar problemas en el funcionamiento del cliente. Los mensajes incluyen: hipts message <message name>:on • error • advertencia • depuración • información • infracciones Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”.

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Solaris

Para...

Ejecutar...

Desactivar el motor indicado.

hipts engines <engine name>:off

Activar todos los motores.

hipts engines all:on

Desactivar todos los motores.

hipts engines all:off

SUGERENCIA: además de usar la herramienta de solución de problemas, consulte los archivos
HIPShield.log y HIPClient.log en el directorio /opt/McAfee/hip/log para comprobar las operaciones
o realizar el seguimiento de problemas.

Comprobación de los archivos de instalación de Solaris
Después de una instalación, compruebe que todos los archivos se instalaron en el directorio
adecuado del cliente. El directorio /opt/McAfee/hip deberá incluir estos archivos y directorios
esenciales:
Archivo/nombre de directorio

Descripción

HipClient; HipClient-bin

Cliente Solaris

HipClientPolicy.xml

Reglas de directiva

hipts; hipts-bin

Herramienta de solución de problemas

*.so

Módulos de objetos compartidos de Host Intrusion Prevention y McAfee
Agent

Directorio de registro

Contiene archivos de registro de depuración y error

El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo para
cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion
Prevention.

Comprobación de que el cliente Solaris se ejecuta
Aunque el cliente esté instalado correctamente, puede encontrarse con problemas de
funcionamiento. Si el cliente no aparece en la consola de ePO, por ejemplo, compruebe que se
está ejecutando mediante alguno de estos comandos:
• /etc/rc2.d/S99hip status
• ps –ef | grep Hip

Detención del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Para detener un cliente en ejecución, desactive primero la protección IPS. Utilice uno de
estos procedimientos:
• Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.

2

106

• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:off
Ejecute el comando: /sbin/rc2.d/S99hip stop

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Reinicio del cliente Solaris
Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de
un problema.
Tarea
1

Ejecute el comando: /sbin/rc2.d/S99hip restart.

2

Active la protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado para
detener el cliente:
• Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
• Tras haber iniciado sesión en raíz, ejecute el siguiente comando: hipts engines MISC:on

Introducción al cliente Linux
El cliente Linux de Host Intrusion Prevention identifica y evita intentos potencialmente
perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Linux. Protege
el sistema operativo del servidor, junto con los servidores Web Apache, y previene especialmente
ataques de desbordamiento del búfer.

Aplicación de directivas con el cliente Linux
No todas las directivas que protegen a un cliente Windows están disponibles para el cliente
Linux. En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales
pero no ofrece protección contra las intrusiones de red, incluido el desbordamiento del búfer.
Las directivas válidas se enumeran a continuación.
Tabla 20: Directivas del cliente Linux
Directiva

Opciones disponibles

IPS de Host Intrusion Prevention 8.0
Opciones IPS

Activar HIPS

Activar el modo de adaptación

Conservar reglas de cliente existentes

Protección de IPS

Todas

Reglas IPS

Reglas de excepción

Firmas (solo reglas de HIPS predeterminadas y
personalizadas)

NOTA: las firmas NIPS y Reglas de protección de
aplicaciones no están disponibles.
General de Host Intrusion Prevention 8.0
IU de cliente

Ninguna excepto de administración o contraseña basada
en tiempos para permitir el uso de la herramienta de
solución de problemas.

Redes de confianza

Ninguna

Aplicaciones de confianza

Solo Marcar como de confianza para IPS y Nombre de
nuevo proceso para agregar aplicaciones de confianza.

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

107

Uso de clientes de Host Intrusion Prevention
Introducción al cliente Linux

Directiva

Opciones disponibles

Firewall de Host Intrusion Prevention 8.0

Ninguna

Notas acerca del cliente Linux
• El cliente Linux de Host IPS 8.0 no es compatible con SELinux en el modo Implementar.
Para desactivar el modo Implementar, ejecute el comando: system-config-securitylevel, cambie
el ajuste a desactivado y reinicie el sistema cliente.
• Cuando se cargan los módulos de núcleo de Host IPS 8.0 de Linux, se informa de que el
núcleo de SUSE ha sido modificado. El registro del núcleo indica lo siguiente: schook: module
not supported by Novell, setting U taint flag; hipsec: module not supported by Novell, setting
U taint flag. Los requisitos de Novell para módulos de terceras partes causan que el núcleo
IPS en host se marque como modificado. Debido a que los módulos de núcleo de Linux de
Host IPS 8.0 tienen licencia de GPL, es necesario ignorar este mensaje. McAfee está
trabajando con Novell para solucionar este problema.

Solución de problemas del cliente Linux
Si ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas que investigar.
Entre ellas, asegúrese de que todos los archivos se han instalado en el directorio correcto,
mediante la desinstalación y reinstalación del cliente y la comprobación de los registros del
proceso. Además, puede encontrar problemas en el funcionamiento del cliente. Puede comprobar
si el cliente se está ejecutando y detener y reiniciar el cliente.
El cliente Linux no tiene interfaz de usuario para la solución de problemas de funcionamiento.
Ofrece una herramienta de solución de problemas de línea de comandos, hipts, situada en el
directorio opt/McAfee/hip. Para usar esta herramienta, debe suministrar una contraseña de cliente
de Host Intrusion Prevention. Utilice la contraseña predeterminada que se incluye con el cliente
(abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de
administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela.
Use la herramienta de solución de problemas para:
• Indicar la configuración de registro y el estado del motor del cliente.
• Activar y desactivar la generación de registros de mensajes.
• Activar y desactivar los motores.
Inicie sesión como root y ejecute los siguientes comandos para ayudar en la solución de
problemas:
Para...

Ejecutar...

Obtener el estado actual del cliente que indica qué tipo
hipts status
de registro está activado y qué motores están funcionando.

108

Activar el registro de tipos de mensajes específicos.

hipts logging on

Desactivar el registro de todos los tipos de mensajes. El
registro está desactivado de forma predeterminada.

hipts logging off

Mostrar el tipo de mensaje indicado cuando el registro
está establecido en “activado”. Los mensajes incluyen:

hipts message <message name>:on

error

advertencia

depuración

Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0

hipts engines all:off SUGERENCIA: además de usar la herramienta de solución de problemas. Consulte este archivo para cualquier duda acerca del proceso de instalación o eliminación del cliente de Host Intrusion Prevention. • información • infracciones Ejecutar.. Los motores incluyen: hipts engines <engine name>:on • MISC • FILES • HTTP Desactivar el motor indicado. De manera predeterminada.0 para ePolicy Orchestrator 4.xml Reglas de directiva hipts.log. Comprobación de los archivos de instalación de Linux Después de una instalación.log en el directorio McAfee/hip/log para comprobar las operaciones o realizar el seguimiento de problemas.log y HIPClient. Para ello. ejecute el siguiente comando: ps –ef | grep Hip Guía del producto McAfee Host Intrusion Prevention 8.. hipts engines <engine name>:off Activar todos los motores. compruebe que todos los archivos se instalaron en el directorio adecuado del cliente.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Para. el mensaje de error está desactivado. hipts message all:off Activar el motor indicado. consulte los archivos HIPShield. hipts-bin Herramienta de solución de problemas *. Ocultar el tipo de mensaje indicado cuando el registro está hipts message <message name>:off establecido en “activado”..0 109 . El directorio opt/McAfee/hip deberá incluir estos archivos y directorios esenciales: Nombre del archivo Descripción HipClient.so Módulos de objetos compartidos de Host Intrusion Prevention y McAfee Agent Directorio de registro Contiene archivos de registro de depuración y error El historial de instalación se escribe en /opt/McAfee/etc/hip-install. El motor está activo de forma predeterminada. por ejemplo. HipClient-bin Cliente Linux HipClientPolicy. hipts engines all:on Desactivar todos los motores. Mostrar todos los tipos de mensajes cuando el registro está establecido en “activado”.. Comprobación de que el cliente Linux se ejecuta Si el cliente no aparece en la consola ePO. hipts message all:on Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”. compruebe que el cliente se esté ejecutando.

desactive la protección IPS. Utilice uno de estos procedimientos: • Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la directiva al cliente.Uso de clientes de Host Intrusion Prevention Introducción al cliente Linux Detención del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema.0 para ePolicy Orchestrator 4. Tarea 1 Ejecute el comando: hipts agent on.0 . 2 Active la protección IPS. • Ejecute el comando: hipts engines MISC:on 110 Guía del producto McAfee Host Intrusion Prevention 8. Siga uno de estos procedimientos. Tarea 1 Para detener un cliente. según cuál haya utilizado para detener el cliente: • Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva al cliente. 2 • Ejecute el comando: hipts engines MISC:off Ejecute el comando: hipts agent off Reinicio del cliente Linux Podría ser necesario detener un cliente en ejecución y reiniciarlo como parte de la solución de un problema.

Apéndice A -. con una sección por línea.. parámetros y directivas. proporciona información acerca de cómo crear firmas personalizadas para las distintas plataformas del cliente..Escritura de firmas personalizadas y excepciones Esta sección describe la estructura de las firmas IPS. Esta información también puede usarse al trabajar con la página de detalles avanzados para las excepciones.0 para ePolicy Orchestrator 4. Una sección siempre identifica la clase de la regla. además. Cada sección define una categoría de regla y su valor. Contenido Estructura de regla Firmas personalizadas de Windows Firmas personalizadas no Windows Estructura de regla Cada firma contiene una o varias reglas escritas en la sintaxis de ANSI Tool Command Language (TCL). Cada regla contiene secciones obligatorias y opcionales. Las secciones opcionales cambian según el sistema operativo y la clase de regla. La estructura básica de una regla es la siguiente: Rule { Valor SecciónA Valor SecciónB Valor SecciónC . Una revisión rápida de las referencias estándar de TCL le garantizará que introduce los valores apropiados correctamente. incluida una lista de clases. } NOTA: antes de que intente escribir reglas personalizadas.0 111 . debe revisar la sintaxis para escribir cadenas y secuencias de escape en TCL. Una regla para evitar una solicitud al servidor web que tiene una parte “subject” en la consulta de solicitud http tiene el siguiente formato: Rule { Class Isapi Id 4001 level 4 query { Include *subject* } Guía del producto McAfee Host Intrusion Prevention 8. que define el comportamiento global de la misma.

nivel y directivas. • Para sistema local: usar Local/Sistema. • Para usuario de dominio: usar <nombre dominio>/<nombre usuario dominio>. ID 4000 ." Nombre de la subregla. etiqueta Nombre de la regla entre comillas ". Especifique usuarios concretos o todos los usuarios.. Consulte Firmas personalizadas de Windows o Indica la clase a la que se aplica Firmas personalizadas no Windows. y Excluir significa que la sección funciona en todos los valores excepto el indicado. Las palabras clave Incluir y Excluir se usan para todas las secciones excepto etiqueta. • Algunas acciones iniciadas desde remoto no llevan la ID del usuario remoto. NOTA: todos los nombres de sección de todas las plataformas diferencian entre mayúsculas y minúsculas.. la regla. Necesitará planear de manera acorde cuando desarrolle reglas. nivel 0 Descripción Nivel de gravedad de la firma: 1 0=Desactivado 2 1=Registro 3 2=Bajo 4 3= Medio 4= Alto user_name {Incluir/Excluir nombre de usuario o cuenta de sistema} Los usuarios a los que se aplica la regla. ID. Guía del producto McAfee Host Intrusion Prevention 8.0 .Escritura de firmas personalizadas y excepciones Estructura de regla method { Include GET } time { Include * } Executable { Include * } user_name { Include * } directives isapi:request } Consulte Firmas personalizadas de Windows y Firmas personalizadas no Windows para obtener una explicación de las distintas secciones y sus valores.Apéndice A -. Los números son los disponibles para las reglas personalizadas. consulte la sección de clase en firmas personalizadas de Windows o no Windows. Incluir significa que la sección funciona en el valor indicado. Secciones comunes Las secciones más comunes de una regla y sus valores incluyen los elementos siguientes. Los valores de las secciones diferencian entre mayúsculas y minúsculas solo en las plataformas no Windows. Sección Valor Clase Depende del sistema operativo. Observaciones para Windows: 112 • Para usuario local: usar <nombre equipo>/<nombre usuario local>.5999 El número de ID único de la firma.0 para ePolicy Orchestrator 4. pero puede usar en su lugar el servicio local y su contexto de usuario. Para las secciones relacionadas con la sección de clase seleccionada.

inc. Por ejemplo. directivas tipo de operación Los tipos de operación dependen de cada clase. NOTA: puede crear una firma con múltiples reglas simplemente agregando las reglas una tras otra. Ejecutable {Incluir/Excluir ruta de archivo. Con la subregla de exportación. Para supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo abc. OU=iss. C=us" -desc "On-Access Scanner service"} Si una regla se aplica a todos los ejecutables. El valor -hash (hash MD5) es una cadena hexbin de 32 caracteres.. L=santa clara. use *. -sdn. Los valores -path (nombre de la ruta del archivo).###BOT_TEXT###quot;. }. Cuando marca el valor de una sección con Excluir.txt:. Uso de Incluir y Excluir Cuando marca el valor de una sección con Incluir. NOTA: con la subregla estándar. y dentro de los paréntesis puede tener una o varias opciones. ST=california.0 113 . esta sección distingue entre mayúsculas y minúsculas.microsoft software validation v2. mientras que la subregla de exportación no realiza ninguna traducción. en C:\test\: files { Exclude C:\test\*. use dos barras invertidas en las rutas de los archivos. use una sola barra invertida en las rutas de los archivos. la sección funciona en todos los valores excepto el valor indicado Cuando usa estas palabras clave. En UNIX. O=###BOT_TEXT###quot;mcafee. Si una regla se aplica a todos los usuarios. firmante o descripción} Cada ejecutable se especifica dentro de los paréntesis con -path. En UNIX. para supervisar todos los archivos de texto en C:\test\: files { Include C:\test\*.Escritura de firmas personalizadas y excepciones Estructura de regla Sección Valor Descripción Cuando se produce un proceso en el contexto de una sesión nula.0 para ePolicy Orchestrator 4. use *. La subregla estándar traduce las barras únicas en las barras dobles necesarias.. -sdn (firmante del archivo) y -desc (descripción del archivo) son cadenas y necesitan escapar mediante TCL si contienen espacios y otros caracteres reservados para TCL. Tenga en cuenta que cada regla de la misma firma debe tener el mismo valor para ID y secciones de nivel. -desc. el usuario y el dominio son "Anónimos".###BOT_TEXT###quot;. excepto los archivos de texto. Ejemplo: Ejecutable {Include -path "C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.txt } Guía del producto McAfee Host Intrusion Prevention 8. se encierra en llaves { . y se enumeran para cada clase en las últimas secciones.txt } Combine las palabras clave para excluir valores de un conjunto de valores incluidos. esta sección distingue entre mayúsculas y minúsculas. Puede haber múltiples paréntesis para cada sección.txt } y para supervisar todos los archivos. -hash. huella digital.exe" -sdn "CN=###BOT_TEXT###quot;mcafee. files { Include C:\test\*. OU=digital id class 3 .inc. la sección funciona en el valor indicado.Apéndice A -.

• Si una subregla incluye al usuario marketing\* pero excluye a marketing\jjohns. files { Include C:\test\abc. a no ser que el usuario sea marketing\jjohns.0 para ePolicy Orchestrator 4. excluir gana a incluir. Uso de la sección de dependencias Agregue las dependencias de sección opcionales para prevenir que una regla más general se inicie junto a una regla más específica. la firma se inicia si el usuario NO es marketing\jjohns.Apéndice A -.txt } Cada vez que agrega la misma sección con la misma palabra clave. pero excluye al usuario marketing\jjohns. En este caso. la firma se inicia solo si el usuario es marketing\anyone.txt } así como una regla para supervisar todos los archivos de texto de C:\test\ files { Include C:\test\*.Escritura de firmas personalizadas y excepciones Estructura de regla files { Exclude C:\test\abc. agrega una operación. Para supervisar cualquier archivo de texto en la carpeta C:\test\ cuyo nombre comience con la cadena “abc”: files { Include C:\test\*. —no_trusted_apps La lista de aplicaciones de confianza no se aplica a esta firma.0 . lo que explica al sistema que no debe iniciar la regla más general si se inicia la más específica. —not_auditable No se generan excepciones para la firma cuando el modo de adaptación se aplica. —inactive La firma se encuentra desactivada.txt } files { Include C:\test\abc* } NOTA: en orden de precedencia.txt } 114 Guía del producto McAfee Host Intrusion Prevention 8. si hay una regla que supervise un solo archivo de texto en C:\test\ files { Include C:\test\abc. A continuación. marketing\jjohns. Para las secciones opcionales relacionadas con la sección de clase seleccionada. la firma no se iniciará incluso si el usuario marketing\jjohns realiza una acción que inicie la firma. atributos —no_log Los eventos de la firma no se envían al servidor ePO. no se inicia. Sección Valor Descripción dependencias {Include/Exclude “id de una regla”} Define las dependencias entre reglas y previene que se inicien reglas dependientes. Secciones comunes opcionales Las secciones opcionales de una regla y sus valores incluyen el elemento siguiente. • Si una subregla incluye all (todos los usuarios). Incluir significa que la sección funciona en el valor indicado. Las palabras clave Incluir y Excluir se usan tanto para las dependencias como para los atributos. algunos ejemplos: • Si una subregla incluye al usuario marketing\jjohns y excluye al mismo usuario. Por ejemplo.txt } Agregue las dependencias de sección a la regla más específica. consulte la sección de clase en firmas personalizadas de Windows y no Windows. y Excluir significa que la sección funciona en todos los valores excepto el indicado.

Ejemplo: files {Include [iEnv SystemRoot]\system32\abc. los metasímbolos y las variables predefinidas pueden usarse como valor en las secciones disponibles. Ejemplo: files {Include [iEnv SystemDrive]\system32\abc.txt” } ! (signo de exclamación) Escape de caracteres comodín. use ** (dos asteriscos) para incluir / y \. NOTA: para las rutas y las direcciones.Apéndice A -. Ejemplo: files { Include “C:\test\&.. Tabla 22: Caracteres comodín TCL Carácter Qué representa ? (signo de interrogación) Un solo carácter. Para las firmas y subreglas expertas.txt” } Uso de variables de entorno Use las variables de entorno y el comando iEnv con un parámetro (el nombre de la variable) entre corchetes [ . Variable de entorno Qué representa iEnv SystemRoot C:\winnt\. | (canalización) Escape de caracteres comodín. Tenga en cuenta el uso levemente diferente de los asteriscos con rutas y direcciones que normalmente contienen barras o barras invertidas. * (un asterisco) Varios caracteres incluidos / y \. Caracteres comodín Puede usar caracteres comodín para los valores de las secciones.Escritura de firmas personalizadas y excepciones Estructura de regla dependencies “the general rule” Caracteres comodín y variables Los caracteres comodín.0 115 . Ejemplo: files { Include “C:\test\yahoo!. Tabla 21: Caracteres comodín Carácter Qué representa ? (signo de interrogación) Un solo carácter. se usa el plan de caracteres comodín TCL. * (un asterisco) Varios caracteres incluidos / y \. ] como atajo para especificar el archivo de Windows y los nombres de ruta del directorio.txt} Guía del producto McAfee Host Intrusion Prevention 8.. Úselo para seleccionar los contenidos del nivel raíz de una carpeta sin seleccionar las subcarpetas. donde C es la unidad que contiene la carpeta Windows System. Ejemplo: files { Include “C:\*. use * (un asterisco) para excluir / y \.txt” ” } & (y comercial) Varios caracteres excepto / y \.txt } iEnv SystemDrive C:\ donde C es la unidad que contiene la carpeta Windows System.0 para ePolicy Orchestrator 4.

incluida la raíz del sistema y la raíz de IIS IIS_Ftp_Dir Directorios raíz del sitio FTP IIS_FTP_USR Nombre de cuenta de usuario anónimo de FTP local IIS_FtpLogDir Directorio de archivos de registro de FTP IIS_IUSR Nombre de cuenta de usuario anónimo de web local IIS_IUSRD Nombre de cuenta de usuario anónimo de web de dominio IIS_IWAM Nombre de cuenta de usuario de IIS Web Application Manager IIS_LogFileDir Directorio de archivos de registro Web IIS_LVirt_Root Todos los directorios virtuales de IIS IIS_Processes Procesos con derechos de acceso a recursos de IIS IIS_Services Todos los servicios necesarios para que IIS funcione correctamente Tabla 24: MS SQL Database Server 116 Variable Descripción MSSQL_Allowed_Access_Paths Directorios como \WINNT y \WINNT\System32 que sean accesibles MSSQL_Allowed_Execution_Paths Directorios como \WINNT y \WINNT\System32 que sean ejecutables MSSQL_Allowed_Modification_Paths Directorios como \WINNT\Temp que sean modificables MSSQL_Auxiliary_Services Los servicios auxiliares de MS SQL que se encuentren en el sistema MSSQL_Core_Services Los servicios principales de MS SQL que se encuentren en el sistema MSSQL_Data_Paths El resto de archivos de datos asociados a MS SQL que pueden encontrarse fuera del directorio MSSQL_DataRoot_Path MSSQL_DataRoot_Paths La ruta a los archivos de datos de MS SQL para cada instancia MSSQL_Instances El nombre de cada instancia de MS SQL instalada Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.Apéndice A -. Estas variables están precedidas por “$. Tabla 23: Windows IIS Web Server Variable Descripción IIS_BinDir Directorio donde se encuentra inetinfo.” y se enumeran a continuación.exe IIS_Computer Nombre del equipo donde se ejecuta IIS IIS_Envelope Incluye todos los archivos a los que IIS tiene acceso IIS_Exe_Dirs Directorios virtuales que permiten la ejecución de archivos.Escritura de firmas personalizadas y excepciones Estructura de regla Uso de variables predefinidas Host Intrusion Prevention proporciona variables predefinidas para la escritura de reglas.0 .

Apéndice A -. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles en las rutas y las reglas en la clase UNIX_file no Windows utilizan una sola barra. mientras que otras no.0 117 . Algunas clases y parámetros aparecen en la interfez de usuario de firma personalizada.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Variable Descripción MSSQL_Registry_Paths Todas las ubicaciones de registro asociadas con MS SQL Tabla 25: Unix Apache e iPlanet Variable Descripción UAPACHE_Bins Ruta a archivos binarios de Apache UAPACHE_CgiRoots Ruta a archivos raíz de CGI UAPACHE_ConfDirs Directorios que contienen archivos de configuración de Apache UAPACHE_DocRoots Ruta a archivos raíz de documentos UAPACHE_Logs Archivos de registro de Apache UAPACHE_Logs_dir Directorio de archivos de registro UAPACHE_Roots Archivos raíz de servidores Web Apache UAPACHE_Users Usuarios que Apache ejecuta como UAPACHE_VcgiRoots Ruta a archivos raíz de servidores virtuales de CGI UAPACHE_VdocRoots Archivos raíz de documentos virtuales UAPACHE_Vlogs Archivos de registro de servidores virtuales UAPACHE_Vlogs_dir Directorios para los archivos de registro de servidores virtuales UIPLANET_BinDirs Ruta a archivos binarios de iPlanet UIPLANET_CgiDirs Ruta a directorios de CGI UIPLANET_DocDirs Rutas a directorios de documentos UIPLANET_Process Ruta a archivos binarios ns-httpd de iPlanet UIPLANET_Roots Ruta a archivos raíz de iPlanet Firmas personalizadas de Windows Esta sección describe cómo escribir firmas personalizadas en la plataforma Windows.0 para ePolicy Orchestrator 4. Para Windows están disponibles las siguientes clases: Clase Cuándo usarla Desbordamiento del búfer Para la protección contra el desbordamiento del búfer Archivos Para la protección de operaciones de archivos y directorios Enlazar Para la protección del enlace de proceso de API Guía del producto McAfee Host Intrusion Prevention 8. La clase usada por una firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma. Para estas clases y parámetros sin interfaz de usuario. la única forma de acceder a ellos es el método experto de creación de reglas.

Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Cuándo usarla Uso ilegal de API Para la protección contra el uso ilegal de API de IPS en host Uso ilegal Para la protección contra el uso ilegal de API Isapi Para supervisar las solicitudes de http a IIS Programa Para la protección contra las operaciones de programa Registro Para la protección de las operaciones de valor de registro y clave de registro Servicios Para la protección contra las operaciones de servicios SQL Para la protección contra las operaciones de SQL Desbordamiento de búfer de clase Windows La siguiente tabla enumera las secciones y valores posibles para el desbordamiento del búfer de la clase Windows: Sección Valores Clase Buffer_Overflow ID Consulte Secciones comunes. bo:writeable_memory Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que no forma parte de una pila ni de un montón del subproceso actual. Consulte la nota 1. bo:target_bytes Una cadena hexadecimal que representa 32 bytes de instrucciones que pueden usarse para crear Guía del producto McAfee Host Intrusion Prevention 8. módulo de llamada Ruta a un módulo (por ejemplo. un DLL) cargado por un ejecutable que hace una llamada que crea un desbordamiento del búfer directivas bo:stack Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de la pila del subproceso actual.0 . Notas nivel hora user_name Ejecutable 118 dependencias 428 Opcional. bo:invalid_call Comprueba que el API se llama desde una instrucción de llamada adecuada. bo:heap Examina la ubicación de la memoria que se está ejecutando y detecta si la ubicación de la memoria se está ejecutando desde una memoria de escritura que forma parte de una pila.Apéndice A -.0 para ePolicy Orchestrator 4.

Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas una excepción dirigida para un falso positivo sin desactivar el desbordamiento del búfer durante todo el proceso. incluya la sección "dependencias 428" en la firma personalizada. dest_file Archivos de destino si la operación implica archivos de origen y de destino Uno de los parámetros requeridos.Apéndice A -. es una regla de desbordamiento de búfer genérica. bo:call_different_target_address Comprueba que el objetivo de la llamada no se corresponda con el objetivo enlazado. Para evitar que se inicie esta regla. Solo se usa con files:rename y files:hardlink. Consulte las notas 1 y 2. Consulte la nota 3). desbordamiento de búfer genérico. bo:call_return_unreadable Comprueba que la dirección de retorno no sea memoria de lectura. archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos. bo:call_not_found Comprueba que la secuencia de código previa a la dirección de retorno no sea una llamada. Archivos de clase de Windows La siguiente tabla enumera las secciones y los valores posibles para Archivos de clase Windows: Sección Valores Clase Archivos ID Consulte Secciones comunes. Consulte las notas 1 y 2. Notas nivel hora user_name Ejecutable (use este parámetro para distinguir entre acceso a los archivos local y remoto. Nota 1 La Firma 428.0 119 .0 para ePolicy Orchestrator 4. bo:call_return_to_api Comprueba que la dirección de retorno sea un punto de entrada de API. • Floppy: acceso a unidad de disco • CD: acceso a CD o DVD • OtherRemovable: USB u otros accesos de unidad extraíble • OtherFixed: acceso al disco duro local o a otros discos duros fijos Guía del producto McAfee Host Intrusion Prevention 8. drive_type • Network: acceso a archivos Permite la creación de reglas de clase de archivo de red específicos de los tipos de unidad.

txt” } Si se usa la sección dest_file la ruta absoluta no puede usarse. o mueve el archivo a otro directorio. o lo mueve a otro directorio.txt” } Nota 2 La directiva files:rename tiene un significado diferente cuando se combina con la sección files y la sección dest_file. files:write Abre el archivo con acceso de lectura y escritura. significa que se supervisa el cambio de nombre del archivo en la sección files. files:rename Cambia el nombre de un archivo en el mismo directorio.0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas directivas files:create Crea un archivo en un directorio. las siguientes son representaciones de ruta válidas: dest_file { Include “*\test\abc. la siguiente regla supervisa el cambio de nombre de C:\test\abc.0 . Los atributos supervisados son: files:hardlink • solo lectura • oculto • archivar • sistema Crea un enlace no modificable.txt” } files { Include “*\abc. así que debe haber un comodín presente en el inicio de la ruta para representar el disco duro. files:read Abre el archivo con acceso de solo lectura.Apéndice A -.txt a cualquier otro nombre: Rule { tag "Sample1" Class Files Id 4001 level 4 files { Include “C:\test\abc. Por ejemplo. Consulte la nota 2.txt” } dest_file { Include “*\abc.txt” } 120 Guía del producto McAfee Host Intrusion Prevention 8. Cuando se combina con la sección files.txt” } files { Include “*\test\abc. files:execute Ejecuta el archivo (ejecutar un directorio significa que este directorio se convertirá en el directorio actual). files:delete Borra el archivo de un directorio. Por ejemplo. Nota 1 Si se usa la sección files. las siguientes son representaciones de ruta válidas: files { Include “C:\test\abc. la ruta a una carpeta supervisada o archivo pueden ser tanto la ruta completa como un comodín. files:attribute Cambia los atributos del archivo. Por ejemplo.

la siguiente regla supervisa el cambio de nombre de cualquier archivo a C:\test\abc. dest_file Solo se aplica al cambio de nombre de archivos.0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:rename } Combinada con la sección dest_file.Apéndice A -. las dos secciones (files y dest_file) tienen que coincidir.txt” } Executable { Include “*”} user_name { Include “*” } directives files:rename } La sección files no es obligatoria si se usa la sección dest_file. Por ejemplo. Nota 3 Para distinguir entre el acceso remoto al archivo y el acceso local al archivo para cualquier directiva. El nuevo nombre que recibió el archivo.txt: Rule { tag "Sample2" Class Files Id 4001 level 4 dest_file { Include “*\test\abc. La siguiente regla impediría a cualquier usuario y a cualquier proceso crear el archivo abc.0 121 . Nombre de GUI Explicación archivos Nombre del archivo al que se accedió.txt” } Guía del producto McAfee Host Intrusion Prevention 8. cambie el nombre de ruta del ejecutable a "SystemRemoteClient": Executable { Include -path “SystemRemoteClient” } Así se evitará que cualquier directiva se ejecute si el ejecutable no es local. Si se usa la sección files.txt en la carpeta C:\test\. significa que ningún archivo puede cambiar de nombre al del archivo de la sección dest_file. Rule { tag "Sample3" Class Files Id 4001 level 4 files { Include “C:\test\abc. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para los Archivos de clase.

txt” “C:\test\xyz. Guía del producto McAfee Host Intrusion Prevention 8.0 .txt y C:\test\xyz.txt” }. junto con el nombre de la ruta de acceso. Consulte Secciones comunes para obtener más información. directivas hook:set_windows_hook Para evitar la inyección de un DLL en un ejecutable al usar hook:set_windows_hook. podría añadirlos en esta sección en líneas distintas. en el formato Local/user o Domain/user. Un parámetro necesario. Hook de la clase Windows La siguiente tabla enumera las secciones y valores posibles para Hook de la clase Windows: Sección Valores Clase Hook ID Consulte Secciones comunes.0 para ePolicy Orchestrator 4.txt. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. Si la regla debiera cubrir múltiples archivos. Si desea limitar la regla a procesos específicos. Si desea limitar la regla a contextos de usuarios específicos. incluya el ejecutable en la lista de protección de aplicaciones. el contexto de seguridad en el que se ejecuta un proceso).Apéndice A -. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. • directives files:create: indica que esta regla cubre la creación de un archivo. Notas nivel hora user_name Ejecutable 122 módulo de administrador El nombre de la ruta del ejecutable que se enlaza con otro ejecutable.txt. • id 4001: asigna la ID 4001 a esta regla. Si la firma personalizada tenía múltiples reglas. escríbalos aquí. para ser más precisos. cada una de estas reglas necesitará usar la misma ID.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Executable { Include “*”} user_name { Include “*” } directives files:create } Las distintas secciones de esta regla tienen el siguiente significado: • Archivos de clase: indica que esta regla está relacionada con la clase de operaciones en archivos. la sección cambia a: files { Include “C:\test\abc. cada una de estas reglas necesitará usar el mismo nivel. al supervisar los archivos C:\test\abc. • files { Include “C:\test\abc.txt” }: indica que la regla cubre el archivo específico y la ruta C:\test\abc. Si la firma personalizada tenía múltiples reglas. • level 4: asigna el nivel de seguridad "alto" a esta regla. indíquelos aquí. Por ejemplo.

Apéndice A -. Esto es un ejemplo de una firma: Rule { tag "Sample4" Class Illegal_API_Use Id 4001 level 4 Executable { Include “*”} user_name { Include “*” } vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"} detailed_event_info { Include "0002E533-0000-0000-C000-000000000046"###BOT_TEXT###quot;0002E511-0000-0000-C000-000000000046"} directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call attributes -not_auditable } Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. La finalidad primaria de un bit de interrupción es cerrar los orificios de seguridad. Los bits de interrupción se instalan normalmente en los sistemas operativos de Windows por medio de las actualizaciones de seguridad de Windows. Las aplicaciones que usan ActiveX no cargan el software específico de ActiveX si hay un bit de interrupción activo. Un bit de interrupción especifica el identificador de clase del objeto (CLSID) para los controles de software de ActiveX que se identifican como amenazas de vulnerabilidad de la seguridad. directivas illegal_api_use:bad_parameter Se trata de un número de 128 bits que representa una ID única para un componente de software. clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de API de la clase Windows: Sección Valores Clase Illegal_API_Use ID Consulte Secciones comunes. El bit de interrupción es una característica de seguridad en navegadores web y otras aplicaciones que usen ActiveX. Normalmente se muestra como: "{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}" illegal_api_use:invalid_call Use esta clase para crear una firma de bit de interrupción personalizada. Notas nivel hora user_name Ejecutable vulnerability_name Nombre de la vulnerabilidad detailed_event_info Una o más CLSID.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso de host ilegal IPS API.0 123 .

isapi:rawdata Para solicitudes de datos sin procesar. Consulte las notas 1-4. Se compara con la parte de consulta de una solicitud entrante. Guía del producto McAfee Host Intrusion Prevention 8. isapi:requrl Para solicitudes de url. POST. clase Windows La siguiente tabla enumera las secciones y valores posibles para uso ilegal de la clase Windows: Sección Valores Clase Illegal_Use ID Consulte Secciones comunes. INDEX o cualquier Uno de los parámetros requeridos. método GET.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Uso ilegal. isapi:response Para las repuestas de solicitud. isapi:reqquery Para solicitudes de consultas. consulta Uno de los parámetros requeridos. Consulte las notas 1-4. nota 4. LsarLookupSids o ADMCOMConnect directivas illegal:api Isapi (HTTP) de clase Windows La siguiente tabla enumera las secciones y valores posibles para Isapi IIS de la clase Windows: Sección Valores Clase Isapi ID Consulte Secciones comunes.Apéndice A -.0 . Notas nivel hora user_name Ejecutable 124 url Uno de los parámetros requeridos. Se compara con la parte URL de una solicitud entrante.0 para ePolicy Orchestrator 4. Consulte la otro método de HTTP permitido. Notas nivel hora user_name Ejecutable nombre Un valor de los tres: LsarLookupNames. directivas isapi:request Para los tres tipos de solicitudes entrantes de HTTP.

xyz*. la siguiente regla se activa si IIS recibe la solicitud http: http:// www. Nota 4 Una regla debe incluir.com/ {url}?{query}. Por ejempo "abc*. la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. Agregando “. independientemente de su longitud.0 125 . Guía del producto McAfee Host Intrusion Prevention 8.exe?subject=wildlife&environment=ocean Rule { tag "Sample6" Class Isapi Id 4001 level 1 url { Include “*abc*” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Esta regla se activa porque {url}=/search/abc. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”.500" coincide con las cadenas que contienen "abc" que son de 500 caracteres o más.Apéndice A -. al menos. se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape. nos referimos a {url} como la parte "URL" de la solicitud http y a {query} como la parte "consulta" de la solicitud http. "*abc. consulta. método. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Por ejemplo. Nombre de GUI Explicación url Parte de ubicación descodificada y normalizada de una solicitud HTTP entrante (la parte antes del signo de interrogación "?").número_de_caracteres” al valor de estas secciones." coincide con cualquier cadena que incluya "abc. Utilizando esta convención de nombres. En este documento.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 Una solicitud entrante de http puede representarse como: http://www.xyz". una de las siguientes secciones opcionales: url.com/search/abc. Nota 2 Antes de efectuar la correspondencia.exe. abc).myserver. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Isapi. que coincide con el valor de la sección “url” (es decir.myserver.0 para ePolicy Orchestrator 4. podemos decir que la sección "URL" se compara con {url} y que la sección "consulta" se compara con {query}.

La línea de la solicitud es “<method> <location[?query]> <http version> CRLF”.0 . Post y Query).Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación consulta Parte de consulta descodificada y normalizada de una solicitud HTTP entrante (la parte después del primer signo de interrogación "?"). origen Nombre o dirección IP del equipo en el que se originó la solicitud HTTP. Put.com/test/ abc. Las distintas secciones de esta regla tienen el siguiente significado: • Clase Isapi: indica que esta regla está relacionada con la clase de operaciones de Isapi. La siguiente regla impediría una solicitud al servidor web que contenga "subject" en la parte de consulta de la solicitud HTTP: Rule { tag "Sample7" Class Isapi Id 4001 level 1 query { Include “*subject*” } method { Include “GET” } Executable { Include “*”} user_name { Include “*” } directives isapi:request } Por ejemplo. usuario Nombre del usuario del cliente que hace la solicitud.exe?subject=wildlife&environment=ocean se evitaría con esta regla.0 para ePolicy Orchestrator 4. raw url Línea de solicitud sin procesar (no descodificada y no normalizada) de la solicitud HTTP entrante. Si la firma personalizada tenía múltiples reglas. El nombre de host es la variable de host del encabezado HTTP. • Id 4001: asigna la ID 4001 a esta regla. Get.Apéndice A -. método Método de la solicitud entrante de HTTP (por ejemplo. content len Número de bytes en el cuerpo del mensaje que es parte de la consulta. La dirección contiene tres partes: nombre de host: dirección: número de puerto. servidor Información sobre el servidor Web en el que se creó el evento (es decir. el equipo en el que está instalado el cliente) en el formato <host name>:<IP address>:<port>. web server type Tipo y versión de la aplicación de servidor web usada. Se descodifica y normaliza con IIS. Solo está disponible si la solicitud es autenticada. Se deja en blanco si no está disponible.myserver. 126 Guía del producto McAfee Host Intrusion Prevention 8. local file Nombre físico del archivo que se recupera o se intenta recuperar con la solicitud. la solicitud GET http://www. cada una de estas reglas necesitará usar la misma ID.

• query { Include “*subject*” }: indica que la regla coincide con cualquier solicitud (GET) que contenga la cadena "subject" en la parte de consulta de la solicitud HTTP. Notas nivel hora user_name Ejecutable nombre de archivo Nombre del proceso en la operación.0 127 . • directives isapi:request: indica que esta regla cubre una solicitud HTTP. en el formato Local/user o Domain/user. escríbalos aquí. • PROCESS_CREATE_THREAD: requerido para crear un subproceso. (Ejecute el ejecutable de destino en la interfaz de usuario). Si desea limitar la regla a contextos de usuarios específicos. para ser más precisos. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. • PROCESS_DUP_HANDLE: requerido para duplicar un control. Uno de los parámetros requeridos. junto con el nombre de la ruta de acceso. • PROCESS_VM_WRITE: requerido para escribir en la memoria. Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso. Si la regla tuviera que cubrir varios archivos en la parte “query”. ruta Nombre de la ruta del proceso. indíquelos aquí. Programa de clase Windows La siguiente tabla enumera las secciones y valores posibles para los programas de la clase Windows: Sección Valores Clase Programa ID Consulte Secciones comunes. Uno de los parámetros requeridos. se agregarían en esta sección en líneas diferentes. • method { Include “GET” }: indica que la regla solo puede coincidir con solicitudes GET. cada una de estas reglas necesitará usar el mismo nivel.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • level 4: asigna el nivel de seguridad "alto" a esta regla. program:open_with_any Las directivas "program:open_with_x" administran los derechos de acceso creados con OpenProcess(). Si desea limitar la regla a procesos específicos.0 para ePolicy Orchestrator 4. el contexto de seguridad en el que se ejecuta un proceso). Consulte Secciones comunes para obtener más información. directivas program:run Selecciónelo para evitar que el ejecutable de destino se ejecute.Apéndice A -. Guía del producto McAfee Host Intrusion Prevention 8. • Executable { Include “*”}: indica que esta regla es válida para todos los procesos. Si la firma personalizada tenía múltiples reglas.

• PROCESS_DUP_HANDLE: requerido para duplicar un control. (Se abre con un acceso para modificar en la interfaz de usuario). (Se abre con un acceso para terminar en la interfaz de usuario). program:open_with_modify Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_TERMINATE: requerido para terminar un proceso. program:open_with_terminate Selecciónela para evitar estos derechos de acceso específicos de proceso: • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. como su clase de prioridad. NOTA: no disponible en Microsoft Vista y plataformas posteriores. 128 Guía del producto McAfee Host Intrusion Prevention 8. como su clase de prioridad. program:open_with_create_thread Selecciónela para evitar este derecho de acceso específico de proceso: • PROCESS_CREATE_THREAD: requerido para crear un subproceso. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. • PROCESS_TERMINATE: requerido para terminar un proceso. (Se abre con cualquier acceso en la interfaz de usuario). • PROCESS_VM_WRITE: requerido para escribir en la memoria.0 .0 para ePolicy Orchestrator 4. • PROCESS_SUSPEND_RESUME: requerido para suspender o reanudar un proceso. • SYNCHRONIZE: requerido para esperar a que el proceso termine. • PROCESS_TERMINATE: requerido para terminar un proceso. • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. program:open_with_wait Selecciónela para evitar este derecho de acceso específico de proceso: • SYNCHRONIZE: requerido para esperar a que el proceso termine. (Se abre con un acceso para esperar en la interfaz de usuario).Apéndice A -. • PROCESS_CREATE_THREAD: requerido para crear un subproceso.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas • PROCESS_SET_INFORMATION: requerido para establecer cierta información sobre un proceso. (Se abre con un acceso para crear un subproceso en la interfaz de usuario).

modificar y crear). registry:open_existing_key Abre una clave de registro existente. enumerar. registry:monitor Solicita la supervisión de una clave de registro. registry:permissions Modifica los permisos de una clave de registro. obtiene la lista de todas las subclaves y valores de la clave. Solo para registry:rename cuando se cambia el nombre de una clave. registry:restore Restaura un subárbol de un archivo.) u obtiene el contenido de un valor de registro. pero solo después de un reinicio. registry:enumerate Enumera una clave del registro. registry:load Carga claves o valores de registro de un archivo. El objetivo será el nombre de la clave. new_data Operación de valor de la clave de registro. etc. Guía del producto McAfee Host Intrusion Prevention 8. leer. cambiar el nombre. registry:replace Restaura un ajuste del registro. registry:read Obtiene la información de la clave de registro (número de subclaves.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Registro de la clase Windows La siguiente tabla enumera las secciones y los valores posibles para el registro de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. Solo para registry:modify o registry:create.0 para ePolicy Orchestrator 4. A usar con las operaciones de clave (crear. como la función de restauración regedit32. borrar. directivas registry:delete Elimina una clave o un valor de registro registry:modify Modifica el contenido de un valor de registro o la información de una clave de registro. sustituir y cargar). A usar con las operaciones de valor de registro (borrar. valores Operación de valor de la clave de registro Uno de los parámetros requeridos. Nuevos datos del valor. Opcional. Consulte la nota 2. Consulte la nota 1. Notas nivel hora user_name Ejecutable claves Operación de la clave de registro Uno de los parámetros requeridos. leer.0 129 . restaurar. supervisar. es decir.Apéndice A -. dest_keys Operación de la clave de registro Opcional. registry:rename Cambia el nombre de una clave de registro. registry:create Permite la creación de una clave de registro.

datos nuevos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro contiene tras un cambio o que contendría si se produjera el cambio. incluido el nombre de la ruta. Por ejemplo. Tenga en cuenta lo siguiente: Para los valores de esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\Test \REGISTRY\MACHINE\Test\* HKEY_CURRENT_USER\Test \REGISTRY\CURRENT_USER\Test\* HKEY_CLASSES_ROOT\Test \REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\* HKEY_CURRENT_CONFIG\Test REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES###BOT_TEXT###001\Test\* HKEY_USERS\Test \REGISTRY\USER\Test\* datos antiguos Solo se aplica a los cambios del valor de registro: los datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse.Apéndice A -. 130 Guía del producto McAfee Host Intrusion Prevention 8. tipos de datos antiguos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro incluía antes de que se cambiara o intentara cambiarse. Nombre de GUI Explicación Clave de registro Nombre de la clave de registro implicada. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Registro. Nota 2 Los datos de la sección de datos nuevos deben ser hexadecimales. el valor del Registro “abc” en la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa se representa como \REGISTRY\MACHINE\SYSTEM\ControlSet\Control\Lsa\abc.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nota 1 HKEY_LOCAL_MACHINE en una ruta de registro se sustituye por \REGISTRY\MACHINE\ y CurrentControlSet se sustituye por ControlSet. los datos ‘def’ del valor del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc” deben representarse como old_data { Include “%64%65%66”}. Por ejemplo. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Tenga en cuenta lo siguiente: Valores de registro Para esta clave Use esta sintaxis HKEY_LOCAL_MACHINE\ \REGISTRY\MACHINE\ HKEY_CURRENT_USER\ \REGISTRY\CURRENT_USER\ HKEY_CLASSES_ROOT\ \REGISTRY\MACHINE\SOFTWARE\CLASSES\ HKEY_CURRENT_CONFIG\ REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES###BOT_TEXT###001\ HKEY_USERS\ \REGISTRY\USER\ Nombre del valor de registro enlazado con el nombre completo de su clave.0 .0 para ePolicy Orchestrator 4.

en el formato Local/user o Domain/user. Servicios de la clase Windows La siguiente tabla enumera las secciones y valores posibles para los servicios de la clase Windows: Sección Valores Clase Registro ID Consulte Secciones comunes. indíquelos aquí.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación tipos de datos nuevos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro contendría tras un cambio o que contendría si se produjera el cambio. • level 4: asigna el nivel de seguridad "alto" a esta regla. Si desea limitar la regla a procesos específicos.0 para ePolicy Orchestrator 4. junto con el nombre de la ruta de acceso. agréguelos en esta sección en líneas diferentes. cada una de estas reglas necesitará usar la misma ID. • directives registry:delete: indica que esta regla incluye la eliminación de la clave o el valor de registro. Si desea limitar la regla a contextos de usuarios específicos. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. para ser más precisos. Consulte Secciones comunes para obtener más información. Notas Guía del producto McAfee Host Intrusion Prevention 8. el contexto de seguridad en el que se ejecuta un proceso). La siguiente regla impediría que cualquier usuario y cualquier proceso pudiera eliminar el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”.0 131 . • values { Include “\REGISTRY\MACHINE\SYSTEM\ControlSet\Control\Lsa\abc” }: indica que la regla supervisa el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Rule { tag "Sample8" Class Registry Id 4001 level 4 values { Include “\REGISTRY\MACHINE\SYSTEM\ControlSet\Control\Lsa\abc” } application { Include “*”} user_name { Include “*” } directives registry:delete } Las distintas secciones de esta regla tienen el siguiente significado: • Class Registry: indica que esta regla está relacionada con una solicitud enviada a IIS. • Id 4001: asigna la ID 4001 a esta regla. cada una de estas reglas necesitará usar el mismo nivel. Si la firma personalizada tenía múltiples reglas. Si la firma personalizada tenía múltiples reglas.Apéndice A -. • application { Include “*”}: indica que esta regla es válida para todos los procesos. escríbalos aquí. Si la regla cubre varios valores.

display_names Muestra el nombre del servicio Uno de los parámetros requeridos. services:create Crea un servicio. Consulte la nota 1. services:start Inicia un servicio. HKLM\SYSTEM\CurrentControlSet\Services\. que se encuentra en el valor de registro HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services###BOT_TEXT###lt;name-of-service>\ . directivas services:delete Borra un servicio.0 para ePolicy Orchestrator 4. La sección display_names debe incluir el nombre mostrado del servicio. El nombre de constituye el sujeto de la un servicio se encuentra en el registro. services:pause Pausa un servicio. services:startup Modifica el modo de inicio de un servicio. Nota 1 La sección service debe incluir el nombre del servicio de la clave de registro conrrespondiente. services:continue Continúa un servicio después de una pausa. que se encuentra en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.0 . Consulte la nota 1. services:profile_disable Desactiva un perfil de hardware. en operación que crea la instancia. Este nombre aparece en el administrador de servicios.Apéndice A -. el nombre que se muestra en el administrador de servicios. services:stop Detiene un servicio. Este puede ser diferente al nombre mostrado en el administrador de servicios. services:logon Modifica la información de inicio de sesión de un servicio. servicios Nombre de sistema del servicio Windows en HKLM\CurrentControlSet\Services\. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase Servicios. 132 Nombre de GUI Explicación display names Nombre del servicio de Windows que se muestra en el administrador de servicios. services:profile_enable Activa un perfil de hardware.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas nivel hora user_name Ejecutable servicios Nombre del servicio que Uno de los parámetros requeridos. Valores posibles Guía del producto McAfee Host Intrusion Prevention 8.

0 133 . Si la regla cubre varios servicios.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Nombre de GUI Explicación Valores posibles params Solo es aplicable al iniciar un servicio: parámetros que se pasan a un servicio cuando se activa. Consulte Secciones comunes para obtener más información. Si la firma personalizada tenía múltiples reglas. agréguelos en esta sección en líneas diferentes. junto con el nombre de la ruta de acceso. Si desea limitar la regla a contextos de usuarios específicos. old startup Solo se aplica para crear o Boot.Apéndice A -. Guía del producto McAfee Host Intrusion Prevention 8. • user_name { Include “*” }: indica que esta regla es válida para todos los usuarios (o. indíquelos aquí. Automatic. System. para ser más precisos. • Service { Include “Alerter” }: indica que la regla cubre el servicio denominado “Alerter”. Disabled modo de inicio de un servicio: indica el modo de inicio que el servicio tenía antes de cambiarlo. La siguiente regla prevendría la desactivación del servicio de alerta. Manual. escríbalos aquí. • level 4: asigna el nivel de seguridad "alto" a esta regla. System. • application { Include “*”}: indica que esta regla es válida para todos los procesos. logon Solo se aplica para los cambios del modo de inicio de sesión de un servicio: la información de inicio de sesión (sistema o cuenta de usuario) usada por el servicio. Automatic. o el que tendría si se produjera el cambio. • Id 4001: asigna la ID 4001 a esta regla. el contexto de seguridad en el que se ejecuta un proceso). Rule { tag "Sample9" Class Services Id 4001 level 4 Service { Include “Alerter” } application { Include “*”} user_name { Include “*” } directives service:stop } Las distintas secciones de esta regla tienen el siguiente significado: • Class Services: indica que esta regla está relacionada con la clase de operaciones en archivos. Si desea limitar la regla a procesos específicos. Manual. Disabled cambiar el modo de inicio de un servicio: indica el modo de inicio antes de que se cambiara o intentara cambiarse. Si la firma personalizada tenía múltiples reglas. en el formato Local/user o Domain/user.0 para ePolicy Orchestrator 4. new startup Solo se aplica para cambiar el Boot. cada una de estas reglas necesitará usar la misma ID. cada una de estas reglas necesitará usar el mismo nivel.

SQL de clase Windows La siguiente tabla enumera las secciones y los valores posibles para los SQL de la clase Windows: Sección Valores Clase MSSQL ID Consulte Secciones comunes. Un procedimiento almacenado se identifica por medio de una lista suministrada de nombres de procedimiento que se incluye en cada versión de agente de SQL (actualmente SPList. los espacios en blanco y todo lo que aparezca en los comentarios. sql_line_comment El valor se configura como 1 si la consulta incluye un comentario "-" de una sola línea con una sola cita. Debería coincidir con un nombre de procedimiento almacenado.. sp_param_one.txt. db_user_name Nombre del usuario. o del usuario de confianza. Contiene la longitud del parámetro en número de bytes. exactamente como se recibió (incluidas las cadenas y los espacios en blanco). sp_param_char_len_one.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows • directives service:stop: indica que esta regla cubre la desactivación de un servicio. Contiene la longitud del parámetro en número de caracteres. en el directorio Agent). sp_name Nombre de procedimiento almacenado.... Guía del producto McAfee Host Intrusion Prevention 8. si se ha Ejemplo: sa usado la autenticación SQL.. si se ha usado la autenticación de Windows. sp_param_orign_len-one. Contiene el valor del parámetro. sql_original_query Contiene la consulta SQL completa. Notas nivel hora user_name Ejecutable 134 authentication_mode Valor booleano que especifica si se ha usado una autenticación Windows (1) o una autenticación SQL (0).Apéndice A -.0 . sql_query Es la cadena de la consulta SQL con los valores de la cadena.0 para ePolicy Orchestrator 4. Internet Information Services la solicitud al sistema cliente.. client_agent Nombre de la utilidad que envía Ejemplo: OSQL-32.

SP2. (32 y 64 bits [2K8]) • Windows 7. SP3.Apéndice A -. 32 y 64 bits (2K3) • Windows Vista. transporte En MSSQL 2005/2008. R2.0 135 . 32 y 64 bits (XP) • Windows 2003. R2 SP2. es un texto no configurable de: memoria compartida (LPC). directivas sql:request.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Sección Valores Notas sql_user_password Se configura como 1 si la contraseña es NULL y 0 si es distinta. 32 y 64 bits (7) Clase Desbordamiento del búfer Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) XP 2K3 bo: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 stack x x x x x x x x x x heap x x x x x x x x x x writeable_memory x x x x x x x x x x invalid_call x x x x x x x x x x target_bytes x x x x x x x x x x call_not_found x x x x x x x x x x call_return_unreadable x x x x x x x x x x call_different_target x x x x x x x x x x call_return_to_api x x x x x x x x x x V 2K8 7 Archivos de clase Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x escribir x x x x x x x x x x x x x x x ejecutar x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. Siempre se configura como 0 para los no usuarios de SQL. 32 y 64 bits (V) • Windows 2008 R2. Para las solicitudes de SQL entrantes Clases y directivas de la plataforma Windows Una lista de las clases y directivas efectivas para la plataforma Windows: • Windows XP.

0 7 .Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) archivos: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 borrar x x x x x x x x x x x x x x x cambiar nombre x x x x x x x x x x x x x x x atributo x x x x x x x x x x x x x x x writeop x x x x x x x x x x x x x x x hardlink x x x x x x x x x x x x x x x Clase Enlace Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) enlace: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 set_windows_hook x x x x x x x x x x x x x x x Clase Uso ilegal de API Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal_api_use: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 bad_parameter x x x x x x x x x x x x x x x invalid_call x x x x x x x x x x x x x x x Clase Uso ilegal Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) illegal: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 api x x x x x x x x x x x x x x x Clase ISAPI Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) isapi: 136 XP 2K3 V 2K8 Procesos de 32 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 request x x x x x x requrl x x x x x x reqquery x x x x x x rawdata x x x x x x responder x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.

0 para ePolicy Orchestrator 4.Escritura de firmas personalizadas y excepciones Firmas personalizadas de Windows Clase Programa Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) programa: XP 2K3 V 2K8 7 XP ejecutar x x x x x open_with_any x x x x open_with_create_thread x x x open_with_modify x x open_with_terminate x x open_with_wait x x 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Clase Registro Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) registro: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 crear x x x x x x x x x x x x x x x leer x x x x x x x x x x x x x x x borrar x x x x x x x x x x x x x x x modificar x x x x x x x x x x x x x x x permisos x enumerar x x x x x x x x x x x supervisar x x x restaurar x x x sustituir x x x x x x x x x x x x x x x x x x x x x x x x cargar open_existing_key x x x cambiar nombre x x x x x x x x x x x x x x x Clase Servicios Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) servicios: XP 2K3 iniciar x x detener x x interrumpir x x continuar x x inicio x profile_enable x Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -.0 137 .

0 para ePolicy Orchestrator 4. Solo Solaris. mientras que las reglas en la clase UNIX_Files no Windows utilizan una sola barra. UNIX_GUID Para permitir que los usuarios ejecuten un ejecutable con los permisos del propietario o grupo del ejecutable.Apéndice A -.0 . La clase de firma depende de la naturaleza de la seguridad y de la protección que puede ofrecer la firma. Solo Solaris. Notas nivel 138 Guía del producto McAfee Host Intrusion Prevention 8. Solo Solaris.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) Procesos de 64 bits en SO Windows de 64 bits (x64) servicios: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 profile_disable x x x x x x x x x x x x x x x logon x x x x x x x x x x x x x x x crear x x x x x x x x x x x x x x x borrar x x x x Clase SQL Directivas Procesos de 32 bits en SO Windows de 32 bits (x32) Procesos de 32 bits en SO Windows de 64 bits (x64) sql: XP 2K3 V 2K8 7 XP request x x x x x 2K3 V 2K8 Procesos de 64 bits en SO Windows de 64 bits (x64) 7 XP 2K3 V 2K8 x x x x 7 Firmas personalizadas no Windows Esta sección describe cómo escribir firmas personalizadas en las plataformas Solaris y Linux. UNIX_apache Para solicitudes http en Solaris y Linux. UNIX_map Para el mapeado de archivos o dispositivos en la memoria. Para Solaris y Linux están disponibles las siguientes clases: Clase Cuándo usarla UNIX_file Para el archivo o directorio de uso en Solaris y Linux. Solaris/Linux clase UNIX_file La siguiente tabla enumera las secciones y los valores posibles para la clase de UNIX_file basada en UNIX: Sección Valores Clase UNIX_file ID Consulte Secciones comunes. UNIX_bo Para el desbordamiento del búfer. UNIX_Misc Para salvaguardar la protección de acceso en Solaris y Linux. NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles.

Muestra o establece los parámetros de programación. de archivos de origen nuevo Modo de permiso del archivo recién creado o permiso modificado Solo Solaris. unixfile:write Abre un archivo en modo lectura y escritura. Consulte la nota 2. El nombre de archivo tiene 512 '/' consecutivas. Los atributos supervisados son “Solo lectura”. “Archivo” y “Sistema”. unixfile:priocntl Solo Solaris. zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas archivos Archivo o carpeta implicado en la operación Uno de los parámetros requeridos. Cambia los permisos y la propiedad del directorio o el archivo. unixfile:foolaccess Solo Solaris. unixfile:setattr Solo Linux. unixfile:read Abre un archivo en modo de solo lectura. unixfile:chmod Cambia los permisos de un directorio o archivo. hora user_name Ejecutable Nota 1 Directivas apropiadas por sección: Guía del producto McAfee Host Intrusion Prevention 8. “Oculto”. directivas unixfile:chdir Cambia el directorio de trabajo. unixfile:rmdir Elimina un directorio. unixfile:symlink Crea un enlace simbólico. archivo Lista de permisos de los nombres Solo Solaris.0 139 . Opcional.Apéndice A -. Archivos para buscar. unixfile:unlink Elimina un archivo de un directorio o elimina un directorio. Consulte la nota 3. Opcional. unixfile:mknod Crea un nodo. unixfile:create Crea un archivo. Consulte la nota 1. Consulte la nota 1. unixfile:rename Cambia el nombre de un archivo. origen Nombres de archivos de destino Uno de los parámetros requeridos.0 para ePolicy Orchestrator 4. Consulte la nota 4. Consulte la nota 2. unixfile:access Cambia los atributos del archivo. Consulte la nota 5. unixfile:mkdir Crea un directorio. unixfile:chown Cambia la propiedad de un directorio o archivo. unixfile:link Crea un enlace no modificable.

significa que se supervisa la creación de un enlace en el archivo en la sección archivos. significa que se supervisa el cambio de nombre del archivo en la sección archivos. Nota 4 La directiva unixfile:rename tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos.Apéndice A -. agregue una sección de zona en la firma e incluya el nombre de la zona. si tiene una zona llamada "app_zone" cuya raíz es /zones/app. significa que no se puede crear ningún enlace con el nombre especificado en la sección origen. Nota 3 La directiva unixfile:link tiene un significado diferente cuando se combina con la sección archivos y la sección origen: • Cuando se combina con la sección archivos.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directiva Archivo chdir X chmod X chown X crear X vínculo X mkdir X leer X cambiar nombre X rmdir X setattr X symlink X unlink X escribir X Origen Permiso del archivo Nuevo permiso X X X X X X X X Nota 2 El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista de control de acceso (acl). Para reducir la protección a una zona concreta. todas las zonas están protegidas por la firma.. Nota 5 De manera predeterminada. 140 Guía del producto McAfee Host Intrusion Prevention 8. la regla: Rule { .0 para ePolicy Orchestrator 4.0 .. significa que no se puede cambiar el nombre del archivo al archivo de la sección origen. • Cuando se combina con la sección origen. • Cuando se combina con la sección origen. Solo pueden tener los valores “SUID” o “SGID”. Por ejemplo.

0 141 . Se compara con la parte url de una solicitud entrante. método “GET”. Nombre de GUI Explicación archivos Nombres del archivo al que se ha accedido o se ha intentando acceder.Apéndice A -.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows file { Include "/tmp/test.0 para ePolicy Orchestrator 4.log" } zone { Include "app_zone" } . Consulte la nota 4. Consulte las notas 1-4. “INDEX” y todos Opcional. o cuando la operación es el cambio de nombre de un archivo: nuevo nombre del archivo. Solo Solaris. en esta versión. origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: nombre del nuevo enlace. los demás métodos de http permitidos Guía del producto McAfee Host Intrusion Prevention 8. la protección del servidor web no se puede reducir a una zona concreta. consulta Opcional. Tenga en cuenta que. permiso del origen Solo se puede aplicar cuando la operación es la creación de un enlace simbólico entre archivos: permisos de archivo de destino (el archivo que señala el enlace). “POST”. permiso del archivo Permisos de archivo. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. Los valores de estos parámetros pueden ayudarle a entender por qué se inicia una firma. nuevo permiso Solo se puede aplicar cuando se crea un nuevo archivo o se realiza una operación chmod: permisos del nuevo archivo. Solo Solaris.. Se compara con la parte de consulta de una solicitud entrante.. Consulte las notas 1-4. Notas nivel hora user_name Ejecutable url Opcional. Solaris/Linux class UNIX_apache (HTTP) La siguiente tabla enumera las secciones y valores posibles para la clase de apache basada en UNIX: Sección Valores Clase UNIX_apache ID Consulte Secciones comunes. Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los parámetros siguientes de eventos de seguridad para la clase UNIX_Files.

se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape. que coincide con el valor de la sección "url" (es decir.número_de_caracteres” al valor de estas secciones.500” } 142 Guía del producto McAfee Host Intrusion Prevention 8.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior.myserver. Por ejemplo. la siguiente regla se activa si IIS recibe la solicitud http: http:// www. En este documento.com/ {url}?{query}. Nota 3 Se puede definir una restricción de longitud máxima para las secciones “url” y “query”. directivas apache:requrl Para solicitudes de URL. la siguiente regla coincide si la parte url de la solicitud contiene "abc" y tiene más de 500 caracteres: Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*. Consulte la nota 5.exe?subject=wildlife&environment=ocean Rule { Class UNIX_apache Id 4001 level 1 url { Include “*abc*” } time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request } Esta regla se activa porque {url}=/search/abc.exe. Agregando “. Por ejemplo. nos referimos a {url} como la parte “url” de la solicitud http y a {query} como la parte de “consulta” de la solicitud http.0 para ePolicy Orchestrator 4.com/search/abc. podemos decir que la sección "url" se compara con {url} y que la sección "consulta" se compara con {query}. apache:rawdata Para solicitudes de datos sin procesar. abc). la regla solo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”.Apéndice A -. Utilizando esta convención de nombres.0 .myserver. Nota 1 Una solicitud entrante de http puede representarse como: http://www. Nota 2 Antes de efectuar la correspondencia. apache:reqquery Para solicitudes de consultas.

Por ejemplo. file { Include "/tmp/test. método.. la protección del servidor web no se puede reducir a una zona concreta. Solaris/Linux clase UNIX_Misc La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris o Linux UNIX_misc: Sección Valores Notas Clase UNIX_misc Una clase miscelánea que salvaguarda la protección de acceso.log" } zone { Include "app_zone" } . si tiene una zona llamada "app_zone" cuya raíz es /zones/app.Apéndice A -. directivas unixmisc:killagent Evita que la señal SIGKILL se envíe al cliente... } se aplicará solo al archivo de la zona "app_zone" y no a la zona global. al menos.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows time { Include “*” } application { Include “*”} user_name { Include “*” } directives apache:request} } Nota 4 Una regla debe incluir. una de las siguientes secciones opcionales: url. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. Nota 5 De manera predeterminada. Guía del producto McAfee Host Intrusion Prevention 8. todas las zonas están protegidas por la firma. la regla: Rule { . agregue una sección de zona en la firma e incluya el nombre de la zona.. Para reducir la protección a una zona concreta.0 para ePolicy Orchestrator 4. Tenga en cuenta que. consulta. ID Consulte Secciones comunes.0 143 . en esta versión.

. unixbo:binenv Entorno binario. Consulte la nota 1. la protección del servidor web no se puede reducir a una zona concreta. Nota 1 De manera predeterminada.log" } zone { Include "app_zone" } . unixbo:environment Entorno del programa.. directivas unixbo:binargs Argumentos binarios. } se aplicará solo al archivo de la zona "app_zone" y no a la zona global.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Solaris clase UNIX_bo La siguiente tabla enumera las secciones y valores posibles para class_bo (desbordamiento del búfer) de Solaris Sección Valores Clase UNIX_bo ID Consulte Secciones comunes. Solaris clase UNIX_map La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_map: 144 Guía del producto McAfee Host Intrusion Prevention 8.. como ejecutar un programa desde la pila. si tiene una zona llamada "app_zone" cuya raíz es /zones/app. unixbo:exec Ejecución del programa. todas las zonas están protegidas por la firma. file { Include "/tmp/test. unixbo:illegal_address Dirección ilegal. unixbo:libc Se usa cuando la dirección de retorno de una función no está en el marco de pila adecuado. agregue una sección de zona en la firma e incluya el nombre de la zona. Por ejemplo.0 .0 para ePolicy Orchestrator 4. en esta versión. Notas nivel hora user_name Ejecutable programa Nombre del programa Programa para buscar. Tenga en cuenta que. Para reducir la protección a una zona concreta. zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior.Apéndice A -.. la regla: Rule { .

0 para ePolicy Orchestrator 4. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior. directivas mmap:mprotect Establece la protección de acceso de las páginas de memoria. ID Consulte Secciones comunes.Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Sección Valores Notas Clase UNIX_map Use esta clase para asociar archivos o dispositivos UNIX en la memoria. guid:seteuid Establece una ID de usuario efectiva.Apéndice A -. guid:setgid Establece la ID de grupo para permitir que el grupo inicie un ejecutable con el permiso del grupo del ejecutable. Solaris clase UNIX_GUID La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_GUID: Sección Valores Notas Clase UNIX_GUID Use esta clase para establecer indicadores de derechos de acceso de Unix que permitan que los usuarios inicien un ejecutable con el permiso del grupo o del propietario del ejecutable. guid:setegid Establece una ID de grupo efectiva. directivas guid:setuid Establece la ID de usuario para permitir que el usuario inicie un ejecutable con el permiso del propietario del ejecutable. ID Consulte Secciones comunes. guid:setregid Establece una ID de grupo real y efectiva. guid:setreuid Establece una ID de usuario real y efectiva. mmap:mmap Asocia archivos o dispositivos en la memoria. nivel hora user_name Ejecutable zona Nombre de la zona a la que se aplica la firma Solaris 10 o posterior.0 145 . Clases y directivas de la plataforma UNIX Una lista de las clases y directivas efectivas para la plataforma no Windows: Guía del producto McAfee Host Intrusion Prevention 8.

Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Class UNIX_bo Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixbo:binargs X X unixbo:illegal_address X X unixbo:exec X X unixbo:enrironment X X unixbo:binenv X X unixbo:libc X X Class UNIX_file Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixfile:chdir X X X X unixfile:chmod X X X X unixfile:chown X X X X unixfile:create X X X X unixfile:link X X X X unixfile:mkdir X X X X unixfile:read X X X X unixfile:rename X X X X unixfile:rmhdir X X X X unixfile:setattr X X unixfile:symlink X X X X unixfile:unlink X X X X unixfile:write X X X X unixfile:mknod X X X X unixfile:access X X X X unixfile:foolaccess X X unixfile:priocntl X X Class UNIX_Misc Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixmisc:killagent X X X X Class UNIX_apache 146 Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:requrl X X X X apache:reqquery X X X X Guía del producto McAfee Host Intrusion Prevention 8.Apéndice A -.0 .0 para ePolicy Orchestrator 4.

0 147 .Escritura de firmas personalizadas y excepciones Firmas personalizadas no Windows Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:rawdata X X X X RedHat Linux SuSE Linux Class UNIX_map Directivas Solaris 9 Solaris 10 mmap:mprotect X X mmap:mmap X X Class UNIX_GUID Directivas RedHat Linux SuSE Linux Solaris 9 Solaris 10 guid:setuid X X guid:seteuid X X guid:setreuid X X guid:setgid X X guid:setegid X X guid:setregid X X Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.Apéndice A -.

Utilice esta información para determinar el tráfico distinto de IP necesario y cree una regla de firewall que lo permita. Después puede comprobar el registro de actividades de Protocolos distintos de IP entrantes/salientes permitidos: 0xXXX. debido a ello. de forma dinámica. Para evitar que se descarten los protocolos distintos de IP.0 para ePolicy Orchestrator 4.exe) • Consola del cliente de McAfee Host Intrusion Prevention (McAfeeFire.exe) Estos servicios tendrían que estar activos cuando se los llame: • Icono de la bandeja del sistema del servicio McAfee Host Intrusion Prevention (FireTray. Además.exe) ¿Cómo puedo evitar que el firewall bloquee el tráfico distinto de IP? A no ser que esté indicado específicamente en una regla de firewall.org/assignments/ethernet-numbers). seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall. donde 0xXXX indica el número del protocolo IANA Ethernet (consulte htttp://www. el modo de adaptación y el modo de aprendizaje. Consulte KB69184 para obtener la información más reciente.exe) • Servicio McAfee Firewall Core (mfefire.Apéndice B: solución de problemas Los artículos de la base de datos de conocimientos del sitio Soporte de McAfee http://mcafee. están bloqueados. 148 Guía del producto McAfee Host Intrusion Prevention 8.exe Problemas generales ¿Qué servicios de Host Intrusion Prevention se tendrían que instalar y ejecutar en el sistema del cliente para que el software funcione correctamente? Estos servicios siempre tendrían que estar activados para proporcionar protección de prevención de intrusiones con IPS o firewall o ambos: • Servicio McAfee Host Intrusion Prevention (FireSvc.iana.0 . no detectan y crean reglas de firewall para protocolos distintos de IP. el firewall no reconoce algunos tipos de tráfico distinto de IP y.com le ofrecen la información de soporte más actualizada sobre problemas y la solución de los mismos. Contenido Problemas generales Registros de Host IPS Utilidad Clientcontrol.exe) • Servicio McAfee Validation Trust Protection (mfevtps.

log: 1 Identifique los ejecutables asociados con la aplicación.0 para ePolicy Orchestrator 4.com y compruébelo con el controlador de Microsoft Pass Thru desinstalado.log: cualquier detalle de infracción de <Evento>. Si el problema no está relacionado con una firma IPS: 1 Desactive todos los módulos de Host Intrusion Prevention (IPS. desinstale el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce. Aplique el parche y desactive la firma. 3 Si el problema no se produce. 2 Desactive el IPS y detenga el servicio del cliente de Host Intrusion Prevention (FireSvc. seleccione Permitir el tráfico de protocolos no admitidos en la directiva Opciones de Firewall del servidor ePolicy Orchestrator y aplique la directiva al cliente. 5 Si estos pasos no resuelven el problema. consulte el artículo 54960 de KnowledgeBase en http://knowledge. 4 Incluya los ejecutables que excluyó en el paso 2. esto indica que una actualización de seguridad de un parche está disponible.exe) y. 3 Repita la prueba para la aplicación de funciones. Asegúrese de hacer la excepción tan diferenciada como sea posible utilizando los parámetros avanzados del evento. desactive el adaptador de minipuerto de filtro intermedio McAfee NDIS y vuélvalo a probar para verificar si el problema se produce.mcafee.0 149 . y vuélvalo a probar para verificar si el problema se produce. Vuélvalo a probar con esta opción definida. el tráfico también puede ser descartado si Host Intrusion Prevention está activo. vuélvalo a probar para verificar si el problema se produce. 3 Si una firma nueva está bloqueando actividad por culpa de un evento. 6 Identifique el motor IPS que causa el problema. 5 Aísle el motor IPS que podría estar causando el problema. tiene que determinar si es la firma u otro elemento el que causa el problema.mcafee. 4 Si estos pasos no resuelven el problema.mcafee. vaya a la ficha Evento de Host IPS en Informes en el servidor ePolicy Orchestrator. 6 Si el problema no se produce con el NDIS desinstalado. Tenga en cuenta los resultados.log) y el registro de firewall (escrito en FireSvc. Si se incluye un elemento CVE (Common Vulnerabilities and Exposures) en la descripción de la firma IPS. Para obtener detalles. busque el evento y cree una excepción. Guía del producto McAfee Host Intrusion Prevention 8. visualice la firma relacionada con el evento. consulte el artículo 68557 de KnowledgeBase en http://knowledge. a continuación. Si el problema se produce por una firma IPS: 1 Permita el registro de IPS (escrito en HipShield. consulte el artículo 51676 de KnowledgeBase en http://knowledge. 2 Busque INFRACCIÓN en HipShield. 2 Excluya los ejecutables de protección de la lista de protección de aplicaciones de Host IPS.log) en el cliente o en la directiva IU del cliente en el servidor ePolicy Orchestrator y reproduzca el problema. Para obtener detalles.com. Si el problema se produce solo con el módulo IPS activado y no se produjeron infracciones <Evento> en HipShield.com. 4 Si los parámetros avanzados del evento son limitados. IPS de red y Firewall). Nota: aunque el firewall esté desactivado.Apéndice B: solución de problemas Problemas generales ¿Qué tengo que hacer si una aplicación falla o una función se ve afectada después de instalar o actualizar el contenido de Host Intrusion Prevention? Si el comportamiento de una aplicación ha cambiado después de instalar o actualizar el cliente de Host Intrusion Prevention o una actualización de contenido.

5 Pruebe el sistema para ver si el problema se repite: • Si el problema persiste. informe del problema como un problema asociado con los archivos instalados y no con un componente específico. Si se ha solucionado el problema. Prueba de todos los motores IPS 150 1 Haga clic en Ayuda y seleccione Solución de problemas. informe del problema como un problema asociado directamente con el servicio. pase al paso 1 de la fase de pruebas iterativas. 2 Desactivar Firewall: haga clic en la ficha Directiva Firewall y anule la selección de Activar Firewall. para informar al soporte. 2 Seleccione informe de Error en registro de IPS. 3 Borrar la lista de Hosts bloqueados: haga clic en la ficha Hosts bloqueados y borre la lista seleccionando cada entrada y haciendo clic en Quitar. Si el problema desaparece.Apéndice B: solución de problemas Problemas generales ¿Cómo aíslo un componente en Host IPS para descubrir cuál causa el problema? NOTA: este proceso incluye pasos que pueden requerir reincializaciones y accesos repetidos o problemas que se recrean. Fase de pruebas iterativas de cada componente: Prueba de Host IPS 1 Haga clic en la ficha Registro de actividad y borre el registro. Si encuentra la causa del problema pero no puede resolverlo. • Si el problema se ha resuelto.0 . • Si el problema se repite: 1 Anule la selección de Activar Host IPS. 2 Vuélvalo a probar para verificar si el problema desaparece. Desactivar todos los componentes y comprobar si hay fallos: 1 Desactivar IPS: haga clic en la ficha Directiva IPS y anule la selección de Activar Host IPS y Activar IPS de red. pase al paso 5. pase al paso 6. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. 4 Activar el registro de actividad: haga clic en la ficha Registro de actividad y verifique que todas las casillas de los registros de tráfico y de las opciones de filtro están seleccionadas. 4 Seleccione Activar Host IPS y verifique si el problema reaparece. 3 Guarde una copia del registro de actividades y póngale el nombre Registro de actividad de Host IPS wProb. 6 Realice las comprobaciones siguientes: • Detenga el servicio McAfee Host IPS y vuélvalo a probar. 3 Seleccione Violaciones de seguridad de registro. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar Host IPS. Si el problema desaparece. Host IPS puede asociarse potencialmente al problema. 4 Haga clic en Funcionalidad. Los pasos siguientes tendrían que realizarse en el sistema del cliente local con la consola de Host IPS. • Desinstale el Host IPS del cliente del sistema local y vuélvalo a probar. reenvíe los registros que obtenga al Soporte de McAfee. Prueba de IPS de red. 3 Pruebe el sistema para determinar si el problema se repite: • Si el problema no se repite.

anule la selección de Activar Host IPS y pase al siguiente paso. podría estar asociado con un motor concreto.Apéndice B: solución de problemas Problemas generales 5 En el cuadro de diálogo de motores de HIPS. IPS de red puede asociarse potencialmente al problema. para informar al soporte. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar modo de adaptación. anule la selección de Activar modo de adaptación y vuélvalo a probar para ver si el problema está solucionado. • Si el problema no se repite. 6 Pruebe el sistema para determinar si el problema se repite. 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. 2 Seleccione informe de Error en registro de IPS. • Si el problema no se repite. seleccione Activar IPS de red y pase al siguiente paso. active todos los motores para pasar al siguiente paso. Si lo está. anule la selección de Activar/Desactivar todos los motores y haga clic en Aceptar. 3 Pruebe el sistema para determinar si el problema se repite. 6 Guarde una copia del registro hipshield por cada prueba y etiquétela con el nombre del motor al que se ha realizado la prueba. 3 Pruebe el sistema para determinar si el problema se repite. y vuélvalo a probar. uno cada vez. Prueba de cada motor IPS. Prueba de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro. Si lo está. Pase al siguiente paso. Prueba del bloqueo automático de IPS de red 1 Haga clic en la ficha Registro de actividad y borre el registro. Prueba de cada motor IPS 1 Haga clic en Ayuda y seleccione Solución de problemas. para informar al soporte. tenga en cuenta si el problema está asociado con el componente IPS pero no con los motores concretos. • Si el problema no se repite. Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red wProb. Guía del producto McAfee Host Intrusion Prevention 8. 4 Siga uno de estos procedimientos: • Si el problema se repite. para informar al soporte. 5 Seleccione los motores. 4 Haga clic en Funcionalidad. Revise hipshield.0 para ePolicy Orchestrator 4. 3 Seleccione Violaciones de seguridad de registro. Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de adaptación de Host IPS wProb. Host IPS en modo de adaptación puede asociarse potencialmente al problema.log para ver si el componente IPS es el problema. 7 Cuando se hayan completado las pruebas. anule la selección de Activar IPS de red y vuélvalo a probar para ver si el problema está solucionado. Prueba del modo de adaptación de IPS 1 Haga clic en la ficha Registro de actividad y borre el registro. 4 Siga uno de estos procedimientos: • Si el problema se repite.0 151 . 7 Siga uno de estos procedimientos: • Si el problema se repite.

c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de IPS de red de adaptación wProb. el modo de aprendizaje entrante de Firewall puede asociarse potencialmente al problema. 2 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Entrante. para informar al soporte. el modo de aprendizaje saliente de Firewall puede asociarse potencialmente al problema. Si el problema no se repite. b Vuélvalo a probar para verificar si el problema está solucionado.0 para ePolicy Orchestrator 4. 5 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Saliente.Apéndice B: solución de problemas Problemas generales 2 Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red. Si lo está. Si se repite: a Anule la selección de Saliente. 3 Haga clic en la casilla Bloquear automáticamente los atacantes. 6 Pruebe el sistema para determinar si el problema se repite. Si lo está. Prueba de la directiva Firewall 1 Haga clic en la ficha Registro de actividad y borre el registro. Si se repite: 5 a Anule la selección de Bloquear automáticamente los atacantes y vuélvalo a probar para ver si el problema está solucionado. 2 Haga clic en la ficha Directiva Firewall y seleccione Activar Firewall. Prueba del modo de aprendizaje de Firewall 152 1 Haga clic en la ficha Registro de actividad y borre el registro. Si se repite: a Anule la selección de Entrante. para informar al soporte. 3 Pruebe el sistema para determinar si el problema se repite. d Haga clic en la ficha Registro de actividad y borre el registro. seleccione Activar firewall y pase al siguiente paso. Anule la selección de Saliente. Si se repite: 4 a Anule la selección de Activar firewall. para informar al soporte. Host IPS Firewall puede asociarse potencialmente al problema. 3 Pruebe el sistema para determinar si el problema se repite. b Vuélvalo a probar para verificar si el problema está solucionado. tenga en cuenta cualquier entrada de atacante bloqueado y revise para ver si hay falsos positivos. 4 Pruebe el sistema para determinar si el problema se repite. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb. b Haga clic en la ficha Hosts bloqueados. Si el problema no se repite. Guía del producto McAfee Host Intrusion Prevention 8. b Vuélvalo a probar para verificar si el problema está solucionado.0 . Si lo está. IPS de red en modo atacantes bloqueados puede asociarse potencialmente al problema. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall LearnOUT wProb. d Haga clic en la ficha Registro de actividad y borre el registro. 4 Haga clic en la ficha Registro de actividad y borre el registro. Si lo está. anule la selección de Activar IPS de red y pase al siguiente paso. c Guarde una copia del Registro de actividad y póngale el nombre Registro de actividad de Firewall wProb. Anule la selección de Entrante.

2 Haga clic en la ficha Hosts bloqueados y elimine todos los hosts bloqueados de la lista. anule la selección de la casilla Activar Firewall y pase al siguiente paso. 5 Guarde la regla. tienen preferencia sobre las reglas creadas de forma local. 9 Pruebe el sistema para determinar si el problema se repite. 3 Pruebe el sistema para determinar si el problema se repite. b Vuélvalo a probar para verificar si el problema está solucionado. 4 Defina la Dirección en Ambos. Si se han configurado otras directivas desde la consola. ya que es obligatorio que la primera regla de la lista de reglas de firewall sea una regla Permitir todo el tráfico. Prueba con la regla Permitir todo el tráfico de Firewall NOTA: es posible que este paso se tenga que configurar desde la consola de gestión de ePO. 1 Cree una regla nueva y póngale el nombre Permitir todo el tráfico. d Haga clic en Exportar todas las directivas. Si se ha creado la regla de forma local. mueva la regla Permitir todo el tráfico para que sea la primera regla en la lista de directivas. Si la regla se ha creado en una directiva en la consola ePO. Si se repite: 7 a Desactive la regla Permitir todo el tráfico. Guía del producto McAfee Host Intrusion Prevention 8. el modo de aprendizaje entrante y saliente de Firewall puede asociarse potencialmente al problema. Haga clic en la ficha Directiva de Firewall. 3 Defina el Protocolo como TCP IP. d Guarde una copia del Registro de Actividad y póngale el nombre Registro de actividad de Firewall Prueba Permitir todo el tráfico. Si se repite: a Anule la selección de Entrante y Saliente. asegúrese de que ninguna regla la precede.0 para ePolicy Orchestrator 4. para informar al soporte. c Busque Host IPS y amplíelo. c Guarde una copia del registro de actividad y póngale el nombre Registro de actividad deFirewall LearnINOUT wProb. c Haga una captura de pantalla de la lista del firewall en la ficha Directiva de Firewall. 6 Pruebe el sistema para determinar si el problema se repite. 8 Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y tanto Entrante como Saliente. e Exporte la configuración de la Directiva de Host IPS: a Inicie sesión en la consola de ePO. Si lo está. 2 Defina la Acción en Permitir.0 153 . b Vuélvalo a probar para verificar si el problema está solucionado.Apéndice B: solución de problemas Problemas generales 7 Desplácese hasta la ficha Directiva de Firewall. probablemente no esté asociado con Hosts bloqueados. probablemente hay un error de configuración con las reglas. b Desplácese hasta el objeto Catálogo de directivas en el árbol del sistema de ePO. Prueba de la directiva Hosts bloqueados 1 Haga clic en la ficha Registro de actividad y borre el registro. Si se repite. Si lo está.

Windows 2008. 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes. según el sistema operativo: • Windows XP. • Información: registra mensajes de información.0 para ePolicy Orchestrator 4. • Información: registra mensajes de información. 2 Haga clic en la ficha Solución de problemas. • Advertencia: registra los mensajes de advertencia y de error. • Advertencia: registra los mensajes de advertencia y de error. Los registros de Firewall e IPS se controlan de forma independiente. 3 Seleccione la configuración de registro necesaria: • Depuración: registra todos los mensajes. Windows 7: C:\ProgramData\McAfee\Host Intrusion Prevention ¿Cómo se activa el registro? Puede establecer el registro de Host IPS con la consola del cliente de Host IPS o con la directiva IU de cliente de Host IPS de la consola de ePolicy Orchestrator. • Error: registra los mensajes de error.Apéndice B: solución de problemas Registros de Host IPS Si no ha encontrado la causa del problema. explique el problema y adjunte los datos obtenidos durante este proceso. edite la directiva IU de cliente que se aplicará a un cliente. Para permitir el registro desde ePolicy Orchestrator: 1 En Host IPS: General. advertencia y error. Registros de Host IPS ¿Dónde se encuentran los archivos de registro? Todos los archivos de registro están en uno de estos directorios en el sistema del cliente. • Error: registra los mensajes de error. advertencia y error. 2 Seleccione Ayuda | Solución de problemas. abra la consola de Host IPS. El uso de una clave de registro local para permitir la depuración del registro sustituye cualquier conjunto de directivas que utilice ePolicy Orchestrator. Desbloquee la interfaz del usuario con un administrador o una contraseña basada en tiempos. póngase en contacto con Soporte de McAfee. NOTA: el registro se puede establecer localmente al agregar el valor DWORD 'depuración_activada' en la clave de registro HKLM\Software\McAfee\HIP. Windows 2003: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention • Windows Vista. Para permitir el registro del cliente: 1 Desde el icono de la bandeja. Estas configuraciones de los registros permanecen vigentes hasta que se bloquee la consola del cliente y se produzca una aplicación de la directiva subsiguiente. Se activa un valor del decimal 1 en el registro depuración detallada. 154 Guía del producto McAfee Host Intrusion Prevention 8. • Desactivado: no registra ningún mensaje.0 .

Apéndice B: solución de problemas Registros de Host IPS • Desactivado: no registra ningún mensaje. • Una línea que empieza con Hooking xxx indica que el proceso de interceptación prosigue. Guía del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4. El hecho de no copiar estos archivos impide que el componente Host IPS se inicie. Los datos que contiene HipShield son ad-hoc y difieren entre las partes del componente Host IPS. La rotación de archivos de registro la controlan las entradas DWORD log_rotate_size_kb y log_rotate_count en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. recomendamos encarecidamente que se cree el registro de valores debug_enabledy se establezca a 1. Esto reduce el tamaño de los archivos de registro. El número xxx indica el PID (proceso ID) del proceso que se está interceptando. • Una línea que empieza con New Process: Pid= indica que el componente Host IPS es capaz de supervisar el proceso de creación. donde 0 significa que la rotación del registro está desactivada. cosa que depende de que los archivos mencionados anteriormente se hayan copiado correctamente. Los registros de Firewall e IPS se controlan de forma independiente.log. Cuando se ha superado el tamaño especificado de log_rotate_size_kb. donde xxx es un nombre como EnterceptMgmtServer. Estas configuraciones de los registros se aplicarán a la siguiente implementación de la directiva. Este archivo de registro crece hasta los 128 MB y rota con una copia de seguridad. Cada entrada del registro HipShield muestra una marca de fecha/hora. La clave log_rotate_count determina el nombre de archivos de registro de copias de seguridad que se tienen que mantener. • Una serie de líneas que empiezan con Processing Buffer xxx.1. los antiguos se eliminan. • Una línea que empieza con Scrutinizer initialized successfully indica que la descarga del componente IPS ha sido correcta durante la inicialización del examinador. • Una línea que empieza con IIS . seguida de una indicación sobre si estos datos son informativos.scn. Los errores del proceso de análisis de archivos del analizador se indican aquí. • Una línea que empieza con Scrutinizer started successfully ACTIVATED status indica que el examinador se ha inicializado correctamente. como se muestra más arriba.0 155 . y el DWORD entrylog_rotate_size_kb tiene el tamaño aproximado en KB de un archivo de registro de copia de seguridad.scn informa sobre el resultado del proceso de análisis de archivos del analizador xxx. Este registro de valores registra todos los eventos de Host IPS y de IPS de red en HIPShield. Si ya existe un archivo con este nombre.log? Una ejecución del componente Host IPS empieza con una declaración de banner que identifica la ejecución de la compilación y la marca de fecha/hora de la sesión. reiniciar el servicio y ejecutar la reproducción. NOTA: cuando se recopilen datos para incidentes remitidos al Soporte de McAfee. Cuando se alcanza el número especificado de archivos de copia de seguridad. sea cual sea la configuración del estado de registro original en las propiedades de la firma. Asegúrese de parar el servicio. de depuración o un error.Start indica que la supervisión IIS está empezando. eliminar los archivos de registro antiguos. el sufijo se incrementa en uno. ¿Qué archivos de registro están asociados con el componente Host IPS? El archivo de registro primario para el componente Host IPS es HipShield. Áreas clave de interés: • Las líneas que empiezan por In install modules new describen la copia de archivos como parte del inicio del componente Host IPS. ¿Qué se tiene que buscar en HipShield.log. se cierra el archivo y se le cambia el nombre con el sufijo .

Si se desean archivos de registro más grandes o más pequeños. a continuación. 3 Haga clic con el botón derecho en MaxFwLogSize y seleccione Modificar. seleccione Nuevo.0 para ePolicy Orchestrator 4. el tamaño se puede controlar agregando el siguiente valor de registro: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize. a continuación. 2 Póngale nombre al valor nuevo MaxFwLogSize. ¿Qué archivos de registro están asociados con el componente firewall? Los archivos de registro primarios del componente Firewall contienen: Nombre Descripción FireSvc. 5 Haga clic en Aceptar y.log y FireUI. Valor Dword. Para establecer el tamaño del registro: 1 Seleccione la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP.Apéndice B: solución de problemas Utilidad Clientcontrol. Este valor se introduce en KB.0 .log.log Registro de bandeja FireUI. Estos archivos contienen un volcado de las reglas y las excepciones que se envían al kernel después de que el AgentNT.exe Esta utilidad de línea de comandos ayuda a automatizar las actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention 156 Guía del producto McAfee Host Intrusion Prevention 8.exe • Las líneas del formato signature=111 level=2.log Registro IU del cliente Registro del nivel de depuración • La ubicación coincide con la salida • Clasificación de salida de la conexión TrustedSource • Errores/advertencias Registro de complemento de • McAfee Agent • FireTray.log/McTrayHip.db se crean en el mismo directorio que los registros solo cuando la depuración está activada. Se incluyen el ID y el nivel de la firma junto con una indicación de si el registro está activado para esta firma. Crear y asignar un valor a las claves de registro anteriores establece el tamaño máximo de todos estos archivos de registro.dll haya procesado el contenido. 4 Cambie el valor al tamaño deseado para los registros. log=True indican que se ha cargado una firma individual. haga clic con el botón derecho en un espacio en blanco en el panel derecho y.log. FireTray. cierre el editor del registro. Utilidad Clientcontrol.log Contiene estos datos Registro del nivel de depuración Estadísticas de los intervalos de aplicación de las directivas • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias • Registro del nivel de depuración • Errores/advertencias Estos archivos crecen hasta que alcanzan el tamaño máximo predeterminado de 100 MB. NOTA: la clave de registro MaxFwLogSize controla el tamaño de FireSvc. HipMgtPlugin.db y except. NOTA: Shield.log Registro de servicio principal • HipMgtPlugin.log.

Se crea una entrada en ClientControl. su actividad podría quedar bloqueada por las directivas aplicadas. Windows 2008. • Los servicios de IPS en host no se han detenido. La utilidad graba sus actividades en ClientControl. • Cambiar la configuración de registro (requiere un administrador o una contraseña basada en tiempos). • Detener el servicio IPS en host (requiere un administrador o una contraseña basada en tiempos). 2 Seleccione la ficha Avanzadas. • Iniciar/detener los motores de IPS en host (requiere un administrador o una contraseña basada en tiempos). abra Host Intrusion Prevention: Directiva general. • Exportar el registro de actividad a un archivo con formato de texto. Para permitir el registro.exe en equipos cliente. Se puede incluir en los comandos de instalación y mantenimiento para desactivar de forma temporal la protección IPS y activar las funciones de registro. Incluso si la detención de los servicios de IPS en host es correcta. • Si McAfee Agent aplica directivas mientras usted realiza una actividad que requiere que la protección esté desactivada (por ejemplo. • McAfee Agent aplica las directivas al siguiente intervalo de aplicación de directivas. modifique HKLM\Software\McAfee\HIP en el registro agregando la entrada FwLogLevel de tipo DWORD con un valor de 0x7. Sintaxis de línea de comandos Convenciones: Guía del producto McAfee Host Intrusion Prevention 8. Si el usuario tiene autoridad para detener los servicios en el equipo. Función e instalación Esta utilidad permite que los administradores realicen lo siguiente en los clientes de IPS en host de McAfee: • Iniciar el servicio IPS en host. y Windows 7. • Exportar las reglas de protección IPS de inicio del registro.0 para ePolicy Orchestrator 4. o C:\ProgramData\McAfee\Host Intrusion Prevention en Windows Vista. La casilla de IPS en host en la ficha Directiva IPS queda en blanco automáticamente. • Mostrar los datos de licencia NaiLite que se encuentran en el registro del equipo cliente. aplicar parches en Windows). la configuración de la directiva podría permitir que McAfee Agent los reiniciase al siguiente intervalo de comunicación agente-servidor (ASCI).0 157 . Detención de los servicios de IPS en host El parámetro /detener detiene los servicios de IPS en host si el usuario tiene autoridad administrativa para detener los servicios. se produce lo siguiente: • Los servicios de IPS en host están desactivados.log en: C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention.Apéndice B: solución de problemas Utilidad Clientcontrol. Para evitarlo: 1 En ePolicy Orchestrator. 4 Ejecute una llamada de activación del agente.log. • Exportar las opciones de configuración a un archivo con formato de texto. 3 Anule la selección de Comprobación de integridad del producto. • Sustituir las opciones de configuración con la configuración de la directiva predeterminada.

.exe • [ ] significa obligatorio.. • [xxx. • /detención <contraseña> Detiene el servicio. Definiciones del tipo de registro: • 0 = HIPS (crea un HipShield.. • /inicio Inicia el servicio. • /registro <contraseña> [tipo de registro] [opciones de registro] Genera registros.] significa uno o más. puede especificar más de una opción de registro cuando cambie la configuración de registro. Uso: clientcontrol [arg] Definiciones de los argumentos: • /ayuda Muestra la sintaxis de las líneas de comando y las notas.Apéndice B: solución de problemas Utilidad Clientcontrol. Argumentos principales: Solo uno de los siguientes argumentos principales tiene permiso por invocación: • /ayuda • /inicio • /detención • /registro • /motor • /exportación Sin embargo.0 para ePolicy Orchestrator 4. Ejecutar la utilidad con el comando /ayuda proporciona la información de ayuda y las notas más actualizadas. • < > significa datos introducidos por el usuario.log) • 1 = Firewall (crea un FireSvc. Definiciones del tipo de motor: • 0 = todos 158 Guía del producto McAfee Host Intrusion Prevention 8.0 .log) Definiciones de las opciones de registro: • 0 = desactivado • 1 = error • 2 = advertencia • 3 = información • 4 = depuración • 5 = violación de la seguridad (solo IPS) • /motor <contraseña> [tipo de motor] [opciones de motor] Enciende y apaga los motores. Las opciones de registro se procesan en orden.

No incluya "/s" si no hay un archivo de origen. firewall y las aplicaciones de confianza.0 159 . Definiciones del tipo de configuración: • 0 = todos • 1 = protección de la aplicaciones • 2 = hosts bloqueados • 3 = firewall • 4 = firmas personalizadas de IPS en host • 5 = excepciones IPS • 6 = configuración • 7 = aplicaciones de confianza • 8 = redes de confianza • 9 = firmas de IPS de red • 10 = firmas de IPS en host • 11 = motores de IPS en host • 12 = sesiones de inicio de sesión • 13 = reglas de bloqueo DNS • /defConfig <contraseña> Sustituye las opciones de configuración con directivas de cliente predeterminadas para la configuración de la protección de aplicaciones.Apéndice B: solución de problemas Utilidad Clientcontrol.0 para ePolicy Orchestrator 4. • /readNaiLic Muestra los datos de licencia de NaiLite. • /exportConfig <ruta del archivo de exportación> <tipo de configuración> Exporta las opciones de configuración a un archivo con formato de texto.exe • 1 = Desbordamiento del búfer • 2 = SQL (solo servidor) • 3 = Registro • 4 = Servicios • 5 = Archivos • 6 = HTTP (solo servidor) • 7 = API de IPS en host • 8 = Uso no autorizado • 9 = Programa • 10= Enlazado Definiciones de las opciones de motor: • 0 = desactivado • 1 = activado • /exportación /s <ruta del archivo de origen de exportación> <ruta del archivo de exportación del registro de eventos> Exporta el registro de eventos a un archivo con formato de texto. Guía del producto McAfee Host Intrusion Prevention 8. La ruta del archivo de origen es opcional.

exe /inicio (para reiniciar los servicios de Host IPS). Flujos de trabajo de muestra Aplicar un parche a un equipo protegido por IPS en host de McAfee 1 Abra un shell de comandos.0 para ePolicy Orchestrator 4.log para obtener información relevante. .0 . 4 Ejecute clientcontrol..exe /exportación <ruta del archivo de exportación> 3 Copie el archivo de registro exportado a otro equipo para la recopilación y el análisis.Apéndice B: solución de problemas Utilidad Clientcontrol. 2 Ejecute clientcontrol. 4 Revise HipShield. 2 Ejecute clientcontrol.log o FireSvc. 2 Ejecute clientcontrol.exe • /bootTimeRules <contraseña> <ruta del archivo de exportación> Exporta las reglas IPS de inicio a un archivo con formato de texto. NOTA: • Tiene que haber al menos un espacio entre el argumento. la contraseña y cualquier otro parámetro obligatorio. Activar el registro como parte de un ejercicio de resolución de problemas 1 Abra un shell de comandos.exe /registro <contraseña> [tipo de registro] [opción de registro..] 3 Realice la actividad para generar entradas de registro. 2 Ejecute clientcontrol.exe /detención <contraseña> 3 Realice su actividad de mantenimiento.exe /<contraseña> [tipo de motor] [opción de motor] 3 Realice la actividad para generar reacciones y entradas de registro. 4 Revise HipShield.log para obtener información relevante. Guía del producto McAfee Host Intrusion Prevention 8. Exportar el registro de actividad de IPS en host a un archivo de texto 1 Abra un shell de comandos.log o FireSvc. Desactivar motores específicos de IPS en host como parte de un ejercicio de resolución de problemas 160 1 Abra un shell de comandos.

95 clientes actualización con llamada de activación del agente o tarea 31 ajuste de IPS en host 21 B blindaje y envoltura 33. 97 simulación detectada 97 aplicaciones de confianza configuración. 110 comprobar archivos de instalación 109 consideraciones 108 descripción 107 detener y reiniciar 110 implementación de directivas 107 solución de problemas 108. historial de instalación 106 solución de problemas 105.0 para ePolicy Orchestrator 4. 96. trabajar con 98 Ficha Directiva de firewall 99.Índice A C acciones de permiso y bloqueo comunicaciones de red. editar 98 directivas IPS. 107 implementación de directivas 104 prevención de desbordamiento del búfer 104 solución de problemas 105 Cliente Windows alertas 95 descripción 90 directivas IPS. crear y editar 100 solución de problemas 93.0 161 . IPS en host 29 incorporación de paquetes de IPS en host 30 métodos de IPS en host 31 paquete de contenido de IPS en host 29 adaptadores de red condiciones para permitir la conexión 60 administradores globales asignación de conjuntos de permisos 25 ajuste de IPS en host análisis de eventos 17 directivas de aplicaciones de confianza 87 directivas predeterminadas y 19 gestionar directivas 10 manual y automático 20 modos adaptación y aprendizaje 22 perfiles de uso 10 Alertas de simulación detectada 97 alertas. basada en evento 52 crear una lista en IPS en host 87 crear y editar. creación 70. directiva de firewall 99 filtrado de firewall con seguimiento de estado 66 actualizar firmas. 100 Ficha Directiva de IPS 97 Ficha Hosts bloqueados 101. 98 reglas de firewall. 109. 102 Ficha Protección de aplicaciones 102 Ficha Registro de actividad 102. en IPS en host 87 creación. 103 lista de reglas de firewall 99 reglas de excepción para directivas de IPS 97. IPS en host actividad del firewall 94 actividad IPS 94 cliente Linux. IPS en host alertas de intrusos 95 clientes Windows 95 definir opciones para clientes 93 firewall 96 modo aprendizaje y tráfico de red desconocido 69 responder 95. 109 Cliente Solaris archivos de instalación 106 comprobación de que el cliente se ejecuta 106 descripción 104 detener y reiniciar 106. en IPS en host 88 definido 10 directiva Reglas IPS 52 archivos de registro. 35 reglas de comportamiento de IPS y 35 Guía del producto McAfee Host Intrusion Prevention 8. 94. 73 directivas de propiedad de IPS en host 8 gestión de directivas de IPS en host 18 IU de cliente 82 Redes de confianza 86 Catálogo de IPS en host agregar a 77 contenido 63 dependencias 63 edición 77 explicación 63 exportar a 77 exportar desde 77 filtrar 77 usar 77 Cliente Linux 107. historial de instalación 109 cliente Solaris. 108 solución de problemas de IU de cliente 85 asignación de directivas activación de protección por firewall 70 cambiar 19 IPS en host 9 caracteres comodín reglas de firewall 79 reglas IPS 47 firmas personalizadas 115 Catálogo de directivas Aplicaciones de confianza 87 directivas de firewall personalizadas. 108.

50 definir 40 Guía del producto McAfee Host Intrusion Prevention 8. IPv4 contra IPv6 65 grupos con reconocimiento de ubicación 60 grupos de reglas 60 reglas de firewall y 99 supervisión de hosts bloqueados 101 directiva Aplicaciones de confianza acerca de 8 crear y editar 88 definir 87 falsos positivos.0 . configurar 83 definir 82 descripción 81 Ficha General. IPS en host gestión de la información 13 informes 10 personalizado. configuración 39 reacciones. configurar 83 opciones 93 solución de problemas 85 directiva efectiva con directivas de instancias múltiples 42 directiva McAfee Default Aplicaciones de confianza 87 Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 directiva Opciones del firewall acerca de 8 configuración 72 uso de 70 Directiva Opciones del firewall TrustedSource 72 descripción 57 directiva Opciones IPS acerca de 8 configuración 38 directivas preconfiguradas 38 modo de adaptación 37 uso de 37 Directiva Opciones IPS descripción 32 directiva Protección IPS acerca de 8 configuración 40 niveles de gravedad. en IPS en host 21 Windows (consulte Cliente Windows) 90 conformidad configuración de paneles de IPS en host para ver 19 conjuntos de permisos asignar 26 gestión del despliegue de IPS en host 25 permisos de IPS en host 25 quién configura el sistema 19 consola de cliente Windows desbloquear la interfaz 92 descripción 90 Menú Icono de la bandeja de sistema 90 métodos de apertura 92 personalizar por cliente 93 consultas.Índice clientes (continuación) análisis de datos en clientes IPS en host 21 consultas para grupos de 14 convenciones de nomenclatura para IPS en host 21 Linux (consulte Cliente Linux) 107 Solaris (consulte Cliente Solaris) 104 trabajar con. creación 76 directiva Reglas del firewall configuración 74 reglas de cliente. gestión 78 directiva Reglas IPS caracteres comodín 47 acerca de 8 configuración 40. reducir 81 prioridad y 86 Directiva Redes de confianza descripción 81 directiva Reglas de firewall caracteres comodín 79 acerca de 8 definir 73 descripción 57 grupos.0 para ePolicy Orchestrator 4. reducir 81 Directiva Aplicaciones de confianza descripción 81 Directiva de bloqueo de DNS del firewall acerca de 8 definir 73 descripción 57 Directiva de IU de cliente acerca de 8 configuración 82 162 Directiva de IU de cliente (continuación) contraseñas 83 control de icono de bandeja. configuración 40 uso de 39 Directiva Protección IPS descripción 32 directiva Redes de confianza acerca de 8 configuración 86 definir 86 falsos positivos. parámetros para 14 predefinidas y personalizadas 14 seguimiento de actividades 14 contraseñas desbloquear la consola de cliente Windows 92 para directiva IU de cliente 83 usar la herramienta de solución de problemas hipts 105 D desbordamiento del búfer configuración de la directiva Aplicaciones de confianza 87 prevención en el cliente Solaris 104 reglas de comportamiento de IPS y 35 despliegue despliegue del cliente de IPS en host inicial 21 Directivas de IPS en host y 10 perfiles de uso en IPS en host 10 tareas servidor para IPS en host 25 dirección IP configurar redes de confianza 86 Notificaciones y parámetros de IPS en host 28 Dirección IP firewall de seguimiento de estado.

47. permitir y bloquear 58 tabla de estados 65 firmas ajuste de directivas de IPS en host 10 Guía del producto McAfee Host Intrusion Prevention 8. 67 acciones. 74 responder a alertas 97 revisión de características 8 valores predeterminados. IPS en host ajustar predeterminados 19 anulación.0 para ePolicy Orchestrator 4. 99. 88 introducción a las funciones 32 Opciones del firewall 70. configuración 40 firmas. trabajar con 43 gestión de excepciones 51 registrar eventos 37 reglas de excepción 51 reglas de protección de aplicaciones 36. creación 76 inspección de paquetes con seguimiento de estado 65. configuración 40 firmas. 75 Reglas del firewall. 50 reglas de protección de aplicaciones. Host IPS grupos de reglas. cómo funciona 66 filtrado de paquetes con seguimiento de estado 65 grupos con reconocimiento de ubicación 76 grupos de reglas 60 grupos de reglas de firewall. reducir 87 directivas de reglas IPS y excepciones 51 ficha Hosts bloqueados. responder a 95 analizar y ajustar 10 directiva Reglas IPS 40 excepciones 36 firewall. 70 reglas de firewall 10. ordenación 58 modos de adaptación y aprendizaje 69 opciones de registro 94 Opciones del firewall. crear excepciones 10 Reglas de firewall 73. Host IPS migración 24 asignar 19 crear nuevas 19 directivas. cómo funciona 67 rastreo de protocolo 68 firewall. 72 perfiles de uso y ajuste 10 propietario asignado 9 protección preconfigurada 10 reglas de cliente. configuración 74 reglas. configuración 72 permisos para 25 personalizar opciones 100 rastreo de protocolo con seguimiento de estado 68 Reglas de bloqueo de DNS 77 reglas de cliente 14. protección básica 7 visualización de directivas 18 y sus categorías 9 E estructura de regla firmas personalizadas 111 Eventos IPS acerca de 37 aplicaciones de confianza. con excepciones de cliente 10 Bloqueo de DNS del firewall 73 Catálogo de directivas 18 cómo se aplican las directivas 9 configuración de las opciones IPS 38 definido 9 dónde encontrar 18 firewall (Consulte firewall. reconocimiento de ubicación 60 firewall. Host IPS introducción a las funciones 57 directivas de instancias múltiples directiva efectiva 42 Preguntas frecuentes 42 utilizar en el despliegue 42 asignar 41.0 163 . 67 lista de reglas 74. IPS en host inspección de paquetes con seguimiento de estado 65. trabajar con 101 filtros cómo funciona el filtrado con seguimiento de estado del firewall 66 consulta de actividades de IPS en host 14 eventos y consultas de IPS en host 10 firewall con seguimiento de estado cómo funciona el filtrado con seguimiento de estado 66 inspección de paquetes. creación 52 gestionar 54 uso de 52 eventos. IPS en host introducción a las funciones 81 página de directiva Aplicaciones de confianza 88 permisos para 25 directivas preconfiguradas Aplicaciones de confianza 87 IU de cliente 82 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 directivas. registros de actividad 102 gestionar 54 infracciones de firma 37 notificaciones 28 registro y ficha eventos de IPS 37 reglas de comportamiento 35 uso de 52 F falsos positivos ajuste de directivas de IPS en host 10 directiva Aplicaciones de confianza. 100 lista de reglas de firewall. permitir y bloquear 66 acerca de 8 alertas 96 cómo funcionan las reglas de firewall 58 consultas 14 descripción 57 filtrado con seguimiento de estado. IPS en host) 8 gestionar 18 herencia 10 instancias múltiples 41. creación 52 Eventos IPS (continuación) descripción 52 excepciones. IPS en host alertas de intrusos.Índice directiva Reglas IPS (continuación) descripción 32 eventos. configuración 40 directivas de firewall. 73. 88 Directivas generales. trabajar con 52 excepciones.

Servicios 131 Windows. UNIX_GUID 145 Solaris. UNIX_apache (HTTP) 141 Linux. Windows 123 variables de valor de sección 115 Windows.0 para ePolicy Orchestrator 4. IPS en host permisos para 25 L listas de reglas excepciones para IPS en host 97 reglas de firewall para IPS en host 100 llamadas de activación actualización de clientes IPS en host 31 migración directivas 24 directivas de la versión 7 a la versión 8 24 Mis valores predeterminados. UNIX_bo 144 Solaris.0 . Desbordamiento de búfer 118 Windows. SQL 134 gestión del sistema actualización de protección IPS en host 29 notificaciones para eventos de IPS en host 28 tareas servidor para IPS en host 25.Índice firmas (continuación) alertas y firmas NIPS 95 configuración de directiva Reglas IPS 44 creación de un IPS en host personalizado 45 creación mediante el método estándar 45 creación mediante el método experto 45 definido 34 directiva Reglas IPS 40 excepciones 36 HIPS. UNIX_misc 143 secciones comunes 112 secciones opcionales 114 Solaris 138 Solaris. Isapi 124 Windows. acerca de 34 host 43 IP de host y excepciones 95 IPS en host predeterminado 43 IPS en host y de red 28 lista de reglas de excepción 97 NIPS. directiva Aplicaciones de confianza 87 Guía del producto McAfee Host Intrusion Prevention 8. Ilegal 124 Windows. Hook 122 Windows. IPS en host grupos de reglas de firewall. IPS en host definir opciones para clientes 93 implementación de directivas cliente Linux y 107 cliente Solaris y 104 Clientes de IPS en host y ePO 7 IPS en host 9 interceptación de llamadas de sistema 33 IPS en host actividades y paneles 13 cómo establecer y ajustar la protección 20 cómo funciona 7 conjuntos de permisos 25 directivas y sus categorías 9 ficha Información del intruso 95 funciones y categorías 9 protección básica y avanzada 7 responder a alertas 95 tipos de directivas 8 IPS. UNIX_map 144 Solaris. IPS en host asignar directivas a 9 cómo se aplican las directivas 9 criterios de configuración 10 eliminación de directivas y herencia para 18 firewall con reconocimiento de ubicación. UNIX_file (archivos) 138 Solaris. creación 76 notificaciones y 28 y herencia 9 G M gestión de la información análisis de datos de clientes de IPS en host 21 consultas predefinidas y personalizadas para IPS en host 14 paneles y consultas para IPS en host 13 164 I icono de la bandeja del sistema definir opciones de cliente 93 desactivar una función de IPS en host 83 idioma. UNIX_misc 143 Uso ilegal de API. Archivos 119 Windows. Programa 127 Windows. 27 gestionar directivas acceder a directivas de IPS en host 18 ajuste de IPS en host 10. UNIX_apache (HTTP) 141 Solaris. IPS en Host 18 seguimiento de directivas de IPS en host 10 grupos con reconocimiento de ubicación aislamiento de conexión 61 creación 76 grupos de reglas. Registro 129 Windows. acerca de 34 niveles de gravedad 43 niveles de gravedad para 39 personalizar 43 red 43 tipos de 43 uso de 43 utilización del asistente para crear 46 firmas de Host Intrusion Prevention 34 firmas de prevención de intrusiones en red 34 firmas personalizadas caracteres comodín 115 descripción general para Linux y Solaris 138 descripción general para Windows 117 directivas válidas en Linux 145 directivas válidas en Solaris 145 directivas válidas en Windows 135 estructura de regla 111 Linux 138 Linux. directivas por plataforma 135 Windows. creación 76 grupos. UNIX_file (archivos) 138 Linux. 20 análisis de eventos de IPS en host y reglas de cliente 17 Cliente Linux y 107 ficha Directivas.

IPS configuración de reacciones para 40 configuración y ajuste de la protección 20 configurar 10. 19 directiva Protección IPS 39 eventos y 52 trabajar con firmas 43 trazado hasta una reacción 10 niveles de seguridad de firmas tipos de 43 notificaciones. IPS en host acerca de 28 categorías específicas del producto admitidas 28 configuración 19 reglas y eventos 28 O opciones de línea de comandos ClientControl. definidas 34 HIPS. responder a 97 configuración. visión general 56 reglas de comportamiento 35 prioridad directiva Redes de confianza 86 directivas generales. para niveles de gravedad de firma 40 protección IPS. automatización de la actualización 93 cliente Solaris. IPS en host y 81 IPS de red y direcciones IP 86 lista de reglas de firewall 58 procesos supervisados. acerca de 34 opciones de registro 94 opciones de registro del firewall 94 personalizar opciones 98 reacciones 35 reglas de cliente 14 reglas de cliente.0 para ePolicy Orchestrator 4. responder a 96 alertas de intrusos. responder a 95 alertas de simulación detectada. directiva (continuación) Bloqueo de DNS 73 IPS en host 9 IU de cliente 82 Opciones del firewall 70 Opciones IPS 37 Protección de IPS 39 Redes de confianza 86 Reglas de firewall 73 Reglas IPS 40 modo adaptación Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 modo de adaptación aplicar 22 con IPS contra firewall 22 Preguntas frecuentes 22 reglas que no se han creado automáticamente 22 acerca de 10 ajuste automático 20 colocar clientes de Host IPS en 37 colocar clientes de IPS en host en 22 directiva Opciones IPS 38 excepción y 36 modo de aprendizaje acerca de 10 colocar clientes de IPS en host en 22 Directivas Opciones del firewall 70 Directivas Reglas de firewall 73 reglas de firewall 69 N NIPS (firmas de Network Intrusion Prevention) 101 niveles de gravedad. reiniciar 107 comprobación de que el cliente Solaris se ejecuta 106 comprobar que el cliente Linux se ejecuta 109 detener y reiniciar el cliente Linux 110 Detenión del cliente Solaris 106 P paneles consultas y Host Intrusion Prevention 10 gestión de la información en IPS en host 13 seguimientos de IPS en host predeterminados 13 visualización de conformidad y asuntos de IPS en host 19 paquetes actualizaciones de contenido de IPS en host 29 perfiles de uso agrupación de sistemas de IPS en host 10 ajuste de directivas de IPS en host 10 Preguntas frecuentes modo de adaptación 22 directivas de instancias múltiples 42 prevención de intrusiones (IPS) blindaje y envoltura 33 descripción 32 directiva Protección IPS 39 editar reglas de excepción 98 excepciones 36 firmas.exe.Índice Mis valores predeterminados. configuración 39 tipos de 35 trazado hasta la gravedad de IPS 10 recomendaciones de McAfee agrupación de clientes de IPS en host lógica 21 ajuste de directivas predeterminadas de IPS en host 19 Guía del producto McAfee Host Intrusion Prevention 8.0 165 . ver 102 protección básica directivas de IPS en host predeterminadas 20 IPS en host 7 Protección de IPS activar 37 desactivar 37 protección por firewall activar 70 desactivar 70 protocolos rastreo y firewall con seguimiento de estado 68 puertos conexiones FTP e inspección de paquetes con seguimiento de estado 67 conexiones y alertas de firewall 96 firewall y entradas de tabla de estados 65 tráfico bloqueado y reglas de firewall 69 R reacciones acerca de 35 alertas de firewall. acerca de 34 interceptación de llamadas de sistema 33 métodos de entrega 33 modo de adaptación y excepciones 36 motores y controladores 33 NIPS.

50 166 reglas de protección de aplicaciones (continuación) procesos. con modos de adaptación y aprendizaje 10 directiva Reglas IPS.exe. 27 incorporación de actualizaciones 30 Purgar registro de eventos 27 Purgar registro de eventos de amenazas 27 Traductor de propiedades 27 Traductor de propiedades de IPS en host 27 TrustedSource cómo funciona 72 definición 72 Directiva Opciones del firewall de Host IPS 72 Preguntas frecuentes 72 U utilidad ClientControl detener servicios 156 función e instalación 156 sintaxis de línea de comandos 156 usar para solucionar problemas 156 utilidades ClientControl.Índice recomendaciones de McAfee (continuación) Despliegue de IPS en host en fases 21 ponerse en contacto con el soporte de McAfee para desactivar el motor HIPS 95 sistemas de grupos por criterios de IPS en host 10 utilice la protección de IPS para escalonar el impacto de los eventos 10 registros activar 154 FireSvc.log 154 HipShield. 51 editar directivas IPS 98 eventos y 52 lista. 56 Firewall 70. 40. Host IPS aislar los componentes que causan problemas 148 bloquear tráfico distinto de IP 148 comprobar los servicios que se están ejecutando 148 fallo de aplicaciones con Host Intrusion Prevention instalado 148 usar la utilidad ClientControl 156 usar registros 154 solución de problemas.log 154 para funcionalidad de firewall 154 para funcionalidad IPS 154 usar para solucionar problemas 154 registros de actividad. 56 uso de 51 reglas de firewall crear y editar 75 reglas de protección de aplicaciones acerca de 36 configuración 50 creación 50 descripción 47 directiva Reglas IPS 36. 78 IPS 40 reglas de comportamiento blindaje y envoltura 35 definición de actividades de IPS en host legítimas 35 reglas de excepción acerca de 36 ajuste automático 22 configuración de directiva Reglas IPS 51 creación 52 creación. automatización de la actualización 93 Guía del producto McAfee Host Intrusion Prevention 8. basada en evento 52 Crear excepción 95 definido 10 directiva Reglas IPS 40. 108 Cliente Solaris 105 Cliente Windows 93.0 . permitidos o bloqueados 47 uso de 47 S solución de problemas. IPS en host Cliente Linux 107. visión general 55. definir opciones 94 sugerencias uso de notificaciones 28 T tabla de estados. 94 desactivación de motores IPS en host 95 herramienta hipts 105. firewall descripción 65 funcionalidad 65 tareas servidor. 78 consultas de IPS en host 14 creación de excepciones 36 crear. IPS en host Ejecutar consulta 27 Exportar consultas 27 Exportar directivas 27 Extracción del repositorio 27 gestión del despliegue 25. IPS en host eliminar entradas 102 opciones de registro del firewall 94 opciones de registro IPS 94 personalizar opciones 103 trabajar con la ficha Registro de actividad 102 visualización 102 Reglas de bloqueo de DNS crear y editar 77 reglas de cliente Firewall 70.0 para ePolicy Orchestrator 4. 108 IU de cliente 85 opciones 93 registro del firewall. clientes Windows y 97 reglas de cliente y agregación 55.