McAfee Host Intrusion Prevention 6.1 Guía del producto

Comentarios

Transcripción

McAfee Host Intrusion Prevention 6.1 Guía del producto
Guía del producto
McAfee Host Intrusion Prevention
®
versión 6.1
McAfee
System Protection
®
Soluciones líderes en el sector para la prevención de intrusiones
Guía del producto
McAfee Host Intrusion Prevention
®
versión 6.1
McAfee
System Protection
®
Soluciones líderes en el sector para la prevención de intrusiones
COPYRIGHT
Copyright © 2007 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a cualquier idioma
de este documento o parte del mismo en cualquier forma o por cualquier medio sin el consentimiento previo, por escrito, de McAfee, Inc., sus
proveedores o empresas asociadas.
ATRIBUCIONES DE MARCAS COMERCIALES
ACTIVE FIREWALL, ACTIVE SECURITY, ACTIVESECURITY (Y EN KATAKANA), ACTIVESHIELD, CLEAN-UP, DESIGN (E ESTILIZADA), DESIGN
(N ESTILIZADA), ENTERCEPT, EPOLICY ORCHESTRATOR, FIRST AID, FOUNDSTONE, GROUPSHIELD, GROUPSHIELD (Y EN KATAKANA),
INTRUSHIELD, INTRUSION PREVENTION THROUGH INNOVATION, MCAFEE, MCAFEE (Y EN KATAKANA), MCAFEE AND DESIGN,
MCAFEE.COM, MCAFEE VIRUSSCAN, NET TOOLS, NET TOOLS (Y EN KATAKANA), NETSCAN, NETSHIELD, NUTS & BOLTS, OIL CHANGE,
PRIMESUPPORT, SPAMKILLER, THREATSCAN, TOTAL VIRUS DEFENSE, VIREX, VIRUS FORUM, VIRUSCAN, VIRUSSCAN, VIRUSSCAN
(Y EN KATAKANA), WEBSCAN, WEBSHIELD, WEBSHIELD (Y EN KATAKANA) son marcas comerciales registradas o marcas comerciales
de McAfee, Inc. y/o sus empresas asociadas en EE.UU. y otros países. El color rojo utilizado para denotar seguridad es distintivo de los
productos de la marca McAfee. Todas las demás marcas registradas y no registradas mencionadas en este documento son propiedad exclusiva
de sus respectivos propietarios.
INFORMACIÓN SOBRE LA LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL CONTRATO LEGAL CORRESPONDIENTE A LA LICENCIA ADQUIRIDA, QUE ESTIPULA LOS TÉRMINOS
GENERALES Y LAS CONDICIONES DE USO DEL SOFTWARE CON LICENCIA. SI DESCONOCE EL TIPO DE LICENCIA ADQUIRIDA, CONSULTE EL DOCUMENTO DE VENTA
U OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LICENCIA O LA ORDEN DE COMPRA QUE ACOMPAÑAN A SU PAQUETE DE SOFTWARE O QUE
HA RECIBIDO POR SEPARADO AL COMPRAR EL PRODUCTO (COMO UN FOLLETO, UN ARCHIVO EN EL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB
DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE,
PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ A EFECTOS DE OBTENER UN REEMBOLSO ÍNTEGRO.
Atribuciones
Este producto incluye o puede incluir:
• Software desarrollado por el proyecto OpenSSL Project para su uso con el kit de herramientas de OpenSSL (http://www.openssl.org/).
• Software criptográfico escrito por Eric A. Young y software escrito por Tim J. Hudson. • Algunos programas de software cuya licencia
(o sublicencia) se otorga al usuario bajo la Licencia pública general GNU (GNU General Public License, GPL) u otras licencias similares de
Software libre que, entre otros derechos, permiten al usuario copiar, modificar y redistribuir ciertos programas, o partes de los mismos, y tener
acceso al código fuente. De acuerdo con la Licencia pública general, si cualquier software regulado por ella se distribuye a otras personas en
formato binario ejecutable, también se debe poner a disposición de los usuarios el código fuente correspondiente. En este CD tiene a su
disposición el código fuente de este tipo de programas de software cubiertos por la GPL. Si cualquier licencia de Software libre requiere que
McAfee proporcione derechos para usar, copiar o modificar un programa de software más amplios que los derechos otorgados en este Acuerdo,
esos derechos tendrán prioridad sobre los derechos y restricciones especificados aquí. • Software escrito originalmente por Henry Spencer,
Copyright 1992, 1993, 1994, 1997 Henry Spencer. • Software escrito originalmente por Robert Nordier, Copyright © 1996 – 7 Robert Nordier.
• Software escrito por Douglas W. Sauder. • Software desarrollado por Apache Software Foundation (http://www.apache.org/). Encontrará una
copia del acuerdo de licencia para este software en www.apache.org/licenses/LICENSE-2.0.txt. • International Components for Unicode (“ICU”)
Copyright (C) 1995 – 2002 International Business Machines Corporation y otros. • Software desarrollado por CrystalClear Software, Inc.,
®
®
®
Copyright © 2000 CrystalClear Software, Inc. • Tecnología FEAD Optimizer , Copyright Netopsystems AG, Berlín, Alemania. • Outside In Viewer
®
Technology © 1992 – 2001 Stellent Chicago, Inc. y/o Outside In HTML Export, © 2001 Stellent Chicago, Inc. • Software propiedad de Thai Open
Source Software Center Ltd. y Clark Cooper, © 1998, 1999, 2000. • Software propiedad de Expat maintainers. • Software propiedad de The
Regents of the University of California, © 1996, 1989, 1998 – 2000. • Software propiedad de Gunnar Ritter. • Software propiedad de Sun
Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, EE.UU., © 2003. • Software propiedad de Gisle Aas. © 1995 – 2003.
• Software propiedad de Michael A. Chase, © 1999 – 2000. • Software propiedad de Neil Winton, © 1995 – 1996. • Software propiedad de RSA
Data Security, Inc., © 1990 – 1992. • Software propiedad de Sean M. Burke, © 1999, 2000. • Software propiedad de Martijn Koster, © 1995.
• Software propiedad de Brad Appleton, © 1996 – 1999. • Software propiedad de Michael G. Schwern, © 2001. • Software propiedad de Graham
Barr, © 1998. • Software propiedad de Larry Wall y Clark Cooper, © 1998 – 2000. • Software propiedad de Frodo Looijaard, © 1997. • Software
propiedad de Python Software Foundation, Copyright © 2001, 2002, 2003. Encontrará una copia del acuerdo de licencia de este software en
www.python.org. • Software propiedad de Beman Dawes, © 1994 – 1999, 2002. • Software escrito por Andrew Lumsdaine, Lie-Quan Lee, Jeremy
G. Siek © 1997 – 2000 Universidad de Notre Dame. • Software propiedad de Simone Bordet y Marco Cravero, © 2002. • Software propiedad de
Stephen Purcell, © 2001. • Software desarrollado por Indiana University Extreme! Lab (http://www.extreme.indiana.edu/). • Software propiedad
de International Business Machines Corporation y otros, © 1995 – 2003. • Software desarrollado por la Universidad de California (Berkeley)
y sus colaboradores. • Software desarrollado por Ralf S. Engelschall <[email protected]> para su uso en el proyecto mod_ssl
(http:// www.modssl.org/). • Software propiedad de Kevlin Henney, © 2000 – 2002. • Software propiedad de Peter Dimov y Multi Media Ltd.
© 2001, 2002. • Software propiedad de David Abrahams, © 2001, 2002. En http://www.boost.org/libs/bind/bind.html encontrará más
documentación. • Software propiedad de Steve Cleary, Beman Dawes, Howard Hinnant y John Maddock, © 2000. • Software propiedad
de Boost.org, © 1999 – 2002. • Software propiedad de Nicolai M. Josuttis, © 1999. • Software propiedad de Jeremy Siek, © 1999 – 2001.
• Software propiedad de Daryle Walker, © 2001. • Software propiedad de Chuck Allison y Jeremy Siek, © 2001, 2002. • Software propiedad de
Samuel Krempp, © 2001. En http://www.boost.org encontrará actualizaciones, documentación y un historial de revisiones. • Software propiedad
de Doug Gregor ([email protected]), © 2001, 2002. • Software propiedad de Cadenza New Zealand Ltd., © 2000. • Software propiedad de Jens
Maurer, © 2000, 2001. • Software propiedad de Jaakko Järvi ([email protected]), © 1999, 2000. • Software propiedad de Ronald Garcia,
© 2002. • Software propiedad de David Abrahams, Jeremy Siek y Daryle Walker, © 1999 – 2001. • Software propiedad de Stephen Cleary
([email protected]), © 2000. • Software propiedad de Housemarque Oy <http://www.housemarque.com>, © 2001. • Software propiedad
de Paul Moore, © 1999. • Software propiedad de Dr. John Maddock, © 1998 – 2002. • Software propiedad de Greg Colvin y Beman Dawes,
© 1998, 1999. • Software propiedad de Peter Dimov, © 2001, 2002. • Software propiedad de Jeremy Siek y John R. Bandela, © 2001. • Software
propiedad de Joerg Walter y Mathias Koch, © 2000 – 2002. • Software propiedad de Carnegie Mellon University © 1989, 1991, 1992. • Software
propiedad de Cambridge Broadband Ltd., © 2001 – 2003. • Software propiedad de Sparta, Inc., © 2003–2004. • Software propiedad de Cisco,
Inc. y de Information Network Center of Beijing University of Posts and Telecommunications, © 2004. • Software propiedad de Simon Josefsson,
© 2003. • Software propiedad de Thomas Jacob, © 2003 – 2004. • Software propiedad de Advanced Software Engineering Limited, © 2004.
• Software propiedad de Todd C. Miller, © 1998. • Software propiedad de The Regents of the University of California, © 1990, 1993, con código
derivado de software aportado a Berkeley por Chris Torek.
INFORMACIÓN SOBRE PATENTES
Protegido por las patentes de los EE.UU. 6.301.699; 6.412.071; 6.496.875; 6.668.289; 6.823.460.
Publicado en febrero de 2007 / Software Host Intrusion Prevention versión 6.1
DBN-100-ES
Contenido
1
Introducción a Host Intrusion Prevention
9
Novedades de esta versión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Cambios con respecto a la versión anterior. . . . . . . . . . . . . . . . . . . . . . . . .10
Nuevas funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
Uso de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Obtención de información del producto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Documentación estándar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Información de contacto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
2
Conceptos básicos
15
Función IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Reglas de firma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Reglas de comportamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Reacciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Reglas de excepción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Función cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Reglas del cortafuegos de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Función de bloqueo de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Reglas de bloqueo de aplicaciones del cliente. . . . . . . . . . . . . . . . . . . . . . 18
Función General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Gestión de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Imposición de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Directivas y categorías de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Herencia y asignación de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Propiedad de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Bloqueo de asignaciones de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Despliegue y gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Protección preconfigurada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Modo de adaptación y de aprendizaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Ajuste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3
Uso de ePolicy Orchestrator
23
Operaciones de ePolicy Orchestrator utilizadas con
Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
consola de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gestión de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Asignación de propietarios a las directivas . . . . . . . . . . . . . . . . . . . . . . . .
Generación de notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Generación de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Operaciones de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instalación del servidor de Host Intrusion Prevention. . . . . . . . . . . . . . . .
Despliegue de clientes de Host Intrusion Prevention . . . . . . . . . . . . . . . .
Visualización y trabajo con datos de los clientes. . . . . . . . . . . . . . . . . . . .
Colocación de los clientes en modo Adaptación o Aprendizaje. . . . . . . .
Configuración de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ajuste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso de la Ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
24
24
25
26
26
26
26
26
27
27
28
29
30
31
®
McAfee Host Intrusion Prevention 6.1 Guía del producto
4
Contenido
Directivas de IPS
33
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de firma IPS de host y de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directivas de IPS preestablecidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acceso rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la directiva Opciones IPS . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la directiva Protección IPS . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la directiva Reglas IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Detalles de la directiva Reglas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de excepción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Firmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de protección de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuración de la vista de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtrado de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Marcado de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Marcado de eventos similares. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Visualización de detalles de eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de excepciones y aplicaciones de confianza basadas
en eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vista normal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vista agregada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Búsqueda de reglas de excepción IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Directivas de cortafuegos
33
34
35
36
36
38
41
42
42
46
53
56
57
58
58
59
60
61
61
63
64
65
66
68
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Reglas HIP 6.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Reglas HIP 6.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Cómo funcionan las reglas de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 71
Cómo funciona el filtrado con seguimiento de estado . . . . . . . . . . . . . . . 72
Cómo funciona la inspección de paquetes con seguimiento de estado. . . . . 73
Grupos de reglas de cortafuegos y grupos para conexión . . . . . . . . . . . . .74
Modos Aprendizaje y Adaptación del cortafuegos . . . . . . . . . . . . . . . . . . .76
Directivas y reglas de cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Migración de las reglas personalizadas de cortafuegos de
la versión 6.0 a reglas de la versión 6.1. . . . . . . . . . . . . . . . . . . . . . . . . . 78
Directivas preestablecidas de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . 78
Acceso rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Configuración de la directiva Opciones del cortafuegos . . . . . . . . . . . . . . . . . 79
Configuración de la directiva Reglas de cortafuegos. . . . . . . . . . . . . . . . . . . . 81
Creación de nuevas directivas de Reglas de cortafuegos . . . . . . . . . . . . . 81
Visualización y edición de reglas de cortafuegos . . . . . . . . . . . . . . . . . . . 84
Creación de una nueva regla del cortafuegos o grupo del cortafuegos . . . . 85
Eliminación de una regla o grupo del cortafuegos . . . . . . . . . . . . . . . . . . 87
Visualización de reglas de cliente del cortafuegos . . . . . . . . . . . . . . . . . . 88
Configuración de la directiva Opciones de cuarentena . . . . . . . . . . . . . . . . . . 90
Configuración de la directiva Reglas de cuarentena . . . . . . . . . . . . . . . . . . . . 91
Creación de nuevas directivas de Reglas de cuarentena . . . . . . . . . . . . . 91
Visualización y edición de reglas de cuarentena . . . . . . . . . . . . . . . . . . . . 92
Creación de una nueva regla o grupo de cuarentena . . . . . . . . . . . . . . . . 93
Eliminación de una regla o grupo de cuarentena . . . . . . . . . . . . . . . . . . . 93
6
Directivas de bloqueo de aplicaciones
94
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creación de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Enlace de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Directivas preestablecidas de bloqueo de aplicaciones . . . . . . . . . . . . . .
Acceso rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
94
94
95
95
95
®
McAfee Host Intrusion Prevention 6.1 Guía del producto
Contenido
Configuración de la directiva de opciones de bloqueo de aplicaciones . . . . . . 96
Configuración de la directiva Reglas de bloqueo de aplicaciones . . . . . . . . . 98
Creación de nuevas directivas de reglas de aplicaciones . . . . . . . . . . . . . 98
Visualización y edición de reglas de bloqueo de aplicaciones . . . . . . . . . 99
Creación de nuevas reglas de bloqueo de aplicaciones . . . . . . . . . . . . . 100
Eliminación de una regla de bloqueo de aplicaciones . . . . . . . . . . . . . . .101
Visualización de las reglas de aplicación del cliente . . . . . . . . . . . . . . . . .101
7
Directivas generales
103
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
Directivas generales preestablecidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
Configuración de Imponer directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105
Configuración de la directiva IU de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . .105
Creación y aplicación de una directiva IU de cliente . . . . . . . . . . . . . . . . .106
Configuración de la directiva Redes de confianza . . . . . . . . . . . . . . . . . . . . . . 110
Configuración de la directiva Aplicaciones de confianza . . . . . . . . . . . . . . . . 112
Creación y aplicación de directivas Aplicaciones de confianza . . . . . . . . 112
Creación de aplicaciones de confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Edición de aplicaciones de confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Activación y desactivación de aplicaciones de confianza . . . . . . . . . . . . . 114
Eliminación de aplicaciones de confianza . . . . . . . . . . . . . . . . . . . . . . . . . 114
8
Mantenimiento
115
Afinar un despliegue. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Análisis de eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Creación de reglas de excepción y reglas de aplicaciones de confianza. . . 116
Trabajo con reglas de excepción de cliente . . . . . . . . . . . . . . . . . . . . . . . . 116
Creación y aplicación de nuevas directivas . . . . . . . . . . . . . . . . . . . . . . . . 116
Mantenimiento y tareas de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Ficha Directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Catálogo de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Ejecución de tareas del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Puerta de enlace de directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Archivador de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Traductor de propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Configuración de notificaciones para eventos . . . . . . . . . . . . . . . . . . . . . . . . 123
Cómo funcionan las notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Notificaciones de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . 124
Ejecución de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Informes de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Incorporación del paquete de actualización . . . . . . . . . . . . . . . . . . . . . . . 130
Actualización de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
9
Cliente de Host Intrusion Prevention
132
Cliente Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Icono de la bandeja del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Consola del cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Ficha Directiva IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
Ficha Directiva de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
Ficha Directiva de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
Ficha Hosts bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
Ficha Protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Ficha Registro de actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Cliente Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Aplicación de directivas con el cliente Solaris . . . . . . . . . . . . . . . . . . . . . 153
Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Cliente Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Aplicación de directivas con el cliente Linux . . . . . . . . . . . . . . . . . . . . . . 156
Notas acerca del cliente Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
7
®
McAfee Host Intrusion Prevention 6.1 Guía del producto
Contenido
10
Preguntas más frecuentes
160
A
Creación de firmas personalizadas
164
Estructura de las reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Secciones comunes obligatorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Secciones comunes opcionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Variables del valor de sección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Firmas personalizadas de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Clase Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Clase Isapi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Clase Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176
Clase Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Firmas personalizadas de Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Clase UNIX_file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Detalles avanzados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Clase UNIX_apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Firmas personalizadas de Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Clase UNIX_file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Resumen de parámetros y directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Lista de parámetros según el tipo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Lista de directivas según el tipo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Glosario
187
Indice
196
8
1
Introducción a Host Intrusion
Prevention
McAfee® Host Intrusion Prevention es un sistema de detección y prevención
de intrusos basado en host que protege los recursos del sistema y las aplicaciones
de ataques internos y externos.
Host Intrusion Prevention ofrece protección frente a la visualización, copia,
modificación y eliminación no autorizadas de información y frente a la puesta
en peligro de los recursos del sistema y de la red y de las aplicaciones que almacenan
y proporcionan información. Alcanza estos objetivos mediante una combinación
innovadora de firmas del sistema de prevención de intrusos de host (HIPS), firmas
del sistema de prevención de intrusos de red (NIPS), reglas de comportamiento
y reglas de cortafuegos.
Host Intrusion Prevention está totalmente integrado con ePolicy Orchestrator y utiliza
la estructura de este programa para proporcionar e imponer directivas. Gracias
a la división de la funcionalidad de Host Intrusion Prevention en las funciones IPS,
Cortafuegos, Bloqueo de aplicaciones y General se proporciona un mayor control
a la hora de ofrecer protecciones de directivas y niveles de protección a los usuarios.
La protección se ofrece desde el momento en que Host Intrusion Prevention se instala.
La configuración de protección predeterminada precisa poco o nada de ajuste y permite
un despliegue rápido a gran escala. Para conseguir una mayor protección, edite
y agregue directivas para ajustar el despliegue.
Para obtener información básica sobre el uso de este producto y esta guía, consulte:
„
Novedades de esta versión
„
Uso de esta guía
„
Obtención de información del producto
„
Información de contacto
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Introducción a Host Intrusion Prevention
Novedades de esta versión
Novedades de esta versión
Host Intrusion Prevention 6.1 se integra totalmente con ePolicy Orchestrator 3.6.1 para
gestionar la aplicación del cliente en las plataformas Windows, Solaris y Linux.
Se requiere el agente ePolicy Orchestrator y su versión depende de la plataforma
en la que esté instalado el cliente. Para Windows, se requiere ePO Agent 3.5.5
o posterior. Para Solaris y Linux, se requiere ePO Agent 3.7.
Cambios con respecto a la versión anterior
„
Dos categorías de directivas de cortafuegos que ofrecen una funcionalidad
de cortafuegos con seguimiento de estado para clientes Windows de la versión 6.1,
además de la funcionalidad de cortafuegos estática para clientes de la versión 6.0.X.
„
Las directivas Reglas del cortafuegos y Reglas de cuarentena son directivas de reglas
de cortafuegos con seguimiento de estado que gestionan únicamente clientes
de Host Intrusion Prevention 6.1.
„
Las directivas 6.0 Reglas del cortafuegos y 6.0 Reglas de cuarentena son directivas
de reglas de cortafuegos estáticas precedentes que gestionan clientes de Host
Intrusion Prevention 6.0.X.
„
Las opciones de cortafuegos con seguimiento de estado en la directiva Opciones del
cortafuegos para activar Inspección del protocolo de FTP y establecer Tiempo de espera
de conexión TCP y Tiempo de espera de conexión UDP virtual.
„
Los Grupos para conexión de la directiva Reglas del cortafuegos se han mejorado.
„
Se ha añadido un sufijo DNS como criterio de acceso a la red.
„
Distingue entre conexiones de red por cable o inalámbricas.
Nuevas funciones
„
„
Soporte para clientes Linux en Red Hat Enterprise 4 con SE Linux.
„
Gestión de directivas IPS a través de la consola de ePO.
„
Aplicación del modo Adaptación.
Soporte para clientes Solaris en Solaris 8, 9 y 10, núcleos de 32 bits y 64 bits.
„
Gestión de directivas IPS a través de la consola de ePO.
„
Aplicación del modo Adaptación.
„
Protección de servidores web, incluidos Sun One y Apache.
„
Posibilidad de actualización desde Entercept 5.1 para Solaris.
10
1
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Introducción a Host Intrusion Prevention
Uso de esta guía
Uso de esta guía
Esta guía proporciona la siguiente información sobre la configuración y el uso
del producto. Para ver los requisitos del sistema y las instrucciones para la instalación,
consulte la Guía de configuración.
„
Introducción a Host Intrusion Prevention
Una descripción general del producto, incluida una explicación de las funciones
nuevas o de las modificadas, una descripción general de esta guía e información
para ponerse en contacto con McAfee.
„
Conceptos básicos
Una explicación de los elementos básicos de Host Intrusion Prevention y cómo
funcionan.
„
Uso de ePolicy Orchestrator
Una explicación de cómo utilizar Host Intrusion Prevention y ePolicy Orchestrator.
„
Directivas de IPS
Una explicación de cómo trabajar con directivas IPS.
„
Directivas de cortafuegos
Una explicación de cómo trabajar con directivas de cortafuegos.
„
Directivas de bloqueo de aplicaciones
Una explicación de cómo trabajar con directivas de bloqueo de aplicaciones.
„
Directivas generales
Una explicación de cómo trabajar con directivas generales.
„
Mantenimiento
Una explicación de cómo mantener y actualizar Host Intrusion Prevention.
„
Cliente de Host Intrusion Prevention
Una explicación de cómo trabajar con el cliente.
„
Preguntas más frecuentes
Respuestas a preguntas frecuentes sobre Host Intrusion Prevention.
„
Creación de firmas personalizadas
Apéndice sobre cómo crear firmas personalizadas.
„
Glosario
„
Indice
Destinatarios
Esta información está destinada a administradores de la red o de equipos informáticos,
responsables del sistema de detección y prevención de intrusos de host de sus
empresas.
11
1
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Introducción a Host Intrusion Prevention
Uso de esta guía
Convenciones
En esta guía se utilizan las siguientes convenciones:
Negrita
condensada
Todas las palabras de la interfaz de usuario, incluidos los nombres
de opciones, menús, botones y cuadros de diálogo.
Ejemplo:
Escriba el Nombre de usuario y la Contraseña de la cuenta que desee.
Courier
Ruta de acceso de una carpeta o programa; texto que representa
exactamente algo que escribe el usuario (por ejemplo, un comando
en el símbolo del sistema).
Ejemplo:
La ubicación predeterminada del programa es:
C:\Archivos de programa\McAfee\EPO\3.5.0
Ejecute este comando en el equipo cliente:
C:\SETUP.EXE
Cursiva
Para enfatizar o al presentar un término nuevo; para nombres
de documentación del producto y temas (títulos) en el material.
Ejemplo:
Consulte la Guía del producto de VirusScan Enterprise para obtener más
información.
Azul
Una dirección Web (URL) y/o un vínculo activo.
Visite el sitio Web de McAfee en:
http://www.mcafee.com
<TÉRMINO>
Entre corchetes angulares se incluye un término genérico.
Ejemplo:
En el árbol de consola, haga clic con el botón derecho en <SERVIDOR>.
Nota: Información complementaria; por ejemplo, otro método para ejecutar
el mismo comando.
Nota
Sugerencia: Sugerencias de prácticas recomendadas y recomendaciones
de McAfee para mejorar la prevención frente a amenazas, el rendimiento
y la eficacia.
Sugerencia
Precaución: Consejos importantes para proteger el sistema informático,
la empresa, la instalación de software o los datos.
Precaución
Advertencia
Advertencia: Consejos importantes para proteger al usuario de daños
físicos al utilizar un producto de hardware.
12
1
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Introducción a Host Intrusion Prevention
Obtención de información del producto
Obtención de información del producto
A menos que se indique de otro modo, la documentación del producto se proporciona
en archivos .PDF de Adobe Acrobat (versión 6.0) disponibles en el CD del producto
o en el sitio de descargas de McAfee.
Documentación estándar
Guía de instalación: Procedimientos para el despliegue y la gestión de productos
compatibles a través del software de gestión ePolicy Orchestrator.
Guía del producto: Introducción al producto y funciones disponibles, instrucciones
detalladas para configurar el software, información sobre el despliegue, tareas
recurrentes y procedimientos operativos.
Ayuda: Información detallada y de alto nivel a la que se accede desde el botón Ayuda
de la aplicación de software.
Tarjeta de referencia rápida: Práctica tarjeta con información sobre las funciones
básicas del producto, las tareas rutinarias que se realizan con frecuencia y las tareas
críticas que se realizan ocasionalmente. Se adjunta una tarjeta impresa al CD del
producto.
Notas de la versión: Archivo léame. Información sobre el producto, problemas
solucionados, problemas conocidos y adiciones o cambios de última hora
en el producto o en la documentación que lo acompaña. (Se incluye un archivo de texto
con la aplicación de software y en el CD del producto.)
13
1
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Introducción a Host Intrusion Prevention
Información de contacto
Información de contacto
Centro de amenazas: McAfee Avert® Labs
http://www.mcafee.com/us/threat_center/default.asp
Biblioteca de amenazas Avert Labs
http://vil.nai.com
Avert Labs WebImmune, Enviar una muestra (se necesitan credenciales de inicio de sesión)
https://www.webimmune.net/default.asp
Archivos DAT de Avert Labs Servicio de notificación
http://vil.nai.com/vil/signup_DAT_notification.aspx
Sitio de descargas
http://www.mcafee.com/us/downloads/
Actualizaciones de productos (se requiere un número de licencia válido)
Actualizaciones de seguridad (DAT, motor)
Versiones de revisión
„
Para vulnerabilidades de seguridad (disponible para el público)
„
Para productos (se requiere una cuenta ServicePortal y un número de licencia válido)
Evaluación de productos
Programa beta de McAfee
Soporte técnico http://www.mcafee.com/us/support/
Búsqueda en la base de datos KnowledgeBase
http://knowledge.mcafee.com/
McAfee Soporte técnico ServicePortal (es necesario disponer de credenciales para el inicio
de sesión)
https://mysupport.mcafee.com/eservice_enu/start.swe
Servicio de atención al cliente
Web
http://www.mcafee.com/us/support/index.html
http://www.mcafee.com/us/about/contact/index.html
Teléfono: Número gratuito en EE.UU., Canadá y Latinoamérica:
+1-888-VIRUS NO o +1-888-847-8766 De lunes a viernes, de 8:00 a 20:00, hora central
de EE.UU.
Servicios profesionales
Empresa: http://www.mcafee.com/us/enterprise/services/index.html
Pequeña y mediana empresa:
http://www.mcafee.com/us/smb/services/index.html
14
1
2
Conceptos básicos
McAfee® Host Intrusion Prevention es un sistema de protección de intrusos basado
en host. Ofrece protección contra ataques conocidos y desconocidos, incluidos
gusanos, troyanos, desbordamiento de búfer, modificación de archivos críticos
del sistema y promoción de privilegios. La gestión de Host Intrusion Prevention
se ofrece a través de la consola de ePolicy Orchestrator y proporciona la posibilidad
de configurar y aplicar directivas de prevención de intrusos de host, de cortafuegos,
de bloqueo de aplicaciones y generales. Los clientes de Host Intrusion Prevention
se despliegan en servidores y equipos de escritorio y funcionan como unidades
de protección independientes. Envían informes sobre sus actividades a ePolicy
Orchestrator y recuperan actualizaciones para nuevas definiciones de ataques.
En esta sección se describen las cuatro funciones de Host Intrusion Prevention
y su funcionamiento con ePolicy Orchestrator, y se incluyen los temas siguientes:
„
Función IPS
„
Función cortafuegos
„
Función de bloqueo de aplicaciones
„
Función General
„
Gestión de directivas
„
Despliegue y gestión
Función IPS
La función IPS (Intrusion Prevention System, sistema de prevención de intrusos)
supervisa todas las llamadas de API y del sistema y bloquea las que podrían dar origen
a actividad dañina. Host Intrusion Prevention determina qué proceso está utilizando
una llamada, el contexto de seguridad en el que se ejecuta el proceso y el recurso
al que se está accediendo. Un controlador de kernel que recibe las entradas
redireccionadas en la tabla de llamadas del sistema de modo de usuario supervisa
la cadena de llamadas del sistema. Cuando se realizan llamadas, el controlador compara
la solicitud de llamada con una base de datos donde se combinan firmas y reglas
de comportamiento para determinar si una acción se permite, se bloquea o se registra.
Reglas de firma
Las reglas de firma son patrones de caracteres que pueden coincidir con un flujo
de tráfico. Por ejemplo, una regla de firma podría buscar una cadena específica en
una solicitud HTTP. Si la cadena coincide con una de un ataque conocido, se emprende
una acción. Estas reglas proporcionan protección contra ataques conocidos.
15
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Conceptos básicos
Función IPS
Las firmas se diseñan para aplicaciones y sistemas operativos específicos; por
ejemplo, servidores Web como Apache, IIS y NES/iPlanet. La mayoría de las firmas
protegen todo el sistema operativo, aunque algunas protegen aplicaciones específicas.
Reglas de comportamiento
Las reglas de comportamiento no modificables definen un perfil de actividad
inofensiva. La actividad que no coincida con el perfil se considera sospechosa y activará
una respuesta. Por ejemplo, una regla de comportamiento podría indicar que sólo
un proceso del servidor Web deberá acceder a los archivos HTML. Si cualquier otro
proceso intenta acceder a los archivos html, se emprenderá una acción. Estas reglas
proporcionan protección contra ataques del día cero y desbordamiento del búfer.
Eventos
Se generan eventos IPS cuando un cliente reconoce una infracción de una regla de
firma o de comportamiento. Los eventos se registran en la ficha Eventos IPS de Reglas
IPS. Los administradores pueden supervisar estos eventos para ver y analizar
infracciones de reglas del sistema. A continuación, pueden ajustar las reacciones
a eventos o crear excepciones o reglas de aplicaciones de confianza para reducir
el número de eventos y afinar la configuración de protección.
Reacciones
Una reacción es lo que hace un cliente cuando reconoce una firma con una gravedad
específica.
Un cliente reacciona de una de estas tres maneras:
„
Omitir: no hay ninguna reacción; el evento no se registra y el proceso no se impide.
„
Registro: el evento se registra pero no se impide el proceso.
„
Evitar: el evento se registra y se impide el proceso.
Una directiva de seguridad puede indicar, por ejemplo, que cuando un cliente
reconozca una firma del nivel de Información, registre la incidencia de esa firma y permita
que el sistema operativo gestione el proceso; y que cuando reconozca una firma del
nivel Alto impida el proceso.
El registro se puede activar directamente en cada firma.
Nota
Reglas de excepción
Una excepción es una regla para anular actividad bloqueada. En algunos casos,
el comportamiento que una firma define como un ataque puede ser parte de la rutina
de trabajo habitual de un usuario o una actividad que está permitida para una aplicación
protegida. Para anular la firma, puede crear una excepción para permitir actividades
inofensivas. Por ejemplo, una excepción podría indicar que para un cliente en concreto
se omita un proceso.
Puede crear estas excepciones manualmente o colocar clientes en modo Adaptación
y permitirles crear reglas de excepción de cliente. Para garantizar que algunas firmas
nunca se anulen, edite la firma en cuestión y desactive las opciones de Permitir reglas del
cliente. Puede hacer un seguimiento de las excepciones en la consola de ePolicy
Orchestrator y mostrarlas en una vista normal y agregada. Utilice estas reglas de cliente
para crear nuevas directivas o agregarlas a directivas existentes que puede aplicar
a otros clientes.
16
2
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Conceptos básicos
Función cortafuegos
Función cortafuegos
La función Cortafuegos de Host Intrusion Prevention actúa a modo de filtro
entre el equipo y la red o Internet a la esté conectado. La directiva de Reglas
del cortafuegos de la versión 6.0 utiliza un filtrado de paquetes estático con
una coincidencia de reglas descendente. Cuando se analiza un paquete y se equipara
con una regla de cortafuegos, con criterios tales como la dirección IP, el número
de puerto y el tipo de paquete, el paquete se permite o se bloquea. Si no se encuentra
ninguna regla coincidente, el paquete se descarta. La directiva de Reglas
del cortafuegos de la versión actual utiliza tanto el filtrado de paquetes con
seguimiento de estado como la inspección de paquetes con seguimiento de estado.
Otras funciones son:
„
Un modo de cuarentena en el que los equipos clientes pueden ponerse y al que
se puede aplicar un conjunto estricto de reglas del cortafuegos que defina con qué
clientes en cuarentena se puede o no comunicar.
„
Grupos para conexión que permiten crear grupos de reglas especializadas basadas
en un tipo de conexión específico para cada adaptador de red.
Reglas del cortafuegos
Se pueden crear reglas del cortafuegos tan sencillas o complejas como sea necesario.
Host Intrusion Prevention admite reglas basadas en:
„
Tipo de conexión (de red o inalámbrica).
„
Protocolos IP y no IP.
„
Dirección del tráfico de la red (entrante, saliente o ambos).
„
Aplicaciones que han generado el tráfico.
„
Servicio o puerto utilizado por un equipo (como el destinatario o el emisor).
„
Servicio o puerto utilizado por un equipo remoto (como el emisor o el destinatario).
„
Direcciones IP de origen y destino.
„
Hora del día o la semana en la que se envió o se recibió el paquete.
Reglas del cortafuegos de cliente
Al igual que las reglas IPS, un cliente en modo de adaptación o de aprendizaje puede
crear reglas del cliente para permitir actividad bloqueada. Puede hacer un seguimiento
de las reglas del cliente y mostrarlas en una vista normal y agregada. Utilice estas
reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que
se pueden aplicar a otros clientes.
17
2
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Conceptos básicos
Función de bloqueo de aplicaciones
Función de bloqueo de aplicaciones
La función Bloqueo de aplicaciones supervisa las aplicaciones que se están utilizando
y las permite o las bloquea.
Host Intrusion Prevention ofrece dos tipos de bloqueo de aplicaciones:
„
Creación de aplicaciones.
„
Enlace de aplicaciones.
Cuando Host Intrusion Prevention supervisa la creación de aplicaciones, busca
programas que están intentando ejecutarse. En la mayoría de los casos, no hay
problemas; sin embargo, en otros hay virus, por ejemplo, que intentan ejecutar
programas que dañan el sistema. Esto puede evitarse mediante la creación de reglas
de aplicación, similares a las reglas del cortafuegos, que sólo permitan la ejecución
de los programas permitidos para un usuario.
Cuando Host Intrusion Prevention supervisa el enlace de aplicaciones, busca
programas que están intentando enlazarse con otras aplicaciones. A veces, este
comportamiento es inofensivo, pero en ocasiones se trata de un comportamiento
sospechoso que puede indicar un virus u otro ataque al sistema.
Se puede configurar Host Intrusion Prevention para que supervise sólo creación
de aplicaciones, sólo enlace de aplicaciones o ambas funciones.
La función Bloqueo de aplicaciones es muy similar a la función Cortafuegos. Se crea
una lista de reglas de aplicación; ha de crear una regla para cada aplicación que desee
permitir o bloquear. Cada vez que Host Intrusion Prevention detecte una aplicación que
intenta iniciar o enlazar con otra aplicación, comprueba su lista de reglas de aplicación
para determinar si debe permitir o bloquear la aplicación.
Reglas de bloqueo de aplicaciones del cliente
Los clientes en modo Adaptación o Aprendizaje pueden crear reglas de cliente para
permitir la creación o enlace de aplicaciones bloqueadas; esto aparece en una vista
normal o agregada. Utilice estas reglas de cliente exactamente como lo haría con
las reglas de cliente del cortafuegos e IPS, para crear nuevas directivas o agregarlas
a directivas existentes que se pueden aplicar a otros clientes.
Función General
La función General de Host Intrusion Prevention proporciona acceso a directivas que
son, por naturaleza, generales y no específicas de las funciones IPS, Cortafuegos
o Bloqueo de aplicaciones. Esta función incluye:
„
Activación o desactivación de la imposición de todas las directivas.
„
Determinación de cómo aparece la interfaz del cliente y cómo se accede a la misma.
„
Creación y edición de direcciones de red y subredes de confianza.
„
Creación y edición de aplicaciones de confianza para evitar la activación de eventos
de falsos positivos.
18
2
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Conceptos básicos
Gestión de directivas
Gestión de directivas
Una directiva es una recopilación de opciones de Host Intrusion Prevention que
se configuran en la consola de ePolicy Orchestrator y se imponen en los clientes
de Host Intrusion Prevention. Las directivas permiten garantizar que el software
de seguridad en sistemas gestionados se configura para ajustarse a los requisitos
del entorno.
La consola de ePolicy Orchestrator permite configurar directivas de Host Intrusion
Prevention desde una ubicación central. Las directivas son parte del archivo NAP
de Host Intrusion Prevention que se agrega al repositorio maestro cuando se instala
Host Intrusion Prevention.
Imposición de directivas
Cuando se modifican las directivas de Host Intrusion Prevention en la consola
de ePolicy Orchestrator, los cambios entrarán en vigor en los sistemas gestionados
en el siguiente intervalo de comunicación entre agente y servidor (ASCI). Este intervalo
se configura para que se produzca una vez cada 60 minutos de forma predeterminada.
Las directivas de Host Intrusion Prevention se pueden imponer inmediatamente
ejecutando una llamada de reactivación desde la consola de ePolicy Orchestrator.
Directivas y categorías de directivas
La información de directivas para cada producto está agrupada por categoría.
Cada categoría de directivas hace referencia a un subconjunto específico de directivas.
En el Catálogo de directivas, al ampliar el nombre de un producto se muestran las
categorías de directivas del producto en cuestión.
Figura 2-1 Catálogo de directivas
Una directiva con nombre es un conjunto configurado de definiciones de directivas
correspondiente a una categoría de directivas específica. Para cada categoría
de directivas, pueden crearse, modificarse o eliminarse tantas directivas con nombre
como sea necesario. En el Catálogo de directivas, al ampliar el nombre de una categoría
específica se muestran las directivas con nombre de dicha categoría.
Cada categoría de directivas tiene una directiva con nombre Global Default. Esta directiva
no puede editarse ni eliminarse.
19
2
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Conceptos básicos
Gestión de directivas
Dos categorías de directivas de Host Intrusion Prevention (Reglas IPS y Reglas de
aplicaciones de confianza) permiten asignar más de una instancia de directiva con nombre
y ofrecer un perfil de directivas IPS y de aplicación que pueden aplicarse.
Figura 2-2 Perfil de dos instancias de directivas de aplicaciones de confianza
Herencia y asignación de directivas
Las directivas se aplican a cada nodo del árbol Directorio de la consola, ya sea por
herencia o por asignación. Herencia determina si la configuración de directivas de
cualquier nodo procede de su nodo principal. De forma predeterminada, la herencia
está activada en todo el Directorio. La herencia se puede interrumpir mediante
la asignación directa de directivas. Host Intrusion Prevention, al gestionarse mediante
ePolicy Orchestrator, permite crear directivas y asignarlas sin tener en cuenta
su herencia. Cuando se interrumpe esta herencia asignando una nueva directiva en
cualquier parte del Directorio, todos los nodos secundarios heredan la nueva directiva.
Propiedad de directivas
Una vez que todas las directivas están disponibles, es necesario que cada directiva
tenga un propietario asignado. De forma predeterminada, el propietario de una directiva
es el administrador global o del sitio que la ha creado.
La propiedad garantiza que ningún usuario, salvo el administrador o propietario
global de la directiva con nombre, pueda modificarla. Cualquier administrador puede
utilizar una directiva que exista en el catálogo, pero únicamente el propietario
o el administrador global podrá modificarla.
Si asigna una directiva de la que no es propietario a nodos del Directorio que administra,
y el propietario de la directiva la modifica, todos los sistemas a los que se ha asignado
esta directiva recibirán estas modificaciones.
Sugerencia
Para utilizar y controlar una directiva que es propiedad de un administrador diferente,
duplique la directiva y después asigne la directiva duplicada.
Bloqueo de asignaciones de directivas
Un administrador global puede bloquear la asignación de una directiva en cualquier
ubicación del Directorio. El bloqueo de asignaciones de directivas impide que otros
usuarios cambien la asignación de una directiva por otra. Se hereda con la directiva.
El bloqueo de asignaciones de directivas resulta útil si un administrador global configura
y asigna una directiva determinada en la parte superior del Directorio para asegurarse
de que ningún otro usuario la sustituya por una directiva con nombre diferente
de cualquier otra parte del Directorio.
Nota
El bloqueo de directivas no impide que el propietario de la directiva realice cambios en
la configuración de la directiva con nombre. Por lo tanto, si pretende bloquear una
asignación de directiva, asegúrese de que es el propietario de la misma.
20
2
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Conceptos básicos
Despliegue y gestión
Despliegue y gestión
La gestión y el despliegue de clientes de Host Intrusion Prevention se realizan desde
ePolicy Orchestrator. En su árbol de la consola de ePO puede agrupar clientes
jerárquicamente por atributos. Por ejemplo, podría agrupar un primer nivel por
la ubicación geográfica y un segundo nivel por la plataforma de sistema operativo
o dirección IP. Se recomienda agrupar los clientes en función de criterios
de configuración de Host Intrusion Prevention, incluidos el tipo de sistema (servidor
o equipo de escritorio), el uso de aplicaciones principales (Web, base de datos
o servidor de correo) y ubicaciones estratégicas (DMZ o Intranet). Puede colocar
clientes que se ajusten a un perfil de uso común en un grupo común del árbol de
la consola. De hecho, podría asignar un nombre a un grupo según el perfil de uso;
por ejemplo, Servidores Web.
Con los equipos agrupados en el árbol de la consola según el tipo, la función
o la ubicación geográfica, es posible dividir fácilmente las funciones administrativas
según los mismos criterios. Con Host Intrusion Prevention también puede dividir tareas
administrativas de acuerdo con las funciones del producto, como IPS o cortafuegos.
Con esta versión de Host Intrusion Prevention y ePolicy Orchestrator, las directivas
son entidades independientes que pueden compartirse entre varios nodos. Se asigna
una directiva para cada categoría en una función de Host Intrusion Prevention. Algunas
categorías, como las reglas IPS, permiten varias directivas; algunas de ellas se heredan
de un nodo principal o se aplican en el propio nodo. En este caso, Host Intrusion
Prevention gestiona los conflictos aplicando primero la regla más estricta. A través
de la herencia en ePolicy Orchestrator, cuando se asigna a un nodo de grupo
las directivas apropiadas, todo sistema debajo de ese nodo hereda automáticamente
la configuración de su nodo principal.
El despliegue de clientes de Host Intrusion Prevention en miles de equipos se gestiona
de forma sencilla ya que la mayoría de los clientes encaja en un número pequeño
de perfiles de uso. La gestión de un despliegue grande se reduce para mantener unas
cuantas reglas de directivas. A medida que crece el despliegue, los sistemas que se
acaben de agregar deberán ajustarse a uno o varios perfiles existentes y pueden
colocarse en el nodo de grupo correcto del árbol de la consola.
Protección preconfigurada
Host Intrusion Prevention ofrece protección básica a través de la configuración
de directivas predeterminadas de McAfee. Esta protección “rápida” no requiere ajuste
y genera pocos eventos. Los clientes se pueden desplegar inicialmente a gran escala,
incluso antes de ajustar el despliegue. Para muchos entornos, donde el cliente
se instala en estaciones de trabajo y equipos portátiles, esta protección básica puede
resultar insuficiente.
La protección avanzada también está disponible en algunas directivas IPS y de cortafuegos
preconfiguradas. Un perfil para servidores, por ejemplo, necesita mayor protección que
la básica ofrecida para estaciones de trabajo. También pueden utilizarse las directivas
de protección avanzadas preconfiguradas como base para crear directivas personalizadas.
Modo de adaptación y de aprendizaje
Para ajustar aún más la configuración de la protección, los clientes de Host Intrusion
Prevention pueden crear reglas de excepción de cliente a las directivas impuestas por
el servidor que bloqueen actividades inofensivas. La creación de reglas de cliente se
permite cuando los clientes se ponen en modo Adaptación o Aprendizaje. En el modo
Adaptación, disponible para las funciones IPS, Cortafuegos y Bloqueo de aplicaciones,
las reglas de cliente se crean sin interacción por parte del usuario. En el modo
Aprendizaje, disponible para las funciones Cortafuegos y Bloqueo de aplicaciones,
el usuario debe indicar al sistema si se debe crear o no una regla de cliente.
21
2
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Conceptos básicos
Despliegue y gestión
En ambos modos, primero se analizan los eventos en búsqueda de los ataques más
dañinos, como el desbordamiento del búfer. Si la actividad se considera normal
y necesaria para la empresa, los clientes de Host Intrusion Prevention crean reglas
de cliente para admitir operaciones que, de otro modo, quedarían bloqueadas.
Al colocar clientes en modo Adaptación o Aprendizaje, puede obtener una
configuración de ajuste para ellos. Host Intrusion Prevention permite tomar cualquiera,
todas o ninguna de las reglas del cliente y convertirlas a directivas de mandato
del servidor. Los modos Adaptación y Aprendizaje pueden desactivarse en cualquier
momento para reforzar la protección de prevención de intrusos del sistema.
Con frecuencia en organizaciones de gran tamaño, el hecho de evitar las interrupciones
en las actividades de la empresa tiene prioridad sobre los asuntos de seguridad.
Por ejemplo, puede que sea necesario instalar periódicamente nuevas aplicaciones
en algunos equipos cliente y es posible que no se disponga del tiempo ni de los
recursos necesarios para ajustarlos inmediatamente. Host Intrusion Prevention
permite colocar clientes específicos en modo Adaptación para la protección IPS. Estos
equipos realizarán un perfil de una aplicación recién instalada y reenviarán las reglas
de cliente resultantes al servidor. El administrador puede promover estas reglas
de cliente a una directiva existente o nueva y después aplicar la directiva a otros
equipos para gestionar el nuevo software.
Ajuste
Como parte del despliegue de Host Intrusion Prevention, es necesario identificar
un número pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor
forma de conseguirlo es configurar un despliegue de prueba y después comenzar
a reducir el número de falsos positivos y de eventos generados. Este proceso recibe
el nombre de ajuste.
Reglas IPS más estrictas, por ejemplo, ofrecen más firmas que señalan un rango más
amplio de infracciones y generan más eventos que en un entorno básico. Si aplica
la protección avanzada, se recomienda utilizar la directiva Protección IPS para escalonar
el impacto. Esto conlleva la asignación de cada uno de los niveles de gravedad (Alto,
Medio, Bajo e Información) a una reacción (Evitar, Registro y Omitir). Configurando
inicialmente todas las reacciones de gravedad, excepto Alto, en Omitir, sólo
se aplicarán las firmas de nivel de gravedad Alto. Los otros niveles pueden elevarse
incrementalmente a medida que se realice el ajuste.
Se puede reducir el número de falsos positivos con la creación de reglas de excepción,
aplicaciones de confianza y reglas del cortafuegos. Las reglas de excepción son
mecanismos para anular una directiva de seguridad en circunstancias específicas.
Las aplicaciones de confianza son procesos de aplicaciones que siempre se permiten.
Las reglas del cortafuegos determinan si se permite el tráfico y también si se permitirá
o bloqueará la transmisión de paquetes.
Informes
Los informes permiten obtener datos sobre un elemento determinado y filtrarlos para
subconjuntos específicos de esos datos; por ejemplo, los eventos de nivel alto
indicados por clientes determinados para un período de tiempo especificado.
Los informes pueden planificarse y enviarse como mensajes de correo electrónico.
22
2
3
Uso de ePolicy Orchestrator
ePolicy Orchestrator debe utilizarse para configurar y gestionar Host Intrusion
Prevention, lo cual consiste en estas tareas básicas:
„
Instalar y comprobar el paquete de clientes y archivos de servidor de Host
Intrusion Prevention.
Utilice el programa de instalación de Host Intrusion Prevention para comprobar
los archivos de servidor de Host Intrusion Prevention, lo que incluye un archivo NAP,
el contenido con firmas y reglas predeterminadas y los informes en el repositorio de
ePolicy Orchestrator. Incorpore el paquete de clientes de Host Intrusion Prevention
en el repositorio de ePolicy Orchestrator. Para obtener más detalles, consulte
la Guía de instalación de Host Intrusion Prevention 6.0.
„
Desplegar clientes de Host Intrusion Prevention
Utilice la consola de ePolicy Orchestrator para desplegar los clientes de Host
Intrusion Prevention en los equipos del árbol de la consola del directorio. Para
obtener más detalles, consulte la Guía del producto de ePolicy Orchestrator 3.6.
„
Configurar las directivas de Host Intrusion Prevention.
Configure las directivas generales, de IPS, cortafuegos y bloqueo de aplicaciones
que desea aplicar a los clientes. La configuración predeterminada de cada directiva
ofrece una protección básica, pero para obtener una mayor seguridad deberá ajustar
el despliegue y configurar las directivas para que se adapten a su entorno. Consulte
los capítulos correspondientes de esta guía para obtener más detalles.
„
Asignar propietarios a las directivas en el Catálogo de directivas.
La propiedad se asigna en el Catálogo de directivas. Para obtener más detalles,
consulte la Guía del producto de ePolicy Orchestrator 3.6.
„
Enviar la información de actualización de las directivas de Host Intrusion
Prevention a los clientes.
ePolicy Orchestrator envía información actualizada a los clientes de Host Intrusion
Prevention. Los clientes imponen las directivas, recopilan información de eventos
y vuelven a transmitir la información a ePolicy Orchestrator. La interacción entre
el cliente y el servidor se determina mediante la configuración de la directiva
de agentes de ePolicy Orchestrator. Para obtener más detalles, consulte la Guía
del producto de ePolicy Orchestrator 3.6.
„
Configurar notificaciones en ePolicy Orchestrator para eventos de Host
Intrusion Prevention.
Para obtener más detalles, consulte la Guía del producto de ePolicy
Orchestrator 3.6.
„
Ejecutar informes en ePolicy Orchestrator para ver los resultados de los
eventos y la protección.
La información de las actividades de los clientes de Host Intrusion Prevention se
envía a ePolicy Orchestrator y se almacena en su base de datos. Utilice la consola
para ejecutar informes sobre la protección de Host Intrusion Prevention.
23
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de ePolicy Orchestrator utilizadas con Host Intrusion Prevention
Para obtener más información sobre el uso de Host Intrusion Prevention con ePolicy
Orchestrator, consulte los temas siguientes:
„
Operaciones de ePolicy Orchestrator utilizadas con Host Intrusion Prevention
„
Operaciones de Host Intrusion Prevention
Operaciones de ePolicy Orchestrator utilizadas con
Host Intrusion Prevention
Las funciones de ePolicy Orchestrator realizan alguna de la funcionalidad básica de
Host Intrusion Prevention. En la documentación de ePolicy Orchestrator encontrará
más detalles sobre el uso de estas funciones. En este documento se ofrece un breve
resumen y se proporcionan detalles para las áreas específicas de Host Intrusion
Prevention.
consola de ePolicy Orchestrator
Utilice la consola de ePolicy Orchestrator para gestionar Host Intrusion Prevention.
Para obtener más detalles, consulte la Guía del producto de ePolicy Orchestrator 3.6.
La consola de ePolicy Orchestrator se divide en dos secciones principales: un árbol de
la consola y un panel de detalles.
El árbol de la consola es el panel de navegación en el que se seleccionan los nodos de
ePolicy Orchestrator (equipos, grupos y sitios) en Directorio y se aplican las directivas de
Host Intrusion Prevention. El árbol también contiene vínculos con las demás funciones
principales de la interfaz de la consola, incluidas Catálogo de directivas, Notificaciones
e Informes.
El panel de detalles muestra la configuración de la funcionalidad del nodo seleccionado
en el árbol de la consola.
Figura 3-1 consola de ePolicy Orchestrator
24
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de ePolicy Orchestrator utilizadas con Host Intrusion Prevention
Gestión de directivas
Una directiva es una colección de opciones de software que se crean, se configuran
y se imponen. Puede aplicar directivas predeterminadas o crear y aplicar directivas
personalizadas en cualquier nodo del Directorio para el que disponga de permisos.
Puede configurar y asignar directivas antes o después de desplegar un producto. Cada
categoría de directivas indica si la directiva se aplica solamente a un cliente Windows
(Windows) o a todos los clientes Windows, Solaris, y Linux (Todas las plataformas).
Puede elegir si desea imponer todas o ninguna de las selecciones de directivas
en cualquier nodo del Directorio.
En la página Asignar directivas, que aparece al seleccionar un nodo, puede elegir si desea
imponer las directivas para los productos o para funciones de productos.
Figura 3-2 Página Asignar directivas
En la página Catálogo de directivas, puede ver las asignaciones de directivas y los
propietarios.
Figura 3-3 Catálogo de directivas
25
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de Host Intrusion Prevention
Asignación de propietarios a las directivas
Todas las directivas de Host Intrusion Prevention para las que tiene permisos están
disponibles en la página Catálogo de directivas. Para evitar que los usuarios puedan
modificar las directivas de otros usuarios, se asigna un propietario a cada directiva:
el administrador global o del sitio que la creó.
Sólo el autor de la directiva o un administrador global pueden modificar o eliminar
una directiva. Cualquier administrador puede aplicar las directivas de la página Catálogo
de directivas, pero sólo el propietario o el administrador global las pueden modificar.
Sugerencia
Si asigna una directiva de la que no es propietario a segmentos del directorio, tenga
en cuenta que si el propietario de la directiva la modifica, todos los nodos a los que
está asignada la directiva recibirán esta modificación. Para utilizar una directiva que
es propiedad de un administrador diferente, duplique la directiva y después asigne
el duplicado al nodo.
Generación de notificaciones
Las notificaciones por correo electrónico, localizador y captura SNMP pueden alertarle
de eventos que se produzcan en los clientes de Host Intrusion Prevention o en
el servidor mismo. Puede configurar reglas para enviar mensajes o capturas SNMP
o ejecutar comandos externos cuando el servidor de ePolicy Orchestrator reciba
y procese eventos específicos de Host Intrusion Prevention. La función
de notificaciones, muy configurable, permite especificar las categorías de eventos
que generan un mensaje de notificación y las frecuencias con las que se envían las
notificaciones.
Generación de informes
Los clientes de Host Intrusion Prevention de los sistemas cliente envían información
al servidor, que se almacena en una base de datos de informes. Esa información
almacenada es contra lo que se ejecutan informes y consultas. Existen ocho informes
predefinidos que entran en dos categorías principales: informes IPS e informes
del cortafuegos. Para obtener información adicional, consulte Ejecución de informes en
la página 125.
Operaciones de Host Intrusion Prevention
A continuación se ofrece un breve resumen de todos los aspectos del uso de Host
Intrusion Prevention específicos del producto. En este documento encontrará más
detalles sobre el uso de estas funciones.
Instalación del servidor de Host Intrusion Prevention
Para poder desplegar clientes, debe instalar el servidor de gestión. Para obtener
instrucciones detalladas, consulte la Guía de instalación de Host Intrusion Prevention.
26
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de Host Intrusion Prevention
Despliegue de clientes de Host Intrusion Prevention
Los clientes son el elemento que proporciona protección en un despliegue de Host
Intrusion Prevention. Idealmente, cada sistema de un entorno de trabajo debe estar
protegido por el software de los clientes. Se recomienda usar un enfoque por fases
para el despliegue:
„
Determine el plan de despliegue de clientes inicial. Aunque implementará
clientes de Host Intrusion Prevention en cada host (servidores y equipos de
sobremesa) de su empresa, se recomienda empezar con la instalación de clientes
en un número limitado de sistemas representativos y ajustar su configuración.
Una vez se ha ajustado el despliegue, puede desplegar más clientes y aprovechar
las directivas, excepciones y reglas de cliente creadas en el despliegue inicial.
„
Establezca una convención de nomenclatura para los clientes. Los clientes
se identifican mediante su nombre en el árbol de la consola, en ciertos informes
y en datos de eventos generados por las actividades del cliente. Los clientes
pueden tomar los nombres de los hosts en los que se instalan, o bien se puede
asignar un nombre de cliente específico durante la instalación. Se recomienda
establecer una convención de nomenclatura para los clientes que resulte fácil
de interpretar para las personas que trabajen con el despliegue de Host Intrusion
Prevention.
„
Instale los clientes. Los clientes se instalan con un conjunto predeterminado
de directivas de IPS, cortafuegos, bloqueo de aplicaciones y de reglas generales.
Posteriormente, se pueden extraer del servidor nuevas directivas con reglas
actualizadas.
„
Agrupe los clientes de forma lógica. Los clientes se pueden agrupar según
cualquier criterio que se ajuste a la jerarquía del árbol de la consola. Por ejemplo,
puede agrupar los clientes según su ubicación geográfica, su función en la empresa
o las características del sistema.
Para obtener instrucciones detalladas, consulte la Guía de instalación de Host Intrusion
Prevention.
Visualización y trabajo con datos de los clientes
Después de haber instalado y agrupado los clientes, el despliegue ha finalizado.
Debería empezar a ver eventos activados por las actividades de los clientes que
infrinjan la directiva de seguridad de IPS establecida. Si ha colocado clientes en el modo
Adaptación, debería ver las reglas de cliente que indican las reglas de bloqueo
y excepción de cliente que se crean. Al analizar estos datos, empezará a ajustar
el despliegue.
Para analizar los datos de los eventos, consulte la ficha Evento IPS en la función IPS.
Puede desglosar los detalles de un evento, como el proceso que activó el evento,
cuándo se generó el evento y qué cliente generó el evento. Analice el evento y tome
las medidas oportunas para ajustar el despliegue de Host Intrusion Prevention a fin
de proporcionar mejores respuestas a los ataques. La ficha Evento IPS muestra
las firmas de prevención de intrusos basadas en clientes y en red y las firmas
personalizadas basadas en host.
Para analizar las reglas de cliente, consulte la ficha Reglas de cliente. Las reglas de cliente
también aparecen en las funciones de cortafuegos y bloqueo de aplicaciones. Puede
ver las reglas que se crean, agregarlas para encontrar las reglas más habituales
y moverlas directamente a una directiva para su aplicación en otros clientes.
27
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de Host Intrusion Prevention
Además, la función Informes proporciona informes detallados basados en los eventos,
las reglas de cliente y la configuración de Host Intrusion Prevention. Utilice estos
informes para comunicar actividades del entorno a otros miembros de su equipo
y a la dirección de la empresa.
Colocación de los clientes en modo Adaptación o Aprendizaje
Un elemento fundamental en el proceso de ajuste es colocar los clientes de Host
Intrusion Prevention en modo Adaptación para IPS, el cortafuegos y el bloqueo
de aplicaciones o en modo Aprendizaje para el cortafuegos y el bloqueo
de aplicaciones. Estos modos permiten a los clientes crear reglas de excepción
de cliente en las directivas administrativas. El modo Adaptación lo hace
automáticamente, sin necesidad de interacción por parte del usuario, mientras que
en el modo Aprendizaje, el usuario debe indicar al sistema qué hacer cuando se genera
un evento.
Primero, estos modos analizan los eventos para buscar los ataques más dañinos, como
un desbordamiento del búfer. Si la actividad se considera normal y necesaria para el
desarrollo de las actividades de la empresa, se crean reglas de excepción de cliente.
Al definir clientes representativos en modo Adaptación o Aprendizaje, se puede
obtener una configuración de ajuste para ellos. A continuación, Host Intrusion
Prevention le permite tomar cualquiera, todas o ninguna de las reglas de cliente
y convertirlas en directivas de servidor. Al finalizar el ajuste, desactive los modos
Adaptación o Aprendizaje para obtener una mayor protección de prevención de intrusos
en el sistema:
„
Deje que los clientes se ejecuten en modo Adaptación o Aprendizaje durante
una semana como mínimo. Esto permite a los clientes disponer de tiempo
suficiente para detectar todas las actividades que detectarían normalmente. Intente
llevar a cabo esta operación en los momentos de actividad planificada, como copias
de seguridad o procesamiento de archivos de comandos.
„
A medida que se detecta cada actividad, se generan eventos IPS y se crean
excepciones. Las excepciones son actividades que se distinguen como
comportamiento legítimo. Por ejemplo, una directiva puede considerar que cierto
procesamiento de archivos de comandos constituye un comportamiento ilegal, pero
ciertos sistemas de los grupos de ingeniería necesitan realizar este tipo de tareas.
Permita que se creen excepciones para estos sistemas a fin de que puedan seguir
funcionando con normalidad, mientras la directiva sigue evitando esta actividad en
otros sistemas. A continuación, haga que estas excepciones formen parte de una
directiva de servidor relativa al grupo de ingeniería.
„
Puede tener algunas aplicaciones de software necesarias para el funcionamiento
normal de la empresa en algunas áreas, pero que se deben evitar en otras.
Por ejemplo, puede permitir el uso de la mensajería instantánea en las
organizaciones de ingeniería y soporte técnico, pero evitar su utilización en los
departamentos de finanzas y recursos humanos. Puede establecer la aplicación en
cuestión como de confianza en los sistemas de las organizaciones de ingeniería
y soporte técnico para permitir el acceso completo a la misma por parte de los
usuarios.
„
La función Cortafuegos actúa como filtro entre un equipo y la red o Internet.
El cortafuegos analiza todo el tráfico entrante y saliente en el nivel de paquetes.
A medida que revisa cada paquete que se recibe o se envía, el cortafuegos
comprueba su lista de reglas de cortafuegos, que es un conjunto de criterios
con acciones asociadas. Si un paquete coincide con todos los criterios de una regla,
el cortafuegos realiza la acción especificada por la regla, es decir, permite al paquete
pasar por el cortafuegos o lo bloquea.
28
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de Host Intrusion Prevention
Configuración de directivas
Las directivas son las reglas que se establecen para cada equipo de una red protegida
por Host Intrusion Prevention. El cliente de Host Intrusion Prevention de los sistemas
cliente recibe estas actualizaciones de directivas a intervalos regulares.
Al seleccionar un nodo en el Directorio del árbol de la consola, aparecerán las funciones
disponibles en Host Intrusion Prevention en el panel de detalles de la ficha Directivas.
Entre estas, se incluyen:
„
Directivas generales
„
Directivas de IPS
„
Directivas de cortafuegos
„
Directivas de bloqueo de aplicaciones
Haga clic en la flecha abajo para ver las categorías disponibles para cada función. Para
obtener más detalles, consulte las secciones en esta guía relativas a cada una de estas
funciones.
Alertas de visualización de directivas
Al ver los detalles de una directiva de Host Intrusion Prevention, es posible que
se le pida que confíe en un subprograma Java con firma necesario para mostrar
el contenido de la directiva. Si aparece esta alerta, haga clic en Sí (o en Siempre) para
mostrar los detalles de la directiva.
Figura 3-4 Advertencia de seguridad de subprograma Java
29
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de Host Intrusion Prevention
Algunas directivas de la función Cortafuegos requieren un control ActiveX. Al abrir una
de estas directivas, es posible que se le solicite que ejecute el control necesario para
mostrar el contenido de la directiva. Si aparece esta alerta, haga clic en Sí para mostrar
los detalles de la directiva.
Figura 3-5 Advertencia de seguridad de control ActiveX
Ajuste
Después de instalar el software Host Intrusion Prevention, McAfee recomienda
configurarlo para proporcionar el mayor nivel de seguridad, al tiempo que no entra
en conflicto con las actividades diarias. Las directivas predeterminadas de Host
Intrusion Prevention se ajustan al más amplio conjunto de entornos de cliente y pueden
cubrir sus necesidades. Para ajustar las directivas para que se adapten a su situación
concreta, se recomienda realizar lo siguiente:
„
Defina cuidadosamente la configuración de seguridad de Host Intrusion Prevention.
Evalúe quiénes son los encargados de configurar partes concretas del sistema
y concédales un acceso adecuado.
„
Cambie las directivas predeterminadas Protección IPS o Reglas de cortafuegos,
que proporcionan mayores niveles de protección preestablecida.
„
Modifique los niveles de gravedad de firmas específicas. Por ejemplo, cuando
se active una firma por el trabajo diario de los usuarios, ajuste el nivel de gravedad
a un nivel inferior. Para obtener más información, consulte Configuración de la
directiva Protección IPS en la página 38.
„
Configure notificaciones, que alertan a usuarios específicos al producirse eventos
concretos. Por ejemplo, se puede enviar una notificación cuando, en un servidor
concreto, se produzca una actividad que desencadene un evento con un nivel
de gravedad Alto. Para obtener más información, consulte Configuración de
notificaciones para eventos en la página 123.
30
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de Host Intrusion Prevention
Uso de la Ayuda
ePolicy Orchestrator y Host Intrusion Prevention incluyen Ayuda en línea. Puede
acceder a la Ayuda de ePolicy Orchestrator desde el botón Ayuda de la barra
de herramientas de ePolicy Orchestrator y los paneles de detalles de la consola. Puede
acceder a la Ayuda de Host Intrusion Prevention desde los botones Ayuda de la página
Configuración de directivas de Host Intrusion Prevention y los cuadros de diálogo
relacionados.
La ventana Ayuda de Host Intrusion Prevention proporciona información acerca
de la directiva o del cuadro de diálogo desde el que se llamó. Los vínculos Temas
relacionados de la página le llevan a instrucciones sobre cómo realizar ciertas tareas.
Puede acceder a información adicional utilizando la tabla de contenido, el índice
o la función de búsqueda.
Procedimientos de navegación por la Ayuda
Para...
Hacer esto...
Volver a la página que apareció
inicialmente o desde la que hizo clic
en un vínculo.
Haga clic en Atrás en el menú contextual.
Nota: No utilice los botones Anterior o Siguiente.
Se utilizan para desplazarse por el orden lineal
de páginas de la tabla de contenido.
Ver la tabla de contenido, el índice
y la búsqueda desde un panel
de Ayuda individual.
Haga clic en
(Mostrar desplazamiento).
Indicar en qué parte de la tabla
de contenido aparece la página.
Haga clic en
(Mostrar en contenido).
Nota: Algunas páginas son específicas de la Ayuda
y no aparecen en la tabla de contenido.
Pasar por las páginas de la Ayuda
según el orden de la tabla
de contenido.
Haga clic en
Ver temas de procedimientos
relacionados.
Haga clic en
Buscar un elemento alfabéticamente
en el índice.
(Anterior y Siguiente).
(Vínculos relacionados).
En el panel izquierdo, haga clic en Índice.
Imprimir una página.
Haga clic en
(Imprimir) o en Imprimir
en el menú contextual.
Crear un marcador de una página para
un explorador HTML.
Haga clic en
(Marcador).
Realizar una búsqueda.
Haga clic en Buscar en el panel de navegación,
escriba la palabra o palabras que desea buscar y haga
clic en Ir.
Eliminar el texto resaltado de una
página después de realizar una
búsqueda.
Haga clic en Actualizar en el menú contextual.
31
3
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Uso de ePolicy Orchestrator
Operaciones de Host Intrusion Prevention
Ayuda en la interfaz de usuario
En cada ficha o cuadro de diálogo aparece una breve descripción de su utilización.
Al colocar el puntero del ratón sobre un botón de la barra de herramientas, aparece una
descripción. Consulte la tabla siguiente para saber qué significan los iconos
que representan información en las listas:
Tabla 3-1
Iconos de Host Intrusion Prevention
Eventos IPS/Firmas
Nivel de gravedad: Información
Nivel de gravedad: Bajo
Nivel de gravedad: Medio
Nivel de gravedad: Alto
Nivel de gravedad: Desactivado
Reglas de excepción de IPS
Estado: Activado
Estado: Desactivado
Reacción: Permitir
Reacción: Bloquear
Nota adjunta
Reglas de firma de IPS
Protección de intrusos de red
Protección de intrusos de host personalizada
Reglas de cortafuegos, cuarentena o bloqueo de
aplicaciones
Dirección: Entrante
Dirección: Saliente
Dirección: Entrante y saliente
Acción: Permitir
Acción: Bloquear
Tratar coincidencia de regla como intruso
Restringir la regla a intervalo de tiempo definido
32
3
4
Directivas de IPS
La función IPS (Intrusion Prevention System, sistema de prevención de intrusos)
de Host Intrusion Prevention protege a los equipos con tecnología de prevención frente
a intrusos. Las directivas IPS activan y desactivan la protección IPS, establecen el nivel
de reacción frente a eventos y proporcionan detalles acerca de excepciones, firmas,
reglas de protección de aplicaciones, eventos y excepciones generadas por
los clientes.
En esta sección se describe la función IPS y se incluyen los temas siguientes:
„
Resumen
„
Configuración de la directiva Opciones IPS
„
Configuración de la directiva Protección IPS
„
Configuración de la directiva Reglas IPS
„
Detalles de la directiva Reglas IPS
„
Eventos IPS
„
Reglas de cliente IPS
„
Búsqueda de reglas de excepción IPS
Resumen
Los clientes de Host Intrusion Prevention disponen de una base de datos de reglas
de firma IPS que determinan si las actividades que se realizan en un equipo son
benignas o dañinas. Cuando se detectan actividades dañinas, se envían alertas
denominadas eventos a la consola de ePO, que aparecen en la directiva Reglas IPS
de Host Intrusion Prevention.
El nivel de protección establecido para firmas en la directiva Protección IPS determina
las acciones adoptadas por un cliente al producirse un evento. Entre las respuestas
o reacciones se incluyen omitir, registrar o evitar la actividad.
Los eventos que resultan ser falsos positivos originados por actividades inofensivas se
pueden anular mediante la creación de una excepción a la regla de firma o mediante
la calificación de aplicaciones como de confianza. Los clientes en modo Adaptación
crean excepciones automáticamente, denominadas reglas de cliente. Los
administradores pueden crear excepciones manualmente en cualquier momento.
La supervisión de los eventos producidos y las reglas de excepción de cliente creadas
ayudan a determinar cómo ajustar el despliegue para obtener la mejor protección IPS.
33
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Resumen
Reglas de firma IPS de host y de red
Los ataques pueden seguir un patrón de firma de caracteres. Esta firma puede
identificar y evitar la actividad dañina. Por ejemplo, puede que una firma se establezca
para buscar la cadena ../ en la dirección URL de un sitio Web. Si la firma está activada
y el sistema detecta esta cadena, se activa un evento.
Un enfoque basado en firmas, con firmas IPS de host y de red, representa la mayoría
de los esquemas de detección utilizados en la detección de intrusos y es un mecanismo
que utiliza Host Intrusion Prevention. Con cada cliente se instala una base de datos
de reglas de firma, que se actualiza a medida que se descubren nuevos tipos de ataques.
Las firmas se clasifican por nivel de gravedad y descripción del peligro que supone
un ataque. Están diseñadas para aplicaciones específicas y para sistemas operativos
concretos. La mayoría protege todo el sistema operativo, aunque algunas protegen
aplicaciones específicas.
Host Intrusion Prevention proporciona principalmente firmas IPS de host y algunas
firmas IPS de red adicionales.
HIPS
La protección HIPS se encuentra en sistemas individuales, como servidores,
estaciones de trabajo o portátiles. El cliente de Host Intrusion Prevention ofrece
protección mediante la inspección del tráfico que entra y sale de un sistema
y el examen del comportamiento de las aplicaciones y el sistema operativo para
buscar ataques. Al detectar un ataque, el cliente lo puede bloquear en la conexión
del segmento de red o puede emitir comandos destinados a la aplicación o el sistema
operativo para detener el comportamiento iniciado por el ataque. Por ejemplo,
el desbordamiento del búfer se evita bloqueando programas dañinos que se han
insertado en el espacio de direcciones explotado por un ataque. La instalación
de programas de puerta trasera (back door) con aplicaciones como Internet Explorer
se bloquea al interceptar y denegar el comando “write file” de la aplicación.
Ventajas de IPS de host
Protege no sólo del ataque, sino de los resultados de un ataque, como bloquear
un programa para que no pueda escribir un archivo.
„
„
Protege a los equipos portátiles de ataques cuando se encuentran fuera de la red
protegida.
„
Ofrece protección frente a ataques locales introducidos por CD, tarjetas o llaves
de memoria o disquetes. A menudo, estos ataques se centran en aumentar los
privilegios del usuario a “raíz” o “administrador” para dañar otros sistemas de
la red.
„
Proporciona una última línea de defensa frente a ataques que han evadido otras
herramientas de seguridad.
„
Evita los ataques internos o el uso indebido de dispositivos ubicados en el mismo
segmento de la red.
„
Ofrece protección frente a ataques en los que la secuencia de datos codificados
finaliza en el sistema protegido al examinar el comportamiento y los datos
descifrados.
„
Es independiente de la arquitectura de red utilizada y permite proteger sistemas en
arquitecturas de red obsoletas o inusuales, como Token Ring o FDDI.
34
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Resumen
NIPS
La protección NIPS también se encuentra ubicada en sistemas individuales. Todos
los datos que circulan entre el sistema protegido y el resto de la red se examinan
para buscar ataques. Cuando se identifica un ataque, los datos dañinos se descartan
o se bloquea su transmisión a través del sistema.
Ventajas de IPS de red
„ Protege a los sistemas secundarios en un segmento de red.
„
Protege a los servidores y a los sistemas que se conectan a ellos.
„
Ofrece protección frente a ataques de denegación de servicio de red y ataques
orientados al ancho de banda que deniegan o degradan el tráfico de red.
Reglas de comportamiento
Las reglas de comportamiento definen un perfil de actividad inofensiva. La actividad
que no coincide con el perfil desencadena un evento. Por ejemplo, puede configurar
una regla que indique que sólo un proceso del servidor Web debería acceder
a los archivos Web. Si otro proceso intenta acceder a un archivo Web, esta regla
de comportamiento activa un evento.
Host Intrusion Prevention combina el uso de reglas de firma y reglas
de comportamiento no modificables. Este método híbrido para identificar los
ataques detecta la mayoría de ataques conocidos, así como ataques de día cero
anteriormente desconocidos.
Directivas de IPS preestablecidas
La función IPS de Host Intrusion Prevention contiene tres categorías de directivas:
„
Opciones IPS: Esta directiva activa o desactiva la protección IPS de host y de red.
Entre las directivas preestablecidas se incluyen Activado (predeterminado de McAfee),
Desactivado y Adaptación.
„
Protección IPS: Esta directiva establece la reacción a los eventos. Entre las directivas
preestablecidas se incluyen Básico (predeterminado de McAfee), Preparación para
protección mejorada, Protección mejorada, Preparación para protección máxima, Protección
máxima y Advertencia.
„
Reglas IPS: Esta directiva puede tener una o más instancias de directiva. La directiva
preestablecida es la predeterminada (predeterminada de McAfee).
35
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Configuración de la directiva Opciones IPS
Acceso rápido
La función IPS proporciona vínculos (*) para el acceso rápido a la supervisión
y la gestión de Eventos IPS, Reglas IPS y Reglas de cliente IPS.
Figura 4-1 función IPS
*
Configuración de la directiva Opciones IPS
La directiva Opciones IPS es el “interruptor de encendido y apagado” básico para
la protección IPS, así como un medio para colocar un cliente en modo Adaptación, que
permite al cliente conservar las excepciones que cree y bloquea automáticamente
las intrusiones de red. Seleccione una de las directivas preestablecidas o cree una
directiva nueva.
Para configurar la directiva Opciones IPS:
1 Amplíe la función IPS y haga clic en Editar en la línea de categoría Opciones IPS.
2 Para aplicar una directiva preestablecida, selecciónela en la lista de directivas. Haga
clic en el icono del nombre de la directiva para ver su configuración:
Seleccione esta
directiva...
Para las siguientes opciones...
(Activado (predeterminado
de McAfee))
„
Activar IPS de host
„
Activar IPS de red
„
Bloquear automáticamente a los intrusos de la red durante
10 minutos
„
Retener los host bloqueados
„
Conservar reglas de cliente
„
Retener los host bloqueados
„
Conservar reglas de cliente
„
Activar IPS de host
„
Activar IPS de red
„
Retener los host bloqueados
„
Activar el modo Adaptación
„
Conservar reglas de cliente
(Desactivado)
(Adaptación)
3 Haga clic en Aplicar.
36
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Configuración de la directiva Opciones IPS
Para crear una nueva directiva de Opciones IPS:
1 En la línea de categoría Opciones IPS, haga clic en Editar y, a continuación, seleccione
Nueva directiva en la lista de directivas.
2 En el cuadro de diálogo Crear nueva directiva, seleccione la directiva que se
va a duplicar, escriba el nombre de la nueva directiva y, a continuación, haga clic
en Aceptar.
Nota
Para crear una directiva duplicada al visualizar los detalles de una directiva
preestablecida, haga clic en Duplicar, en la parte inferior del cuadro de diálogo de
la directiva. Escriba el nombre de la nueva directiva e indique si la directiva se va
a asignar inmediatamente al nodo actual.
Aparece el cuadro de diálogo Opciones IPS.
Figura 4-2 Opciones IPS
3 Seleccione las opciones necesarias:
Seleccione...
Para activar...
Activar IPS de host
Protección IPS de host.
Activar IPS de red
Protección IPS de red.
Bloquear automáticamente
a los intrusos de la red
Un cliente para bloquear automáticamente los ataques de
intrusión de red en un host durante un período de tiempo
definido. Seleccione Hasta su eliminación para bloquear
el tráfico entrante y saliente de un host hasta que se elimine
manualmente de una lista bloqueada del cliente o durante
(minutos) durante un número de minutos definido.
37
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Configuración de la directiva Protección IPS
Seleccione...
Para activar...
Retener los host
bloqueados
Un cliente para bloquear un host (dirección IP) hasta los
parámetros definidos en Bloquear automáticamente a los
intrusos de la red. Si no se selecciona, el host queda bloqueado
hasta la siguiente actualización de directivas.
Activar el modo
Adaptación
Un cliente para generar reglas de cliente automáticamente.
Agregar automáticamente
aplicaciones de alto riesgo
a la lista de protección de
aplicaciones
Un cliente para agregar aplicaciones abiertas a inyecciones
de código (por tanto, de alto riesgo) automáticamente a la lista
de aplicaciones protegidas.
Conservar reglas de
cliente
Cliente para conservar las reglas de cliente que creó.
4 Haga clic en Aplicar y, a continuación, haga clic en Cerrar.
5 Haga clic en Aplicar en la línea de categoría Opciones IPS.
Nota
Las directivas sólo se pueden eliminar en la página del catálogo de directivas de ePolicy
Orchestrator y sólo las pueden eliminar los administradores globales.
Configuración de la directiva Protección IPS
La directiva Protección IPS define la reacción protectora para los niveles de gravedad
de firma. Esta configuración indica a los clientes qué hacer cuando se detecta
un ataque o un comportamiento sospechoso. Cada firma tiene un nivel de gravedad
de entre cuatro posibles:
„
Alto (rojo): Firma de amenazas de seguridad o acciones dañinas claramente
identificables. Estas firmas son específicas de ataques de explotación claramente
identificados y son principalmente de tipo no dependiente del comportamiento.
Evite estas firmas en todos los sistemas.
„
Medio (naranja): Firma de actividades relacionadas con el comportamiento en las que
las aplicaciones funcionan fuera de su ámbito. Evite estas firmas en sistemas
críticos, así como en servidores Web y servidores SQL.
„
Bajo (amarillo): Firmas de actividades relacionadas con el comportamiento en las que
las aplicaciones y los recursos del sistema están bloqueados y no se pueden
modificar. Si se evitan estas firmas se aumenta la seguridad del sistema
subyacente, pero es necesario realizar ajustes adicionales.
„
Información (azul): Firma de actividades relacionadas con el comportamiento
en las que las aplicaciones y los recursos del sistema se modifican y que pueden
indicar un riesgo de seguridad benigno o un intento de acceder a información
confidencial del sistema. Los eventos de este nivel se producen durante
las actividades normales del sistema y, generalmente, no constituyen prueba
de que se esté produciendo un ataque.
38
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Configuración de la directiva Protección IPS
Estos niveles indican posibles daños en un sistema y le permiten definir reacciones
específicas para distintos niveles de posibles daños. Puede modificar los niveles de
gravedad y las reacciones para todas las firmas. Por ejemplo, cuando sea improbable
que una actividad sospechosa provoque daños, puede seleccionar Omitir como
reacción. Cuando es probable que una actividad sea peligrosa, puede definir Evitar
como reacción.
La directiva Protección IPS tiene distintas directivas preestablecidas entre las que puede
seleccionar. Si las directivas preestablecidas no proporcionan la combinación
de opciones seleccionada que desea utilizar, cree una directiva nueva y seleccione
las opciones requeridas. Las opciones que se pueden seleccionar en el cuadro
de diálogo Protección IPS varían en función de la directiva seleccionada.
Para configurar la directiva Protección IPS:
1 Amplíe la función IPS y haga clic en Editar en la línea de categoría Protección IPS.
2 Para aplicar una directiva preestablecida, selecciónela en la lista de directivas. Haga
clic en el icono del nombre de la directiva para ver su configuración:
Seleccione esta
directiva...
Para las siguientes opciones...
(Protección básica
(predeterminado de
McAfee))
Evitar las firmas con un nivel de gravedad alto y omitir el resto.
(Protección mejorada)
Evitar las firmas con un nivel de gravedad alto y medio y omitir
el resto.
(Protección máxima)
Evitar las firmas con un nivel de gravedad alto, medio y bajo
e incluir el resto en un archivo de registro.
(Preparación para
protección mejorada)
Evitar las firmas con un nivel de gravedad alto, incluir las firmas
con un nivel de gravedad medio en un archivo de registro
y omitir el resto.
(Preparación para
protección máxima)
Evitar las firmas con un nivel de gravedad alto y medio, incluir
las firmas con un nivel de gravedad bajo en un archivo
de registro y omitir el resto.
(Advertencia)
Incluir las firmas con un nivel de gravedad alto en un archivo
de registro y omitir el resto.
3 Haga clic en Aplicar.
Para crear una nueva directiva Protección IPS:
1 En la línea de categoría Gravedad IPS, haga clic en Editar y, a continuación, seleccione
Nueva directiva en la lista de directivas.
2 En el cuadro de diálogo Crear nueva directiva, seleccione la directiva que se
va a duplicar, escriba el nombre de la nueva directiva y, a continuación, haga
clic en Aceptar.
Nota
Para crear una directiva duplicada al visualizar los detalles de una directiva
preestablecida, haga clic en Duplicar, en la parte inferior del cuadro de diálogo
de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva
se va a asignar inmediatamente al nodo actual.
Aparece el cuadro de diálogo Protección IPS.
39
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Configuración de la directiva Protección IPS
Figura 4-3 Protección IPS
3 Seleccione el tipo de reacción para cada nivel de gravedad:
Para este
elemento...
Seleccione...
Alto
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
Evitar para evitar el evento e incluirlo en un archivo de registro.
Medio
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
Evitar para evitar el evento e incluirlo en un archivo de registro.
Bajo
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
Evitar para evitar el evento e incluirlo en un archivo de registro.
Información
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
4 Haga clic en Aplicar y, a continuación, haga clic en Cerrar.
5 Haga clic en Aplicar en la línea de categoría Protección IPS.
Nota
Las directivas sólo se pueden eliminar en la página del catálogo de directivas de ePolicy
Orchestrator y sólo las pueden eliminar los administradores globales.
40
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Configuración de la directiva Reglas IPS
Configuración de la directiva Reglas IPS
Al contrario que la mayoría de categorías de directivas, la directiva Reglas IPS puede
tener varios perfiles de directiva asignados. Este uso ampliado de las directivas
le permite crear varias directivas que realizan un perfil del uso y la ubicación
de un cliente o el tipo de sistema en el que está instalado, todo ello para poder aplicar
más fácilmente las opciones de prevención de intrusos. Por ejemplo, para un servidor
IIS puede aplicar una directiva predeterminada general, una directiva de servidor
y una directiva de IIS. Estas dos últimas directivas estarán configuradas para dirigirse
específicamente a sistemas que se ejecutan como servidores IIS. Además de aplicar
las directivas existentes, también puede crear fácilmente directivas nuevas
si las directivas disponibles no cubren sus necesidades de protección.
Para asignar directivas Reglas IPS:
1 Amplíe la función IPS y haga clic en Editar en la línea de nombre de directiva
Reglas IPS.
2 Para aplicar una directiva existente, selecciónela en la lista de directivas. Haga clic
en el nombre de la directiva para ver sus detalles.
3 Haga clic en Aplicar.
4 Para agregar otra instancia de directiva, haga clic en Asignar directiva adicional,
al principio de la sección Reglas IPS.
Aparece una fila de directiva nueva.
5 Repita los pasos 1 a 3.
Para crear una nueva directiva Reglas IPS:
1 Lleve a cabo una de las siguientes acciones:
„
Haga clic en Editar en una fila de nombre de directiva Reglas IPS.
„
Haga clic en Asignar directiva adicional al principio de la lista Reglas IPS.
2 Seleccione Nueva directiva en la lista de directivas.
3 En el cuadro de diálogo Crear nueva directiva, seleccione la directiva que se va
a duplicar, escriba el nombre de la nueva directiva y, a continuación, haga clic
en Aceptar.
4 En la ficha Reglas IPS, edite lo siguiente, según corresponda:
„
Excepciones (consulte Reglas de excepción en la página 42).
„
Firmas (consulte Firmas en la página 46).
„
Reglas de protección de aplicaciones (consulte Firmas en la página 46).
5 Haga clic en Cerrar para cerrar el cuadro de diálogo de la directiva Reglas IPS.
6 Haga clic en Aplicar en la fila de nombre de directiva Reglas IPS.
Nota
Las directivas sólo se pueden eliminar en la página del catálogo de directivas de ePolicy
Orchestrator y sólo las pueden eliminar los administradores globales.
41
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Detalles de la directiva Reglas IPS
La directiva Reglas IPS le permite crear y aplicar una o más directivas que definan
la configuración IPS. Las directivas deben basarse en el uso habitual, la ubicación
o los derechos y privilegios de acceso. Por ejemplo, puede asignar una directiva global,
una directiva de cliente de servidor y una directiva IIS a un servidor IIS.
Cada directiva incluye detalles sobre:
„
Reglas de excepción
„
Firmas
„
Reglas de protección de aplicaciones
Todas las directivas IPS disponibles se incluyen en la lista de directivas del cuadro
de diálogo Configuración de directivas de Reglas IPS. Las directivas aplicadas al nodo
seleccionado aparecen en negrita. Haga clic en Directiva efectiva para para ver una unión
de todas las reglas de excepción, firmas y reglas de excepción e inclusión que se
aplican al nodo seleccionado.
El cuadro de diálogo Configuración de directivas de Reglas IPS también ofrece acceso a las
siguientes funciones relacionadas con las directivas IPS:
„
Eventos IPS
„
Reglas de cliente IPS
„
Búsqueda de reglas de excepción IPS
Reglas de excepción
A veces, un comportamiento que se interpretaría como un ataque puede ser una parte
normal de la rutina de trabajo de un usuario. Esto se denomina alerta de falso positivo.
Para evitar falsos positivos, cree una excepción para el comportamiento en cuestión.
La función de excepciones permite detectar alertas de falsos positivos, minimiza
el flujo de datos innecesarios hacia la consola y garantiza que las alertas son amenazas
de seguridad legítimas.
Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma Outlook
Envelope – Suspicious Executable Mod. Esta firma indica que la aplicación de correo
electrónico Outlook está intentando modificar una aplicación fuera del ámbito
de recursos habituales de Outlook. Por tanto, un evento activado por esta firma
es motivo de alarma, puesto que Outlook puede estar modificando una aplicación que
normalmente no está asociada con el correo electrónico, por ejemplo, Notepad.exe.
En este caso, tiene razones suficientes para sospechar que se trata de un troyano.
No obstante, si el proceso que inicia el evento es responsable normalmente del envío
de correo electrónico, por ejemplo, guardar un archivo con Outlook.exe, debe crear una
excepción que permita esta acción.
Puede ver una lista de excepciones y crearlas y modificarlas en la ficha Excepciones
del cuadro de diálogo Reglas IPS.
42
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Figura 4-4 Reglas IPS: Ficha Excepciones
Creación de reglas de excepción
Al crear una regla de excepción, debe definir la excepción e indicar la firma a la que
se aplica la excepción. Puede crear una excepción completamente nueva, una basada
en un duplicado de una excepción existente o una basada en un evento.
Para crear una excepción:
1 Lleve a cabo una de las siguientes acciones:
„
En la ficha Reglas de excepción, haga clic en Crear en el menú contextual o la barra
de herramientas. Aparece un cuadro de diálogo Nueva excepción en blanco.
„
En la ficha Reglas de excepción, seleccione una excepción existente y haga clic
en Duplicar en el menú contextual o la barra de herramientas. Aparece el cuadro
de diálogo Duplicar excepción rellenado previamente.
„
En la ficha Eventos IPS, seleccione el evento para el que desea crear una
excepción y haga clic en Crear excepción en el menú contextual o en la barra de
herramientas. Seleccione la directiva en la que se creará la excepción y haga
clic en Aceptar. Aparece un cuadro de diálogo Nueva excepción rellenado
previamente.
43
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Figura 4-5 Cuadro de diálogo Nueva excepción
2 Indique los datos adecuados en cada una de las fichas y haga clic en uno de
los siguientes botones:
„
Aceptar para guardar los cambios y cerrar el cuadro de diálogo.
„
Aplicar para guardar los cambios y mantener el cuadro de diálogo abierto para
crear otra regla de excepción.
„
Cancelar para eliminar los cambios y cerrar el cuadro de diálogo.
„
Ayuda para obtener más detalles.
Edición de reglas de excepción
Puede ver y editar los detalles de una excepción existente.
Para editar una regla de excepción:
1 Seleccione una excepción y haga clic en Propiedades en el menú contextual o la barra
de herramientas o haga doble clic en una excepción.
Aparece el cuadro de diálogo Propiedades de excepción.
2 Modifique los datos de las fichas y, a continuación, haga clic en Aceptar. Haga clic
en Ayuda en el cuadro de diálogo para obtener detalles.
44
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Activación y desactivación de reglas de excepción
En lugar de eliminar las excepciones que no se utilizan, puede desactivarlas
temporalmente y, posteriormente, activarlas para aplicarlas.
Para activar o desactivar una excepción:
„ En la ficha Reglas de excepción, seleccione una regla y haga clic en Activar o desactivar
en el menú contextual o la barra de herramientas.
El estado de la excepción seleccionada cambia según la selección que realice.
Eliminación de reglas de excepción
Para eliminar de forma permanente una excepción, selecciónela en la ficha Reglas
de excepción y, a continuación, haga clic en Eliminar en el menú contextual o la barra
de herramientas. La excepción se elimina de la ficha Excepciones.
Movimiento de reglas de excepción a otra directiva
Puede mover fácilmente una excepción de una directiva a otra desde la ficha Reglas
de excepción.
Para mover una regla de excepción a otra regla:
1 Seleccione la regla de excepción que desea mover y haga clic en Mover a otra directiva
en el menú contextual o la barra de herramientas.
2 En la lista Seleccionar directiva, seleccione la directiva y haga clic en Aceptar.
Una copia de la regla de excepción aparece en la directiva seleccionada.
45
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Firmas
Las firmas describen amenazas de seguridad, metodologías de ataque e intrusiones
de red. Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro
potencial de un ataque:
„
Alto (rojo): Firmas que protegen frente a amenazas de seguridad o acciones dañinas
claramente identificables. La mayoría de estas firmas son específicas de ataques
de explotación claramente identificados y son principalmente de tipo no
dependiente del comportamiento. Deberían evitarse en todos los hosts.
„
Medio (naranja): Firmas más relacionadas con el comportamiento y que evitan
el funcionamiento de las aplicaciones fuera de su entorno (relevante para clientes
que protegen servidores Web y Microsoft SQL Server 2000). En servidores críticos,
se recomienda evitar estas firmas después de realizar los ajustes.
„
Bajo (amarillo): Firmas más relacionadas con el comportamiento y que protegen
a las aplicaciones. La protección implica el bloqueo de los recursos del sistema
y las aplicaciones para que no se puedan modificar. Si se evitan las firmas amarillas,
se aumenta la seguridad del sistema subyacente, pero es necesario realizar ajustes
adicionales.
„
Información (azul): Indica una modificación en la configuración del sistema que puede
crear un riesgo de seguridad benigno o un intento de acceder a información
confidencial del sistema. Los eventos de este nivel se producen durante las
actividades normales del sistema y, generalmente, no constituyen prueba de que
se esté produciendo un ataque.
Tipos de firmas
La directiva Reglas IPS puede incluir tres tipos de firmas:
„
Firmas de host: firmas predeterminadas de prevención de intrusos de host (HIPS).
„
Firmas de host personalizadas: HIPS personalizadas creadas por el usuario.
„
Firmas de red: firmas predeterminadas de prevención de intrusos de red (NIPS).
Firmas de host
Las firmas de prevención de intrusos basadas en host (HIPS) detectan y evitan los
ataques de actividades de operaciones del sistema, e incluyen reglas de tipo Archivo,
Registro, Servicio y HTTP. Están desarrolladas por los expertos en seguridad de Host
Intrusion Prevention y se proporcionan con el producto.
Cada firma tiene una descripción y un nivel de gravedad predeterminado.
Con los niveles de privilegios adecuados, un administrador puede modificar
el nivel de gravedad de una firma o desactivar una firma para grupos de clientes.
Al activarse, las firmas basadas en host generan un evento IPS que aparece en la ficha
Eventos IPS.
Firmas de host personalizadas
Las firmas personalizadas son firmas basadas en host que puede crear para ofrecer
protección adicional para sus necesidades concretas. Por ejemplo, al crear un directorio
nuevo con archivos importantes, puede crear una firma personalizada para protegerlo.
Firmas de red
Las firmas de prevención de intrusos basadas en red (NIPS) detectan y evitan
los ataques de red conocidos que llegan al sistema host.
46
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Las firmas basadas en red aparecen en la consola en la misma lista de firmas que
las firmas basadas en host. Tienen su propio icono en la columna Tipo y se designan
como IPS de red en el cuadro de diálogo Propiedades de la firma: General.
Cada firma tiene una descripción y un nivel de gravedad predeterminado.
Con los niveles de privilegios adecuados, un administrador puede modificar el nivel
de gravedad de una firma o desactivar una firma.
Todas las firmas basadas en red pueden desactivar el registro, aunque la firma esté
asociada con una reacción de tipo registrar o evitar en la directiva en vigor. No obstante,
en el caso de una reacción de tipo evitar, la operación se evita, aunque no se registre
ningún evento.
Puede crear excepciones para firmas basadas en red; sin embargo, no puede
especificar atributos de parámetros adicionales, como el usuario del sistema operativo
y el nombre del proceso. Los detalles avanzados contienen parámetros específicos
de red que se pueden especificar, como, por ejemplo, direcciones IP.
Los eventos generados por firmas basadas en red se muestran junto con los eventos
basados en host en la ficha Eventos IPS y presentan el mismo comportamiento que
los eventos basados en host.
No se admiten las firmas personalizadas basadas en red.
Nota
Visualización de firmas
Host Intrusion Prevention incluye tres vistas de firmas en la ficha Firmas. La lista
predeterminada sólo incluye firmas activas. También puede ver sólo firmas
desactivadas o una combinación de firmas activas y desactivadas.
Figura 4-6 Reglas IPS: Ficha Firmas
47
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Para modificar la vista de firmas:
„ Haga clic con el botón derecho en la lista de firmas y seleccione la vista deseada:
Seleccione...
Para ver...
Mostrar firmas activas
Sólo las firmas activas para la directiva Reglas IPS.
Se trata de la vista predeterminada.
Mostrar firmas desactivadas
Sólo las firmas cuyo nivel de gravedad esté establecido
en desactivado.
Mostrar todas las firmas
Combinación de firmas activas y desactivadas.
Modificación de las firmas de host y de red
Puede ver y modificar las firmas predeterminadas en la ficha Firmas de la directiva Reglas
IPS. Esto le permite cambiar el nivel de gravedad de la firma si la firma provoca falsos
positivos.
Para modificar las firmas predeterminadas:
1 Haga doble clic en la firma que desea modificar.
Aparece el cuadro de diálogo Propiedades de la firma.
2 En la ficha General, modifique las opciones Nivel de gravedad, Permitir excepciones
de cliente o Registrar estado y escriba notas en el cuadro Nota para documentar
el cambio.
3 En la ficha Descripción, revise los elementos que protege la firma y la protección
que ofrece. Si hay un vínculo, haga clic en él para abrir una página de explorador
y ver más información acerca de la amenaza de seguridad.
4 Haga clic en Aceptar.
Nota
Puede modificar el nivel de gravedad de varias firmas a la vez si las selecciona y hace
clic en Modificar nivel de gravedad. En el cuadro de diálogo que aparece, seleccione
Modificado y el nuevo nivel de gravedad que debe aplicarse a las firmas, o bien,
seleccione Predeterminado para devolver a las firmas a su nivel de gravedad
predeterminado. Haga clic en Aceptar para guardar los cambios. Las opciones
de Nivel de gravedad incluyen: Alto, Medio, Bajo, Información y Desactivado.
Creación de firmas personalizadas
Host Intrusion Prevention le proporciona la flexibilidad necesaria para crear
y gestionar sus propias firmas y compartirlas entre directivas. La creación de firmas
personalizadas, recomendada sólo para usuarios avanzados, proporciona una
flexibilidad adicional para su entorno. Consulte Creación de firmas personalizadas en la
página 164 para obtener detalles.
Puede utilizar dos métodos para crear firmas:
„
Asistente para la creación de firmas: Es el método más sencillo, pero no se pueden
cambiar las operaciones que protege la firma.
„
Modo estándar: Es el método más avanzado, y permite agregar o eliminar operaciones
protegidas por la firma.
48
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Uso del asistente para crear firmas
El asistente para la creación de firmas es el método recomendado si carece
de experiencia a la hora de crear firmas. El asistente ofrece dos cuadros de diálogo
en los que debe indicar la información necesaria para la firma, pero no ofrece
flexibilidad para las operaciones que protege la firma, puesto que no se pueden
cambiar, agregar o eliminar operaciones.
Para crear firmas usando el asistente:
1 En la barra de herramientas Firma, haga clic en Asistente para la creación de firmas.
2 En el cuadro de diálogo Asistente para la creación de firmas, paso 1 de 2, indique
un nombre y una descripción, seleccione la plataforma y el nivel de gravedad y,
a continuación, haga clic en Siguiente.
Figura 4-7 Asistente para la creación de firmas, paso 1 de 2
3 En el cuadro de diálogo Asistente para la creación de firmas, paso 2 de 2, seleccione
el elemento que desea proteger frente a modificaciones, indique sus detalles y,
a continuación, haga clic en Finalizar.
49
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Figura 4-8 Asistente para la creación de firmas, paso 2 de 2
La nueva firma aparece en la lista con un icono de firma personalizada.
Uso del modo estándar para crear firmas
Utilice este método sólo si es un usuario avanzado. Proporciona la flexibilidad necesaria
para seleccionar las operaciones que protege la firma, incluidas operaciones
de modificación, adición y eliminación. Puede crear una firma completamente nueva,
una basada en una firma personalizada existente o una basada en un duplicado de una
firma personalizada existente.
Para crear una firma con el modo estándar:
1 Lleve a cabo una de las siguientes acciones:
„
En la ficha Firmas, haga clic en Crear en el menú contextual o la barra de
herramientas. Aparece un cuadro de diálogo Nueva firma personalizada en blanco.
„
En la ficha Firmas, seleccione una firma personalizada y haga clic en Duplicar en
el menú contextual o la barra de herramientas. Aparece un cuadro de diálogo
Duplicar firma personalizada rellenado previamente.
2 En la ficha General, indique un nombre y seleccione la plataforma, el nivel
de gravedad, el estado de registro y si se debe permitir la creación de reglas
de cliente.
50
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Figura 4-9 Nueva firma personalizada: Ficha General
3 En la ficha Descripción, escriba una descripción de los elementos protegidos por
la firma. Esta descripción aparece en el cuadro de diálogo Evento IPS al activarse
la firma.
4 En la ficha Subregla, seleccione Método estándar o Método experto para crear la regla.
Figura 4-10 Nueva firma personalizada: Ficha Subreglas
51
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
.
Para usar el método estándar:
Para usar el método experto:
El método estándar limita el número de tipos
que se pueden incluir en la regla de firma.
El método experto, recomendado sólo para
usuarios avanzados, le permite proporcionar
la sintaxis de las reglas sin limitar el número
de tipos que se pueden incluir en la regla de
firma. Antes de escribir una regla, asegúrese
de comprender bien la sintaxis de las reglas.
Consulte Creación de firmas personalizadas
en la página 164.
1 Haga clic en Agregar. Aparece el cuadro
de diálogo Nueva regla estándar.
1 En la ficha Reglas del cuadro de diálogo
Firma personalizada, seleccione Experto
y Haga clic en Agregar. Aparece el cuadro
de diálogo Nueva regla experta.
2 En la ficha General, indique un nombre
para la firma y elija un tipo.
3 En la ficha Operaciones, especifique las
operaciones que activan la regla
seleccionada.
4 En la ficha Parámetros, incluya o excluya
parámetros concretos en la regla.
5 En la ficha Sintaxis de regla puede ver
la sintaxis de regla que se ha generado
para la firma que está creando.
6 Haga clic en Aceptar. La regla se compila
y se comprueba la sintaxis. Si hay un error
y la regla no supera la comprobación,
aparece un cuadro de diálogo
que describe el error. A continuación,
puede solucionar el error y comprobar
la regla de nuevo.
2 En la ficha General, escriba un nombre
para la regla en el cuadro Nombre de regla
y las notas que considere oportunas en
el cuadro Nota.
3 En la ficha Sintaxis de regla, escriba
la regla. Las reglas se escriben
en formato ANSI y sintaxis TCL. Consulte
Creación de firmas personalizadas en la
página 164 para obtener más detalles.
4 Haga clic en Aceptar. La regla se compila
y se comprueba la sintaxis. Si hay
un error y la regla no supera
la comprobación, aparece un cuadro
de diálogo que describe el error.
A continuación, puede solucionar
el error y comprobar la regla de nuevo.
5 Haga clic en Aplicar para aplicar la nueva configuración y, a continuación, haga clic
en Aceptar.
Puede incluir varias reglas en una firma.
Nota
Edición de firmas personalizadas
Puede editar las firmas personalizadas para agregar, eliminar o modificar reglas u otros
datos incluidos en las firmas.
Para editar una firma personalizada:
1 En la ficha Firma, haga doble clic en la firma personalizada que desea editar.
Aparece el cuadro de diálogo Propiedades de la firma personalizada.
2 Realice cambios en cada ficha según sea necesario. Haga clic en Ayuda en el cuadro
de diálogo para obtener detalles.
3 Haga clic en Aceptar para guardar los cambios.
Eliminación de firmas personalizadas
Además de crear y editar firmas personalizadas, también las puede eliminar. Al eliminar
una firma personalizada, todos los eventos existentes activados por esta firma tendrán
el ID de la firma anexado a su nombre en la ficha Eventos IPS.
Para eliminar una firma personalizada:
1 En la ficha Firma, seleccione una firma personalizada que desee eliminar y haga clic
en Eliminar en el menú contextual o la barra de herramientas.
2 En el cuadro de diálogo que aparece, en el que se le solicita que confirme la
eliminación, haga clic en Aceptar.
52
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
Reglas de protección de aplicaciones
Las reglas de protección de aplicaciones ayudan a mitigar los problemas de
compatibilidad y estabilidad implícitos en el enlace de procesos. Permite o bloquea
el enlace de API a nivel de usuario para listas definidas y generadas de procesos.
El enlace de archivos y Registro a nivel del kernel no se ve afectado.
Host Intrusion Prevention proporciona una lista estática de procesos que se permiten
o se bloquean. Esta lista se actualiza mediante publicaciones de actualización
de contenido. Además, los procesos a los que se permite el enlace se pueden agregar
dinámicamente a la lista cuando el análisis del proceso está habilitado. Este análisis se
realiza:
„
Cada vez que el cliente se inicia y se enumeran los procesos en ejecución.
„
Cada vez que se inicia un proceso.
„
Cada vez que la lista de control de procesos se actualiza mediante el servidor
de ePolicy Orchestrator.
„
Cada vez que se actualiza la lista de procesos que escuchan en un puerto de la red.
Este análisis implica comprobar primero si el proceso está en la lista de procesos
bloqueados. Si no lo está, se comprueba la lista de procesos permitidos. Si no
se encuentra en esta lista, el proceso se analiza para ver si escucha en un puerto
de la red o si se ejecuta como un servicio. Si no, se bloquea; si escucha en un puerto
o se ejecuta como un servicio, se le permite establecer el enlace.
Figura 4-11 Análisis de las reglas de protección de aplicaciones
53
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
El componente IPS mantiene una caché de información en los procesos en ejecución,
que realiza el seguimiento de la información del enlace. El componente de cortafuegos
determina si un proceso escucha en un puerto de la red, llama a una API exportada por
el componente IPS y pasa la información a la API para que la agregue a la lista
de control. Cuando se invoca a la API, el componente IPS encuentra la entrada
correspondiente en su lista de procesos en ejecución. Entonces se enlaza un
proceso que no esté enlazado y que no forme parte de la lista de bloqueo estático.
El cortafuegos proporciona el PID (ID de proceso), que es la clave para la búsqueda
en caché de un proceso.
La API exportada por el componente IPS también permite a la IU de cliente obtener
la lista de los procesos enlazados actualmente, la cual se actualiza siempre que
un proceso se enlaza o desenlaza. Un proceso enlazado se desenlazará si la consola
envía una lista de procesos actualizada que especifica que el proceso ya enlazado
no debería seguir enlazado. Cuando la lista de enlaces se actualice, todos los procesos
listados en la caché de información de los procesos en ejecución se comparan con
la lista actualizada. Si la lista indica que un proceso debería estar enlazado y no lo está,
se procederá a enlazarlo. Si la lista indica que un proceso no debería estar enlazado
y lo está, se procederá a desenlazarlo.
Las listas de enlace de procesos se pueden ver y editar en la ficha Reglas de protección
de aplicaciones. La interfaz de usuario de cliente, al contrario que la vista de la directiva
Reglas IPS, muestra una lista de todos los procesos de aplicación enlazados.
Figura 4-12 Reglas IPS: Reglas de protección de aplicaciones
Para crear una regla de protección de aplicaciones:
1 Lleve a cabo una de las siguientes acciones:
„
En la ficha Reglas de protección de aplicaciones, haga clic en Crear en la barra
de herramientas o en el menú contextual. Aparece el cuadro de diálogo Nueva
regla de protección de aplicaciones.
„
En la ficha Reglas de protección de aplicaciones, seleccione una aplicación y haga clic
en Duplicar en la barra de herramientas o en el menú contextual. Aparecerá el
cuadro de diálogo precumplimentado Duplicar reglas de protección de aplicaciones IPS.
54
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Detalles de la directiva Reglas IPS
2 En la ficha General, introduzca el nombre, el estado y si la aplicación está incluida.
Para ver detalles generales, haga clic en Ayuda.
.
Figura 4-13 Cuadro de diálogo Nueva aplicación de confianza: ficha General
3 En la ficha Procesos, indique los procesos a los que desee aplicar la regla. Para ver
detalles generales, haga clic en Ayuda.
.
Figura 4-14 Cuadro de diálogo Nueva aplicación de confianza: ficha Procesos
4 Haga clic en Aceptar.
55
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Eventos IPS
Edición de reglas de protección de aplicaciones
Puede visualizar y editar las propiedades de una regla de aplicación existente y cambiar
su estado de inclusión de incluir a excluir y viceversa.
Para editar las propiedades de una regla de aplicación:
1 En la ficha Reglas de protección de aplicaciones, seleccione una aplicación y haga clic
en Propiedades, en la barra de herramientas o en el menú contextual; o haga doble
clic en la aplicación de confianza seleccionada.
Aparece el cuadro de diálogo Propiedades de reglas de protección de aplicaciones.
2 Modifique los datos de las dos fichas y, a continuación, haga clic en Aceptar.
Activación y desactivación de reglas de protección
de aplicaciones
En vez de eliminar las reglas de aplicación que no estén en uso, puede desactivarlas
temporalmente y posteriormente activarlas para que sean efectivas.
Para activar o desactivar una regla de aplicación:
1 En la ficha Reglas de protección de aplicaciones, seleccione la regla activada que desee
desactivar, o la regla desactivada que desee activar.
2 Haga clic en Desactivar o Activar en la barra de herramientas o en el menú de acceso
directo.
El estado de la aplicación de la ficha Reglas de protección de aplicaciones cambia
en consecuencia.
Eliminación de reglas de protección de aplicaciones
Para eliminar de forma permanente una regla de protección de aplicaciones,
selecciónela en la ficha Reglas de protección de aplicaciones y, a continuación, haga clic
en Eliminar en la barra de herramientas o en el menú contextual. La regla se elimina
de la ficha.
Eventos IPS
Un evento IPS se activa cuando se detecta una infracción de seguridad definida por
una firma. Por ejemplo, Host Intrusion Prevention compara el inicio de cualquier
aplicación con una firma para dicha operación que puede representar un ataque.
Si se encuentra una coincidencia, se genera un evento. De lo contrario (quizás por
una excepción a la firma o si la aplicación se ha designado como de confianza), no
se genera ningún evento.
Cuando Host Intrusion Prevention reconoce un evento IPS, lo marca en la ficha Eventos
IPS con uno de los cuatro niveles de gravedad: Alto, Medio, Bajo e Información.
Nota
Cuando la misma operación activa dos eventos, se adopta la reacción con el nivel
más alto.
56
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Eventos IPS
A partir de la lista de eventos generados puede determinar los eventos que pueden
permitirse y los que indican un comportamiento sospechoso. Para permitir eventos,
configure el sistema con las siguientes opciones:
„
Excepciones: Reglas que anulan una regla de firma. Para crear una excepción
específica para el evento, consulte Creación y aplicación de directivas Aplicaciones
de confianza en la página 112.
„
Aplicaciones de confianza: Permite las aplicaciones internas cuyas operaciones pueden
ser bloqueadas por una firma. Para crear una aplicación de confianza específica para
el evento, consulte Creación y aplicación de directivas Aplicaciones de confianza en
la página 112.
Este proceso de ajuste mantiene en un nivel mínimo los eventos que aparecen,
de forma que se dispone de más tiempo para analizar los eventos graves que se
producen.
Visualización de eventos
Para ayudar a analizar los eventos IPS, Host Intrusion Prevention le permite marcar
los eventos con un estado (no leídos, leídos u ocultos) y, a continuación, filtrarlos con una
de entre varias visualizaciones.
Para ver eventos IPS:
1 En el árbol de la consola, seleccione el nodo para el que desea ver eventos IPS.
2 Haga clic en el vínculo de acceso rápido Eventos IPS situado en la parte superior
de la función IPS en el panel de directivas; o, si la ventana Gestión de IPS está
abierta, haga clic en la ficha Eventos IPS.
Figura 4-15 Ficha Eventos IPS
Aparece una lista que contiene todos los eventos asociados con el cliente. De forma
predeterminada, no se muestran todos los eventos. Para obtener detalles sobre
la configuración de la vista de eventos, consulte Configuración de la vista de
eventos en la página 58.
57
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Eventos IPS
Configuración de la vista de eventos
De forma predeterminada, no se muestran todos los eventos. De forma
predeterminada, sólo aparecen los eventos producidos en los últimos 30 días.
Puede definir la vista para que muestre los eventos de un número concreto de días
o eventos producidos antes de una fecha y hora concretas.
Para cambiar la vista de eventos:
1 En la ficha Eventos IPS, haga clic en Configurar vista de evento en la barra
de herramientas o el menú contextual.
Aparece el cuadro de diálogo Configurar vista de evento.
Figura 4-16 Cuadro de diálogo Configurar vista de evento
2 Indique el número de días de eventos que se mostrarán.
3 Seleccione Eventos anteriores a (fecha) e indique una fecha y una hora para mostrar
eventos producidos antes de la fecha y la hora indicadas.
4 Haga clic en Aceptar.
Filtrado de eventos
Los eventos que puede ver están determinados por la visualización que haya
seleccionado. Seleccione el comando adecuado en el menú contextual:
„
Mostrar todos los eventos: Se muestran todos los eventos. Los eventos leídos
aparecen con una fuente normal, los eventos no leídos en negrita, los ocultos
en gris y los eventos agregados ocultos en azul claro.
„
Mostrar eventos leídos y no leídos: Se muestran todos los eventos con estado leído
o no leído, pero no se muestran los eventos ocultos.
„
Mostrar eventos no leídos: Se muestran todos los eventos que todavía no se han leído.
Estos eventos aparecen en negrita. Los eventos leídos y ocultos no se incluyen
en esta vista.
„
Mostrar eventos leídos: Se muestran todos los eventos con el estado leído. Estos
eventos aparecen en una fuente normal. Los eventos no leídos y ocultos no se
incluyen en esta vista.
„
Mostrar eventos ocultos: Se muestran todos los eventos con el estado oculto. Estos
eventos aparecen en una fuente gris.
58
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Eventos IPS
Marcado de eventos
Los eventos se marcan con uno de los tres estados siguientes para ayudar a filtrar
la visualización:
No leído: Opción predeterminada para todos los eventos. Indica que el evento no
„
se ha revisado. Aparece en negrita.
Leído: El evento se ha revisado y se ha marcado como Leído. Aparece en una fuente
„
normal.
Oculto: Estos eventos se eliminan de la vista de eventos normal. Aparecen en gris
sólo en las vistas Eventos ocultos o Todos los eventos, a menos que estén marcados
como Leído o No leído.
„
Nota
Al marcar eventos, se marcan para todos los usuarios conectados con el mismo servidor
de gestión.
Para marcar un evento como leído:
1 En la ficha Eventos IPS, seleccione los eventos que desea marcar como leídos.
2 Haga clic en el botón Marcar como leído en el menú contextual o la barra
de herramientas.
La fuente del evento cambia de negrita a normal.
Para marcar un evento como no leído:
1 En la ficha Eventos IPS, seleccione los eventos que desea marcar como no leídos.
2 Haga clic en Marcar como no leído en el menú contextual o la barra de herramientas.
La fuente del evento cambia de normal a negrita.
Para ocultar un evento:
1 En la ficha Eventos IPS, seleccione los eventos que desea ocultar.
2 Haga clic en Ocultar (marcar como oculto) en el menú contextual o la barra de
herramientas.
Los eventos seleccionados se eliminan de la vista actual.
3 Para ver estos eventos ocultos, haga clic en Mostrar eventos ocultos en el menú
contextual o la barra de herramientas.
Para quitar eventos de la vista oculta:
1 Haga clic en Mostrar eventos ocultos en el menú contextual o la barra de herramientas.
Se muestran los eventos ocultos.
2 Seleccione los eventos que desea quitar de la vista oculta.
3 Haga clic en Marcar como leído o en Marcar como no leído.
Los eventos seleccionados se quitan del estado Oculto.
4 Haga clic en Mostrar eventos leídos y no leídos o en Mostrar todos los eventos en el menú
contextual.
59
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Eventos IPS
Marcado de eventos similares
Dada la gran cantidad de eventos IPS que pueden aparecer, debería limitar el número
de eventos mostrados o la forma en que aparecen. Para ello, marque eventos
concretos como leídos, no leídos u ocultos uno a uno. No obstante, este proceso
puede resultar pesado.
La opción Marcar eventos similares como leídos/no leídos/ocultos permite marcar
en una operación todos los eventos parecidos existentes que coincidan con
un conjunto de criterios. No obstante, los eventos nuevos activados después
de realizar esta operación no se marcan automáticamente.
Los criterios de coincidencia que establece el usuario se basan en los atributos
asociados con los eventos, e incluyen cualquiera o todos los elementos siguientes:
„
Agente
„
Firmas
„
Usuario
„
Proceso
„
Nivel de gravedad
Para marcar eventos similares:
1 Seleccione un evento y haga clic en Marcar eventos similares en el menú contextual
o en Marcar eventos similares en la barra de herramientas.
Aparece el cuadro de diálogo Marcar eventos similares.
Figura 4-17 Cuadro de diálogo Marcar eventos similares
2 En la lista Marcar eventos como, seleccione uno de los tres estados para los eventos:
No leído, Leído u Oculto.
3 Active la casilla de verificación situada junto a cada atributo que desee utilizar como
criterio para marcar los eventos.
El valor de parámetro junto a la casilla de verificación se selecciona
automáticamente. Para seleccionar otro parámetro, haga clic en Seleccionar.
En el cuadro de diálogo Lista de selección que aparece, seleccione el parámetro
y haga clic en Aceptar.
60
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Eventos IPS
4 Después de volver al cuadro de diálogo original, haga clic en Aceptar. Los eventos
que coincidan con los criterios seleccionados se cambian al estado seleccionado.
Nota
Si no selecciona criterios específicos, todos los eventos se verán afectados al hacer
clic en Aceptar.
Visualización de detalles de eventos
El cuadro de diálogo Propiedades del evento IPS muestra información acerca de un evento
seleccionado. Ver estos datos puede resultar útil para ajustar el sistema, permitiéndole
crear una excepción o aplicación de confianza o buscar excepciones existentes
basadas en un evento.
Para ver los detalles de los eventos:
Haga doble clic o seleccione el evento y haga clic en Propiedades en el menú
contextual o la barra de herramientas.
„
Aparece el cuadro de diálogo Propiedades del evento IPS, con cuatro fichas: General,
Descripción, Detalles avanzados y Resumen. Haga clic en Ayuda en el cuadro de diálogo para
obtener detalles.
Figura 4-18 Cuadro de diálogo Evento IPS: Ficha General
Creación de excepciones y aplicaciones de confianza basadas
en eventos
En algunas circunstancias, un comportamiento que se interprete como un ataque
puede ser una parte normal de la rutina de trabajo de un usuario. Cuando esto
se produce, puede crear una regla de excepción o una regla de aplicación de confianza
para dicho comportamiento.
61
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Eventos IPS
Puede crear excepciones o aplicaciones de confianza basadas en eventos
directamente desde un evento para evitar que vuelva a producirse, o bien puede
crear excepciones o aplicaciones de confianza sin que hagan referencia a un evento
concreto. Para obtener más información acerca de esto último, consulte Reglas de
excepción en la página 42 y Creación y aplicación de directivas Aplicaciones de
confianza en la página 112.
La creación de excepciones y aplicaciones de confianza le permite detectar alertas
de falsos positivos y garantiza que las notificaciones que recibe son comunicaciones
con sentido.
Ejemplo
Por ejemplo, durante el proceso de prueba de clientes, es posible que algunos
de ellos reconozcan la firma de acceso a correo electrónico. En ciertas circunstancias,
un evento activado por esta firma es motivo de alarma. Los piratas informáticos
pueden instalar aplicaciones de troyanos que utilicen el puerto TCP/IP 25, reservado
normalmente para aplicaciones de correo electrónico, y esta acción se detectaría
mediante la firma TCP/IP Port 25 Activity (SMTP). Por otra parte, también es posible
que el tráfico normal del correo electrónico coincida con esta firma. Cuando utilice esta
firma, investigue el proceso que ha iniciado el evento. Si el proceso no está asociado
normalmente con el correo electrónico, como Notepad.exe, puede tener sospechas
razonables de que se trata de un troyano. Si el proceso que inicia el evento
es responsable normalmente del envío de correo electrónico (Eudora, Netscape,
Outlook), cree una excepción para este evento.
Por ejemplo, también puede detectar que una serie de clientes activan los programas
de inicio de las firmas, lo cual indica que se modifica o se crea un valor en las claves
del Registro siguientes:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Dado que los valores almacenados bajo estas claves indican programas que se inician
al encender el equipo, el reconocimiento de esta firma puede indicar que alguien está
intentando alterar el sistema. O también puede indicar algo tan benigno como que uno
de sus empleados esté instalando RealAudio en su equipo. La instalación de RealAudio
agrega el valor RealTray a la clave del Registro Run.
Para eliminar la activación de eventos cada vez que alguien instale software autorizado,
se crean excepciones para estos eventos. El cliente ya no generará eventos para esta
instalación autorizada.
Para crear una excepción basada en eventos:
1 Seleccione un evento y haga clic en Crear excepción en el menú contextual o la barra
de herramientas.
Aparece un cuadro de diálogo Nueva excepción rellenado previamente.
2 Siga las instrucciones para crear una excepción de Reglas de excepción en la
página 42.
Para crear una aplicación de confianza basada en eventos:
1 Seleccione un evento y haga clic en Crear aplicación de confianza en el menú contextual
o la barra de herramientas.
Aparece un cuadro de diálogo Nueva aplicación de confianza rellenado previamente.
2 Siga las instrucciones para crear una aplicación de confianza de Creación y aplicación
de directivas Aplicaciones de confianza en la página 112.
62
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Reglas de cliente IPS
Búsqueda de excepciones relacionadas
Un evento puede ser un falso positivo, que es una operación inofensiva que aparece
de forma incorrecta como un intruso. Para los falsos positivos puede crear una
excepción y evitar el registro de eventos idénticos futuros; no obstante, es posible
que ya haya creado varias excepciones para eventos parecidos. En lugar de crear
una excepción nueva, es posible que pueda editar una excepción existente para que
se aplique al evento de falso positivo. Si las excepciones se mantienen organizadas
y son pocas, resulta más fácil gestionarlas.
La función Buscar excepciones relacionadas permite buscar excepciones existentes
que coincidan con uno o más atributos pertenecientes a un evento. Por ejemplo, puede
buscar excepciones que coincidan con la firma o el proceso del evento, o con ambos.
Asimismo, también puede buscar excepciones que ya estén desplegadas en el cliente
en el que se produjo el evento o quizás las aplicadas al usuario asociado con el evento.
Para buscar una excepción relacionada:
1 Seleccione un evento en la ficha Eventos IPS para el que desee buscar excepciones
relacionadas y haga clic en Buscar excepciones relacionadas en la barra de herramientas
o el menú contextual.
Aparece el cuadro de diálogo de criterios de búsqueda Buscar reglas de excepción IPS
con la información de proceso, firma y usuario rellenada previamente.
2 Active la casilla de verificación de cada criterio que desee aplicar. Puede editar
los valores haciendo clic en Editar.
3 Haga clic en Aceptar.
La ficha Buscar excepciones IPS muestra los resultados de la búsqueda. Consulte
Búsqueda de reglas de excepción IPS en la página 66 para ver más detalles sobre
cómo usar la función de búsqueda.
Reglas de cliente IPS
Cuando los clientes se encuentran en el modo Adaptación, se crean reglas
de excepción de cliente automáticamente para permitir operaciones que,
de lo contrario, bloquearían las directivas del administrador. Las reglas de cliente
también se pueden crear manualmente, siempre que la opción de directiva IU
de cliente para permitir la creación manual de reglas de cliente esté activada.
Las reglas de cliente creadas automática y manualmente aparecen en la ficha Reglas
de cliente IPS. Algunas o todas las reglas de excepción de cliente generadas en
un cliente representativo se pueden promover a la ficha Reglas de excepción general
de una directiva Reglas IPS concreta, lo que permite ajustar más fácilmente
un despliegue.
63
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Reglas de cliente IPS
Vista normal
Las reglas de excepción de cliente aparecen en una Vista normal y en una Vista agregada.
En la Vista normal puede ordenar y filtrar la lista de reglas para encontrar excepciones
específicas y ver sus detalles. También puede migrar reglas de cliente a reglas
de excepción del servidor de una directiva Reglas IPS.
Figura 4-19 Regla de cliente IPS: Vista normal
Para migrar reglas de cliente a una directiva Reglas IPS:
1 Seleccione una regla de excepción de cliente en la ficha Vista normal y haga clic
en Crear regla de excepción.
2 Seleccione la directiva a la que desee migrar la regla de cliente y haga clic en Aceptar.
3 En el cuadro de diálogo Regla de excepción rellenado previamente, compruebe o edite
la información y haga clic en Aceptar.
La nueva regla de excepción aparece en la ficha Reglas de excepción de la directiva
Reglas IPS seleccionada en el proceso de migración.
Si desea obtener más detalles, consulte Reglas de excepción en la página 42.
64
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Reglas de cliente IPS
Vista agregada
En la Vista agregada puede agregar excepciones de regla de cliente en función
de la firma, el usuario, el proceso, el estado, la reacción y el nodo para determinar
la frecuencia de reglas de excepción similares creadas en todos los clientes.
Gestione las excepciones que aparecen en la ficha Reglas de cliente IPS con la función
Vista agregada. Esta vista le permite combinar excepciones que tienen los mismos
atributos, para que sólo aparezca una excepción agregada, al tiempo que se realiza
un seguimiento del número de veces que se producen las excepciones. Esta
información le permite ajustar un despliegue, posiblemente mediante la transferencia
de algunas de las reglas de excepción de cliente a reglas de excepción administrativas
para reducir los falsos positivos para un entorno de sistema concreto.
Las excepciones agregadas aparecen en azul y tienen un número en la columna
Recuento. Para agregar excepciones, debe seleccionar criterios de agregación mientras
visualiza las excepciones.
Figura 4-20 Reglas de cliente IPS: Vista agregada basada en proceso
Para agregar reglas de cliente:
1 Haga clic en la ficha Vista agregada en la ficha Reglas de cliente IPS.
2 En el cuadro de diálogo Reglas del cliente agregadas, seleccione los criterios para
agregar las excepciones de regla del cliente. Entre las opciones disponibles,
se incluyen las siguientes: Firma, Usuario, Proceso, Activada, Reacción y Nodo.
3 Haga clic en Aceptar.
Aparece una lista de firmas y el número de reglas de excepción creadas para cada
una de ellas.
4 Seleccione una fila y haga clic en Mostrar reglas individuales para ver detalles de cada
regla de excepción asociada con la selección.
Volverá a la ficha Vista normal, que contiene detalles sobre cada regla en el conjunto
agregado.
65
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Búsqueda de reglas de excepción IPS
Búsqueda de reglas de excepción IPS
Puede buscar excepciones en cualquier directiva Reglas IPS en la ficha Buscar reglas
de excepción IPS. Esta función de búsqueda le permite determinar si una excepción
es necesaria para una regla de firma. También le permite gestionar excepciones
eliminando reglas de excepción duplicadas o creando aplicaciones de confianza para
permitir un proceso bloqueado. Los criterios de búsqueda incluyen los procesos que
activaron un evento, las firmas que hicieron que el evento se activara y los usuarios
afectados por la regla de excepción. Después de haber encontrado las reglas
de excepción relacionadas que buscaba, se recomienda que gestione esta lista
para mantener un número mínimo de excepciones generales. Para ello, puede eliminar
las excepciones innecesarias (porque ya existen excepciones para un proceso o una
firma concretos) o duplicar y editar una excepción para que sustituya a varias
expresiones similares. La ficha Buscar excepciones IPS también le permite desactivar
excepciones en lugar de eliminarlas permanentemente para encontrar excepciones
que coincidan con un perfil y copiarlas a otras directivas IPS.
Para buscar excepciones y gestionar la lista de excepciones:
1 En la ficha Buscar reglas de excepción IPS, haga clic en Buscar.
Aparece el cuadro de diálogo Buscar reglas de excepción IPS.
Figura 4-21 Buscar reglas de excepción IPS
2 Seleccione los criterios adecuados y realice una de las acciones siguientes:
„
Seleccione Todos (opción predeterminada) para todos los procesos.
„
Seleccione Específicos y haga clic en Editar para indicar procesos específicos.
En el cuadro de diálogo Buscar [criterios] específicos, mueva elementos de la lista
de elementos disponibles a la de elementos seleccionados y haga clic en Aceptar.
66
4
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de IPS
Búsqueda de reglas de excepción IPS
3 Haga clic en Aceptar.
Aparece la lista de excepciones que coinciden con los criterios de búsqueda.
Figura 4-22 Ficha Buscar reglas de excepción IPS
Nota
Si selecciona varios criterios, los resultados que aparecen coinciden con cualquiera
de los criterios seleccionados, no con todos los criterios. Por ejemplo, si selecciona
dos procesos específicos, las excepciones que aparecen coinciden con cualquiera
de los dos procesos y las excepciones que no aparecen son las que coinciden sólo
con ambos procesos.
4 Seleccione una excepción en la lista y utilice los comandos del menú contextual
o de la barra de herramientas para activarla o desactivarla, moverla de una directiva
a otra, crear una nueva excepción duplicándola o eliminarla. Si desea obtener más
detalles, consulte Reglas de excepción en la página 42.
67
4
5
Directivas de cortafuegos
La función de cortafuegos de Host Intrusion Prevention protege a los equipos al filtrar
todo el tráfico de red, lo que permite el tráfico inofensivo a través del cortafuegos
y bloquea el resto. Esto se realiza aplicando reglas de cortafuegos. En la versión actual
del producto, se ha añadido la inspección y el filtrado con seguimiento de estado para
gestionar clientes de la versión 6.1 También están disponibles reglas de cortafuegos
estáticas precedentes, denominadas reglas HIP 6.0, pero sólo se aplican a clientes
de la versión 6.0. Existe una utilidad de migración de reglas de cortafuegos para ayudar
con la transición de las reglas estáticas a reglas con seguimiento de estado.
En esta sección se describe la función de cortafuegos y se incluyen los temas
siguientes:
„
Resumen
„
Configuración de la directiva Opciones del cortafuegos
„
Configuración de la directiva Reglas de cortafuegos
„
Configuración de la directiva Opciones de cuarentena
„
Configuración de la directiva Reglas de cuarentena
68
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Resumen
El cortafuegos de Host Intrusion Prevention protege a los equipos conectados en red
de intrusiones que puedan dañar los datos, las aplicaciones o el sistema operativo.
Ofrece esta protección trabajando en varias capas de la arquitectura de red en las
que se utilizan diferentes criterios para restringir el tráfico de la red. Esta arquitectura
de red está construida sobre el modelo Open System Interconnection (OSI) de siete
capas, en el que cada capa gestiona protocolos de red específicos.
Figura 5-1 Protocolos y capas de red
Reglas HIP 6.0
El cortafuegos de Host Intrusion Prevention 6.0 trabajaba básicamente en la Capa
de red 3 y en la Capa de transporte 4, enrutando los paquetes de red a sus destinos.
En todas estas capas el cortafuegos utiliza un filtrado de paquetes estático con una
coincidencia de regla descendente. Cuando se analiza un paquete y se equipara con
una regla de cortafuegos, se utilizan criterios tales como la dirección IP, el número
de puerto y el tipo de paquete para permitir o bloquear el paquete. Si no se encuentra
ninguna regla coincidente, el paquete se descarta. Se necesitan reglas de cortafuegos
bidireccionales, especialmente para los protocolos UDP e ICMP.
Reglas HIP 6.1
El cortafuegos de Host Intrusion Prevention 6.1 introduce un cortafuegos con
seguimiento de estado tanto con filtrado como con inspección de paquetes con
seguimiento de estado.
69
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Filtrado de paquetes con seguimiento de estado
El filtrado de paquetes con seguimiento de estado es el rastreo con seguimiento
de estado de la información del protocolo TCP/UDP/ICMP en la Capa de transporte 4
e inferiores de la pila de red OSI. Se examina cada paquete y si el paquete
inspeccionado coincide con una regla de cortafuegos existente, éste se permite
y se crea una entrada en una tabla de estado. La tabla de estado rastrea
dinámicamente las conexiones que han coincidido anteriormente con un conjunto
de reglas estáticas y refleja el estado de conexión actual de los protocolos
TCP/UDP/ICMP. Si un paquete inspeccionado coincide con una entrada que ya existe
en la tabla de estado, éste se permite sin realizar más exámenes. Cuando se cierra
una conexión o se agota el tiempo, la entrada correspondiente se elimina de la tabla
de estado.
Inspección de paquetes con seguimiento de estado
La inspección de paquetes con seguimiento de estado es el proceso de filtrado
de paquetes con seguimiento de estado y los comandos de rastreo en la Capa
de aplicación 7 de la pila de red. Esta combinación ofrece una definición sólida del
estado de conexión del equipo. El acceso a los comandos de nivel de aplicación ofrece
una inspección sin errores y la seguridad de los protocolos FTP, DHCP y DNS.
Nota
Los clientes de Host Intrusion Prevention 6.0 sólo utilizan el cortafuegos estático,
incluso aunque trabajen en un entorno combinado con servidores y clientes de Host
Intrusion Prevention 6.1. Para utilizar el cortafuegos con seguimiento de estado, deberá
actualizar el cliente de la versión 6.0 a la versión 6.1. Para ayudarle con la actualización,
puede convertir reglas estáticas existentes en reglas con seguimiento de estado con
la herramienta de migración de reglas de cortafuegos. Consulte Migración de las reglas
personalizadas de cortafuegos de la versión 6.0 a reglas de la versión 6.1 en la
página 78.
Tabla de estado
Una función de un cortafuegos con seguimiento de estado es una tabla de estado que
almacena de forma dinámica información sobre conexiones activas creadas por reglas
de permiso. Cada entrada de la tabla define una conexión basada en:
„
Protocolo: el modo predefinido en que un servicio se comunica con otro; incluye
los protocolos TCP, UDP e ICMP.
„
Direcciones IP de equipos locales y remotos: cada equipo tiene asignada una
dirección IP exclusiva que consiste en un número de 32 bits expresado como cuatro
octetos en un número decimal con puntos como, por ejemplo, 192.168.1.100.
„
Números de puerto de equipos locales y remotos: un equipo envía y recibe servicios
mediante puertos numerados. Por ejemplo, el servicio HTTP normalmente está
disponible en el puerto 80 y los servicios FTP en el puerto 21. Los números
de puerto van del 0 al 65535.
„
ID de proceso (PID): un identificador exclusivo para el proceso asociado con
un tráfico de conexión.
„
Fecha y hora del evento: la hora del último paquete entrante o saliente asociado con
la conexión.
„
Tiempo de espera: el límite de tiempo (en segundos) definido en la directiva
Opciones del cortafuegos, transcurrido el cual se elimina la entrada de la tabla si no
se recibe ningún paquete que coincida con la conexión. El tiempo de espera para
conexiones TCP se aplica sólo cuando no se ha establecido la conexión.
„
Dirección: la dirección (entrante o saliente) del tráfico que se activa en la entrada.
Una vez establecida una conexión, se permite el tráfico bidireccional incluso
con reglas unidireccionales, siempre que la entrada coincida con los parámetros
de conexión de la tabla de estado.
70
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Funcionalidad de la tabla de estado
Si se modifican los conjuntos de reglas de cortafuegos, se comprueban de nuevo
todas las conexiones activas con el nuevo conjunto de reglas. Si no se encuentra
ninguna regla coincidente, la entrada de conexión se elimina de la tabla de estado.
Si un adaptador obtiene una dirección IP nueva, el cortafuegos reconoce la nueva
configuración IP y descarta todas las entradas de la tabla de estado con una
dirección IP local no válida.
Cuando el proceso finaliza, se eliminan todas las entradas de la tabla de estado
asociadas con el mismo.
„
„
„
Cómo funcionan las reglas de cortafuegos
Lasreglas de cortafuegos determinan la forma de gestionar el tráfico de una red. Cada
regla ofrece un conjunto de condiciones que debe cumplir el tráfico y tiene una acción
asociada a ella: permitir o bloquear el tráfico. Cuando Host Intrusion Prevention encuentra
tráfico que coincide con las condiciones de una regla, realiza la acción asociada.
Host Intrusion Prevention utiliza la prioridad para aplicar reglas: la regla situada
en primera posición en las reglas de cortafuegos se aplica primero.
Nota
Host Intrusion Prevention trata de forma diferente la prioridad para las reglas basadas
en dominio y para las reglas inalámbricas. Si una regla especifica una dirección remota
como nombre de dominio o una conexión inalámbrica 802.11, ésta se aplica en primer
lugar independientemente de su posición en la lista de reglas.
Si el tráfico cumple las condiciones de esta regla, Host Intrusion Prevention lo permite
o lo bloquea. No aplica ninguna otra regla de la lista de reglas.
No obstante, si el tráfico no cumple las condiciones de la primera regla, Host Intrusion
Prevention pasa a la siguiente regla de la lista. Va siguiendo la lista de reglas de
cortafuegos hasta que encuentra una regla que cumpla el tráfico. Si no encuentra
ninguna regla coincidente, bloquea automáticamente el tráfico. Si se ha activado
el modo Aprendizaje, solicita que se realice una acción; si se ha activado el modo
Adaptación, crea una regla de permiso para el tráfico.
A veces, el tráfico interceptado coincide con más de una regla en la lista. En este caso,
la prioridad hace que Host Intrusion Prevention aplique sólo la primera regla coincidente
en la lista.
Ordenación de la lista de reglas de cortafuegos
Al crear o personalizar una directiva de reglas de cortafuegos, coloque las reglas más
específicas al principio de la lista y las reglas más generales al final. Esto garantiza que
Host Intrusion Prevention filtra el tráfico adecuadamente y que no pasa por alto reglas
basadas en excepciones y aplica otras reglas más generales.
Por ejemplo, para bloquear todas las solicitudes HTTP excepto las de la dirección IP
10.10.10.1, debe crear dos reglas:
„
Regla de permiso: Se permite el tráfico HTTP desde la dirección IP 10.10.10.1.
Esta regla es la más específica.
„
Regla de bloqueo: Se bloquea todo el tráfico que utiliza el servicio HTTP. Esta regla
es más general.
Debe colocar la regla de permiso, más específica, en una posición más alta en la lista
de reglas de cortafuegos que la regla de bloqueo, más general. Esto garantiza que
cuando el cortafuegos intercepta una solicitud HTTP proveniente de la dirección
10.10.10.1, la primera regla coincidente que encuentra es la que permite este tráfico
a través del cortafuegos.
Si colocó la regla de bloqueo, más general, en una posición superior a la de la regla
de permiso, más específica, Host Intrusion Prevention encontraría una coincidencia
de la solicitud HTTP de 10.10.10.1 con la regla de bloqueo antes de poder encontrar
la excepción. Bloquearía el tráfico, aunque lo que el usuario deseaba realmente era
permitir las solicitudes HTTP provenientes de esta dirección.
71
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Cómo funciona el filtrado con seguimiento de estado
El filtrado con seguimiento de estado engloba el procesamiento de un paquete frente
a dos conjuntos de reglas, un conjunto de reglas de cortafuegos configurable y un
conjunto de reglas de cortafuegos dinámicas o tabla de estado.
Las reglas configurables tienen dos acciones posibles:
„
„
Permitir: se permite el paquete y se realiza una entrada en la tabla de estado.
Bloquear: se bloquea el paquete y no se realiza una entrada en la tabla de estado.
La tabla de estado anota el resultado de la actividad de la red y refleja el estado de la pila
de red. Cada regla de la tabla de estado sólo tiene una acción: Permitir, por lo que
cualquier paquete que coincida con una regla de la tabla de estado se permite
automáticamente.
El proceso de filtrado incluye estos pasos:
1 El cortafuegos compara un paquete entrante con las entradas de la tabla de estado.
Si el paquete coincide con una entrada de la tabla, éste se permite de forma
inmediata. En caso contrario, se examina la lista de reglas de cortafuegos
configurables.
Nota
Se considera que una entrada de la tabla de estado coincide si el protocolo,
la dirección local, el puerto local, la dirección remota y el puerto remoto son los
mismos que los del paquete.
2 Si el paquete coincide con una regla de permiso, éste se permite y se crea una
entrada en la tabla de estado.
3 Si el paquete coincide con una regla bloqueada, éste se bloquea.
4 Si el paquete no coincide con ninguna regla configurable, éste se bloquea.
Figura 5-2 Proceso de filtrado con seguimiento de estado
72
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Cómo funciona la inspección de paquetes con seguimiento
de estado
La inspección de paquetes con seguimiento de estado combina un filtrado
con seguimiento de estado con un acceso a comandos de nivel de aplicación,
asegurando protocolos como FTP, DHCP y DNS.
FTP engloba dos conexiones: control para los comandos y datos para la información.
Cuando un cliente se conecta a un servidor FTP, se establece el canal de control,
llegando al puerto 21 de destino de FTP, y se crea una entrada en la tabla de estado.
Si el cortafuegos encuentra una conexión abierta en el puerto 21, sabe que debe
realizar una inspección de paquetes con seguimiento de estado de los paquetes que
fluyen por el canal de control de FTP, si se ha definido la opción de inspección de
FTP en la directiva Opciones del cortafuegos.
Con el canal de control abierto, el cliente se comunica con el servidor FTP.
El cortafuegos analiza el comando PORT del paquete enviado a través de la conexión
y crea una segunda entrada en la tabla de estado para permitir la conexión de datos.
Si el servidor FTP está en el modo activo, el servidor abre la conexión de datos;
en el modo pasivo, es el cliente el que inicia la conexión. Cuando el servidor recibe
el primer comando de transferencia de datos (LIST), éste abre la conexión de datos
hacia el cliente y transfiere los datos. Una vez finalizada la transmisión se cierra el canal
de datos.
La combinación de la conexión de control y una o más conexiones de datos
se denomina una sesión y, en ocasiones, las reglas dinámicas de FTP se denominan
reglas de sesión. La sesión sigue establecida hasta que su entrada del canal de control
se elimina de la tabla de estado. Durante la limpieza periódica de la tabla, si se
ha eliminado un canal de control de sesión, posteriormente se eliminan todas
las conexiones de datos.
Rastreo de protocolos con seguimiento de estado
A continuación, se muestra un resumen de los tipos de conexión supervisados por
el cortafuegos con seguimiento de estado y cómo se gestionan.
Protocolo
Descripción de la gestión
UDP
Se agrega una conexión UDP a la tabla de estado cuando se encuentra una regla
estática coincidente y la acción de la regla es Permitir. Las conexiones UDP
genéricas, que transportan protocolos de nivel de aplicación desconocidos
para el cortafuegos, permanecen en la tabla de estado mientras la conexión
no permanezca inactiva durante más tiempo que el especificado en el periodo
de tiempo de espera.
ICMP
Sólo se rastrean solicitudes de eco ICMP y los tipos de mensaje de respuesta de
eco. Las otras conexiones ICMP se gestionan como conexiones UDP genéricas.
Nota: En comparación con el protocolo TCP fiable y orientado a la conexión,
UDP e ICMP son protocolos sin conexión menos fiables. Para asegurar estos
protocolos, el cortafuegos considera las conexiones UDP e ICMP genéricas como
conexiones virtuales, que se mantienen sólo mientras la conexión no está inactiva
durante más tiempo del especificado en el periodo de tiempo de espera de la
conexión. El tiempo de espera para conexiones virtuales se ajusta en la directiva
Opciones del cortafuegos.
73
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Protocolo
Descripción de la gestión
TCP
El protocolo TCP trabaja sobre el “establecimiento de comunicación de 3 vías”.
Cuando un equipo cliente inicia una conexión nueva, éste envía un paquete a su
destino con un bit SYN definido, indicando una nueva conexión. El destinatario
responde enviando al cliente un paquete con un conjunto de bits SYN-ACK. El
cliente responde entonces enviando un paquete con un conjunto de bits ACK
y se establece la conexión con seguimiento de estado. Se permiten todos los
paquetes salientes, pero sólo se permiten los paquetes entrantes que formen
parte de la conexión establecida. Se produce una excepción cuando
el cortafuegos pregunta en primer lugar al protocolo TCP y añade todas
las conexiones preexistentes que coincidan con las reglas estáticas.
Las conexiones preexistentes sin una regla estática coincidente se bloquean.
El tiempo de espera de la conexión TCP, definida en la directiva Opciones
de cortafuegos, sólo se aplica cuando no está establecida la conexión.
Se aplica un segundo o tiempo de espera de TCP forzado sólo para conexiones
TCP establecidas. Este tiempo de espera se controla mediante un ajuste
de registro y tiene un valor predeterminado de una hora. Cada cuatro minutos
el cortafuegos consulta a la pila de TCP y descarta las conexiones que no
informen mediante TCP.
DNS
DHCP
FTP
Se trata de una coincidencia de solicitud/respuesta para asegurar que las
respuestas DNS sólo se permitan para el puerto local que originó la consulta
y sólo desde una dirección IP remota a la que se haya consultado dentro
del intervalo de Tiempo de espera de conexión virtual UDP. Las respuestas
DNS entrantes se permiten si:
„
La conexión de la tabla de estado no ha finalizado.
„
La respuesta viene de la misma dirección IP remota y el mismo puerto
a los que se envió la solicitud.
Existe una coincidencia solicitud/respuesta para asegurar que los paquetes
devueltos sólo estén permitidos por solicitudes legítimas; de esta forma,
las respuestas DHCP están permitidas si:
„
La conexión de la tabla de estado no ha finalizado.
„
El ID de transacción de respuesta coincide con el de la solicitud.
„
El cortafuegos realiza una inspección de paquetes con seguimiento de estado
en conexiones TCP abiertas en el puerto 21. La inspección sólo se realiza
en el canal de control, la primera conexión abierta en este puerto.
„
La inspección FTP sólo se realiza a los paquetes que transporten información
nueva. Los paquetes retransmitidos se ignoran.
„
Se crean reglas dinámicas dependiendo de la dirección (cliente/servidor) y del
modo (activo/pasivo):
– Modo activo de FTP cliente: el cortafuegos crea una regla de entrada
dinámica después de analizar el comando de puerto de entrada, siempre
que el comando de puerto sea compatible con RFC 959. La regla se elimina
cuando el servidor inicia la conexión de datos o cuando la regla finaliza.
– Modo activo de FTP servidor: el cortafuegos crea una regla de salida
dinámica después de analizar el comando de puerto entrante.
– Modo pasivo de FTP cliente: el cortafuegos crea una regla de salida dinámica
cuando lee la respuesta de comando PASV enviada a través del servidor FTP,
siempre que se haya enviado anteriormente el comando PASV desde el FTP
cliente y el comando PASV sea compatible con RFC 959. La regla se elimina
cuando el cliente inicia la conexión de datos o cuando la regla finaliza.
– Modo pasivo de FTP servidor: el cortafuegos crea una regla de entrada
dinámica.
Grupos de reglas de cortafuegos y grupos para conexión
Puede agrupar las reglas para gestionarlas con mayor facilidad. Los grupos de reglas
normales no afectan a la forma en que Host Intrusion Prevention trata las reglas
incluidas en ellos; éstas se siguen procesando de arriba a abajo.
74
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Host Intrusion Prevention también admite un tipo de grupo de reglas que afecta a cómo
se gestionan las reglas. Estos grupos se denominan grupos para conexión. Las reglas
de los grupos para conexión sólo se procesan cuando se cumplen ciertos criterios.
Los grupos para conexión permiten gestionar reglas que sólo se aplican al conectarse
a una red con una conexión por cable, una conexión inalámbrica o una conexión
no específica con parámetros determinados. Asimismo, estos grupos son para
adaptadores de red, de modo que los equipos con varias interfaces de red pueden
tener reglas específicas para el adaptador. Los parámetros para conexiones permitidas
pueden incluir uno o todos los siguientes adaptadores de red:
„
Dirección IP
„
Sufijo DNS
„
Par IP/MAC de puerta de enlace
„
Par IP/MAC de DHCP
„
Servidor DNS consultado para resolver direcciones URL
„
Servidor WINS utilizado
Si se aplican dos grupos para conexión a una conexión, Host Intrusion Prevention
utiliza la prioridad normal y procesa el primer grupo de conexiones aplicables de su
lista de reglas. Si no coincide ninguna regla del primer grupo de conexiones,
el procesamiento de reglas prosigue y puede coincidir con una regla del siguiente
grupo.
Cuando Host Intrusion Prevention encuentra una coincidencia entre los parámetros de
un grupo para conexión y una conexión activa, aplica las reglas incluidas en el grupo
para conexión. Trata las reglas como un pequeño conjunto de reglas y utiliza la prioridad
normal. Si algunas de las reglas no coinciden con el tráfico interceptado, el cortafuegos
las omite.
Una conexión se permite cuando se aplican todas las condiciones siguientes
a un adaptador de red:
„
Si el tipo de conexión es LAN.
o
Si el tipo de conexión es Inalámbrica (802.11).
o
Si el tipo de conexión es Cualquiera y la lista de sufijos DNS o la lista de
direcciones IP es pública.
„
Si está seleccionado Comprobar lista de direcciones IP, la dirección IP del adaptador
debe coincidir con una de las entradas de la lista.
„
Si está seleccionado Comprobar lista de sufijos DNS, el sufijo DNS del adaptador
debe coincidir con una de las entradas de la lista. (La coincidencia de nombre
DNS distingue entre mayúsculas y minúsculas.)
„
Si está seleccionado Comprobar lista de puertas de enlace predeterminadas, el par
IP/MAC de la puerta de enlace predeterminada del adaptador debe coincidir
al menos con una de las entradas de la lista.
„
Si está seleccionado Comprobar lista de servidores DHCP, el par IP/MAC del servidor
DHCP del adaptador debe coincidir al menos con una de las entradas de la lista.
Nota: La dirección MAC es opcional y sólo se utiliza cuando está especificada.
„
Si está seleccionado Comprobar lista de servidores DNS primarios, la dirección IP del
servidor DNS del adaptador debe coincidir con alguna de las entradas de la lista.
75
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
„
Si está seleccionado Comprobar lista de servidores DNS secundarios, la dirección IP del
servidor DNS del adaptador debe coincidir con alguna de las entradas de la lista.
„
Si está seleccionado Comprobar lista de servidores WINS primarios, la dirección IP del
servidor WINS primario del adaptador debe coincidir al menos con una de las
entradas de la lista.
„
Si está seleccionado Comprobar lista de servidores WINS secundarios, la dirección IP
del servidor WINS secundario del adaptador debe coincidir al menos con una de
las entradas de la lista.
Modos Aprendizaje y Adaptación del cortafuegos
Al activar la función de cortafuegos, Host Intrusion Prevention supervisa
continuamente el tráfico de red que un equipo envía y recibe. Permite o bloquea
el tráfico en función de la directiva Reglas de cortafuegos. Si no se encuentra ninguna
coincidencia entre el tráfico y una regla existente, se bloquea automáticamente
a menos que estén activados los modos Aprendizaje o Adaptación del cortafuegos.
Puede activar el modo Aprendizaje para las comunicaciones entrantes, para las
comunicaciones salientes o para ambas.
En el modo Aprendizaje, Host Intrusion Prevention muestra una alerta del modo
Aprendizaje cuando intercepta tráfico de red desconocido. Este cuadro de diálogo
de alerta solicita al usuario que permita o bloquee el tráfico que no coincida con una
regla existente y crea automáticamente reglas dinámicas correspondientes para
el tráfico no coincidente.
En el modo Adaptación, Host Intrusion Prevention crea automáticamente una regla
de permiso para permitir todo el tráfico que no coincida con una regla de bloqueo existente
y crea automáticamente reglas de permiso dinámicas para el tráfico no coincidente.
No obstante, por motivos de seguridad, tanto en el modo Aprendizaje como en el modo
Adaptación, los pings entrantes se bloquean a menos que se cree una regla de permiso
explícita para el tráfico ICMP entrante. Además, el tráfico entrante hacia un puerto que
no esté abierto en el host se bloqueará a menos que se cree una regla de permiso
explícita para el tráfico. Por ejemplo, si el host no ha iniciado el servicio Telnet, el tráfico
TCP entrante hacia el puerto 23 (Telnet) se bloqueará incluso aunque no haya ninguna
regla explícita que bloquee este tráfico. Puede crear una regla de permiso explícita para
el tráfico que desee.
Host Intrusion Prevention muestra todas las reglas creadas en clientes con el modo
Aprendizaje o el modo Adaptación y permite guardar estas reglas y migrarlas a reglas
administrativas.
Filtrado con seguimiento de estado
Si se aplica un modo Aprendizaje o Adaptación con el cortafuegos con seguimiento
de estado, el proceso de filtrado cambia ligeramente para permitir la creación adaptada
de una nueva regla para gestionar el paquete entrante. El proceso de filtrado actúa
del siguiente modo:
1 El cortafuegos compara un paquete entrante con las entradas de la tabla de estado
y no encuentra coincidencias, después examina la lista de reglas estáticas
y no encuentra coincidencias.
2 No se realiza ninguna entrada en la tabla de estado, pero si se trata de un paquete
TCP, se introduce en una lista de elementos pendientes. Si no, el paquete se descarta.
3 Si se permiten nuevas reglas, se crea una regla de permiso estática unidireccional.
Si es un paquete TCP, se realiza una entrada en la tabla de estado.
4 Si no se permite una regla nueva, el paquete se rechaza.
76
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Directivas y reglas de cuarentena
Cuando un cliente vuelve a la red tras una ausencia prolongada, las directivas de
cuarentena restringen su capacidad de comunicarse con la red hasta que ePolicy
Orchestrator comprueba positivamente que el cliente dispone de todos los archivos
DAT, las directivas y las actualizaciones de software más recientes.
Nota
Host Intrusion Prevention impone Reglas de cuarentena para todas las aplicaciones
gestionadas por ePolicy Orchestrator. Si utiliza ePolicy Orchestrator para gestionar
clientes con VirusScan Enterprise, Host Intrusion Prevention pondrá en cuarentena
los clientes en los que no se puedan ejecutar tareas de VirusScan Enterprise; por
ejemplo, si una tarea de actualización no puede entregar los archivos DAT más recientes.
Los archivos y directivas no actualizados pueden crear agujeros de seguridad y hacer
que los sistemas sean vulnerables a ataques. Al poner en cuarentena a los usuarios
hasta que ePolicy Orchestrator los actualice, se evitan riesgos de seguridad
innecesarios. Por ejemplo, las directivas de cuarentena resultan útiles en equipos
portátiles cuyos archivos y directivas pueden quedar obsoletos al encontrarse fuera de
la red corporativa durante varios días.
Al activar la directiva Opciones de cuarentena, participan tanto ePolicy Orchestrator
como Host Intrusion Prevention. ePolicy Orchestrator detecta si un usuario dispone
de toda la información más actualizada necesaria. Host Intrusion Prevention impone
la cuarentena hasta que el cliente dispone de todos los archivos y directivas necesarios.
Nota
Si el usuario se conecta a la red mediante software VPN, asegúrese de que las reglas
de cuarentena permiten el tráfico requerido para conectarse y autenticarse a través
de VPN.
Al configurar la directiva Opciones de cuarentena, se especifica una lista de direcciones
y subredes IP puestas en cuarentena. Host Intrusion Prevention pone en cuarentena
a usuario al que se asigne una de estas direcciones al volver a la red.
Cuando se aplica una directiva Opciones de cuarentena a un cliente, Host Intrusion
Prevention utiliza el agente de ePolicy Orchestrator para determinar si el cliente
dispone de los archivos y directivas más recientes. Esto implica comprobar si
todas las tareas de ePolicy Orchestrator se han ejecutado correctamente.
Si el usuario está actualizado, Host Intrusion Prevention libera inmediatamente
al cliente de la cuarentena.
No obstante, si una o más tareas de ePolicy Orchestrator no se han ejecutado,
el usuario no está actualizado y Host Intrusion Prevention no libera automáticamente
la cuarentena. El cliente podría permanecer en cuarentena durante unos minutos
mientras el agente de ePolicy Orchestrator actualiza las directivas y los archivos.
Host Intrusion Prevention puede hacer continuar o detener la cuarentena según
lo determinado por la configuración de la directiva Opciones de cuarentena.
Si configura Host Intrusion Prevention para continuar imponiendo la cuarentena, los
clientes podrían permanecer en cuarentena durante un período de tiempo prolongado.
Con la directiva de cuarentena, Host Intrusion Prevention impone un conjunto estricto
de reglas de cuarentena del cortafuegos que definen con quién se pueden comunicar
los clientes puestos en cuarentena.
Nota
Para poder utilizar el modo Cuarentena, la función Cortafuegos debe estar activada.
Aunque el modo Cuarentena esté activado, la cuarentena no entra en vigor a menos que
la función de cortafuegos también esté activada.
77
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Resumen
Migración de las reglas personalizadas de cortafuegos de la
versión 6.0 a reglas de la versión 6.1
Utilice la utilidad de migración de reglas de cortafuegos de Host Intrusion Prevention
para migrar las directivas de reglas personalizadas de cortafuegos de la versión 6.0 a las
directivas correspondientes de la versión 6.1. Las directivas migradas aparecen
en Reglas de cortafuegos o Reglas de cuarentena con [Migrado] antes del nombre.
Se asignan automáticamente a los mismos clientes que las directivas
correspondientes de la versión 6.0.
Puede migrar reglas de cortafuegos de la versión 6.0 siguiendo uno de estos métodos:
„
Traducir modifica las reglas con el fin de aprovechar la funcionalidad de cortafuegos
con seguimiento de estado.
„
Copiar copia las reglas sin modificarlas.
Con ambos métodos, las directivas de reglas de cortafuegos migradas se asignan
automáticamente a los mismos clientes que las directivas de la versión 6.0
correspondientes.
Nota
Los clientes de la versión 6.0 sólo reconocen directivas de Reglas de cortafuegos
de la versión 6.0 y de Reglas de cuarentena de la versión 6.0, y los clientes de la versión
6.1 sólo reconocen directivas de Reglas de cortafuegos y de Reglas de cuarentena.
Para migrar reglas:
1 Haga doble clic en el vínculo de la utilidad de migración en la carpeta ePO de McAfee
instalada (C:\Archivos de programa\McAfee\ePO\3.6.x\Herramienta de
migración de reglas de cortafuegos Host IPS).
2 Introduzca un nombre de usuario y la contraseña del Administrador global de ePO
y haga clic en Iniciar sesión.
3 Seleccione el método de migración, Traducir o Copiar, y haga clic en Migrar.
4 Cuando finalice la migración, revise la lista de nuevas directivas en Reglas de
cortafuegos y en Reglas de cuarentena y cambie el nombre o vuelva a asignar según
corresponda.
Directivas preestablecidas de cortafuegos
La función de cortafuegos de Host Intrusion Prevention contiene cuatro categorías
de directivas:
„
Opciones del cortafuegos: activa o desactiva la protección del cortafuegos. Entre las
directivas preestablecidas se incluyen: Desactivado (predeterminada de McAfee), Activado,
Adaptación y Aprendizaje.
„
Reglas de cortafuegos de la versión 6.0 (sólo clientes de la versión 6.0): define
las reglas de cortafuegos. Entre las directivas preestablecidas se incluyen: Mínima
(predeterminada de McAfee), Inicio de aprendizaje, Alta de cliente, Media del cliente, Alta
del servidor y Media del servidor.
„
Reglas de cortafuegos (sólo clientes de la versión 6.1): define las reglas de cortafuegos.
Entre las directivas preestablecidas se incluyen: Mínima (predeterminada de McAfee),
Inicio de aprendizaje, Alta de cliente, Media del cliente, Alta del servidor y Media del servidor.
„
Opciones de cuarentena: activa o desactiva la cuarentena. La directiva preestablecida
es Desactivada (predeterminada de McAfee).
„
Reglas de cuarentena de la versión 6.0 (sólo clientes de la versión 6.0): define las reglas
de cortafuegos que se aplican durante la cuarentena. La directiva preestablecida
es la predeterminada (predeterminada de McAfee).
„
Reglas de cuarentena (sólo clientes de la versión 6.1): define las reglas de cortafuegos
que se aplican durante la cuarentena. La directiva preestablecida es la
predeterminada (predeterminada de McAfee).
78
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Opciones del cortafuegos
Acceso rápido
La función de cortafuegos proporciona vínculos (*) para el acceso rápido
a la supervisión y la gestión de Reglas de cortafuegos y Reglas de cliente del
cortafuegos.
Figura 5-3 Función de cortafuegos
*
Configuración de la directiva Opciones del cortafuegos
La directiva Opciones del cortafuegos permite activar o desactivar el cortafuegos, así
como aplicar el modo Adaptación o Aprendizaje para los clientes. Puede elegir entre
cuatro directivas preconfiguradas o crear y aplicar una directiva nueva.
Para configurar la directiva Opciones del cortafuegos:
1 En el árbol de la consola, seleccione el grupo o el equipo al que desee aplicar
la directiva.
2 En la ficha Directivas, amplíe la función de cortafuegos de Host Intrusion Prevention.
3 En la línea Opciones del cortafuegos, haga clic en Editar.
La lista de nombres de directivas se activa.
4 Lleve a cabo una de las siguientes acciones:
„
Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar:
Seleccione...
Para las siguientes opciones...
Desactivado (predeterminado
de McAfee)
Todas las opciones se desactivan
Activado
„
Activar cortafuegos
„
Activar protección habitual
„
Conservar reglas de cliente
„
Activar cortafuegos
„
Activar el modo Adaptación
„
Conservar reglas de cliente
„
Activar cortafuegos
„
Activar el modo Aprendizaje, Entrante y saliente
„
Conservar reglas de cliente
Adaptación
Aprendizaje
„
Seleccione Nueva directiva.
79
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Opciones del cortafuegos
Aparecerá el cuadro de diálogo Crear nueva directiva.
Nota
Para crear una directiva duplicada al visualizar los detalles de una directiva
preestablecida, haga clic en Duplicar, en la parte inferior del cuadro de diálogo
de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva se va
a asignar inmediatamente al nodo actual.
5 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva
y haga clic en Aceptar.
Aparece el cuadro de diálogo Opciones del cortafuegos.
Figura 5-4 Opciones del cortafuegos
6 Seleccione las opciones adecuadas. Para obtener detalles, haga clic en Ayuda.
7 Haga clic en Aplicar y cierre el cuadro de diálogo.
El nombre de la nueva directiva aparece en la lista de directivas.
8 Haga clic en Aplicar.
80
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Las reglas de cortafuegos determinan qué hace un sistema al interceptar tráfico de red:
permitirlo o bloquearlo. Las reglas de cortafuegos se crean y gestionan aplicando una
directiva Reglas de cortafuegos con las opciones adecuadas.
La directiva Reglas de cortafuegos proporciona acceso a lo siguiente:
„
Creación de nuevas directivas de Reglas de cortafuegos
„
Visualización y edición de reglas de cortafuegos
„
Creación de una nueva regla del cortafuegos o grupo del cortafuegos
„
Eliminación de una regla o grupo del cortafuegos
„
Visualización de reglas de cliente del cortafuegos
Creación de nuevas directivas de Reglas de cortafuegos
Para agregar una nueva directiva que no sea específica de un nodo, cree una directiva
en el Catálogo de directivas. Consulte Catálogo de directivas en la página 119 para obtener
más detalles. Para agregar una nueva directiva específica de un nodo, siga las
instrucciones de esta sección.
Para crear una nueva directiva Reglas de cortafuegos:
1 En el árbol de la consola, seleccione el grupo o el equipo al que desee aplicar
la directiva.
2 En la ficha Directivas, amplíe la función de cortafuegos.
3 En la línea Reglas de cortafuegos, haga clic en Editar.
La lista de nombres de directivas se activa.
4 Lleve a cabo una de las siguientes acciones:
„
Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar.
81
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Seleccione esta
directiva...
Para obtener esta protección...
Mínima
(Predeterminada)
„
Bloquea el tráfico ICMP entrante que un atacante podría
utilizar para recopilar información acerca del equipo. Host
Intrusion Prevention permite el resto de tráfico ICMP.
„
Permite solicitudes para compartir archivos de Windows
provenientes de equipos de la misma subred y bloquea las
solicitudes para compartir archivos provenientes de cualquier
otra ubicación. (La directiva Redes de confianza debe tener
seleccionada la opción Incluir automáticamente la subred
local.)
„
Permite examinar dominios, grupos de trabajo y equipos de
Windows.
„
Permite todo el tráfico alto UDP entrante y saliente.
„
Permite el tráfico que utiliza puertos UDP Net Time, BOOTP
y DNS.
„
Bloquea el tráfico ICMP entrante que un atacante podría
utilizar para recopilar información acerca del equipo. Host
Intrusion Prevention permite el resto de tráfico ICMP.
„
Permite solicitudes para compartir archivos de Windows
provenientes de equipos de la misma subred y bloquea
las solicitudes para compartir archivos provenientes de
cualquier otra ubicación. (La directiva Redes de confianza
debe tener seleccionada la opción Incluir automáticamente
la subred local.)
„
Permite examinar dominios, grupos de trabajo y equipos
de Windows.
„
Permite el tráfico que utiliza puertos UDP Net Time, BOOTP
y DNS.
„
Permite sólo el tráfico ICMP necesario para las redes IP
(incluidos pings salientes, seguimiento de rutas y mensajes
ICMP entrantes). Host Intrusion Prevention bloquea el resto
de tráfico ICMP.
„
Permite el tráfico UDP necesario para obtener acceso
a información de IP (como su propia dirección IP o la hora
de la red). Este nivel de protección permite también el tráfico
en puertos UDP altos (1024 o superiores).
„
Permite compartir archivos de Windows, pero sólo para una
subred local. El usuario no puede examinar ubicaciones
externas a la subred local y esta protección bloquea el acceso
a los archivos del equipo por parte de usuarios ubicados fuera
de la subred. (La directiva Redes de confianza debe tener
seleccionada la opción Incluir automáticamente la subred
local.)
Inicio de aprendizaje
Media del cliente
Alta del cliente
Utilice este nivel de protección si está sufriendo un ataque o si
el riesgo de sufrir un ataque es elevado. Este nivel de protección
permite sólo una entrada y salida mínima de tráfico en el sistema.
„
Permite sólo el tráfico ICMP necesario para que la red
funcione correctamente. Esta protección bloquea los pings
de entrada y salida.
„
Permite sólo el tráfico UDP necesario para obtener acceso
a información de IP (como su propia dirección IP o la hora
de la red).
„
Bloquea la función de compartir archivos de Windows.
82
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Seleccione esta
directiva...
Para obtener esta protección...
Media del servidor
Utilice este nivel de protección para un servidor de red.
Alta del servidor
„
„
Permite el tráfico ICMP que facilita las comunicaciones entre
el servidor y sus clientes. Esta protección bloquea el resto
de tráfico ICMP.
„
Permite el tráfico UDP necesario para obtener acceso
a información de IP. Esta protección permite también
el tráfico en puertos UDP altos (1024 o superiores).
Utilice este nivel de protección para servidores conectados
directamente a Internet, con un elevado riesgo de sufrir ataques.
Utilice este nivel de protección como base para crear su propio
conjunto de reglas personalizadas.
„
Permite el tráfico ICMP específico que facilita las
comunicaciones entre el servidor y sus clientes. Host
Intrusion Prevention bloquea el resto de tráfico ICMP.
„
Permite el tráfico UDP necesario para acceder
a la información de IP. Host Intrusion Prevention bloquea
el resto de tráfico UDP.
Seleccione Nueva directiva para crear una directiva nueva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
Figura 5-5 Cuadro de diálogo Crear nueva directiva
5 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva
y haga clic en Aceptar.
Aparece el cuadro de diálogo Reglas de cortafuegos con la nueva directiva seleccionada
en el panel de la lista de directivas.
Figura 5-6 Ficha Reglas de cortafuegos
83
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
6 Lleve a cabo una de las siguientes acciones:
„
Agregue reglas o grupos (consulte Creación de una nueva regla del cortafuegos
o grupo del cortafuegos en la página 85).
„
Edite reglas (consulte Visualización y edición de reglas de cortafuegos).
„
Elimine reglas (consulte Eliminación de una regla o grupo del cortafuegos en la
página 87).
7 Haga clic en Cerrar.
El nombre de la nueva directiva aparece en la lista de directivas.
8 Haga clic en Aplicar.
Nota
También puede crear una nueva directiva en el cuadro de diálogo Reglas de cortafuegos
haciendo clic en Agregar directiva o Duplicar directiva.
Visualización y edición de reglas de cortafuegos
Puede ver los detalles de una regla o editar una regla para cambiar las opciones.
Las reglas se pueden visualizar y editar en la ficha Reglas de cortafuegos de la directiva
Reglas de cortafuegos.
Para ver y editar una regla del cortafuegos:
1 En la ficha Reglas de cortafuegos, seleccione una directiva en la lista Directivas y,
a continuación, seleccione la regla que desee ver o editar en el panel de detalles.
2 En el menú contextual o en la barra de herramientas, haga clic en Propiedades.
Aparece el cuadro de diálogo Regla de cortafuegos.
3 Cambie cualquiera de las opciones de la regla. Para ver detalles generales, haga clic
en Ayuda.
4 Haga clic en Aceptar para guardar los cambios.
84
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Creación de una nueva regla del cortafuegos o grupo
del cortafuegos
Puede crear una regla nueva partiendo de cero o duplicar una regla existente
y modificarla. También puede crear un grupo para un conjunto de reglas, un grupo para
conexión o agregar reglas predefinidas. Puede crear reglas y grupos nuevos en la ficha
Reglas de cortafuegos de la directiva Reglas de cortafuegos.
Para crear una regla del cortafuegos:
1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic
en Agregar y, a continuación, en Nueva regla.
Aparece el cuadro de diálogo Regla de cortafuegos.
Figura 5-7 Cuadro de diálogo Nueva regla de cortafuegos
2 Seleccione las opciones adecuadas.
3 Haga clic en Aceptar.
Nota
También puede crear reglas agregando reglas predefinidas y grupos de reglas
a la directiva. Haga clic en Agregar y, a continuación, en Reglas predefinidas.
En el cuadro de diálogo Seleccionar reglas predefinidas, seleccione el grupo o las
reglas individuales que desea agregar y haga clic en Aceptar.
85
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Para crear un nuevo grupo de reglas:
1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic
en Agregar y, a continuación, en Nuevo grupo.
Aparece el cuadro de diálogo Grupo de reglas de cortafuegos.
Figura 5-8 Cuadro de diálogo Nuevo grupo de reglas de cortafuegos
2 En el campo Nombre, escriba un nombre para este grupo.
3 Haga clic en Aceptar para agregar el grupo.
Ahora puede crear nuevas reglas dentro de este grupo o incluir las reglas existentes
de la lista de reglas de cortafuegos.
Para crear un grupo para conexión:
1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic
en Agregar y, a continuación, en Nuevo grupo para conexión.
Aparece el cuadro de diálogo Nuevo grupo para conexión.
Figura 5-9 Cuadro de diálogo Nuevo grupo para conexión
2 En el campo Nombre, escriba un nombre para este grupo.
3 En Tipo de conexión, seleccione el tipo de conexión (LAN, Inalámbrica (802.11), Cualquiera)
al que desee aplicar las reglas de este grupo.
86
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
4 Seleccione una casilla de verificación Información de conexión para definir el grupo y,
a continuación, haga clic en la opción Editar lista correspondiente para agregar una
o más direcciones o sufijos DNS.
„
Si selecciona Cualquiera como tipo de conexión, se le pedirá que seleccione
Comprobar lista de direcciones IP o Comprobar lista de sufijos DNS y editar la lista
correspondiente.
„
Especifique una dirección MAC del servidor DHCP sólo para los servidores
DHCP de la misma subred que el cliente. Identifique los servidores DHCP
remotos sólo por su dirección IP.
Nota
5 Haga clic en Aceptar.
Ahora puede crear nuevas reglas dentro de este grupo o incluir las reglas existentes
de la lista de reglas de cortafuegos. Los tres grupos para conexión aparecen en las
reglas de cortafuegos con el mismo icono que el tipo de conexión que aparece entre
paréntesis.
Para obtener más información sobre Grupos para conexión, consulte Grupos de reglas
de cortafuegos y grupos para conexión en la página 74.
Para agregar reglas predefinidas:
1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic
en Agregar y, a continuación, en Reglas predefinidas.
Aparece el cuadro de diálogo Seleccionar reglas predefinidas.
Figura 5-10 Seleccione el cuadro de diálogo Reglas predefinidas
2 Seleccione uno o más grupos o reglas dentro de un grupo.
3 Haga clic en Aceptar para agregar los grupos y las reglas seleccionados.
Eliminación de una regla o grupo del cortafuegos
Puede eliminar reglas y grupos en la ficha Reglas de cortafuegos de la directiva Reglas
de cortafuegos.
87
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Para eliminar una regla o grupo del cortafuegos:
1 Seleccione la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos
y seleccione las reglas o los grupos que desee eliminar.
2 Haga clic en Eliminar.
3 Haga clic en Sí en el cuadro de diálogo de confirmación para eliminar los elementos
de la lista.
Visualización de reglas de cliente del cortafuegos
En la ficha Reglas de cliente del cortafuegos se muestran todas las reglas de cortafuegos
creadas en sistemas cliente. La Vista normal muestra todas las reglas, incluidas las
duplicadas; la Vista agregada muestra las reglas en grupos de características similares
especificadas por el usuario.
Para ver todas las reglas de cliente del cortafuegos:
1 Seleccione la ficha Reglas de cliente del cortafuegos de la directiva Reglas
de cortafuegos y haga clic en la ficha Vista normal.
Figura 5-11 Reglas de cliente del cortafuegos: Vista normal
2 Para modificar la vista, realice una de las acciones siguientes:
Para...
Hacer esto...
Ver los detalles
de una regla
Seleccione la regla y haga clic en Propiedades.
Mover una regla
a una directiva
Seleccione la regla y haga clic en Agregar a directiva.
Desplazarse por
la lista de reglas
Haga clic en los botones de navegación de la barra de
herramientas.
Filtrar la lista
de reglas
Haga clic en Establecer filtro. En el cuadro de diálogo Establecer
filtro de aplicación, seleccione una o más casillas de verificación
e indique un valor en el campo correspondiente para establecer
un filtro.
88
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cortafuegos
Para ver las reglas de cliente del cortafuegos agregadas:
1 Seleccione la ficha Reglas de cliente del cortafuegos de la directiva Reglas de
cortafuegos y haga clic en la ficha Vista agregada.
Haga clic en Seleccionar columna para mostrar el cuadro de diálogo Regla de cortafuegos
agregada si todavía no se muestra.
Figura 5-12 Reglas de cliente del cortafuegos: Vista agregada
2 Active una o más casillas de verificación para determinar los criterios para agregar
las reglas de cliente que se mostrarán y haga clic en Aceptar.
Para ver los detalles de una regla del cortafuegos agregada:
En la ficha Vista agregada, seleccione una regla agregada y haga clic en Mostrar reglas
individuales.
„
Todas las reglas individuales de la regla agregada aparecen en la ficha Vista normal.
89
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Opciones de cuarentena
Configuración de la directiva Opciones de cuarentena
La directiva Opciones de cuarentena permite activar o desactivar el modo
de cuarentena, crear un mensaje de notificación de cuarentena, definir las redes
puestas en cuarentena y configurar las opciones en caso de error.
Para configurar la directiva Opciones de cuarentena:
1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar
la directiva.
2 Amplíe la función de cortafuegos y, en la línea Opciones de cuarentena, haga clic
en Editar.
La lista de nombres de directivas se activa.
3 Seleccione Nueva directiva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
Nota
Para crear una directiva duplicada al visualizar los detalles de una directiva
preestablecida, haga clic en Duplicar, en la parte inferior del cuadro de diálogo
de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva
se va a asignar inmediatamente al nodo actual.
4 Seleccione la directiva que desee duplicar, escriba el nombre de la nueva directiva
y haga clic en Aceptar.
Aparece el cuadro de diálogo Opciones de cuarentena.
Figura 5-13 Opciones de cuarentena
5 Seleccione las opciones adecuadas.
6 Haga clic en Aplicar y cierre el cuadro de diálogo.
El nombre de la nueva directiva aparece en la lista de directivas.
7 Haga clic en Aplicar.
90
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cuarentena
Configuración de la directiva Reglas de cuarentena
La directiva Reglas de cuarentena es un conjunto especial de reglas de cortafuegos que
se impone cuando el modo Cuarentena está activo. Las reglas de cuarentena se crean
y gestionan aplicando una directiva Reglas de cuarentena con las opciones adecuadas.
Si los usuarios se conectan a la red mediante software VPN, asegúrese de que
las reglas de cuarentena permitan el tráfico requerido para conectarse y autenticarse
a través de VPN.
Nota
Puede utilizar la función normal de cortafuegos para determinar las reglas relacionadas
con VPN que necesita para el modo Cuarentena. Active el modo Aprendizaje o el modo
Adaptación y, a continuación, conéctese usando el software VPN. Host Intrusion
Prevention genera automáticamente las reglas VPN relevantes, que puede reproducir
en las reglas de cuarentena.
La directiva Reglas de cuarentena proporciona acceso a lo siguiente:
„
Creación de nuevas directivas de Reglas de cuarentena
„
Visualización y edición de reglas de cuarentena
„
Creación de una nueva regla o grupo de cuarentena
„
Eliminación de una regla o grupo de cuarentena
Creación de nuevas directivas de Reglas de cuarentena
Para agregar una nueva directiva que no sea específica de un nodo, cree una directiva
en el Catálogo de directivas. Consulte Catálogo de directivas en la página 119 para obtener
más detalles. Para agregar una nueva directiva específica de un nodo, siga las
instrucciones de esta sección.
Para crear una nueva directiva Reglas de cuarentena:
1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar
la directiva.
2 Amplíe la función de cortafuegos y, en la línea Reglas de cuarentena, haga clic en Editar.
La lista de nombres de directivas se activa.
3 Lleve a cabo una de las siguientes acciones:
„
Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar.
„
Seleccione Nueva directiva para crear una directiva nueva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
4 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva
y haga clic en Aceptar.
Aparece el cuadro de diálogo Reglas de cuarentena con la nueva directiva seleccionada
en el panel de la lista de directivas.
91
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cuarentena
Figura 5-14 Cuadro de diálogo Reglas de cuarentena
5 Lleve a cabo una de las siguientes acciones:
„
Agregue reglas (consulte Creación de una nueva regla o grupo de cuarentena en
la página 93).
„
Edite reglas (consulte Visualización y edición de reglas de cuarentena).
„
Elimine reglas (consulte Eliminación de una regla o grupo de cuarentena en la
página 93).
6 Haga clic en Cerrar para cerrar el cuadro de diálogo.
El nombre de la nueva directiva aparece en la lista de directivas.
7 Haga clic en Aplicar.
Nota
También puede crear una nueva directiva en el cuadro de diálogo Reglas de cuarentena
haciendo clic en Agregar directiva o Duplicar directiva.
Visualización y edición de reglas de cuarentena
Puede ver los detalles de una regla o editar las opciones de una regla. Las reglas
se pueden visualizar y editar en el cuadro de diálogo Reglas de cuarentena.
Para ver y editar una regla de cuarentena:
1 Seleccione una directiva en la lista Directivas y, en el panel de detalles, seleccione
la regla que desee ver o editar.
2 Haga clic en Propiedades.
Aparece el cuadro de diálogo Regla de cuarentena.
3 Cambie cualquiera de las opciones de la regla.
4 Haga clic en Aceptar para guardar los cambios.
92
5
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de cortafuegos
Configuración de la directiva Reglas de cuarentena
Creación de una nueva regla o grupo de cuarentena
Puede crear una regla nueva, partiendo de cero o duplicar una regla existente
y modificarla. También puede crear un grupo para un conjunto de reglas o agregar
reglas predefinidas. Las reglas y grupos nuevos se crean en el cuadro de diálogo Reglas
de cuarentena.
Para crear una regla de cuarentena:
1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, haga clic
en Agregar y, a continuación, en Nueva regla.
Aparece el cuadro de diálogo Regla de cuarentena del cortafuegos.
2 Seleccione las opciones adecuadas.
3 Haga clic en Aceptar.
Nota
También puede crear reglas agregando reglas predefinidas y grupos de reglas
a la directiva. Haga clic en Agregar y, a continuación, en Reglas predefinidas. En el
cuadro de diálogo Seleccionar reglas predefinidas, seleccione el grupo o las reglas
individuales que desea agregar y haga clic en Aceptar.
Para crear un nuevo grupo de reglas:
1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, haga clic
en Agregar y, a continuación, en Nuevo grupo.
Aparece el cuadro de diálogo Grupo de reglas de cuarentena del cortafuegos.
2 En el campo Nombre, escriba un nombre para este grupo.
3 Haga clic en Aceptar para agregar el grupo.
Ahora puede crear nuevas reglas dentro de este grupo o incluir las reglas existentes
de la lista de reglas de cuarentena del cortafuegos.
Para agregar reglas predefinidas:
1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, haga clic
en Agregar y, a continuación, en Reglas predefinidas.
Aparece el cuadro de diálogo Seleccionar reglas predefinidas.
2 Seleccione uno o más grupos o reglas dentro de un grupo.
3 Haga clic en Aceptar para agregar los grupos y las reglas seleccionados.
Eliminación de una regla o grupo de cuarentena
Las reglas y grupos se eliminan en el cuadro de diálogo Reglas de cuarentena.
Para eliminar una regla o grupo de cuarentena:
1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, seleccione
las reglas o los grupos que desee eliminar.
2 Haga clic en Eliminar.
3 Haga clic en Sí en el cuadro de diálogo de confirmación para eliminar los elementos
de la lista.
93
5
6
Directivas de bloqueo
de aplicaciones
La función de bloqueo de aplicaciones de Host Intrusion Prevention gestiona
un conjunto de aplicaciones que se permite que se ejecuten (conocido como creación
de aplicaciones) o que se enlacen (conocido como enlace de aplicaciones) con otras
aplicaciones.
En esta sección se describe la función de bloqueo de aplicaciones y se incluyen
los temas siguientes:
„
Resumen
„
Configuración de la directiva de opciones de bloqueo de aplicaciones
„
Configuración de la directiva Reglas de bloqueo de aplicaciones
Resumen
La función de bloqueo de aplicaciones activa y desactiva el bloqueo de aplicaciones,
y configura las reglas de bloqueo de aplicaciones. El bloqueo de aplicaciones permite
establecer el bloqueo de creación de aplicaciones, el bloqueo de enlace de aplicaciones
o ambos. También permite indicar si se desean mantener las reglas de bloqueo
de aplicaciones creadas en clientes manualmente o a través de los modos Adaptación
o Aprendizaje.
Creación de aplicaciones
Bloquee la creación de aplicaciones cuando desee evitar que se ejecuten programas
específicos o desconocidos. Por ejemplo, algunos ataques de troyanos pueden
ejecutar aplicaciones dañinas en equipos sin conocimiento del usuario. Si bloquea
la creación de aplicaciones, puede evitar que estos ataques tengan éxito, al permitir
que sólo se ejecuten aplicaciones específicas o inofensivas. Asimismo, puede activar
el modo automático Adaptación o el modo interactivo Aprendizaje para crear de forma
dinámica un conjunto de aplicaciones permitidas.
94
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Resumen
Enlace de aplicaciones
Bloquee el enlace de aplicaciones para impedir que aplicaciones desconocidas
se enlacen con otros programas. Este tipo de enlace, que tiene lugar en el nivel del
núcleo del API es necesario para algunas aplicaciones inofensivas, pero también puede
ser indicación de un ataque. Por ejemplo, una aplicación dañina podría intentar enviar
copias de sí misma por correo electrónico por el procedimiento de enlazarse
a la aplicación de correo electrónico. Para impedir estos ataques, puede bloquear
el enlace de aplicaciones o configurarlo para que sólo aplicaciones específicas se
enlacen con otros programas. También puede activar el modo automático Adaptación
o el modo interactivo Aprendizaje para gestionar las aplicaciones desconocidas que
intentan enlazarse con otras aplicaciones.
Directivas preestablecidas de bloqueo de aplicaciones
La función de bloqueo de aplicaciones contiene dos categorías de directivas:
„
Opciones de bloqueo de aplicaciones: activa o desactiva el bloqueo de creación y enlace
de aplicaciones. Entre las directivas preestablecidas se incluyen: Desactivado
(predeterminada de McAfee), Activado, Adaptación y Aprendizaje.
„
Reglas de bloqueo de aplicaciones: define las opciones del bloqueo de aplicaciones.
La directiva preestablecida es la predeterminada (predeterminada de McAfee).
Acceso rápido
La función de bloqueo de aplicaciones proporciona vínculos (*) para el acceso rápido
a la supervisión y la gestión de Reglas de bloqueo de aplicaciones y Reglas de cliente
de bloqueo de aplicaciones.
Figura 6-1 Función de bloqueo de aplicaciones
*
95
6
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Configuración de la directiva de opciones de bloqueo de aplicaciones
Configuración de la directiva de opciones de bloqueo
de aplicaciones
La directiva de opciones de bloqueo de aplicaciones tiene cuatro directivas
preconfiguradas desde las que elegir. Como alternativa, puede crear una directiva
nueva y aplicarla.
Para aplicar una directiva de opciones de bloqueo de aplicaciones, haga
lo siguiente:
1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar
la directiva.
2 Amplíe la función de bloqueo de aplicaciones y, en la línea Opciones de bloqueo de
aplicaciones, haga clic en Editar.
La lista de nombres de directivas se activa.
3 Lleve a cabo una de las siguientes acciones:
„
Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar:
Seleccione esta
directiva...
Para las siguientes opciones...
Desactivado
(predeterminado
de McAfee)
Todas las opciones se desactivan.
Activado
„
Bloqueo de creación de aplicaciones, protección habitual
„
Bloqueo de enlace de aplicaciones, protección habitual
„
Bloqueo de creación de aplicaciones, modo Adaptación
„
Bloqueo de enlace de aplicaciones, modo Adaptación
„
Bloqueo de creación de aplicaciones, modo Aprendizaje
„
Bloqueo de enlace de aplicaciones, modo Aprendizaje
Adaptación
Aprendizaje
„
Seleccione Nueva directiva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
Nota
Para crear una directiva duplicada al visualizar los detalles de una directiva
preestablecida, haga clic en Duplicar en la parte inferior del cuadro de diálogo
de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva
se va a asignar inmediatamente al nodo actual.
4 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva
y haga clic en Aceptar.
Aparecerá el cuadro de diálogo Opciones de bloqueo de aplicaciones.
96
6
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Configuración de la directiva de opciones de bloqueo de aplicaciones
Figura 6-2 Opciones de bloqueo de aplicaciones
5 Seleccione las opciones adecuadas.
6 Haga clic en Aplicar y cierre el cuadro de diálogo.
El nombre de la nueva directiva aparece en la lista de directivas.
7 Haga clic en Aplicar.
97
6
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Configuración de la directiva Reglas de bloqueo de aplicaciones
Configuración de la directiva Reglas de bloqueo
de aplicaciones
Las reglas determinan cómo la función de bloqueo de aplicaciones trata a las distintas
aplicaciones. Las reglas se crean y gestionan aplicando una directiva Reglas de bloqueo
de aplicaciones con la configuración correspondiente.
La directiva Reglas de bloqueo de aplicaciones proporciona acceso para:
„
Creación de nuevas directivas de reglas de aplicaciones
„
Visualización y edición de reglas de bloqueo de aplicaciones
„
Creación de nuevas reglas de bloqueo de aplicaciones
„
Eliminación de una regla de bloqueo de aplicaciones
„
Visualización de las reglas de aplicación del cliente
Creación de nuevas directivas de reglas de aplicaciones
Para agregar una nueva directiva que no sea específica de un nodo, cree una directiva
en el Catálogo de directivas. Consulte Ficha Directivas en la página 117 para obtener
más detalles. Para agregar una nueva directiva específica de un nodo, siga las
instrucciones de esta sección.
Para crear una directiva de Reglas de bloqueo de aplicaciones:
1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar la
directiva.
2 Amplíe la función de bloqueo de aplicaciones y, en la línea Reglas de bloqueo de
aplicaciones, haga clic en Editar.
La lista de nombres de directivas se activa.
3 Seleccione Nueva directiva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
Figura 6-3 Cuadro de diálogo Crear nueva directiva
4 Seleccione la directiva que desee duplicar, escriba el nombre de la nueva directiva
y haga clic en Aceptar.
El cuadro de diálogo Reglas de bloqueo de aplicaciones aparecerá con la nueva directiva
seleccionada en el panel de la lista de directivas.
98
6
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Configuración de la directiva Reglas de bloqueo de aplicaciones
Figura 6-4 Cuadro de diálogo Reglas de bloqueo de aplicaciones
5 Lleve a cabo una de las siguientes acciones:
„
Agregue reglas (consulte Creación de nuevas reglas de bloqueo de aplicaciones
en la página 100).
„
Edite reglas (consulte Visualización y edición de reglas de bloqueo de
aplicaciones).
„
Elimine reglas (consulte Eliminación de una regla de bloqueo de aplicaciones en
la página 101).
6 Haga clic en Cerrar para cerrar el cuadro de diálogo.
El nombre de la nueva directiva aparece en la lista de directivas.
7 Haga clic en Aplicar.
Nota
Asimismo, puede crear una nueva directiva desde dentro del cuadro de diálogo Reglas
del bloqueo de aplicaciones utilizando los botones Agregar directiva o Duplicar directiva.
Visualización y edición de reglas de bloqueo de aplicaciones
Puede ver los detalles de una regla o editar una regla para desactivarla, personalizarla
y cambiar las opciones de la aplicación. Las reglas se ven y editan en la ficha Reglas
de bloqueo de aplicaciones de la directiva Reglas de bloqueo de aplicaciones.
Para visualizar y editar una regla de bloqueo de aplicaciones:
1 En la ficha Reglas de bloqueo de aplicaciones, seleccione una directiva en la lista
Directivas y, a continuación, seleccione la regla que desee ver o editar en el panel
de detalles.
2 Haga clic en Propiedades.
Aparecerá el cuadro de diálogo Regla de aplicación.
3 Cambie cualquiera de las opciones de la regla. Consulte en Creación de nuevas
reglas de bloqueo de aplicaciones en la página 100 los detalles de cada opción.
4 Haga clic en Aceptar para guardar los cambios.
99
6
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Configuración de la directiva Reglas de bloqueo de aplicaciones
Creación de nuevas reglas de bloqueo de aplicaciones
Puede crear una regla nueva, partiendo de cero o duplicar una regla existente
y modificarla. Las reglas nuevas se crean en la ficha Reglas de aplicaciones en el cuadro
de diálogo Reglas de bloqueo de aplicaciones.
Para crear una nueva regla de bloqueo de aplicaciones:
1 En la ficha Reglas de bloqueo de aplicaciones de la directiva Reglas de bloqueo
de aplicaciones, haga clic en Agregar.
Nota
También puede crear una nueva regla, seleccionando una regla existente, haciendo
clic en Duplicar, editando la regla y guardándola.
Aparecerá el cuadro de diálogo Regla de aplicación.
Figura 6-5 Cuadro de diálogo Regla de aplicaciones
2 En la lista Aplicaciones, seleccione la aplicación a la que aplicar esta regla.
Si la aplicación no aparece en esta lista, haga clic en Examinar y navegue hasta
el archivo ejecutable de la aplicación.
3 Haga clic en Personalizar para configurar las opciones de coincidencia de la aplicación
de la regla y seleccione una de las opciones siguientes:
Huella digital de la aplicación: calcula el hash de la aplicación en el servidor
„
que coincidirá sólo si la aplicación del cliente tiene la misma versión que
la aplicación a la que se hace referencia en el servidor:
„
La ruta de acceso en la primera coincidencia y después la huella digital: cuando
la aplicación se inicia por primera vez, se averiguará si coincide con la ruta
especificada por el usuario. Si coincide, se calculará la huella digital en el cliente.
Desde ese punto en adelante, la regla sólo buscará coincidencias en función
de la huella digital de la aplicación.
„
La ruta de acceso siempre y no utilizar la huella digital: cuando la aplicación se inicie, sólo
se averiguará si coincide con la ruta especificada por el usuario.
„
Nota
Hacer clic en Examinar permite navegar hasta las aplicaciones en el servidor
ePO. En la mayor parte de los casos, será necesario hacer clic en Personalizar
y seleccionar las opciones adecuadas para garantizar el uso de la aplicación
correcta en el sistema cliente.
4 Seleccione las Opciones de la aplicación:
Seleccione esta opción...
Para...
La regla de la aplicación está activa
Activa esta regla.
Se permite crear la aplicación
Permitir que la aplicación se ejecute.
La aplicación puede enlazar con
otras aplicaciones
Permitir que la aplicación se enlace con otras
aplicaciones.
5 Haga clic en Aceptar para agregar la nueva regla a la lista Reglas de aplicaciones.
100
6
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Configuración de la directiva Reglas de bloqueo de aplicaciones
Eliminación de una regla de bloqueo de aplicaciones
Elimine las reglas en la ficha Reglas de bloqueo de aplicaciones de la directiva Reglas
de bloqueo de aplicaciones.
Para eliminar una regla de bloqueo de aplicaciones:
1 En la ficha Reglas de bloqueo de aplicaciones de la directiva Reglas de bloqueo
de aplicaciones, seleccione una o más reglas para eliminarlas.
2 Haga clic en Eliminar.
3 Haga clic en Sí en el cuadro de diálogo de confirmación para eliminar las reglas
de la lista.
Sugerencia
Cuando se elimina una regla, se elimina permanentemente. Se recomienda editar
la regla y cancelar la selección de Activa para desactivar la regla.
Visualización de las reglas de aplicación del cliente
La ficha Reglas cliente de bloqueo de aplicaciones muestra todas las reglas creadas en los
sistemas clientes que permiten o bloquean aplicaciones. La Vista normal muestra todas
las reglas, incluidas las duplicadas. La Vista agregada muestra las reglas en grupos
de características similares.
Para ver todas las reglas de aplicación del cliente:
1 Haga clic en la ficha Reglas de cliente de bloqueo de aplicaciones de la directiva Reglas
de bloqueo de aplicaciones y haga clic en la ficha Vista normal.
Figura 6-6 Ficha Vista normal
101
6
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas de bloqueo de aplicaciones
Configuración de la directiva Reglas de bloqueo de aplicaciones
2 Para modificar la vista, realice una de las acciones siguientes:
Para...
Hacer esto...
Ver los detalles
de una regla
Seleccione la regla y haga clic en Propiedades.
Mover una regla
a una directiva
Seleccione la regla y haga clic en Agregar a directiva.
Desplazarse por
la lista de reglas
Haga clic en los botones de navegación de la barra de
herramientas.
Filtrar la lista
de reglas
Haga clic en Establecer filtro. En el cuadro de diálogo Establecer
filtro de aplicación, seleccione una o más casillas de verificación
e indique un valor en el campo correspondiente para establecer
un filtro.
Para ver las reglas agregadas de aplicación del cliente:
1 Haga clic en la ficha Reglas de cliente de bloqueo de aplicaciones de la directiva Reglas
de bloqueo de aplicaciones y haga clic en la ficha Vista agregada.
2 Haga clic en Seleccionar columna para mostrar el cuadro de diálogo Regla de aplicación
agregada, si todavía no se ha mostrado.
Figura 6-7 Ficha Vista agregada
3 Seleccione una o más opciones para determinar los criterios para agregar las reglas
de cliente y haga clic en Aceptar.
Para ver los detalles de una regla agregada de aplicación del cliente:
„ En la ficha Vista agregada, seleccione una regla agregada y haga clic en Mostrar reglas
individuales, en el menú contextual o en la barra de herramientas.
Todas las reglas individuales de la regla agregada aparecen en la ficha Vista normal.
:
102
6
7
Directivas generales
La función General de Host Intrusion Prevention proporciona acceso a directivas que
son de naturaleza general y no específicas de una función.
En esta sección se describe la función General y se incluyen los temas siguientes:
„
Resumen
„
Configuración de Imponer directivas
„
Configuración de la directiva IU de cliente
„
Configuración de la directiva Redes de confianza
„
Configuración de la directiva Aplicaciones de confianza
Resumen
Las directivas generales se aplican a la configuración de IPS y del cortafuegos, y tienen
prioridad sobre la configuración de las directivas individuales de IPS y del cortafuegos.
La directiva Imponer directivas es el conmutador básico de activación/desactivación para
hacer cumplir las directivas administrativas de Host Intrusion Prevention en el cliente.
La directiva IU de cliente determina qué opciones están disponibles para un equipo
cliente con un cliente de Host Intrusion Prevention, inclusive si el icono del cliente
aparece o no en la bandeja del sistema, los tipos de alertas de intrusos y las
contraseñas para permitir el acceso a la interfaz del cliente.
La directiva Redes de confianza indica las subredes y direcciones IP con las que existen
comunicaciones seguras. Las redes de confianza pueden incluir subredes, direcciones
IP individuales o intervalos de direcciones IP. Marcar las redes como “de confianza”
elimina o reduce la necesidad de excepciones IP y de reglas de cortafuegos
adicionales.
La directiva Reglas de aplicaciones de confianza enumera las aplicaciones que son seguras,
que no tienen vulnerabilidades conocidas y a las que se permite realizar cualquier
operación. Marcar las aplicaciones como “de confianza” elimina o reduce la necesidad
de excepciones IP y de reglas adicionales de cortafuegos y de bloqueo de aplicaciones.
Al igual que la directiva Reglas IPS (consulte Configuración de la directiva Reglas IPS en
la página 41), esta categoría de directivas puede contener varias instancias de directiva.
103
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Resumen
La configuración de las directivas Redes de confianza y Aplicaciones de confianza puede
reducir o eliminar falsos positivos y, por tanto, ayudar a ajustar un despliegue.
Figura 7-1 función General
Directivas generales preestablecidas
La función General contiene cuatro categorías de directivas:
„
Imponer directivas: activa y desactiva la imposición de directivas administrativas. Entre
las directivas preestablecidas se incluyen: Sí (predeterminada de McAfee) y No.
„
IU de cliente: define el acceso a la interfaz de usuario del cliente de Host Intrusion
Prevention. La directiva preestablecida es la predeterminada (predeterminada
de McAfee).
„
Redes de confianza: establece redes de confianza. La directiva preestablecida
es la predeterminada (predeterminada de McAfee).
„
Aplicaciones de confianza: define aplicaciones de confianza. La directiva preestablecida
es la predeterminada (predeterminada de McAfee).
104
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de Imponer directivas
Configuración de Imponer directivas
Esta directiva es el conmutador básico de activación/desactivación para hacer cumplir
las directivas. Esta directiva no se puede eliminar ni editar y no se pueden crear nuevas
directivas.
Para modificar el ajuste de la directiva:
1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar
la directiva.
2 Amplíe la función General y, en la línea Imponer directivas, haga clic en Editar.
La lista de nombres de directivas se activa.
3 Seleccione Sí o No.
La opción predeterminada Sí permite imponer directivas administrativas
a los clientes; No impide que se impongan directivas administrativas.
Nota
Al seleccionar No, no se desactiva el cliente y su protección de su host;
simplemente, se evita que las actualizaciones de las directivas se impongan
al cliente.
Figura 7-2 Imponer directivas
4 Haga clic en Aplicar.
Configuración de la directiva IU de cliente
La directiva IU de cliente determina qué opciones están disponibles para un
equipo cliente Windows protegido con Host Intrusion Prevention. Estas incluyen
la configuración de visualización de iconos, las reacciones en caso de intrusos
y el acceso del administrador y del usuario de cliente. Las opciones de esta directiva
permiten satisfacer las necesidades de tres funciones típicas de usuario:
Usuario normal
Se trata del usuario medio que tiene el cliente Host Intrusion Prevention instalado
en un equipo de sobremesa o en un portátil. La directiva IU de cliente permite a este
usuario hacer lo siguiente:
„
Visualizar el icono del cliente Host Intrusion Prevention en la bandeja del sistema
y ejecutar la interfaz de usuario del cliente.
„
Obtener alertas emergentes de intrusos o desactivarlas después de que empiecen
a aparecer.
„
Crear reglas adicionales de IPS, cortafuegos y bloqueo de aplicaciones.
105
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva IU de cliente
Usuario desconectado
Se trata de un usuario, probablemente con un portátil, que pasa períodos de tiempo
desconectado del servidor Host Intrusion Prevention. El usuario podría tener
problemas técnicos con Host Intrusion Prevention o podría necesitar realizar
operaciones sin interacción con él. La directiva IU de cliente permite a este usuario
obtener una contraseña específica para su equipo, basada en tiempos, para realizar
tareas administrativas o activar o desactivar las funciones de protección.
Usuario administrador
Se trata del administrador TI de todos los equipos, que tiene que realizar operaciones
especiales en equipos cliente ignorando las posibles directivas impuestas por
los administradores. La directiva IU de cliente permite a este tipo de usuario obtener
una contraseña de administrador sin fecha de caducidad para realizar tareas
administrativas.
Entre las tareas administrativas para los usuarios desconectados y administradores
se incluyen las siguientes:
„
Activar o desactivar directivas de IPS, de cortafuegos y de opciones de bloqueo
de aplicaciones.
„
Crear reglas adicionales de IPS, de cortafuegos y de bloqueo de aplicaciones,
si determinadas actividades inofensivas están bloqueadas.
Las modificaciones en las directivas administrativas realizadas desde al consola
de ePolicy Orchestrator se impondrán sólo después de que haya caducado
la contraseña. Las reglas de cliente creadas durante este período de tiempo
se conservan, si las permiten las reglas administrativas.
Nota
Creación y aplicación de una directiva IU de cliente
Si la directiva predeterminada IU de cliente no tiene la configuración deseada, cree
una nueva directiva y seleccione las opciones correspondientes. A continuación puede
aplicar la directiva a un equipo o a un grupo de equipos.
Para configurar una directiva IU de cliente:
1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar
la nueva directiva.
2 Amplíe la función General y, en la línea IU de cliente, haga clic en Editar.
La lista de nombres de directivas se activa.
3 Seleccione Nueva directiva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
Nota
Para crear una directiva duplicada al visualizar los detalles de una directiva
preestablecida, haga clic en Duplicar, en la parte inferior del cuadro de diálogo
de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva se
va a asignar inmediatamente al nodo actual.
4 Seleccione la directiva que desee duplicar, escriba el nombre de la nueva directiva
y haga clic en Aceptar.
Aparecerá el cuadro de diálogo IU de cliente.
106
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva IU de cliente
Figura 7-3 IU de cliente: ficha Opciones de visualización
5 Cambie cualquiera de estas opciones según sea necesario. Para ver detalles
generales, haga clic en Ayuda. Si desea conocer detalles acerca de las contraseñas,
consulte Definición de contraseñas; para obtener más información sobre el icono de
la bandeja, consulte Control del icono de la bandeja en la página 109.
6 Haga clic en Aceptar para guardar los cambios.
Para ver más detalles acerca de cómo trabajar con la interfaz de cliente, consulte
Cliente de Host Intrusion Prevention en la página 132.
Definición de contraseñas
La directiva IU de cliente es donde se crea la contraseña necesaria para desbloquear
el IU del cliente, si aparece en un equipo cliente. Cuando esta directiva se aplica
al cliente, la contraseña se activa.
Existen dos tipos de contraseñas:
„
Una contraseña de administrador, que un administrador puede configurar y que es
válida mientras que la directiva se aplique al cliente. La IU de cliente permanece
desbloqueada hasta que se cierra. Para reabrir la IU de cliente, vuelva a introducir
la contraseña del administrador. Para crear y aplicar una contraseña de administrador,
seleccione cualquier sitio, grupo o equipo en el árbol de directorio.
„
Una contraseña basada en tiempos, la cual es generada automáticamente, se aplica
sólo a un determinado equipo y tiene fecha y hora de caducidad. La IU de cliente
sigue desbloqueada, incluso si se cierra, siempre que una contraseña basada
en tiempos sea válida. Para crear y aplicar una contraseña basada en tiempos,
seleccione un único equipo en el árbol de directorio.
107
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva IU de cliente
Nota
Las directivas se aplican en el cliente sólo cuando el cliente se cierra,
independientemente de si el cliente está bloqueado o desbloqueado.
Para obtener detalles acerca de cómo utilizar una contraseña para desbloquear la IU
de cliente, consulte Desbloqueo de la interfaz del cliente en la página 134.
Para crear una contraseña del administrador:
1 Haga clic en la ficha Opciones avanzadas de la directiva IU de cliente.
Figura 7-4 IU de cliente: ficha Opciones avanzadas
2 Escriba una contraseña en el cuadro de texto Contraseña. Debe constar al menos
de diez caracteres.
3 Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña.
4 Haga clic en Aplicar.
Nota
Cuando utilice la contraseña del administrador en el cliente, active siempre la casilla
Contraseña de administración.
108
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva IU de cliente
Para crear una contraseña basada en tiempos:
1 Haga clic en la ficha Opciones avanzadas del cuadro de diálogo de la directiva IU
de cliente y, a continuación, haga clic en Calcular una contraseña basada en tiempos.
Aparecerá el cuadro de diálogo Contraseña basada en tiempos.
Figura 7-5 Cuadro de diálogo Contraseña basada en tiempos
2 Introduzca la fecha y la hora en que expira la contraseña y haga clic en Calcular
contraseña.
Aparecerá una contraseña codificada en el cuadro de texto Contraseña.
Control del icono de la bandeja
Si hay usuarios que en ocasiones necesiten desactivar temporalmente una función
de Host Intrusion Prevention para acceder a un sitio de red o a una aplicación legítima
pero bloqueada, por ejemplo, pueden utilizar el icono de la bandeja de Host Intrusion
Prevention para desactivar una función sin abrir la IU de cliente, lo que requiere una
contraseña.
Para obtener más detalles sobre el uso del menú del icono de la bandeja, consulte
Icono de la bandeja del sistema en la página 133.
Para proporcionar el control de icono de la bandeja de la IU de Windows:
1 Seleccione Mostrar icono de la bandeja en la ficha Opciones de visualización.
2 Seleccione Permitir la desactivación de las funciones desde el icono de la bandeja en la ficha
Opciones avanzadas y, a continuación, seleccione que se desactive una o todas
las funciones.
Después de aplicar la directiva al cliente, aparece el icono de Host Intrusion
Prevention en la bandeja del sistema y su menú se expande para incluir
la desactivación de la función y la restauración de las opciones. La función
desactivada permanece así hasta que la restaura el comando del menú o hasta
que una nueva directiva (con la característica activada) se introduzca al cliente.
Tenga en cuenta lo siguiente:
Nota
„
La desactivación de IPS desactiva la protección IPS de host y de red.
„
La desactivación de Bloqueo de aplicaciones desactiva la protección de Bloqueo
de creación de aplicaciones y del Bloqueo de enlace de aplicaciones.
„
Si la IU de cliente está abierta, los comandos del menú no surten efecto.
109
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva Redes de confianza
Configuración de la directiva Redes de confianza
La directiva Redes de confianza permite mantener una lista de direcciones
de red y subredes que se pueden marcar como de confianza. La directiva permite
realizar las acciones siguientes:
„
Configurar opciones de redes de confianza.
„
Agregar o eliminar direcciones o subredes en la lista de confianza.
Si una red de confianza considera como de confianza a una dirección IP para IPS
de red determinada y otra red de confianza no considera como de confianza a la misma
dirección IP para IPS de red, como reglas del cortafuegos, tiene prioridad la entrada
que aparece primero en la lista.
Nota
Para configurar las opciones de las redes de confianza:
1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar
la directiva.
2 Amplíe la función General y, en la línea Redes de confianza, haga clic en Editar.
La lista de nombres de directivas se activa.
3 Seleccione Nueva directiva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
Nota
Para crear una directiva duplicada al visualizar los detalles de una directiva
preestablecida, haga clic en Duplicar, en la parte inferior del cuadro de diálogo
de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva
se va a asignar inmediatamente al nodo actual.
4 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva
y haga clic en Aceptar.
Aparecerá el cuadro de diálogo Redes de confianza.
Figura 7-6 Redes de confianza
110
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva Redes de confianza
5 Lleve a cabo una de las siguientes acciones:
Seleccione...
Para hacer esto...
Agregar
Agregar a la lista una dirección de red de confianza.
Seleccione el tipo de dirección (individual, intervalo, subred)
introduzca la dirección correspondiente y seleccione si se ha
de marcar como de confianza para IPS de red.
Editar
Modificar los datos en una dirección de red de confianza.
Eliminar
Eliminar una dirección de red de confianza.
Incluir automáticamente
la subred local
Tratar automáticamente a todos los usuarios de la misma
subred como usuarios de confianza, incluso a los que no
estén en la lista.
No incluir automáticamente
la subred local
Tratar como usuarios de confianza sólo a los que estén
en la lista, aunque estén todos en la misma subred
de confianza.
6 Haga clic en Aplicar y cierre el cuadro de diálogo.
El nombre de la nueva directiva aparece en la lista de directivas.
7 Haga clic en Aplicar.
111
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva Aplicaciones de confianza
Configuración de la directiva Aplicaciones de confianza
La directiva Aplicaciones de confianza permite crear una lista de aplicaciones
de confianza. Imponga una o más directivas basadas en perfiles con esta configuración
de aplicaciones para reducir o eliminar la mayoría de falsos positivos.
Creación y aplicación de directivas Aplicaciones de confianza
Cree y aplique una directiva Aplicaciones de confianza que defina las aplicaciones
de confianza. Puede crear una directiva completamente nueva o una basada
en una directiva existente.
Para crear una nueva directiva:
1 Amplíe la función General y, en la línea Reglas de aplicación, haga clic en Editar.
La lista de nombres de directivas se activa.
2 Seleccione Nueva directiva.
Aparecerá el cuadro de diálogo Crear nueva directiva.
3 Seleccione la directiva que desee duplicar, escriba el nombre de la nueva directiva
y haga clic en Aceptar.
Aparecerá la ficha Aplicación de confianza.
Figura 7-7 Ficha Aplicaciones de confianza
4 Cambie cualquiera de estas opciones según sea necesario. Para ver detalles
generales, haga clic en Ayuda.
5 Haga clic en Cerrar para guardar los cambios.
112
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva Aplicaciones de confianza
Creación de aplicaciones de confianza
Al ajustar un despliegue, la creación de reglas de excepción IPS es una manera
de reducir los falsos positivos. No siempre resulta práctico al tratar con varios miles
de clientes o cuando se dispone de tiempo y recursos limitados. Una mejor solución
consiste en crear una lista de aplicaciones de confianza, aplicaciones conocidas por ser
seguras en un determinado entorno. Por ejemplo, cuando se ejecuta una aplicación
de copia de seguridad, se pueden desencadenar muchos eventos de falsos positivos.
Para evitar esto, marque la aplicación de copia de seguridad como aplicación
de confianza.
Una aplicación de confianza es susceptible de determinadas vulnerabilidades comunes,
como desbordamiento del búfer y uso ilegal. Por tanto, una aplicación de confianza sigue
siendo controlada y puede desencadenar eventos para evitar ataques de explotación.
Nota
Para crear una aplicación de confianza:
1 Lleve a cabo una de las siguientes acciones en la ficha Aplicación de confianza:
„
En el menú contextual o en la barra de herramientas, haga clic en Crear.
Aparecerá el cuadro de diálogo Nueva aplicación de confianza.
„
Seleccione una aplicación de la lista y, en la barra de herramientas o en
el menú contextual, haga clic en Duplicar. Aparecerá un cuadro de diálogo
precumplimentado, Duplicar aplicación de confianza.
Nota
También puede crear aplicaciones de confianzas basadas en un evento. Para obtener
más detalles, consulte Creación de excepciones y aplicaciones de confianza basadas
en eventos en la página 61.
2 En la ficha General, introduzca el nombre, el estado y si la aplicación es de confianza
para IPS, cortafuegos y enlace de aplicaciones. Para ver detalles generales, haga clic
en Ayuda.
.
Figura 7-8 Cuadro de diálogo Nueva aplicación de confianza: ficha General
3 En la ficha Procesos, seleccione el proceso al que desee aplicar la aplicación de
confianza. Para ver detalles generales, haga clic en Ayuda.
113
7
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Directivas generales
Configuración de la directiva Aplicaciones de confianza
.
Figura 7-9 Cuadro de diálogo Nueva aplicación de confianza: ficha Procesos
4 Haga clic en Aceptar.
Edición de aplicaciones de confianza
Puede visualizar y editar las propiedades de una aplicación de confianza existente.
Para editar las propiedades de una aplicación de confianza:
1 En la ficha Aplicación de confianza, haga doble clic en una aplicación de confianza.
Aparecerá el cuadro de diálogo Propiedades de la aplicación de confianza.
2 Modifique cualquiera de los datos de las fichas General y Proceso y, a continuación,
haga clic en Aceptar.
Activación y desactivación de aplicaciones de confianza
En vez de eliminar las aplicaciones de confianza que no estén en uso, puede
desactivarlas temporalmente y activarlas más tarde.
Para desactivar/activar una aplicación de confianza:
1 En la ficha Aplicación de confianza, seleccione la aplicación de confianza que desee
desactivar o activar.
2 Haga clic en Desactivar o Activar en la barra de herramientas o en el menú de acceso
directo.
El estado de la aplicación de la ficha Aplicaciones de confianza cambia en consecuencia.
Eliminación de aplicaciones de confianza
Para eliminar de forma permanente una aplicación de confianza, selecciónela en la ficha
Aplicaciones de confianza y, a continuación, haga clic en Eliminar en la barra de
herramientas o en el menú de acceso directo.
114
7
8
Mantenimiento
En esta sección se describen las actividades utilizadas para mantener y afinar
un despliegue de Host Intrusion Prevention y se incluyen los siguientes temas:
„
Afinar un despliegue.
„
Mantenimiento y tareas de directivas.
„
Ejecución de tareas del servidor.
„
Configuración de notificaciones para eventos.
„
Ejecución de informes.
„
Actualización.
Afinar un despliegue
Una vez desplegados los clientes con la configuración predeterminada, puede afinar
y reforzar la seguridad para obtener una protección óptima. Afinar un despliegue
implica lo siguiente:
„
Análisis de eventos IPS.
„
Creación de reglas de excepción y reglas de aplicaciones de confianza.
„
Trabajo con reglas de excepción de cliente.
„
Creación y aplicación de nuevas directivas.
Análisis de eventos IPS
Un evento IPS se activa cuando se detecta una infracción de seguridad definida por
una firma. Aparece en la ficha Eventos IPS con un nivel de gravedad Alto, Medio, Bajo
o Información, que corresponde a una reacción.
Nota
Cuando una única operación desencadena dos eventos, se considera el evento con
la reacción más fuerte.
115
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Afinar un despliegue
En la lista de eventos generados, determine los que indican que no existe riesgo y los
que indican comportamientos sospechosos. Para permitir eventos, configure el
sistema con las siguientes opciones:
„
Excepciones: reglas de permiso o de bloqueo que anulan una regla de firma.
„
Aplicaciones de confianza: permite las aplicaciones internas cuyas operaciones pueden
ser bloqueadas por una firma.
El proceso de afinación ayuda a mantener al mínimo los falsos positivos, lo que
proporciona más tiempo para el análisis de los eventos graves. Si desea obtener
más detalles, consulte Eventos IPS en la página 56.
Creación de reglas de excepción y reglas de aplicaciones
de confianza
Tras analizar la lista de eventos IPS, puede crear reglas de excepción o reglas
de aplicaciones de confianza para cada evento de falso positivo por perfil de usuario.
Esto mantiene la lista de eventos al mínimo, permite una mejor comprensión
de los tipos de ataques dañinos y garantiza que los sistemas estén protegidos
contra estos ataques.
Desde la ficha Eventos IPS puede crear una excepción o una aplicación de confianza
basada en un evento concreto. Para obtener más detalles, consulte Creación de
excepciones y aplicaciones de confianza basadas en eventos en la página 61.
Trabajo con reglas de excepción de cliente
Un enfoque sencillo para crear excepciones consiste en colocar clientes en modo
Adaptación y permitir a los clientes crear automáticamente reglas de excepción
de cliente para permitir comportamientos inofensivos. Todas las reglas de cliente
aparecen en la ficha Reglas de cliente de la directiva Reglas IPS. Las directivas Reglas del
cortafuegos y Reglas de bloqueo de aplicaciones también muestran las reglas de cliente
creadas a través de los modos Adaptación o Aprendizaje.
Para obtener las reglas generadas con más frecuencia, utilice la vista agregada de
las reglas de cliente, que agrupan las reglas similares. Las reglas se pueden mover
a continuación a directivas administrativas.
Para obtener detalles acerca de cómo trabajar con reglas de cliente, consulte:
„
Reglas de cliente IPS en la página 63.
„
Configuración de la directiva Reglas de cortafuegos en la página 81.
„
Configuración de la directiva Reglas de bloqueo de aplicaciones en la página 98.
Creación y aplicación de nuevas directivas
Después de crear nuevas reglas de excepción y aplicaciones de confianza, agréguelas
a las directivas existentes donde sea oportuno. También puede crear nuevas directivas
IPS y Aplicación de confianza basadas en una que requiera la creación de excepciones
y aplicaciones de confianza.
Para obtener detalles acerca de cómo crear y aplicar nuevas directivas, consulte:
„
Configuración de la directiva Reglas IPS en la página 41.
„
Configuración de la directiva Reglas de cortafuegos en la página 81.
„
Configuración de la directiva Reglas de bloqueo de aplicaciones en la página 98.
116
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Mantenimiento y tareas de directivas
Mantenimiento y tareas de directivas
ePolicy Orchestrator proporciona dos ubicaciones en el árbol de consola para
ver y gestionar las directivas y tareas de Host Intrusion Prevention:
„
Ficha Directivas de un nodo seleccionado en el árbol de la consola.
„
Página Catálogo de directivas.
Ficha Directivas
Utilice la ficha Directivas para visualizar, modificar o crear la información de directiva
relativa a un nodo seleccionado. Para obtener más detalles, consulte:
„
Directivas de IPS en la página 33.
„
Directivas de cortafuegos en la página 68.
„
Directivas de bloqueo de aplicaciones en la página 94.
„
Directivas generales en la página 103.
Herencia y asignación de directivas
La ficha Directivas permite bloquear o desbloquear la herencia de directivas,
ver y restablecer las herencias rotas y copiar asignaciones de directivas de un nodo
a otro.
Para bloquear la asignación de una directiva personalizada:
1 En el árbol de la consola, seleccione un grupo o equipo y haga clic en la ficha
Directivas.
2 Amplíe una función de Host Intrusion Prevention para mostrar las directivas
asignadas al nodo.
3 Haga clic en Editar en una directiva personalizada.
4 Seleccione Bloquear y, a continuación, haga clic en Aplicar.
Sólo los administradores pueden bloquear una directiva con nombre.
Nota
Para visualizar y restablecer la herencia rota bajo un determinado nodo:
1 En el árbol de la consola, seleccione un grupo o equipo y haga clic en la ficha
Directivas.
2 Amplíe una función de Host Intrusion Prevention para mostrar las directivas
asignadas al nodo.
Figura 8-1 Herencia de directivas
117
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Mantenimiento y tareas de directivas
Bajo Heredado por está el número de nodos en los que la herencia de esta directiva
está rota.
Nota
Este número es el número de nodos en los que la directiva está rota, no el número
de sistemas que no heredan la directiva. Por ejemplo, si un nodo de grupo en concreto
no hereda la directiva, ello se representa mediante 1 no hereda, independientemente
del número de sistemas que haya dentro del grupo.
3 Haga clic en el texto azul que indica el número de nodos secundarios que
no heredan.
La página Ver herencia rota aparece con una lista de nombres de nodos.
Figura 8-2 Página Ver herencia rota
4 Para restablecer la herencia de cualquiera de estos nodos, seleccione la casilla
que hay junto al nombre del nodo y, a continuación, haga clic en Restablecer herencia.
Para copiar y pegar las asignaciones de directivas de un nodo:
1 En el árbol de la consola, seleccione un grupo o equipo del que desee copiar
asignaciones de directivas y haga clic en la ficha Directivas.
2 Haga clic en Copiar asignaciones de directivas.
3 Seleccione las funciones cuyas asignaciones de directivas desee copiar y haga clic
en Aceptar.
4 En el árbol de la consola, seleccione un grupo o equipo y haga clic en Pegar
asignaciones de directivas.
5 Haga clic en Aceptar para confirmar la sustitución de las asignaciones.
118
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Mantenimiento y tareas de directivas
Catálogo de directivas
Utilice el nodo Catálogo de directivas del árbol de la consola para ver, crear y editar
directivas, sin hacer referencia a un determinado nodo.
Visualización de la información de las directivas
El Catálogo de directivas permite visualizar todas las directivas de Host Intrusion
Prevention, sus asignaciones y sus propietarios.
Para ver todas las directivas que se han creado:
1 En el árbol de la consola, seleccione Catálogo de directivas.
2 Amplíe Host Intrusion Prevention para exponer las categorías de directivas.
Figura 8-3 Catálogo de directivas de Host Intrusion Prevention
3 Amplíe una categoría de directivas para exponer las directivas de la categoría.
Figura 8-4 Directivas de la categoría Reglas IPS
Para visualizar los nodos donde se asigna una directiva:
1 En la página Catálogo de directivas, amplíe Host Intrusion Prevention y, a continuación,
amplíe una categoría de directivas.
2 Bajo Asignaciones, en la fila de la directiva nombrada deseada, haga clic en el texto
en azul que indica el número de nodos a los que se asigna la directiva (por ejemplo,
1 asignaciones).
En la página Ver asignaciones, cada nodo al que se asigna la directiva aparece con
el Nombre del nodo y el Tipo del nodo. Esta lista muestra sólo los puntos de asignación,
no los nodos en los que se hereda la directiva.
119
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Mantenimiento y tareas de directivas
Figura 8-5 Ver asignaciones de una directiva
3 Haga clic en el nombre del nodo para ver la página Asignar directivas para ese nodo.
Para ver la configuración y el propietario de una directiva:
1 En la página Catálogo de directivas, amplíe Host Intrusion Prevention y, a continuación,
amplíe una categoría de directivas.
El propietario de la directiva nombrada aparece bajo Propietario.
2 Haga clic en el nombre de la directiva para ver su configuración.
Para ver las asignaciones en las que la comprobación de la directiva está
desactivada:
1 En la página Catálogo de directivas, haga clic en el texto azul que hay junto
a Comprobación, que indica el número de asignaciones donde se desactiva
la comprobación.
Aparecerá la página Ver las asignaciones en las que la comprobación de la directiva está
desactivada.
2 Haga clic en cualquier nodo de la lista para abrir la página Asignar directivas de
ese nodo.
Edición de la información de la directiva
Desde la página Catálogo de directivas puede crear nuevas directivas con nombre, que no
se asignan de forma predeterminada a ningún nodo en particular.
120
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Mantenimiento y tareas de directivas
Para editar una directiva:
1 En la página Catálogo de directivas, amplíe Host Intrusion Prevention y, a continuación,
amplíe una categoría de directivas.
2 Lleve a cabo una de las siguientes acciones:
Para...
Hacer esto...
Crear una directiva
Haga clic en Definir directiva nueva, déle un nombre y edite
las opciones.
Cambiar el nombre de una
directiva
Haga clic en Cambiar el nombre y cambie el nombre
de la directiva. (No está disponible para la directiva
predeterminada).
Duplicar una directiva
Haga clic en Duplicar, cambie el nombre de la directiva
y edite la configuración.
Eliminar una directiva
Haga clic en Eliminar. (No está disponible para la directiva
predeterminada).
Nota: Cuando se elimina una directiva, todos los nodos
a los que está actualmente aplicada heredan la directiva
de esta categoría desde sus nodos principales. Antes
de eliminar una directiva, examine todos los nodos a los
que está asignada y asigne una directiva distinta si no
desea que la directiva se herede desde el nodo principal.
Si elimina una directiva que está aplicada en el nivel
del Directorio, se aplica la directiva predeterminada
de esta categoría.
Asignar un propietario a la
directiva
Haga clic en el propietario de la directiva y seleccione otro
propietario de una lista. (No está disponible para la directiva
predeterminada).
Exportar una directiva
Haga clic en Exportar y, a continuación, de un nombre
a la directiva y guarde la directiva (archivo XML) en
la ubicación deseada.
Exportar todas las directivas
Haga clic en Exportar todas las directivas y, a continuación,
dé un nombre a la directiva y guarde el archivo XML
correspondiente en la ubicación deseada.
Importar directivas
Haga clic en Importar directiva, en la parte superior
de la página Catálogo de directivas, seleccione el archivo
XML de la directiva y, a continuación, haga clic en Aceptar.
Para obtener detalles de cualquiera de estas funciones, consulte la Guía
del producto de ePolicy Orchestrator o la ayuda en línea.
121
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Ejecución de tareas del servidor
Ejecución de tareas del servidor
Host Intrusion Prevention proporciona tareas del servidor para gestionar y mantener
el nivel de seguridad de los clientes. Entre estas, se incluyen:
„
Actualización de las listas del dominio de usuarios (Puerta de enlace de directorio)
„
Archivado y eliminación de eventos de la base de datos (Archivador de eventos)
„
Traducción de las propiedades del cliente para facilitar la gestión (Traductor de
propiedades)
Si desea más información acerca de cómo ejecutar las tareas del servidor, consulte
la ayuda en línea o la Guía del Producto de ePolicy Orchestrator.
Puerta de enlace de directorio
La tarea de servidor Puerta de enlace de directorio actualiza la lista de dominios donde
se ejecuta un cliente. Esta lista actualizada es necesaria durante la creación de reglas
de excepción IPS, debido a que las reglas de excepción sólo se comprueban
en los dominios que aparecen en la base de datos. Con el tiempo, los dominios
se agregan o eliminan, por lo que la lista tiene que actualizarse periódicamente para
garantizar una adecuada aplicación de las excepciones.
Para esta tarea, seleccione en la lista que aparezca el dominio donde se va a ejecutar
la actualización e introduzca las credenciales solicitadas de usuario y contraseña para
el dominio. Los servidores de directorios correspondientes se consultarán en busca
de actualizaciones en los dominios. Esta tarea se puede planificar a intervalos diarios
o semanales, según el tamaño del entorno; los despliegues de mayor tamaño
necesitan actualizaciones más frecuentes.
Archivador de eventos
La tarea de servidor Archivador de eventos archiva los eventos procedentes de la base
de datos para que el rendimiento de ésta sea óptimo. Con el tiempo, Host Intrusion
Prevention genera miles de eventos, lo que aumenta considerablemente el tamaño
de la base de datos. Archive y elimine periódicamente los eventos más antiguos para
controlar el tamaño de la base de datos y garantizar el funcionamiento correcto
de la aplicación.
Para esta tarea, introduzca la ruta a la ubicación del directorio del archivo
de almacenamiento y la antigüedad mínima en días de los eventos que se archivarán.
Un archivo XML comprimido, con el nombre de la fecha actual, se crea en la ubicación
indicada, y los eventos se eliminan de al base de datos.
Traductor de propiedades
La tarea de servidor Traductor de propiedades traduce los datos de Host Intrusion
Prevention almacenados en la base de datos de ePolicy Orchestrator para gestionar
la clasificación, agrupación y filtrado de datos de Host Intrusion Prevention. Esta tarea,
que se ejecuta automáticamente cada 15 minutos, no se debe editar, aunque se puede
desactivar si es necesario.
Nota
Para cambiar a una frecuencia distinta de 15 minutos, desactive la tarea original y cree
una tarea del servidor con otra frecuencia.
122
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Configuración de notificaciones para eventos
Configuración de notificaciones para eventos
La función Notificaciones puede alertar de cualquier evento que tenga lugar
en los clientes de Host Intrusion Prevention o en el propio servidor. Puede configurar
reglas para enviar mensajes de correo electrónico, SMS, localizadores o capturas
SNMP, o ejecutar comandos externos cuando se reciban y procesen determinados
eventos en el servidor de ePolicy Orchestrator. Puede especificar las categorías
de eventos que generan un mensaje de notificación y la frecuencia con que se envían
las notificaciones. Para obtener detalles completos, consulte la ayuda en línea o la Guía
del producto de ePolicy Orchestrator.
Cómo funcionan las notificaciones
Cuando se producen eventos en el entorno de Host Intrusion Prevention, se envían
al servidor de ePolicy Orchestrator. Las reglas de notificación están asociadas con
el grupo o el sitio que contiene los sistemas afectados y se aplican a los eventos.
Si se cumplen las condiciones de una regla, se envía un mensaje de notificación
o se ejecuta un comando externo, según se especifique en la regla.
Puede configurar reglas independientes en los distintos niveles del directorio.
También puede configurar cuándo se envían los mensajes de notificación mediante
la configuración de umbrales basados en agregación y dosificación.
ePolicy Orchestrator proporciona reglas predeterminadas que se pueden activar para
su uso inmediato. Antes de activar ninguna de las reglas predeterminadas:
1 Especifique el servidor de correo desde el que se envían los mensajes
de notificación.
2 Verifique que la dirección de correo electrónico del destinatario es en la que desea
recibir los mensajes de correo electrónico.
Creación de reglas
Puede crear reglas para diversas categorías de eventos. Entre estas, se incluyen:
„
„
Violación de la regla de
Protección de acceso detectada
y bloqueada
Violación de la regla de
Protección de acceso detectada
y NO bloqueada
„
Equipo puesto en modo
cuarentena
„
Contenido de correo electrónico
filtrado o bloqueado
„
Intruso detectado
„
Equipo incompatible detectado
„
Operación normal
„
Error al comprobar la directiva
„
Error al actualizar o replicar el repositorio
„
Error en el despliegue del software
„
Software desplegado con éxito
„
Error o fallo del software
„
Categoría desconocida
„
Error al actualizar/ampliar
„
Actualización/ampliación con éxito
Básicamente, todas las reglas se crean de la misma manera:
1 Descripción de la regla
2 Definición de filtros para la regla
3 Definición de umbrales para la regla
4 Creación del mensaje que se va a enviar y del tipo de entrega
123
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Configuración de notificaciones para eventos
Notificaciones de Host Intrusion Prevention
Host Intrusion Prevention admite las siguientes categorías de notificaciones
específicas de los productos:
„
Intrusos de host detectados y gestionados
„
Intrusos de red detectados y gestionados
„
Aplicación bloqueada
„
Equipo puesto en modo cuarentena
Las notificaciones sólo se pueden configurar para todas o para ninguna de las firmas
IPS del host (o de red). Entercept 5.x admitía notificaciones basadas en conjuntos de ID
de firmas y en niveles de gravedad individuales. Host Intrusion Prevention admite
la especificación de un único ID de firma IPS en el campo Nombre de amenaza o Nombre
de regla en la configuración de reglas de notificación. Mediante la asignación interna
del atributo ID de firma de un evento al nombre de la amenaza se crea una regla que
identifica exclusivamente una firma IPS.
Entre las asignaciones específicas de parámetros de Host Intrusion Prevention
permitidas en el asunto o el cuerpo de un mensaje se incluyen:
Parámetros
Valores de eventos
IPS de host y de red
Valores de eventos
de aplicaciones
bloqueadas
Valores
de eventos
de cuarentena
Nombres de amenazas
recibidas
ID de firma
ninguno
ninguno
Equipos de origen
Dirección IP remota
nombre del equipo
nombre del equipo
Objetos afectados
Nombre de proceso
Nombre de la
aplicación
Dirección IP del
equipo
Marca horaria del
evento
Hora de incidencia
Hora de incidencia
Hora de incidencia
ID de evento
Asignación de ePO
del ID de evento
Asignación de ePO del
ID de evento
Asignación de ePO
del ID de evento
Información adicional
Nombre de firma
localizada (desde el
equipo cliente)
Ruta completa de la
aplicación
ninguno
124
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Ejecución de informes
Ejecución de informes
Software Host Intrusion Prevention incluye una funcionalidad para la elaboración
de informes a través de ePolicy Orchestrator. Puede producir varios informes
y consultas útiles a partir de eventos y propiedades que el cliente envía al servidor
y se almacenan en la base de datos.
Software Host Intrusion Prevention incluye plantillas predefinidas de informes
y consultas que se almacenan en el repositorio de informes y en el repositorio
de consultas bajo Informes, en el árbol de la consola. Para obtener más información,
consulte la Guía de generación de informes de ePolicy Orchestrator 3.6.
Para ver los informes, debe iniciar una sesión en la base de datos con credenciales
de ePO. No se admiten credenciales de autenticación de NT.
Nota
Puede generar informes y consultas para un grupo de sistemas cliente seleccionados
o limitar los resultados de los informes por producto o por criterios del sistema. Puede
exportar informes a distintos formatos de archivo, inclusive HTML y Microsoft Excel.
Puede:
„
Definir un filtro de directorio para recopilar sólo información seleccionada. Elejir
el segmento del directorio que desea incluir en el informe.
„
Definir un filtro de datos, utilizando operadores lógicos, para definir filtros precisos
en los datos devueltos por el informe.
„
Generar informes gráficos a partir de la información de la base de datos y filtrar
los informes según sea necesario. Puede imprimir los informes y exportarlos a otro
software.
„
Lleve a cabo consultas de equipos, eventos e instalaciones.
Informes predefinidos
Los clientes Host Intrusion Prevention de los sistemas clientes envían al servidor
información que se almacena en una base de datos de informes. Los informes
y las consultas se ejecutan contra estos datos almacenados.
Existen ocho informes predefinidos de Host Intrusion Prevention dentro de dos
categorías principales: informes IPS e informes del cortafuegos. También puede crear
informes propios utilizando Crystal Reports 8.5.
Repositorio de informes
El repositorio de informes contiene las consultas y los informes predefinidos de Host
Intrusion Prevention, así como cualquier informe y consulta que cree.
Puede organizar y mantener el repositorio de informes de acuerdo con sus
necesidades. Puede agregar informes que exportase como plantillas de informes,
por ejemplo, para guardar selecciones personalizadas realizadas al generar un informe
o para agregar plantillas de informes personalizados. Asimismo, puede organizar
plantillas de informes en grupos lógicos. Por ejemplo, puede agrupar informes que
ejecute cada día, cada semana y cada mes, bajo grupos de informes con el mismo
nombre.
125
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Ejecución de informes
Información de resumen y detalles
Una vez generado un informe, se ve la información de resumen, tal y como esté
determinado por el filtro, si lo hubiera, que se haya definido. Desde la información
de resumen se puede descender uno o dos niveles para obtener información detallada,
todo en el mismo informe.
Control del contenido del informe
Puede controlar cuánta información del informe será visible para los distintos usuarios;
por ejemplo, para los administradores globales o para los administradores de sitio.
Los administradores de sitio y los revisores de sitio sólo pueden informar sobre
los sistemas clientes de aquellos sitios para los que tengan permisos. La información
incluida en los informes también se controla mediante la aplicación de filtros.
Informes de Host Intrusion Prevention
Entre las plantillas de informes de Host Intrusion Prevention se incluyen las siguientes:
Informes IPS
Informes del cortafuegos
„
Resumen de eventos IPS por firma
„
Resumen de aplicaciones bloqueadas
„
Resumen de eventos IPS por destino
„
Primeras 10 aplicaciones bloqueadas
„
Resumen de intrusos de red por IP de
origen
„
Actualizaciones de cuarentena con error
„
Primeros 10 nodos atacados para IPS
„
Primeras 10 firmas desencadenadas
Resumen de eventos IPS por firma
Utilice este informe para ver los eventos IPS por firma. Incluye los siguientes detalles:
Vista inicial
Desglose de nivel 1
Desglose de nivel 2
„
Nombre de firma >
„
Nombre de firma
„
Usuario de SO
„
Recuento de
eventos
„
Proceso >
„
Reacción
„
Recuento
„
Nombre del nodo
„
IP de origen
„
Hora de incidencia:
„
Hora de registro
„
Nivel de gravedad
„
Descripción del evento
„
Detalles avanzados
Filtros en la firma, la hora de registro, el nivel de gravedad, el usuario de SO, la reacción,
el proceso y la IP de origen.
126
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Ejecución de informes
Resumen de eventos IPS por destino
Utilice este informe para ver los eventos IPS por host. Incluye los siguientes detalles:
Vista inicial
Desglose de nivel 1
Desglose de nivel 2
„
Nombre del host >
„
Nombre del host
„
Usuario de SO
„
Recuento de eventos
„
Firma >
„
Reacción
„
Recuento
„
Proceso
„
IP de origen
„
Hora de incidencia
„
Hora de registro
„
Nivel de gravedad
„
Descripción del evento
„
Detalles avanzados
Filtros en la firma, la hora de registro, el nivel de gravedad, el usuario de SO, la reacción,
el proceso y la IP de origen.
Resumen de intrusos de red por IP de origen
Utilice este informe para ver eventos de intruso en red por IP de origen. Incluye
los siguientes detalles:
Vista inicial
Desglose de nivel 1
Desglose de nivel 2
„
IP de origen >
„
IP de origen
„
Usuario de SO
„
Recuento de
eventos
„
Nombre de firma >
„
Reacción
„
Recuento
„
Proceso
„
Nombre del nodo
„
IP de origen
„
Hora de incidencia
„
Hora de registro
„
Nivel de gravedad
„
Descripción del evento
„
Detalles avanzados
Filtros en IP de origen, firma, usuario de SO, reacción, hora de grabación, nivel
de gravedad y nombre del host.
127
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Ejecución de informes
Primeros 10 nodos atacados para IPS
Utilice este informe para ver un gráfico de barras de los 10 principales nodos en los
que se generan eventos IPS. Incluye los siguientes detalles:
Vista inicial
Desglose de nivel 1
Desglose de nivel 2
„
Nombre del host >
„
Nombre del host
„
Usuario de SO
„
Recuento de eventos
„
Firma >
„
Reacción
„
Recuento
„
Proceso
„
IP de origen
„
Hora de incidencia
„
Hora de registro
„
Nivel de gravedad
„
Descripción del evento
„
Detalles avanzados
Filtros en la plataforma y tipo de firma.
Primeras 10 firmas desencadenadas
Utilice este informe para ver un gráfico de barras de las 10 principales firmas IPS
desencadenadas. Incluye los siguientes detalles:
Vista inicial
Desglose de nivel 1
Desglose de nivel 2
„
Nombre de firma >
„
Nombre de firma
„
Usuario de SO
„
Recuento de
eventos
„
Proceso >
„
Reacción
„
Recuento
„
Nombre del nodo
„
IP de origen
„
Hora de incidencia
„
Hora de registro
„
Nivel de gravedad
„
Descripción del evento
„
Detalles avanzados
Filtros en la plataforma y tipo de firma.
Resumen de aplicaciones bloqueadas
Utilice este informe para ver un resumen de los eventos de aplicaciones bloqueadas,
por aplicación. Incluye los siguientes detalles:
Vista inicial
„
„
Descripción de la
aplicación >
Recuento de
eventos
Desglose
„
Nombre del host
„
IP del host
„
Hora del evento
„
Nombre del
proceso
„
Ruta de la aplicación
„
Versión de la
aplicación
„
Hash de la
aplicación
Filtros en la descripción de la aplicación y en la hora del evento.
128
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Ejecución de informes
Primeras 10 aplicaciones bloqueadas
Utilice este informe para ver un gráfico de barras de las 10 aplicaciones más
bloqueadas. Incluye los siguientes detalles:
Vista inicial
„
Descripción de la
aplicación >
„
Recuento de
eventos
Desglose
„
Nombre del host
„
IP del host
„
Hora del evento
„
Nombre del
proceso
„
Ruta de la aplicación
„
Versión de la
aplicación
„
Hash de la
aplicación
Filtros en la descripción de la aplicación, en el nombre del host y en la hora del evento.
Actualizaciones de cuarentena con error
Utilice este informe para ver actualizaciones de cuarentena con error por host. Incluye
los siguientes detalles:
Vista inicial
Desglose
„
Nombre del host >
„
Nombre del host
„
Recuento de
eventos
„
IP del host
„
Hora del evento
Filtros en el nombre del host de la aplicación, en la IP del host y en la hora del evento.
129
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Actualización
Actualización
La base de datos de ePO incluye datos con contenido de seguridad de Host Intrusion
Prevention, como firmas, que se muestran en las directivas de Host Intrusion
Prevention. Host Intrusion Prevention admite varias versiones de contenido y código
de los clientes; el contenido más reciente disponible aparece en la consola de ePO.
El contenido nuevo siempre se admite en las versiones subsiguientes, por lo que
las actualizaciones de contenido incluyen principalmente información nueva
o modificaciones menores de la información existente.
Las actualizaciones se gestionan mediante un paquete de actualización de contenido.
Este paquete incluye información de la versión del contenido y secuencias
de comandos de actualización. Tras su incorporación, la versión del paquete
se compara con la versión de la información de contenido más reciente de la base
de datos. Si el paquete es más reciente, las secuencias de comandos del paquete
se extraen y se ejecutan. A continuación, esta nueva información del contenido se pasa
a los clientes en la siguiente comunicación entre el servidor y el agente.
Nota
Las actualizaciones de contenido de Host Intrusion Prevention deben incorporarse
al repositorio de ePO para su distribución entre los clientes. Los clientes de Host
Intrusion Prevention deben obtener las actualizaciones únicamente mediante
comunicaciones con el servidor ePO, no directamente a través de los protocolos
FTP o HTTP.
El proceso básico incluye la incorporación del paquete de actualización al repositorio
de ePO y, a continuación, el envío de la información actualizada a los clientes.
Incorporación del paquete de actualización
Puede crear una tarea del servidor ePO que incorpore automáticamente los paquetes
de actualización de contenido al repositorio de ePO o descargar un paquete
de actualización e incorporarlo manualmente.
Para agregar paquetes de actualización automáticamente:
1 Seleccione el nombre del servidor ePO en el árbol de la consola de ePO y,
a continuación, haga clic en la ficha Tareas planificadas.
2 Haga clic en Crear tarea.
3 En el panel Configurar tarea nueva, escriba un nombre para la tarea, por ejemplo,
Actualizaciones de contenido HIP.
4 En la lista Tipo de tarea, seleccione Extracción al repositorio.
5 En la lista Planificar tipo, seleccione una frecuencia.
6 Haga clic en Siguiente.
7 Seleccione el repositorio de origen (McAfeeHttp o McAfeeFtp) y cualquier otra opción
disponible.
8 Haga clic en Finalizar.
Esta tarea descarga el paquete de actualización de contenido directamente desde
McAfee con la frecuencia indicada y lo agrega al repositorio, lo que actualiza la base
de datos con el nuevo contenido de Host Intrusion Prevention.
130
8
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Mantenimiento
Actualización
Para agregar paquetes de actualización manualmente:
1 Seleccione el repositorio en el árbol de la consola de ePO y haga clic en Incorporar
paquete.
2 Haga clic en Siguiente y, a continuación, seleccione Productos o actualizaciones.
3 Haga clic en Siguiente y, a continuación, introduzca la ruta completa del archivo
PkgCatalog.z.
4 Haga clic en Siguiente y, a continuación, haga clic en Finalizar.
Actualización de clientes
Una vez incorporado el paquete de actualización al repositorio, puede enviar
las actualizaciones al cliente ejecutando una tarea de actualización o enviando
una llamada de reactivación de agente. Un cliente también puede solicitar
actualizaciones.
Para ejecutar una tarea de actualización:
1 En el árbol de la consola de ePO, seleccione el equipo, el grupo o el sitio al que
desee enviar actualizaciones de contenido y seleccione la ficha Tareas.
2 Seleccione Planificar tarea en el menú contextual.
3 Escriba el nombre de la tarea, seleccione Actualización de agente de ePolicy Orchestrator
y haga clic en Aceptar.
4 Haga clic con el botón derecho en la tarea y seleccione Editar tarea.
5 En el cuadro de diálogo ePolicy Orchestrator Scheduler, haga clic en Configuración.
6 En el cuadro de diálogo que aparece, seleccione Contenido HIP y haga clic en Aceptar.
(Esta opción está disponible sólo si se ha incorporado un paquete de contenido
al repositorio.)
7 En el cuadro de diálogo ePolicy Orchestrator Scheduler, haga clic en la ficha Planificar
y defina la tarea para que se ejecute inmediatamente.
8 En la ficha Tarea, cancele la selección de Heredar y seleccione Activar.
9 Haga clic en Aplicar y, a continuación, haga clic en Aceptar.
Para enviar una llamada de reactivación de agente:
1 En el árbol de la consola de ePO, haga clic con el botón derecho en el sitio, el grupo
o el equipo al que desee enviar actualizaciones de contenido y seleccione Llamada de
reactivación del agente.
2 Establezca el proceso aleatorio en 0 minutos y haga clic en Aceptar.
Las actualizaciones de contenido se envían y se aplican al cliente.
Para que un cliente solicite una actualización:
(Válido sólo si en la bandeja del sistema aparece un icono de agente de ePO.)
„
Haga clic con el botón derecho en el icono de ePO de la bandeja del sistema
y seleccione Actualizar ahora.
Aparecerá el cuadro de diálogo Progreso de AutoUpdate de McAfee. Las actualizaciones
de contenido se extraen y se aplican en el cliente.
131
8
9
Cliente de Host Intrusion
Prevention
El cliente de Host Intrusion Prevention puede instalarse en plataformas Windows,
Solaris y Linux. Sólo la versión Windows del cliente tiene interfaz, aunque las demás
versiones tienen la funcionalidad de solución de problemas. En esta sección
se describen las funciones básicas de cada versión de cliente.
„
Cliente Windows
„
Cliente Solaris
„
Cliente Linux
Cliente Windows
La gestión directa del cliente Windows de Host Intrusion Prevention está disponible
a través de una interfaz de cliente. Para mostrar la consola del cliente, haga doble clic
en el icono del cliente de la bandeja del sistema o, en el menú Inicio, seleccione
Programas | McAfee | Host Intrusion Prevention.
Cuando la consola del cliente aparece por primera vez, la mayoría de las opciones están
bloqueadas. Cuando la consola se encuentra en el modo bloqueado, sólo se puede
ver la configuración actual y sólo se pueden crear reglas de cliente si la directiva IU
de cliente tiene activada la creación manual de reglas de cliente. Para obtener control
completo de todas las opciones de la consola, desbloquee la interfaz con una
contraseña creada en la directiva IU de cliente aplicada. Para obtener detalles sobre
estas opciones de la directiva IU de cliente, consulte Creación y aplicación de una
directiva IU de cliente en la página 106.
132
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Icono de la bandeja del sistema
Si el icono de Host Intrusion Prevention aparece en la bandeja del sistema, proporciona
acceso a la consola del cliente e indica el estado del cliente.
Icono
Estado de Host Intrusion Prevention
Funciona correctamente
Se ha detectado un potencial ataque
Desactivado o no funciona correctamente
Cuando el puntero del ratón permanece sobre el icono, aparece una descripción
del estado. Haga clic con el botón derecho en el icono para acceder al menú contextual:
Haga clic en...
Para...
Configurar
Abrir la consola del cliente Host Intrusion Prevention.
Acerca de...
Abrir el cuadro de diálogo Acerca de Host Intrusion Prevention,
en el que se mostrará el número de versión y otra información
relativa al producto.
Si se aplica al cliente la opción Permitir la desactivación de las funciones desde el icono de la
bandeja, estarán disponibles algunos o todos estos comandos adicionales:
Haga clic en...
Para...
Restaurar configuración
Activar todas las funciones desactivadas. Sólo disponible
si se han desactivado una o más funciones.
Desactivar todo
Desactivar funciones de IPS, cortafuegos y bloqueo
de aplicaciones. Sólo disponibles si están activadas todas
las funciones.
Desactivar IPS
Desactivar la función IPS. Esto incluye la funcionalidad de IPS
de host e IPS de red. Sólo disponible si está habilitada la función.
Desactivar cortafuegos
Desactivar la función de cortafuegos. Sólo disponible si está
habilitada la función.
Desactivar bloqueo de
aplicaciones
Desactivar la función de bloqueo de aplicaciones. Esto incluye
tanto el Bloqueo de creación de aplicaciones y el Bloqueo
de enlace de aplicaciones. Sólo disponible si está habilitada
la función.
Consola del cliente
La consola del cliente de Host Intrusion Prevention proporciona acceso a varias
opciones de configuración. Para abrir la consola, lleve a cabo una de las acciones
siguientes:
„
Haga doble clic en el icono situado en la bandeja del sistema.
„
Haga clic con el botón derecho en el icono y seleccione Configurar.
„
En el menú Inicio, seleccione Programas | McAfee | Host Intrusion Prevention.
133
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
La consola permite configurar y ver información acerca de las funciones de Host
Intrusion Prevention. Contiene varias fichas, que corresponden a funciones específicas
de Host Intrusion Prevention. Para obtener más detalles, consulte:
„
Ficha Directiva IPS en la página 142.
„
Ficha Directiva de cortafuegos en la página 144.
„
Ficha Directiva de aplicación en la página 146.
„
Ficha Hosts bloqueados en la página 148.
„
Ficha Protección de aplicaciones en la página 150.
„
Ficha Registro de actividades en la página 151.
Desbloqueo de la interfaz del cliente
El administrador que gestiona en remoto Host Intrusion Prevention utilizando ePolicy
Orchestrator puede mantener la interfaz protegida mediante contraseña para evitar
cambios accidentales. Con una contraseña basada en tiempos y específica del equipo,
un administrador o un usuario pueden desbloquear temporalmente la interfaz y realizar
cambios.
Para desbloquear la interfaz de Host Intrusion Prevention:
1 Solicite la contraseña al administrador de Host Intrusion Prevention.
Nota
Para obtener detalles acerca de cómo crear una contraseña, consulte Definición de
contraseñas en la página 107.
2 En el menú Tarea, seleccione Desbloquear interfaz de usuario.
Aparecerá el cuadro de diálogo Inicio de sesión.
3 Escriba la contraseña y haga clic en Aceptar. Si la contraseña es una contraseña
del administrador, y no una contraseña por tiempos, seleccione Contraseña del
administrador antes de hacer clic en Aceptar.
Configuración de opciones
La consola del cliente de Host Intrusion Prevention proporciona acceso a algunas
opciones determinadas por la directiva IU de cliente y permite personalizarlas para
cada cliente individual.
Para personalizar las opciones del cliente:
1 En el menú Edición, haga clic en Opciones.
Aparecerá el cuadro de diálogo Opciones de Host Intrusion Prevention.
2 Seleccione y desactive opciones según sea necesario.
Seleccione...
Para esto...
Mostrar alerta emergente
Cuando se produce un ataque, aparece un cuadro
de diálogo de alerta. Para obtener más detalles,
consulte Alertas en la página 137.
Reproducir sonido
Se reproduce un sonido cuando tiene lugar
un ataque.
134
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Seleccione...
Para esto...
Destello del icono de la bandeja
El icono cambia entre el estado normal y el estado
de ataque cuando se produce un ataque.
Crear una captura de rastreador si está
disponible
Se agrega una columna de Captura de rastreador
al registro de actividades para indicar que se han
capturado los datos del paquete intruso. Guarde
estos datos en un archivo .cap del rastreador de
McAfee para analizarlos posteriormente.
Mostrar icono de la bandeja
El icono de Host Intrusion Prevention aparece
en la bandeja del sistema.
Notificación de errores
La utilidad de notificación de errores del software
está activada para enviar los errores a McAfee.
Para obtener más detalles, consulte Notificación
de errores.
Notificación de errores
Host Intrusion Prevention incluye una utilidad de notificación de errores que realiza
el seguimiento y el registro de los errores del software. Cuando está activada, solicita
al usuario que envíe los datos del problema detectado al sitio Web de asistencia técnica
de McAfee, donde se pueden utilizar para abrir un caso de asistencia, si fuera
necesario.
Para utilizar la utilidad de notificación de informes, el equipo debe tener acceso
a Internet y un navegador Web que esté habilitado para Java Script.
Nota
Si McAfee Alert Manager está instalado en la red donde ha fallado un equipo, informa
al administrador de la red de que se ha detectado un problema. El administrador
de la red puede guiar al usuario sobre cómo manejar el problema.
Cuando la utilidad detecta un error, el usuario selecciona una opción:
„
Enviar datos: esta opción conecta con el sitio Web de asistencia técnica de
McAfee y envía los datos.
„
Ignorar error: no se realiza ninguna conexión.
Al enviar los datos al sitio Web de asistencia técnica de McAfee, es posible que
se pidan detalles adicionales al usuario. Si el problema tiene una causa conocida,
el usuario puede ser dirigido a una página Web que proporciona información acerca
del problema y de cómo tratar con él.
Solución de problemas
Host Intrusion Prevention incluye una opción Solución de problemas en el menú Ayuda,
disponible cuando la interfaz está desbloqueada. Las opciones incluyen la activación del
registro de IPS y del cortafuegos y la desactivación de los motores del sistema.
Registro
Como parte de la solución de problemas, puede crear registros de actividad de IPS
y cortafuegos que se pueden analizar en el sistema o enviarse a la asistencia de
McAfee para ayudar a resolver problemas.
135
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Figura 9-1 Opciones de solución de problemas
Para definir opciones de registro IPS:
1 Seleccione la casilla de IPS Activar registro.
2 Seleccione el tipo de mensaje (Todos o una combinación de Información, Advertencia,
Depurar, Error y Violaciones de seguridad).
Como mínimo, debe seleccionar Error y Violaciones de seguridad.
3 Haga clic en Aceptar.
La información se escribe en el archivo CSlog.txt de la carpeta
Archivos de programa\McAfee\Host Intrusion Prevention.
Para definir opciones de registro de cortafuegos:
1 Seleccione la casilla del cortafuegos Activar registro.
2 Seleccione el tipo de mensaje (Todos o una combinación de Información, Advertencia,
Error y Kernel).
3 Haga clic en Aceptar.
La información se escribe en el archivo FireSvc.dbg de la carpeta
Archivos de programa\McAfee\Host Intrusion Prevention.
Motores IPS del host
Como parte de la solución de problemas, puede también desactivar los motores que
protegen a un cliente. McAfee recomienda que sólo utilicen este procedimiento de
solución de problemas los administradores que estén en comunicación con el
departamento de asistencia de McAfee.
Para tener acceso, haga clic en Funcionalidad en el cuadro de diálogo Opciones de solución
de problemas. En el cuadro de diálogo Motores HIPS que aparecerá, desactive uno o más
motores de sistema cliente mediante la desactivación de las casillas contiguas al
motor. Una vez resuelto el problema, y para regresar a un entorno operativo normal,
asegúrese de que todos los motores están seleccionados.
136
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Figura 9-2 Motores HIPS
Alertas
Un usuario puede encontrar varios tipos de mensajes de alerta y necesita reaccionar
ante ellos. Entre estos mensajes se incluyen alertas de detección de intrusos,
de cortafuegos, de cuarentena, de bloqueo de aplicaciones y de detección simulada.
Las alertas de cortafuegos y de bloqueo de aplicaciones sólo aparecen cuando
el cliente se encuentra en modo Aprendizaje para estas funciones.
Alertas de intrusos
Si activa la protección IPS y la opción Mostrar alerta emergente, esta alerta aparece
automáticamente cuando Host Intrusion Prevention detecta un ataque potencial.
Si el cliente se encuentra en modo Adaptación, esta alerta aparece sólo si la opción
Permitir reglas del cliente está desactivada para la firma que hizo que se produjera
el evento.
La ficha Información del intruso muestra detalles acerca del ataque que generó la alerta,
lo que incluye una descripción del ataque, el equipo del usuario o cliente donde se
produjo el ataque, el proceso implicado en el ataque y la fecha y la hora en que Host
Intrusion Prevention lo interceptó. Además, puede aparecer un mensaje genérico
especificado por el administrador.
Figura 9-3 Cuadro de diálogo Alerta de intruso detectado
137
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Para ignorar el evento, haga clic en Omitir; para crear una regla de excepción para
el evento, haga clic en Crear excepción. El botón Crear excepción está activo sólo si la opción
Permitir reglas del cliente está activada para la firma que hizo que se produjera el error.
Si la alerta es resultado de una firma HIP, el cuadro de diálogo de la regla de excepción
aparece precumplimentado con el nombre del proceso, el usuario y la firma.
Puede seleccionar Todas las firmas o Todos los procesos, pero no ambas opciones.
El nombre de usuario siempre se incluye en la excepción.
Si la alerta es resultado de una firma NIP, el cuadro de diálogo de la regla de excepción
aparece precumplimentado con el nombre de la firma y la dirección IP del host.
Opcionalmente, puede seleccionar Todos los hosts.
.
Además, puede hacer clic en Notificar al administrador para enviar información del evento
al administrador de Host Intrusion Prevention. Este botón está activo sólo si la opción
Permitir al usuario notificar al administrador está activada en la directiva IU de cliente aplicada.
Seleccione No mostrar alertas para los eventos de IPS para que las alertas de eventos de IPS
dejen de mostrarse. Para que las alertas vuelvan a aparecer después de seleccionar
esta opción, seleccione Mostrar alerta emergente en el cuadro de diálogo Opciones.
Esta alerta de intrusos también aparece para los intrusos del cortafuegos si se produce
una coincidencia con una regla del cortafuegos que tenga seleccionada la opción Tratar
coincidencia de regla como intruso.
Nota
Alertas del cortafuegos
Si activa la protección del cortafuegos y el modo Aprendizaje para el tráfico entrante
o saliente, aparece una alerta del cortafuegos. La ficha Información de la aplicación
muestra información acerca de la aplicación que intenta el acceso a la red, incluidos
el nombre de la aplicación, la ruta y la versión. La ficha Información de la conexión muestra
información acerca de la dirección, los puertos y el protocolo del tráfico.
Para responder a una alerta del modo Aprendizaje del cortafuegos
1 En la ficha Información de aplicación del cuadro de diálogo de la alerta, realice una de las
acciones siguientes:
„
Haga clic en Denegar para bloquear este tráfico y todo el tráfico similar.
„
Haga clic en Permitir para permitir el paso de este tráfico y todo el tráfico similar
a través del cortafuegos.
2 Opcional: en la ficha Información de conexión seleccione posibles opciones para
la nueva regla del cortafuegos:
Seleccione...
Para...
Crear una regla de aplicación del
Crear una regla para permitir o bloquear el tráfico
cortafuegos para todos los puertos de una aplicación a través de cualquier puerto
y servicios
o servicio. Si no selecciona esta opción, la nueva regla
del cortafuegos permite o bloquea sólo puertos
específicos:
Eliminar esta regla cuando finalice
la aplicación
„
Si el tráfico interceptado utiliza un puerto inferior
al 1024, la nueva regla permite o bloquea sólo ese
puerto concreto.
„
Si el tráfico utiliza el puerto 1024 o un puerto
superior, la nueva regla permite o bloquea
el intervalo de puertos del 1024 hasta el 65535.
Crear una regla temporal de tipo Permitir o Bloquear
que se detecte al cerrar la aplicación. Si no selecciona
esta opción, la nueva regla del cortafuegos se crea
como regla de cliente permanente.
138
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Host Intrusion Prevention crea una nueva regla del cortafuegos basada en las opciones
seleccionadas, la agrega a la lista Reglas del cortafuegos y permite o bloquea
automáticamente tráfico similar.
Figura 9-4 Alerta del cortafuegos: fichas Información de la aplicación e Información
de la conexión
Alertas de bloqueo de aplicaciones
Cuando la creación de aplicaciones o el enlace de aplicaciones se habilita en la directiva
Opciones de bloqueo de aplicaciones, Host Intrusion Prevention supervisa las actividades
de las aplicaciones y las permite o bloquea basándose en la directiva Reglas de bloqueo
de aplicaciones.
Si activó el modo Aprendizaje para el bloqueo de creación o el bloqueo de enlace, Host
Intrusion Prevention muestra una alerta de creación de aplicaciones o una alerta de enlace
de aplicaciones siempre que detecta una aplicación desconocida que intenta ejecutarse
o enlazarse a otro programa.
La ficha Información de la aplicación muestra información acerca de la aplicación
que intenta ejecutarse (creación) o enlazarse (enlace) a otro proceso, incluidos
el nombre de la aplicación, la ruta y la versión.
Utilice este cuadro de diálogo para seleccionar una acción:
„
„
Haga clic en Permitir para que la aplicación pueda completar su acción:
„
En el caso de una alerta de creación de aplicaciones, si hace clic en Permitir, permitirá
que la aplicación se ejecute.
„
En el caso de una alerta de enlace de aplicaciones, si hace clic en Permitir, la aplicación
podrá enlazarse con otro programa.
Haga clic en Denegar para bloquear la aplicación:
„
En el caso de una alerta de creación de aplicaciones, si hace clic en Denegar, evitará
que la aplicación se ejecute.
„
En el caso de una alerta de enlace de aplicaciones, si hace clic en Denegar, impedirá
que la aplicación pueda enlazarse con otro programa.
Al hacer clic en Permitir o Denegar, Host Intrusion Prevention crea una nueva regla
de aplicación basada en su elección. Después de obtener las propiedades del cliente,
esta regla se agrega a la ficha Reglas de aplicación del cliente de la directiva Reglas de
aplicación. A continuación, la aplicación se permite o bloquea automáticamente.
139
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Figura 9-5 Alertas de creación y de enlace de bloqueo de aplicaciones
Alertas de cuarentena
Si activa el modo Cuarentena e incluye la dirección IP del cliente para la imposición de
la cuarentena en la directiva Opciones de cuarentena, aparece una alerta de cuarentena en
las situaciones siguientes:
„
Cambio de la dirección IP del equipo cliente
„
Desconexión y reconexión de la Ethernet del cliente
„
Reinicio del cliente
Figura 9-6 Alerta de cuarentena
Alerta de simulación detectada
Si activa la función IPS, esta alerta aparecerá automáticamente cuando Host Intrusion
Prevention detecte que una aplicación de su equipo envía tráfico de red simulado. Esto
significa que la aplicación intenta simular que el tráfico procedente de su equipo
realmente procede de otro equipo distinto. Lo hace cambiando la dirección IP en los
paquetes salientes. La simulación es siempre una actividad sospechosa. Si ve este
cuadro de diálogo, investigue inmediatamente a la aplicación que envió el tráfico
simulado.
Nota
El cuadro de diálogo Alerta de simulación detectada aparece sólo si selecciona la opción
Mostrar alerta emergente. Si no tiene activada esta opción, Host Intrusion Prevention
bloqueará automáticamente el tráfico simulado, pero no se lo notificará.
El cuadro de diálogo Alerta de simulación detectada es muy similar a la función de alerta
modo Aprendizaje del cortafuegos. Muestra información acerca del tráfico interceptado,
en dos fichas: la ficha Información de la aplicación, y la ficha Información de la conexión.
140
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
La ficha Información de la aplicación muestra:
„
La dirección IP de la que el tráfico finge proceder.
„
La información acerca del programa que generó el tráfico simulado.
„
La hora y la fecha a las que Host Intrusion Prevention interceptó el tráfico.
La ficha Información de la conexión proporciona más información acerca de la red.
En concreto, Dirección local muestra la dirección IP que la aplicación simula tener,
mientras que Dirección remota muestra la dirección IP real.
Figura 9-7 Cuadro de diálogo Alerta de simulación de IP detectada
Cuando Host Intrusion Prevention detecta tráfico simulado en la red, intenta bloquear
tanto el tráfico, como la aplicación que lo generó. Lo hace agregando una nueva regla
al final de la lista de reglas del cortafuegos. Esta regla Bloquear atacante por simulación
bloquea específicamente todo el tráfico creado por la aplicación sospechosa, a no ser
que otra regla de la lista la sustituya.
141
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Ficha Directiva IPS
Utilice la ficha Directiva IPS para configurar la función IPS, que protege de los ataques
de intrusos al host basándose en reglas de firmas y de comportamiento. Desde esta
ficha se puede activar o desactivar la funcionalidad y configurar reglas de excepciones
del cliente. Si desea obtener más detalles acerca de las directivas IPS, consulte
Capítulo 4, Directivas de IPS.
Figura 9-8 ficha Directiva IPS
Opciones de Directiva IPS
Las opciones de la parte superior de la ficha controlan la configuración enviada por las
directivas IPS del servidor, después de desbloqueada la interfaz del cliente.
Para personalizar las opciones de Directiva IPS:
1 Haga clic en la ficha Directiva IPS.
2 Seleccione y desactive opciones según sea necesario.
Seleccione...
Para...
Activar IPS de host
Activar la protección de prevención de intrusos del host.
Activar IPS de red
Activar la protección de prevención de intrusos de red.
Activar el modo
Adaptación
Activar el modo Adaptación para crear automáticamente
excepciones a las firmas de prevención de intrusos.
Bloquear atacantes
automáticamente
Bloquear automáticamente los ataques de intrusos en la red,
durante un determinado período de tiempo. Seleccione Hasta
su eliminación para bloquear un ataque hasta que se elimina,
o seleccione Durante x minutos para bloquear un ataque para
un determinado número de minutos, siendo el valor
predeterminado 30.
142
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Reglas de excepciones a directivas IPS
La lista de reglas de excepciones IPS muestra las reglas de excepciones de cliente que
se pueden visualizar y editar.
Para editar las reglas de excepciones:
1 Haga clic en Agregar para agregar una regla.
Aparecerá el cuadro de diálogo Regla de excepción.
2 Escriba una descripción para la regla.
3 Seleccione la aplicación a la que se aplica la regla en la lista de aplicaciones o haga
clic en Examinar para localizar la aplicación.
4 Seleccione La regla de excepción está activa para activar la regla.
La excepción se aplica a todas las firmas, que no está activada y se selecciona como
opción predeterminada, aplica la excepción a todas las firmas.
5 Haga clic en Aceptar.
La nueva regla aparece en la lista.
6 Para otras ediciones, haga una de las acciones siguientes:
Para...
Hacer esto...
Ver los detalles
de una regla
o editar una regla
Haga doble clic en una regla o seleccione una y haga clic en
Propiedades. Aparecerá el cuadro de diálogo Regla de excepción,
que muestra información sobre la regla que puede editarse.
Activar
o desactivar
una regla
Seleccione o cancele la selección de la casilla La regla de excepción
está activa, en el cuadro de diálogo Regla de excepción. También
Eliminar una
regla
puede seleccionar o borrar la casilla que hay junto al icono de la regla,
en la lista.
Seleccione una regla y haga clic en Eliminar.
Lista de reglas de excepción
Las reglas de excepción muestran las reglas de excepción correspondientes al cliente
y proporcionan información resumida y detallada para cada regla.
Esta columna...
Muestra
Excepción
El nombre de la excepción.
Firma
El nombre de la firma contra la que se creó la excepción.
Aplicación
La aplicación a la que corresponde esta regla, el nombre del
programa y el nombre de archivo ejecutable, inclusive.
143
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Ficha Directiva de cortafuegos
Utilice la ficha Directiva de cortafuegos para configurar la función de cortafuegos, que
permite o bloquea las comunicaciones de la red basándose en las reglas definidas.
Desde esta ficha se puede activar o desactivar la funcionalidad y configurar reglas
de cortafuegos del cliente. Si desea obtener más detalles acerca de las directivas
de cortafuegos, consulte Capítulo 5, Directivas de cortafuegos.
Figura 9-9 ficha Directiva de cortafuegos
Opciones de la Directiva de cortafuegos
Las opciones de la parte superior de la ficha controlan la configuración proporcionada
por las directivas de cortafuegos procedentes del servidor.
Para personalizar las opciones de Directiva de cortafuegos:
1 Haga clic en la ficha Directiva IPS.
2 Seleccione y desactive opciones según sea necesario.
Seleccione...
Para...
Activar
cortafuegos
Activar la protección de la directiva de cortafuegos.
Modo Aprendizaje
activado para
tráfico entrante
Activar el modo Aprendizaje para el tráfico entrante.
Modo Aprendizaje
activado para
tráfico saliente
Activar el modo Aprendizaje para el tráfico saliente.
De confianza...
Crear redes de confianza. Para obtener más detalles, consulte
Configuración de la directiva Redes de confianza en la página 110.
144
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Reglas de directiva de cortafuegos
La lista Reglas del cortafuegos muestra las reglas de cliente que se pueden visualizar
y editar. Para obtener detalles acerca de cómo trabajar con reglas de cortafuegos,
consulte:
„
Visualización y edición de reglas de cortafuegos en la página 84.
„
Creación de una nueva regla del cortafuegos o grupo del cortafuegos en la
página 85.
„
Eliminación de una regla o grupo del cortafuegos en la página 87.
Nota
No se pueden agregar grupos para conexión de cortafuegos desde el cliente.
Esta funcionalidad está disponible sólo en la directiva Reglas de cortafuegos gestionada
en la consola de ePolicy Orchestrator.
Lista de reglas de cortafuegos
Las reglas de cortafuegos muestran las reglas y los grupos de reglas correspondientes
al cliente y proporcionan información resumida y detallada para cada regla.
Esta columna...
Muestra...
Descripción
El propósito de esta regla o grupo de reglas.
Protocolo
Protocolos a los que se aplica la regla (TCP, UDP, ICMP).
Si la regla permite el tráfico o lo bloquea:
Permite el tráfico.
Bloquea el tráfico.
Si la regla se aplica al tráfico entrante, al tráfico saliente, o a ambos:
Tráfico entrante.
Tráfico saliente.
Ambas direcciones.
Si Host Intrusion Prevention trata el tráfico que coincide con esta regla
como a un intruso (un ataque) contra el sistema.
Si esta regla sólo se aplica en determinados momentos.
Servicio (L)
Servicios del equipo a los que se aplica la regla. Cuando es posible, esta
columna también muestra los números de puerto asociados. Puede
definir un servicio individual, un rango de servicios, una lista de servicios
concretos o especificar todos (Cualquiera) o ninguno de los servicios (N/D).
Servicio (R)
Los servicios donde se aplica esta regla en el equipo al que se envía el
tráfico o del que se recibe el tráfico. Cuando es posible, esta columna
también muestra los números de puerto asociados. Puede definir
un servicio individual, un rango de servicios, una lista de servicios
concretos o especificar todos (Cualquiera) o ninguno de los servicios (N/D).
Dirección
Dirección IP, subred, dominio u otro identificador específico al que se
aplique esta regla.
Aplicación
La aplicación a la que corresponde esta regla, el nombre del programa
y el nombre de archivo ejecutable, inclusive.
145
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Ficha Directiva de aplicación
Utilice la ficha Directiva de aplicación para configurar la función de bloqueo
de aplicaciones. Puede especificar si una aplicación puede ejecutarse (lo que también
se llama creación de aplicaciones) o si se puede enlazar a otros programas (también
llamado enlace de aplicaciones), si activar el modo Aprendizaje para la creación
y el enlace de aplicaciones, y configurar reglas de aplicaciones de cliente. Si desea
obtener más detalles acerca del bloqueo de aplicaciones, consulte Capítulo 6,
Directivas de bloqueo de aplicaciones.
Figura 9-10 Ficha Directiva de aplicación
Opciones de Directiva de aplicación
Las opciones de la parte superior de la ficha controlan la configuración proporcionada
por las directivas de aplicaciones procedentes del servidor.
Para personalizar las opciones de Directiva de aplicación:
1 Haga clic en la ficha Directiva de aplicación.
2 Seleccione y desactive opciones según sea necesario.
Seleccione...
Para...
Activar Bloqueo
de creación
de aplicaciones
Activar el bloqueo de la creación de aplicaciones. Las opciones
de Activar creación de aplicaciones en modo Aprendizaje se activan.
Activar Bloqueo
de enlace
de aplicaciones
Activar el bloqueo del enlace de aplicaciones. Las opciones
de Activar enlace de aplicaciones en modo Aprendizaje se activan.
146
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Seleccione...
Para...
Activar creación
de aplicaciones
en modo Aprendizaje
Activar el modo Aprendizaje para la creación de aplicaciones,
de forma que se pregunte al usuario para que permita o bloquee
la creación de aplicaciones.
Activar enlace
de aplicaciones
en modo Aprendizaje
Activar el modo Aprendizaje para el enlace de aplicaciones,
de forma que se pregunte al usuario para que permita o bloquee
el enlace de aplicaciones.
Reglas de directivas de aplicaciones
La lista de reglas de directivas de aplicaciones muestra las reglas de cliente que
se pueden visualizar y editar. Para obtener detalles acerca de cómo trabajar con reglas
de bloqueo de aplicaciones, consulte:
„
Visualización y edición de reglas de bloqueo de aplicaciones en la página 99.
„
Creación de nuevas reglas de bloqueo de aplicaciones en la página 100.
„
Eliminación de una regla de bloqueo de aplicaciones en la página 101.
Lista de reglas de aplicaciones
La lista de reglas de aplicaciones muestran las reglas importantes para el cliente
y proporcionan información resumida y detallada de cada regla.
Esta columna...
Muestra...
Descripción
El propósito de esta regla.
Crear
Permite que la aplicación se ejecute.
Bloquea la aplicación para que no se ejecute.
Enlazar
Permite que la aplicación se enlace a otros programas.
Bloquea la aplicación para que no se enlace a otros
programas.
Aplicación
El nombre del archivo y la ruta de la aplicación a la que se aplica
esta regla.
147
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Ficha Hosts bloqueados
Utilice la ficha Hosts bloqueados para controlar una lista de hosts bloqueados (direcciones IP)
que se crea automáticamente cuando la protección IPS de red (NIPS) está activada
(consulte Opciones de Directiva IPS en la página 142). Si la opción Crear reglas de cliente
está seleccionada en la directiva Opciones IPS, en la consola de ePolicy Orchestrator,
puede agregar elementos y editar la lista de hosts bloqueados.
Figura 9-11 ficha Hosts bloqueados
Lista de hosts bloqueados
La lista de direcciones bloqueadas se puede ver y editar. Se pueden añadir, eliminar
y editar hosts bloqueados y ver los detalles de los hosts bloqueados.
La lista de hosts bloqueados muestra todos los hosts actualmente bloqueados
por Host Intrusion Prevention. Cada línea representa un único host. Puede obtener más
información sobre los hosts individuales, leyendo la información de cada columna.
Columna
Lo que muestra
Origen
„
La dirección IP que Host Intrusion Prevention ha bloqueado.
Motivo del bloqueo
„
Una explicación de por qué Host Intrusion Prevention está
bloqueando esta dirección.
Si Host Intrusion Prevention agregó esta dirección a la lista
por un intento de ataque al sistema, esta columna describe
el tipo de ataque.
Si Host Intrusion Prevention agregó esta dirección porque
una de sus reglas de cortafuegos utilizó la opción Tratar
coincidencia de regla como intruso, esta columna muestra
el nombre de la regla de cortafuegos correspondiente.
Si agregó esta dirección manualmente, esta columna muestra
sólo la dirección IP que bloqueara.
148
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Columna
Lo que muestra
Hora
„
La hora y la fecha en la que agregó esta dirección a la lista
de direcciones bloqueadas.
Tiempo restante
„
Cuánto tiempo tendrá Host Intrusion Prevention bloqueada
esta dirección.
Si especificó una hora de caducidad cuando bloqueó
la dirección, esta columna mostrará el número de minutos
que quedan para que Host Intrusion Prevention elimine
la dirección de la lista.
Si especificó que deseaba que la dirección estuviera
bloqueada hasta que se quitara manualmente de la lista,
esta columna mostrará Hasta su eliminación.
Para editar la lista de hosts bloqueados:
1 Haga clic en Agregar para agregar un host.
Aparecerá el cuadro de diálogo Host bloqueado.
2 Introduzca la dirección IP que desee bloquear. Para buscar una dirección IP por
nombre de dominio, haga clic en Búsqueda de DNS.
3 Determine cuánto tiempo desea bloquear la dirección IP:
„
Seleccione Hasta su eliminación, para mantener el host bloqueado hasta que
se elimine.
„
Seleccione Durante y escriba el número de minutos, hasta 60, para mantener
el host bloqueado durante un período fijo de tiempo.
4 Haga clic en Trazar origen para trazar la dirección IP y obtener información como
usuarios de NetBIOS, dirección MAC, identificador del servidor Telnet, identificador
del servidor HTTP, identificador del servidor FTP, identificador del servidor SMTP
y nombres DNS de las direcciones cercanas.
5 Haga clic en Aceptar.
El nuevo host bloqueado aparece en la lista.
Nota
Una vez haya creado una dirección bloqueada, Host Intrusion Prevention agrega una
nueva entrada a la lista de la ficha Protección de aplicaciones. Bloquea cualquier
intento de comunicación procedente de esa dirección IP, hasta que se retira ésta
de la lista de direcciones bloqueadas o hasta que expira un determinado período
de tiempo.
6 Para otras ediciones, haga una de las acciones siguientes:
Para...
Hacer esto...
Ver los detalles
de un host
bloqueado
o editarlo
Haga doble clic en una entrada de host, o seleccione un host y haga
clic en Propiedades. El cuadro de diálogo Host bloqueado muestra
información que puede editarse.
Eliminar un host
bloqueado
Seleccione un host y haga clic en Eliminar.
149
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Ficha Protección de aplicaciones
La ficha Protección de aplicaciones muestra una lista de aplicaciones protegidas
en el cliente. Se trata de una lista no editable que contiene directivas administrativas
y una lista de aplicaciones específicas de un cliente creada de forma heurística. Para
obtener más detalles, consulte Reglas de protección de aplicaciones en la página 53.
Figura 9-12 Ficha Lista de protección de aplicaciones
Lista de Protección de aplicaciones
Esta lista muestra todos los procesos supervisados en el cliente.
Columna
Lo que muestra
Proceso
El proceso de la aplicación.
PID
Identificador del proceso, la clave para la búsqueda en caché
de un proceso.
Ruta completa del proceso
La ruta completa del proceso de la aplicación.
150
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Ficha Registro de actividades
Utilice la ficha Registro de actividades para configurar la función de registro y realizar
el seguimiento de las acciones de Host Intrusion Prevention.
Figura 9-13 Ficha Registro de actividades
Opciones de Registro de actividades
Las opciones de la parte superior de la ficha controlan qué elementos registrar
y mostrar.
Para personalizar las opciones de Registro de actividades:
1 Haga clic en la ficha Registro de actividades.
2 Seleccione y desactive opciones según sea necesario.
Seleccione...
Para...
Registro del tráfico:
Registrar todos los
bloqueados
Registrar todo el tráfico bloqueado en el cortafuegos.
Registro del tráfico:
Registrar todos los
permitidos
Registrar todo el tráfico permitido en el cortafuegos.
Opciones de Filtro:
Tráfico
Filtrar los datos para visualizar tráfico bloqueado y permitido por
el cortafuegos.
Opciones de Filtro:
Aplicaciones
Filtrar los datos para mostrar los eventos causados por las
aplicaciones.
Opciones de Filtro:
Intrusos
Filtrar los datos para mostrar intrusos.
Nota
Puede activar y desactivar el registro para el tráfico del cortafuegos, pero no para las
funciones IPS o de bloqueo de aplicaciones. No obstante, puede elegir ocultar estos
eventos en el registro mediante el uso de un filtro.
151
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Windows
Lista Registro de actividades
El Registro de actividades contiene un registro en ejecución de las actividades.
Las actividades más recientes aparecen en la parte inferior de la lista.
Columna
Lo que muestra
Hora
La fecha y la hora de la acción de Host Intrusion
Prevention.
Evento
La función que realizó la acción.
„
Tráfico indica una acción del cortafuegos.
„
Aplicación indica una acción de bloqueo de
aplicaciones.
„
Intruso indica una acción IPS.
„
Sistema indica un evento relacionado con
los componentes internos del software.
„
Servicio indica un evento relacionado con
el servicio o los controladores del software.
Origen
Dirección remota a la que esta comunicación se
envió, o de la que procede.
Datos del intruso
Icono que indica que Host Intrusion Prevention
guardó los datos del paquete asociados con este
ataque. (Este icono sólo aparece para las entradas
del registro IPS).
Nota: esta columna aparecerá
sólo si selecciona Crear captura
de rastreador... en el cuadro de diálogo
Opciones de McAfee Host Intrusion
Prevention.
muestra que puede exportar los datos
de paquete asociados con esta entrada
del registro. Haga clic con el botón derecho
en la entrada del registro para guardar los datos
a un archivo Rastreador.
Aplicación
Programa que dio lugar a la acción.
Mensaje
Descripción de la acción tan detallada como
es posible.
Puede borrar la lista eliminando el contenido del registro o guardándolo en forma
de archivo .txt.
Para...
Hacer esto...
Eliminar permanentemente el contenido
del registro
Haga clic en Borrar.
Guardar el contenido del registro
y eliminar la lista de la ficha
Haga clic en Guardar. En el cuadro de diálogo
Guardar archivo de registro en que aparecerá,
de un nombre al archivo .txt y guárdelo.
152
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Solaris
Cliente Solaris
El cliente Solaris de Host Intrusion Prevention 6.1 identifica y evita intentos
potencialmente perjudiciales que puedan dañar archivos y aplicaciones del servidor
Solaris. Protege el sistema operativo del servidor junto con los servidores Web Apache
y Sun y previene especialmente ataques de desbordamiento del búfer.
Aplicación de directivas con el cliente Solaris
No todas las directivas que protegen un cliente Windows están disponibles para
el cliente Solaris. En resumen, Host Intrusion Prevention protege el servidor host
de ataques perjudiciales pero no ofrece protección de cortafuegos. Las directivas
válidas son las siguientes.
Con esta directiva...
Están disponibles estas opciones...
HIP 6.1 GENERAL:
IU de cliente
Ninguna excepto admin o una contraseña basada
en tiempos para permitir el uso de la herramienta
de solución de problemas.
Redes de confianza
Ninguno
Aplicaciones de confianza
Solo Marcar como de confianza para IPS y Nombre de nuevo
proceso para agregar aplicaciones de confianza.
HIP 6.1 IPS:
Opciones IPS
„
Activar HIPS
„
Activar el modo Adaptación
„
Conservar reglas de cliente existentes
Protección IPS
Todos
Reglas IPS
„
Reglas de excepción
„
Firmas (solo reglas de HIPS predeterminadas
y personalizadas)
Nota: las firmas NIPS y las Reglas de protección
de aplicaciones no están disponibles.
Eventos IPS
Todos
Reglas del cliente IPS
Todos
Buscar reglas de
excepción IPS
Todos
HIP 6.1 CORTAFUEGOS
Ninguno
HIP 6.1 BLOQUEO DE
APLICACIONES
Ninguno
Solución de problemas
Una vez instalado e iniciado, el cliente Solaris protege su host. Sin embargo, puede
ser necesario solucionar problemas de instalación o de funcionamiento.
Problemas de instalación del cliente
Si ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas
que investigar. Entre ellas, asegúrese de que todos los archivos se han instalado
en el directorio correcto, la desinstalación y reinstalación del cliente y la comprobación
de los registros del proceso.
153
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Solaris
Comprobación de los archivos de instalación
Después de una instalación, compruebe que se han instalado todos los archivos
en el directorio apropiado en el cliente. El directorio /opt/McAfee/hip deberá incluir
estos archivos y directorios esenciales:
Nombre de
archivo/directorio
Descripción
HipClient
Cliente Solaris
HipClient-bin
HipClientPolicy.xml
Reglas de directivas
hipts
Herramienta de solución de problemas
hipts-bin
*.so
Módulos de objetos compartidos de Host Intrusion
Prevention y agente ePO
log directory
Contiene archivos de registro: HIPShield.log
y HIPClient.log
El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte
este archivo si tiene alguna pregunta acerca del proceso de instalación o de eliminación
del cliente de Host Intrusion Prevention.
Comprobación de que el cliente se ejecuta
Es posible que el cliente esté instalado correctamente pero que tenga problemas
de funcionamiento. Si el cliente no aparece en la consola de ePO, por ejemplo,
compruebe que se está ejecutando utilizando alguno de estos comandos:
„
/etc/rc2.d/SS99hip status
„
ps –ef | grep hip
Problemas de operaciones del cliente
El cliente Solaris no tiene interfaz de usuario para la solución de problemas
de funcionamiento. Ofrece una herramienta de solución de problemas de línea
de comandos, hipts, situada en el directorio /opt/McAfee/hip. Para utilizar esta
herramienta, debe proporcionar una contraseña de cliente de Host Intrusion
Prevention. Utilice la contraseña predeterminada que se incluye con el cliente
(abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña
de administrador o una contraseña basada en tiempos ajustada con la directiva
y utilícela.
Utilice la herramientas de solución de problemas para:
„
Indicar la configuración de registro y el estado del motor para el cliente.
„
Activar o desactivar el registro de mensajes.
„
Activar o desactivar los motores.
Iniciar sesión como raíz y ejecutar los siguientes comandos para la solución
de problemas:
Ejecute este comando...
Para...
hipts status
Obtener el estado actual del cliente que indica qué
tipo de registro está activado y qué motores están
funcionando.
hipts logging on
Activar el registro de tipos de mensajes específicos.
154
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Solaris
Ejecute este comando...
Para...
hipts logging off
Desactivar el registro de tipos los tipos de mensajes.
El registro está desactivado de forma predeterminada.
hipts message <nombre del
mensaje>:on
Mostrar el tipo de mensaje indicado cuando el registro
está establecido en “activado”. Entre los mensajes se
incluye:
„
error
„
warning
„
debug
„
info
„
violations
hipts message <nombre del
mensaje>:off
Ocultar el tipo de mensaje indicado cuando el registro
está establecido en “activado”. El mensaje de error
está desactivado de forma predeterminada.
hipts message all:on
Mostrar el tipo de mensaje indicado cuando el registro
está establecido en “activado”.
hipts message all:off
Ocultar todos los tipos de mensajes cuando el registro
está establecido en “activado”.
hipts engines <nombre del
motor>:on
Activar el motor indicado. El motor está activado de
forma predeterminada. Entre los motores se incluye:
„
MISC
„
FILES
„
GUID
„
MMAP
„
BO
„
ENV
„
HTTP
hipts engines <nombre del
motor>:off
Desactivar el motor indicado.
hipts engines all:on
Activar todos los motores.
hipts engines all:off
Desactivar todos los motores.
Sugerencia
Además de la herramienta de solución de problemas, consulte los archivos
HIPShield.log y HIPClient.log en el directorio /opt/McAfee/hip/log para verificar
las operaciones o hacer un seguimiento de los problemas.
Inicio y parada del cliente
Puede que sea necesario detener la ejecución de un cliente y reiniciarla como parte
de la solución de un problema.
Para detener un cliente Solaris:
1 Desactive la protección IPS. Utilice uno de estos procedimientos:
„
Establezca Opciones IPS en Desactivado en la consola de ePO y aplique la directiva
al cliente.
„
Ejecute el comando: hipts engines MISC:off.
2 Ejecute el comando: /etc/rc2.d/S99hip stop.
Para reiniciar un cliente Solaris:
1 Ejecute el comando: /etc/rc2.d/S99hip restart.
2 Activar protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado
para detener el cliente:
„
Establezca Opciones IPS en Activado en la consola de ePO y aplique la directiva
al cliente.
„
Ejecute el comando: hipts engines MISC:on.
155
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Linux
Cliente Linux
El cliente Linux de Host Intrusion Prevention 6.1 identifica y evita intentos
potencialmente perjudiciales que puedan dañar archivos y aplicaciones del servidor
Linux. Aprovecha el mecanismo de protección SELinux nativo, traduciendo directivas
IPS en reglas SELinux y eventos SELinux de nuevo en eventos IPS, y proporciona
una gestión fácil de la consola de ePO.
Aplicación de directivas con el cliente Linux
No todas las directivas que protegen un cliente Windows están disponibles para
el cliente Linux. En resumen, Host Intrusion Prevention protege el servidor host
de ataques perjudiciales pero no ofrece protección contra las intrusiones de red,
incluido el desbordamiento de búfer. Las directivas válidas son las siguientes.
Con esta directiva...
Están disponibles estas opciones...
HIP 6.1 GENERAL:
IU de cliente
Ninguna excepto admin o una contraseña basada en
tiempos para permitir el uso de la herramienta de solución
de problemas.
Redes de confianza
Ninguno
Aplicaciones de confianza
Solo Marcar como de confianza para IPS y Nombre
de nuevo proceso para agregar aplicaciones de confianza.
HIP 6.1 IPS:
Opciones IPS
„
Activar HIPS
„
Activar el modo Adaptación
„
Conservar reglas de cliente existentes
Protección IPS
Todos
Reglas IPS
„
Reglas de excepción
„
Firmas (solo reglas de HIPS predeterminadas
y personalizadas)
Nota: las firmas NIPS y las Reglas de protección de
aplicaciones no están disponibles.
Eventos IPS
Todos
Reglas del cliente IPS
Todos
Buscar reglas de excepción IPS
Todos
HIP 6.1 CORTAFUEGOS
Ninguno
HIP 6.1 BLOQUEO DE
APLICACIONES
Ninguno
Notas acerca del cliente Linux
„
Si dispone de una directiva de SELinux existente o está utilizando la configuración
de protección predeterminada, la instalación de un cliente Linux sustituye
la directiva por una directiva de McAfee Host Intrusion Prevention predeterminada.
La desinstalación del cliente Linux restaura la directiva de SELinux anterior.
„
El cliente Linux requiere que SELinux esté instalado y activado (establecido
en imponer o permisivo). Si está instalado pero no activado, actívelo, defínalo
para la directiva de destino y reinicie el equipo tras instalar el cliente Linux.
156
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Linux
„
Linux controla los cambios de atributos de archivos con un único permiso
de SELinux (archivo:setattr) No tiene control individual de chdir o symlink, control
de un directorio de cambio ni control de creación de un vínculo simbólico.
„
SELinux utiliza un mecanismo de control de acceso obligatorio implementado
en el núcleo de Linux con la estructura de Linux Security Modules (LSM).
Esta estructura comprueba las operaciones permitidas después de comprobar
los controles de acceso discrecional estándar de Linux. Puesto que el cliente Linux
utiliza LSM, cualquier otra aplicación que utilice LSM no funcionará a no ser que
se implemente el apilado.
Solución de problemas
Una vez instalado e iniciado, el cliente Linux protege su host. Sin embargo, puede
ser necesario solucionar problemas de instalación o de funcionamiento.
Problemas de instalación del cliente
Si ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas
que investigar. Entre ellas, asegúrese de que todos los archivos se han instalado
en el directorio correcto, la desinstalación y reinstalación del cliente y la comprobación
de los registros del proceso.
Comprobación de los archivos de instalación
Después de una instalación, compruebe que se han instalado todos los archivos
en el directorio apropiado en el cliente. El directorio opt/McAfee/hip deberá incluir
estos archivos y directorios esenciales:
Nombre de archivo
Descripción
HipClient
Cliente Linux
HipClient-bin
HipClientPolicy.xml
Reglas de directivas
hipts
Herramienta de solución de problemas
hipts-bin
*.so
Módulos de objetos compartidos de Host Intrusion
Prevention y agente ePO
log directory
Contiene archivos de registro: HIPShield.log
y HIPClient.log
El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte
este archivo si tiene alguna pregunta acerca del proceso de instalación o eliminación
del cliente de Host Intrusion Prevention.
Comprobación de que el cliente se ejecuta
Si el cliente no aparece en la consola de ePO, por ejemplo, compruebe que el cliente
se esté ejecutando. Para ello, ejecute este comando:
ps –ef | grep hip
Problemas de operaciones del cliente
Es posible que el cliente esté instalado correctamente pero que tenga problemas de
funcionamiento. Puede comprobar si el cliente se está ejecutando y detener y reiniciar
el cliente.
157
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Linux
Herramienta de solución de problemas
El cliente Linux no tiene interfaz de usuario para la solución de problemas
de funcionamiento. Ofrece una herramienta de solución de problemas de línea
de comandos, hipts, situada en el directorio opt/McAfee/hip. Para utilizar esta
herramienta debe proporcionar una contraseña de cliente de Host Intrusion Prevention.
Utilice la contraseña predeterminada que se incluye con el cliente (abcde12345) o envíe
una directiva de IU de cliente al cliente con una contraseña de administrador o una
contraseña basada en tiempos ajustada con la directiva y utilícela.
Utilice la herramientas de solución de problemas para:
„
Indicar la configuración de registro y el estado del motor para el cliente.
„
Activar o desactivar el registro de mensajes.
„
Activar o desactivar los motores.
Iniciar sesión como raíz y ejecutar los siguientes comandos para la solución de problemas:
Ejecute este comando...
Para...
hipts status
Obtener el estado actual del cliente que indica qué
tipo de registro está activado y qué motores están
funcionando.
hipts logging on
Activar el registro de tipos de mensajes
específicos.
hipts logging off
Desactivar el registro de tipos los tipos
de mensajes. El registro está desactivado de forma
predeterminada.
hipts message <nombre del
mensaje>:on
Mostrar el tipo de mensaje indicado cuando
el registro está establecido en “activado”. Entre
los mensajes se incluye:
„
error
„
warning
„
debug
„
info
„
violations
hipts message <nombre del
mensaje>:off
Ocultar el tipo de mensaje indicado cuando
el registro está establecido en “activado”.
El mensaje de error está desactivado de forma
predeterminada.
hipts message all:on
Mostrar el tipo de mensaje indicado cuando
el registro está establecido en “activado”.
hipts message all:off
Ocultar todos los tipos de mensajes cuando
el registro está establecido en “activado”.
hipts engines <enombre del motor>:on
Activar el motor indicado. El motor está activado
de forma predeterminada. Entre los motores se
incluye:
hipts engines <nombre del motor>:off
„
MISC
„
FILES
Desactivar el motor indicado.
hipts engines all:on
Activar todos los motores.
hipts engines all:off
Desactivar todos los motores.
Sugerencia
Además de la herramienta de solución de problemas, consulte los archivos
HIPShield.log y HIPClient.log en el directorio McAfee/hip/log para verificar las
operaciones o hacer un seguimiento de los problemas.
158
9
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Cliente de Host Intrusion Prevention
Cliente Linux
Inicio y parada del cliente
Puede que sea necesario detener la ejecución de un cliente y reiniciarla como parte
de la solución de un problema.
Para detener un cliente Linux:
1 Desactive la protección IPS. Utilice uno de estos procedimientos:
„
Establezca Opciones IPS en Desactivado en la consola de ePO y aplique la directiva
al cliente.
„
Ejecute el comando: hipts engines MISC:off.
2 Ejecute el comando: hipts agent off.
Para reiniciar un cliente Linux:
1 Ejecute el comando: hipts agent on.
2 Activar protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado
para detener el cliente:
„
Establezca Opciones IPS en Activado en la consola de ePO y aplique la directiva
al cliente.
„
Ejecute el comando: hipts engines MISC:on.
159
9
10
Preguntas más frecuentes
En esta sección se da respuesta a algunas preguntas prácticas que pueden surgir
al utilizar Host Intrusion Prevention 6.0.
„
¿Qué es una directiva?
„
¿Qué es la directiva McAfee Default?
„
¿Qué sucede en los nodos del Directorio debajo de un nodo donde he asignado una
nueva directiva?
„
¿Cómo se ven afectados los nodos a los que se aplica una directiva cuando ésta se
modifica?
„
¿Por qué la nueva directiva de Host Intrusion Prevention que he asignado no
se impone?
„
¿Puedo delegar la administración de directivas IPS y del cortafuegos a diferentes
administradores en distintas ubicaciones geográficas?
„
¿Puedo aplicar la misma configuración de seguridad a diferentes sistemas?
„
¿Puedo ver y editar las directivas aplicables a un nodo o cliente específico?
„
¿Cómo puedo ver todas las directivas aplicables y los nodos a los que están
asignadas?
„
¿Cómo puedo ver eventos IPS activados por clientes?
„
¿Cómo puedo crear una excepción basada en un evento IPS?
„
¿Cómo puedo refinar directivas de Reglas IPS con mecanismos de ajuste
automatizados?
„
¿Cómo puedo crear firmas personalizadas para una directiva IPS?
„
¿Cómo puedo reorganizar excepciones existentes y personalizar firmas en una
nueva directiva?
„
¿Cómo puedo buscar directivas existentes que coincidan con un perfil
determinado?
¿Qué es una directiva?
Una directiva es un subconjunto personalizado de opciones del producto
que corresponden a una categoría de directivas. Para cada categoría de directivas
pueden crearse, modificarse o eliminarse tantas directivas con nombre como
sea necesario.
160
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Preguntas más frecuentes
¿Qué es la directiva McAfee Default?
Tras la instalación, cada categoría de directivas contiene al menos una directiva
con nombre: McAfee Default. Las directivas predeterminadas de McAfee no pueden
editarse, renombrarse ni eliminarse.
¿Qué sucede en los nodos del Directorio debajo de un nodo donde he asignado
una nueva directiva?
Todos los nodos con herencia activada para la categoría de directivas especificada
heredarán la directiva que se aplique a un nodo principal.
¿Cómo se ven afectados los nodos a los que se aplica una directiva cuando ésta
se modifica?
Todos los nodos a los que se aplica una directiva reciben cualquier modificación
realizada en la directiva en la siguiente comunicación entre agente y servidor
o mediante la ejecución de una llamada de reactivación del agente. La directiva
se impondrá después en cada intervalo de imposición de directivas.
¿Por qué la nueva directiva de Host Intrusion Prevention que he asignado no
se impone?
Las nuevas asignaciones de directivas no se imponen hasta la siguiente comunicación
entre agente y servidor o mediante la ejecución de una llamada de reactivación del
agente después de realizar la asignación. Además, si la interfaz de usuario de cliente
se desbloquea con una contraseña, no se imponen nuevas asignaciones de directivas.
¿Puedo delegar la administración de directivas IPS y del cortafuegos
a diferentes administradores en distintas ubicaciones geográficas?
Sí. Host Intrusion Prevention permite delegar la responsabilidad de todas las funciones
del producto o de funciones individuales, como IPS o Cortafuegos. No se admite una
granularidad más fina de funcionalidad en la función, por ejemplo, administración de
clientes y creación de excepciones.
Asigne derechos de usuario en el nivel del sitio, un nivel por debajo del directorio raíz,
y los derechos se heredarán en todos los nodos debajo de ese sitio. No se admite
el permiso explícito del usuario en nodos por debajo del nivel del sitio. Para delegar
la administración por ubicación geográfica, designe una ubicación geográfica en un
nodo de sitio y, a continuación, aplique los derechos de usuario correspondientes.
¿Puedo aplicar la misma configuración de seguridad a diferentes sistemas?
El árbol de la consola organiza los nodos jerárquicamente. Se asignan directivas
a nodos, de forma que los nodos del nivel de sitio denotan normalmente agrupaciones
basadas en perfil, como Todos los servidores, Todos los equipos de escritorio,
Servidores IIS o Servidores SQL. Este patrón de grupo puede replicarse en cada
nodo de sitio.
ePolicy Orchestrator permite la creación de directivas independientes de nodos,
aunque pueden compartirse entre todos los nodos. Cuando se asigna una directiva
a un nodo, sus nodos secundarios la heredan automáticamente, a menos que otra
directiva la anule. Se puede crear una directiva que coincida con cada perfil, como
Directiva de servidor IIS, y aplicarla a cada uno de los grupos de nodos
correspondientes, como Servidores IIS.
Coloque un equipo con un nuevo cliente de Host Intrusion Prevention en el grupo
de perfiles apropiado al que se asignarán las directivas de seguridad correctas. Si esto
no es posible, se puede definir la directiva para un cliente individual modificando las
directivas en el nivel de nodo individual. La mayoría de las directivas heredadas pueden
anularse, a menos que a una directiva se le haya asignado herencia forzada.
Nota
Si los nodos del árbol de ePolicy Orchestrator ya se han organizado para admitir productos
cuya organización no se ajusta a Host Intrusion Prevention, podría resultar difícil reorganizar
el árbol. Dado que la reorganización podría romper asignaciones de directivas existentes,
se precisan conocimientos y permisos sobre todos los productos aplicables.
161
10
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Preguntas más frecuentes
¿Puedo ver y editar las directivas aplicables a un nodo o cliente específico?
Sí. Las directivas de Host Intrusion Prevention tienen categorías específicas, como
Reglas IPS y Protección IPS, y cada una de ellas proporciona configuración específica.
En las funciones de Host Intrusion Prevention, se pueden ver las categorías
correspondientes al nodo seleccionado de la ficha Directivas. Cada categoría muestra
el nombre de su directiva o directivas asignadas. La mayoría de las categorías, como
Protección IPS, muestran una sola directiva, mientras que las categorías Reglas IPS
y Aplicaciones de confianza muestran una o varias instancias de directivas. Para ver los
detalles de cada directiva, haga clic en su nombre.
¿Cómo puedo ver todas las directivas aplicables y los nodos a los que están
asignadas?
El árbol de ePolicy Orchestrator tiene un nodo Catálogo de directivas, que muestra
la lista de todas las directivas de cada categoría con un recuento de sus asignaciones.
Haga clic en el valor de recuento para mostrar una lista de todos los nodos en los que
la directiva se asigna directamente. El recuento no incluye nodos en los que se ha
heredado la directiva.
¿Cómo puedo ver eventos IPS activados por clientes?
ePolicy Orchestrator no tiene su propio visor de eventos, por lo que los eventos se
gestionan en la ficha Eventos IPS de Host Intrusion Prevention dentro de la directiva
Reglas IPS. Para ver la lista de eventos asociados con un nodo seleccionado, haga clic
en la ficha Directivas y, a continuación, haga clic en el vínculo Eventos IPS. La ficha
Eventos IPS muestra el conjunto combinado de eventos IPS generados por clientes
debajo del nodo seleccionado para un número de días específico. La vista se actualiza
automáticamente cuando se activan nuevos eventos y ofrece las operaciones
siguientes:
„
Clasificar eventos por un solo atributo y filtrar por varios atributos.
„
Ver detalles de eventos.
„
Marcar los eventos como leídos u ocultos y ver los eventos en combinaciones de
eventos leídos, no leídos y ocultos.
„
Crear excepciones o aplicaciones de confianza basadas en eventos.
¿Cómo puedo crear una excepción basada en un evento IPS?
Seleccione un solo evento en la ficha Eventos IPS y haga clic en Crear excepción. Aparece
un cuadro de diálogo Nueva excepción con datos ya introducidos basados en el evento
original. Una ficha del cuadro de diálogo Nueva excepción muestra una lista de
instancias de Directivas de reglas IPS de destino en las que se puede colocar esta
excepción tras su creación.
Nota
La nueva excepción sólo puede colocarse en una directiva existente que pueda
editarse.
Aplique una excepción a un cliente específico o a varios clientes; la directiva de destino
para una excepción puede ser una directiva de cliente específico o una que se ajuste
a un perfil común. Sin embargo, todas las directivas pueden compartirse como opción
predeterminada, y aparecen en la lista de asignaciones para cada nodo. Se recomienda
crear y mantener un número pequeño de directivas, de forma que puedan satisfacer
colectivamente las necesidades de todos los clientes.
En lugar de crear una excepción nueva, puede buscar y editar una excepción existente
con atributos similares en una directiva existente; para ello utilice la función Buscar
excepciones relacionadas.
¿Cómo puedo refinar directivas de Reglas IPS con mecanismos de ajuste
automatizados?
Host Intrusion Prevention proporciona una opción de modo de adaptación, que permite
que clientes creen de forma automática y silenciosa reglas del cliente que permitan que
se produzca actividad bloqueada pero no dañina. Una vez que los clientes han estado
en modo de adaptación por un tiempo, un administrador puede hacer lo siguiente:
162
10
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Preguntas más frecuentes
„
Ver la lista de reglas del cliente creadas en un conjunto de clientes que tienen
un perfil similar y crear una nueva directiva basada en esa información. Esta nueva
directiva puede aplicarse a un conjunto más grande de clientes con el mismo perfil.
„
Determinar qué reglas del cliente específicas representan violaciones de seguridad
y bloquear estas reglas como parte de la directiva Reglas IPS.
„
Ver una lista agregada de excepciones para obtener una idea del predominio
de la misma operación en diferentes clientes con el mismo perfil.
„
Mover una regla de excepción del cliente a la lista de excepciones de directivas.
„
Buscar excepciones de directivas existentes para encontrar una excepción similar
a una excepción del cliente que pueda editarse.
¿Cómo puedo crear firmas personalizadas para una directiva IPS?
Las firmas personalizadas son parte de la directiva Reglas IPS y pueden crearse para
satisfacer las necesidades de seguridad específicas de un perfil. Hay disponible
un asistente para firmas personalizadas para crear firmas sencillas; también hay
disponibles modos Estándar y Experto de firmas personalizadas destinados
a usuarios avanzados.
¿Cómo puedo reorganizar excepciones existentes y personalizar firmas en una
nueva directiva?
Como administrador, ha identificado algunos falsos positivos en unos cuantos clientes
y creado excepciones para ellos. Dado que estos eventos falsos positivos parecían
aislados, inicialmente los ha colocado en diversas directivas. En un segundo análisis
de las excepciones, ve un nuevo patrón: uno que puede aislarse en su propia directiva.
Para reorganizar estas excepciones en una nueva directiva, cree una nueva directiva
de Reglas IPS y agréguela a la lista de directiva de Reglas IPS para el nodo
correspondiente. Vea la lista de todas las excepciones de las diversas directivas
asignadas a ese nodo. Seleccione una o varias excepciones apropiadas y muévalas
a la nueva directiva.
Esta nueva directiva puede aplicarse entonces a otros clientes que se ajusten al perfil
que se acaba de identificar, ya sea individualmente o como grupo.
¿Cómo puedo buscar directivas existentes que coincidan con un perfil
determinado?
Normalmente una organización tendrá múltiples directivas de Reglas IPS, una por perfil
de cliente, como Servidor IIS y SQL Server. Dado que varios administradores gestionan
normalmente diferentes partes del sistema, en ocasiones trabajar en diferentes turnos
es esencial para tener un número pequeño de directivas mantenidas correctamente.
Esto le ayudará como administrador a comprender rápidamente la organización actual
de directivas y a identificar lo que está buscando.
Puede utilizar Buscar excepciones IPS para buscar excepciones en función de sus
atributos y localizar su directiva principal en el proceso. La búsqueda permite:
„
Buscar directivas que contengan una excepción para una aplicación.
„
Buscar excepciones creadas para una firma.
„
Buscar directivas que contengan excepciones que coincidan con uno o varios
atributos de un evento de falso positivo.
163
10
A
Creación de firmas personalizadas
En esta sección se describe la estructura de las firmas personalizadas y se facilita
información sobre cómo escribirlas para las diversas plataformas de clientes. Entre los
temas se incluyen:
„
Estructura de las reglas
„
Firmas personalizadas de Windows
„
Firmas personalizadas de Solaris
„
Firmas personalizadas de Linux
Estructura de las reglas
Cada firma contiene una o varias reglas escritas en la sintaxis del lenguaje
de comandos de herramientas ANSI (TCL, Tool Command Language). Cada regla
contiene secciones obligatorias y opcionales, con una sección por línea. Las secciones
opcionales varían en función del sistema operativo y de la clase de la regla.
Cada sección define una categoría de regla y su valor. Una sección siempre
identifica la clase de la regla, que define el comportamiento global de la regla.
La estructura básica de una regla es la siguiente:
Rule {
SectionA value
SectionB value
SectionC value
...
}
Nota
Asegúrese de revisar las reglas para escribir cadenas y secuencias de escape en TCL
antes de intentar escribir reglas personalizadas. Una revisión rápida de cualquier
referencia estándar en TCL debería garantizar una introducción correcta de los
valores apropiados.
164
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Estructura de las reglas
Una regla para evitar una solicitud al servidor Web que tenga una parte “subject”
(asunto) en la consulta de solicitud http tiene el siguiente formato:
Rule {
Class Isapi
Id 4001
level 4
query { Include “*subject*” }
method { Include “GET” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d isapi:request
}
Consulte Firmas personalizadas de Windows en la pagina 170 para obtener una
explicación de las diversas secciones y valores.
Secciones comunes obligatorias
Las secciones obligatorias de una regla y sus valores incluyen los elementos descritos
abajo. Para ver las secciones obligatorias de la sección class seleccionada, consulte
la sección Class correspondiente en Firmas personalizadas de Windows, Unix
y Linux.Las palabras clave Include y Exclude se utilizan para todas las secciones
excepto para Id, level y directives. Include significa que la sección funciona en el valor
indicado y Exclude significa que la sección funciona en todos los valores excepto en
el indicado.
Nombre de
sección
Valor
Descripción
Class
Depende del sistema
operativo.
Indica la clase a la que se aplica
esta regla.
Consulte:
„
Firmas personalizadas de Windows
en la pagina 170
„
Firmas personalizadas de Solaris en
la pagina 181
„
Firmas personalizadas de Linux en la
pagina 185
Id
4000 – 7999
El número de ID único de la firma. Son
los números disponibles para las reglas
personalizadas.
level
0
El nivel de seguridad de la firma:
1
„
0=Desactivado
2
„
1=Blanco
3
„
2=Amarillo
4
„
3= Naranja
„
4= Rojo
time
{include “*”}
165
Esta sección sólo tiene este valor.
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Estructura de las reglas
Nombre de
sección
Valor
Descripción
user_name
{Include/Exclude “cuenta
de usuario o del sistema”}
Los usuarios a los que se aplica la regla.
Especifique usuarios determinados
o todos los usuarios.
Observaciones para Windows:
Para usuario local: utilice <nombre
de equipo>/<nombre de usuario
local>.
Para usuario de dominio: utilice
<nombre de dominio>/<nombre
de usuario del dominio>.
Para sistema local: use Local/System;
esto equivale a NT Authority/System
en Windows NT y <dominio>/<equipo>
en Windows 2000.
Algunas acciones iniciadas
remotamente no indican el ID del
usuario remoto, sino que en su lugar
utilizan el servicio local y su contexto
de usuario. Es necesario planificar esto
correctamente al desarrollar las reglas.
Cuando se produce un proceso
en el contexto de una sesión nula,
el usuario y el dominio son
“Anónimos”. Si una regla se aplica
a todos los usuarios, utilice un asterisco
(*). En Solaris esta sección distingue
entre mayúsculas y minúsculas.
application
{Include/Exclude “ruta de
acceso y nombre de la
aplicación”}
La ruta completa del proceso que ha
realizado la operación que ha creado
la instancia. Cuando la operación
es remota, la aplicación es el
servicio/servidor local que gestiona
la operación.
Algunas operaciones locales se
gestionan como si fueran remotas.
Por ejemplo, para Windows el nombre
de aplicación será el servicio/servidor
local que gestiona la aplicación. Si una
regla se aplica a todas las aplicaciones,
utilice un asterisco (*). En Solaris esta
sección distingue entre mayúsculas
y minúsculas.
directives -c -d
Nota
tipo de operación
Los tipos de operación dependen
de la clase y se enumeran para cada
clase en las secciones posteriores.
Tenga en cuenta que deben utilizarse
los modificadores -c y -d.
Para crear una firma con varias reglas, basta con ir agregando una regla detrás de otra.
Tenga presente que cada regla de la misma firma debe tener el mismo valor para sus
secciones id y level.
Uso de Include y Exclude
Cuando se marca un valor de sección como Include, la sección funciona en el valor
indicado, mientras que si se marca como Exclude, la sección funciona en todos los
valores, excepto en el indicado. Cuando utilice estas palabras clave, se pondrán entre
llaves { ... } y su valor entre comillas “... “.
166
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Estructura de las reglas
Por ejemplo, para supervisar todos los archivos de texto en C:\test\:
files { Include “C:\\test\\*.txt” }
y para supervisar todos los archivos de texto excepto los de C:\test\:
files { Exclude “C:\\test\\*.txt” }
Combine las palabras clave para excluir valores de un conjunto de valores incluidos.
Para supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo
abc.txt:
files { Include “C:\\test\\*.txt” }
files { Exclude “C:\\test\\acb.txt” }
Cada vez que agregue la misma sección con la misma palabra clave, se agregará una
operación. Para supervisar cualquier archivo de texto de la carpeta C:\test\ cuyo nombre
comience por la cadena “abc”:
files { Include “C:\\test\\*.txt” }
files { Include “C:\\test\\acb*” }
Secciones comunes opcionales
Las secciones comunes opcionales de una regla y sus valores incluyen el elemento
descrito más abajo. Para ver las secciones opcionales de una sección class
seleccionada, consulte la sección Class correspondiente en Firmas personalizadas
de Windows, Unix y Linux. Las palabras clave Include y Exclude se utilizan tanto
para dependencias como para atributos. Include significa que la sección funciona
en el valor indicado y Exclude significa que la sección funciona en todos los valores
excepto en el indicado.
Sección
Valor
Descripción
dependencies -c -d
{Include/Exclude “id de
una regla”}
Define dependencias entre reglas
e impide la activación de reglas
dependientes. Sólo se utilizan los
modificadores -c y -d.
Uso de la sección dependencies
Agregue la sección opcional dependencies para impedir que una regla más general
se active junto con una regla más específica. Por ejemplo, si hay una sola regla para
supervisar un solo archivo de texto en C:\test\:
files { Include “C:\\test\\abc.txt” }
así como una regla para supervisar todos los archivos de texto en C:\test\:
files { Include “C:\\test\\*.txt” }
Agregue la sección dependencies a la regla más específica; de esta forma,
básicamente se indica al sistema que no active la regla más general si se activa la regla
específica.
files { Include “C:\\test\\abc.txt” }
dependencies –c –d “the general rule”
167
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Estructura de las reglas
Variables del valor de sección
Pueden utilizarse comodines, metasímbolos y variables predefinidas como valor en las
secciones disponibles.
„
Uso de comodines.
„
Uso de variables del entorno.
„
Uso de variables predefinidas.
Uso de comodines
Los comodines pueden utilizarse para algunos de los valores de las secciones.
Carácter
Lo que representa
? (signo de interrogación)
Un solo carácter.
* (asterisco)
Varios caracteres.
user_name { Include “*” }
& (símbolo de “y” comercial)
Varios caracteres excepto / y \. Utilícelo para que se
corresponda con el contenido del nivel raíz de una
carpeta, pero no con las subcarpetas.
files { Include “C:\\test\\&.txt” }
! (signo de exclamación)
Escape de comodín.
files { Include “C:\\test\\yahoo!!.txt” }
Uso de variables del entorno
Utilice variables del entorno, el comando iEnv con un parámetro (el nombre
de la variable), como forma abreviada de especificar nombres de rutas de acceso
a directorios y archivos de Windows.
Variable del
entorno
Lo que representa
iEnv SystemRoot
C:\winnt\, donde C es la unidad que contiene la carpeta System de
Windows. Por ejemplo:
files {Include “[iEnv SystemRoot]\\system32\\abc.txt” }
iEnv SystemDrive
C:\ donde C es la unidad que contiene la carpeta System de Windows.
Por ejemplo:
files {Include “[iEnv System Root]\\system32\\abc.txt”}
Uso de variables predefinidas
Host Intrusion Prevention proporciona variables predefinidas para la escritura de reglas.
Estas variables están precedidas por “$,” y se enumeran a continuación.
Servidor Web con Windows IIS
Variable
Significado
IIS_BinDir
Directorio donde se ubica inetinfo.exe
IIS_Computer
Nombre del equipo en el que se ejecuta IIS
IIS_Envelope
Incluye todos los archivos a los que puede obtener acceso IIS
IIS_Exe_Dirs
Directorios virtuales que permiten ejecutar archivos, incluidas la raíz del
sistema y la raíz de IIS
IIS_Ftp_Dir
Directorios de la raíz del sitio FTP
IIS_FTP_USR
Nombre de cuenta de usuario anónimo del FTP local
168
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Estructura de las reglas
Variable
Significado
IIS_FtpLogDir
Directorio de archivos de registro de FTP
IIS_IUSR
Nombre de cuenta de usuario anónimo de Web local
IIS_IUSRD
Nombre de cuenta de usuario anónimo de Web de dominio
IIS_IWAM
Nombre de cuenta de usuario de IIS Web Application Manager
IIS_LogFileDir
Directorio de archivos de registro de Web
IIS_LVirt_Root
Todos los directorios virtuales de IIS
IIS_Processes
Procesos con derechos de acceso a recursos de IIS
IIS_Services
Todos los servicios necesarios para que IIS funcione correctamente
Servidor de base de datos con MS SQL
MSSQL_Allowed_Access_Paths
Directorios accesibles, como \WINNT
y \WINNT\System32
MSSQL_Allowed_Execution_Paths
Directorios ejecutables, como \WINNT
y \WINNT\System32
MSSQL_Allowed_Modification_Paths
Directorios modificables, como \WINNT\Temp
MSSQL_Auxiliary_Services
Servicios MS SQL auxiliares encontrados en
el sistema
MSSQL_Core_Services
Servicios MS SQL principales encontrados en
el sistema
MSSQL_Data_Paths
Todos los demás archivos de datos asociados
con MS SQL que pueden encontrarse fuera del
directorio MSSQL_DataRoot_Path
MSSQL_DataRoot_Paths
Ruta de acceso a los archivos de datos de MS
SQL para cada instancia
MSSQL_Instances
Nombre de cada instancia instalada de MS SQL
MSSQL_Registry_Paths
Todas las ubicaciones del Registro asociadas con
MS SQL
Solaris Apache e iPlanet
Variable
Significado
UAPACHE_Bins
Ruta de acceso a archivos binarios de Apache
UAPACHE_CgiRoots
Ruta de acceso a las raíces CGI
UAPACHE_ConfDirs
Directorios que contienen archivos de configuración de Apache
UAPACHE_DocRoots
Ruta de acceso a raíces de documentos
UAPACHE_Logs
Archivos de registro de Apache
UAPACHE_Logs_dir
Directorio de archivos de registro
UAPACHE_Roots
Raíces Web de Apache
UAPACHE_Users
Usuarios bajo los que se ejecuta Apache
UAPACHE_VcgiRoots
Ruta de acceso a las raíces CGI de servidores virtuales
UAPACHE_VdocRoots
Raíces de documentos virtuales
UAPACHE_Vlogs
Archivos de registro de servidores virtuales
UAPACHE_Vlogs_dir
Directorios para archivos de registro de servidores virtuales
UIPLANET_BinDirs
Ruta de acceso a archivos binarios de iPlanet
UIPLANET_CgiDirs
Ruta de acceso a directorios CGI
UIPLANET_DocDirs
Rutas de acceso a directorios de documentos
UIPLANET_Process
Ruta de acceso al archivo binario ns-httpd de iPlanet
UIPLANET_Roots
Ruta de acceso al directorio raíz de iPlanet
169
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Firmas personalizadas de Windows
En este tema se describe el método para crear firmas personalizadas de Windows.
Nota
Las reglas en la clase Files de Windows utilizan barras invertidas dobles y las reglas
en la clase UNIX_Files de Solaris utilizan una única barra invertida.
El valor de la sección class depende de la naturaleza de la seguridad y de la protección
que pueden ofrecer las reglas. Para Windows están disponibles estos valores:
Class
Cuándo se utiliza
Files
Para operaciones en archivos o directorios. Consulte Clase Files.
Isapi
Para supervisar la solicitud a IIS. Consulte Clase Isapi en la pagina 173.
Registry
Para operaciones en claves y valores del Registro. Consulte Clase
Registry en la pagina 176.
Services
Para operaciones en servicios. Consulte Clase Services en la pagina 178.
Clase Files
En la tabla siguiente se enumeran las posibles secciones de la clase Files.
Sección
Valores
Class
Files
Id
4000 – 7999
level
0, 1, 2, 3, 4
Notas
time
*
user-name
cuenta de usuario o del sistema
application
ruta + nombre de la aplicación
files
Archivo o carpetas implicados
en la operación
Consulte las Notas 1 y 2.
dest_file
Archivo de destino, si la
operación implica archivos de
origen y de destino
Esta sección es opcional. Consulte las
Notas 1 y 2.
directives -c -d
files:create
Crear el archivo directamente o mover
el archivo al directorio.
files:read
Abrir el archivo en modo de lectura.
files:write
Abrir el archivo en modo de escritura.
files:execute
Ejecutar el archivo (ejecutar
un directorio significa que este
directorio se convertirá
en el directorio actual).
files:delete
Eliminar un archivo de un directorio
o moverlo a otro directorio.
files:rename
Cambiar el nombre de un archivo
en el mismo directorio; consulte la
Nota 2.
files:attribute
Cambiar los atributos del archivo.
Los atributos supervisados son
“Sólo lectura”, “Oculto”, “Archivo
de almacenamiento” y “Sistema”.
No se supervisan los atributos
exclusivos de Windows 2000
“Índice”, “Comprimir” ni “Cifrar”.
170
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Nota 1
Si se utiliza la sección files, la ruta de acceso a una carpeta o archivo supervisado puede
ser la ruta completa o un comodín. Por ejemplo, algunas representaciones válidas
de la ruta de acceso son:
files { Include “C:\\test\\abc.txt” }
files { Include “*\\test\\abc.txt” }
files { Include “*\\abc.txt” }
Si se utiliza la sección dest_file, la ruta de acceso absoluta no se puede utilizar sino
que debe existir un comodín al comienzo de la ruta para representar la unidad.
Por ejemplo, algunas representaciones válidas de la ruta de acceso son:
dest_file { Include “*\\test\\abc.txt” }
dest_file { Include “*\\abc.txt” }
Nota 2
La directiva files:rename tiene un significado diferente cuando se combina con
la sección files y la sección dest_file.
Cuando se combina con la sección files, significa que se supervisa el cambio
de nombre del archivo en la sección files. Por ejemplo, la siguiente regla supervisa
el cambio de nombre del archivo C:\test\abc.txt a cualquier otro:
„
Rule {
Class Files
Id 4001
level 1
files { Include “C:\\test\\abc.txt” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d files:rename
}
Combinada con la sección dest_file, significa que no se puede cambiar el nombre
del archivo al archivo de la sección dest_file. Por ejemplo, la siguiente regla
supervisa el cambio de nombre de cualquier archivo a C:\test\abc.txt:
„
Rule {
Class Files
Id 4001
level 1
dest_file { Include “*\\test\\abc.txt” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d files:rename}
Nota
La sección files no es obligatoria cuando se utiliza la sección dest_file. Si se emplea la
sección files, ambas secciones files y dest_file han de coincidir.
171
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros
de eventos de seguridad para la clase Files. Los valores de estos parámetros pueden
ayudarle a comprender por qué se activa una firma.
Nombre en la GUI
Explicación
files
Nombre del archivo al que se ha accedido
archivo de destino
Sólo aplicable para cambiar el nombre de archivos: nuevo nombre
asignado al archivo
La siguiente regla impediría a cualquier usuario y a cualquier proceso crear el archivo
“abc.txt” en la carpeta C:\test\.
Rule {
Class Files
Id 4001
level 4
files { Include “C:\\test\\abc.txt” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d files:create
}
Las diversas secciones de esta regla tienen el siguiente significado:
„
Class Files: indica que esta regla está relacionada con la clase de operaciones
en servicios.
„
Id 4001: asigna el ID 4001 a esta regla. Si la firma personalizada tiene varias reglas,
cada una de ellas deberá utilizar el mismo ID.
„
level 4: Asigna el nivel de seguridad “alto” a esta regla. Si la firma personalizada
tiene varias reglas, cada una de ellas deberá utilizar el mismo nivel.
„
files { Include “C:\\test\\abc.txt” }: Indica que la regla cubre el archivo y la ruta
C:\test\abc.txt específicos. Si la regla tuviera que cubrir varios archivos, habría
que agregarlos en esta sección en líneas diferentes. Por ejemplo, al supervisar
los archivos C:\test\abc.txt y C:\test\xyz.txt, la sección cambia a: files { Include
“C:\\test\\abc.txt” “C:\\test\\xyz.txt” }.
„
time { Include “*” }: Esta sección no se utiliza actualmente, aunque debe incluirse
de esta forma en la regla.
„
application { Include “*”}: Indica que esta regla es válida para todos los procesos.
Si deseara limitar la regla a procesos específicos, se deben escribir aquí, junto con
el nombre de su ruta de acceso.
„
user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios
(o más concretamente, el contexto de seguridad en el que se ejecuta un proceso).
Si deseara limitar la regla a contextos de usuarios específicos, debe indicarlos aquí
en el formato Local/user o Domain/user. Consulte el apartado “Secciones comunes
obligatorias” para obtener más información.
„
directives -c -d files:create: Indica que esta regla cubre la creación de un archivo.
Los modificadores -c y -d siempre deben utilizarse en la sección directives.
172
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Clase Isapi
En la tabla siguiente se enumeran las posibles secciones de la clase Isapi.
Sección
Valores
Notas
Class
Isapi
Id
4000 – 7999
level
0, 1, 2, 3, 4
time
*
user_name
cuenta de usuario o del sistema
application
ruta + nombre de la aplicación
url
Esta sección es opcional.
Se compara con la parte url
de una solicitud entrante;
consulte las notas 1, 2, 3 y 4.
consulta
Esta sección es opcional.
Se compara con la parte
de consulta de una solicitud
entrante; consulte las notas
1, 2, 3 y 4.
método
“GET”, “POST”, “INDEX” y todos los
demás métodos de http permitidos
directives -c -d
isapi:request
Esta sección es opcional.
Consulte la nota 4.
Nota 1
Una solicitud http entrante puede representarse como: http://www.myserver.com/
{url}?{query}. En este documento, nos referimos a {url} como la parte “url”
de la solicitud http y a {query} como la parte de “consulta” de la solicitud http.
Utilizando esta convención de nombres, podemos decir que la sección “url” se
comparará con {url} y la sección de “consulta” con {query}.
Por ejemplo, la siguiente regla se activaría si IIS recibiera la solicitud http
http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean:
Rule {
Class Isapi
Id 4001
level 1
url { Include “*abc*” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d isapi:request
}
Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor de la
sección “url” (es decir, abc).
Nota 2
Antes de efectuar la correspondencia, se descodifican y normalizan las secciones “url”
y “query” de forma que las solicitudes no puedan rellenarse con secuencias de
codificación o escape.
173
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Nota 3
Se puede definir una restricción de longitud máxima para las secciones “url” y “query”.
Agregando “;número_de_caracteres” al valor de estas secciones, la regla sólo puede
coincidir si {url} o {query} tienen más caracteres que el número especificado
en “número_de_caracteres”. Por ejemplo, la siguiente regla coincidirá si la parte url
de la solicitud contiene “abc” y tiene más de 500 caracteres:
Rule {
Class Isapi
Id 4001
level 1
url { Include “*abc*;500” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d isapi:request}
}
Nota 4
Una regla ha de contener al menos una de las secciones url, query, method opcionales.
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros
de eventos de seguridad para la clase Isapi. Los valores de estos parámetros pueden
ayudarle a comprender por qué se activa una firma.
Nombre en la GUI
explicación
url
Parte de ubicación descodificada y normalizada de una solicitud HTTP
entrante (la parte antes del signo de interrogación “?”).
consulta
Parte de consulta descodificada y normalizada de una solicitud HTTP
entrante (la parte después del primer signo de interrogación “?”).
tipo de servidor Web
Tipo y versión de la aplicación de servidor Web utilizada.
método
Método de la solicitud HTTP entrante (como Get, Put, Post,
Query, etc.).
archivo local
Nombre físico del archivo que la solicitud recupera o ha intentado
recuperar. Descodificado y normalizado en IIS.
url sin procesar
Línea de solicitud “sin procesar” (no descodificada y no normalizada)
de la solicitud HTTP entrante. La línea de solicitud es “<method>
<location[?query]> <http version> CRLF”.
usuario
Nombre de usuario del cliente que realiza la solicitud; sólo está
disponible si la solicitud se autentica.
origen
Nombre o dirección IP del cliente en el que se originó la solicitud HTTP.
servidor
Información sobre el servidor Web en el que se creó el evento
(es decir, el equipo en el que está instalado el cliente) en el formato
<nombre de host>:<dirección IP>:<puerto>. El nombre de host es
la variable host del encabezado de HTTP; se deja en blanco si no está
disponible.
longitud del contenido Número de bytes en el cuerpo de la parte de mensaje de la consulta.
174
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
La siguiente regla impediría una solicitud al servidor Web que contiene “subject” en la
parte “query” de la solicitud http:
Rule {
Class Isapi
Id 4001
level 4
query { Include “*subject*” }
method { Include “GET” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d isapi:request
}
Por ejemplo, la siguiente regla impediría la solicitud GET
http://www.myserver.com/test/ abc.exe?subject=wildlife&environment=ocean.
Las diversas secciones de esta regla tienen el siguiente significado:
„
Class Isapi: indica que esta regla está relacionada con la clase Isapi.
„
Id 4001: asigna el ID 4001 a esta regla. Si la firma personalizada tiene varias reglas,
cada una de ellas deberá utilizar el mismo ID.
„
level 4: Asigna el nivel de seguridad “alto” a esta regla. Si la firma personalizada
tiene varias reglas, cada una de ellas deberá utilizar el mismo nivel.
„
query { Include “*subject*” }: Indica que la regla coincide con cualquier solicitud
(GET) que contenga la cadena “subject” en la parte “query” de la solicitud http.
Si la regla tuviera que cubrir varios archivos en la parte “query”, se tendrían que
agregar en esta sección en líneas diferentes.
„
method { Include “GET” }: Indica que la regla sólo puede coincidir con
solicitudes GET.
„
time { Include “*” }: Esta sección no se utiliza actualmente, aunque debe incluirse
de esta forma en la regla.
„
application { Include “*”}: Indica que esta regla es válida para todos los procesos.
Si se deseara limitar la regla a procesos específicos, se deberían escribir aquí, junto
con el nombre de su ruta de acceso.
„
user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios
(o más concretamente, el contexto de seguridad en el que se ejecuta un proceso).
Si deseara limitar la regla a contextos de usuarios específicos, debería indicarlos
aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones
comunes obligatorias” para obtener más información.
„
directives -c -d isapi:request: Indica que esta regla cubre una solicitud http. Los
modificadores -c y -d siempre deben utilizarse en la sección directives.
175
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Clase Registry
En la tabla siguiente se enumeran las posibles secciones de la clase Registry.
Sección
Valores
Notas
Class
Registry
Id
4000 – 7999
level
0, 1, 2, 3, 4
time
*
user_name
cuenta de usuario o del
sistema
application
ruta + nombre de la
aplicación
keys o values
clave o valor del Registro
Consulte la Nota 1.
old data
Datos anteriores del valor
Esta sección es opcional. Es sólo para
la <directiva> Modify; consulte la Nota 2.
new data
Nuevos datos del valor
Esta sección es opcional. Es sólo para
las <directivas> Modify o Create; consulte
la Nota 2.
directives -c -d
registry:delete
Eliminación de una clave o un valor
del Registro.
registry:modify
Modificación del contenido de un valor
del Registro o de la información de una
clave del Registro.
registry:permissions
Modificación de los permisos de una clave
del Registro.
registry:read
Obtención de información de claves
del Registro (número de subclaves, etc.)
o del contenido de un valor del Registro.
registry:enumerate
Enumeración de una clave del Registro;
es decir, obtención de la lista de todas
las subclaves y valores de la clave.
Nota 1
HKEY_LOCAL_MACHINE en una ruta del Registro se sustituye por
\REGISTRY\MACHINE\ y CurrentControlSet se sustituye por ControlSet. Por ejemplo,
el valor del Registro “abc” en la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Lsa se representa como \\REGISTRY\\MACHINE\\
SYSTEM\\ControlSet\\Control\\Lsa\\abc.
Nota 2
Los datos de las secciones old data y new data deben estar en formato hexadecimal.
Por ejemplo, los datos ‘def’ del valor del Registro “\HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Lsa\abc” deben representarse como old_data
{ Include “%64%65%66”}.
176
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros
de eventos de seguridad para la clase Registry. Los valores de estos parámetros
pueden ayudarle a comprender por qué se activa una firma.
Nombre en la GUI
explicación
Clave del Registro
Nombre de la clave del Registro afectada, incluido el nombre
de la ruta de acceso. El prefijo \REGIS-TRY\MACHINE\
representa HKEY_LOCAL_MACHINE\,
y \REGISTRY\CURRENT_USER\ representa \HKEY_USER\.
Valor(es) del Registro
Nombre del valor del Registro concatenado con el nombre
completo de su clave.
datos anteriores datos
nuevos tipo de datos
anteriores tipo de datos
nuevos
Sólo aplicable para cambios de los valores del Registro: datos
que contenía un valor del Registro antes de que se cambiara
o se intentara cambiar. Sólo aplicable para cambios de los
valores del Registro: datos que un valor del Registro contiene
después de haberse cambiado o que contendría si el cambio
se realizara. Sólo aplicable para cambios de los valores
del Registro: tipo de datos que un valor del Registro contenía
antes de cambiarse o de que se intentaran cambiar. Sólo
aplicable para cambios de los valores del Registro: tipo
de datos que un valor del Registro contendría después
de cambiarse o si el cambio se realizara.
Ejemplo
La siguiente regla impediría que cualquier usuario y cualquier proceso pudiera eliminar
el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Control\Lsa”
Rule {
Class Registry
Id 4001
level 4
values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d registry:delete
}
Las diversas secciones de esta regla tienen el siguiente significado:
„
Class Registry: indica que esta regla está relacionada con solicitudes enviadas a IIS.
„
Id 4001: asigna el ID 4001 a esta regla. Si la firma personalizada tiene varias reglas,
cada una de ellas deberá utilizar el mismo ID.
„
level 4: Asigna el nivel de seguridad “alto” a esta regla. Si la firma personalizada
tiene varias reglas, cada una de ellas deberá utilizar el mismo nivel.
„
values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\
Lsa\\abc” }: Indica que la regla supervisa el valor del Registro “abc” en la clave del
Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Si la
regla tuviera que cubrir varios valores, se deberían agregar en esta sección en líneas
diferentes.
177
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
„
time { Include “*” }: Esta sección no se utiliza actualmente, aunque debe incluirse
de esta forma en la regla.
„
application { Include “*”}: Indica que esta regla es válida para todos los procesos.
Si se deseara limitar la regla a procesos específicos, se deberían escribir aquí, junto
con el nombre de su ruta de acceso.
„
user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios
(o más concretamente, el contexto de seguridad en el que se ejecuta un proceso).
Si se deseara limitar la regla a contextos de usuarios específicos, se deberían indicar
aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones
comunes obligatorias” para obtener más información.
„
directives -c -d registry:delete: Indica que esta regla cubre la eliminación de una
clave o valor del Registro. Los modificadores -c y -d siempre deben utilizarse en
la sección directives.
Clase Services
En la tabla siguiente se enumeran las posibles secciones de la clase Services.
sección
valores
significado/observaciones
Class
Services
Id
4000 – 7999
level
0, 1, 2, 3, 4
time
*
user_name
cuenta de usuario o del
sistema
application
ruta + nombre de la
aplicación
services
nombre del servicio que
es el asunto de la
operación de creación
de la instancia.
debe utilizarse la sección “services”
o la sección “display_names”; el nombre
de un servicio se encuentra en el Registro en
HKLM\SYSTEM\CurrentControlSet\Services\;
consulte la Nota 1
display_names
nombre de visualización
del servicio
este nombre se muestra en el panel de control
de servicios; consulte la Nota 1
directives -c -d
services:delete
Eliminación de un servicio
services:create
Creación de un servicio
services:start
Comando de inicio de un servicio
services:stop
Comando de fin de un servicio
services:pause
Comando de pausa de un servicio
services:continue
Comando de continuación de un servicio
services:startup
Modificación del modo de inicio de un servicio
services:profile_enable
Activación de un perfil de hardware
services:profile_disable
Desactivación de un perfil de hardware
services:logon
Modificación de la información de inicio de
sesión de un servicio
Nota 1
La sección service debe contener el nombre del servicio de la clave del Registro
correspondiente en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.
La sección display_names debe contener el nombre de visualización del servicio,
el nombre mostrado en el panel de control de Servicios, que se encuentra en el valor
del Registro HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
<nombre_del_servicio>\DisplayName.
178
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros
de eventos de seguridad para la clase Services. Los valores de estos parámetros
pueden ayudarle a comprender por qué se activa una firma.
Nombre en
la GUI
Explicación
Valores posibles
nombres para
mostrar
Nombre del servicio
de Windows, tal y como aparece
en el panel de control del
Administrador de servicios.
services
Nombre del sistema del servicio
de Windows (mostrado
en HKLM\CurrentControlSet\
Services\); puede ser distinto
del nombre mostrado en el panel
de control del Administrador
de servicios.
parámetros
Sólo aplicable para iniciar
un servicio: parámetros pasados
al servicio tras la activación.
inicio anterior
Sólo aplicable para crear
o cambiar el modo de inicio
de un servicio: indica el modo
de inicio antes de que se
cambiara o se intentara cambiar.
Arranque, Sistema, Automático,
Manual, Desactivado
inicio nuevo
Sólo aplicable para cambiar
el modo de inicio de un servicio:
indica el modo de inicio que
un servicio tiene después
cambiarse o que tendría
si el cambio se realizara.
Arranque, Sistema, Automático,
Manual, Desactivado
inicio de sesión
Sólo aplicable para cambios
en el modo de inicio de sesión
de un servicio: información
sobre el inicio de sesión (cuenta
de usuario o del sistema)
utilizada por el servicio.
La siguiente regla impediría la desactivación del servicio Alerter.
Rule {
Class Services
Id 4001
level 4
Service { Include “Alerter” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d service:stop
}
179
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Windows
Las diversas secciones de esta regla tienen el siguiente significado:
„
Class Services: indica que esta regla está relacionada con la clase de operaciones
en servicios.
„
Id 4001: asigna el ID 4001 a esta regla. Si la firma personalizada tiene varias reglas,
cada una de ellas deberá utilizar el mismo ID.
„
level 4: Asigna el nivel de seguridad “alto” a esta regla. Si la firma personalizada
tiene varias reglas, cada una de ellas deberá utilizar el mismo nivel.
„
Service { Include “Alerter” }: Indica que la regla cubre el servicio denominado
“Alerter”. Si la regla tuviera que cubrir varios servicios, se deberían agregar en esta
sección en líneas diferentes.
„
time { Include “*” }: Esta sección no se utiliza actualmente, aunque debe incluirse
de esta forma en la regla.
„
application { Include “*”}: Indica que esta regla es válida para todos los procesos.
Si se deseara limitar la regla a procesos específicos, se deberían escribir aquí, junto
con el nombre de su ruta de acceso.
„
user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios
(o más concretamente, el contexto de seguridad en el que se ejecuta un proceso).
Si se deseara limitar la regla a contextos de usuarios específicos, se deberían indicar
aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones
comunes obligatorias” para obtener más información.
„
directives -c -d service:stop: Indica que esta regla cubre la desactivación
de un servicio. Los modificadores -c y -d siempre deben utilizarse en la sección
directives.
180
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Solaris
Firmas personalizadas de Solaris
En este tema se describe el método para crear firmas personalizadas de Solaris.
Nota
Las reglas en la clase Files de Windows utilizan barras invertidas dobles y las reglas
en la clase UNIX_Files de Solaris utilizan una única barra invertida.
La clase de la firma depende de la naturaleza de la seguridad y de la protección
que pueden ofrecer las reglas. En la tabla siguiente se enumeran las clases Solaris
disponibles:
clase
significado/observaciones
UNIX_file
Se utiliza para operaciones en archivos o directorios. Consulte
Clase UNIX_file.
UNIX_apache
Se utiliza para operaciones http. Consulte Clase UNIX_apache
en la pagina 183.
Clase UNIX_file
En la tabla siguiente se enumeran las posibles secciones de la clase Files.
sección
valores
Class
UNIX_file
Id
4000 – 7999
level
0, 1, 2, 3, 4
significado/observaciones
time
*
user_name
cuenta de usuario o del sistema
application
ruta de cuenta de usuario o del
sistema + nombre de la aplicación
files
archivo(s) de origen
origen
nombres de archivos de destino
Esto es opcional. Consulte la Nota 1.
file permission]
lista de permisos de nombres de
archivos de origen
Esto es opcional. Consulte la Nota 2.
new permission
modo de permiso de un archivo
recién creado o permiso
modificado
Esto es opcional. Consulte la Nota 2.
directives
Archivos que hay que buscar. Esto
es opcional si se utiliza el origen de una
sección; consulte la Nota 1.
unixfile:symlink
Creación de un vínculo simbólico.
unixfile:link
Creación de un vínculo rígido. Consulte
la Nota 3.
unixfile:read
Apertura del archivo en modo
de lectura.
unixfile:write
Apertura del archivo en modo
de escritura.
unixfile:unlink
Eliminación de un archivo de
un directorio o eliminación
del directorio.
unixfile:rename
Cambio de nombre de un archivo.
Consulte la Nota 4.
unixfile:chmod
Cambio de los permisos del directorio o
archivo.
unixfile:chown
Cambio de la propiedad de archivo del
directorio o archivo.
unixfile:create
Creación de un archivo.
unixfile:mkdir
Creación de un directorio.
unixfile:rmdir
Eliminación de un directorio.
unixfile:chdir
Cambio del directorio de trabajo.
181
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Solaris
Nota 1
Directivas (X) correspondientes por sección:
directiva
archivo
origen
permiso de
archivo
nuevo permiso
symlink
X
X
-
X
read
X
-
-
-
write
X
-
-
-
unlink
X
-
-
-
rename
X
X
-
-
chmod
X
-
X
X
chown
X
-
-
-
create
X
-
X
X
mkdir
X
-
-
-
rmdir
X
-
-
-
chdir
X
-
-
-
Nota 2
El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista
de control de acceso (ACL). Éstas sólo pueden tener valores de “SUID” o “SGID”.
Nota 3
La directiva Unixfile:link tiene un significado diferente cuando se combina con la
sección files y la sección source:
„
Combinada con la sección files, significa que se supervisa la creación de un vínculo
con el archivo en la sección files.
„
Combinada con la sección source, significa que no se puede crear ningún vínculo
con el nombre que se especifica en la sección source.
Nota 4
La directiva Unixfile:rename tiene un significado diferente cuando se combina con
la sección files y la sección source:
„
Combinada con la sección files, significa que se supervisa el cambio de nombre
del archivo en la sección files.
„
Combinada con la sección source, significa que no se puede cambiar el nombre
del archivo al archivo de la sección source.
182
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Solaris
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros
de eventos de seguridad para la clase UNIX_Files. Los valores de estos parámetros
pueden ayudarle a comprender por qué se activa una firma.
Nombre en la GUI
Explicación
files
Nombres del archivo al que se ha accedido o se ha intentado
acceder.
origen
Sólo se aplica cuando la operación consiste en la creación
de un vínculo simbólico entre archivos: nombre del nuevo
vínculo; o cuando la operación consisten en cambiar
el nombre de un archivo: nuevo nombre del archivo.
permiso de archivo
Permisos del archivo.
source permission
Sólo se aplica cuando la operación consiste en la creación
de un vínculo simbólico entre archivos: permisos del archivo
de destino (el archivo al que envía el vínculo).
nuevo permiso
Sólo se aplica al crear un nuevo archivo o al realizar
una operación chmod: permisos del nuevo archivo.
Clase UNIX_apache
En la tabla siguiente se enumeran las posibles secciones de la clase Unix_apache. Esta
clase puede utilizarse para los servidores Web Apache, iPlanet y Netscape Enterprise.
sección
valores
Class
UNIX_apache
Id
4000 – 7999
level
0, 1, 2, 3, 4
time
*
user_name
cuenta de usuario
o del sistema
application
ruta + nombre de
la aplicación
significado/observaciones
url
Esta sección es opcional. Se compara con la parte
de URL de una solicitud entrante; consulte las notas
1, 2, 3 y 4.
consulta
Esta sección es opcional. Se compara con la parte
de consulta de una solicitud entrante; consulte las
notas 1, 2, 3 y 4.
método
“GET”, “POST”,
“INDEX” y los demás
métodos de http
directives -c -d
apache:request
Esta sección es opcional. Consulte la Nota 4.
Nota 1
Una solicitud http entrante puede representarse como: http://www.myserver.com/
{url}?{query}. En este documento, nos referimos a {url} como la parte “url” de
la solicitud http y a {query} como la parte de “consulta” de la solicitud http. Utilizando
esta convención de nombres, podemos decir que la sección “url” se comparará con
{url} y la sección de “consulta” con {query}.
183
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Solaris
Por ejemplo, la siguiente regla se activaría si IIS recibiera la solicitud http
http://www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean:
Rule {
Clase UNIX_apache
Id 4001
level 1
url { Include “*abc*” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d apache:request
}
Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor
de la sección “url” (es decir, abc).
Nota 2
Antes de efectuar la correspondencia, se descodifican y normalizan las secciones “url”
y “query” de forma que las solicitudes no puedan rellenarse con secuencias
de codificación o escape.
Nota 3
Se puede definir una restricción de longitud máxima para las secciones “url” y “query”.
Agregando “;número_de_caracteres” al valor de estas secciones, la regla sólo
puede coincidir si {url} o {query} tienen más caracteres que el número especificado
en “número_de_caracteres”. Por ejemplo, la siguiente regla coincidirá si la parte url
de la solicitud contiene “abc” y tiene más de 500 caracteres:
Rule {
Clase UNIX_Apache
Id 4001
level 1
url { Include “*abc*;500” }
time { Include “*” }
application { Include “*”}
user_name { Include “*” }
directives -c -d apache:request}
}
Nota 4
Una regla ha de contener al menos una de las secciones url, query, method opcionales.
184
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Firmas personalizadas de Linux
Firmas personalizadas de Linux
En este tema se describe el método para crear firmas personalizadas de Linux.
La clase de la firma depende de la naturaleza de la seguridad y de la protección que
ofrecen las reglas. En la tabla siguiente se enumeran las clases Linux disponibles:
clase
significado/observaciones
UNIX_file
Se utiliza para operaciones en archivos o directorios. Consulte
Clase UNIX_file.
Clase UNIX_file
En la tabla siguiente se enumeran las posibles secciones de la clase Files.
sección
valores
Class
UNIX_file
Id
4000 – 7999
level
0, 1, 2, 3, 4
significado/observaciones
time
*
user_name
cuenta de usuario o del sistema
application
ruta de cuenta de usuario o del
sistema + nombre de la aplicación
files
archivo(s) de origen
Archivos que hay que buscar.
Esto es opcional si se utiliza
el origen de una sección; consulte
la Nota 1.
directives
unixfile:link
Creación de vínculos rígidos.
unixfile:read
Apertura del archivo en modo
de lectura.
unixfile:write
Apertura del archivo en modo
de escritura.
unixfile:unlink
Eliminación de un archivo
de un directorio o eliminación
del directorio.
unixfile:rename
Cambio de nombre de un archivo.
unixfile:setattr
Cambio de los permisos
y la propiedad de archivo del
directorio o archivo.
unixfile:create
Creación de un archivo.
unixfile:mkdir
Creación de un directorio.
unixfile:rmdir
Eliminación de un directorio.
185
A
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Creación de firmas personalizadas
Resumen de parámetros y directivas
Resumen de parámetros y directivas
El siguiente es un resumen de los parámetros y directivas según el tipo.
Lista de parámetros según el tipo
Tipo
Parámetros
Archivos, plataforma
Windows
Aplicación, Archivo de destino, Archivos, Nombre de usuario
HTTP, plataforma
Windows
Aplicación, Método, Consulta, URL, Nombre de usuario
Archivos, plataforma
Solaris y Linux
Aplicación, Origen, Archivos, Nombre de usuario
Registro
Aplicación, Clave del Registro, Nombre de usuario, Valor del
Registro
Servicios
Aplicación, Nombre de visualización, Servicio, Nombre de usuario
Plataforma Apache,
Solaris
Aplicación, URL, Consulta, Método, Nombre de usuario
Lista de directivas según el tipo
Tipo
Directivas
Archivos, plataforma
Windows
create, read, write, execute, delete, rename, attribute
HTTP, plataforma
Windows
request
Archivos, plataforma
Solaris
create, symlink, link, chown, chmod, write, rmdir, chdir, read,
unlink, mkdir, rename
Archivos, plataforma
Linux
create, link, setattr, write, rmdir, read, unlink, mkdir, rename
Registro
create, read, delete, modify, permissions, enumerate, monitor,
restore, replace, load
Servicios
start, stop, pause, continue, startup, profile_enable,
profile_disable, logon, create, delete
Plataforma Apache,
Solaris
request
186
A
Glosario
acampada
Técnica de pirateo para irrumpir en un sistema y después buscar un lugar seguro desde el que controlarlo,
almacenar información o volver a entrar en el sistema en otro momento.
actualización
Proceso de instalar actualizaciones de productos existentes o de conseguir nuevas versiones de productos.
actualización global
Método para el despliegue de las actualizaciones del producto, tan pronto como los archivos se comprueban
en el repositorio maestro, sin intervención del usuario. Los archivos se replican inmediatamente a todos
los repositorios distribuidos SuperAgent y globales; el servidor de ePolicy Orchestrator envía una llamada
de reactivación a todos los SuperAgents y estos, a su vez, envían una llamada de reactivación de emisión
a todos los agentes de la misma subred; a continuación, todos los equipos clientes obtienen los archivos
actualizados desde su respectivo repositorio más cercano.
actualización selectiva
Posibilidad de especificar qué versión de actualizaciones desea que los equipos cliente recuperen de
los repositorios de software distribuidos.
Consulte también rama.
administrador del sitio
Cuenta de usuario con permisos de lectura, escritura y eliminación, así como con derechos para todas
las operaciones para el sitio en concreto (excepto las restringidas al administrador global), y para todos
los grupos y equipos bajo él en el árbol de la consola.
Compare con revisor global, administrador global, revisor de sitio.
administrador global
Cuenta de usuario con permisos de lectura, escritura y eliminación, así como con derechos para todas
las operaciones, específicamente operaciones que afecten a toda la instalación, y que está reservada para
que sólo la utilice el administrador global.
Comparar con revisor global, administrador de sitio, revisor de sitio.
agente de ePolicy Orchestrator
Programa que realiza tareas en segundo plano en los equipos gestionados, hace de intermediario de todas
las solicitudes entre el servidor de ePolicy Orchestrator y los productos antivirus y de seguridad de dichos
equipos, y envía de vuelta un informe al servidor que indica el estado de las tareas.
agente inactivo
Cualquier agente que no se haya comunicado con el servidor de ePolicy Orchestrator dentro de un
determinado período de tiempo.
ajuste
Proceso de identificación de unos cuantos perfiles y de creación de directivas para ellos, en un esfuerzo
por reducir el número de falsos positivos y de evitar la generación de eventos.
187
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
ajustes de configuración
Consulte directiva.
alerta
Consulte también evento.
análisis de puertos
Técnica de pirateo que se utiliza para comprobar los puertos TCP/IP y así descubrir qué servicios están
disponibles con el fin de planificar una explotación de esos servicios, y para determinar el sistema operativo
de un equipo determinado.
aplicación de confianza
Aplicación que se sabe que es segura para un entorno, no tiene vulnerabilidades conocidas y tiene permiso
para realizar cualquier operación.
aplicación de alto riesgo
Según las reglas de protección de aplicaciones, una aplicación que se abre con código inyectado
en su espacio de memoria o biblioteca dinámica y que, por tanto, requiere protección.
árbol de la consola
Contenido de la ficha Árbol en el panel izquierdo de la consola de ePolicy Orchestrator; muestra los elementos
que están disponibles en la consola.
archivo de catálogo del paquete
Archivo que contiene detalles sobre cada paquete de actualización, incluidos el nombre del producto para
el cual está prevista la actualización, la versión del idioma y cualquier información para la instalación.
archivo .NAP
Extensión de archivos utilizada para designar archivos de programas del software McAfee que se instalan
en el repositorio de software para que ePolicy Orchestrator los gestione.
archivo EXTRA.DAT
Archivo adicional de definición de virus que se crea como respuesta al ataque de un nuevo virus o a una nueva
variante de un virus ya existente.
Consulte también archivos DAT y archivos DAT incrementales y SUPERDAT.
archivos DAT
Archivos de detección y definición, a veces llamados archivos de firma.
Consulte también archivo EXTRA.DAT, archivos DAT incrementales y SuperDAT.
archivos de directiva
Conjunto de ajustes de directivas para uno o más productos que se guardan en la unidad local del servidor
de ePolicy Orchestrator, pero a los que no se puede acceder mediante una consola remota.
Consulte también plantillas de directivas.
archivos de firma
Consulte archivos DAT.
ASCI
Consulte intervalo de comunicaciones de agente a servidor.
ataque
Intento de infracción contra la seguridad del sistema. Los ataques oscilan en gravedad, desde baja,
como por ejemplo alguien que ve los datos del sistema sin estar autorizado para ello, hasta alta, por ejemplo,
alguien que destruye o roba datos, o que hace que se pare el sistema.
ataque
Intento de infracción contra la seguridad del sistema. Los ataques oscilan en gravedad, desde baja, como
por ejemplo alguien que ve los datos del sistema sin estar autorizado para ello, hasta alta, por ejemplo, alguien
que destruye o roba datos, o que hace que se pare el sistema.
188
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
ataque del día cero
Ataque de explotación que aprovecha una vulnerabilidad de seguridad el mismo día que la vulnerabilidad
se hace conocida.
ataque DoS (por denegación de servicio)
Forma de ataque, intrusión, contra un equipo, un servidor o una red, que interrumpe la capacidad de
responder a solicitudes genuinas de conexión. Un ataque por denegación de servicio abruma a su objetivo
con falsas solicitudes de conexión, de forma que el objetivo ignora las solicitudes reales.
ataque por desbordamiento de búfer
Método de hacer desbordar un búfer de software para insertar y ejecutar otro código con privilegios elevados,
a menudo una plataforma desde la que enviar posteriores comandos.
ataque por ping
Método de saturación de una red con comandos ping.
ataque smurf
Ataque por denegación de servicio que inunda a su objetivo con respuestas a solicitudes de eco ICMP (ping).
Un ataque smurf envía solicitudes de ping a direcciones de difusión de Internet, que a su vez reenvían
las solicitudes de ping hasta a 255 hosts de una subred. La dirección de retorno de la solicitud de ping está
falseada para que parezca la dirección del objetivo del ataque. Todos los hosts que reciben solicitudes de ping
responden al objetivo atacado, inundándolo con sus respuestas.
base de datos de ePolicy Orchestrator
La base de datos que almacena todos los datos recibidos por el servidor de ePolicy Orchestrator desde
los agentes de ePolicy Orchestrator y todos los ajustes realizados en el propio servidor.
Consulte también servidor de base de datos de ePolicy Orchestrator.
bloqueo de aplicaciones
Función que permite o bloquea determinadas aplicaciones. Existen dos tipos de bloqueos de aplicaciones:
creación de aplicaciones y enlace de aplicaciones.
categoría
División de una función de Host Intrusion Prevention a la que se puede asignar una directiva. Por ejemplo,
la función IPS incluye las categorías Opciones IPS, Protección IPS y Reglas IPS.
Cliente de Host Intrusion Prevention (HIP)
Se refiere al módulo Host Intrusion Prevention que se instala en cada sistema host de su red. El cliente sirve
de capa protectora que rodea el sistema operativo de un equipo y sus aplicaciones, y que identifica y previene
potenciales infracciones de seguridad y ataques dañinos.
comunicación servidor a servidor
Cualquier comunicación que tenga lugar entre los agentes de ePolicy Orchestrator y el servidor ePolicy
Orchestrator donde los agentes y el servidor intercambian datos. Normalmente, el agente inicia toda
la comunicación con el servidor.
consola de ePolicy Orchestrator
Interfaz de usuario del software ePolicy Orchestrator que se utiliza para controlar y supervisar de forma
remota los equipos gestionados.
Consulte también consola remota de ePolicy Orchestrator.
consola remota
Consulte consola remota de ePolicy Orchestrator.
consola remota de ePolicy Orchestrator
Interfaz de usuario de ePolicy Orchestrator cuando se instala en un equipo independiente desde el servidor
de ePolicy Orchestrator.
Consulte también consola de ePolicy Orchestrator.
189
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
cortafuegos
Un filtro entre las conexiones de un equipo y una red que permite o bloquea el tráfico según las reglas
de cortafuegos. Con un filtrado con seguimiento de estado se controla el estado de las conexiones, y con
una inspección con seguimiento de estado se examina el rastreo de los comandos en un nivel superior
de la pila de red, lo que permite un mayor control y seguridad de las conexiones.
denegación de servicio
Sistema de ataque en el que un equipo se satura de solicitudes falsas, por lo que el equipo se colapsa
o no atiende a las solicitudes genuinas.
desplegar, despliegue
Acción de distribuir, instalar y configurar equipos clientes desde una ubicación central.
directiva
Grupo de ajustes asignados a una categoría de una función del producto. Para la mayoría de las categorías,
sólo se permite una directiva nombrada para cada una. Las excepciones son las Reglas IPS y las Reglas
de aplicaciones, en las que pueden aplicarse una o más directivas con nombre.
directiva efectiva
Unión de todas las directivas Reglas IPS y Reglas de aplicaciones de confianza que se aplican a todos
los equipos clientes.
directiva global
Directiva predeterminada de McAfee para una categoría.
directiva global/predeterminada de McAfee
La configuración de la directiva básica para una categoría que proporciona una protección instantánea.
Directorio
En el árbol de la consola la lista de todos los equipos que se gestionan a través de ePolicy Orchestrator,
el enlace a las interfaces principales para la gestión de estos equipos.
elemento
Consulte elemento del árbol de la consola.
elemento de árbol de la consola
Cada uno de los iconos individuales del árbol de la consola de ePolicy Orchestrator.
estado
Describe la forma en que funciona el cliente en realidad (estado actual) o funciona después de su siguiente
comunicación con el servidor (estado solicitado). La consola reconoce cuatro estados distintos: Normal,
Desinstalando, Sin conexión, Sin licencia.
estructura común
Arquitectura que permite que diferentes productos de McAfee compartan los componentes y el código
comunes, que son el Planificador de tareas, AutoUpdate y el agente ePolicy Orchestrator.
equipo cliente
Equipo en el que el agente de ePolicy Orchestrator y el cliente de Host Intrusion Prevention están instalados.
equipos
En el árbol de la consola se refiere a los equipos físicos de la red gestionada por ePolicy Orchestrator.
Los equipos se pueden agregar a los sitios o grupos existentes en el Directorio.
evento
Alerta desencadenada cuando se produce una violación de la seguridad según lo definido por una firma. Todos
los eventos desencadenados en un determinado host aparecen en la lista de eventos IPS.
Consulte también Firma.
190
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
extracción
Acción de copiar archivos desde un repositorio de origen o de reserva y pegarlos en el repositorio maestro.
Como es posible agregar manualmente archivos adicionales al repositorio maestro, sólo aquellos archivos
del repositorio de origen o de reserva se sobrescriben.
falso positivo
Evento desencadenado por una operación inofensiva de un proceso benigno, y no de una intrusión.
fisgonear
Observar una red de forma pasiva.
firma
Conjunto de reglas que describen las amenazas a la seguridad y las instrucciones a un host o una red. Cada
uno de los tres tipos de firmas IPS: de host (HIPS), personalizado (HIPS) y de red (NIPS), tiene un nivel
de gravedad asociado que indica el peligro del ataque potencial.
Consulte también regla de comportamiento.
forzar la instalación, forzar la desinstalación
Consulte tarea del cliente de despliegue del producto.
FRAMEPKG.EXE
Consulte paquete de instalación del agente.
fuerza bruta
Método de pirateo utilizado para buscar contraseñas o claves de codificación, que consiste en probar todas
las combinaciones posibles de caracteres, hasta que el código queda expuesto.
función
División funcional de un producto. Entre las funciones de Host Intrusion Prevention se incluyen IPS,
Cortafuegos, Bloqueo de aplicaciones y General.
grupo
En el árbol de la consola se trata de un conjunto lógico de entidades reunidas para facilitar su gestión.
Los grupos pueden contener otros grupos o equipos, y se les pueden asignar rangos de direcciones IP
o máscaras de subred IP para permitir clasificar los equipos por dirección IP. Si crea un grupo mediante
la importación de un dominio de Windows NT, puede enviar automáticamente el paquete de instalación
del agente a todos los equipos importados del dominio.
grupo Perdidos y encontrados
Grupo utilizado para almacenar temporalmente equipos cuya ubicación adecuada en el Directorio aún no se
ha podido determinar.
heredar, herencia
Acción de aplicar los ajustes definidos para un elemento dentro de una jerarquía desde el elemento
por encima de él.
host bloqueado
Host específico con el que Host Intrusion Prevention permite bloquear las comunicaciones; además,
el programa intenta rastrear el origen de los paquetes recibidos desde el host bloqueado.
host del agente
Consulte equipo cliente.
host, equipo host
Consulte equipo cliente.
llamada de reactivación del agente
La capacidad para iniciar la comunicación agente-servidor desde el servidor.
Consulte también llamada de reactivación de SuperAgent.
191
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
imponer, imposición
Acción de aplicar ajustes predefinidos sobre los equipos clientes a intervalos predeterminados.
incorporar, incorporación
Proceso de agregar archivos al repositorio maestro.
instalación en modo silencioso
Método de instalación que instala un paquete de software en un equipo en modo silencioso, sin necesidad
de que intervenga el usuario.
intervalo de comunicaciones de agente a servidor (ASCI)
Período de tiempo entre la comunicación predefinida de agente a servidor.
intervalo de imposición de directiva
El período de tiempo durante el cual el agente impone los ajustes que ha recibido desde el servidor de ePolicy
Orchestrator. Como estos ajustes se imponen localmente, el intervalo no precisa de ancho de banda.
inundación SYN
Técnica de pirateo utilizada para ocasionar una denegación del servicio. Los paquetes SYN se envían desde
un cliente con una dirección IP falsa y se envían a una velocidad superior a la que puede gestionar la pila
TCP del host. Como la dirección del cliente está simulada, el cliente no envía una señal de SYN-ACK, sino que
sigue inundando el host con paquetes SYN, con lo que satura todos los recursos del host.
IPS de host (HIPS)
Reglas de protección del host que controlan y previenen ataques al sistema operativo y las aplicaciones de un
sistema host.
IPS de red (NIPS)
Reglas de protección de red que controlan y evitan ataques en la red.
lista negra global
Lista de direcciones o dominios de correo electrónico que el administrador crea como estándar corporativo.
Cualquier mensaje de correo electrónico procedente de las direcciones o dominios de la lista negra global
siempre se tratará como correo basura.
Compárelo con lista blanca global; consulte también lista negra.
modo Adaptación
El ajuste de protección para un cliente HIP donde las reglas se aprenden y agregan automáticamente,
sin intervención del usuario. Este modo se aplica a las reglas de IPS, cortafuegos y bloqueo de aplicaciones.
modo Aprendizaje
El ajuste de Host Intrusion Prevention donde las reglas se aprenden y se agregan después de que un usuario
responda a una solicitud para permitir o bloquear una acción. Este modo se puede aplicar a las funciones
Cortafuegos y Bloqueo de aplicaciones.
modo Cuarentena
Aislamiento obligado de un equipo, hasta que se pueda realizar algún acción para actualizar las directivas
de protección.
Monitor del estado
Consulte Monitor del agente.
192
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
nivel de gravedad
Uno de los cuatro niveles de riesgo asignados a las definiciones de virus:
Información (azul): modificación a la configuración del sistema o intento de acceder a componentes esenciales
del sistema pero que en general no evidencia un ataque.
Baja (amarillo): modificación de la configuración del sistema o intento de acceder a componentes esenciales,
pero que no se identifica como un ataque conocido, aunque es indicativo de comportamiento sospechoso por
parte de un usuario o una aplicación.
Media (naranja): ataque conocido con un riesgo de bajo a medio, o un comportamiento muy sospechoso por
parte de un usuario o una aplicación.
Alta (roja): ataque que supone una grave amenaza para la seguridad.
nodo
Consulte elemento del árbol de la consola.
orificio trasero
Herramienta de administración remota que puede proporcionar acceso y control no deseados a un equipo,
a través del enlace a Internet. Funciona en Windows 95, Windows 98 y Windows NT.
panel de detalles
Panel derecho de la consola de ePolicy Orchestrator, que muestra detalles del elemento del árbol
de la consola actualmente seleccionado.
páginas de directivas
Parte de la consola de ePolicy Orchestrator; permiten establecer directivas y crear tareas planificadas para
los productos, y se guardan en servidores individuales de ePolicy Orchestrator (no se añaden al repositorio
maestro).
paquete de actualización
Archivos de paquete de McAfee que proporcionan actualizaciones a un producto. Todos los paquetes
se consideran actualizaciones del producto con la excepción de los archivos binarios (de Instalación)
del producto.
paquete de instalación personalizada del agente
Paquete de instalación del agente que utiliza las credenciales del usuario que se le proporcionan para realizar
la instalación, en vez de utilizar las del usuario de la sesión actual.
perfil
Agrupación de directivas basadas en el uso común de aplicaciones, la ubicación de red o los derechos
y privilegios de acceso.
ping de la muerte
Técnica de pirateo utilizada para originar una denegación de servicio, enviando un largo paquete ICMP
a un objetivo. Cuando el objetivo intenta reorganizar el paquete, el tamaño de éste supera el búfer y puede
hacer que el objetivo se reinicie o se cuelgue.
productos gestionados
Producto de seguridad, como Host Intrusion Prevention, que se gestiona desde ePolicy Orchestrator.
propiedades
Datos intercambiados durante la comunicación desde el agente al servidor y que incluyen información acerca
de cada equipo gestionado (por ejemplo, hardware y software) y sus productos gestionados (por ejemplo,
configuración específica de las directivas y número de la versión del producto).
propiedades completas
Conjunto completo de propiedades que se intercambian durante la comunicación de agente a servidor.
Consulte también propiedades incrementales.
193
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
propiedades completas
Todas las propiedades que se pueden intercambiar durante la comunicación del agente al servidor.
Consulte también propiedades mínimas.
puerta trasera
Infracción de seguridad planificada en una aplicación que puede permitir acceso no autorizado a los datos.
rama
Ubicaciones del repositorio maestro que permiten almacenar y distribuir distintas versiones
de las actualizaciones seleccionadas.
Consulte también actualización selectiva.
reacción
Respuesta de un cliente cuando intercepta una firma. Existen tres posibles reacciones: Ignorar (ignora
la operación), Registrar (registra la operación en la base de datos como una intrusión) y Evitar (impide que
la operación ilegal específica tenga lugar, y la registra).
regla de comportamiento
Regla IPS que define un perfil de actividad inofensiva. La actividad que no coincide con el perfil
desencadena un evento.
Consulte también firma.
regla de excepción
Regla que permite actividades inofensivas que, de otra forma, quedarían bloqueadas por una firma.
reglas de cliente
Regla IPS, de cortafuegos o de bloqueo de aplicaciones creada en un cliente para permitir actividades
inofensivas que, de otra forma, se bloquearían. Las reglas de cliente no forman parte de las directivas
de servidor, pero se pueden mover a una directiva para su aplicación en otros clientes.
Repositorio
Ubicación donde se almacenan páginas de directivas utilizadas para gestionar productos.
repositorios de software distribuidos
Conjunto de sitios Web o de equipos ubicados en la red, de tal forma que proporciona un acceso de ancho
de banda eficiente a los equipos clientes. Los repositorios de software distribuidos almacenan los archivos
que el equipo cliente necesita para instalar los productos compatibles, y las actualizaciones de dichos
productos.
Consulte también repositorio de reserva, repositorio global distribuido, repositorio local distribuido,
repositorio maestro, réplica de repositorio distribuido, repositorio de origen y repositorio distribuido de
SuperAgent.
repositorio de reserva
Tipo de repositorio de software distribuido que se utiliza en el caso de que los equipos clientes no puedan
establecer conexión con ninguno de sus repositorios distribuidos predefinidos. Normalmente, otro repositorio
de origen se define como repositorio de reserva.
Consulte también replicar, réplica.
repositorio global distribuido
Repositorio distribuido de software que se puede mantener automáticamente al día con el contenido
del repositorio maestro.
Consulte también replicar, réplica.
repositorio maestro
Tipo de repositorio de software distribuido cuyo contenido funciona como estándar para todos los demás
repositorios estándar. Normalmente, el contenido del repositorio maestro se define partiendo de una
combinación del contenido del repositorio de origen y archivos adicionales agregados manualmente
al repositorio maestro.
Consulte también extracción; replicar, réplica.
194
McAfee® Host Intrusion Prevention 6.1 Guía del producto
Glosario
repositorio local distribuido
Tipo de repositorio de software distribuido cuyo contenido se actualiza manualmente.
Revisiones (en adelante, Parches)
Versiones intermedias del producto que resuelven problemas específicos.
revisor de sitio
Cuenta de usuario con permisos de solo lectura que puede ver toda la configuración del software del sitio
especificado, pero no puede cambiarla.
Compare con administrador global, revisor global, administrador de sitio.
revisor global
Cuenta de usuario con permisos de solo lectura que puede ver toda la configuración del software de una
instalación completa, pero no puede cambiarla.
Compárese con administrador global, administrador de sitio, revisor de sitio.
servidor de base de datos de ePolicy Orchestrator
Equipo host de la base de datos de ePolicy Orchestrator. Puede ser el mismo equipo en el que está instalado
el servidor de ePolicy Orchestrator o un equipo distinto.
servidor de ePolicy Orchestrator
Componente de fondo del software ePolicy Orchestrator.
Consulte también agente de ePolicy Orchestrator y consola de ePolicy Orchestrator.
simular
Falsear algo, como una dirección IP, para ocultar la ubicación y la identidad propias.
sitio
En el árbol de la consola, se trata de un conjunto lógico de entidades reunidas para facilitar su gestión.
Los sitios pueden contener grupos o equipos y se pueden organizar por rango de direcciones IP, máscara
de subred IP, ubicación, departamento, etc.
sitio de descargas
Sitio Web de McAfee desde el cual se recuperan actualizaciones del producto o de archivos DAT.
Consulte también sitio de actualización.
tarea
Consulte tareas del cliente, tareas del servidor.
tarea de cliente de despliegue del producto
Tarea planificada para desplegar a la vez todos los productos actualmente marcados en el repositorio maestro.
Permite planificar instalaciones y desinstalaciones de productos durante las horas de menos trabajo o durante
el intervalo de imposición de la directiva.
tareas del servidor
Tareas que se pueden ejecutar desde el servidor del software.
troyano
Programa que pretende tener, o se describe como que tiene, una serie de características útiles o deseables,
pero cuyo contenido en realidad es perjudicial. Los archivos troyanos no pueden considerarse técnicamente
virus, porque no se replican.
utilidad de notificación de errores
Utilidad diseñada específicamente para controlar y registrar los errores del software McAfee de su sistema.
La información obtenida se puede utilizar para analizar los problemas.
vista agregada
Vista de elementos idénticos agrupados en una sola entidad.
195
Indice
A
simulación detectada, 140
acceso rápido
aplicaciones de confianza
Cliente Linux
imposición de directivas, 156
eventos IPS, 36
activación, 114
notas, 156
reglas de bloqueo de
aplicaciones, 95
creación, 113
resumen, 156
creación basada en
evento, 61
reglas de cliente de bloqueo
de aplicaciones, 95
Reglas de cliente del
cortafuegos, 79
reglas de cliente IPS, 36
Reglas de cortafuegos, 79
imposición de directivas, 153
edición, 114
resumen, 153
eliminación, 114
actualización
clientes, 131
contenido, 130
desactivación, 114
archivos DAT
reglas IPS, 36
actualizaciones, sitio Web, 14
alertas, 137
Servicio de notificación de
actualizaciones de Avert
Labs, 14
configuración de
opciones, 134
proceso, 130
actualizaciones de seguridad,
archivos DAT y motor, 14
consola, 133
desbloquear IU, 134
en IU, 32
actualizaciones de producto, 14
solución de problemas, 153
Cliente Windows
ayuda
incorporación de
actualización, 130
solución de problemas, 157
Cliente Solaris
explicación de los iconos, 32
ficha Directiva de
aplicación, 146
procedimientos de
navegación, 31
ficha Directiva de
cortafuegos, 144
uso, 31
ficha Directiva IPS, 142
B
ficha Hosts bloqueados, 148
análisis de eventos, 115
biblioteca de amenazas, 14
ficha Protección de
aplicaciones, 150
aplicación de nuevas
directivas, 116
Biblioteca de amenazas Avert
Labs, 14
automatizado, 162
Biblioteca de información de
virus (consulte Biblioteca de
amenazas Avert Labs)
ajuste
creación de aplicaciones de
confianza, 116
creación de excepciones, 116
Bloqueo de aplicaciones
acceso rápido, 95
creación de nuevas
directivas, 116
configuración de
opciones, 96
reglas de cliente, 116
reglas de cliente, 18
alertas
Active X, 29
bloqueo de aplicaciones, 139
resumen, 94
bloqueo de aplicaciones
creación, 94
cortafuegos, 138
directivas preestablecidas, 95
cuarentena, 140
intrusos, 137
simulación detectada, 140
enlace, 95
Buscar en la base de datos
KnowledgeBase, 14
suprograma Java, 29
visualización de directivas, 29
Alertas del cliente Windows
bloqueo de aplicaciones, 139
cortafuegos, 138
Ficha Registro de
actividades, 151
icono de la bandeja del
sistema, 109, 133
Lista de hosts
bloqueados, 148
lista de la ficha Protección de
aplicaciones, 150
lista de la ficha Registro de
actividades, 152
lista de reglas de la ficha
Directiva de aplicación, 147
lista de reglas de la ficha
Directiva de cortafuegos, 145
lista de reglas de la ficha
Directiva IPS, 143
notificación de errores, 135
C
opciones de la ficha Directiva
de aplicación, 146
Centro de amenazas (consulte
Avert Labs)
opciones de la ficha Directiva
de cortafuegos, 144
Centro de amenazas Avert
Labs, 14
opciones de la ficha Directiva
IPS, 142
cuarentena, 140
opciones de la ficha Registro
de actividades, 151
intrusos, 137
196
®
McAfee Host Intrusion Prevention 6.1 Guía del producto
reglas de la ficha Directiva de
aplicación, 147
reglas de la ficha Directiva de
cortafuegos, 145
reglas de la ficha Directiva
IPS, 143
resumen, 132
solución de problemas, 135
solución de problemas,
motores IPS, 136
solución de problemas,
registro, 135
contraseñas
Indice
contraseñas, 107
nodos a los que se
asigna, 119
creación, 106
propiedad, 20
directiva Opciones de bloqueo de
aplicaciones
protección
preconfigurada, 21
configuración, 96
tareas, 117
directiva Opciones de cuarentena
uso de la ficha Directivas, 117
configuración, 90
uso del Catálogo de
directivas, 119
directiva Opciones del
cortafuegos
visualización de
información, 119
configuración, 79
directivas preestablecidas, 79
visualización del
propietario, 120
directiva Opciones IPS
administrador, 108
configuración, 36
basadas en tiempos, 109
creación, 37
Bloqueo de aplicaciones, 95
de IU de cliente, 107
directivas preestablecidas, 36
cortafuegos, 78
Control de IU de cliente Windows
icono de la bandeja, 109
convenciones de la guía
fuentes y símbolos, 12
cortafuegos
directiva Reglas de
cuarentena, 91
directivas preestablecidas, 78
filtrado de paquetes, 70
grupos de reglas, 74
grupos para conexión, 74
inspección de paquetes, 70
migración a reglas con
seguimiento de estado, 78
directivas preestablecidas
directiva Protección IPS
General, 104
directivas preestablecidas, 39
IPS, 35
directiva Redes de
confianza, 110
Opciones del cortafuegos, 79
Opciones IPS, 36
configuración, 110
Protección IPS, 39
directiva Reglas de bloqueo de
aplicaciones
Reglas de cortafuegos, 81
configuración, 98
E
creación, 98, 100
enviar una muestra, Avert Labs
WebImmune, 14
directiva Reglas de cortafuegos
configuración, 81
ePO
creación, 81
consola, 24
directivas preestablecidas, 81
gestión de directivas, 25
directiva Reglas de cuarentena
informes, 26
modo Adaptación, 76
configuración, 91
notificaciones, 26
modo Aprendizaje, 76
creación, 91
operaciones utilizadas con
Host Intrusion
Prevention, 24
reglas, 17
directiva Reglas IPS
reglas de cuarentena, 77
asignación, 41
reglas para conexión, 74
configuración, 41
resumen de funciones, 69
creación, 41
tabla de estado, 70
detalles, 42
evaluación de productos de
McAfee, sitio Web de
descargas, 14
firmas, 46
eventos IPS, 56
cuarentena
directivas y reglas, 77
D
definición de términos (consulte
Glosario)
propietarios de directivas, 26
reglas de excepción, 42
análisis, 115
reglas de protección de
aplicaciones, 53
configuración de la vista, 58
directivas
creación de aplicaciones de
confianza, 61
administradores, 161
creación de excepciones, 61, 162
asignación, 20, 117, 161
filtrado de vista, 58
asignación de
propietarios, 26
marcado, 59
destinatarios del manual, 11
bloqueo de asignaciones, 20
marcado como no leído, 59
directiva Aplicaciones de
confianza
categorías, 19
marcado de similares, 60
aplicación, 112
coincidencia con un
perfil, 163
mostrar ocultos, 59
configuración, 112
configuración, 29
creación, 112
edición de información, 120
despliegue
afinación, 115
ajuste, 22, 30, 115, 162
directiva Imponer directivas
configuración, 105
directiva IU de cliente
gestión, 19, 25
herencia, 20, 117
imposición, 19, 161
aplicación, 106
imposición desactivada, 120
configuración, 105
mantenimiento, 117
197
marcado como leído, 59
ocultación, 59
resumen, 56
visualización, 57, 162
detalles, 61
®
McAfee Host Intrusion Prevention 6.1 Guía del producto
Indice
F
H
filtrado con seguimiento de
estado, 72
Host Intrusion Prevention
M
modo Adaptación, 21, 28
filtrado de paquetes, 70
ayuda, 31
bloqueo
de aplicaciones, 28, 96
firmas, 46
configuración, 23
cortafuegos, 28, 76
ajuste, 30
creación, 48
despliegue de clientes, 27
creación con el método
estándar, 52
instalación, 26
creación con el método
experto, 52
trabajo con clientes, 27
creación con el modo
estándar, 50
creación de
personalizadas, 163
uso de ePO, 23 to 24
edición, 48
IPS de red, 34
modificación de vista, 48
niveles de gravedad, 46
personalizadas, 46, 48
red, 46
tipos, 46
firmas de host, 46
firmas de red, 46
formación, recursos de
McAfee, 14
función General
cortafuegos, 28, 76
N
Alto (rojo), 46
imposición de directivas
Cliente Linux, 156
IPS de host, 34
bloqueo de
aplicaciones, 28, 139
niveles de seguridad
I
Cliente Solaris, 153
host, 46
modo Aprendizaje, 21, 28
mantenimiento, 21
de host personalizadas, 46
edición de personalizadas, 52
IPS, 28, 36
despliegue, 21
creación con asistente, 49
información del producto
recursos, 13
Bajo (amarillo), 46
Información (azul), 46
Medio (naranja), 46
notificaciones
generación, 26
informes, 22
tipos, 124
Actualizaciones de cuarentena
con error, 129
uso, 123
ejecución, 125
nuevas funciones, 10
generación, 26
P
listas, 126
personalizadas
predefinidos, 125
firmas de host, 46
Primeras 10 aplicaciones
bloqueadas, 129
firmas, información
adicional, 52
Primeras 10 firmas
desencadenadas, 128
R
Primeros 10 nodos atacados
para IPS, 128
rastreo de protocolos con
seguimiento de estado, 73
directivas
preestablecidas, 104
Resumen de aplicaciones
bloqueadas, 128
DHCP, 74
resumen, 103
Resumen de eventos IPS por
destino, 127
FTP, 74
funciones
Bloqueo de
aplicaciones, 18, 94
Resumen de eventos IPS por
firma, 126
Cortafuegos, 17, 69
Resumen de intrusos de red
por IP de origen, 127
General, 18
IPS, 15, 33
G
glosario, 187 to 195
grupo de reglas de cortafuegos
creación, 85
eliminación, 87
grupo para conexión
creación, 85
grupos de cuarentena
eliminación, 93
grupos de reglas
cortafuegos, 74
inspección de paquetes con
seguimiento de estado, 73
inspección de paquetes,
cortafuegos, 70
IPS
eventos, 16
eventos, análisis, 115
firmas, 15
DNS, 74
ICMP, 73
TCP, 74
recursos de la guía
documentación del
producto, 13
Redes de confianza
opciones, 110
reglas de bloqueo de
aplicaciones, 99
creación, 100
eliminación, 101
reglas de cliente
función, 15
bloqueo de aplicaciones, 101
reacciones, 16
cortafuegos, 17, 88
reglas de excepción, 16
reglas de excepción del
cliente, 17
resumen de funciones, 33
grupos de reglas de cuarentena
IPS, 64
reglas de cliente de bloqueo de
aplicaciones
Vista agregada, 101
Vista normal, 101
creación, 93
visualización, 101
198
®
McAfee Host Intrusion Prevention 6.1 Guía del producto
reglas de cliente del cortafuegos
acceso rápido, 79
Indice
reglas de protección de
aplicaciones, 53
agregación, 89
activación, 56
vista agregada, 89
creación, 54
vista normal, 88
desactivación, 56
visualización, 88
edición, 56
eliminación, 56
reglas de cliente IPS, 63
resumen, 53
agregación, 65
migración a una directiva, 64
reglas del cortafuegos
cliente, 17
resumen, 63
vista agregada, 65
S
vista normal, 64
Sede central de seguridad
(consulte Avert Labs)
reglas de comportamiento, 35
reglas de cortafuegos, 71
6.0, 69
6.1, 69
acceso rápido, 79
ServicePortal, soporte
técnico, 14
servicio de atención al cliente,
contactar, 14
agregación, 85
servicios profesionales, recursos
de McAfee, 14
cómo funcionan, 71
sitio web de actualizaciones, 14
con seguimiento de
estado, 69
sitio web de descargas, 14
creación, 85
edición, 84
sitio Web de programa beta, 14
solución de problemas
Cliente Linux, 157
eliminación, 87
estáticas, 69
filtrado con seguimiento de
estado, 72
Cliente Solaris, 153
soporte técnico, contactar, 14
T
inspección con seguimiento
de estado, 73
tabla de estado, cortafuegos, 70
migración a seguimiento de
estado, 78
Archivador de eventos, 122
tareas del servidor, 122
Puerta de enlace de
directorio, 122
orden, 71
rastreo de protocolos con
seguimiento de estado, 73
Traductor de
propiedades, 122
visualización, 84
reglas de cuarentena
U
agregación, 93
UDP, 73
creación, 93
uso de esta guía, 11
edición, 92
eliminación, 93
visualización, 92
reglas de excepción, 16
activación, 45
V
Versiones de revisión (para
productos y vulnerabilidades de
seguridad), 14
búsqueda, 66
vulnerabilidades de seguridad,
versiones para, 14
búsqueda de relacionadas, 63
W
creación, 43
WebImmune, Centro de
amenazas Avert Labs, 14
creación basada en
evento, 61
desactivación, 45
edición, 44
eliminación, 45
mover a otra directiva, 66
movimiento a otra
directiva, 45
199
700-1499-02
Copyright © 2006 McAfee, Inc. Reservados todos los derechos.
mcafee.com

Documentos relacionados