Directivas y Reglas Hip - 800 - Product - Guide - Epo40 - Es-Es PDF

McAfee Host Intrusion Prevention 8.
0
Gua del producto para su uso con ePolicy Orchestrator 4.0
COPYRIGHT
Copyright 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproduccin, transmisin, transcripcin, almacenamiento en un sistema de recuperacin o traduccin a ningn idioma, de
este documento o parte del mismo, de ninguna forma ni por ningn medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros pases.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las dems marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QU TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARG EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRI CON EL FIN DE OBTENER SU REEMBOLSO
NTEGRO.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Contenido
Introduccin a Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Proteccin de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gestin de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Seguimiento y ajuste de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Gestin de la proteccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Gestin de la informacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Paneles de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consultas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Gestin de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dnde encontrar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuracin de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Proteccin predeterminada y ajustes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Migracin de directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Gestin del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Conjuntos de permisos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tareas del servidor de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Notificaciones de eventos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Actualizaciones de proteccin de IPS en host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configuracin de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Resumen de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Mtodos para la entrega de proteccin IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Firmas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Reglas de comportamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Reacciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Excepciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Reglas de proteccin de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Activar la proteccin IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuracin de la directiva de opciones IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Configuracin de la reaccin para firmas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Contenido
Configuracin de la directiva Proteccin IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Definicin de proteccin de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configuracin de la directiva Reglas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Asignacin de varias instancias de la directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Preguntas frecuentes: directivas de instancias mltiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Cmo funcionan las firmas de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Cmo funcionan las reglas de proteccin de aplicaciones de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Cmo funcionan las excepciones de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Supervisin de eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Gestin de eventos IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Creacin de una excepcin para un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Creacin de una aplicacin de confianza de un evento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Supervisin de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Gestin de reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Configuracin de directivas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Resumen de directivas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Cmo funcionan las reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Cmo funcionan los grupos de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Cmo funciona el catlogo de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Inspeccin y filtrado de paquetes con seguimiento de estado del firewall. . . . . . . . . . . . . . . . . . . . . 65
Cmo afectan los modos aprendizaje y adaptacin al firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Reglas de firewall para cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Activacin de proteccin por firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuracin de la directiva Opciones del firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Preguntas frecuentes: McAfee TrustedSource y el firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Definicin de la proteccin de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Configuracin de la directiva Reglas del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Creacin y edicin de reglas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Creacin y edicin de grupos de reglas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Creacin de grupos de aislamiento de conexin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Bloqueo del trfico DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Uso del catlogo de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Gestin de Reglas de cliente del firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Preguntas frecuentes: uso de caracteres comodn en reglas de firewall. . . . . . . . . . . . . . . . . . . . . . 79
Configuracin de directivas generales
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Introduccin a las directivas generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Definicin de la funcionalidad de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Contenido
Configuracin de una directiva IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Definicin de opciones generales de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Configuracin de opciones avanzadas y contraseas de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . 83
Definicin de opciones de solucin de problemas de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Definicin de redes de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuracin de una directiva de redes de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Definicin de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Configuracin de una directiva de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Creacin y edicin de reglas de aplicaciones de confianza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Asignacin de varias instancias de la directiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Uso de clientes de Host Intrusion Prevention
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Introduccin al cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Men Icono de la bandeja de sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Consola de clientes para clientes Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Desbloqueo de la interfaz del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Definicin de opciones de IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Solucin de problemas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Alertas del cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Acerca de la ficha Directiva de IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Acerca de la ficha Directiva de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Acerca de la ficha Hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Edicin de la lista de hosts bloqueados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Acerca de la ficha Lista de proteccin de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Acerca de la Ficha Registro de actividad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Introduccin al cliente Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Aplicacin de directivas con el cliente Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Solucin de problemas del cliente Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Introduccin al cliente Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Aplicacin de directivas con el cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Notas acerca del cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Solucin de problemas del cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Apndice A -- Escritura de firmas personalizadas y excepciones. . . . . . . . . . . . . . . . . . 111

Estructura de regla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Secciones comunes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Secciones comunes opcionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Caracteres comodn y variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Firmas personalizadas de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Contenido
Desbordamiento de bfer de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Archivos de clase de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Hook de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Uso de host ilegal IPS API, clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Uso ilegal, clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Isapi (HTTP) de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Programa de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Registro de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Servicios de la clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
SQL de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Clases y directivas de la plataforma Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Firmas personalizadas no Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Solaris/Linux clase UNIX_file. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Solaris/Linux class UNIX_apache (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Solaris/Linux clase UNIX_Misc. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Solaris clase UNIX_bo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Solaris clase UNIX_map. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Solaris clase UNIX_GUID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Clases y directivas de la plataforma UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Apndice B: solucin de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Problemas generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Registros de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Utilidad Clientcontrol.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Introduccin a Host Intrusion Prevention
McAfee Host Intrusion Prevention es un sistema de deteccin y prevencin de intrusos basado

en host que protege los recursos del sistema y las aplicaciones frente a los ataques internos y
externos. Proporciona una solucin escalable y de fcil manejo para evitar intrusiones en
estaciones de trabajo, porttiles y servidores crticos, incluidos servidores web y de bases de
datos. Su tecnologa patentada bloquea proactivamente ataques de da cero (zero day) y ataques
conocidos.
Host Intrusion Prevention (en ocasiones abreviado en el producto como Host IPS o HIP) puede
proteger informacin e impedir la puesta en peligro de los recursos del sistema y de la red, as
como de las aplicaciones que almacenan y proporcionan informacin. Logra este objetivo
mediante la funcin de firewall de punto final y la funcin IPS (Intrusion Prevention System,
sistema de prevencin de intrusiones). La funcin IPS dispone de actualizaciones de contenido
mensuales, lo que reduce la urgencia de los parches para nuevas amenazas. La funcin de
firewall de Host Intrusion Prevention se adquiere por separado o en combinacin con la funcin
IPS de Host Intrusion Prevention.
Host Intrusion Prevention est totalmente integrado con ePolicy Orchestrator y utiliza su
estructura para proporcionar y aplicar directivas. Este enfoque proporciona una solucin de
gestin nica que permite el despliegue masivo en un total de hasta 100.000 sistemas en varios
idiomas y en la totalidad de la empresa con el objetivo de ofrecer una exhaustiva cobertura
real.
Contenido
Proteccin de IPS en host
Directivas de Host IPS
Gestin de directivas de IPS en host
Seguimiento y ajuste de directivas de IPS en host
Proteccin de IPS en host

Una vez que todos los componentes necesarios para Host Intrusion Prevention estn instalados
y puedan comunicarse, ya est preparado para aplicar la proteccin, supervisar los eventos y
actualizar las directivas y los contenidos segn sea necesario.
Proteccin bsica
Host Intrusion Prevention se entrega con un conjunto de configuraciones predeterminadas que
proporcionan una proteccin bsica para su entorno. Las opciones incluyen:
Para proteccin de IPS:
Las firmas de gravedad alta se evitan y las dems firmas se ignoran.

Las aplicaciones de McAfee se enumeran como aplicaciones de confianza para todas las
reglas, excepto para las reglas de autoproteccin de IPS.
Se protegen las aplicaciones y procesos predefinidos.
Para la proteccin de firewall:
Se permite la conectividad bsica de red.
NOTA: cuando Host Intrusion Prevention 8.0 se instala por primera vez, no est activa ninguna
proteccin. Debe activar la proteccin en la directiva Opciones de IPS u Opciones del firewall
y aplicar la directiva al cliente.
Proteccin avanzada
Para obtener proteccin avanzada, cambie de configuraciones IPS predeterminadas a
configuraciones preestablecidas ms estrictas o cree configuraciones personalizadas.
Empiece con un despliegue de muestra para supervisar y ajustar la nueva configuracin. Los
ajustes necesitan equilibrar la proteccin contra prevencin de intrusos y acceder a la informacin
necesaria y a las aplicaciones por tipos de grupo.

Una directiva es un conjunto de parmetros que puede configurar y aplicar en la consola de
ePolicy Orchestrator. La aplicacin de directivas asegura que las necesidades de seguridad en
sistemas gestionados se cumplan. Host Intrusion Prevention proporciona tres funciones de
directiva, cada una con un conjunto de opciones de seguridad. Son las siguientes: IPS, Firewall
y General. Las funciones IPS y Firewall contienen una directiva de "reglas" con reglas que
definen el comportamiento y una directiva de "opciones" que habilita o deshabilita las reglas.
La propiedad de las directivas se asigna en Catlogo de directivas. Una vez creada una
directiva, esta solo puede modificarla o eliminarla su creador, la persona asociada como
propietario de la directiva o el administrador global. La eliminacin de las directivas solo puede
llevarse a cabo en Catlogo de directivas.
Directivas de IPS
La funcin IPS incluye tres directivas que protegen los equipos Windows y los que no son
Windows. Detalla las excepciones, las firmas, las reglas de proteccin de aplicaciones, los
eventos y las excepciones generadas por los clientes.
Opciones de IPS (todas las plataformas). Activa o desactiva la proteccin IPS y la aplicacin
del modo de adaptacin para el ajuste.
Proteccin de IPS (todas las plataformas). Define la reaccin de proteccin a los eventos
que generan las firmas.
Reglas IPS (todas las plataformas). Define excepciones, firmas y reglas de proteccin de
aplicaciones. Esta directiva es una directiva de mltiples instancias, lo que permite que se
asignen a un sistema varias directivas de Reglas IPS, en lugar de una sola direciva. Por lo
tanto, la directiva efectiva es el resultado de los contenidos unidos de las directivas. Si hay
configuraciones en conflicto, se aplica la configuracin explcita que ofrezca mayor proteccin.

Directivas de firewall
La funcin Firewall incluye tres directivas que solo protegen los equipos Windows. Filtra el
trfico de red, lo que permite que el trfico legtimo pase a travs del firewall, y bloquea el
resto.
Opciones de firewall (solo Windows). Activa o desactiva la proteccin del firewall y la
aplicacin del modo de adaptacin o de aprendizaje para el ajuste.
Reglas de firewall (solo Windows). Define las reglas de firewall.
Bloqueo DNS del firewall (solo Windows). Define los servidores de nombre de dominio
que han de bloquearse.
Directivas generales
La funcin General incluye tres directivas que pueden aplicarse a las funciones IPS y Firewall.
IU de cliente (solo Windows). Define el acceso a la interfaz de usuario de Host Intrusion
Prevention en los sistemas de cliente Windows, as como a las opciones de solucin de
problemas. Tambin proporciona proteccin mediante contrasea a todos los sistemas de
clientes que no son Windows.
Redes de confianza (solo Windows). Muestra direcciones IP y redes seguras para establecer
comunicacin. Se usa con las funciones IPS y Firewall.
Aplicaciones de confianza (todas las plataformas). Muestra aplicaciones que son de
confianza para realizar operaciones. Se usa con la funcin IPS. Esta directiva es una directiva
de mltiples instancias, lo que permite que se asignen a un sistema varias directivas de
Aplicaciones de confianza, en lugar de una sola direciva. Por lo tanto, la directiva efectiva
es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto,
se aplica la configuracin que ofrezca mayor proteccin.

La consola de ePolicy Orchestrator le permite configurar las directivas de Host Intrusion
Prevention desde una localizacin central.
Cmo se hacen efectivas las directivas
Cuando se modifican las directivas de Host Intrusion Prevention en la consola de ePolicy
Orchestrator, los cambios surten efecto en los sistemas gestionados en la siguiente comunicacin
entre agente y servidor. El valor predeterminado de este intervalo es de 60 minutos. Para aplicar
las directivas inmediatamente, puede enviar una llamada de activacin del agente desde la
consola de ePolicy Orchestrator.
Directivas y sus categoras
La informacin de directivas de Host Intrusion Prevention se agrupa segn funcin y categora.
Cada categora se refiere a un subconjunto especfico de valores de directivas.
Una directiva es un grupo de configuraciones definidas con un propsito especfico. Puede crear,
modificar o eliminar tantas directivas como sea necesario.
Cada directiva tiene una directiva McAfee Default preconfigurada que no se puede editar o
eliminar. Con excepcin de las reglas IPS y las aplicaciones de confianza, todas las directivas
tienen tambien una directiva Mis valores predeterminados que se puede editar y que est
basada en la directiva predeterminada. Algunas categoras de directivas incluyen directivas

preconfiguradas de solo lectura. Si estas directivas cubren sus necesidades, puede aplicar
cualquiera de ellas. Estas directivas de solo lectura, como todas las directivas, pueden duplicarse
y personalizar el duplicado, si fuera necesario.
Las reglas IPS y las aplicaciones de confianza son directivas de instancias mltiples, ya que
puede asignar mltiples instancias de directivas bajo una nica directiva. Las instancias de
directivas se combinan automticamente en una directiva en vigor.
SUGERENCIA: las directivas McAfee Default para Reglas IPS y Aplicaciones de confianza se
actualizan automticamente como parte del proceso de actualizacin de contenido. McAfee
recomienda asignar siempre estas directivas a todos los clientes y crear instancias adicionales
de la directiva para personalizar el comportamiento de estas dos directivas.
Cmo se aplican las directivas
Las directivas se aplican a cada grupo o sistema del rbol del sistema, ya sea por herencia o
por asignacin. Herencia determina si la configuracin de directivas de cualquier sistema procede
de su nodo principal. La herencia est activada de forma predeterminada en todo el rbol de
sistemas. Puede romper la herencia mediante asignacin directa de directivas. Host Intrusion
Prevention, si se gestiona desde ePolicy Orchestrator, le permite crear directivas y asignarlas
sin contar con la herencia. Cuando se interrumpe esta herencia asignando una nueva directiva,
todos los grupos y sistemas secundarios heredan la nueva directiva.
Propietarios de las directivas
Cada directiva tiene que tener asignado un propietario. La propiedad asegura que nadie ms
que el administrador global, el creador de la directiva o la persona asociada como propietario
de la directiva pueda modificarla. Cualquier administrador puede utilizar una directiva que exista
en el catlogo, pero nicamente el creador, el propietario o el administrador global podrn
modificarla.
SUGERENCIA: en lugar de utilizar una directiva que es propiedad de un administrador diferente,
se aconseja duplicar la directiva y, a continuacin, asignar el duplicado. Por otro lado, si asigna
una directiva de la que no es propietario a grupos de rbol del sistema que administra y el
propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva
recibirn estas modificaciones.

El despliegue y la gestin de los clientes de Host Intrusion Prevention se realizan desde ePolicy
Orchestrator. En el rbol del sistema de ePO, puede agrupar sistemas jerrquicamente por
atributos. Por ejemplo, puede agrupar un primer nivel por localizacin geogrfica y un segundo
nivel por plataforma del sistema operativo o direccin IP. McAfee recomienda agrupar los
sistemas en funcin de criterios de configuracin de Host Intrusion Prevention, incluidos el tipo
de sistema (servidor o equipo de escritorio), el uso de aplicaciones principales (Web, base de
datos o servidor de correo) y ubicaciones estratgicas (DMZ o Intranet). Puede colocar sistemas
que se ajusten a un perfil de uso comn en un grupo comn del rbol del sistema. De hecho,
puede nombrar un grupo segn su perfil de uso (por ejemplo, Servidores web)
Con los equipos agrupados en el rbol del sistema segn el tipo, la funcin o la ubicacin
geogrfica, es posible dividir fcilmente las funciones administrativas segn los mismos criterios.
Con Host Intrusion Prevention puede dividir tareas administrativas de acuerdo con las funciones
del producto, como IPS o firewall.
10

El despliegue de Host Intrusion Prevention en miles de equipos se gestiona fcilmente, ya que

la mayora de los equipos encajan en un pequeo nmero de perfiles de uso. La gestin de un
gran despliegue se reduce a mantener unas cuantas reglas de directivas. A medida que crece
el despliegue, los sistemas que se acaben de agregar debern ajustarse a uno o varios perfiles
existentes y colocarse en el grupo correcto del rbol del sistema.
Proteccin preconfigurada
Host Intrusion Prevention ofrece dos tipos de proteccin:
La proteccin bsica est disponible mediante la configuracin de directiva McAfee Default.
Esta proteccin requiere pocos ajustes (o ninguno) y genera pocos eventos. Para muchos
entornos esta proteccin bsica podra ser suficiente.
La proteccin avanzada tambin est disponible en algunas directivas de IPS y firewall
preconfiguradas o mediante la creacin de directivas personalizadas. Los servidores, por
ejemplo, necesitan una proteccin ms potente que la que ofrece la proteccin bsica.
En ambos casos, son necesarios algunos ajustes de la configuracin de proteccin para entornos
reales de trabajo.
Modo de adaptacin
Para ayudar a ajustar la configuracin de la proteccin, los clientes de Host Intrusion Prevention
pueden crear reglas de cliente para las directivas impuestas por el servidor que bloqueen
actividades inofensivas. La creacin automtica de reglas de cliente se permite cuando los
clientes estn en modo de adaptacin. En el modo de adaptacin, las reglas del cliente se crean
sin interaccin por parte del usuario. Despus de crear reglas de cliente, necesita analizarlas
detenidamente y decidir cul de ellas se debe convertir a directiva impuesta por el servidor.
Con frecuencia, en organizaciones de gran tamao, evitar las interrupciones en las actividades
de la empresa tiene prioridad sobre los asuntos de seguridad. Por ejemplo, podra ser necesario
instalar peridicamente nuevas aplicaciones en algunos equipos y es posible que no se disponga
del tiempo ni de los recursos necesarios para ajustarlos inmediatamente. Host Intrusion
Prevention permite colocar equipos especficos en modo de adaptacin para proteccin IPS.
Estos equipos pueden realizar un perfil de una aplicacin recin instalada y reenviar las reglas
de cliente resultantes al servidor de ePolicy Orchestrator. El administrador puede promover
estas reglas de cliente a un directiva nueva o existente y, a continuacin, aplicar la directiva a
otros equipos para gestionar el nuevo software.
En el modo de adaptacin, los sistemas no tienen virtualmente ninguna proteccin, as que el
modo de adaptacin debe usarse solo para ajustar un entorno, y es necesario desactivarlo para
aumentar la proteccin del sistema.
Ajuste
Como parte del despliegue de Host Intrusion Prevention, es necesario identificar un nmero
pequeo de perfiles de uso distintos y crear directivas para ellos. La mejor manera de conseguirlo
es ajustar un despliegue de prueba y despus comenzar a reducir el nmero de falsos positivos
y eventos generados. Este proceso se denomina ajuste.
Reglas IPS ms estrictas sealan un rango ms amplio de infracciones y generan muchos ms
eventos que en un entorno bsico. Si aplica la proteccin avanzada, McAfee recomienda utilizar
la directiva Proteccin IPS para escalonar el impacto. Esto implica el trazado de cada uno de
los niveles de gravedad (alta, media, baja o informacin) con una reaccin (prevenir, registrar,
ignorar). Si inicialmente se establecen las reacciones de todos los niveles de gravedad como
Ignorar, excepto las de gravedad alta, se aplican solo estas ltimas. Los otros niveles pueden
elevarse de manera gradual a medida que progresa el ajuste.
11

Puede reducir el nmero de falsos positivos mediante la creacin de reglas de excepcin,

aplicaciones de confianza y reglas de firewall.
Las reglas de excepcin son mecanismos que ignoran una firma de IPS en circunstancias
especficas.
Las aplicaciones de confianza son procesos de aplicaciones que ignoran todas las reglas IPS
y de firewall.
Las reglas de firewall determinan si se permite el trfico y si se permitir o bloquear la
recepcin o transmisin de paquetes.
Paneles y consultas
Los paneles permiten el seguimiento del entorno al mostrar distintas consultas a la vez. Esta
consultas pueden actualizarse constantemente o ejecutarse con una frecuencia especificada.
Las consultas permiten obtener datos sobre un elemento concreto y filtrar datos de subconjuntos
especficos de esos datos, por ejemplo, eventos de alto nivel notificados por clientes concretos
durante un perodo de tiempo determinado. Los informes se pueden planificar y enviar como
mensaje de correo electrnico.
12
Gestin de la proteccin
La gestin de un despliegue de Host Intrusion Prevention incluye el seguimiento, el anlisis y
la reaccin a las actividades, el cambio y actualizacin de directivas, y la realizacin de tareas
del sistema.
Contenido
Gestin de la informacin
Gestin de directivas
Gestin del sistema
Tras la instalacin de Host Intrusion Prevention, puede hacer un seguimiento y un informe
sobre los asuntos de seguridad que surjan en su entorno. Utilice los paneles para obtener una
visin diaria de la situacin de seguridad o para ejecutar consultas sobre informacin detallada
acerca de asuntos concretos.
Paneles de IPS en host

Los paneles son una recopilacin de seguimientos, una herramienta esencial para la gestin
del entorno. Los seguimientos pueden ser cualquier cosa, desde una consulta basada en tablas
a una pequea aplicacin web, como el servicio MyAvert Threat. Puede crear y editar mltiples
paneles, siempre y cuando tenga los permisos. Utilice cualquier consulta basada en formularios,
como un panel que se actualiza con una frecuencia especificada, para que pueda poner sus
consultas ms tiles en un panel en vivo.
Host Intrusion Prevention proporciona dos paneles predeterminados con estos monitores:
Tabla 1: Paneles y monitores de Host IPS
Panel
Monitores
IPS en host
Estado del firewall
Estado de IPS en host
Estado del servicio
Recuento de reglas IPS de cliente
Versiones del contenido
Primeros 10 eventos NIPS por IP de origen
Firmas desencadenadas por alto nivel en el escritorio
Firmas desencadenadas por medio nivel en el escritorio
Firmas desencadenadas por bajo nivel en el escritorio
Firmas desencadenadas por alto nivel en el servidor
Firmas desencadenadas por IPS en host
13
Panel
Monitores
Firmas desencadenadas por medio nivel en el servidor
Firmas desencadenadas por bajo nivel en el servidor
Para obtener ms informacin acerca de la creacin y el uso de paneles, consulte la

documentacin de ePolicy Orchestrator.
Consultas de IPS en host

Host Intrusion Prevention incluye la funcionalidad de consulta mediante ePolicy Orchestrator.
Puede crear consultas tiles de eventos y propiedades almacenados en la base de datos de
ePO o puede utilizar consultas predefinidas.
Puede generar consultas para un grupo de sistemas de cliente seleccionados o limitar los
resultados de los informes por producto o por criterios del sistema. Puede exportar informes
en una gran variedad de formatos de archivo, entre ellos HTML y Microsoft Excel.
Opciones de consulta:
Definir un filtro para recopilar solo informacin seleccionada. Elegir el grupo o etiqueta que
se han de incluir en el informe.
Definir un filtro de datos, utilizando operadores lgicos, para definir filtros precisos en los
datos devueltos por el informe.
Generar informes grficos a partir de la informacin de la base de datos, filtrar los informes
segn sea necesario, imprimir los informes y exportarlos a otro software.
Ejecutar consultas de equipos, eventos e instalaciones.
Consultas predefinidas y personalizadas para analizar la proteccin

La funcin de generacin de informes contiene consultas predeterminadas de Host Intrusion
Prevention y permite la creacin de consultas personalizadas.
Organice y mantenga consultas personalizadas de acuerdo con sus necesidades. Por ejemplo,
si personaliza la configuracin para un informe, exporte esta configuracin como una plantilla.
Tras crear plantillas personalizadas, organcelas en agrupaciones lgicas para que pueda
ejecutarlas cuando lo necesite de forma diaria, semanal o mensual.
Cuando se haya generado un informe, puede ver la informacin resumida, como lo determina
el filtro, si existe, que ha definido. Desde la informacin resumida, profundice uno o dos niveles
para obtener informacin detallada, todo en el mismo informe.
Controle cunta informacin del informe ser visible para los distintos usuarios; por ejemplo,
para los administradores globales o para los otros usuarios. Algunos usuarios solo ven informes
de sistemas en sitios en los que tengan permisos. La informacin del informe tambin se controla
con la aplicacin de filtros.
Consultas personalizadas
Puede crear cuatro consultas concretas de Host IPS con Query Builder: Reglas de cliente de
firewall de Host IPS 8.0, Ejecutables de reglas de cliente de firewall de Host IPS 8.0, Reglas de
cliente IPS de Host IPS 8.0 y Excepciones IPS de Host IPS 8.0.
14
Los parmetros para estas consultas incluyen:

Tabla 2: Consultas de IPS en host y parmetros
Consulta
Parmetros
Reglas de firewall y reglas de cliente de firewall

del catlogo de Host IPS 8.0
Accin
Direccin
NOTA: esta consulta devuelve las reglas de firewall

del catlogo de IPS, los grupos de firewall del
catlogo de IPS y las reglas de cliente de firewall.
Los valores posibles de las acciones son permitir,
bloquear y saltar; saltar es la accin para grupos
que no tienen la accin permitir/bloquear. Las
reglas y grupos del catlogo de IPS tienen el valor
de filtro leafNodeId establecido a 0; por lo tanto,
para ver las reglas de cliente de firewall, establezca
el valor de filtro leafNodeld a > 0.
Activado
ltima modificacin
Usuario de la ltima modificacin
ID de nodo de hoja
Servicios locales
Estado de registro
Protocolo IP
Coincidir con intrusin
Tipo de soporte
Nombre
Nota
Servicios remotos
ID de regla
Planificar fin
Planificar inicio
Cambiar cuando caduque
Protocolo de transporte
Ejecutables de regla de cliente de firewall de Host

IPS 8.0
Reglas IPS de cliente de Host IPS 8.0
Excepciones IPS de Host IPS 8.0
Huella digital
Nombre
Nota
Ruta
ID de regla
Nombre del firmante
Fecha de creacin
Descripcin
Nombre del ejecutable
Ruta del ejecutable
Huella digital
Nombre completo del ejecutable
Incluir todos los ejecutables
Incluir todas las firmas
Incluir todos los usuarios
Fecha de la ltima modificacin
Versin local
Reaccin
ID de firma
Nombre del firmante
Estado
Nombre de usuario
Regla de excepcin IPS
15
Consulta
Parmetros
Directiva Reglas IPS
Propiedades de IPS en host comunes

Las consultas personalizadas de Host IPS y algunas de las otras consultas personalizadas le
permiten incluir estas propiedades de IPS en host:
Tipo de agente
Estado del modo de adaptacin de IPS
Atacantes bloqueados
Idioma
Versin del cliente
Recuento de regla de excepcin local
Versin de contenido
Estado de IPS de red
Estado del modo de adaptacin de firewall Reinicio pendiente

Error en el firewall (Errores)
Versin de complemento
Estado del modo de aprendizaje entrante

del firewall
Estado del producto
Estado del modo de aprendizaje saliente

del firewall
Versin de hotfix/parche
Recuento de regla del firewall

Estado del firewall
Servicio en ejecucin
Versin del producto
Service Pack
Errores de IPS en host
Informacin del evento de IPS en host

(oculto, ledo)
Nombre de la firma
Instalar directorio
Consultas predefinidas
Adems de las consultas personalizadas, puede usar varias consultas predefinidas tal cual o
editarlas para obtener solo la informacin que necesita. Escoja entre las siguientes consultas
predefinidas de Host IPS:
Consulta HIP
Resumen
Reglas para cliente por

proceso
Muestra las reglas de firewall para cliente enumeradas por proceso.

proceso/intervalo de puertos
Muestra las reglas de firewall para cliente enumeradas por proceso y por intervalo de
puertos.

proceso/usuario
Muestra las reglas de firewall para cliente enumeradas por proceso y usuario.

protocolo/nombre de sistema
Muestra las reglas de firewall para cliente enumeradas por protocolo y nombre de
sistema.

Muestra las reglas de firewall para cliente enumeradas por protocolo y por intervalo
protocolo/intervalo de puertos de puertos.
protocolo/proceso
Muestra las reglas de firewall para cliente enumeradas por protocolo y proceso.
Versiones del cliente
Muestra las primeras tres versiones del cliente con una categora nica para el resto
de las versiones.
Clientes pendientes de reinicio Muestra los sistemas administrados en los que IPS en host est desplegado y el
instalador debe reiniciar el sistema.
16
Consulta HIP
Resumen
Versiones del contenido
Muestra las primeras tres versiones del contenido con una categora nica para el
resto de las versiones.
Recuento de reglas de cliente Muestra el nmero de reglas de firewall para cliente que se han creado con el paso
de firewall
del tiempo.
Recuento de reglas IPS de
cliente
Muestra el nmero de reglas IPS de cliente que se han creado con el paso del tiempo.
Firmas desencadenadas por

alto nivel en el escritorio
Muestra las 10 firmas IPS ms desencadenadas de gravedad alta (crtica).

medio nivel en el escritorio
Muestra las 10 firmas IPS ms desencadenadas de gravedad media (advertencia).

bajo nivel en el escritorio
Muestra las 10 firmas IPS ms desencadenadas de gravedad baja (aviso).
Eventos de redes de confianza Muestra los eventos generados por sistemas que forman parte de redes de confianza
de IPS en host
de IPS en host.
Errores de firewall
Muestra los sistemas administrados en los que la funcin de firewall est activada
mediante directiva, pero que no se iniciaron correctamente.
Estado del firewall
Muestra dnde est activada o desactivada la proteccin del firewall en sistemas

gestionados.
Errores de IPS en host
Muestra los sistemas administrados en los que la funcin de IPS est activada mediante
directiva, pero que no se iniciaron correctamente.
Muestra dnde est activada o desactivada la proteccin IPS en sistemas gestionados.
Informe de excepciones IPS
Muestra las directivas de reglas IPS que presentan excepciones IPS.

alto nivel en el servidor
Muestra las 10 firmas IPS ms desencadenadas de gravedad alta (crtica).

medio nivel en el servidor
Muestra las 10 firmas IPS ms desencadenadas de gravedad media (advertencia).

bajo nivel en el servidor
Muestra las 10 firmas IPS ms desencadenadas de gravedad baja (aviso).
Estado del servicio
Muestra dnde est instalado Host IPS y si se est ejecutando o no en sistemas

gestionados.
10 eventos IPS principales por Muestra los 10 sistemas con mayor nmero de eventos IPS.
destino
10 NIPS principales por IP de
origen
Muestra los 10 eventos de intrusin en la red por direcciones IP de origen que ms

se han dado en los ltimos tres meses.
10 firmas ms activadas
Muestra las 10 primeras firmas IPS activadas.
La gestin de directivas implica la configuracin y aplicacin de directivas y el ajuste de la
proteccin para los recursos y las aplicaciones del sistema. Parte de este proceso necesita un
anlisis de los eventos y las reglas de los clientes.
17
Dnde encontrar directivas

ePolicy Orchestrator proporciona dos ubicaciones para ver y administrar directivas de Host
Intrusion Prevention: la ficha Directivas (ficha Sistemas | rbol de sistemas | Directivas
para un grupo seleccionado en el rbol de sistemas) y la ficha Catlogo de directivas (Sistemas
| Catlogo de directivas).
Para un grupo o sistema seleccionado, use la ficha Directivas para:
Ver directivas de una funcin concreta del producto
Ver detalles de la directiva
Ver la informacin de herencia
Editar la asignacin de directivas
Editar las directivas personalizadas
Utilice la ficha Catlogo de directivas para:
Crear directivas
Ver y editar la informacin de la directiva
Ver dnde est asignada una directiva
Ver la configuracin y el propietario de una directiva
Ver las asignaciones en las que se ha desactivado la aplicacin de directivas
Para...
Haga lo siguiente...
Crear una directiva
Haga clic en Nueva directiva, pngale un nombre y edite las opciones.
Editar una directiva
Haga clic en Editar (solo disponible para Mis valores predeterminados o

directivas personalizadas).
Ver una directiva
Haga clic en Ver (solo disponible para McAfee Default o directivas

preconfiguradas).
Cambiar el nombre de una directiva
Haga clic en Cambiar nombre y cambie el nombre de la directiva (no

disponible para directivas predeterminadas o preconfiguradas).
Duplicar una directiva
Haga clic en Duplicar, cambie el nombre de la directiva y edite su

configuracin.
Eliminar una directiva
Haga clic en Eliminar (no disponible para directivas predeterminadas o

preconfiguradas).
NOTA: cuando se elimina una directiva, todos los grupos a los que est
actualmente aplicada heredan la directiva de esta categora desde su
ascendiente. Antes de eliminar una directiva, examine todos los sistemas a
los que est asignada y asigne una directiva distinta, si no desea que la
directiva se herede desde el ascendiente. Si elimina una directiva que est
aplicada en el nivel superior, se aplica la directiva predeterminada de esta
categora.
18
Asignar un propietario de directiva
Haga clic en el propietario de la directiva y seleccione otro propietario de la

lista (no disponible para directivas predeterminadas o preconfiguradas).
Exportar una directiva
Haga clic en Exportar; a continuacin, d un nombre a la directiva y gurdela

(un archivo XML) en la ubicacin deseada.
Exportar todas las directivas
Haga clic en Exportar todas las directivas; a continuacin, d un nombre

a la directiva y guarde el archivo XML correspondiente en la ubicacin deseada.
Importar directivas
Haga clic en Importar, en la parte superior de la pgina Catlogo de

directivas, seleccione el archivo XML de la directiva y, a continuacin, haga
clic en Aceptar.
Para obtener ms detalles sobre alguna de estas funciones, consulte la documentacin de

ePolicy Orchestrator.
Configuracin de directivas
Despus de instalar el software Host Intrusion Prevention, McAfee recomienda configurar las
directivas para proporcionar el mximo nivel de seguridad sin entrar en conflicto con las
actividades diarias. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al
ms amplio conjunto de entornos de cliente y pueden satisfacer sus necesidades. Para ajustar
las directivas para que se adapten a su situacin concreta, se recomienda lo siguiente:
Con cuidado, defina su configuracin de seguridad de Host Intrusion Prevention. Evale
quines son los encargados de configurar partes concretas del sistema y concdales los
permisos adecuados.
Cambie las directivas de proteccin IPS o de las reglas de Firewall predeterminadas, que
proporcionan niveles crecientes de la proteccin preestablecida.
Modifique los niveles de gravedad de firmas especficas. Por ejemplo, cuando una firma se
activa por el trabajo cotidiano de los usuarios, reduzca el nivel de gravedad.
Configure los paneles para ver un resumen rpido de conformidad y asuntos.
Configure notificaciones para alertar a usuarios especficos cuando se produzcan eventos
concretos. Por ejemplo, se puede enviar una notificacin cuando una actividad que activa
un evento de gravedad alta se produce en un servidor concreto.
Creacin de nuevas directivas

Para crear una nueva directiva, copie una existente y d un nombre a la nueva copia. Puede
hacerlo en el Catlogo de directivas o desde una pgina de directivas.
Tarea
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
Realice una de las acciones siguientes desde el Catlogo de directivas:
Haga clic en el botn Nueva directiva. Seleccione la directiva de la que quiera realizar
una copia, escriba el nombre de la nueva directiva y haga clic en Aceptar.
Haga clic en el enlace Duplicar para una directiva. Escriba el nombre de la nueva directiva
y haga clic en Aceptar.
Haga clic en el enlace Ver o Editar de una directiva y, a continuacin, en la pgina de
directivas, haga clic en el botn Duplicar. Escriba el nombre de la nueva directiva y
haga clic en Aceptar. Se muestra la directiva duplicada. Edite la directiva y haga clic en
Guardar.
Cambio de la asignacin de directivas

Utilice esta tarea para cambiar la asignacin de directivas de Host Intrusion Prevention para
un grupo o un nico sistema del rbol de sistemas de ePolicy Orchestrator.
Tarea
Siga uno de estos procedimientos:
19
Para un grupo, vaya a Sistemas | rbol del sistema, seleccione un grupo y, a

continuacin, en la ficha Directivas, haga clic en Editar asignacin.
Para un sistema, vaya a Sistemas | rbol del sistema, seleccione un grupo que
contenga el sistema y, a continuacin, en la ficha Sistema , seleccione el sistema y
seleccione Ms acciones | Modificar directivas en un nico sistema.
Proteccin predeterminada y ajustes

Host Intrusion Prevention trabaja con directivas predeterminadas para la proteccin bsica.
Esto permite una mayor proteccin a travs de las configuraciones personalizadas que se
obtienen con el ajuste manual o automtico.
Proteccin predeterminada
Host Intrusion Prevention se entrega con un conjunto de directivas predeterminadas que
proporcionan proteccin bsica para su entorno. Tanto la proteccin IPS como por firewall estn
desactivadas de forma predeterminada y se tienen que activar para permitir que se implementen
las directivas de reglas predeterminadas.
Para obtener proteccin avanzada, cambie de directivas IPS predeterminadas a directivas
preestablecidas ms estrictas o cree directivas personalizadas.
Empiece con un despliegue de muestra para supervisar y ajustar las nuevas configuraciones.
Los ajustes implican ajustar la proteccin de prevencin de intrusos y el acceso a la informacin
requerida y a las aplicaciones por tipo de grupo.
Ajuste manual
El ajuste manual necesita un seguimiento directo durante un periodo de tiempo establecido de
los eventos y las reglas de clientes que se creen.
Para obtener proteccin IPS, supervise los eventos para encontrar falsos positivos y cree
excepciones o aplicaciones de confianza para evitar que esos eventos se vuelvan a producir.
Para la proteccin por firewall, supervise el trfico de red y agregue redes de confianza para
permitir el trfico de red adecuado.
Supervise los efectos de las excepciones nuevas, las aplicaciones de confianza y las redes
de confianza.
Si estas reglas funcionan correctamente al prevenir falsos positivos, mantener el trfico de
red a un nivel mnimo y permitir la actividad legtima, haga que estas excepciones formen
parte de una directiva nueva o existente.
Aplique la nueva directiva a un conjunto de equipos y supervise los resultados.
Repita este proceso con cada tipo de grupo de produccin.
Ajuste automtico
El ajuste automtico elimina la necesidad de supervisar constantemente todos los eventos y
actividades de todos los usuarios.
Aplique el modo de adaptacin para las directivas IPS y Firewall.
En el modo de adaptacin, no se producen eventos IPS y no se bloquea la actividad, excepto
para vulnerabilidades malintencionadas. Se crean reglas de cliente de forma automtica
para permitir la actividad legtima.
Revisin de la lista de reglas de clientes.
20
Promocione las reglas de cliente apropiadas para las reglas de directivas administrativas.
Al cabo de unas cuantas semanas, desactive el modo de adaptacin.
Supervise el grupo de prueba durante unos das para asegurarse de que la configuracin
de la directiva es adecuada y ofrece la proteccin deseada.
Repita este proceso con cada tipo de grupo de produccin.
Clientes y planificacin del despligue

El cliente de Host Intrusion Prevention es el componente esencial que proporciona proteccin.
En el despliegue de clientes, se recomienda un mtodo por fases:
Determine el plan de despliegue de clientes inicial. Aunque se pueden desplegar
clientes de Host Intrusion Prevention en cada host (servidores, equipos de sobremesa y
equipos porttiles) de su empresa, McAfee recomienda empezar con la instalacin de clientes
en un nmero limitado de sistemas representativos y ajustar su configuracin. Una vez que
se ha ajustado el despliegue, se pueden desplegar ms clientes y aprovechar las directivas,
excepciones y reglas de cliente creadas en el despliegue inicial.
Establezca una convencin de nomenclatura para los clientes. Los clientes se
identifican por su nombre en el rbol de sistemas, en ciertos informes y en datos de eventos
generados por las actividades del cliente. Los clientes pueden tomar los nombres de los
hosts en los que se instalan, o bien se puede asignar un nombre de cliente especfico durante
la instalacin. McAfee recomienda establecer una convencin de nomenclatura para los
clientes que resulte fcil de interpretar para las personas que trabajen en el despliegue de
Host Intrusion Prevention.
Instale los clientes. Los clientes se pueden instalar con un conjunto predeterminado de
directivas de IPS y Firewall. Las directivas nuevas con reglas actualizadas se pueden insertar
ms tarde desde el servidor.
Agrupe los clientes de forma lgica. Los clientes se pueden agrupar segn cualquier
criterio que se ajuste a la jerarqua del rbol de sistemas. Por ejemplo, puede agrupar los
clientes segn su ubicacin geogrfica, su funcin en la empresa o las caractersticas del
sistema.
Datos de clientes y lo que le dicen

Despus de haber instalado y agrupado los clientes, el despliegue habr finalizado. Debera
comenzar a ver los eventos desencadenados por actividad de los clientes. Si ha colocado clientes
en el modo de adaptacin, debera ver las reglas de cliente que indican las reglas de bloqueo
y excepcin de cliente que se crean. Mediante el anlisis de estos datos, comienza a ajustar el
despliegue.
Para analizar los datos de eventos, vea la ficha Eventos de la ficha IPS en host en Informes.
Puede navegar por los detalles de un evento, como el proceso que desencadena el evento,
cundo se ha generando el evento y qu cliente lo ha generado. Analice el evento y realice la
accin adecuada para ajustar el despliegue de Host Intrusion Prevention para proporcionar
mejores respuestas a los ataques. La ficha Eventos muestra todos los eventos de IPS en host,
incluidos NIPS, las intrusiones de Firewall y los eventos de bloqueo de TrustedSource.
Para analizar las reglas de cliente, consulte las fichas Reglas de cliente IPS y Reglas de firewall
para cliente. Puede ver las reglas que se crean, agregarlas para encontrar las reglas ms
habituales y moverlas directamente a una directiva para su aplicacin en otros clientes.
Adems, el mdulo Informes de ePolicy Orchestrator proporciona informes detallados basados
en los eventos, las reglas de cliente y la configuracin de Host Intrusion Prevention. Utilice
21
estas consultas para comunicar actividades del entorno a otros miembros de su equipo y a la
direccin de la empresa.
Modo de adaptacin
Un elemento fundamental en el proceso de ajuste incluye colocar clientes Host Intrusion
Prevention en el modo de adaptacin para IPS y Firewall. Este modo permite a los equipos
crear reglas de excepcin de cliente en las directivas administrativas. El modo de adaptacin
lo hace de forma automtica sin la interaccin del usuario.
Este modo primero analiza los eventos en busca de los ataques ms dainos, como el
desbordamiento del bfer. Si la actividad se considera normal y necesaria para la empresa, se
crean reglas de excepcin de cliente. Al configurar clientes representativos en modo de
adaptacin, puede crear una configuracin de ajuste para ellos. A continuacin, Host Intrusion
Prevention permite escoger cualquiera, todas o ninguna de las reglas de cliente y convertirlas
en directivas impuestas por el servidor. Al finalizar el ajuste, desactive el modo de adaptacin
para obtener una mayor proteccin de prevencin de intrusiones en el sistema.
Ejecute los clientes en modo de adaptacin durante una semana como mnimo. Esto permite
a los clientes disponer de tiempo suficiente para detectar todas las actividades que detectaran
normalmente. Intente llevar a cabo esta operacin en los momentos de actividad planificada,
como copias de seguridad o procesamiento de secuencias de comandos.
A medida que se detectan las actividades, se generan eventos IPS y se crean excepciones.
Las excepciones son actividades que se distinguen como comportamiento inofensivo. Por
ejemplo, una directiva puede considerar que cierto procesamiento de secuencias de comandos
constituye un comportamiento ilegal, pero ciertos sistemas de los grupos de ingeniera
necesitan realizar este tipo de tareas. Permita que se creen excepciones para esos sistemas
a fin de que puedan funcionar con normalidad, mientras la directiva sigue evitando esta
actividad en otros sistemas. A continuacin, haga que estas excepciones formen parte de
una directiva impuesta por el servidor relativa al grupo de ingeniera.
Es posible que necesite aplicaciones de software para negocios normales en algunas reas
de la empresa, pero no en otras. Por ejemplo, puede permitir el uso de la mensajera
instantnea en las organizaciones de asistencia tcnica, pero evitar su uso en el departamento
de finanzas. Puede establecer la aplicacin como de confianza en los sistemas de asistencia
tcnica para permitir el acceso completo a la misma por parte de los usuarios.
La funcin firewall acta como filtro entre un equipo y la red o Internet. El firewall analiza
todo el trfico entrante y saliente a nivel del paquete. A medida que revisa cada paquete
que se recibe o se enva, el firewall comprueba su lista de reglas de firewall, que es un
conjunto de criterios con acciones asociadas. Si un paquete cumple con todos los criterios
de una regla, el firewall realiza la accin especificada por la regla: permite que el paquete
pase por el firewall o lo bloquea.
Preguntas frecuentes: modo de adaptacin

El modo de adaptacin es una configuracin que puede aplicar a las funciones de IPS y firewall
cuando pruebe el despliegue de nuevas directivas. Permite que el cliente de Host Intrusion
Prevention cree de forma automtica reglas para permitir la actividad al mismo tiempo que se
preserva una proteccin mnima de las vulnerabilidades. Las siguientes preguntas y respuestas
deberan ayudarle a utilizar esta funcin.
22
Cmo se activa el modo de adaptacin?

El modo de adaptacin se activa al activar esta opcin en la directiva Opciones de IPS o la
directiva Opciones de firewall y al aplicar esta directiva al cliente de Host Intrusion Prevention.
En qu se diferencia el funcionamiento del modo de adaptacin con IPS o con
firewall?
Con IPS, el modo de adaptacin crea reglas del lado cliente que son excepciones a las firmas
IPS existentes. Con firewall, el modo de adaptacin crea reglas del lado cliente que permiten
que los paquetes de red no estn cubiertos por las reglas de firewall existentes.
Las excepciones de cliente IPS se crean segn el usuario, el proceso y la firma, y solo se basan
en la ruta. Las reglas de firewall para cliente se crean segn el proceso y los procesos asociados
con las reglas de firewall para clientes se basan en una ruta, una descripcin de archivo, una
firma digital y el hash MD5.
En qu caso no se crea una regla de forma automtica con el modo de adaptacin?
Con IPS:
La firma en la directiva de reglas IPS efectivas no permite la creacin de una regla de cliente.
(Esta configuracin es estndar para las firmas IPS de ms gravedad. Estas firmas se ajustan
para detectar y evitar las amenazas ms graves contra su sistema; por lo tanto, es poco
probable que la actividad empresarial normal requiera una excepcin automatizada).
La reaccin a la firma es "Ignorar".
La accin asociada activa una firma IPS de red.
Un usuario intenta detener el servicio IPS en host de McAfee, sea cual sea la configuracin
de la regla de cliente para el servicio de proteccin automtica en una firma 1000.
Ya existe una excepcin, que excluye la operacin en cuestin, en una directiva Reglas IPS
aplicada.
El proceso asociado con la accin es de confianza para IPS en una directiva Aplicaciones de
confianza aplicada y la firma no est excluida de las Aplicaciones de confianza.
Con el firewall:
No hay aplicacin asociada con el paquete cuando se examina en el registro de actividad
del cliente. Algunos de los ejemplos ms comunes son:
Solicitudes entrantes para servicios que no estn en ejecucin, como el protocolo FTP
(file transfer protocol) o Telnet.
Protocolo ICMP (Internet Control Message Protocol), como una solicitud de eco.
ICMP entrante o saliente en el sistema operativo Microsoft Windows Vista.
Los paquetes TCP (Transmission Control Protocol) hacia el puerto 139 (NetBIOS SSN) o
el 445 (MSDS), que pueden ser necesarios para compartir archivos de Windows.
Los paquetes IPsec (Internet Protocol Security) asociados con las soluciones de cliente
de las redes privadas virtuales.
Ya existe una regla en la directiva de reglas de firewall aplicada que permite o bloquea el
paquete.
La directiva de reglas de firewall aplicada tiene un grupo con reconocimiento de ubicacin
con el aislamiento de la conexin activado, una tarjeta de interfaz de red (NIC) activa que
coincide con el grupo y se recibe o se enva el paquete en una NIC que no coincide con el
grupo.
El paquete no es TCP, ni protocolo UDP (User Datagram Protocol) ni ICMP.
23
Hay ms de un usuario registrado en el sistema o no hay ningn usuario registrado en el

sistema.
Hay otras limitaciones?
IPS podra no detectar el usuario asociado con algunas reglas de cliente (se muestra como
"dominio desconocido/usuario desconocido" en la regla de cliente en ePolicy Orchestrator).
An se pueden crear excepciones con estas reglas de cliente, pero se aplican a todos los
usuarios.
Algunas conexiones TCP entrantes como el escritorio remoto o el protocolo HTTP (Hypertext
Transfer Protocol) en Secure Sockets Layer (HTTPS) podran necesitar varios intentos para
crear una regla de firewall.
Migracin de directivas de Host IPS

No se pueden usar las directivas de la versin 6.1 7.0 de McAfee Host Intrusion Prevention
con los clientes de la versin 8.0 sin primero migrar las directivas de la versin 6.1 7.0 al
formato de la versin 8.0. Host Intrusion Prevention 8.0 proporciona una manera fcil de migrar
directivas con la funcin Migracin de directivas de Host IPS de ePolicy Orchestrator en
Automatizacin. Esta migracin implica la traduccin y migracin de directivas. Una vez que
se haya migrado la directiva, esta aparece en la funcin y categora del producto Host IPS 8.0
correspondiente del catlogo de directivas con [6.1] o [7.0] despus del nombre de la directiva.
Todas las directivas se traducen y migran a las directivas correspondientes de la versin 8.0,
excepto para lo siguiente:
Las directivas de opciones de bloqueo de aplicaciones no se migran (estas directivas se han
quitado de la versin 8.0).
Las directivas de reglas de bloqueo de aplicaciones se migran a directivas de Reglas IPS
denominadas de interceptacin de aplicaciones y proteccin contra invocacin <nombre>
[6.1 7.0] (estas directivas se han quitado de la versin 8.0). Una vez migradas estas
directivas a directivas de Reglas IPS, su lista Reglas de proteccin de aplicaciones queda en
blanco, y la lista Excepciones contiene las excepciones para todas las aplicaciones de confianza
predeterminadas establecidas en "De confianza para interceptacin de aplicaciones". Para
usar esta directiva migrada, debe asignar tambin la directiva Mis reglas IPS predeterminadas
en una configuracin de mltiples instancias de directivas, ya que contiene la lista ms
reciente de proteccin de aplicaciones a travs de actualizaciones de contenido.
NOTA: las aplicaciones que tienen bloqueada la interceptacin en las directivas de reglas
de bloqueo de aplicaciones no se migran y deben agregarse manualmente a las reglas de
proteccin de aplicaciones en la directiva Reglas IPS tras la migracin. Asimismo, si migra
una directiva de aplicaciones de confianza marcada como "De confianza para la interceptacin
de aplicaciones" en la versin 8.0, debe crear una excepcin para esa aplicacin en una
firma 6010 (Proteccin genrica de interceptacin de aplicaciones) en una directiva Reglas
de IPS en host para conservar la proteccin de interceptacin de aplicaciones.
Las directivas de opciones de cuarentena de firewall no se migran (estas directivas se han
Las directivas de reglas de cuarentena de firewall no se migran (estas directivas se han
Las reglas de cliente IPS y las reglas de cliente de firewall no se migran.
NOTA: las asignaciones de directivas se transfieren durante la migracin. Si se interrumpe la
herencia en una ubicacin concreta del rbol de sistemas, la asignacin no se sustituye, pero
24
Gestin del sistema
la herencia podra interrumpirse en otros puntos del rbol de sistemas, cuando las asignaciones
migradas estn fusionadas. Revise siempre la asignacin de directivas despus de migrar las
directivas.
Migracin de directivas de forma directa
Tras instalar la extensin Host Intrusion Prevention 8.0, la manera ms fcil de migrar todas
las directivas existentes es migrarlas directamente.
1
Haga clic en Automatizacin | Migracin de directivas de Host IPS.
En Accin para directivas de Host IPS 6.1 o 7.0 del catlogo de directivas ePO, haga clic
en Migrar.
3 Cuando se haya completado la migracin de directivas, haga clic en Cerrar.

Todas las versiones 6.1/7.0 de IPS, Firewall y la funcin general de directivas se convierten a
la versin 8.0 y aparecen con [6.1] o [7.0] detrs del nombre.
NOTA: al ejecutar la migracin de directivas una segunda vez, se sustituyen todas las directivas
del mismo nombre que se hayan migrado previamente. Este proceso no es selectivo porque se
migran todas las directivas 6.1 7.0 existentes. Si quiere migrar directivas de forma selectiva,
mgrelas mediante el proceso de archivos xml.
Migracin de directivas mediante un archivo xml
Si la extensin Host Intrusion Prevention 6.1/7.0 no est instalada y previamente ha exportado
directivas nicas seleccionadas a un archivo xml, o, si quiere migrar de forma selectiva las
directivas de la versin 6.1/7.0 en lugar de todas las directivas a la vez, hgalo migrndolas
mediante un archivo xml. El proceso implica que primero se tienen que exportar directivas Host
Intrusion Prevention 6.1/7.0 nicas a formato xml, convertir los contenidos del archivo xml a
las directivas Host Intrusion Prevention de las versiones 8.0 y, despus, importar los archivos
xml migrados al catlogo de directivas de ePO.
1
Haga clic en Automatizacin | Migracin de directivas de Host IPS.
En Accin para directivas de Host IPS 6.1 7.0 en un archivo xml, haga clic en Migrar.
Seleccione los archivos xml de la versin de Host IPS 6.1 7.0 exportados previamente y,
a continuacin, haga clic en Aceptar. El archivo xml se ha convertido al formato de las
directivas de la versin 8.0.
Haga clic con el botn derecho en el enlace del archivo convertido MigratedPolicies.xml y
gurdelo para importarlo.
Importe el archivo xml en el catlogo de directivas de ePO.
Gestin del sistema

Como parte de la gestin del despliegue de Host Intrusion Prevention, tiene que realizar tareas
del sistema ocasionales. Entre estas se incluye la definicin de permisos de usuario, tareas de
servidor, notificaciones y actualizaciones del contenido.
Conjuntos de permisos de IPS en host

Un conjunto de permisos es un grupo de permisos concedidos a una cuenta de usuario para
productos especficos o funciones de un producto. Se puede asignar uno o varios conjuntos de
permisos. Todos los permisos para todos los productos y funciones se asignan automticamente
25
Gestin del sistema
a administradores globales. Las configuraciones de permisos solo otorgan permisos, nunca

quitan un permiso.
Los administradores globales pueden asignar conjuntos de permisos existentes al crear o
modificar una cuenta de usuario y al crear o modificar conjuntos de permisos.
La extensin de Host Intrusion Prevention agrega una seccin de Host Intrusion Prevention a
los conjuntos de permisos sin aplicar ningn permiso. Los administradores globales deben
otorgar los permisos de IPS en host a los conjuntos de permisos existentes o crear conjuntos
de permisos y aadirlos all.
Con Host Intrusion Prevention, se otorgan permisos para acceder a cada funcin del producto
y si el usuario tiene permiso de lectura o de lectura/escritura. Esto es aplicable tanto a las
pginas de directivas de Host Intrusion Prevention como a las pginas de reglas para clientes
y eventos de Host Intrusion Prevention, en Informes.
Para esta funcin de IPS en host... Estn disponibles estos permisos...
IPS
Ninguno, solo ver configuracin o ver y cambiar configuracin.
Firewall
General
El administrador global tambin necesita dar permisos de ePolicy Orchestrator para encargarse
de otras reas que funcionan con Host Intrusion Prevention, como consultas y paneles. Por
ejemplo, para analizar y gestionar las reglas de firewall para clientes encontradas en las pginas
de IPS en host, en Informes, un usuario necesita los permisos de vista para acceder al registro
de eventos, los permisos de vista para sistemas, los permisos de vista para acceder al rbol de
sistemas, y los permisos de vista y de cambio para la funcin de Firewall de Host Intrusion
Prevention.
Tabla 3: Permisos necesarios para trabajar con varias funciones
Para estas funciones de IPS en host
Se necesitan los siguientes conjuntos de permisos
Paneles, consultas
Consultas
Reglas de cliente y eventos de cliente de IPS en host
Sistemas, acceso al rbol de sistemas, Registro de eventos
Tareas del servidor de IPS en host
Tareas servidor
Paquetes de IPS en host en el repositorio
Software
Notificaciones de IPS en host
Notificaciones
Para obtener ms informacin acerca de los conjuntos de permisos, consulte la documentacin

de ePolicy Orchestrator.
Asignacin de conjuntos de permisos

Esta tarea permite asignar permisos a las funciones de Host Intrusion Prevention del servidor
ePO.
Antes de empezar
Determine las funciones de Host Intrusion Prevention a las que quiere dar acceso y los conjuntos
de permisos adicionales que se tienen que asignar para acceder a todos los aspectos de la
funcin de Host Intrusion Prevention. Por ejemplo, para ver las reglas de firewall para clientes,
el usuario debe tener permiso para la funcin Firewall en el conjunto de permisos de Host
26
Gestin del sistema
Intrusion Prevention, as como para el conjunto de permisos del registro de eventos, de los
sistemas y del acceso al rbol de sistemas.
Tarea
1
Vaya a Configuracin | Conjuntos de permisos.
Junto a Host Intrusion Prevention, haga clic en Editar.
Seleccione el permiso deseado por cada funcin:

Ninguno
Ver solo la configuracin
Ver y cambiar configuracin
Haga clic en Guardar.
Asigne otros conjuntos de permisos segn sea necesario:

Para esta funcin de IPS en host
Asignar este conjunto de permisos
Eventos de IPS en host
Host Intrusion Prevention: IPS, acceso al registro de

eventos, a los sistemas y al rbol de sistemas
Reglas IPS de cliente de IPS en host
Host Intrusion Prevention: IPS, acceso al registro de

eventos, a los sistemas y al rbol de sistemas
Reglas de firewall para cliente de IPS en host
Host Intrusion Prevention: firewall, acceso al registro

de eventos, a los sistemas y al rbol de sistemas
Panel, consultas
Consultas
Tareas del servidor de IPS en host

Host Intrusion Prevention proporciona varias tareas servidor preconfiguradas o configurables
que puede definir para que se ejecuten en una planificacin especfica o de forma inmediata
como parte del mantenimiento de la proteccin de Host Intrusion Prevention. Puede crear tareas
servidor personalizadas de Host Intrusion Prevention si hace clic en Nueva tarea y selecciona
una o ms propiedades de IPS en host en la ficha Acciones del Generador de tareas servidor.
Para obtener ms informacin sobre el uso y la creacin de tareas servidor, consulte la
documentacin de ePolicy Orchestrator.
Para trabajar con una tarea servidor existente, vaya a Automatizacin | Tareas servidor y
haga clic en el comando adecuado en Acciones. Para crear una tarea servidor personalizada,
haga clic en Nueva tarea y siga los pasos del asistente del Generador de tareas servidor.
Tabla 4: Tareas servidor preconfiguradas y personalizadas
Tarea servidor
Descripcin
Traductor de propiedades de IPS en host (preconfigurado) Esta tarea servidor traduce reglas de cliente de Host
Intrusion Prevention almacenadas en las bases de datos
de ePolicy Orchestrator para gestionar la clasificacin, la
agrupacin y el filtrado de datos de Host Intrusion
Prevention. Esta tarea se ejecuta automticamente cada
15 minutos y no requiere interaccin del usuario. Pero
puede ejecutarla manualmente si necesita ver de forma
inmediata los comentarios de las acciones de los clientes.
27
Gestin del sistema
Tarea servidor
Descripcin
Extraccin del repositorio (personalizada)
Esta tarea servidor le permite crear tareas personalizadas

para obtener paquetes del sitio de origen y colocarlos en
el repositorio principal. Seleccione el Contenido de IPS en
host como tipo de paquete para obtener actualizaciones
de contenido automticas.
Ejecutar consulta (personalizada)
Esta tarea servidor le permite crear una tarea

personalizada para ejecutar consultas preconfiguradas de
Host Intrusion Prevention en una planificacin y un tiempo
especficos.
Purgar registro de eventos (personalizada)
Esta tarea servidor le permite crear una tarea

personalizada para purgar el registro de eventos basado
en una consulta de Host Intrusion Prevention. Seleccione
una consulta de Eventos de IPS en host para purgarla del
registro.
Notificaciones de eventos de IPS en host

Las notificaciones pueden advertirle de cualquier evento que se produzca en los sistemas de
clientes de Host Intrusion Prevention. Puede configurar reglas para enviar correos electrnicos
o capturas SNMP, o ejecutar comandos externos cuando el servidor ePolicy Orchestrator reciba
y procese eventos especficos. Puede especificar las categoras de eventos que generan un
mensaje de notificacin y la frecuencia con la que se envan. Para obtener detalles completos,
consulte la documentacin de ePolicy Orchestrator 4.0.
Sugerencias sobre el uso de notificaciones

En el entorno de Host Intrusion Prevention, cuando se producen eventos se envan al servidor
de ePolicy Orchestrator. Las reglas de notificacin estn asociadas al grupo o sitio que contiene
los sistemas afectados y se aplican a los eventos. Si se cumplen las condiciones de una regla,
se enva un mensaje de notificacin, o se ejecuta un comando externo, segn especifique la
regla.
Puede configurar reglas independientes en los distintos niveles del rbol del sistema. Tambin
puede configurar cundo enviar mensajes de notificacin mediante la definicin de umbrales
basados en agregacin y regulacin.
Reglas de notificacin
ePolicy Orchestrator proporciona reglas predeterminadas que puede activar para su uso
inmediato. Antes de activar las reglas predeterminadas:
Especifique el servidor de correo electrnico desde el que se envan los mensajes de
notificacin.
Verifique que la direccin de correo electrnico del destinatario es en la que desea recibir
los mensajes de correo electrnico.
Todas las reglas se crean de la misma manera:
28
Describa la regla.
Defina los filtros para la regla.
Defina los umbrales para la regla.
Cree el mensaje que se va a enviar y el tipo de entrega.
Gestin del sistema
Categoras de notificaciones
Host Intrusion Prevention admite las siguientes categoras de notificaciones de productos
especficos:
Intrusin en host detectada y gestionada
Intrusin de red detectada y gestionada
Desconocido
Parmetros de las notificaciones
Las notificaciones solo se pueden configurar para todas o para ninguna de las firmas de IPS en
host (o de red). Host Intrusion Prevention admite la especificacin de un nico ID de firma de
IPS como nombre de la amenaza o de la regla en la configuracin de reglas de notificacin. Al
asociar internamente el atributo ID de la firma de un evento con el nombre de la amenaza, se
crea una regla para identificar solo una firma IPS.
Las asignaciones especficas de los parmetros de Host Intrusion Prevention permitidos en el
asunto/cuerpo de un mensaje incluyen:
Parmetros
Valores de los eventos IPS en host y de red
Nombres de amenazas reales o

reglas
ID de firma
Sistemas de origen
Direccin IP remota
Objetos afectados
Nombre del proceso
Hora de envo de la notificacin
Hora del incidente
ID del evento
Asignacin ePO del ID del evento
Informacin adicional
Nombre de la firma localizado (del equipo del cliente)
Actualizaciones de proteccin de IPS en host

Host Intrusion Prevention admite varias versiones de contenido y cdigo de los clientes; el
contenido ms reciente disponible aparece en la consola de ePO. Las versiones posteriores
admiten siempre el contenido nuevo; por lo tanto, las actualizaciones de contenido contienen
mayoritariamente informacin nueva o modificaciones mnimas de la informacin existente.
Un paquete de actualizacin de contenido gestiona las actualizaciones. Este paquete contiene
informacin sobre la versin del contenido y comandos de actualizacin. Al incorporarlo, la
versin del paquete se compara con la versin de la informacin de contenido ms reciente de
la base de datos. Si el paquete es ms nuevo, los comandos de este paquete se extraen y se
ejecutan. A continuacin, esta nueva informacin de contenido se pasa a los clientes en la
siguiente comunicacin entre el servidor y el agente.
Las actualizaciones incluyen datos asociados con la directiva Reglas IPS (firmas IPS y reglas de
proteccin de aplicaciones) y la directiva Aplicaciones de confianza (aplicaciones de confianza).
Como estas actualizaciones se producen en la directiva McAfee Default, estas directivas tienen
que estar asignadas tanto por Reglas IPS como por Aplicaciones de confianza para poder
aprovechar la proteccin actualizada.
El proceso bsico incluye la incorporacin del paquete de actualizacin al repositorio principal
de ePO y, a continuacin, el envo de la informacin actualizada a los clientes. Los clientes
29
Gestin del sistema
obtienen las actualizaciones nicamente mediante comunicaciones con el servidor ePO y no

directamente a travs de los protocolos FTP o HTTP.
SUGERENCIA: asigne siempre la directiva Reglas IPS de McAfee Default y la directiva Aplicaciones
de confianza de McAfee Default para beneficiarse de cualquier actualizacin de contenido. Si
modifica estas directivas predeterminadas, la modificacin no se sustituye por una actualizacin
porque la configuracin modificada de estas directivas tiene prioridad sobre la configuracin
predeterminada.
Incorporacin de paquetes de actualizaciones

Puede crear una tarea de extraccin de ePO que incorpore automticamente los paquetes de
actualizacin de contenido al repositorio principal. Esta tarea descarga el paquete de actualizacin
de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio
principal, lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention.
Tarea
1
Vaya a Software | Repositorio principal y, a continuacin, haga clic en Extraccin

de horario.
D un nombre a la tarea, por ejemplo, Actualizaciones de contenido de HIP y, a

continuacin, haga clic en Siguiente.
Seleccione Extraccin del repositorio como tipo de tarea, el origen del paquete
(McAfeeHttp o McAfeeFtp), la rama que recibe el paquete (Actual, Anterior,
Evaluacin) y un paquete seleccionado (Contenido de Host Intrusion Prevention)
y, a continuacin, haga clic en Siguiente.
Planifique la tarea segn sus preferencias y haga clic en Siguiente.
Compruebe la informacin y, a continuacin, haga clic en Guardar.
Incorporacin manual de paquetes

Esta tarea descarga el paquete de actualizacin de contenido directamente desde McAfee con
la frecuencia indicada y lo agrega al repositorio principal, lo que actualiza la base de datos con
el nuevo contenido de Host Intrusion Prevention.
Puede descargar un paquete de actualizacin e incorporarlo manualmente si no quiere utilizar
una tarea de extraccin automtica.
Tarea
30
Descargue el archivo de McAfeeHttp o McAfeeFtp.
Vaya a Software | Repositorio principal y, a continuacin, haga clic en Incorporar

paquete.
Seleccione el tipo de paquete y la ubicacin, y haga clic en Siguiente . Aparecer la pgina

Opciones de paquete.
Seleccione la rama en la que desea instalar el paquete y haga clic en Guardar. El paquete
aparecer en la ficha Repositorio principal.
Gestin del sistema
Actualizacin de clientes con contenido

Una vez incorporado el paquete de actualizacin al repositorio principal, puede enviar las
actualizaciones al cliente mediante la programacin de una tarea de actualizacin o el envo de
una llamada de activacin de agente para que se actualice inmediatamente.
Tarea
1
Vaya a Sistemas | rbol de sistemas | Tareas del cliente, seleccione el grupo al que
desea enviar las actualizaciones del contenido y haga clic en Nueva tarea.
D un nombre a la tarea, seleccione Actualizar (McAfee Agent) como el tipo de tarea

y, a continuacin, haga clic en Siguiente.
Seleccione Paquetes seleccionados, seleccione Contenido de Host Intrusion

Prevention y, a continuacin, haga clic en Siguiente.
Planifique la tarea segn sus preferencias y haga clic en Siguiente.
Revise los detalles y, a continuacin, haga clic en Guardar.
Actualizacin de contenido desde el cliente

Un cliente tambin puede pedir actualizaciones a demanda si el icono de McAfee Agent aparece
en la barra de estado del sistema del equipo del cliente.
Tarea
Haga clic con el botn derecho en el icono de McAfee Agent de la bandeja del sistema y
seleccione Actualizar ahora. Aparecer el cuadro de dilogo Progreso de actualizacin
automtica de McAfee, y se extraern y aplicarn las actualizaciones de contenido al
cliente.
31
Configuracin de directivas IPS

Las directivas IPS activan y desactivan la proteccin de Host Intrusion Prevention, establecen
el nivel de reaccin frente a eventos y proporcionan proteccin a travs de la aplicacin de
excepciones, firmas y reglas de proteccin de aplicaciones. La proteccin IPS se mantiene
actualizada con actualizaciones de contenido mensuales que contienen firmas nuevas y revisadas
y reglas de proteccin de aplicaciones.
Contenido
Resumen de directivas IPS
Activar la proteccin IPS
Configuracin de la reaccin para firmas IPS
Definicin de proteccin de IPS
Supervisin de eventos IPS
Supervisin de reglas de cliente IPS

La funcin IPS (Intrusion Prevention System) controla todas las comunicaciones del sistema
(nivel kernel) y API (nivel de usuario) y bloquea las que podran resultar en actividades dainas.
Host Intrusion Prevention determina qu proceso est utilizando una llamada, el contexto de
seguridad en el que se ejecuta el proceso y los recursos a los que se accede. Un controlador
de kernel que recibe entradas redireccionadas en la tabla de llamadas del sistema de modo de
usuario supervisa la cadena de llamadas del sistema. Cuando se realiza una llamada, el
controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de
reglas segn comportamiento para determinar si permitir, bloquear o registrar una accin. Este
mtodo hbrido detecta la mayora de ataques conocidos, as como ataques zero-day o ataques
anteriormente desconocidos.
La proteccin tambin procede de excepciones, que anulan las firmas que bloquean la actividad
legtima, y las reglas de proteccin de aplicaciones, que describen qu procesos proteger.
Directivas disponibles
Existen tres directivas IPS:
Opciones de IPS: permite la proteccin IPS al activar y desactivar la proteccin IPS del host
y de la red, y al aplicar opciones especficas para los sistemas Windows.
Proteccin IPS: indica al sistema cmo tiene que reaccionar (bloquear, ignorar, registrar)
cuando no se producen firmas de una gravedad especfica (alta, media, baja).
Reglas IPS: define una proteccin IPS mediante la aplicacin y anlisis de firmas y de
comportamiento para proteger contra ataques zero-day y conocidos. Las excepciones, que
anulan las firmas que bloquean la actividad legtima, y las reglas de proteccin de aplicaciones,
32

que indican qu procesos proteger, complementan las firmas. Al igual que la directiva
Aplicaciones de confianza, esta categora de directivas puede contener varias instancias de
directiva. Las actualizaciones de contenido proporcionan firmas nuevas y actualizadas y reglas
de proteccin de aplicaciones para mantener la proteccin en curso.
Mtodos para la entrega de proteccin IPS

El blindaje y la envoltura, la interceptacin de llamadas de sistema y la instalacin de motores
y controladores especficos son los mtodos usados para entregar proteccin IPS.
Blindaje y envoltura
Host Intrusion Prevention usa las firmas de blindaje y envoltura para proteger contra ataques.
La estrategia de la envoltura funciona para evitar que las aplicaciones obtengan acceso a
archivos, datos, configuraciones de registro y servicios fuera de su campo de aplicacin. La
estrategia del blindaje funciona para evitar accesos, desde vulnerabilidades de seguridad
exteriores a su envoltura de funcionamiento, a archivos de aplicacin, datos, configuraciones
de registro y servicios.
Interceptacin de llamadas de sistema
Host Intrusion Prevention supervisa todas las llamadas de sistema y de API y bloquea la actividad
malintencionada. Determina qu proceso usa una llamada, el contexto de seguridad en el que
se ejecuta el proceso y el recurso al que se accede. Un controlador de kernel de Host Intrusion
Prevention que recibe entradas redireccionadas en la tabla de llamadas del sistema de nivel de
usuario supervisa la cadena de llamadas del sistema. Cuando se realiza una llamada, el
controlador compara la solicitud de llamada con una base de datos de firmas combinadas y de
reglas de comportamiento para determinar si permitir, bloquear o registrar una accin.
Los programas de nivel de usuario usan la funcionalidad proporcionada por el kernel para
acceder a las unidades de disco, a las conexiones de red y a la memoria compartida. Debido a
que el procesador evita el acceso directo a las funciones a nivel de kernel, los programas de
nivel de usuario usan llamadas de sistema, que permiten la comunicacin entre los modos de
usuario y de kernel. Las llamadas de sistema exponen todas las funcionalidades de kernel que
los programas de nivel de usuario requieren, y se implementan dentro del sistema operativo,
usando una tabla de llamadas de sistema. Host Intrusion Prevention se introduce en la cadena
de llamadas de sistema al instalar un controlador a nivel de kernel y al redirigir las entradas en
la tabla de llamadas del sistema. Cuando una aplicacin solicitud un archivo, se dirige al
controlador Host Intrusion Prevention, que comprueba la solicitud con su conjunto de reglas
de firma y de comportamiento para determinar si bloquear o permitir la solicitud.
Motor HTTP para servidores web
Host Intrusion Prevention le ofrece proteccin contra ataques dirigidos a aplicaciones y sistemas
web con el motor de proteccin HTTP. Ofrece proteccin mediante el anlisis del flujo HTTP
que llega a una aplicacin y que coincide con las solicitud HTTP entrantes. El motor de proteccin
HTTP se instala entre la descripcin SSL del servidor web y el elemento descodificador que
convierte las solicitudes en texto sin formato, y el motor del servidor web. Esto garantiza que
el motor de Host Intrusion Prevention ver las solicitudes en texto sin formato y bloquear las
solicitudes malintencionadas antes de que se procesen. Las firmas HTTP evitan los ataques
transversales de directorio y Unicode, la desfiguracin de pginas web, el robo de datos y el
pirateo de servidores.
33

Motor SQL para servidores SQL

Host Intrusion Prevention protege contra ataques a servidores de base de datos con su motor
de inspeccin SQL, que se instala entre las bibliotecas de red de la base de datos y el motor
de la base de datos. Examina todas las solicitudes SQL y bloquea las que pudieran iniciar un
evento. Las reglas de proteccin SQL se diferencian por usuario, localizacin del origen de la
consulta, validez de la consulta y otros parmetros.
Las firmas de base de datos SQL ofrecen la proteccin principal ofrecida por las firmas normales
y agregan reglas especficas de interceptacin y proteccin de bases de datos. El motor SQL
de IPS en host intercepta las consultas entrantes de la base de datos antes de que las procese
el motor de la base de datos. Se examina cada consulta para ver si coincide con alguna firma
conocida de ataque, si est bien formada y si hay signos claros de inyeccin SQL.
Las firmas de base de datos SQL implementan blindaje de bases de datos para proteger los
archivos de datos, los servicios y los recursos de la base de datos. Adems, implementan
envoltura de base de datos para asegurarse de que la base de datos funcione dentro de un
perfil de comportamiento.
Firmas
Las firmas son una recopilacin de reglas de prevencin de intrusiones que se pueden hacer
corresponder con una secuencia de trfico. Por ejemplo, una firma podra buscar una cadena
especfica en una solicitud HTTP. Si una cadena coincide con un ataque conocido, se lleva a
cabo una accin. Estas reglas proporcionan proteccin contra los ataques conocidos.
Las firmas se disean para aplicaciones y sistemas operativos especficos; por ejemplo, servidores
Web como Apache e IIS. La mayora de las firmas protegen todo el sistema operativo, mientras
que algunas protegen aplicaciones especficas.
Firmas del IPS en host
La proteccin de Host Intrusion Prevention se encuentra en sistemas individuales, como
servidores, estaciones de trabajo o porttiles. El cliente de Host Intrusion Prevention inspecciona
el trfico que entra y sale de un sistema, y examina el comportamiento de las aplicaciones y el
sistema operativo para buscar ataques. Al detectar un ataque, el cliente lo puede bloquear en
la conexin del segmento de red o puede emitir comandos para detener el comportamiento
iniciado por el ataque. Por ejemplo, se impide el desbordamiento del bfer al bloquear los
programas malintencionados insertados en el espacio de direcciones que aprovecha un ataque.
La instalacin de programas de puerta trasera (back door) con aplicaciones como Internet
Explorer se bloquea al interceptar y denegar el comando write file (escribir archivo) de la
aplicacin.
Estas firmas:
Protegen frente a un ataque y los resultados de un ataque; por ejemplo, evitan que un
programa escriba en un archivo.
Protegen los equipos porttiles cuando se encuentran fuera de la red protegida.
Protegen de los ataques locales introducidos por CD o dispositivos USB. A menudo, estos
ataques se centran en aumentar los privilegios del usuario a raz o administrador para
daar otros sistemas de la red.
Proporcionan una ltima lnea de defensa contra los ataques que han eludido otras
herramientas de seguridad.
Evitan los ataques internos o el uso indebido de dispositivos ubicados en el mismo segmento
de la red.
34

Ofrecen proteccin frente a ataques en los que la secuencia de datos codificados finaliza en
el sistema protegido al examinar el comportamiento y los datos descifrados.
Protegen sistemas en arquitecturas de red obsoletas o no habituales como Token Ring o
FDDI.
Host Intrusion Prevention contiene una larga lista predeterminada de firmas de IPS en host
para todas las plataformas. Puede editar el nivel de gravedad, el estado de registro y la
configuracin de creacin de reglas de cliente de estas firmas, o agregar firmas personalizadas
a la lista. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de
contenido.
Firmas IPS de red
La proteccin IPS de red tambin se encuentra ubicada en sistemas individuales. Se examinan
todos los flujos entre el sistema protegido y el resto de la red para un ataque. Cuando se
identifica un ataque, se descartan o se bloquean los datos infractores que pasan por el sistema.
Estas firmas:
Protegen los sistemas secundarios en un segmento de red.
Protegen los servidores y los sistemas que se conectan a ellos.
Ofrecen proteccin frente a ataques de denegacin de servicio de red y ataques orientados
al ancho de banda que deniegan o degradan el trfico de red.
Host Intrusion Prevention contiene una lista predeterminada de un nmero pequeo de firmas
de IPS de red para plataformas Windows. Puede editar el nivel de gravedad, el estado de
registro y la configuracin de creacin de reglas de cliente de estas firmas, pero en este momento
no puede agregar firmas personalizadas a la lista. La lista de firmas se actualiza si es necesario
siempre que instale actualizaciones de contenido.
Reglas de comportamiento
Las reglas basadas en el comportamiento bloquean los ataques de tipo zero-day y garantizan
el comportamiento apropiado de sistemas operativos y aplicaciones. Las reglas de
comportamiento heursticas definen un perfil de actividad legtima. La actividad que no coincide
con estas reglas se considera sospechosa y activa una respuesta. Por ejemplo, una regla de
comportamiento puede indicar que solo un proceso de servidor web puede acceder a los archivos
HTML. Si cualquier otro proceso intenta acceder a los archivos HTML, se llevar a cabo una
accin. Este tipo de proteccin, llamada blindaje y envoltura de aplicacin, evita poner en peligro
aplicaciones y datos, y evita que las aplicaciones se usen para atacar otras aplicaciones.
Adems, las reglas de comportamiento previenen los ataques de desbordamiento de bfer y
evitan ejecuciones de cdigo derivadas de un ataque de desbordamiento de bfer, uno de los
mtodos ms comunes para atacar servidores y equipos de sobremesa.
Reacciones
Una reaccin es lo que hace el cliente Host Intrusion Prevention cuando se activa una firma
con una gravedad especfica.
El cliente reacciona de una de estas tres maneras:
Ignorar: no hay ninguna reaccin; el evento no se registra y la operacin no se impide.
Registrar: el evento se registra pero no se impide la operacin.
Evitar: el evento se registra y se impide la operacin.
35

Una directiva de seguridad podra indicar, por ejemplo, que cuando un cliente reconoce una
firma de gravedad baja registra la incidencia de esa firma y permite que se produzca la operacin,
y que cuando reconoce una firma de gravedad alta impide la operacin.
NOTA: se puede permitir directamente el registro en cada firma. La directiva Proteccin IPS
define automticamente la reaccin para los niveles de gravedad de firma.
Excepciones
Una excepcin anula una actividad bloqueada por la reaccin a una firma.
En algunos casos, el comportamiento que una firma define como un ataque podra ser parte
de la rutina de trabajo habitual de un usuario o una actividad que est permitida para una
aplicacin protegida. Para omitir esta firma, puede crear una excepcin que permita las
actividades legtimas. Por ejemplo, una excepcin podra indicar que se omita una operacin
para un cliente en concreto.
Puede crear estas excepciones manualmente o colocar clientes en modo de adaptacin y
permitirles crear reglas de excepcin de cliente. Para asegurar que algunas firmas no se omiten
nunca, edite la firma y desactive las opciones de Permitir reglas del cliente. Puede hacer un
seguimiento de las excepciones en la consola de ePolicy Orchestrator y mostrarlas en vistas
normales, filtradas y agregadas. Utilice estas reglas de cliente para crear nuevas directivas o
agregarlas a directivas existentes que pueden aplicarse a otros clientes.
Los clientes de Host Intrusion Prevention contienen un conjunto de reglas de firma IPS que
determinan si las actividades que se realizan en un equipo son inofensivas o dainas. Cuando
se detectan actividades dainas, se envan alertas denominadas eventos al servidor de ePO y
aparecen en la ficha IPS en host, en Informes.
El nivel de proteccin establecido para firmas en la directiva Proteccin IPS determina las
acciones adoptadas por un cliente al producirse un evento. Las reacciones incluyen omitir,
registrar o evitar la actividad.
Los eventos de actividades inofensivas que resultan ser falsos positivos se pueden anular
mediante la creacin de una excepcin a la regla de firma o mediante la calificacin de
aplicaciones como de confianza. Los clientes en modo de adaptacin crean excepciones
automticamente, denominadas reglas de cliente. Los administradores pueden crear excepciones
manualmente en cualquier momento.
Supervisar los eventos y las reglas de excepcin del cliente ayuda a determinar cmo ajustar
la implementacin para lograr una proteccin IPS ms efectiva.
Reglas de proteccin de aplicaciones

Las reglas de proteccin de aplicaciones proporcionan proteccin para listas de procesos definidas
y generadas contra desbordamientos del bfer, al permitir la interceptacin de API a nivel de
usuario.
La proteccin contra el desbordamiento del bfer es genrica para Host Intrusion Prevention
y se puede aplicar a cualquier proceso interceptado. La directiva IPS incluye una lista
predeterminada de reglas de proteccin de aplicaciones para las plataformas Windows. Esta
lista se actualiza, si es necesario, siempre que instala una actualizacin de contenido. Puede
agregar automticamente aplicaciones para red y basadas en servicio a esta lista, si ha activado
la opcin Incluir automticamente aplicaciones para red y basadas en servicio en la directiva
Opciones de IPS.
36

Eventos
Se generan eventos IPS cuando un cliente reacciona a una firma activada.
Los eventos se registran en la ficha Eventos de la ficha IPS en host, en Informes. Los
administradores pueden ver y supervisar estos eventos para analizar infracciones de reglas del
sistema. Despus, pueden ajustar las reacciones a eventos o crear excepciones o reglas de
aplicaciones de confianza para reducir el nmero de eventos y ajustar la configuracin de
proteccin.
NOTA: el cliente de Host Intrusion Prevention agrega eventos para que no se enven todos los
eventos al servidor ePO. As se evita que numerosos eventos que ocurren en menos de 20
segundos se enven de manera repetida al servidor. Si un evento vuelve a suceder tras 20
segundos, se informa del evento adicional. Los administradores pueden ver todos los eventos
en la ficha IPS en host, en Informes, en la consola ePO del sistema del cliente.

La directiva Opciones de IPS determina cmo se aplica la proteccin de IPS. Ofrece opciones
para plataformas Windows y no Windows.
Para todas las plataformas
Estas opciones estn disponibles para clientes en todas las plataformas:
Host IPS activado: seleccinela para activar la proteccin de IPS por medio de la aplicacin
de reglas IPS de Host IPS.
NOTA: este control tambin est disponible directamente en el cliente.
Modo de adaptacin activado (las reglas se aprenden automticamente):
seleccinela para activar el modo de adaptacin, en el que los clientes crean reglas de
excepcin automticamente para permitir el comportamiento bloqueado. sela solo
temporalmente cuando est afinando un despliegue.
NOTA: este control tambin est disponible directamente en el cliente.
Conservar las reglas de cliente existentes cuando se aplique esta directiva:
seleccinela para permitir que los clientes conserven las reglas de excepcin creadas en el
cliente, ya sea de forma automtica en el modo de adaptacin o manualmente en un cliente
Windows cuando se aplique esta directiva.
Solo para plataformas Windows
Estas opciones estn disponibles para clientes solo en plataformas Windows:
IPS de red activado: seleccione esta opcin para aplicar reglas IPS de red. Esta opcin
est disponible de manera independiente de la aplicacin de las reglas IPS en host.
Bloquear automticamente los intrusos de la red: seleccione esta opcin para bloquear
el trfico de entrada y salida en un host hasta que se quite manualmente de una lista de
bloqueos en un cliente, segn el nmero de minutos indicado. Solo est disponible si IPS
de red est activado.
NOTA: estos controles tambin estn disponibles directamente en el cliente.
Conservar los hosts bloqueados: seleccinela para permitir que un cliente bloquee un
host (direccin IP) hasta que se definan los parmetros de "Bloquear automticamente los
37

intrusos de la red". Si no se selecciona, el host se bloquea hasta la siguiente aplicacin de

la directiva.
Incluir automticamente aplicaciones para red y basadas en servicios en la lista
de proteccin de aplicaciones: seleccione esta opcin para permitir a un cliente agregar
automticamente aplicaciones de alto riesgo a la lista de aplicaciones protegidas de la
directiva Reglas IPS.
Proteccin IPS de inicio activada: seleccinela para aplicar un conjunto codificado de
reglas de proteccin de archivos y de registro hasta que el servicio Host IPS se haya iniciado
en el cliente.
Selecciones de directiva
La categora de directivas incluye una directiva preconfigurada y una directiva editable llamada
Mis valores predeterminados, basada en la directiva McAfee Default. Puede ver y duplicar
directivas preconfiguradas; puede crear, editar, volver a nombrar, duplicar, borrar y exportar
directivas personalizadas.
La directiva preconfigurada tiene las siguientes configuraciones:
McAfee Default
La proteccin de IPS en host y de IPS de red est desactivada, y se seleccionan estas opciones
para aplicarse cuando la proteccin de IPS se activa:
Bloquear automticamente los intrusos de red durante 10 minutos (solo Windows)
Conservar los hosts bloqueados (solo Windows)
Conservar las reglas de cliente
SUGERENCIA: para activar la proteccin IPS en los sistemas del cliente, el administrador de
Host Intrusion Prevention deber activar primero las opciones IPS en host e IPS de red en esta
directiva, y despus aplicar la directiva a los sistemas del cliente. La proteccin IPS en los
sistemas del cliente no es automtica, a diferencia de las versiones anteriores del producto.
Configuracin de la directiva de opciones IPS

Configure las opciones de esta directiva para activar o desactivar la proteccin IPS y aplicar el
modo de adaptacin.
Tarea
1
Vaya a Sistemas | Catlogo de directivas y seleccione Host Intrusion Prevention:IPS

en la lista Producto y Opciones IPS en la lista Categoras. Se muestra la lista de
directivas.
En la lista de directivas Opciones IPS, haga clic en Editar en Acciones para cambiar la
configuracin de una directiva personalizada.
NOTA: Para las directivas editables, otras opciones incluyen: cambiar nombre, duplicar,
eliminar y exportar. Para las directivas no editables, las opciones incluyen visualizar y
duplicar.
38
En la pgina Opciones IPS que aparece, haga los cambios que sean necesarios, incluyendo
el estado, el inicio y la configuracin IPS de red, y, a continuacin, haga clic en Guardar.


La directiva Proteccin IPS define la reaccin protectora para los niveles de gravedad de firma.
Esta configuracin indica a los clientes qu hacer cuando se detecta un ataque o un
comportamiento sospechoso.
Cada firma tiene uno de los cuatro niveles de gravedad:
Alto: firmas de amenazas de seguridad o acciones dainas claramente identificables. Estas
firmas son especficas para amenazas bien identificadas y, por lo general, no son de
comportamiento. Evite estas firmas en todos los sistemas.
Medio : firmas de actividades relacionadas con el comportamiento en las que las aplicaciones
funcionan fuera de su mbito. Evite estas firmas en los sistemas ms importantes, as como
en los servidores Web y SQL.
Bajo: firmas de actividades relacionadas con el comportamiento en las que las aplicaciones
y los recursos del sistema estn bloqueados y no se pueden modificar. Si se evitan estas
firmas, se aumenta la seguridad del sistema subyacente, pero es necesario realizar ajustes
adicionales.
Informacin: firmas de actividades relacionadas con el comportamiento en las que las
aplicaciones y los recursos del sistema se modifican y que pueden indicar un riesgo de
seguridad benigno o un intento de acceder a informacin confidencial del sistema. Los
eventos de este nivel se dan durante la actividad normal del sistema y, por lo general, no
demuestran un ataque.
Estos niveles de gravedad indican peligro potencial para un sistema y le permiten definir
reacciones especficas para distintos niveles de dao potencial. Puede modificar estos niveles
de gravedad y las reacciones para todas las firmas. Por ejemplo, si es poco probable que la
actividad sospechosa cause daos, puede seleccionar ignorar como reaccin. Cuando es
probable que una actividad sea peligrosa, puede establecer evitar como reaccin.
La categora de directivas incluye seis directivas preconfiguradas y una directiva editable llamada
directivas preconfiguradas; puede crear, editar, volver a nombrar, duplicar, borrar y exportar
Las directivas preconfiguradas incluyen:
Tabla 5: Directivas Proteccin IPS
Nombre
Funcin
Proteccin bsica (McAfee Default)
Evitar las firmas con una gravedad alta y omitir el resto.
Proteccin mejorada
Evitar las firmas con una gravedad alta y media y omitir

el resto.
Proteccin mxima
Evitar las firmas con una gravedad alta, media y baja y

registrar el resto.
Preparacin para proteccin mejorada
Evitar las firmas con gravedad alta, registrar las que tienen
una gravedad media y omitir el resto.
Preparacin para proteccin mxima
Evitar las firmas con una gravedad alta y media, registrar

las que tienen una gravedad baja y omitir el resto.
Advertencia
Registrar las firmas con una gravedad alta y omitir el resto.
39

Configuracin de la directiva Proteccin IPS

Configure las opciones de esta directiva para establecer las reacciones protectoras para firmas
de un nivel de gravedad concreto. Esta configuracin indica a los clientes qu hacer cuando se
detecta un ataque o un comportamiento sospechoso.
Tarea
1
Vaya a Sistema | Catlogo de directivas y seleccione Host Intrusion Prevention:

IPS en la lista Producto y Proteccin IPS en la lista Categora.
En la lista de directivas Proteccin IPS que aparece, haga clic en Editar en Acciones
para cambiar la configuracin de una directiva personalizada.
NOTA: para las directivas editables, otras opciones incluyen cambiar nombre, duplicar,
duplicar.
En la pgina Proteccin IPS que aparece, haga los cambios que sean necesarios y, a
continuacin, haga clic en Guardar.

Las directivas de reglas IPS aplican las protecciones de prevencin de intrusin. Esta directiva
es una directiva de instancia mltiple que puede tener asignadas varias instancias.
Cada directiva Reglas IPS incluye detalles configurables de:
Firmas
Reglas de proteccin de aplicaciones
Reglas de excepcin
Tambien necesita ir a la pgina Host IPS, en Informes, para trabajar con:
Eventos IPS
Reglas IPS de cliente
Esta categora de directiva contiene una directiva predeterminanda preconfigurada que
proporciona proteccin IPS bsica. Puede ver y duplicar la directiva preconfigurada; puede
editar, volver a nombrar, duplicar, borrar y exportar las directivas personalizadas que haya
creado. Tambin puede asignar ms de una instancia de la directiva para unir varias reglas de
directiva.
Configuracin de la directiva Reglas IPS

Configure las opciones de esta directiva para definir firmas, reglas de proteccin de aplicaciones
y excepciones.
Tarea
40


IPS en la lista Producto y Reglas IPS en la lista Categora. Se muestra la lista de
directivas.
En la lista de directivas Reglas IPS, haga clic en Editar en Acciones para cambiar la
NOTA: para las directivas editables, otras opciones incluyen: cambiar nombre, duplicar,
duplicar.
En la pgina Reglas IPS que aparece, haga los cambios que sean necesarios y, a
continuacin, haga clic en Guardar. Consulte Configuracin de firmas IPS, Configuracin
de las reglas de proteccin de aplicaciones IPS y Configuracin de las excepciones IPS para
obtener ms detalles.
Asignacin de varias instancias de la directiva

Asignacin de una o ms instancias de la directiva a un grupo o sistema en el rbol de sistemas
de ePolicy Orchestrator para la proteccin con varios fines de una nica directiva.
La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias
mltiples que pueden tener asignada ms de una instancia. Una directiva de varias instancias
puede ser til para un servidor IIS, por ejemplo, donde puede aplicar una directiva general
predeterminada, una directiva de servidor y una directiva IIS, las dos ltimas configuradas de
forma ms especfica para sistemas de destino que funcionen como servidores IIS. Cuando
asigna instancias mltiples, est asignando una unin de todos los elementos de cada instancia
de la directiva.
NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza
cuando se actualiza el contenido. McAfee recomienda que estas dos directivas se apliquen
siempre para asegurarse de que la proteccin est tan actualizada como sea posible.
Para las directivas que tienen instancias mltiples, un vnculo a Directiva efectiva aparece para
proporcionar una vista de los detalles de las directivas de instancias combinadas.
Tarea
1
Vaya a Sistemas | rbol de sistemas y seleccione el grupo que desee en el rbol de

sistemas.
NOTA: para un sistema nico, seleccione un grupo del rbol de sistemas que contenga el
sistema y, a continuacin, en la ficha Sistemas seleccione el sistema y seleccione Ms
acciones | Modificar directivas en un solo sistema.
En Directivas, seleccione Host Intrusion Prevention 8.0: IPS/General en la lista

Producto, y para Reglas IPS/Aplicaciones de confianza, haga clic en Editar
asignaciones.
En la pgina Asignacin de directiva, haga clic en Nueva instancia de directiva y

seleccione una directiva de la lista de Directivas asignadas para la instancia adicional
de la directiva. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias
mltiples, haga clic en Ver Directiva efectiva.
Haga clic en Guardar para guardar todos los cambios.
41

Preguntas frecuentes: directivas de instancias mltiples

Host Intrusion Prevention ofrece dos directivas de instancias mltiples: Reglas IPS y Aplicaciones
de confianza. Estas directivas permiten la aplicacin de ms de una directiva de forma simultnea
en un nico cliente. Todas las otras directivas son directivas de instancia nica.
Las versiones de McAfee Default de estas directivas se actualizan cada vez que se actualiza el
contenido de seguridad Host Intrusion Prevention. Por esta razn, siempre se tienen que asignar
estas polticas a los clientes para comprobar que se aplican las actualizaciones del contenido
de seguridad. Cuando se aplica ms de una instancia, el resultado es una unin de todas las
instancias llamada la directiva efectiva.
Cmo puedo utilizar la asignacin de la directiva de instancias mltiples para
simplificar mi despliegue?
Primero, defina grupos de usuarios para el despliegue que tengan una propiedad esencial en
comn que dicte qu recursos deben protegerse y qu recursos necesitan excepciones para
trabajar correctamente. Esta propiedad podra estar basada en:
Departamento: cada departamento debera requerir proteccin de un conjunto nico de
recursos y excepciones para un conjunto nico de actividades empresariales.
Ubicacin: cada ubicacin puede tener sus propios estndares de seguridad nicos o un
conjunto nico de recursos que necesiten proteccin y excepciones para la actividad
empresarial.
Tipo de equipo: cada tipo de equipo (equipo porttil, estaciones de trabajo, servidores)
puede tener un conjunto nico de aplicaciones que necesite proteccin pero que tambin
pueda realizar funciones empresariales esenciales.
A continuacin, proteja los recursos, y cree excepciones y aplicaciones de confianza para cada
grupo. Puede utilizar el modo de adaptacin para determinar qu recursos proteger o en cules
confiar para un grupo dado. Despus de esto, cree instancias de reglas IPS y directivas de
aplicaciones de confianza para cada grupo de usuarios (una directiva de reglas IPS para un
departamento concreto, una para una ubicacin concreta y una para un tipo de equipo concreto)
y aplique la instancia adecuada. Sin una directiva de reglas IPS de instancias mltiples, una
combinacin de tres departamentos, tres ubicaciones y tres tipos de equipo seran necesarias
27 directivas; con el enfoque de las instancias mltiples, se necesitan solo nueve.
Pero las reglas en las diferentes directivas asignadas se contradicen. Cmo se
calcula la directiva efectiva?
Es posible que una regla de una instancia tenga una configuracin que contradiga la de la
misma regla en otra instancia de la directiva. IPS en host tiene reglas para gestionar estos
conflictos al establecer la directiva efectiva total.
Para las reglas IPS:
La gravedad efectiva para una firma es la gravedad personalizada ms alta. La prioridad es:
Alta, Media, Baja, Informacin, Desactivada. Si no se personaliza la gravedad, se aplica el
valor predeterminado.
El estado de registro efectivo de una firma es el estado de registro personalizado. Si se
personaliza en dos o ms directivas Reglas IPS aplicadas, el estado de registro personalizado
activado tiene prioridad sobre el desactivado. Si no se personaliza el estado de registro, se
aplica el valor predeterminado.
La configuracin de reglas de cliente efectivas de una firma es la configuracin personalizada.
Si se personalizan en dos o ms directivas Reglas IPS aplicadas, las reglas de cliente
42

personalizadas activadas tienen prioridad sobre las desactivadas. Si no se personaliza la

configuracin de las reglas de cliente, se aplica el valor predeterminado.
El conjunto de excepciones efectivo es la unin de todas las excepciones aplicadas.
Para las aplicaciones de confianza:
El conjunto de aplicaciones de confianza es la unin de todas las aplicaciones de confianza.
Marcar una aplicacin como de confianza para IPS o Firewall tiene prioridad, incluso si la
misma aplicacin no est marcada como de confianza para esta funcin en otra directiva de
aplicaciones de confianza asignada.
Cmo funcionan las firmas de IPS

Las firmas describen amenazas de seguridad, metodologas de ataque e intrusiones en una red.
Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro potencial de un
ataque:
Alto: firmas que protegen frente a amenazas de seguridad o acciones dainas claramente
identificables. La mayora de estas firmas son especficas para amenazas bien identificadas
y, por lo general, no son de comportamiento. Deberan prevenirse en todos los hosts.
Medio: firmas ms relacionadas con el comportamiento y que evitan el funcionamiento de
las aplicaciones fuera de su entorno (relevante para clientes que protegen servidores Web
y Microsoft SQL Server 2000). Es conveniente prevenir estas firmas en los servidores
importantes despus del ajuste.
Bajo: firmas ms relacionadas con el comportamiento y que protegen las aplicaciones. El
blindaje bloquea los recursos de sistema y aplicaciones para que no puedan cambiarse. Si
se evitan estas firmas, se aumenta la seguridad del sistema subyacente, pero es necesario
realizar ajustes adicionales.
Informacin: indica una modificacin en la configuracin del sistema que puede crear un
riesgo de seguridad benigno o un intento de acceder a informacin confidencial del sistema.
Los eventos de este nivel se dan durante la actividad normal del sistema y, por lo general,
no demuestran un ataque.
Tipos de firmas
La directiva Reglas IPS puede incluir tres tipos de firmas:
Firmas de Host IPS: firmas predeterminadas de Host Intrusion Prevention.
Firmas de IPS personalizadas: firmas de Host Intrusion Prevention personalizadas creadas
por el usuario.
Firmas IPS en red: firmas predeterminadas de prevencin de intrusin de red.
Firmas de Host IPS
Las firmas de prevencin de intrusin basadas en host detectan y evitan los ataques de actividad
de las operaciones del sistema e incluyen las reglas Archivo, Registro, Servicio y HTTP. Estn
desarrolladas por los expertos en seguridad de Host Intrusion Prevention y se proporcionan
con el producto y con las actualizaciones del contenido.
Cada firma tiene una descripcin y un nivel de gravedad predeterminado. Con los niveles de
privilegios adecuados, un administrador puede modificar el nivel de gravedad de una firma.
Al activarse, las firmas basadas en host generan un evento IPS que aparece en la ficha Eventos
de la ficha IPS en host, en Informes.
43

Firmas de IPS personalizadas

Las firmas personalizadas son firmas basadas en host que puede crear para ofrecer proteccin
adicional a la proteccin predeterminada. Por ejemplo, al crear una carpeta nueva con archivos
importantes, puede crear una firma personalizada para protegerla.
NOTA: no puede crear firmas personalizadas basadas en la red.
Firmas IPS de red
Las firmas de prevencin de intrusos basadas en red detectan y evitan los ataques de red
conocidos que llegan al sistema host. Aparecen en la misma lista de firmas que las firmas
basadas en host.
Cada firma tiene una descripcin y un nivel de gravedad predeterminado. Con los niveles de
privilegios adecuados, un administrador puede modificar el nivel de gravedad de una firma.
Puede crear excepciones para firmas basadas en red; sin embargo, no puede especificar atributos
de parmetros adicionales, como el usuario del sistema operativo o el nombre del proceso. Los
detalles avanzados contienen parmetros especficos de red que se pueden especificar; por
ejemplo, direcciones IP.
Los eventos generados por firmas basadas en red se muestran junto con los eventos basados
en host en la ficha Eventos y presentan el mismo comportamiento que los eventos basados en
host.
Para trabajar con firmas, haga clic en la ficha Firmas en la directiva Reglas IPS.
Configuracin de firmas IPS

Edite firmas predeterminadas, agregue firmas personalizadas y mueva firmas a otra directiva
de la ficha Firmas de la directiva Reglas IPS.
Tarea
1

directivas.
En Acciones, haga clic en Editar para hacer los cambios en la pgina Reglas IPS y, a
continuacin, haga clic en la ficha Firmas.
Realice una de las operaciones siguientes:

Para...
Buscar una firma en la lista
Utilice los filtros situados en primera posicin en la lista

de firmas. Puede filtrar segn gravedad de la firma,
tipo, plataforma, estado de registro, si el cliente esta
habilitado o texto concreto que incluya nombre, notas
o versin de contenido de las firmas. Haga clic en
Quitar para quitar la configuracin del filtro.
Editar una firma
En Acciones, haga clic en Editar.
44
Si la firma es una firma predeterminada, puede

modificar la configuracin del Nivel de gravedad,
de las Reglas de cliente o del Estado de
registro e introducir notas en el cuadro Nota para
documentar el cambio. Haga clic en Aceptar para
guardar las modificaciones. Se puede revertir la
configuracin predeterminada de las firmas

Para...
predeterminadas haciendo clic en Revertir en
Acciones.
NOTA: cuando haya editado una firma y guardado
los cambios, la firma vuelve a ordenarse en la lista.
Por ello, quizs tendr que buscar en la lista para
encontrar la firma editada.
Si la firma es una firma personalizada, modifique

la configuracin del Nivel de gravedad, de las
Reglas de cliente, del Estado de registro o de
la Descripcin e introduzca notas en el cuadro
Nota pata documentar el cambio. Haga clic en
Aceptar para guardar las modificaciones.
NOTA: puede realizar cambios en varias firmas a la vez,

seleccionando las firmas y haciendo clic en Editar
varias. En la pgina que aparece, seleccione la
configuracin de los tres elementos editables y, a
continuacin, haga clic en Aceptar .
Agregar una firma
Haga clic en Nueva o Nueva (Asistente).
Eliminar una firma personalizada
En Acciones, haga clic en Eliminar.

NOTA: solo se pueden eliminar la firmas personalizadas.
Copiar una firma en otra directiva
Seleccione la firma y haga clic en Copiar en para

copiarla en otra directiva. Indique la directiva en la que
desea copiar la firma y haga clic en Aceptar.
NOTA: puede copiar varias firmas a la vez seleccionando
todas las firmas antes de hacer clic en Copiar en.
Haga clic en Guardar para guardar los cambios.
Creacin de firmas personalizadas

Cree firmas de prevencin de intrusiones en host personalizadas desde la ficha Firmas de la
directiva Reglas IPS para proteger operaciones especficas no cubiertas por firmas
predeterminadas.
Tarea
1
En la ficha Firmas de la directiva Reglas IPS, haga clic en Nueva. Aparecer una pgina
Firma en blanco.
En la ficha Firma IPS de la firma, escriba un nombre (obligatorio) y seleccione la

plataforma, el nivel de gravedad, el estado de registro y si se debe permitir la creacin de
reglas de cliente. Para los niveles de gravedad, las reglas de cliente y el estado de registro,
seleccione la casilla para cambiar los valores predeterminados.
En la ficha Descripcin, introduzca una descripcin de lo que va a proteger la firma. Esta

descripcin aparece en el Evento IPS al activarse la firma.
En la ficha Subreglas, seleccione Nueva subregla estndar o Nueva subregla de

experto para crear una regla.
45

Mtodo estndar
Mtodo experto
El mtodo estndar limita el nmero de tipos que se

pueden incluir en la regla de firma.
El mtodo experto, recomendado solo para usuarios

avanzados, le permite proporcionar la sintaxis de las
reglas sin limitarle al nmero de tipos que se pueden
incluir en la firma. Antes de escribir una regla,
asegrese de que entiende las reglas de sintaxis.
Escriba un nombre para la firma (obligatorio) y

seleccione un tipo de clase de regla. Las
opciones incluyen: Archivos, Interceptacin,
HTTP, Programas, Registros, Servicios y SQL.
Escriba la sintaxis de la regla para las firmas,

que pueden incluir un nombre para la regla.
Utilice el formato ANSI y la sintaxis TCL.
2
2
Especifique la clase de operaciones que estn

bloqueadas y que van a activar la firma.
Indique si desea incluir o excluir un parmetro

en concreto, cul es y su valor.
Incluya un ejecutable como un parmetro con

informacin sobre por lo menos uno de estos
cuatro valores: descripcin del archivo, nombre
del archivo, identificacin por huellas digitales
hash MD5 o firmante.
Haga clic en Aceptar y se agregar la regla a

la lista en la parte superior de la ficha Subregla.
Se ha compilado la regla y se ha verificado la
sintaxis. Si hay un error en la verificacin de la
regla, aparecer un cuadro de dilogo en el que
se describe el error. Corrija el error y verifique
la regla de nuevo.
Haga clic en Aceptar y se agregar la regla a

la lista en la parte superior de la ficha Subregla.
Se ha compilado la regla y se ha verificado la
sintaxis. Si hay un error en la verificacin de la
regla, aparecer un cuadro de dilogo en el que
se describe el error. Corrija el error y verifique
la regla de nuevo.
Para obtener detalles sobre cmo trabajar con tipos de clases, operaciones y parmetros,
consulte la seccin de clase adecuada de Escritura de firmas personalizadas y excepciones.
5
Haga clic en Aceptar.

NOTA: puede incluir varias reglas en una firma.
Creacin de firmas personalizadas con un asistente

Utilice el asistente de firma personalizada para simplificar la creacin de nuevas firmas.
NOTA: las firmas que se crean con el asistente no tienen ninguna flexibilidad para las operaciones
que la firma est protegiendo ya que no puede cambiar, agregar o borrar operaciones.
Tarea
46
En la ficha Firmas de Reglas IPS, haga clic en Nueva (Asistente).
En la ficha Informacin bsica, escriba un nombre y seleccione la plataforma, el nivel

de gravedad, el estado de registro y si se debe permitir la creacin de reglas de cliente.
Haga clic en Siguiente para continuar.
En la ficha Descripcin, introduzca una descripcin de lo que va a proteger la firma. Esta

descripcin aparece en el Evento IPS al activarse la firma.
En la ficha Definicin de regla, seleccione el elemento que desea proteger de las

modificaciones e introduzca los detalles.

Preguntas frecuentes: uso de caracteres comodn en las reglas IPS

Las reglas IPS en host permiten el uso de caracteres comodn cuando se introducen valores en
ciertos campos.
Qu caracteres comodn puedo usar para los valores de ruta y de direccin?
Para las rutas de archivos, las claves de registro, los ejecutables y las URL, use los siguientes
caracteres comodn:
Carcter
Definicin
? (signo de interrogacin)
Un solo carcter.
* (un asterisco)
Varios caracteres excluidos / y \. selo para seleccionar

los contenidos del nivel raz de una carpeta sin seleccionar
las subcarpetas.
** (dos asteriscos)
Varios caracteres incluidos / y \.
| (canalizacin)
Escape de caracteres comodn.

NOTA: para **, el escape es |*|*.
Qu caracteres comodn puedo usar para todos los dems valores?

Para los valores que normalmente no contienen informacin de ruta con barras, use los siguientes
caracteres comodn:
Carcter
Definicin
Un solo carcter.
* (un asterisco)
| (canalizacin)
Qu caracteres comodn puedo usar para los valores de subregla experta de firma?
Para todos los valores cuando se crea una subregla mediante el mtodo experto:
Carcter
Definicin
Un solo carcter.
* (un asterisco)
Varios caracteres incluidos / y \. Ejemplo: files { Include
C:\*.txt }
& (y comercial)
Varios caracteres excepto / y \. selo para seleccionar los

contenidos del nivel raz de una carpeta sin seleccionar
las subcarpetas. Ejemplo: files { Include
C:\test\\&.txt }
! (signo de exclamacin)
Escape de caracteres comodn. Ejemplo: files { Include
C:\test\\yahoo!.txt }
Cmo funcionan las reglas de proteccin de aplicaciones de IPS

Las reglas de proteccin de aplicaciones controlan qu procesos reciben una proteccin contra
desbordamiento de bfer genrica de Host Intrusion Prevention. Estas reglas permiten o bloquean
el enlace de API a nivel de usuario para listas definidas y generadas de procesos. El enlace de
47

registro y archivos a nivel del kernel no se ve afectado. Solo los procesos que en la lista muestran
el estado incluido reciben la proteccin contra desbordamiento de bfer.
Host Intrusion Prevention proporciona una lista esttica de procesos que se permiten o bloquean.
Esta lista se actualiza con actualizaciones de contenido que se aplican a la directiva Reglas IPS
de McAfee Default. Adems, los procesos a los que se permite el enlace se agregan
dinmicamente a la lista cuando el anlisis del proceso est habilitado. Este anlisis se realiza
en estas circunstancias:
Cada vez que el cliente se inicia y se enumeran los procesos en ejecucin.
Cada vez que se inicia un proceso.
Cada vez que la lista de proteccin de la aplicacin se actualiza mediante el servidor de
ePolicy Orchestrator.
Cada vez que la lista de procesos que escuchan en un puerto de red se actualiza.
NOTA: para la actualizacin dinmica de la lista, la opcin "Incluir automticamente aplicaciones
para red y basadas en servicios en la lista de proteccin de aplicaciones" de la directiva Opciones
de IPS debe estar seleccionada. Esta opcin incluye, de manera implcita, todos los servicios y
las aplicaciones de Windows que escuchan en puertos de red.
Este anlisis implica la comprobacin de si el proceso est excluido de la lista Proteccin de
aplicaciones. Si no est excluido, comprueba si se ha incluido en la lista Proteccin de
aplicaciones. Si no es as, el proceso se analiza para ver si escucha en un puerto de red o se
ejecuta como un servicio. Si tampoco es as, se bloquea el enlace y el proceso no se protege.
48

Si escucha en un puerto o se ejecuta como un servicio, se permite el enlace y se protege el

proceso.
Figura 1: Anlisis de Reglas de proteccin de aplicaciones

El componente de IPS mantiene un cach de informacin al ejecutar procesos. Este cach
realiza el seguimiento de la informacin de enlazado. El componente de firewall determina si
un proceso escucha en un puerto de red, llama a un API exportado por un componente IPS y
pasa la informacin al API para que lo aada a la lista supervisada. Cuando se llama al API, el
componente IPS localiza la entrada correspondiente en su lista de procesos en ejecucin. Los
procesos que no estn ya enlazados y que no formen parte del bloqueo esttico se enlazarn.
El firewall proporciona el PID (ID del proceso), que es la clave para que el cach busque un
proceso.
La API exportada por el componente IPS tambin permite a la interfaz del usuario de cliente
obtener la lista de los procesos enlazados actualmente, la cual se actualiza siempre que un
proceso se enlaza o desenlaza. Un proceso enlazado se desenlaza si el servidor enva una lista
49

de procesos actualizada que especifique que el proceso ya enlazado no debera seguir enlazado.
Cuando la lista de enlaces del proceso se actualiza, cada proceso enumerado en el cach de
informacin de procesos en ejecucin se compara con la lista actualizada. Si la lista indica que
un proceso debera estar enlazado y no lo est, se procede a enlazarlo. Si las listas indican que
un proceso no debera estar enlazado y lo est, se procede a eliminar el enlace.
La lista de enlazado de procesos puede verse y editarse en la ficha Reglas de proteccin de
aplicaciones. La interfaz de usuario de cliente, a diferencia de la vista de la directiva Reglas
IPS, muestra una lista esttica de todos los procesos de aplicacin enlazados.
NOTA: para evitar la inyeccin de un DLL en un ejecutable al usar hook:set_windows_hook,
incluya el ejecutable en la lista de proteccin de aplicaciones.
Configuracin de reglas de proteccin de aplicaciones de IPS

Edite, agregue y elimine reglas, y muvalas a otra directiva desde la ficha Reglas de proteccin
de aplicaciones de Reglas IPS de la directiva Reglas IPS.
Tarea
1

directivas.
continuacin, haga clic en la ficha Reglas de proteccin de aplicaciones.

Para...
Buscar una regla de aplicacin en la lista

de aplicaciones. Puede filtrar segn el estado de la
regla, la inclusin o un texto especfico que incluya el
nombre del proceso, la ruta o el nombre del equipo.
Haga clic en Quitar para quitar la configuracin del
filtro.
Editar una regla de aplicacin
Agregar una regla de aplicacin
Haga clic en Nueva.
Eliminacin de una regla de aplicacin
Copiar una regla de aplicacin en otra directiva
Seleccione la regla y haga clic en Copiar en para

desea copiar la regla y haga clic en Aceptar.
NOTA: puede copiar varias reglas a la vez seleccionando
todas las reglas antes de hacer clic en Copiar en.
Creacin de reglas de proteccin de aplicaciones

Si la directiva Reglas IPS no tiene una regla de proteccin de aplicaciones que necesite en su
entorno, puede crear una.
50

Tarea
1
En la ficha Reglas de proteccin de aplicaciones de la directiva Reglas IPS, haga algo

de lo siguiente:
Haga clic en Nueva. Aparecer una pgina Aplicacin en blanco.
Seleccione una regla y haga clic en Duplicar. Despus de darle un nombre y guardar
la nueva regla, haga clic en Editar.
Introduzca el nombre (obligatorio), el estado, si la regla de la aplicacin se incluye en la
lista de proteccin y los ejecutables a los que desea aplicar la regla.
NOTA: puede agregar un ejecutable existente del catlogo de IPS en host al hacer clic en
Agregar desde catlogo. Para obtener ms informacin sobre el catlogo, consulte Cmo
funciona el catlogo de IPS en host en Configuracin de directivas de firewall.
Cmo funcionan las excepciones de IPS

A veces, un comportamiento que se interpretara como un ataque puede ser una parte normal
de la rutina de trabajo de un usuario. Esto se denomina alerta de falso positivo. Para evitar los
falsos positivos, cree una excepcin para dicho comportamiento.
Las excepciones permiten reducir alertas de falsos positivos, minimizan el flujo de datos
innecesarios hacia la consola y garantizan que las alertas sean amenazas de seguridad reales.
Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma Outlook Envelope
- Suspicious Executable Mod. Esta firma indica que la aplicacin de correo electrnico Outlook
est intentando modificar una aplicacin fuera del envoltorio de recursos habituales de Outlook.
Por tanto, un evento activado por esta firma es motivo de alarma, puesto que Outlook podra
estar modificando una aplicacin que normalmente no est asociada con el correo electrnico,
por ejemplo, Notepad.exe. En este ejemplo, podra sospechar que se ha instalado un troyano.
No obstante, si el proceso que inicia el evento es responsable normalmente del envo de correo
electrnico, por ejemplo, guardar un archivo con Outlook.exe, debe crear una excepcin que
permita esta accin.
SUGERENCIA: si crea una firma personalizada que evite la modificacin de archivos (edicin,
cambio de nombre o eliminacin) de una carpeta concreta, pero desea que una aplicacin
especfica pueda realizar dichas modificaciones, cree una excepcin que permita que la aplicacin
realice dichos cambios en los archivos. De manera alternativa, puede agregar a la subregla de
la firma personalizada el parmetro con la aplicacin configurada como Excluir.
Configuracin de las excepciones IPS

Edite, agregue y elimine excepciones, y muvalas a otra directiva desde la ficha Excepciones
de reglas IPS de la directiva Reglas IPS.
Tarea
1

directivas.
51

continuacin, haga clic en la ficha Reglas de excepcin.

Para...
Buscar una regla de excepcin en la lista

de excepciones. Puede filtrar segn estado de la regla,
fecha de modificacin o texto especfico que incluya
regla o texto de notas. Haga clic en Quitar para quitar
la configuracin del filtro.
Editar una regla de excepcin
Agregar una regla de excepcin
Haga clic en Nueva.
Eliminar una regla de excepcin
Copiar una regla de excepcin en otra directiva
Seleccione la regla y haga clic en Copiar en para

desea copiar la regla y haga clic en Aceptar.
NOTA: puede copiar varias reglas a la vez seleccionando
todas las reglas antes de hacer clic en Copiar en.
Creacin de reglas de excepcin

Para permitir un comportamiento impedido por una firma, cree una excepcin para dicha firma.
Esto puede implicar la definicin de parmetros y valores de excepcin. Consulte Escritura de
firmas personalizadas y excepciones para obtener ms informacin sobre este tema.
Tarea
1
En la ficha Reglas de excepcin de la directiva Reglas IPS, haga clic en Nueva.
Ponga nombre a la excepcin, asegrese de que est activada y, a continuacin, incluya

las firmas en las que se aplique la excepcin.
Configure los ejecutables, los parmetros o los grupos de dominio que representan un
papel como excepcin segn comportamiento para la firma.

Un evento IPS se desencadena cuando se produce una infraccin de la seguridad, segn lo
definido en una firma, si se detecta y se informa de ello al servidor ePO.
El evento IPS aparece en la ficha Eventos de la ficha Host IPS (o en la ficha Registro de eventos,
junto con los dems eventos del resto de productos gestionados por ePolicy Orchestrator), en
Informes, con uno de los cuatro criterios de nivel de seguridad: Alta, Media, Baja e Informacin.
NOTA: cuando la misma operacin activa dos eventos, se adopta la reaccin de firma con el
nivel ms alto.
52

De la lista de eventos generada, puede determinar qu eventos pueden permitirse y cules

indican un comportamiento sospechoso. Para permitir los eventos, configure el sistema con lo
siguiente:
Excepciones: reglas que anulan una regla de firma.
Aplicaciones de confianza: aplicaciones que se marcan como de confianza cuyas
operaciones podran ser bloqueadas por una firma.
Este proceso de ajuste mantiene en un nivel mnimo los eventos que aparecen, de forma que
se dispone de ms tiempo para analizar los eventos graves que se producen.
Reaccin a los eventos
En algunas circunstancias, un comportamiento que se interprete como un ataque puede ser
una parte normal de la rutina de trabajo de un usuario. Cuando esto se produce, puede crear
una regla de excepcin o una regla de aplicacin de confianza para dicho comportamiento.
La creacin de excepciones y aplicaciones de confianza le permite disminuir las alertas de falsos
positivos y garantiza que las notificaciones que recibe son importantes.
Por ejemplo, durante el proceso de prueba de clientes, es posible que algunos de ellos reconozcan
la firma de acceso a correo electrnico. Normalmente, un evento activado por esta firma es
motivo de alarma. Los piratas informticos pueden instalar aplicaciones de troyanos que utilicen
el puerto TCP/IP 25, reservado normalmente para aplicaciones de correo electrnico, y esta
accin se detectara mediante la firma TCP/IP Port 25 Activity (SMTP). Por otra parte, tambin
es posible que el trfico normal del correo electrnico coincida con esta firma. Cuando vea esta
firma, investigue el proceso que inici el evento. Si el proceso no est asociado normalmente
con el correo electrnico, como Notepad.exe, puede tener sospechas razonables de que se
trata de un troyano. Si el proceso que inicia el evento es responsable normalmente del envo
de correo electrnico (por ejemplo, Outlook), cree una excepcin para este evento.
Por ejemplo, tambin podra detectar que una serie de clientes activan los programas de inicio
de las firmas, lo cual indica que se modifica o se crea un valor en las claves del Registro
siguientes:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Dado que los valores almacenados bajo estas claves indican programas que se inician al encender
el equipo, el reconocimiento de esta firma podra indicar que alguien est intentando alterar el
sistema. Tambin puede indicar algo benigno, como la instalacin de WinZip por parte de un
empleado en uno de sus equipos. La instalacin de WinZip agrega un valor a la clave de registro
Ejecutar.
Para eliminar el inicio de eventos cada vez que alguien instala software autorizado, puede crear
excepciones para dichos eventos.
Filtrado y agregacin de eventos
La aplicacin de eventos genera una lista de eventos que satisface todas las variables definidas
en los criterios de filtro. El resultado es una lista de eventos que incluye todos los criterios. La
agregacin de eventos de cliente genera una lista de eventos agrupados por el valor asociado
con cada variable seleccionada en el cuadro de dilogo "Seleccionar columnas para agregar".
El resultado es una lista de eventos mostrados en grupos y ordenados por el valor asociado
con las variables seleccionadas.
53

Gestin de eventos IPS

La visualizacin de eventos IPS procedentes de clientes y la creacin de excepciones o
aplicaciones de confianza de los mismos ayudan a ajustar y reforzar la seguridad.
NOTA: los eventos IPS tambin aparecen en la ficha Registro de eventos en Informes junto
con todos los otros eventos para todos los sistemas. El acceso a las fichas de eventos en
Informes requiere configuraciones de permisos adicionales, incluidos los permisos de vista para
acceder al registro de eventos, sistemas y rbol de sistemas.
Tarea
1
Vaya a Informes | Host IPS 8.0 y, a continuacin, haga clic en Eventos.
Seleccione el grupo en el rbol de sistemas del que desea mostrar los eventos IPS.
Aparecern todos los eventos asociados al grupo. De forma predeterminada, no se muestran
todos los eventos. Solo aparecern los eventos de los ltimos 30 das.
Determine cmo desea ver la lista de eventos:
Para...
Seleccionar las columnas que se han de mostrar
Seleccione Opciones | Elegir columnas. En la pgina

Seleccionar columnas, agregue, quite o reordene las
columnas que se mostrarn.
Ordernar por columna
Haga clic en el encabezamiento de la columna.
Filtrar por grupos
Desde el men Filtro, seleccione Solo este grupo o

Este grupo y todos los subgrupos.
Filtrar por criterios de eventos
Seleccione un tipo de evento, estado marcado (ledo,

no ledo, oculto, mostrado), nivel de gravedad o fecha
de creacin. Haga clic en Quitar para quitar la
configuracin del filtro.
Agregar excepciones
Haga clic en Agregar, seleccione los criterios en los

que desea agrupar los eventos y, a continuacin, haga
clic en Aceptar. Haga clic en Quitar para eliminar la
configuracin de agregacin.
Ver detalles del evento
Haga clic en el evento. Aparece la pgina Registro de

eventos.
Marque los eventos para facilitar su filtrado y seguimiento: seleccione la casilla de uno o
ms eventos y despus haga clic en el comando adecuado.
NOTA: el comando est en el men Ms acciones.
54
Haga clic en...
Para...
Marcar como ledo
Marcar el evento como ledo
Marcar como no ledo
Marcar un evento ledo como no ledo
Marcar como oculto
Ocultar el evento
Marcar como mostrado
Mostrar los eventos ocultos. Nota: debe filtrar primero

por eventos ocultos para poder seleccionarlos.
Cree una regla de excepcin o de aplicacin de confianza. Seleccione un evento y haga

clic en Nueva excepcin para crear una excepcin; o haga clic en Nueva aplicacin
de confianza para crear una regla de aplicacin. Consulte Creacin de una excepcin a

partir de un evento o Creacin de una aplicacin de confianza a partir de un evento para

obtener detalles.
Creacin de una excepcin para un evento

Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8.0 o en la pgina
Registro de eventos, tiene la opcin de crear una excepcin.
Tarea
1
Seleccione la casilla del evento para el que quiere crear una excepcin.
Haga clic en Nueva excepcin.

NOTA: el comando est en el men Acciones.
En el cuadro de dilogo que aparece, seleccione una directiva de destino Reglas IPS y haga
clic en Aceptar. Se ha creado la excepcin y se ha aadido de forma automtica al final
de la lista de excepciones de la directiva de destino Reglas IPS.
Creacin de una aplicacin de confianza de un evento

Para un evento que aparece bajo Informes en la ficha eventos Host IPS 8.0 o en la pgina
Registro de eventos, tiene la opcin de crear una aplicacin de confianza.
Tarea
1
Seleccione la casilla del evento para el que quiere crear una aplicacin de confianza.
Haga clic en Nueva aplicacin de confianza.

NOTA: el comando est en el men Ms acciones.
En el cuadro de dilogo que aparece, seleccione una directiva de destino de aplicaciones

de confianza y haga clic en Aceptar. Se ha creado la excepcin y se ha aadido de forma
automtica al final de la lista de excepciones de la directiva de destino Aplicaciones de
confianza. Desde aqu, puede ver o editar los detalles de la nueva aplicacin.

Necesita analizar peridicamente las reglas de cliente IPS creadas automticamente cuando los
clientes estn en modo de adaptacin, o manualmente en el cliente que proporciona la opcin
directiva IU de cliente, para permitir que la creacin manual de reglas de cliente se habilite.
Las reglas de cliente IPS son excepciones creadas en un cliente para permitir una funcionalidad
bloqueada por una firma. Preste especial atencin a las excepciones de las firmas de gravedad
alta, ya que podran indicar un problema grave o un falso positivo. Si se trata de un falso
positivo, mueva la excepcin a una directiva Reglas IPS o ajuste la gravedad de la firma.
NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host, en Informes, requiere permisos
adicionales diferentes que para IPS de Host Intrusion Prevention, incluidos permisos de vista
para acceder al registro de eventos, sistemas y rbol del sistema.
55

Puede ordenar, filtrar y agregar las excepciones y ver sus detalles. De este modo, puede ascender
algunas o todas las excepciones de clientes a una directiva Reglas IPS concreta para reducir
los falsos positivos en un entorno del sistema concreto.
Use la funcin de agregacin para combinar excepciones que tengan los mismos atributos, para
que solo aparezca una excepcin agregada, al tiempo que se realiza un seguimiento del nmero
de veces que se producen las excepciones. Esto permite encontrar ms fcilmente los puntos
problemticos de proteccin de IPS en los clientes.
Gestin de reglas de cliente IPS

La visualizacin de las reglas de cliente IPS creadas automticamente en el modo de adaptacin
o manualmente en un cliente y cmo moverlas a una directiva Reglas IPS o Aplicaciones de
confianza permite un ajuste sencillo de la proteccin IPS.
NOTA: el acceso a Reglas de cliente IPS de la ficha IPS en host, en Informes, requiere permisos
adicionales diferentes que para IPS de Host Intrusion Prevention, incluidos permisos de vista
para acceder al registro de eventos, sistemas y rbol del sistema.
Tarea
1
Vaya a Informes | Host IPS 8.0 y haga clic en Reglas de cliente de IPS.
Seleccione el grupo en el rbol del sistema del que desea mostrar las reglas de cliente.
Determine cmo desea ver la lista de excepciones de cliente:
56
Para...
Ordernar por columna
Filtrar por grupos
Desde el men Filtro seleccione Solo este grupo o

Filtrar por criterios de excepcin
Seleccione el criterio de tiempo; escriba la ruta del

proceso, el nombre del proceso, el nombre de usuario,
el nombre del equipo o la firma ID en el cuadro de texto
de bsqueda y pulse Volver. Haga clic en Quitar para
quitar la configuracin del filtro.
Agregar excepciones
Haga clic en Agregar, seleccione los criterios a los que

desea agregar las excepciones y, a continuacin, haga
Para mover excepciones a una directiva, seleccione una o ms excepciones de la lista, haga
clic en Crear excepcin e indique la directiva a la que desea mover las excepciones.
Configuracin de directivas de firewall

Las directivas de firewall de Host Intrusion Prevention activan o desactivan la proteccin y
proporcionan reglas que detienen a los intrusos de la red que pudieran poner en peligro los
datos, las aplicaciones o el sistema operativo.
Contenido
Resumen de directivas de firewall
Activacin de proteccin por firewall
Definicin de la proteccin de firewall

La funcin de firewall de Host Intrusion Prevention proporciona seguridad mediante el filtrado
de trfico entrante y saliente de los sistemas de red que ejecuten Windows. El filtrado con
seguimiento de estado y la inspeccin de paquetes identifican los paquetes para diferentes
tipos de conexiones y mantienen en la memoria los atributos de las conexiones de red desde
una transmisin de inicio a fin.
Un catlogo de IPS en host simplifica la creacin de reglas, ya que le permite agregar reglas
existentes, grupos, opciones de red, aplicaciones, ejecutables y localizaciones del catlogo de
reglas y grupos nuevos y existentes de firewall. Tambin permite la adicin de estos elementos
al catlogo, ya sea de manera individual o por procesos de lotes.
Existen tres directivas de firewall:
Opciones de firewall: activa la proteccin de firewall. Activa y desactiva la proteccin del
firewall, define los ajustes de firewall con seguimiento de estado y activa la proteccin especial
especfica de firewall, como permitir el trfico saliente hasta que se haya iniciado el servicio de
firewall o el bloqueo de la falsificacin de IP y del trfico malintencionado.
Reglas de firewall: activa la proteccin de firewall. Consiste en un conjunto de reglas que
define qu trfico se permite y qu trfico se bloquea. Puede definir las reglas de manera amplia
(por ejemplo, todo el trfico IP) o de manera estricta (por ejemplo, mediante la identificacin
de una aplicacin o servicio concretos), con las distintas opciones de red, de transporte, de
aplicacin o de programacin. Puede agrupar reglas de acuerdo con una funcin de trabajo,
un servicio o una aplicacin, para as facilitar la gestin. Al igual que las reglas, los grupos de
reglas pueden definirse por opciones de red, transporte, aplicacin, programa y localizacin.
Bloqueo DNS de firewall: define un conjunto de patrones de nombre de dominio que pueden
incluir caracteres comodn, que hay que bloquear. Cuando se aplica, esta directiva agrega de
manera dinmica una regla cerca de la parte superior de la lista de reglas de firewall que evita
la resolucin de una direccin IP del dominio especificado.
57

Cmo funcionan las reglas de firewall

Las reglas de firewall determinan cmo se debe gestionar el trfico de red. Cada regla ofrece
un conjunto de condiciones que el trfico debe cumplir as como una accin para permitir o
bloquear el trfico. Cuando Host Intrusion Prevention encuentra trfico que coincide con las
condiciones de una regla, realiza la accin asociada.
Host Intrusion Prevention utiliza la prioridad para aplicar reglas: la regla situada en primera
posicin en las reglas de firewall se aplica primero. Si el trfico cumple con las condiciones de
la regla, Host Intrusion Prevention permite o bloquea el trfico. No aplica ninguna otra regla
de la lista. No obstante, si el trfico no cumple las condiciones de la primera regla, Host Intrusion
Prevention pasa a la siguiente regla de la lista. Va siguiendo la lista de reglas de firewall hasta
que encuentra unas reglas que cumplan el trfico. Si no se da ninguna coincidencia de regla,
el firewall bloquea el trfico automticamente. Si se ha activado el modo de aprendizaje, se
solicita al usuario que realice una accin. Si se ha activado el modo de adaptacin, se crea una
regla de permiso para el trfico. A veces, el trfico interceptado coincide con ms de una regla
de la lista. Si es as, la prioridad hace que Host Intrusion Prevention aplique solo la primera
regla coincidente en la lista.
Recomendaciones
Al crear o personalizar una directiva de reglas de firewall, coloque las reglas ms especficas al
principio de la lista y las reglas ms generales al final. Esto asegura que Host Intrusion Prevention
filtra el trfico adecuadamente.
Por ejemplo, para permitir las solicitudes HTTP, excepto de una direccin especfica (por ejemplo,
la direccin IP 10.10.10.1), necesitar crear dos reglas:
Regla de bloqueo: bloquea el trfico HTTP desde la direccin IP 10.10.10.1. Esta regla es
ms especfica.
Regla de permiso: permite todo el trfico que utiliza el servicio HTTP. Esta regla es ms
general.
Debe colocar la regla de bloqueo, ms especfica, en una posicin ms alta en la lista de reglas
de firewall que la regla de permiso, ms general. As se asegura que, cuando el firewall intercepta
una solicitud de HTTP desde la direccin 10.10.10.1, la primera regla coincidente que encuentra
es la que bloquea este trfico a travs del firewall.
Si coloc la regla de permiso en una posicin superior a la de la regla de bloqueo, Host Intrusion
Prevention encontrara una coincidencia de la solicitud HTTP con la regla de permiso antes de
poder encontrar la regla de bloqueo. Permitira el trfico, aunque lo que el usuario deseara
fuera bloquear las solicitudes HTTP provenientes de una direccin especfica.
Protocolos de firewall
El firewall protege trabajando en varios niveles de la arquitectura de red, donde se utilizan
diferentes criterios para restringir el trfico de la red. Esta arquitectura de red se construye en
el paquete Protocolo de control de transmisin/Protocolo de Internet (TCP/IP).
Capa de enlace
El protocolo de capa de enlace describe el control de acceso a los medios (MAC) y algunas
aplicaciones menores de deteccin de errores.
Ethernet LAN (802.3), Wi-Fi inalmbrico (802.11x) y LAN virtual (VPN) se encuentran en esta
capa. Tanto las reglas de firewall como los grupos distinguen entre enlaces con cables,
inalmbricos o virtuales.
58

Capa de red
Los protocolos de capa de red definen planes de direcciones, enrutado y control de red.
Igualmente, es compatible con los protocolos arbitrarios no de IP, pero no puede detectar
parmetros de capa de red o de transporte en ellos. En el mejor de los casos, permite al
administrador bloquear o permitir estos protocolos de capa de red. Los nmeros asociados a
los protocolos no de IP se basan en nmeros de Ethernet definidos por Internet Assigned
Numbers Authority (IANA) y publicados en http://www.iana.org/assignments/ethernet-numbers.
El firewall de Host IPS ofrece total compatibilidad para IPv4 e IPv6 en Windows XP, Windows
Vista, Windows Server 2008 y Windows 7.
Capas de transporte
IP puede ser utilizado como protocolo de red por una serie de protocolos de transporte distintos.
En la prctica, los ms comunes son cuatro: TCP, User Datagram Protocol (UDP), Internet
Control Message Protocol versin 4 y versin 6 (ICMPv4 e ICMPv6).
TCP
TCP es un protocolo de transporte de confianza orientado a la conexin. Garantiza que los datos
incluidos en los paquetes de red se entreguen de modo fiable y en orden. Tambin controla la
velocidad a la que se reciben y transmiten los datos. Esto implica una cierta cantidad de exceso
de trabajo, y hace que los tiempos en las operaciones de TCP sean impredecibles cuando las
condiciones de red no son ptimas.
TCP es la capa de transporte para la gran mayora de protocolos de aplicaciones. HTTP, FTP,
SMTP, RDP, SSH, POP e IMAP usan TCP.
TCP se multiplexa entre los protocolos de capa de aplicacin usando el concepto de "puertos".
Cada paquete de TCP contiene un nmero de puerto de origen y de destino, de 0 a 65535.
Normalmente, el lado de servidor de una conexin TCP escucha las conexiones de un puerto
fijo.
Los puertos de 0 a 1023 se reservan como "puertos conocidos". Los nmeros de este rango se
asignan normalmente a protocolos por parte de IANA
(www.iana.org/assignments/protocol-numbers), y la mayora de sistemas operativos necesitan
un proceso que otorgue permisos especiales para escuchar en uno de estos puertos.
Por lo general, las reglas de firewall se crean para bloquear ciertos puertos y permitir otros,
limitando as las actividades que pueden darse en la red.
UDP
UDP es un protocolo de transporte de mejor solucin sin conexin. No ofrece garantas acerca
del orden de paquetes o la confianza, y no tiene funciones de control de flujo. En la prctica,
tiene algunas propiedades muy deseables para ciertos tipos de trfico.
UDP se usa a menudo como protocolo de transporte para aplicaciones con mucha importancia
en el rendimiento (que podran implementar algunas de las funciones de fiabilidad y ordenacin
de paquetes del protocolo de aplicacin TCP) y en aplicaciones multimedia en tiempo real, en
las que los paquetes perdidos solo causan una interrupcin momentnea del flujo de datos, lo
que resulta ms aceptable que un flujo que debe detenerse y esperar la retransmisin. El
software de telefona IP y videoconferencia a menudo usa UDP, al igual que muchos videojuegos
multijugador.
El plan de multiplexacin de UDP es idntico al de TCP: cada datagrama tiene un puerto de
origen y de destino, de 0 a 65535.
59

ICMP
ICMP se usa como canal de comunicacin fuera de banda entre hosts IP. Resulta til para la
solucin de problemas, y necesario para el funcionamiento de una red IP, ya que constituye el
mecanismo de informacin de errores.
IPv4 e IPv6 tienen variantes de protocolo ICMP separadas y sin relacin. ICMPv4 se conoce a
menudo simplemente como ICMP.
ICMPv6 tambin es importante en una red IPv6, ya que se usa para varias tareas fundamentales,
como descubrimiento de vecino (que ARP gestiona en una red IPv4). No se recomienda que
los usuarios bloqueen el trfico ICMPv6 si IPv6 es compatible con la red.
En lugar de nmeros de puertos, las dos versiones de ICMP definen un conjunto de "tipos de
mensaje". Para el ping, se usan "Peticin de eco" y "Respuesta de eco". Los mensajes de
"Destino inaccesible" indican fallos del enrutado. ICMP tambin implementa una aplicacin
Traceroute, aunque UDP y TCP tambin pueden usarse para este fin.
Otros protocolos de transporte
IP es compatible con ms de cien protocolos de transporte, pero la mayora no se usan a
menudo. En cualquier caso, la lista completa de protocolos reconocidos por IANA es, al menos,
mnimamente compatible. Es posible crear reglas para bloquear o permitir el trfico en los
protocolos de transporte de IP, aunque el firewall no es compatible con el mecanismo de
multiplexacin que estos protocolos pueden usar.
Muchos se usan para superponer otros tipos de red sobre una red IP (encapsulado de red).
Algunos de ellos (normalmente GRE, AH y ESP) se usan para el encriptado IP y para VPN.
Los nmeros de protocolo de IP se enumeran en www.iana.org/assignments/protocol-numbers.
Protocolos comunes no admitidos
Hay varios protocolos de red con los que el firewall de IPS en host no es compatible. El trfico
de estos protocolos (a menudo, el tipo no separable EtherType) puede bloquearse siempre o
permitirse siempre, segn si la opcin "Permitir el trfico de protocolos no admitidos" est
seleccionada en Opciones de firewall.
Cmo funcionan los grupos de reglas de firewall

Agrupe las reglas de firewall para facilitar la gestin. Los grupos de reglas no afectan a la forma
en que Host Intrusion Prevention trata las reglas incluidas en ellos, es decir, se siguen procesando
de arriba a abajo.
Los grupos asociados con muchos de los elementos asociados con reglas, incluidas las opciones
de red, transportan opciones, aplicaciones y programas. Adems de esto, los grupos tienen
configuracin de localizacin, que le permite hacer localizaciones para grupos y crear aislamientos
de conexin. La configuracin del grupo se procesa antes que la configuracin de las reglas
que contiene. Si hay algn conflicto entre ellas, la configuracin del grupo tiene prioridad.
NOTA: si el aislamiento de conexin en la ficha Localizacin est activado, un grupo no puede
tener asociadas opciones de transporte ni aplicaciones.
Hacer grupos para localizacin
Host Intrusion Prevention le permite hacer que un grupo y sus reglas se rijan por la localizacin.
La ficha Localizacin y la ficha Opciones de red del grupo le permite que los grupos se rijan por
el adaptador de red, para que los equipos con mltiples interfaces de red puedan tener aplicadas
reglas que sean especficas para el adaptador. Tras activar el estado de la localizacin y ponerle
60

un nombre, los parmetros para las conexiones permitidas pueden incluir una o todas las
opciones siguientes para cada adaptador de red:
En la ficha Localizacin:
Sufijo DNS especfico de conexin
IP de gateway
IP de DHCP
Servidor DNS consultado para resolver las URL
Servidor WINS usado
Clave de registro
En la ficha Opciones de red:
Direccin IP local
Tipo de soporte
Si dos grupos para localizacin se aplican a una conexin, Host Intrusion Prevention utiliza la
prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna
regla que coincida en el primer grupo, prosigue con el procesamiento de la regla y podra
encontrar una regla coincidente en el siguiente grupo.
Cuando Host Intrusion Prevention encuentra una coincidencia entre los parmetros de un grupo
para localizacin y una conexin activa, aplica las reglas incluidas en el grupo. Tratar las reglas
como un conjunto pequeo de reglas y usar la prioridad normal. Si algunas de las reglas no
coinciden con el trfico interceptado, el firewall las omite.
Tenga en cuenta lo siguiente:
Si Estado de localizacin est seleccionado, se requiere un nombre de localizacin.
Si se selecciona Red local, la direccin IP del adaptador debe coincidir con una de las
entradas de la lista.
Si se selecciona Sufijo DNS , el sufijo DNS del adaptador debe coincidir con una de las
entradas de la lista.
Si se selecciona Puerta de enlace predeterminada, el IP de la puerta de enlace
predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.
Si se selecciona Servidor DHCP, el IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
Si se selecciona Lista de servidor DNS, la direccin IP del servidor DNS del adaptador
debe coincidir con una de las entradas de la lista.
Si se selecciona Servidor WINS principal, la direccin IP del servidor WINS principal del
adaptador debe coincidir al menos con una de las entradas de la lista.
Si se selecciona Servidor WINS secundario, la direccin IP del servidor WINS secundario
del adaptador debe coincidir al menos con una de las entradas de la lista.
Aislamiento de conexin del grupo de reglas de firewall

Una opcin de aislamiento de conexin est disponible para que los grupos prevengan el trfico
no deseado desde una red designada. Esto puede hacerse por medio de otras interfaces de red
activas en un equipo, como un adaptador inalmbrico que se conecta a un punto wi-fi mientras
que un adaptador con cables se conecta a una LAN.
Cuando se selecciona la opcin Aislar esta conexin en la configuracin de localizacin de
un grupo, y una tarjeta de interfaz de red (NIC) activa coincide con los criterios del grupo, el
61

nico tipo de trfico procesado es el que coincide con las reglas de trfico permitido anteriores
al grupo en la lista de reglas de firewall y el trfico que coincide con los criterios del grupo. El
resto del trfico se bloquea.
NOTA: cualquier grupo con el aislamiento de conexin habilitado no puede tener asociadas
opciones de transporte ni aplicaciones.
Figura 2: Aislamiento de conexin de red

Como ejemplos de uso de la opcin de aislamiento de la conexin, considere dos configuraciones:
un entorno corporativo y un hotel. La lista de reglas activas del firewall incluye reglas y grupos
en este orden:
62
Reglas para una conexin bsica
Reglas para una conexin VPN
Grupo con reglas de conexin de LAN corporativa
Grupo con reglas de conexin VPN

Aislamiento de la conexin en la red corporativa

Las reglas de conexin se procesan hasta que se encuentra el grupo con reglas de conexin
de LAN corporativa. Este grupo contiene esta configuracin:
Tipo de soporte: con cable
Sufijo DNS especfico de conexin: mycompany.com
Direccin de puerta de enlace predeterminada
Aislar esta conexin: s
El equipo cuenta con adaptadores de red LAN e inalmbricos y se conecta a la red corporativa
mediante una conexin con cable, aunque la interfaz inalmbrica sigue estando activa, de modo
que se conecta a otro punto fuera de la oficina. El equipo se conecta a ambas redes porque las
reglas de acceso bsico estn entre las primeras de la lista de reglas de firewall. La conexin
LAN con cable est activa y cumple los criterios del grupo de la LAN corporativa. El firewall
procesa el trfico a travs de LAN, pero debido a que la opcin de aislamiento de la conexin
est activada, el resto del trfico que no pasa por la LAN queda bloqueado.
Aislamiento de la conexin en un hotel
Las reglas de conexin se procesan hasta que se encuentra el grupo con reglas de conexin
VPN. Este grupo contiene esta configuracin:
Tipo de conexin: virtual
Sufijo DNS: vpn.mycompany.com
Direccin IP: una direccin en un rango especfico para el concentrador VPN
Aislar esta conexin: s
Las reglas de conexin general permiten configurar una cuenta basada en tiempos en el hotel
para poder acceder a Internet. Las reglas de conexin de VPN permiten la conexin y el uso
del tnel VPN. Despus de establecer el tnel, el cliente VPN crea un adaptador virtual que
coincide con los criterios del grupo de VPN. El nico trfico que el firewall permite es el del
interior del tnel VPN y el trfico bsico del adaptador actual. Se bloquean los intentos de otros
huspedes del hotel de acceder al equipo a travs de la red, ya sea por cable o de forma
inalmbrica.
Cmo funciona el catlogo de IPS en host

El catlogo de IPS en host simplifica la creacin de grupos y reglas de firewall al permitir las
referencias a grupos, reglas, direcciones de red, aplicaciones, ejecutables y datos de localizacin
de grupos existentes. Adems, puede crear referencias a ejecutables de aplicaciones implicadas
en la proteccin IPS.
Cuando crea una referencia a un elemento del catlogo, crea un enlace dependiente entre este
y una regla o un grupo del firewall. Esto significa que un cambio en el elemento del catlogo
cambiar el grupo o la regla cuando se use. Tambin es posible romper el enlace entre el
elemento del catlogo y un grupo o una regla, para eliminar la dependencia.
El catlogo de IPS en host, que se encuentra en Sistemas, en ePolicy Orchestrator, contiene
seis pginas que enumeran los elementos de reglas de firewall y de grupos de firewall previos.
Los elementos pueden crearse individualmente en el catlogo, agregarse mediante enlace a
otros que se crean en nuevas reglas o nuevos grupos de firewall, o importarse desde
exportaciones en formato .xml de directivas de reglas de firewall.
Las pginas del catlogo incluyen:
Grupo: lista de los grupos del firewall y propiedades
63

Regla: lista de las reglas de firewall y propiedades

Aplicacin: lista de las aplicaciones a las que se puede hacer referencia en un grupo o una
regla de firewall
Ejecutable: lista de ejecutables adjuntos a aplicaciones a los que se puede hacer referencia
en un grupo o regla de firewall o en aplicaciones relacionadas con IPS
Red: lista de las direcciones IP a las que se puede hacer referencia en un grupo o una regla
de firewall
Localizacin: lista de informacin especfica de localizacin para grupos de firewall
Tabla 6: Catlogo de IPS en host como origen de elementos
Funcin Directiva
Elemento de la directiva
Elemento del
catlogo
Dependencia
Firewall
Reglas de firewall
Regla de firewall
Regla
Firewall
Reglas de firewall
Grupo de firewall
Grupo
Firewall
Reglas de firewall
Localizacin del grupo del

firewall
Localizacin
Firewall
Reglas de firewall
Grupo/regla de firewall
Red
Firewall
Reglas de firewall
Grupo/regla de firewall
Aplicacin
Firewall
Reglas de firewall
Aplicacin de grupo/regla de
firewall
Ejecutable
IPS
Reglas IPS
Regla de proteccin de
aplicacin
Ejecutable
No
General
Aplicaciones de
confianza
Aplicacin de confianza
Ejecutable
No
Filtros del catlogo

Cada pgina del catlogo contiene un filtro para buscar elementos en la lista de la pgina. Haga
clic en Mostrar/ocultar opciones de filtrado para ocultar o mostrar el filtro, haga clic en
Establecer filtro para filtrar segn los criterios introducidos y haga clic en Borrar para
restablecer el filtro.
Copiar desde el catlogo
Cuando use el creador de reglas de firewall o el creador de grupos de firewall, haga clic en el
botn Agregar desde catlogo para agregar el elemento adecuado del catlogo. Esto crea
un enlace de dependencia entre los elementos, que puede romperse cuando sea necesario.
Agregar al catlogo
Puede agregar al catlogo de una de las tres maneras siguientes:
Haga clic en Nuevo en la pgina del catlogo, introduzca la informacin y guarde el elemento.
Haga clic en Agregar al catlogo junto al elemento cuando cree o edite reglas o grupos
usando el creador de reglas de firewall o el creador de grupos de firewall.
Haga clic en Importar para agregar datos previamente exportados del catlogo de IPS en
formato .xml.
NOTA: las exportaciones del catlogo de directivas en formato .xml no son compatibles con
el formato .xml del catlogo de IPS en host. Esto quiere decir que no puede exportar una
directiva de reglas de firewall del catlogo de directivas e importarla al catlogo de IPS en
64

host para llenarlo con datos de reglas de firewall de las directivas. Para obtener los datos
de la directiva del firewall en el catlogo de IPS en host, use los enlaces de Agregar al
catlogo.
Inspeccin y filtrado de paquetes con seguimiento de estado

del firewall
El firewall de Host Intrusion Prevention proporciona tanto el filtrado de paquetes con seguimiento
de estado como la inspeccin de paquetes con seguimiento de estado.
El filtrado de paquetes con seguimiento de estado consiste en el rastreo del estado de la
informacin del protocolo TCP/UDP/ICMP en el nivel de transporte 4 e inferiores de la pila de
red OSI. Se examina cada paquete y si el paquete inspeccionado coincide con una regla de
permiso del firewall existente, se permite su entrada y se realiza una entrada en una tabla de
estados. La tabla de estados rastrea de manera dinmica las conexiones que han coincidido
anteriormente con un conjunto de reglas estticas y refleja el estado de conexin actual de los
protocolos TCP/UDP/ICMP. Si un paquete inspeccionado coincide con una entrada de la tabla
de estados, se permite la entrada del paquete sin realizar ningn examen especial adicional.
Cuando se cierra una conexin o se agota el tiempo de espera, se elimina la entrada de la tabla
de estados.
La inspeccin de paquetes con seguimiento de estado es el proceso que consiste en filtrar
paquetes con seguimiento de estado y rastrear comandos en el nivel de aplicacin 7 de la pila
de red. Esta combinacin ofrece una fuerte definicin del estado de conexin del equipo. El
acceso a los comandos de nivel de la aplicacin ofrece una inspeccin libre de errores y asegura
el protocolo FTP.
Tabla de estado del firewall

Un firewall con seguimiento de estado incluye una tabla de estados que almacena informacin
de manera dinmica sobre las conexiones activas creadas por las reglas de tipo Permitir.
Cada entrada de la tabla define una conexin basada en:
Protocolo: la forma predefinida por la que un servicio se comunica con otro; incluye los
protocolos TCP, UDP e ICMP.
Direcciones IP de equipo locales y remotas: a cada equipo se le asigna una direccin
IP nica. IPv4, el estndar actual para las direcciones IP, permite direcciones de 32 bits,
mientras que IPv6, un nuevo estndar, permite direcciones de 128 bits. Algunos sistemas
operativos ya admiten IPv6, como Windows Vista y varios distribuidores de Linux. Host
Intrusion Prevention es compatible con los dos estndares.
Nmeros de puerto de equipo locales y remotos: los equipos envan y reciben servicios
a travs de puertos numerados. Por ejemplo, el servicio HTTP normalmente est disponible
en el puerto 80 y los servicios FTP lo estn en el puerto 21. Los nmeros de puerto abarcan
desde 0 hasta 65535.
ID del proceso (PID): un identificador exclusivo para el proceso asociado con el trfico
de una conexin.
Fecha y hora: la fecha del ltimo paquete entrante o saliente asociado con la conexin.
Tiempo de espera: el lmite temporal (en segundos), definido con la directiva Opciones
del firewall, despus del cual la entrada se elimina de la tabla si no se recibe ningn paquete
que coincida con la conexin. El tiempo de espera de las conexiones TCP se aplica nicamente
cuando no se ha establecido la conexin.
65

Direccin: la direccin (entrante o saliente) del trfico que activ la entrada. Despus de
establecer una conexin, se permite el trfico bidireccional incluso con reglas unidireccionales,
siempre que la entrada coincida con los parmetros de la conexin de la tabla de estados.
Tenga en cuenta lo siguiente sobre la tabla de estados:
Si cambian los conjuntos de reglas de firewall, todas las conexiones activas se comprueban
en relacin con el nuevo conjunto de reglas. Si no se encuentra ninguna regla coincidente,
la entrada de conexin se descarta de la tabla de estados.
Si un adaptador obtiene una nueva direccin IP, el firewall reconoce la nueva configuracin
de IP e interrumpe todas las entradas de la tabla de estados que tengan una direccin IP
local no vlida.
Cuando el proceso finaliza, todas las entradas de la tabla de estados asociadas con un
proceso se eliminan.
Cmo funciona el filtrado con seguimiento de estado

El filtrado con seguimiento de estado implica el procesamiento de un paquete frente a dos
conjuntos de reglas: un conjunto de reglas configurables de firewall y un conjunto de reglas
de firewall dinmico o una tabla de estado.
Las reglas configurables tienen dos acciones posibles:
Permitir: se permite la entrada del paquete y se crea una entrada en la tabla de estados.
Bloquear: se bloquea la entrada del paquete y no se crea ninguna entrada en la tabla de
estados.
Las entradas de la tabla de estados son resultado de la actividad de la red y reflejan el estado
de la pila de red. Cada regla de la tabla de estados tiene nicamente una sola accin, Permitir,
con lo que se permite de manera automtica cualquier paquete que coincida con una regla de
la tabla de estados.
El proceso de filtrado incluye lo siguiente:
1
El firewall compara un paquete entrante con las entradas de la tabla de estados. Si el

paquete coincide con cualquier entrada de la tabla, se permite su entrada de manera
inmediata. En caso contrario, se examina la lista de reglas configurables del firewall.
NOTA: se considera que una entrada de la tabla de estados coincide si Protocolo, Direccin
local, Puerto local, Direccin remota y Puerto remoto coinciden con los del paquete.
66
Si el paquete coincide con una regla de permiso, se permite su entrada y se crea una
entrada en la tabla de estados.
Si el paquete coincide con una regla de bloqueo, se bloquea.

Si el paquete no coincide con ninguna regla configurable, se bloquea.
Figura 3: Proceso de filtrado con seguimiento de estado
Cmo funciona la inspeccin de paquetes con seguimiento de estado

La inspeccin de paquetes con seguimiento de estado combina el filtrado con seguimiento de
estado con el acceso a comandos al nivel de aplicacin, que asegura protocolos como el FTP.
FTP implica dos conexiones: control para los comandos y datos para la informacin. Cuando
un cliente se conecta con un servidor FTP, se establece el canal de control, llega al puerto de
destino FTP 21 y se crea una entrada en la tabla de estados. Si la opcin de inspeccin FTP se
establece con la directiva Opciones del firewall, cuando el firewall se encuentra con una conexin
abierta en el puerto 21, sabe que debe realizar una inspeccin de paquetes con seguimiento
de estado a los paquetes que atraviesen el canal de control FTP.
Con el canal de control abierto, el cliente se comunica con el servidor FTP. El firewall analiza
el comando PORT (puerto) del paquete y crea una segunda entrada en la tabla de estados para
permitir la conexin de datos.
Cuando el servidor FTP se encuentra en modo activo, este abre la conexin de datos; en modo
pasivo, el cliente inicia la conexin. Cuando el servidor FTP recibe el primer comando de
transferencia de datos (LIST), abre la conexin de datos con el cliente y transfiere los datos.
El canal de datos se cierra una vez finalizada la transmisin.
La combinacin de la conexin de control y una o ms conexiones de datos se llama sesin y,
en ocasiones, las reglas dinmicas de FTP se denominan reglas de sesin. La sesin permanece
establecida hasta que se elimina su entrada del canal de control de la tabla de estados. Durante
67

la limpieza peridica de la tabla de estados, en el caso de que se haya eliminado un canal de

control de una sesin, todas las conexiones de datos tambin se eliminan.
Rastreo de protocolo con seguimiento de estado

Aqu se resumen los tipos de conexin de protocolo supervisados por el firewall con seguimiento
de estado y su gestin.
Protocolo
Descripcin de la gestin
UDP
Se agrega una conexin UDP a la tabla de estados cuando se encuentra una regla esttica que
coincida y la accin de la regla es de tipo Permitir. Las conexiones UDP genricas, que conllevan
protocolos desconocidos de nivel de aplicacin al firewall, permanecen en la tabla de estados
mientras la conexin no est inactiva durante un tiempo superior al periodo de tiempo de espera
especificado.
ICMPv4/v6
nicamente se rastrean los mensajes de tipo Peticin de eco y Respuesta del eco de ICMP.
NOTA: a diferencia del protocolo TCP fiable orientado a la conexin, los protocolos UDP e ICMPv4/v6
son menos fiables y no tienen conexin. Para asegurar estos protocolos, el firewall considera las
conexiones UDP e ICMP como conexiones virtuales, que se mantienen nicamente mientras la
conexin no est inactiva durante un tiempo superior al tiempo de espera especificado. El tiempo
de espera de las conexiones virtuales se define en la directiva Opciones del firewall.
Cuando usa IPv6, la funcionalidad de firewall de seguimiento de estado solo se admite con Windows
Vista y plataformas posteriores.
TCP
El protocolo TCP funciona en el "establecimiento en 3 direcciones". Cuando un equipo cliente inicia

una nueva conexin, enva un paquete a su destino con un bit SYN establecido, lo que indica que
se trata de una conexin nueva. El destino responde enviando al cliente un paquete con un bit
SYN-ACK establecido. A continuacin, el cliente responde enviando un paquete con un bit ACK
establecido y la conexin de seguimiento de estado queda creada. Se permiten todos los paquetes
salientes pero solo pueden entrar paquetes entrantes que formen parte de la conexin creada. Se
produce una excepcin cuando el firewall consulta por primera vez el protocolo TCP y agrega todas
las conexiones preexistentes que coinciden con las reglas estticas. Quedan bloqueadas las
conexiones preexistentes sin ninguna regla esttica coincidente. El tiempo de espera de la conexin
TCP, definido con la directiva Opciones del firewall, se aplica nicamente cuando no se ha establecido
la conexin. Se aplica un segundo tiempo de espera TCP, o forzado, nicamente a las conexiones
TCP establecidas. Este tiempo de espera se controla mediante una configuracin del Registro y
tiene un valor predeterminado de una hora. El firewall consulta la pila TCP cada cuatro minutos y
descarta las conexiones que no estn indicadas por el protocolo TCP.
DNS
Las consultas y respuestas deben coincidir para asegurar que las respuestas de DNS slo se permiten
en el puerto local que origin la consulta y que provienen nicamente de una direccin IP remota
que se ha consultado dentro del intervalo de tiempo de espera de conexin virtual UDP. Las
respuestas de DNS entrantes se permiten si:
DHCP
FTP
68
No ha caducado la conexin en la tabla de estados.
La respuesta proviene de la misma direccin IP remota y del mismo puerto desde el que se
envi la solicitud.
Las consultas y respuestas deben coincidir para garantizar que solo se permiten paquetes devueltos
para consultas inofensivas. Por tanto, las respuestas DHCP entrantes se permiten si:
No ha caducado la conexin en la tabla de estados.
El ID de la transaccin de respuesta coincide con el de la solicitud.
El firewall realiza una inspeccin de paquetes con seguimiento de estado en las conexiones TCP
abiertas en el puerto 21. La inspeccin se produce nicamente en el canal de control, la primera
conexin abierta en este puerto.
La inspeccin FTP se realiza nicamente en los paquetes con informacin nueva. Los paquetes
retransmitidos se omiten.
Las reglas dinmicas se crean segn la direccin (cliente/servidor) y el modo (activo/pasivo):

Protocolo
Descripcin de la gestin
Modo activo del cliente FTP: el firewall crea una regla entrante dinmica despus de analizar
el comando del puerto entrante, siempre que el comando del puerto sea compatible con
RFC 959. La regla se elimina cuando el servidor inicia la conexin de datos o cuando la
regla caduca.
Modo activo del servidor FTP: el firewall crea una regla saliente dinmica tras analizar el
comando del puerto entrante.
Modo pasivo del cliente FTP: el firewall crea una regla saliente dinmica cuando lee la
respuesta del comando PASV enviado por el servidor FTP, siempre que haya visto
anteriormente el comando PASV del cliente FTP y que el comando PASV sea compatible
con RFC 959. La regla se elimina cuando el cliente inicia la conexin de datos o cuando la
regla caduca.
Modo pasivo del servidor FTP: el firewall crea una regla entrante dinmica.
Cmo afectan los modos aprendizaje y adaptacin al firewall

Al activar el firewall, Host Intrusion Prevention supervisa continuamente el trfico de red que
un equipo enva y recibe. Permite o bloquea el trfico en funcin de la directiva Reglas de
firewall. Si no se encuentra ninguna coincidencia entre el trfico y una regla existente, se bloquea
automticamente a menos que el firewall se est ejecutando en los modos de aprendizaje o
adaptacin.
En el modo de aprendizaje, Host Intrusion Prevention muestra una alerta del modo de aprendizaje
cuando intercepta trfico de red desconocido. Esta alerta solicita al usuario que permita o
bloquee el trfico que no coincida con una regla existente y crea automticamente reglas
dinmicas correspondientes para el trfico no coincidente. Puede activar el modo de aprendizaje
para las comunicaciones entrantes, para las comunicaciones salientes o para ambas.
En el modo de adaptacin, Host Intrusion Prevention crea automticamente una regla de tipo
Permitir para permitir todo el trfico que no coincida con una regla de tipo Bloquear existente
y crea automticamente reglas de tipo Permitir dinmicas para el trfico no coincidente. Para
obtener ms informacin acerca del uso del modo de adaptacin con el firewall, consulte
Preguntas frecuentes: modo de adaptacin en Gestin de la proteccin.
Por motivos de seguridad, cuando se aplique el modo de aprendizaje o el modo de adaptacin,
los pings entrantes se bloquean a menos que se cree una regla de permiso explcita para el
trfico ICMP entrante. Adems, el trfico entrante hacia un puerto que no est abierto en el
host se bloquea a menos que se cree una regla de permiso explcita para el trfico. Por ejemplo,
si el host no ha iniciado el servicio Telnet, el trfico TCP entrante hacia el puerto 23 (Telnet)
se bloquea incluso aunque no haya ninguna regla explcita que bloquee este trfico. Puede
crear una regla de tipo Permitir explcita para el trfico que desee.
Host Intrusion Prevention muestra todas las reglas creadas en clientes con el modo de
aprendizaje o el modo de adaptacin y permite guardar estas reglas y migrarlas a reglas
administrativas.
Filtrado con seguimiento de estado
Al aplicar el modo de adaptacin o aprendizaje con el firewall con seguimiento de estado, el
proceso de filtrado crea una nueva regla para encargarse del paquete entrante. Este es el
proceso de filtrado:
1
El firewall compara un paquete entrante con las entradas de la tabla de estados y no

encuentra ninguna coincidencia, entonces examina la lista de reglas estticas y tampoco
encuentra ninguna coincidencia.
69

No se realiza ninguna entrada en la tabla de estados, pero si se trata de un paquete de

TCP, se coloca en la lista de pendientes. En caso contrario, el paquete se libera.
Si se permiten nuevas reglas, se crea una regla de permiso esttica unidireccional. Si se

trata de un paquete TCP, se realiza una entrada en la tabla de estados.
Si no se permite ninguna regla nueva, el paquete se descarta.
Reglas de firewall para cliente

Un cliente en modo de adaptacin o aprendizaje crea reglas de cliente de firewall para permitir
la actividad bloqueada. Tambin es posible crear reglas manualmente en el equipo cliente.
Puede hacer un seguimiento de las reglas del cliente y verlas en una vista filtrada o agregada.
Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes.
Filtrado y agregacin de reglas
La aplicacin de eventos genera una lista de reglas que satisface todas las variables definidas
en los criterios de filtro. El resultado es una lista de reglas que incluye todos los criterios. La
agregacin de reglas de cliente genera una lista de reglas agrupadas por el valor asociado con
cada variable seleccionada en el cuadro de dilogo Seleccionar columnas para agregar. El
resultado es una lista de reglas mostradas en grupos y ordenadas por el valor asociado con las
variables seleccionadas.
La directiva Opciones del firewall activa la proteccin por firewall y proporciona TrustedSource
y configuracin de firewall con seguimiento de estado.
Configuracin general
Estas son las opciones generales disponibles:
Activado: seleccinela para activar el firewall, y despus seleccione el tipo de proteccin:

Normal (valor predeterminado): use esta configuracin cuando no est ajustando
un despliegue.
Modo de adaptacin: seleccinela para que se creen automticamente las reglas que
permiten el trfico. sela solo temporalmente cuando est afinando un despliegue.
Modo de aprendizaje: seleccinela para que se creen reglas, segn las indicaciones
del usuario, que permitan el trfico. Seleccinela tambin para permitir el trfico de
entrada, el de salida, o ambos. sela solo temporalmente cuando est afinando un
despliegue.
Permitir el trfico de protocolos no admitidos: seleccinela para permitir el trfico que
usa protocolos no admitidos. Si esta opcin est desactivada, todo el trfico que use
protocolos no admitidos se bloquear.
Permitir trfico mediante puentes: seleccinela para permitir el trfico con una direccin
MAC local que no sea la direccin MAC del sistema local, pero s una de las direcciones MAC
en la lista de VM compatibles con el firewall. Use esta opcin para permitir el trfico a travs
de un entorno de puente con mquinas virtuales.
Conservar las reglas de cliente existentes cuando se aplique esta directiva:
seleccinela para permitir que los clientes conserven las reglas creadas en el cliente de forma
70

automtica mediante el modo de adaptacin, por medio de la interaccin del usuario con el
modo de aprendizaje o manualmente en un cliente cuando se aplique esta directiva.
Configuracin de la proteccin
Esta configuracin permite una proteccin especial especfica del firewall:
Permitir solo el trfico saliente hasta que el servicio de Host IPS se haya iniciado:
seleccinela para permitir el trfico saliente, pero no el trfico entrante, hasta que el servicio
de firewall de Host IPS se haya iniciado en el cliente.
Activar la proteccin contra falsificacin de direcciones IP: seleccinela para bloquear
el trfico de red de direcciones IP no locales del host o de los procesos locales que intenten
falsificar su direccin IP.
Enviar eventos a ePO para infracciones de TrustedSource: seleccinela para enviar
eventos al servidor ePO si la configuracin del umbral de bloqueo TrustedSource para el
trfico entrante o saliente registra coincidencias.
Lmite de bloqueo de TrustedSource entrante: seleccione de la lista la clasificacin
TrustedSource a la que se bloquear el trfico entrante de una conexin de red. Las opciones
incluyen: Riesgo alto, Riesgo medio, Sin verificar y No bloquear.
Lmite de bloqueo de TrustedSource saliente: seleccione de la lista la clasificacin
TrustedSource a la que se bloquear el trfico saliente de una conexin de red. Las opciones
incluyen: Riesgo alto, Riesgo medio, Sin verificar y No bloquear.
Configuracin de firewall con seguimiento de estado
Est disponible la configuracin del firewall con seguimiento de estado:
Inspeccin de protocolo FTP: una configuracin de firewall con seguimiento de estado
que permite hacer el seguimiento de las conexiones FTP, de modo que solo se requiera una
regla de firewall para el trfico FTP cliente saliente y otra para el trfico FTP servidor entrante.
Si esta opcin no est seleccionada, las conexiones FTP requerirn una regla adicional para
el trfico FTP de cliente entrante y otra para el trfico FTP de servidor saliente. Debera estar
siempre seleccionada.
Tiempo de espera de la conexin TCP: el tiempo en segundos durante el que sigue
activa una conexin TCP no establecida si no se envan ni reciben ms paquetes que coincidan
con la conexin.
Tiempo de espera de la conexin virtual de eco UDP e ICMP: el tiempo en segundos
durante el que se mantiene activa una conexin virtual de eco UDP o IMCP si no se envan
ni reciben ms paquetes que coincidan con la conexin. Se restablece su valor configurado
cada vez que se enva o recibe un paquete que coincida con la conexin virtual.
La categora de directivas incluye una directiva preconfigurada y una directiva editable llamada
directivas preconfiguradas y crear, editar, cambiar el nombre, duplicar, eliminar y exportar
La directiva preconfigurada tiene las siguientes configuraciones:
McAfee Default
La proteccin por firewall est desactivada, y estas opciones se seleccionan para aplicarse
cuando se activa el firewall:
Permitir trfico mediante puentes
71

Conservar las reglas de cliente

Activar la proteccin contra falsificacin de direcciones IP
Usar inspeccin de protocolo FTP
Configuracin de la directiva Opciones del firewall

Configure las opciones de esta directiva para activar o desactivar la proteccin de firewall o
aplicar el modo de adaptacin o aprendizaje.
Tarea
Para ver la definicin de las opciones, haga clic en ? en la pgina que las muestra.
1

Firewall en la lista Producto y Opciones del firewall en la lista Categora. Se muestra
la lista de directivas.
En la lista de directivas Opciones del firewall, haga clic en Editar en Acciones para
cambiar la configuracin de una directiva personalizada.
NOTA: para las directivas editables, otras opciones incluyen cambiar nombre, duplicar,
duplicar.
En la pgina Opciones del firewall que aparece, cambie los valores predeterminados y,
a continuacin, haga clic en Guardar.
Preguntas frecuentes: McAfee TrustedSource y el firewall

Dos opciones de la directiva Opciones de firewall le permiten bloquear el trfico entrante y
saliente de una conexin de red que McAfee TrustedSource ha clasificado como de alto riesgo.
Estas preguntas frecuentes explican qu hace TrustedSource y cmo afecta al firewall.
Qu es TrustedSource?
TrustedSource es un sistema de inteligencia global de reputacin en Internet que determina
qu es un buen comportamiento y un mal comportamiento en Internet mediante el uso de
anlisis en tiempo real de comportamientos mundiales y el envo de patrones para el correo
electrnico, la actividad web, el software malintencionado y el comportamiento de sistema a
sistema. Usando los datos obtenidos del anlisis, TrustedSource calcula de forma dinmica las
puntuaciones de reputacin que representan el nivel de riesgo para su red que se da cuando
visita una pgina web. El resultado es una base de datos de puntuaciones de reputacin para
direcciones IP, dominios, mensajes especficos, URL e imgenes.
Cmo funciona?
Cuando las opciones de TrustedSource estn seleccionadas, se crean dos reglas de firewall:
TrustedSource: permite el Servicio de IPS en host y la obtencin de clasificacin por parte de
TrustedSource. La primera regla permite una conexin a TrustedSource, y la segunda bloquea
o permite el trfico segn la reputacin de la conexin y el umbral de bloqueo configurado.
Qu quiere decir "reputacin"?
Para cada direccin IP en Internet, TrustedSource calcula un valor de reputacin segn el
comportamiento de envo y de hosting y los varios datos de entorno que TrustedSource recoge,
72

agrega y relaciona automticamente de clientes y socios acerca del estado del panorama de
las amenazas en Internet. La reputacin se expresa en cuatro clases:
Riesgo mnimo (no bloquear): nuestro anlisis indica que se trata de una fuente o destino
legtimo de contenido/trfico.
Sin verificar: nuestro anlisis indica que parece ser una fuente o destino legtimo de
contenido/trfico, pero que tambin muestra algunas propiedades que sugieren la necesidad
de una inspeccin adicional.
Riesgo medio: nuestro anlisis indica que esta fuente/destino muestra comportamientos
que creemos que son sospechosos y el contenido/trfico dirigido a esta fuente/destino o
procedente del mismo requiere un escrutinio especial.
Riesgo alto: nuestro anlisis indica que esta fuente/destino enva o enviar/alojar
contenido/trfico potencialmente malicioso, as que creemos que representa un riesgo
importante.
Introduce latencia? Cunta?
Cuando TrustedSource recibe una demanda de comprobacin de reputacin, algo de latencia
es inevitable. McAfee ha hecho todo lo posible para minimizarla.
En primer lugar, la comprobacin de reputacin se realiza solo cuando se seleccionan las
opciones. En segundo lugar, se da una arquitectura de creacin de cach inteligente. En un
uso normal de la red, la mayora de las conexiones deseadas se resuelven desde la cach, sin
consultas a la reputacin en lnea.
Qu pasa si el firewall no puede llegar a los servidores de TrustedSource? Se
detiene el trfico?
Si el firewall no puede llegar a cualquiera de los servidores de TrustedSource, asigna
automticamente a todas las conexiones aplicables una reputacin predeterminada permitida
y sigue con un anlisis de las reglas posteriores.

Las reglas de firewall determinan el funcionamiento de un sistema cuando intercepta trfico de
red, permitindolo o bloquendolo. Puede crear y gestionar reglas de firewall mediante la
aplicacin de la directiva Reglas de firewall y la directiva Bloqueo de DNS de firewall con
la configuracin adecuada.
Selecciones de la directiva Reglas de firewall
La categora de directivas de reglas de firewall incluye dos directivas preconfiguradas y una
directiva editable llamada Mis valores predeterminados, basada en la directiva McAfee
Default. Puede ver y duplicar la directiva preconfigurada y editar, cambiar el nombre, duplicar,
eliminar y exportar las directivas personalizadas editables.
Tabla 7: Directivas Reglas de firewall preconfiguradas
Directiva
Uso
Mnima (valor predeterminado)
Utilice esta directiva para la proteccin mnima

predeterminada. Hace lo siguiente:
Bloquea cualquier trfico entrante de ICMP que podra

usar un atacante para reunir informacin sobre su
73

Directiva
Uso
equipo. IPS en host permite todo el resto de trfico
ICMP.
Tpico entorno corporativo
Permite solicitudes para compartir archivos de

Windows procedentes de equipos de la misma subred
y bloquea las solicitudes para compartir archivos que
procedan de cualquier otra ubicacin (la directiva
Redes de confianza debe tener Incluir
automticamente la subred local seleccionada).
Le permite explorar dominios, grupos de trabajo y

equipos Windows.
Permite todo el trfico alto de entrada y el trfico UDP

de salida.
Permite el trfico que usa los puertos OOTP, DNS y

Net Time UDP.
Utilice esta directiva como punto de partida y, ms

adelante, combine los resultados de aplicar el modo de
adaptacin para conocer y comprobar otras reglas. Esta
directiva debe generar menos reglas cliente aprendidas
en modo de adaptacin, si se compara con las directivas
de firewall predeterminadas.
La directiva tiene todas las funciones y satisface las
necesidades de la mayora de firewall empresariales.
Selecciones de la directiva de bloqueo de DNS del firewall

La categora de directivas de bloqueo de DNS de firewall contiene una directiva preconfigurada
y una directiva editable llamada Mis valores predeterminados, basada en la directiva McAfee
Default. Puede ver y duplicar la directiva preconfigurada y editar, cambiar el nombre, duplicar,
eliminar y exportar las directivas personalizadas editables.
Configuracin de la directiva Reglas del firewall

Configure las opciones de esta directiva para definir reglas para la proteccin por firewall.
SUGERENCIA: no intente crear una directiva desde cero. Simplemente, duplique una directiva
existente y edite las reglas y grupos de la directiva para que satisfagan sus necesidades.
Tarea
1

Firewall en la lista Producto y Reglas del firewall en la lista Categora. Se muestra
En la lista de directivas Reglas del firewall, haga clic en Editar en Acciones para cambiar
la configuracin de una directiva personalizada.
NOTA: para las directivas editables personalizadas, otras opciones incluyen cambiar nombre,
duplicar, eliminar y exportar. Para las directivas no editables, las opciones incluyen visualizar
y duplicar.
74

Para...
Agregar una regla del firewall
Haga clic en Nueva regla o en Agregar regla desde

catlogo. Consulte Creacin y edicin de reglas de
firewall o Uso del catlogo de IPS en host para obtener
ms detalles.
Agregar un grupo del firewall
Haga clic en Nuevo grupo o en Agregar grupo

desde catlogo. Consulte Creacin y edicin de grupos
de reglas de firewall o Uso del catlogo de IPS en host
para obtener ms detalles.
Realizar una accin en una nica regla o grupo
Selecciona la regla o el grupo para mostrar un

resumen de la configuracin del elemento en el
panel derecho.
Seleccione la regla o el grupo y haga clic en:
Editar en Acciones para editar un elemento.
Agregar a catlogo en Acciones para

agregar el elemento al catlogo del firewall.
Subir para subir el elemento en la lista.
Bajar para bajar el elemento en la lista.
Duplicar para hacer una copia del elemento.
Eliminar para eliminar el elemento.
Haga clic en Exportar para exportar toda la informacin del grupo o la regla de la directiva
a un archivo .xml. Este archivo puede importarse al catlogo del firewall o a otra directiva.
Creacin y edicin de reglas de firewall

Edite o agregue una nueva regla de firewall a la lista de reglas de una directiva Reglas de
firewall si la lista predeterminada no cubre operaciones especficas.
Tarea
1
En la pgina de directivas Reglas de firewall, haga clic en Nueva regla para crear una
nueva regla; haga clic en Editar en Acciones para editar una regla existente.
Introduzca la informacin adecuada en cada ficha, a las que es posible acceder haciendo
clic en Siguiente o en el enlace de la ficha.
En esta ficha...
Configure estas opciones...
Descripcin
Nombre (obligatorio), accin, direccin, estado
Red
Protocolo de red, tipo de soporte, redes locales o remotas
Transporte
Aplicacin
Aplicaciones y ejecutables
Planificacin
Ajustes de estado y de hora
En la ficha Resumen, revise los detalles de la regla y haga clic en Guardar.
75

Creacin y edicin de grupos de reglas de firewall

Cree o edite un grupo de reglas de firewall para una directiva de Reglas de firewall con el
objetivo de crear un conjunto de reglas con una sola finalidad.
Use un grupo de una sola finalidad con reglas que permitan, por ejemplo, la conexin VPN. Los
grupos aparecen en la lista de reglas precedidos por una flecha. Es posible hacer clic en la
flecha para mostrar u ocultar las reglas del grupo.
Tarea
1
En la pgina de directivas Reglas de firewall, haga clic en Nuevo grupo para crear un
nuevo grupo; haga clic en Editar en Acciones para editar un grupo existente.
Introduzca la informacin adecuada en cada ficha, a las que es posible acceder haciendo
clic en Siguiente o en el enlace de la ficha.
En esta ficha...
Configure estas opciones...
Descripcin
Nombre (obligatorio), direccin, estado
Localizacin
Configuracin para localizacin, incluido el aislamiento de conexin
Red
Protocolo de red, tipo de soporte (con cable, inalmbrico, virtual), redes locales o
remotas
Transporte
Aplicacin
Aplicaciones y ejecutables
Planificacin
Configuracin de estado y de tiempo, incluida la activacin de grupos sincronizados
En la ficha Resumen, revise los detalles del grupo y haga clic en Guardar.
Cree reglas nuevas en este grupo, o mueva las reglas existentes a este desde la lista de
reglas de firewall o desde el catlogo de IPS en host.
Creacin de grupos de aislamiento de conexin

Cree un grupo de reglas de firewall de aislamiento de conexin para establecer un conjunto de
reglas que se apliquen solo cuando se conecta a una red con unos parmetros determinados.
Tarea
1
En la pgina de directivas Reglas de firewall, haga clic en Nuevo Grupo o en Agregar

grupo desde catlogo.
En la ficha Descripcin, introduzca un nombre descriptivo en el campo Nombre.
En la ficha localizacin, seleccione Activado tanto para Estado de localizacin como

para Aislamiento de conexin, introduzca un Nombre para la localizacin y seleccione
un sufijo DNS, una puerta de enlace u otros criterios con los que coincidir.
En la ficha Red, en Tipos de soporte, seleccione el tipo de conexin (Con cable,

Inalmbrica o Virtual) a la que desee aplicar las reglas del grupo.
NOTA: las opciones de transporte y aplicaciones no estn disponibles para grupos de
aislamiento de conexin.
76
En la ficha Resumen, haga clic en Guardar.

Cree reglas nuevas en este grupo, o mueva las reglas existentes a este desde la lista de
reglas de firewall o desde el catlogo de IPS en host.
Bloqueo del trfico DNS

Para ajustar la proteccin de firewall, puede crear una lista de servidores de nombre de dominio
que Host IPS bloquear no permitiendo la resolucin de su direccin IP.
NOTA: no use esta funcin para bloquear dominios completos; en su lugar, bloquee estos
dominios en la direccin remota de una regla del firewall.
Tarea
1
En la pgina de directivas Bloqueo DNS del firewall, haga clic en Nueva regla para crear
una nueva regla; haga clic en Editar en Acciones para editar una regla existente.
Haga clic en Agregar dominio bloqueado.
En el cuadro de texto, introduzca el servidor de nombre de dominio que desee bloquear.

Use los comodines * y ?; por ejemplo, *domain.com. Se permite un nombre por entrada.
Haga clic en el botn Agregar para agregar otras direcciones; haga clic en el botn Eliminar
para eliminar direcciones.
Uso del catlogo de IPS en host

El catlogo de IPS en host le permite agregar nuevos elementos o referirse a elementos
existentes para su uso con el firewall. Esta tarea le ayuda a encontrar y editar los elementos
del catlogo existentes, crear y agregar nuevos elementos o importar y exportar elementos del
catlogo.
Tarea
1
Vaya a Sistemas | Catlogo de IPS en host.
En Tipo de elemento, seleccione un elemento del catlogo. Las opciones son: Grupo,
Regla, Aplicacin, Proceso, Red y Localizacin.
Haga cualquiera de las siguientes tareas en la pgina del catlogo:

Para...
Filtrar por un elemento
Introduzca el criterio de filtrado y, despus, haga clic

en Establecer filtro. Haga clic en Borrar para volver
a la vista predeterminada.
Cambiar la vista de los elementos
Seleccione Opciones | Elegir columnas; seleccione,

elimine o reordene las columnas y haga clic en
Guardar.
Editar un elemento
Haga clic en el enlace asociado al elemento. Haga clic

en Editar para editar el elemento, haga clic en
77

Para...
Duplicar para crear una copia del elemento y haga clic
en Eliminar para eliminar el elemento.
NOTA: si elimina un elemento que tiene un enlace
dependiente, se ubicar una copia independiente del
elemento eliminado con el grupo o la regla enlazados.
Crear y agregar un elemento
Haga clic en Nuevo. En la pgina o pginas que

aparecen, introduzca los datos adecuados y haga clic
en Guardar.
Exportar un solo elemento
Haga clic en el enlace Exportar asociado al elemento.
Exportar todos los elementos del tipo de catlogo
Haga clic en Exportar en la parte superior derecha de

la pgina y, despus, d un nombre y guarde el archivo
en formato .xml.
Importar elementos del tipo de catlogo
Haga clic en Importar en la parte superior derecha de

la pgina y, despus, localice y abra el archivo en
formato .xml.
NOTA: para agregar un elemento del catlogo cuando se crea una regla o grupo de firewall,
haga clic en Agregar desde catlogo en la parte inferior de la pgina adecuada del
creador. Para agregar un elemento que haya creado mientras trabaja en el creador de
reglas o grupos del firewall, haga clic en el enlace Agregar al catlogo que se encuentra
junto al elemento. Cuando agrega un elemento desde el catlogo o hacia este, crea un
enlace dependiente entre el elemento y el catlogo con un enlace Interrumpir referencia
de catlogo. Si hace clic en el enlace, se rompe la dependencia entre el elemento y el
catlogo y se crea un elemento nuevo independiente en su lugar, con la regla o el grupo
enlazados.
Gestin de Reglas de cliente del firewall

Visualizar reglas de cliente del firewall creadas automticamente en los modos de adaptacin
o aprendizaje o manualmente en un cliente, y cmo moverlas a una directiva de Reglas de
firewall puede ajustar y reforzar la seguridad.
NOTA: el acceso a Reglas de cliente del firewall de la ficha IPS en host en Informes requiere
permisos adicionales diferentes que para el firewall de Host Intrusion Prevention, incluidos
permisos de vista para acceder al registro de eventos, sistemas y rbol del sistema.
Tarea
78
Vaya a Informes | IPS en host y haga clic en Reglas de cliente del firewall.
Seleccione el grupo en el rbol del sistema del que desea mostrar las reglas de cliente.
Determine cmo desea ver la lista de reglas del cliente:

Para...
Seleccionar las columnas que se han de mostrar
Seleccione Elegir columnas en el men Opciones. En

la pgina Seleccionar columnas, agregue, quite o
reordene las columnas que se mostrarn.
Ordenar por columna

Para...
Filtrar por grupos
Desde el men Filtro, seleccione Solo este grupo o

Filtrar por hora de creacin
Seleccione el momento en que se cre la regla:

Ninguno, Desde o Entre. Si selecciona Desde, introduzca
una fecha de inicio; si selecciona Entre, introduzca tanto
una fecha de inicio como de fin. Haga clic en Quitar
para quitar la configuracin del filtro.
Filtrar por texto buscado
Escriba la ruta del proceso, el nombre del proceso, el

nombre de usuario, el nombre del equipo o la ID de
firma para filtrar. Haga clic en Quitar para quitar la
configuracin del filtro.
Agregar reglas
Haga clic en Agregar, seleccione los criterios en los

que desee agregar las reglas y, a continuacin, haga
Para mover las reglas a una directiva, seleccione una o ms en la lista y haga clic en Crear
regla del firewall; despus, indique la directiva a la que desea mover las reglas.
Preguntas frecuentes: uso de caracteres comodn en reglas de

firewall
Cuando se introducen valores en ciertos campos de las reglas de firewall, Host IPS permite el
uso de caracteres comodn.
Qu caracteres comodn puedo usar para los valores de ruta y de direccin?
Para las rutas de archivos, las claves de registro, los ejecutables y las URL, use los siguientes
caracteres comodn:
Carcter
Definicin
Un solo carcter.
* (un asterisco)
Varios caracteres excluidos / y \. selo para seleccionar

los contenidos del nivel raz de una carpeta sin seleccionar
las subcarpetas.
** (dos asteriscos)
| (canalizacin)

NOTA: para **, el escape es |*|*.
NOTA: las rutas de las claves de registro para las localizaciones de los grupos de firewall no
reconocen los valores de los comodines.
Qu caracteres comodn puedo usar para todos los dems valores?
Para los valores que normalmente no contienen informacin de ruta con barras, use los siguientes
caracteres comodn:
Carcter
Definicin
Un solo carcter.
79

80
Carcter
Definicin
* (un asterisco)
| (canalizacin)

La funcin General de Host Intrusion Prevention proporciona acceso a las directivas de naturaleza
general, y que no son especficas de IPS ni del firewall.
Contenido
Introduccin a las directivas generales
Definicin de la funcionalidad de cliente
Definicin de redes de confianza
Definicin de aplicaciones de confianza
Introduccin a las directivas generales

Las directivas generales funcionan con las funciones IPS y firewall, y controlan el acceso del
cliente as como las aplicaciones y redes de confianza.
Todas las directivas y opciones se aplican a sistemas operativos Windows. En los sistemas no
Windows, solo se aplican algunas directivas y opciones. Para saber ms, consulte Aplicacin de
directivas con el cliente Solaris/Linux en Uso de clientes IPS en host.
Existen tres directivas generales:
IU de cliente: determina qu opciones estn disponibles para un equipo cliente Windows,
tambin si el icono de cliente Host Intrusion Prevention aparece en la bandeja del sistema, los
tipos de alertas de intrusos, las contraseas de acceso a la interfaz del cliente y las opciones
de solucin de problemas. La funcin de contraseas se utiliza en clientes tanto de plataformas
Windows como no Windows.
Redes de confianza: indica las redes y direcciones IP con las que existen comunicaciones
seguras, incluidas las excepciones de TrustedSource. Las redes de confianza pueden incluir
direcciones IP individuales o intervalos de direcciones IP. Marcar las redes como "de confianza"
elimina o reduce la necesidad de excepciones IP de red y de reglas de firewall adicionales. Solo
para clientes Windows.
Aplicaciones de confianza: indica las aplicaciones que son seguras y que no tienen
vulnerabilidades conocidas. Marcar las aplicaciones como "de confianza" elimina o reduce la
necesidad de excepciones IPS y de reglas de firewall adicionales. Al igual que la directiva Reglas
IPS, esta categora de directivas puede contener varias instancias de directiva. Para clientes de
plataformas Windows y no Windows.
Configurar las directivas Redes de confianza y Aplicaciones de confianza puede reducir
o eliminar los falsos positivos, lo que ayuda al afinar un despliegue.
81


La directiva IU de cliente determina cmo aparecen y funcionan los clientes de IPS en host.
Para los clientes Windows se incluyen la configuracin de visualizacin de iconos, las reacciones
en caso de intrusos y el acceso de usuarios administradores y clientes. Para los clientes no
Windows, solo es vlida la funcin de contrasea para acceso administrativo.
Las opciones de esta directiva permiten satisfacer las necesidades de tres funciones tpicas de
usuario:
Tipo de usuario
Funcionalidad
Normal
El usuario medio que tiene el cliente Host Intrusion Prevention instalado en un equipo de
sobremesa o en un porttil. La directiva IU de cliente permite a este usuario:
Ver el icono del cliente Host Intrusion Prevention en la bandeja del sistema y ejecutar
la consola del cliente.
Obtener alertas emergentes de intrusos o evitarlas.
Desactivar temporalmente la proteccin de IPS y firewall.
Desconectado
El usuario, probablemente con un porttil, que pasa perodos de tiempo desconectado del
servidor Host Intrusion Prevention. El usuario puede tener problemas tcnicos con Host
Intrusion Prevention o necesitar realizar operaciones sin que interacten con el programa.
La directiva IU de cliente permite a este usuario obtener una contrasea basada en tiempos
para realizar tareas administrativas o para activar o desactivar las funciones de proteccin.
Administrador
Un administrador TI de todos los equipos, que tiene que realizar operaciones especiales en
equipos cliente ignorando las posibles directivas impuestas por los administradores. La
directiva IU de cliente permite que este usuario obtenga una contrasea de administrador
sin caducidad para realizar tareas administrativas.
Las tareas administrativas para los usuarios desconectados y administrador incluyen:
Activar o desactivar las directivas IPS y de firewall.
Crear ms reglas IPS y de firewall, si determinadas actividades inofensivas estn

bloqueadas.
NOTA: las modificaciones en las directivas administrativas realizadas desde la consola de

ePolicy Orchestrator se aplicarn solo una vez que haya caducado la contrasea. Las reglas
de cliente creadas durante este perodo de tiempo se conservan, si lo permiten las reglas
administrativas.
La directiva IU de cliente contiene una directiva preconfigurada y una directiva Mis valores
predeterminados que se puede editar. Puede ver y duplicar la directiva preconfigurada. Tambin
puede crear, editar, cambiar el nombre, duplicar, eliminar y exportar directivas personalizadas.
Configuracin de una directiva IU de cliente

Configure las opciones de la directiva para indicar la visualizacin de iconos, las reacciones en
caso de intrusos, el acceso del administrador y el usuario cliente en clientes Windows y el acceso
del administrador en clientes no Windows.
Tarea
82

General en la lista Producto e IU de cliente en la lista Categora. Se muestra la lista
de directivas.
En la lista de directivas IU de cliente, haga clic en Editar en Acciones para cambiar la


En la pgina IU de cliente, seleccione una ficha (Opciones generales, Opciones

avanzadas, Opciones de solucin de problemas) y realice los cambios necesarios.
Consulte Definicin de opciones generales de IU, Definicin de opciones avanzadas de IU
o Definicin de opciones de solucin de problemas de IU de cliente para obtener ms
detalles.
Definicin de opciones generales de IU de cliente

Configure las opciones de la ficha Configuracin general de la directiva IU de cliente para
determinar la visualizacin de iconos y las reacciones en caso de intrusos solo para clientes
Windows.
En esta ficha puede establecer las opciones de visualizacin de la IU de cliente e indicar cmo
responde el cliente a un evento de intrusin.
Tarea
1
Haga clic en la ficha Configuracin general de la directiva IU de cliente y, en Opciones

de visualizacin, seleccione la opcin para mostrar el icono de men de bandeja para
acceder al men de la consola del cliente o mostrar la aplicacin en la lista Agregar o quitar
programas.
NOTA: los usuarios que necesiten desactivar temporalmente una funcin de Host Intrusion
Prevention para acceder a una aplicacin o un sitio de red inofensivo que est bloqueado,
pueden utilizar el icono de la bandeja de Host Intrusion Prevention para desactivar una
funcin sin abrir la consola de cliente. La funcin desactivada permanece as hasta que la
restaura el comando del men o hasta que una nueva directiva se aplique. Tenga en cuenta
lo siguiente:
Al desactivar IPS, se desactiva la proteccin IPS en host e IPS de red.
Si la IU de cliente est desbloqueada, los comandos de men no tendrn efecto.
Para esta funcin, seleccione mostrar el sistema; despus, en la ficha Opciones
avanzadas, seleccione Permitir desactivacin de funciones desde el icono de la
bandeja y, a continuacin, seleccione las funciones que desee desactivar.
En En caso de evento de intruso, seleccione las opciones que controlan la reaccin del
cliente cuando se encuentra un intruso.
Configuracin de opciones avanzadas y contraseas de IU de

cliente
Configurar las opciones de la ficha Opciones avanzadas de la directiva IU de cliente para acceso
por contrasea en clientes Windows y no Windows.
Las contraseas desbloquean la consola del cliente Windows y dan acceso al control de solucin
de problemas en clientes Windows y no Windows. Cuando esta directiva se aplica al cliente, la
contrasea se activa.
Hay dos tipos de contraseas disponibles:
Una contrasea de administrador, que un administrador puede configurar y que es vlida
mientras la directiva se aplique al cliente. La consola del cliente permanece desbloqueada
83

hasta que se cierra. Para volver a abrir los controles de la consola del cliente, introduzca
nuevamente la contrasea de administrador.
Una contrasea basada en tiempos, que tiene fecha y hora de caducidad. Esta contrasea
se genera automticamente. Puede indicar el sistema en el que desea crear la contrasea
o crear la contrasea en la directiva IU de cliente para todos los sistemas a los que se aplica
la directiva. La consola del cliente permanece desbloqueada hasta que se cierra.
NOTA: cuando la consola de cliente est desbloqueada, las directivas no se aplican.
Para obtener ms informacin, consulte Desbloqueo de la interfaz del cliente Windows.
Tarea
1
Haga clic en la ficha Opciones avanzadas de la directiva IU de cliente aplicada a un

sistema o a un grupo.
Determine el tipo de contrasea que desea crear.

Para este tipo de contrasea...
Administrador
Escriba una contrasea en el cuadro de texto Contrasea. Debe

contener al menos diez caracteres.
Vuelva a escribir la contrasea en el cuadro de texto Confirmar

contrasea.
Seleccione Activar contrasea basada en tiempos.
Introduzca la fecha y la hora en que caduca la contrasea y haga

clic en Calcular la contrasea basada en tiempos. En un
cuadro de dilogo aparece la contrasea con la fecha y la hora de
caducidad.
Basada en tiempos
Creacin de contraseas segn el sistema

Se pueden crear y asignar contraseas basadas en tiempos en funcin del sistema.
Tarea
84
Compruebe que la opcin Activar contraseas basadas en tiempo de la ficha Avanzadas

de la directiva IU de cliente est seleccionada.
Haga clic en Guardar en caso de que haya efectuado algn cambio en la directiva.
Vaya a Sistemas | rbol de sistemas.
Aplique la directiva IU de cliente al grupo que incluye el sistema al que aplicar la contrasea.
Seleccione el grupo y, a continuacin, en la ficha Sistemas seleccione un sistema nico.
Haga clic en Crear contrasea basada en tiempos.
Establezca la fecha y hora en la que caduca la contrasea y, a continuacin, haga clic en

Calcular la contrasea basada en tiempos. La contrasea aparece en el cuadro de
dilogo.

Definicin de opciones de solucin de problemas de IU de cliente

Configurar las opciones de la ficha Solucin de problemas de la directiva IU de cliente para
opciones de registro y activar y desactivar motores.
En lugar de utilizar la funcin de solucin de problemas del cliente individual, puede aplicar
opciones de solucin de problemas de nivel de directiva que activan el registro de eventos IPS
y del firewall, y que desactivan motores IPS determinados. Cuando desactive los motores,
recuerde volver a activarlos tras solucionar los problemas.
Tarea
1
Haga clic en la ficha Solucin de problemas de la directiva IU de cliente.
Seleccione la configuracin de directiva que desee aplicar:

Para
Activar el registro de firewall
Seleccione de la lista el tipo de mensaje que va a activar

el registro de eventos del firewall.
Depuracin registra todos los mensajes.
Informacin registra mensajes de informacin,

advertencia y error.
Advertencia registra los mensajes de advertencia

y de error.
Error registra los mensajes de error.
Desactivado no registra ningn mensaje.
La ruta al archivo de registro en los clientes Windows

es: C:\Documents and Settings\All Users\Datos de
programa\McAfee\Host Intrusion
Prevention\FireSvc.log. En Windows Vista, Windows
2008 y Windows 7: C:\Datos de
Prevention\FireSvc.log.
Activar el registro de IPS
Seleccione de la lista el tipo de mensaje que va a activar

el registro de eventos de IPS.
Depuracin registra todos los mensajes.
Informacin registra mensajes de informacin,

advertencia y error.
Advertencia registra los mensajes de advertencia

y de error.
Error registra los mensajes de error.
Desactivado no registra ningn mensaje.
La ruta al archivo de registro en los clientes Windows

es: C:\Documents and Settings\All Users\Datos de
Prevention\HipShield.log; en Windows Vista, Windows
2008 y Windows 7: C:\Datos de
Prevention\HipShield.log
Incluir infracciones de seguridad en el registro de IPS
Seleccione Infracciones de seguridad de registro

para que los eventos de infracciones de seguridad
aparezcan en el registro de IPS.
Establecer el tamao, en MB, del registro de eventos

en el cliente.
Cambie el tamao del registro de 1 MB

(predeterminado) a un nmero ms grande.
85

Para
Activar o desactivar los motores
Quite la marca de la casilla de verificacin para

desactivar un motor o seleccinela para activarlo.
NOTA: para obtener detalles acerca de cmo trabajar directamente con el cliente HIP,
consulte Trabajo con clientes de Host Intrusion Prevention.

La directiva Redes de confianza mantiene una lista de direcciones de red y subredes, que puede
etiquetar como de confianza para clientes de Windows y aplicar a reglas de firewall cuyas
direcciones remotas se establezcan como de confianza, y a excepciones de IPS de red.
Esta categora de directivas contiene una directiva preconfigurada que incluye las subredes
locales automticamente aunque no indica las direcciones de red, y una directiva Mis valores
predeterminados que se puede editar. Puede ver y duplicar la directiva preconfigurada. Tambin
puede crear, editar, cambiar el nombre, duplicar, eliminar y exportar directivas personalizadas.
Configuracin de una directiva de redes de confianza

Configure las opciones de esta directiva para establecer las opciones de redes de confianza y
mantener una lista de direcciones de red y subredes marcadas como de confianza solo para
clientes Windows.
Puede:
Establecer redes de confianza, incluidas las excepciones de TrustedSource.
Agregar o eliminar direcciones o subredes de la lista de confianza.
NOTA: para las reglas de firewall, debe establecer la direccin remota como De confianza
para aprovechar esta funcin.
Tarea
1

General en la lista Producto y Redes de confianza en la lista Categora. Se muestra
En la lista de directivas Redes de confianza, haga clic en Editar en Acciones para

cambiar la configuracin de una directiva personalizada.

Para...
Tratar automticamente a todos los usuarios de la

Seleccione Activado en Incluir automticamente la
misma subred como de confianza, incluso a los que no subred local.
estn en la lista.
Agregar una direccin de red de confianza a la lista.
Introduzca una direccin IP de confianza, rango de

direcciones o subred en el cuadro de texto Redes de
confianza.
Marcar la red como de confianza para firmas IPS de red Seleccione De confianza para IPS.
o tipo de host HTTP y firmas personalizadas IPS.
86

Para...
Eliminar o agregar una entrada de direccin de red de Haga clic en el botn Eliminar ( ) o Agregar ( + ).
confianza.

La directiva Aplicaciones de confianza es el mecanismo que se emplea para crear una lista de
aplicaciones que son de confianza y no deberan generar eventos. El mantenimiento de una
lista de aplicaciones seguras en un sistema reduce o elimina la mayora de falsos positivos.
La directiva Aplicaciones de confianza es una directiva de mltiples instancias, as que puede
asignar ms de una instancia de directiva, lo que permite un perfil ms detallado de uso de
aplicaciones de confianza.
Al afinar un despliegue, la creacin de reglas de excepcin de IPS es una de las maneras de
reducir los falsos positivos. No siempre resulta prctico al tratar con varios miles de clientes o
cuando se dispone de tiempo y recursos limitados. Una solucin mejor es crear una lista de
aplicaciones de confianza, que son aplicaciones que se reconocen como seguras en un entorno
determinado. Por ejemplo, cuando se ejecuta una aplicacin de copias de seguridad, pueden
darse muchos eventos de falsos positivos. Para evitarlo, convierta la aplicacin de copias de
seguridad en una aplicacin de confianza.
NOTA: una aplicacin de confianza puede sufrir vulnerabilidades comunes como desbordamiento
de bfer y uso ilegal. Por lo tanto, una aplicacin de confianza se supervisa igualmente, y puede
iniciar errores para prevenir vulnerabilidades de seguridad.
Esta categora de directiva contiene una directiva preconfigurada que proporciona una lista de
aplicaciones de McAfee y de procesos de Windows concretos. Puede ver y duplicar la directiva
preconfigurada o puede editar, cambiar el nombre, duplicar, eliminar y exportar las directivas
personalizadas.
Configuracin de una directiva de aplicaciones de confianza

Configure las opciones de la directiva para enumerar las aplicaciones consideradas seguras en
un entorno determinado.
Tarea
1

General en la lista Producto y Aplicaciones de confianza en la lista Categora. Se
muestra la lista de directivas.
En la lista de directivas Aplicaciones de confianza, haga clic en Editar en Acciones

para cambiar la configuracin de una directiva personalizada.

Para...
Agregar una aplicacin
Haga clic en Agregar aplicacin. Para obtener ms

detalles, consulte Creacin y edicin de reglas de
aplicaciones de confianza.
87

Para...
Realizar una accin en una o ms aplicaciones al mismo Seleccinelas y haga clic en:
tiempo
Activar para activar una aplicacin desactivada.
Realizar una accin en una sola aplicacin
Desactivar para desactivar una aplicacin

activada.
Eliminar para eliminar aplicaciones.
Copiar a para copiar aplicaciones en otra

directiva. Se le pedir que indique la directiva.
Haga clic en:
Editar para editar una aplicacin existente. Para

obtener ms detalles, consulte Creacin y edicin
de reglas de aplicaciones de confianza.
Duplicar para hacer una copia de la aplicacin

dentro de la misma directiva con el nombre "copia
de" la aplicacin original.
Eliminar para quitar la aplicacin de la lista.
Creacin y edicin de reglas de aplicaciones de confianza

Edite aplicaciones de confianza existentes o cree aplicaciones nuevas para tener una lista de
todas las aplicaciones consideradas seguras para su entorno.
Tarea
1
En la pgina de la directiva Aplicaciones de confianza, haga clic en Nueva aplicacin de

confianza para crear una nueva regla o haga clic en Editar ,en Acciones, para editar
una regla existente.
NOTA: tambin puede crear aplicaciones de confianza basndose en un evento. Para
obtener ms informacin, consulte Crear una aplicacin de confianza a partir de un evento
en Configuracin de directivas IPS.
Escriba o edite el nombre y el estado de la aplicacin, tambin si la aplicacin es de confianza

para IPS, firewall o ambos.
Haga clic en Nuevo para agregar un ejecutable para la aplicacin.

NOTA: puede agregar un ejecutable existente desde el catlogo de IPS en host haciendo
clic en Agregar desde catlogo. Para obtener ms informacin sobre el catlogo, consulte
Cmo funciona el catlogo de IPS en host en Configuracin de directivas de firewall.
Haga clic en Aceptar para guardar los cambios.
Asignacin de varias instancias de la directiva

Asignacin de una o ms instancias de la directiva a un grupo o sistema en el rbol de sistemas
de ePolicy Orchestrator para la proteccin con varios fines de una nica directiva.
88

La directiva Reglas IPS y la directiva Aplicaciones de confianza son directivas de instancias

mltiples que pueden tener asignada ms de una instancia. Una directiva de varias instancias
puede ser til para un servidor IIS, por ejemplo, donde puede aplicar una directiva general
predeterminada, una directiva de servidor y una directiva IIS, las dos ltimas configuradas de
forma ms especfica para sistemas de destino que funcionen como servidores IIS. Cuando
asigna instancias mltiples, est asignando una unin de todos los elementos de cada instancia
de la directiva.
NOTA: la directiva McAfee Default para Reglas IPS y para Aplicaciones de confianza se actualiza
cuando se actualiza el contenido. McAfee recomienda que estas dos directivas se apliquen
siempre para asegurarse de que la proteccin est tan actualizada como sea posible.
Para las directivas que tienen instancias mltiples, un vnculo a Directiva efectiva aparece para
proporcionar una vista de los detalles de las directivas de instancias combinadas.
Tarea
1
Vaya a Sistemas | rbol de sistemas y seleccione el grupo que desee en el rbol de

sistemas.
NOTA: para un sistema nico, seleccione un grupo del rbol de sistemas que contenga el
sistema y, a continuacin, en la ficha Sistemas seleccione el sistema y seleccione Ms
acciones | Modificar directivas en un solo sistema.
En Directivas, seleccione Host Intrusion Prevention 8.0: IPS/General en la lista

Producto, y para Reglas IPS/Aplicaciones de confianza, haga clic en Editar
asignaciones.
En la pgina Asignacin de directiva, haga clic en Nueva instancia de directiva y

seleccione una directiva de la lista de Directivas asignadas para la instancia adicional
de la directiva. Para ver el efecto combinado o efectivo del conjunto de reglas de instancias
mltiples, haga clic en Ver Directiva efectiva.
Haga clic en Guardar para guardar todos los cambios.
89

El cliente de Host Intrusion Prevention se puede instalar en plataformas Windows, Solaris y
Linux. Solo el cliente Windows tiene una interfaz, pero todas las versiones tienen la funcionalidad
de solucin de problemas. Aqu se describen las funciones bsicas de cada versin de cliente.
Contenido
Introduccin al cliente Windows
Introduccin al cliente Solaris
Introduccin al cliente Linux

La gestin directa del cliente Windows de Host Intrusion Prevention est disponible a travs de
una consola de cliente. Para mostrarla, utilice el men del icono de la bandeja de McAfee o
ejecute McAfeeFire.exe en C:\Archivos de programa\McAfee\Host Intrusion Prevention.
Cuando aparece por primera vez la consola del cliente, las opciones se bloquean y solo podr
ver la configuracin actual. Para obtener control completo de todas las opciones de la consola,
desbloquee la interfaz con una contrasea. Para obtener ms detalles acerca de la creacin y
el uso de contraseas, consulte Establecer opciones avanzadas y contraseas de IU de cliente
en Configuracin de directivas generales.
Men Icono de la bandeja de sistema

Cuando aparece el icono de McAfee en la bandeja de sistema, proporciona acceso a la consola
de cliente de IPS en host. La funcionalidad ser distinta segn la versin de McAfee Agent
instalada en el cliente.
Con McAfee Agent 4.0
Haga clic con el botn derecho en el icono de McAfee Agent, seleccione Host Intrusion
Prevention para mostrar un men con mtodos abreviados desde el que podr abrir la consola.
Tabla 8: Men de McAfee Agent 4.0
90
Haga clic en...
Para hacer esto...
Configurar
Abrir la consola de cliente de Host Intrusion Prevention.
Acerca de...
Abrir el cuadro de dilogo Acerca de Host Intrusion

Prevention, que muestra el nmero de versin y otra
informacin del producto.

Si se selecciona Permitir la desactivacin de las funciones desde el icono de la bandeja

en una directiva IU de cliente aplicada, estarn disponibles algunos o todos estos comandos
adicionales:
Tabla 9: Men de McAfee Agent 4.0 con Permitir desactivacin
Haga clic en...
Para hacer esto...
Restaurar configuracin
Activar todas las funciones desactivadas. Disponible solo

si alguna funcin se ha desactivado.
Desactivar todo
Desactivar las funciones IPS y Firewall. Disponible solo si

las dos funciones estn activadas.
Desactivar IPS
Desactivar la funcin IPS. Esto incluye la funcionalidad IPS

en host e IPS de red. Solo disponible si la funcin est
activada.
Desactivar Firewall
Desactivar la funcin Firewall. Solo disponible si la funcin

est activada.
Si se ha seleccionado Activar el grupo sincronizado del men del icono de la bandeja

de McAfee de la ficha Programa para un grupo de firewall en una directiva aplicada de Reglas
del firewall, estos comandos adicionales estarn disponibles:
Tabla 10: Men de McAfee Agent 4.0 con Activar grupo sincronizado
Haga clic en...
Para hacer esto...
Activar grupos de firewall sincronizados de IPS en host
Activar los grupos de firewall sincronizados durante una

cantidad de tiempo establecida para permitir el acceso no
de red a Internet antes de que se apliquen las reglas que
restringen el acceso. Cada vez que selecciona este
comando, restablece el tiempo de los grupos.
Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el
en host
tiempo restante de activacin de cada grupo.
Con McAfee Agent 4.5

Haga clic con el botn derecho en McAfee Agent en la bandeja de sistema y seleccione
Gestionar funciones | Host Intrusion Prevention para abrir la consola.
NOTA: tanto McAfee Agent como el cliente de IPS en host deben estar configurados para mostrar
un icono para este acceso. Si McAfee Agento no aparece en la bandeja de sistema, no se podr
acceder a IPS en host con el icono de la bandeja de sistema, aunque el cliente est configurado
para mostrar un icono de bandeja.
En Configuracin rpida, estas opciones de Host Intrusion Prevention estarn disponibles si
la opcin Permitir la desactivacin de las funciones desde el icono de la bandeja est
seleccionada en una directiva aplicada de IU de cliente.
Tabla 11: Configuracin rpida del men de McAfee Agent 4.5
Haga clic en...
Para hacer esto...
IPS en host
Activar y desactivar la proteccin de IPS en host.
IPS de red
Activar y desactivar la proteccin de IPS de red.
Firewall
Activar y desactivar la proteccin del firewall.
Tambin en Configuracin rpida, si la opcin Activar el grupo sincronizado del men

del icono de la bandeja de McAfee de la ficha Programa se ha seleccionado para un grupo
91

de firewall en una directiva aplicada de Reglas del firewall, estos comandos adicionales
estarn disponibles:
Tabla 12: Men de McAfee Agent 4.5 con Activar grupo sincronizado
Haga clic en...
Para hacer esto...
Activar grupos de firewall sincronizados de IPS en host
Activar los grupos de firewall sincronizados durante una

cantidad de tiempo establecida para permitir el acceso no
de red a Internet antes de que se apliquen las reglas que
restringen el acceso. Cada vez que selecciona este
comando, se restablece el tiempo de los grupos.
Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el
en host
tiempo restante de activacin de cada grupo.
Consola de clientes para clientes Windows

La consola de clientes Host Intrusion Prevention le da acceso a varias opciones de configuracin.
Para abrir la consola, elija una de las siguientes:
Con McAfee Agent 4.0, haga clic con el botn derecho en el icono de McAfee, seleccione
Host Intrusion Prevention y, a continuacin, Configurar.
Con McAfee Agent 4.5, haga clic con el botn derecho en el icono de McAfee, seleccione
Gestionar funciones, Host Intrusion Prevention y, despus, Configurar.
En la carpeta C:\Program Files\McAfee\Host Intrusion Prevention, ejecute McAfeeFire.exe.
La consola le permite ver y configurar informacin de las funciones de Host Intrusion Prevention.
Contiene varias fichas, que se corresponden con funciones especficas de Host Intrusion
Prevention.
Desbloqueo de la interfaz del cliente Windows

Un administrador que, desde remoto, est gestionando Host Intrusion Prevention por medio
de ePolicy Orchestrator, puede proteger con contrasea la interfaz para evitar cambios
accidentales. Las contraseas fijas que no caducan y las contraseas temporales permiten que
el administrador y el usuario desbloqueen temporalmente la interfaz para hacer cambios.
Antes de empezar
Asegrese de que la directiva IPS en host General: IU de cliente, que incluye la configuracin
de contrasea, se haya aplicado al cliente. Esto sucede en la actualizacin programada de la
directiva o si se fuerza una actualizacin inmediata de la directiva. El cliente no reconoce la
contrasea hasta que la actualizacin de la directiva tiene lugar.
Tarea
1
Obtenga una contrasea del administrador de Host Intrusion Prevention.

NOTA: para obtener ms detalles acerca de la creacin de contraseas, consulte Establecer
opciones avanzadas y contraseas de IU de cliente en Configuracin de directivas generales.
92
Abra la consola del cliente y seleccione Tarea | Desbloquear interfaz de usuario.
En el cuadro de dilogo Inicio de sesin, escriba la contrasea y haga clic en Aceptar.

Definicin de opciones de IU de cliente

La consola del cliente de Host Intrusion Prevention proporciona acceso a algunas opciones
determinadas por la directiva IU de cliente y permite personalizarlas para cada cliente individual.
Antes de empezar
Para realizar la tarea siguiente, primero debe desbloquear la consola del cliente con una
contrasea.
Tarea
1
En la consola del cliente, seleccione Tarea | Establecer idioma de la interfaz de

usuario.
Seleccione el idioma para la interfaz de la consola del cliente y haga clic en Aceptar. Las
opciones incluyen: chino, ingls, francs, alemn, italiano, japons, coreano, portugus,
ruso y espaol. Si selecciona "Automtico", la interfaz aparecer en el idioma del sistema
operativo en el que se instala el cliente.
Seleccione Edicin | Opciones.
En el cuadro de dilogo Opciones de Host Intrusion Prevention, seleccione y desactive

opciones segn sea necesario y haga clic en Aceptar.
Tabla 13: Opciones de la consola del cliente
Seleccione...
Para que esto ocurra...
Mostrar alerta emergente
Cuando se produce un ataque, aparece una alerta (solo

IPS).
Reproducir sonido
Se reproduce un sonido cuando se produce un ataque

(solo IPS).
Mostrar notificacin en bandeja del sistema
El icono de bandeja de sistema indica el estado de un

ataque cuando este se produce (solo IPS).
Crear captura de analizador si est disponible
Se agrega una columna de captura al Registro de

actividad para indicar que se han capturado los datos
del intruso. Se guarda en un archivo FirePacketX.cap
en C:\Program Data\McAfee\Host Intrusion
Prevention\McAfee Fire Saved Events o en
C:\Documents and Settings\All Users\Application
Data\McAfee\Host Intrusion Prevention\McAfee Fire
Saved Events (solo IPS).
Mostrar icono de la bandeja
Host Intrusion Prevention aparece debajo del men del

icono de la bandeja del sistema de McAfee.
Solucin de problemas del cliente Windows

Host Intrusion Prevention incluye una funcin de solucin de problemas, que est disponible
en el men Ayuda cuando se bloquea la interfaz. Estas son las opciones disponibles:
Tabla 14: Opciones de solucin de problemas
Opcin
Definicin
Registro: firewall
Determina qu tipo de mensaje de firewall se registra.
Registro: IPS *
Determina qu tipo de mensaje de IPS se registra.
93

Opcin
Definicin
Infracciones de seguridad de registro *
Activar la creacin de registros de seguridad de IPS en el

registro de IPS.
Mostrar el producto en la lista Agregar/Quitar programas Permitir que IPS en host aparezca en la lista
Agregar/Quitar programas y que se pueda quitar del
cliente.
Funcionalidad *
Desactivar y activar los motores de clase de IPS en host

como parte de la solucin de problemas.
* Esta opcin est disponible solo con la proteccin IPS.

NOTA: McAfee ofrece una utilidad (ClientControl.exe) para ayudar a automatizar las
actualizaciones y otras tareas de mantenimiento cuando se utiliza software de terceros para
desplegar Host Intrusion Prevention en equipos cliente. Esta utilidad de lnea de comando, que
puede incluirse en las cadenas de instalacin y mantenimiento para desactivar temporalmente
la proteccin IPS y activar las funciones de registro, se suministra como parte de la instalacin
y se encuentra en el cliente, en C:\Archivos de programa\McAfee\Host Intrusion Prevention.
Consulte Utilidad Clientcontrol.exe en Apndice B -- Solucin de problemas para obtener ms
informacin.
Definicin de opciones de registro IPS

Como parte de la solucin de problemas, puede crear registros de actividad IPS que se pueden
analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas.
Realice esta tarea para activar el registro IPS.
Tarea
1
En la consola de IPS en host, seleccione Ayuda | Solucin de problemas.
Seleccione el tipo de mensaje de IPS:

Depurar
Desactivado
Error
Informacin
Advertencia
Si el tipo de mensaje est configurado como Desactivado, no se registrar ningn mensaje.
Haga clic en Aceptar. La informacin se escribe en HipShield.log en C:\Documents and

Settings\All Users\Application Data\McAfee\Host Intrusion Prevention; en Windows Vista
y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\.
Definicin de opciones de registro del firewall

Como parte de la solucin de problemas, puede crear registros de actividad del firewall que se
pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver
problemas. Realice esta tarea para activar el registro del firewall.
Tarea
94
En la consola de IPS en host, seleccione Ayuda | Solucin de problemas.
Seleccione el tipo de mensaje del firewall:

Depurar
Desactivado
Error
Informacin
Advertencia
Si el tipo de mensaje est configurado como Desactivado, no se registrar ningn mensaje.
3
Haga clic en Aceptar. La informacin se escribe en FireSvc.log en C:\Documents and

Settings\All Users\Application Data\McAfee\Host Intrusion Prevention\; en Windows Vista
y versiones posteriores en C:\Program Data\McAfee\Host Intrusion Prevention\. Cuando
el archivo alcanza los 100 MB, se crea un archivo nuevo.
Desactivacin de motores IPS en host

Como parte de la solucin de problemas, tambin puede desactivar los motores de clase que
protegen a un cliente. McAfee recomienda que solo utilicen este procedimiento de solucin de
problemas los administradores que estn en comunicacin con el departamento de soporte de
McAfee. Para entender mejor qu protege cada clase, consulte la seccin Escritura de firmas
personalizadas.
Tarea
1
En la consola de IPS en host, seleccione Ayuda | Solucin de problemas y haga clic

en Funcionalidad.
En el cuadro de dilogo Motores HIPS, anule la seleccin de uno o ms motores. Para

desactivar todos los motores, anule la seleccin de Activar/Desactivar todos los
motores.
NOTA: SQL y HTTP aparecen en la lista solo si el cliente se ejecuta en un sistema operativo
del servidor.
Una vez resuelto el problema, vuelva a seleccionar todos los motores para los que se haya
anulado la seleccin en el cuadro de dilogo Motores HIPS.
Alertas del cliente Windows

Un usuario puede encontrar muchos tipos de mensaje de alerta y necesita reaccionar de manera
acorde. Entre estos mensajes se encuentran las alertas de deteccin de intrusos, del firewall y
de deteccin de simulaciones. Las alertas de firewall slo aparecen cuando el cliente se encuentra
en modo de aprendizaje para estas funciones.
Respuesta a alertas de intrusos

Si activa la proteccin IPS y la opcin Mostrar alerta emergente, aparecer automticamente
una alerta cuando Host Intrusion Prevention detecte un ataque potencial. Si el cliente se
encuentra en modo de adaptacin, esta alerta aparece solo si la opcin Permitir reglas del
cliente est desactivada para la firma que hizo que se produjera el evento.
La ficha Informacin sobre intrusos muestra los detalles del ataque que gener la alerta, incluidos
la descripcin del ataque, el equipo de usuario o cliente en el que se produjo el ataque, el
95

proceso implicado en el ataque y la fecha y hora en la que Host Intrusion Prevention lo intercept.
Adems, puede aparecer un mensaje genrico especificado por el administrador.
Puede ignorar el evento haciendo clic en Ignorar, o crear una regla de excepcin para el evento
haciendo clic en Crear excepcin. El botn Crear excepcin est activo solo si la opcin Permitir
reglas del cliente est activada para la firma que hizo que se produjera el error.
Si la alerta es resultado de una firma IP de host, el cuadro de dilogo de la regla de excepcin
aparece precumplimentado con el nombre del proceso, el usuario y la firma. Puede seleccionar
Todas las firmas o Todos los procesos, pero no ambos. El nombre de usuario siempre se
incluye en la excepcin.
Si la alerta es resultado de una firma IPS de red, el cuadro de dilogo de la regla de excepcin
aparece precumplimentado con el nombre de la firma y la direccin IP del host. Como opcin,
puede seleccionar Todos los hosts.
Adems, puede hacer clic en Notificar al administrador para enviar informacin acerca del
evento al administrador de Host Intrusion Prevention. Este botn slo estar activo si la opcin
Permitir que el usuario notifique al administrador est activada en la directiva IU de cliente
aplicada.
Seleccione No mostrar alertas de eventos IPS para dejar de mostrar las alertas de eventos
IPS. Para hacer que las alertas vuelvan a aparecer despus de seleccionar esta opcin, seleccione
Mostrar alerta emergente en el cuadro de dilogo Opciones.
NOTA: esta alerta de intrusin tambin aparece en las intrusiones del firewall si coincide con
una regla de firewall que tenga la opcin Tratar coincidencia de regla como intruso seleccionada.
Respuesta a alertas de firewall

Si activa la proteccin del firewall y el modo de aprendizaje para el trfico entrante o saliente,
aparece una alerta del firewall y se requiere una respuesta del usuario.
La seccin Informacin de aplicacin muestra la informacin de la aplicacin que est intentando
acceder a la red, incluidos el nombre, la ruta y la versin de la aplicacin. La seccin Informacin
de conexin muestra informacin sobre el protocolo de trfico, la direccin y los puertos.
NOTA: los botones Anterior y Siguiente estn disponibles en la seccin Informacin de conexin
si hay informacin adicional de protocolos o puertos para una aplicacin. Los botones Anterior
y Siguiente estn disponibles en la parte inferior del cuadro de dilogo, si se ha enviado ms
de una alerta.
Tarea
1
En el cuadro de dilogo de alerta, realice una de las operaciones siguientes:

Haga clic en Denegar para bloquear este trfico y el similar.
Haga clic en Permitir para permitir que pase por el firewall este trfico y el similar.
Opcional: seleccione opciones para la nueva regla de firewall:
Seleccione...
Para hacer esto...
Crear una regla de firewall para una aplicacin para

todos los puertos y servicios
Crear una regla para permitir o bloquear el trfico de

una aplicacin a travs de cualquier puerto o servicio.
Si no selecciona esta opcin, la nueva regla de firewall
permitir o bloquear solo los puertos especficos:
96
Si el trfico interceptado usa un puerto inferior a

1024, la nueva regla permitir o bloquear solo ese
puerto especfico.

Seleccione...
Para hacer esto...
Eliminar esta regla cuando la aplicacin se cierre
Si el trfico usa el puerto 1024 o superior, la nueva

regla permitir o bloquear el rango de puertos de
1024 a 65535.
Crear una regla temporal de permiso o bloqueo que se

borra cuando se cierra la aplicacin. Si no selecciona
estas opciones, la nueva regla de firewall se crea como
regla permanente de cliente.
Host Intrusion Prevention crea una nueva regla de firewall segn las opciones seleccionadas,
la agrega a la lista de directivas Reglas de firewall y permite o bloquea automticamente
el trfico similar.
Respuesta a alertas de simulacin detectada

Si activa la proteccin de firewall, aparece automticamente una alerta de simulacin si Host
Intrusion Prevention detecta una aplicacin en su equipo que enve trfico de red simulado, y
se requiere la respuesta de un usuario.
Esto quiere decir que la aplicacin est intentando hacer que parezca que el trfico de su equipo
llega en realidad de un equipo diferente. Esto se puede hacer cambiando la direccin IP en los
paquetes salientes. La simulacin siempre es una actividad sospechosa. Si ve este cuadro de
dilogo, investigue inmediatamente la aplicacin que est enviando el trfico simulado.
NOTA: el cuadro de dilogo Alerta de simulacin detectada aparece solo si selecciona la opcin
Mostrar alerta emergente. Si no selecciona esta opcin, Host Intrusion Prevention bloquear
automticamente el trfico simulado sin notificarle.
El cuadro de dilogo Alerta de simulacin detectada es muy similar a la alerta de la funcin
Modo de aprendizaje del firewall. Muestra informacin acerca del trfico interceptado, en dos
reas: la seccin Informacin de la aplicacin y la seccin Informacin de la conexin.
La seccin Informacin de la aplicacin muestra:
La direccin IP de la que el trfico simula llegar.
Informacin acerca del programa que gener el trfico simulado.
La fecha y la hora a la que Host Intrusion Prevention intercept el trfico.
La seccin Informacin de conexin proporciona informacin adicional de la red. En especial,
Direccin local muestra la direccin IP que la aplicacin simula tener, mientras que Direccin
remota muestra la direccin IP real.
Cuando Host Intrusion Prevention detecta trfico simulado en la red, bloquea tanto el trfico
como la aplicacin que lo gener.
Acerca de la ficha Directiva de IPS

La ficha Directiva de IPS se usa para configurar la funcin IPS, que protege contra los ataques
de intruso al host segn reglas de firmas y de comportamiento. En esta ficha podr activar o
desactivar la funcionalidad y configurar las reglas de excepcin de cliente. Para obtener ms
detalles acerca de las directivas de IPS, consulte Configuracin de directivas de IPS.
97

La ficha Directiva de IPS muestra las reglas de excepcin importantes para el cliente y
proporciona informacin resumida y detallada de cada regla.
Tabla 15: Ficha Directiva de IPS
Esta columna...
Muestra
Excepcin
Nombre de la excepcin.
Firma
Nombre de la firma para la que se crea la excepcin.
Aplicacin
Aplicacin a la que se aplica esta regla, incluidos el nombre

de programa y el nombre del archivo ejecutable.
Personalizacin de las opciones de Directiva IPS

Las opciones de la parte superior de la ficha controlan la configuracin realizada desde las
directivas IPS del servidor despus de que se haya desbloqueado la interfaz de cliente.
Tarea
1
En la consola del cliente de IPS en host, haga clic en la ficha Directiva IPS.
Seleccione o quite la seleccin de una opcin, segn necesite.

Seleccione...
Para hacer esto...
Activar IPS en host
Activar la proteccin de Host Intrusion Prevention.
Activar IPS de red
Activar la proteccin de red de Host Intrusion

Prevention.
Activar el modo de adaptacin
Activar el modo de adaptacin para crear

automticamente excepciones a las firmas de
prevencin de intrusos.
Bloquear atacantes automticamente
Bloquear los ataques de intrusos automticamente

durante un periodo de tiempo establecido. Indique el
nmero de minutos en el campo min.
Creacin y edicin de reglas de excepcin de directivas de IPS

Ver, crear y editar reglas de excepcin de IPS en la ficha Directiva de IPS del cliente.
Tarea
98
En la ficha Directiva IPS, haga clic en Agregar para agregar una regla.
En el cuadro de dilogo Regla de excepcin, escriba una descripcin de la regla.
Seleccione la aplicacin a la que se aplica la regla de la lista de aplicaciones, o haga clic

en Examinar para localizar la aplicacin.
Seleccione La regla de excepcin est activa para activar la regla. La excepcin se

aplica a todas las firmas, que no est activada ni seleccionada de manera
predeterminada, aplica la excepcin a todas las firmas.
Para hacer otras ediciones, realice una de las acciones siguientes:

Para...
Ver los detalles de una regla o editar una regla
Haga doble clic en una regla, o seleccione una regla y

haga clic en Propiedades. El cuadro de dilogo Regla
de excepcin aparece para mostrar la informacin
que puede editarse de la regla.
Hacer regla activa/inactiva
Seleccione o cancele la seleccin de la casilla de

verificacin La regla de excepcin est activa en el
cuadro de dilogo Regla de excepcin. Tambin
puede seleccionar o quitar la marca de seleccin de la
casilla de verificacin junto a un icono de regla en la
lista.
Eliminar una regla
Seleccione una regla y haga clic en Eliminar.
Aplicar cambios inmediatamente
Haga clic en Aplicar. Si no hace clic en este botn

despus de hacer cambios, aparecer un cuadro de
dilogo que le pedir que guarde los cambios.
Acerca de la ficha Directiva de firewall

Use la ficha Directiva de firewall para configurar la funcin Firewall, que permite o bloquea las
comunicaciones de red segn reglas definidas por el usuario. En esta ficha podr activar o
desactivar la funcionalidad y configurar las reglas de cliente del firewall. Para obtener ms
informacin acerca de las directivas de firewall, consulte Configuracin de directivas de firewall.
La lista de reglas de firewall muestra reglas y grupos de reglas relacionados con el cliente y
muestra un resumen e informacin detallada de cada regla. Las reglas que se muestran en
cursiva no pueden editarse.
Tabla 16: Ficha Directiva de firewall
Elemento
Descripcin
Casilla de verificacin
Indica si la regla est activa (marcada) o no (sin marca).

En las reglas que se muestran en cursiva, puede activar
o desactivar la regla con la casilla de verificacin.
Grupo del firewall
Grupo sincronizado
Grupo con reconocimiento de ubicacin
Regla de firewall
Muestra la lista de reglas que incluye. Haga clic en la casilla

ms para mostrar las reglas y haga clic en la casilla menos
para ocultarlas.
Indica si el grupo es un grupo sincronizado.
Indica si el grupo es un grupo con reconocimiento de
ubicacin.
Muestra las propiedades bsicas de la regla. Haga clic en
la casilla ms para mostrar las propiedades y haga clic en
la casilla menos para ocultarlas.
Accin de la regla
Indica si la regla permite el trfico
o si lo bloquea
.
Direccin de la regla
Indica si la regla se aplica al trfico de
trfico de
salida, o a ambos
entrada, al
99

Personalizacin de las opciones de la Directiva de firewall

Las opciones de la parte superior de la ficha controlan la configuracin realizada desde las
directivas de firewall del servidor despus de que se haya desbloqueado la interfaz de cliente.
Tarea
1
En la consola del cliente de IPS en host, haga clic en la ficha Directiva de firewall.

Para...
Seleccione...
Activar la proteccin de la directiva de firewall
Activar firewall
Activar el modo de aprendizaje para el trfico entrante Modo de aprendizaje para trfico entrante
Activar el modo de aprendizaje para el trfico saliente Modo de aprendizaje para trfico saliente
Modo de adaptacin
Ver redes de confianza
Redes de confianza
Creacin y edicin de reglas de Firewall

Ver, crear y editar reglas de firewall en la ficha Directiva de firewall del cliente.
Tarea
1
En la ficha Directiva del firewall, haga clic en Agregar para agregar una regla.
NOTA: solo puede crear reglas, y no grupos, en la consola del cliente.
En la pgina General, escriba el nombre de la regla y seleccione la informacin de la accin

y direccin de la regla.
Haga clic en Siguiente para seguir hacia las otras pginas y cambiar la configuracin
predeterminada.
NOTA: cada pgina del creador de reglas se corresponde con una ficha del creador de
reglas de firewall en la directiva Reglas de firewall.
100
Para esta pgina...
Introduzca esta informacin...
General
El nombre, estado, accin y direccin de la regla.
Redes
La direccin IP, subred, dominio u otros identificadores especficos de esta

regla.
Transporte
El protocolo y las direcciones locales o remotas a las que se aplica esta regla.
Puede definir una direccin individual, una gama de direcciones, una lista
de direcciones especficas o especificar todas las direcciones.
Aplicaciones
Las aplicaciones a las que se aplica esta regla, incluido el nombre del archivo
ejecutable.
Planificacin
El programa, si existe, de la regla.
Haga clic en Finalizar para guardar la nueva regla.

Para...
Ver los detalles de una regla o Seleccione una regla y haga clic en Propiedades. El cuadro de dilogo del
editar una regla
creador de reglas de firewall aparece y muestra la informacin de la regla. Si
la regla no est en cursiva, podr editarla.
Hacer regla activa/inactiva
Seleccione o quite la marca de la casilla de verificacin junto a Activado en la

pgina General de la regla del firewall. Tambin puede seleccionar o quitar la
marca de seleccin de la casilla de verificacin junto a una regla en la lista.
Hacer una copia de una regla

existente
Seleccione la regla (normalmente una regla predeterminada que no se puede

editar) y haga clic en Duplicar.
Eliminar una regla
Seleccione una regla y haga clic en Eliminar.
Aplicar cambios
inmediatamente
Haga clic en Aplicar. Si no hace clic en este botn despus de hacer cambios,
aparecer un cuadro de dilogo que le pedir que guarde los cambios.
Acerca de la ficha Hosts bloqueados

Utilice la ficha Hosts bloqueados para controlar una lista de hosts bloqueados (direcciones IP)
que se crea automticamente cuando la proteccin IPS de red (NIPS) est activada. Si Crear
reglas de cliente est seleccionado en la directiva Opciones de IPS en la consola de ePolicy
Orchestrator, puede agregar hosts bloqueados o editarlos.
La lista de hosts bloqueados muestra todos los hosts bloqueados actualmente por Host Intrusion
Prevention. Cada lnea representa un solo host. Puede obtener ms informacin acerca de los
hosts leyendo la informacin de cada columna.
Tabla 17: Ficha Hosts bloqueados
Columna
Qu muestra
Origen
La direccin IP que Host Intrusion Prevention est

bloqueando.
Motivo del bloqueo
Una explicacin de por qu Host Intrusion Prevention est

bloqueando dicha direccin.
Si Host Intrusion Prevention agreg esta direccin a la
lista debido a un intento de ataque al sistema, esta
columna describe el tipo de ataque. Si Host Intrusion
Prevention agreg esta direccin porque una de sus
reglas de firewall utiliz la opcin Tratar coincidencia
de regla como intruso, esta columna muestra el
nombre de la regla de firewall correspondiente. Si agreg
esta direccin manualmente, esta columna muestra solo
la direccin IP que bloque.
Hora
La fecha y hora a las que se agreg esta direccin a la

lista de direcciones bloqueadas.
Tiempo restante
Durante cunto tiempo Host Intrusion Prevention contina

bloqueando esta direccin.
Si especific una hora de caducidad cuando bloque la
direccin, esta columna mostrar el nmero de minutos
que quedan para que Host Intrusion Prevention elimine
la direccin de la lista. Si especific que deseaba que la
direccin estuviera bloqueada hasta que se quitara
manualmente de la lista, esta columna mostrar Hasta
su eliminacin.
101

Edicin de la lista de hosts bloqueados

Edite la lista de direcciones bloqueadas para agregar, quitar, cambiar o ver hosts bloqueados.
Tarea
1
Haga clic en Agregar para agregar un host.
En el cuadro de dilogo Host bloqueado, indique la direccin IP que desee bloquear. Para
buscar una direccin IPS por su nombre de dominio, haga clic en Bsqueda de DNS. Si
encuentra ah el nombre del host, haga clic en Usar.
Escriba el nmero de minutos, hasta 60, que se bloquear la direccin IP.

NOTA: despus de que haya creado una direccin bloqueada, Host Intrusion Prevention
agrega una nueva entrada a la lista en la ficha Proteccin de aplicaciones. Bloquear
cualquier intento de comunicacin desde esa direccin IP hasta que la elimine de la lista
de direcciones bloqueadas o hasta que pase el tiempo establecido.

Para...
Ver o editar los detalles de un host bloqueado
Haga doble clic en una entrada de host, o seleccione

un host y haga clic en Propiedades. El cuadro de
dilogo Host bloqueado mostrar la informacin que
se puede editar.
Borrar un host bloqueado
Seleccione un host y haga clic en Eliminar.
Haga clic en Aplicar. Si no hace clic en este botn

despus de hacer cambios, aparecer un cuadro de
dilogo que le pedir que guarde los cambios.
Acerca de la ficha Lista de proteccin de aplicaciones

La ficha Lista de proteccin de aplicaciones muestra una lista de aplicaciones protegidas en el
cliente. Esta es una lista de solo lectura llena de directivas administrativas y una aplicacin
especfica de cliente creada heursticamente.
La lista muestra todos los procesos supervisados por el cliente.
Tabla 18: Ficha Proteccin de aplicaciones
Columna
Qu muestra
Proceso
El proceso de la aplicacin.
PID
La ID del proceso, que es la clave para la bsqueda en

cach de un proceso.
Ruta completa de aplicacin
La ruta completa del ejecutable de la aplicacin.
Acerca de la Ficha Registro de actividad

Use la ficha Registro de actividad para configurar la funcin de creacin de registro y realizar
un seguimiento de las acciones de Host Intrusion Prevention.
El Registro de actividad contiene un registro continuo de las actividades. Las actividades ms
recientes aparecen en la parte inferior de la lista.
102

Columna
Qu muestra
Hora
La fecha y la hora de la accin Host Intrusion Prevention.
Evento
La funcin que realiz la accin.
Trfico indica una accin del firewall.
Aplicacin indica una accin de un bloqueo de aplicacin.
Intruso indica una accin de IPS.
Sistema indica un evento relacionado con los componentes internos

del software.
Servicio indica un evento relacionado con el servicio o los controladores

del software.
Usuario/Direccin IP
La direccin remota a la que esta comunicacin se envi o desde la que se

envi.
Datos de intruso
Un icono que indica que Host Intrusion Prevention guard el paquete de

datos asociado con este ataque (solo aparece para las entradas de registro
de IPS). Puede exportar los datos de paquete asociados con esta entrada
del registro. Haga clic con el botn derecho en la entrada del registro para
guardar los datos en un archivo de rastreador.
NOTA: esta columna aparecer solo si selecciona Crear captura de
rastreador... en el cuadro de dilogo Opciones de McAfee Host
Intrusion Prevention.
Aplicacin
El programa que caus la accin.
Mensaje
Descripcin de la accin, tan detallada como sea posible.
Regla coincidente
El nombre de la regla coincidente.

NOTA: esta columna se encuentra en el extremo derecho de la pantalla, as
que debe desplazarse o cambiar el tamao de la columna para ver la columna
y su contenido.
Personalizacin de las opciones de Registro de actividad

Las opciones de la parte superior de la ficha controlan la configuracin de registro realizada
desde las directivas IU de cliente del servidor despus de que se haya desbloqueado la interfaz
de cliente.
Tarea
1
En la consola del cliente de IPS en host, haga clic en la ficha Registro de actividad.

Seleccione...
Para hacer esto...
Registro del trfico: registrar todos los bloqueados
Registrar todo el trfico bloqueado por el firewall.
Registro del trfico: registrar todos los permitidos
Registrar todo el trfico permitido por el firewall.
Opciones de Filtro: trfico
Filtrar los datos para mostrar el trfico bloqueado y

permitido por el firewall.
Opciones de Filtro: intrusos
Filtrar los datos para mostrar los intrusos.
NOTA: puede activar y desactivar la creacin de registros para el trfico del firewall, pero
no para la funcin IPS. Sin embargo, puede elegir ocultar estos eventos en el registro
mediante filtrado.
103

Haga lo siguiente para cambiar lo que se muestra:

Para...
Actualizar la pantalla
Haga clic en Actualizar.
Borrar permanentemente el contenido del registro Haga clic en Borrar.

Guardar los contenidos del registro y borrar la lista Haga clic en Exportar. En el cuadro de dilogo que aparece,
de la ficha
elija un nombre y guarde el archivo .txt.
Haga clic en Aplicar. Si no hace clic en este botn despus

de hacer cambios, aparecer un cuadro de dilogo que le
pedir que guarde los cambios.

El cliente Solaris de Host Intrusion Prevention identifica y evita intentos potencialmente
perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Solaris. Protege
el sistema operativo del servidor, junto con los servidores Web Apache y Sun, y previene
especialmente ataques de desbordamiento del bfer.
Aplicacin de directivas con el cliente Solaris

No todas las directivas que protegen un cliente Windows estn disponibles para el cliente Solaris.
En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales, pero
no ofrece proteccin del firewall. A continuacin se enumeran las directivas vlidas.
Tabla 19: Directivas del cliente Solaris
Directiva
Opciones disponibles
IPS de Host Intrusion Prevention 8.0

Opciones IPS
Activar HIPS
Conservar reglas de cliente existentes
Proteccin de IPS
Todos
Reglas IPS
Reglas de excepcin
Firmas (solo reglas de HIPS predeterminadas y

personalizadas)
NOTA: las firmas NIPS y Reglas de proteccin de

aplicaciones no estn disponibles.
General de Host Intrusion Prevention 8.0
104
IU de cliente
Ninguna excepto de administracin o contrasea basada

en tiempos para permitir el uso de la herramienta de
solucin de problemas.
Redes de confianza
Ninguna
Aplicaciones de confianza
Solo Marcar como de confianza para IPS y Nombre de

nuevo proceso para agregar aplicaciones de confianza.
Firewall de Host Intrusion Prevention 8.0
Ninguna

Solucin de problemas del cliente Solaris

Si ha surgido algn problema al instalar o desinstalar el cliente, hay varias cosas que investigar.
Entre ellas, asegrese de que todos los archivos se han instalado en el directorio correcto,
mediante la desinstalacin y reinstalacin del cliente y la comprobacin de los registros del
proceso. Adems, puede encontrar problemas en el funcionamiento del cliente. Puede comprobar
si el cliente se est ejecutando y detener y reiniciar el cliente.
El cliente Solaris no tiene interfaz de usuario para la solucin de problemas de funcionamiento.
Ofrece una herramienta de solucin de problemas de lnea de comandos, hipts, situada en el
directorio opt/McAfee/hip. Para usar esta herramienta, debe suministrar una contrasea de cliente
de Host Intrusion Prevention. Utilice la contrasea predeterminada que se incluye con el cliente
(abcde12345) o enve una directiva de IU de cliente al cliente con una contrasea de
administrador o una contrasea basada en tiempos ajustada con la directiva y utilcela.
Use la herramienta de solucin de problemas para:
Indicar la configuracin de registro y el estado del motor del cliente.
Activar y desactivar la generacin de registros de mensajes.
Activar y desactivar los motores.
Inicie sesin como root y ejecute los siguientes comandos para ayudar en la solucin de
problemas:
Para...
Ejecutar...
Obtener el estado actual del cliente que indica qu tipo

hipts status
de registro est activado y qu motores estn funcionando.
Activar el registro de tipos de mensajes especficos.
hipts logging on
Desactivar el registro de todos los tipos de mensajes. El

registro est desactivado de forma predeterminada.
hipts logging off
Mostrar el tipo de mensaje indicado cuando el registro

est establecido en activado. Los mensajes incluyen:
hipts message <message name>:on
error
advertencia
depuracin
informacin
infracciones
Ocultar el tipo de mensaje indicado cuando el registro est hipts message <message name>:off
establecido en activado. De manera predeterminada, el
mensaje de error est desactivado.
Mostrar todos los tipos de mensajes cuando el registro
est establecido en activado.
hipts message all:on
Ocultar todos los tipos de mensajes cuando el registro

hipts message all:off
Activar el motor indicado. El motor est activo de forma

predeterminada. Los motores incluyen:
hipts engines <engine name>:on
MISC
FILES
GUID
MMAP
BO
HTTP
105

Para...
Ejecutar...
Desactivar el motor indicado.
hipts engines <engine name>:off
Activar todos los motores.
hipts engines all:on
Desactivar todos los motores.
hipts engines all:off
SUGERENCIA: adems de usar la herramienta de solucin de problemas, consulte los archivos

HIPShield.log y HIPClient.log en el directorio /opt/McAfee/hip/log para comprobar las operaciones
o realizar el seguimiento de problemas.
Comprobacin de los archivos de instalacin de Solaris

Despus de una instalacin, compruebe que todos los archivos se instalaron en el directorio
adecuado del cliente. El directorio /opt/McAfee/hip deber incluir estos archivos y directorios
esenciales:
Archivo/nombre de directorio
Descripcin
HipClient; HipClient-bin
Cliente Solaris
HipClientPolicy.xml
Reglas de directiva
hipts; hipts-bin
Herramienta de solucin de problemas
*.so
Mdulos de objetos compartidos de Host Intrusion Prevention y McAfee

Agent
Directorio de registro
Contiene archivos de registro de depuracin y error
El historial de instalacin se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo para

cualquier duda acerca del proceso de instalacin o eliminacin del cliente de Host Intrusion
Prevention.
Comprobacin de que el cliente Solaris se ejecuta

Aunque el cliente est instalado correctamente, puede encontrarse con problemas de
funcionamiento. Si el cliente no aparece en la consola de ePO, por ejemplo, compruebe que se
est ejecutando mediante alguno de estos comandos:
/etc/rc2.d/S99hip status
ps ef | grep Hip
Detencin del cliente Solaris

Podra ser necesario detener un cliente en ejecucin y reiniciarlo como parte de la solucin de
un problema.
Tarea
1
Para detener un cliente en ejecucin, desactive primero la proteccin IPS. Utilice uno de
estos procedimientos:
Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.
106
Tras haber iniciado sesin en raz, ejecute el siguiente comando: hipts engines MISC:off
Ejecute el comando: /sbin/rc2.d/S99hip stop

Reinicio del cliente Solaris

un problema.
Tarea
1
Ejecute el comando: /sbin/rc2.d/S99hip restart.
Active la proteccin IPS. Siga uno de estos procedimientos, segn cul haya utilizado para
detener el cliente:
Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
Tras haber iniciado sesin en raz, ejecute el siguiente comando: hipts engines MISC:on

El cliente Linux de Host Intrusion Prevention identifica y evita intentos potencialmente
perjudiciales que puedan poner en peligro archivos y aplicaciones del servidor Linux. Protege
el sistema operativo del servidor, junto con los servidores Web Apache, y previene especialmente
ataques de desbordamiento del bfer.
Aplicacin de directivas con el cliente Linux

No todas las directivas que protegen a un cliente Windows estn disponibles para el cliente
Linux. En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales
pero no ofrece proteccin contra las intrusiones de red, incluido el desbordamiento del bfer.
Las directivas vlidas se enumeran a continuacin.
Tabla 20: Directivas del cliente Linux
Directiva
IPS de Host Intrusion Prevention 8.0

Opciones IPS
Activar HIPS
Conservar reglas de cliente existentes
Proteccin de IPS
Todas
Reglas IPS
Reglas de excepcin
Firmas (solo reglas de HIPS predeterminadas y

personalizadas)
NOTA: las firmas NIPS y Reglas de proteccin de

aplicaciones no estn disponibles.
General de Host Intrusion Prevention 8.0
IU de cliente
Ninguna excepto de administracin o contrasea basada

en tiempos para permitir el uso de la herramienta de
solucin de problemas.
Redes de confianza
Ninguna
Aplicaciones de confianza
Solo Marcar como de confianza para IPS y Nombre de

nuevo proceso para agregar aplicaciones de confianza.
107

Directiva
Firewall de Host Intrusion Prevention 8.0
Ninguna
Notas acerca del cliente Linux

El cliente Linux de Host IPS 8.0 no es compatible con SELinux en el modo Implementar.
Para desactivar el modo Implementar, ejecute el comando: system-config-securitylevel, cambie
el ajuste a desactivado y reinicie el sistema cliente.
Cuando se cargan los mdulos de ncleo de Host IPS 8.0 de Linux, se informa de que el
ncleo de SUSE ha sido modificado. El registro del ncleo indica lo siguiente: schook: module
not supported by Novell, setting U taint flag; hipsec: module not supported by Novell, setting
U taint flag. Los requisitos de Novell para mdulos de terceras partes causan que el ncleo
IPS en host se marque como modificado. Debido a que los mdulos de ncleo de Linux de
Host IPS 8.0 tienen licencia de GPL, es necesario ignorar este mensaje. McAfee est
trabajando con Novell para solucionar este problema.
Solucin de problemas del cliente Linux

Si ha surgido algn problema al instalar o desinstalar el cliente, hay varias cosas que investigar.
Entre ellas, asegrese de que todos los archivos se han instalado en el directorio correcto,
mediante la desinstalacin y reinstalacin del cliente y la comprobacin de los registros del
proceso. Adems, puede encontrar problemas en el funcionamiento del cliente. Puede comprobar
si el cliente se est ejecutando y detener y reiniciar el cliente.
El cliente Linux no tiene interfaz de usuario para la solucin de problemas de funcionamiento.
Ofrece una herramienta de solucin de problemas de lnea de comandos, hipts, situada en el
directorio opt/McAfee/hip. Para usar esta herramienta, debe suministrar una contrasea de cliente
de Host Intrusion Prevention. Utilice la contrasea predeterminada que se incluye con el cliente
(abcde12345) o enve una directiva de IU de cliente al cliente con una contrasea de
administrador o una contrasea basada en tiempos ajustada con la directiva y utilcela.
Use la herramienta de solucin de problemas para:
Indicar la configuracin de registro y el estado del motor del cliente.
Activar y desactivar la generacin de registros de mensajes.
Activar y desactivar los motores.
Inicie sesin como root y ejecute los siguientes comandos para ayudar en la solucin de
problemas:
Para...
Ejecutar...
Obtener el estado actual del cliente que indica qu tipo

hipts status
de registro est activado y qu motores estn funcionando.
108
Activar el registro de tipos de mensajes especficos.
hipts logging on
Desactivar el registro de todos los tipos de mensajes. El

registro est desactivado de forma predeterminada.
hipts logging off
Mostrar el tipo de mensaje indicado cuando el registro

est establecido en activado. Los mensajes incluyen:
hipts message <message name>:on
error
advertencia
depuracin

Para...
informacin
infracciones
Ejecutar...
Ocultar el tipo de mensaje indicado cuando el registro est hipts message <message name>:off
establecido en activado. De manera predeterminada, el
mensaje de error est desactivado.
Mostrar todos los tipos de mensajes cuando el registro
hipts message all:on
Ocultar todos los tipos de mensajes cuando el registro

hipts message all:off
Activar el motor indicado. El motor est activo de forma

predeterminada. Los motores incluyen:
hipts engines <engine name>:on
MISC
FILES
HTTP
Desactivar el motor indicado.
hipts engines <engine name>:off
Activar todos los motores.
hipts engines all:on
Desactivar todos los motores.
hipts engines all:off
SUGERENCIA: adems de usar la herramienta de solucin de problemas, consulte los archivos

HIPShield.log y HIPClient.log en el directorio McAfee/hip/log para comprobar las operaciones
o realizar el seguimiento de problemas.
Comprobacin de los archivos de instalacin de Linux

Despus de una instalacin, compruebe que todos los archivos se instalaron en el directorio
adecuado del cliente. El directorio opt/McAfee/hip deber incluir estos archivos y directorios
esenciales:
Nombre del archivo
Descripcin
HipClient; HipClient-bin
Cliente Linux
HipClientPolicy.xml
Reglas de directiva
hipts; hipts-bin
Herramienta de solucin de problemas
*.so
Mdulos de objetos compartidos de Host Intrusion Prevention y McAfee

Agent
Directorio de registro
Contiene archivos de registro de depuracin y error
El historial de instalacin se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo para

cualquier duda acerca del proceso de instalacin o eliminacin del cliente de Host Intrusion
Prevention.
Comprobacin de que el cliente Linux se ejecuta

Si el cliente no aparece en la consola ePO, por ejemplo, compruebe que el cliente se est
ejecutando. Para ello, ejecute el siguiente comando:
ps ef | grep Hip
109

Detencin del cliente Linux

un problema.
Tarea
1
Para detener un cliente, desactive la proteccin IPS. Utilice uno de estos procedimientos:
Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.
Ejecute el comando: hipts engines MISC:off

Ejecute el comando: hipts agent off
Reinicio del cliente Linux

un problema.
Tarea
1
Ejecute el comando: hipts agent on.
Active la proteccin IPS. Siga uno de estos procedimientos, segn cul haya utilizado para
detener el cliente:
Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
Ejecute el comando: hipts engines MISC:on
110
Apndice A -- Escritura de firmas

personalizadas y excepciones
Esta seccin describe la estructura de las firmas IPS, incluida una lista de clases, parmetros
y directivas; adems, proporciona informacin acerca de cmo crear firmas personalizadas para
las distintas plataformas del cliente. Esta informacin tambin puede usarse al trabajar con la
pgina de detalles avanzados para las excepciones.
Contenido
Estructura de regla
Firmas personalizadas de Windows
Firmas personalizadas no Windows
Estructura de regla
Cada firma contiene una o varias reglas escritas en la sintaxis de ANSI Tool Command Language
(TCL). Cada regla contiene secciones obligatorias y opcionales, con una seccin por lnea. Las
secciones opcionales cambian segn el sistema operativo y la clase de regla. Cada seccin
define una categora de regla y su valor. Una seccin siempre identifica la clase de la regla, que
define el comportamiento global de la misma.
La estructura bsica de una regla es la siguiente:
Rule {
Valor SeccinA
Valor SeccinB
Valor SeccinC
...
}
NOTA: antes de que intente escribir reglas personalizadas, debe revisar la sintaxis para escribir
cadenas y secuencias de escape en TCL. Una revisin rpida de las referencias estndar de TCL
le garantizar que introduce los valores apropiados correctamente.
Una regla para evitar una solicitud al servidor web que tiene una parte subject en la consulta
de solicitud http tiene el siguiente formato:
Rule {
Class Isapi
Id 4001
level 4
query { Include *subject* }
111
Apndice A -- Escritura de firmas personalizadas y excepciones

Estructura de regla
method { Include GET }

time { Include * }
Executable { Include * }
user_name { Include * }
directives isapi:request
}
Consulte Firmas personalizadas de Windows y Firmas personalizadas no Windows para obtener

una explicacin de las distintas secciones y sus valores.
Secciones comunes
Las secciones ms comunes de una regla y sus valores incluyen los elementos siguientes. Para
las secciones relacionadas con la seccin de clase seleccionada, consulte la seccin de clase en
firmas personalizadas de Windows o no Windows. Las palabras clave Incluir y Excluir se usan
para todas las secciones excepto etiqueta, ID, nivel y directivas. Incluir significa que la seccin
funciona en el valor indicado, y Excluir significa que la seccin funciona en todos los valores
excepto el indicado.
NOTA: todos los nombres de seccin de todas las plataformas diferencian entre maysculas y
minsculas. Los valores de las secciones diferencian entre maysculas y minsculas solo en las
plataformas no Windows.
Seccin
Valor
Clase
Depende del sistema operativo. Consulte Firmas personalizadas de Windows o

Indica la clase a la que se aplica Firmas personalizadas no Windows.
la regla.
etiqueta
Nombre de la regla entre

comillas "..."
Nombre de la subregla.
ID
4000 - 5999
El nmero de ID nico de la firma. Los nmeros

son los disponibles para las reglas personalizadas.
nivel
Descripcin
Nivel de gravedad de la firma:
0=Desactivado
1=Registro
2=Bajo
3= Medio
4= Alto
user_name
{Incluir/Excluir nombre de
usuario o cuenta de sistema}
Los usuarios a los que se aplica la regla.

Especifique usuarios concretos o todos los
usuarios.
Observaciones para Windows:
112
Para usuario local: usar <nombre

equipo>/<nombre usuario local>.
Para usuario de dominio: usar <nombre

dominio>/<nombre usuario dominio>.
Para sistema local: usar Local/Sistema.
Algunas acciones iniciadas desde remoto no

llevan la ID del usuario remoto, pero puede
usar en su lugar el servicio local y su
contexto de usuario. Necesitar planear de
manera acorde cuando desarrolle reglas.

Estructura de regla
Seccin
Valor
Descripcin
Cuando se produce un proceso en el
contexto de una sesin nula, el usuario y el
dominio son "Annimos". Si una regla se
aplica a todos los usuarios, use *. En UNIX,
esta seccin distingue entre maysculas y
minsculas.
Ejecutable
{Incluir/Excluir ruta de archivo,

huella digital, firmante o
descripcin}
Cada ejecutable se especifica dentro de los

parntesis con -path, -hash, -sdn, -desc. Puede
haber mltiples parntesis para cada seccin, y
dentro de los parntesis puede tener una o
varias opciones. Los valores -path (nombre de
la ruta del archivo), -sdn (firmante del archivo)
y -desc (descripcin del archivo) son cadenas y
necesitan escapar mediante TCL si contienen
espacios y otros caracteres reservados para TCL.
El valor -hash (hash MD5) es una cadena hexbin
de 32 caracteres.
Ejemplo: Ejecutable {Include -path "C:\\Program
Files\\McAfee\\VirusScan
Enterprise\\Mcshield.exe" -sdn
"CN=\"mcafee,inc.\", OU=iss, OU=digital id class
3 - microsoft software validation v2,
O=\"mcafee, inc.\", L=santa clara,
ST=california, C=us" -desc "On-Access Scanner
service"}
Si una regla se aplica a todos los ejecutables,
use *. En UNIX, esta seccin distingue entre
maysculas y minsculas.
directivas
tipo de operacin
Los tipos de operacin dependen de cada clase,

y se enumeran para cada clase en las ltimas
secciones.
NOTA: puede crear una firma con mltiples reglas simplemente agregando las reglas una tras
otra. Tenga en cuenta que cada regla de la misma firma debe tener el mismo valor para ID y
secciones de nivel.
Uso de Incluir y Excluir
Cuando marca el valor de una seccin con Incluir, la seccin funciona en el valor indicado.
Cuando marca el valor de una seccin con Excluir, la seccin funciona en todos los valores
excepto el valor indicado Cuando usa estas palabras clave, se encierra en llaves { ... }.
NOTA: con la subregla estndar, use una sola barra invertida en las rutas de los archivos. Con
la subregla de exportacin, use dos barras invertidas en las rutas de los archivos. La subregla
estndar traduce las barras nicas en las barras dobles necesarias, mientras que la subregla
de exportacin no realiza ninguna traduccin.
Por ejemplo, para supervisar todos los archivos de texto en C:\test\:
files { Include C:\\test\\*.txt }
y para supervisar todos los archivos, excepto los archivos de texto, en C:\test\:
files { Exclude C:\\test\\*.txt }
Combine las palabras clave para excluir valores de un conjunto de valores incluidos. Para
supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo abc.txt:,
113

Estructura de regla
files { Exclude C:\\test\\abc.txt }
Cada vez que agrega la misma seccin con la misma palabra clave, agrega una operacin. Para
supervisar cualquier archivo de texto en la carpeta C:\test\ cuyo nombre comience con la cadena
abc:
files { Include C:\\test\\abc* }
NOTA: en orden de precedencia, excluir gana a incluir. A continuacin, algunos ejemplos:

Si una subregla incluye al usuario marketing\jjohns y excluye al mismo usuario,
marketing\jjohns, la firma no se iniciar incluso si el usuario marketing\jjohns realiza una
accin que inicie la firma.
Si una subregla incluye all (todos los usuarios), pero excluye al usuario marketing\jjohns,
la firma se inicia si el usuario NO es marketing\jjohns.
Si una subregla incluye al usuario marketing\* pero excluye a marketing\jjohns, la firma se
inicia solo si el usuario es marketing\anyone, a no ser que el usuario sea marketing\jjohns.
En este caso, no se inicia.
Secciones comunes opcionales

Las secciones opcionales de una regla y sus valores incluyen el elemento siguiente. Para las
secciones opcionales relacionadas con la seccin de clase seleccionada, consulte la seccin de
clase en firmas personalizadas de Windows y no Windows. Las palabras clave Incluir y Excluir
se usan tanto para las dependencias como para los atributos. Incluir significa que la seccin
funciona en el valor indicado, y Excluir significa que la seccin funciona en todos los valores
excepto el indicado.
Seccin
Valor
Descripcin
dependencias
{Include/Exclude id de una
regla}
Define las dependencias entre reglas y previene

que se inicien reglas dependientes.
atributos
no_log
Los eventos de la firma no se envan al servidor

ePO.
not_auditable
No se generan excepciones para la firma cuando

el modo de adaptacin se aplica.
no_trusted_apps
La lista de aplicaciones de confianza no se aplica

a esta firma.
inactive
La firma se encuentra desactivada.
Uso de la seccin de dependencias

Agregue las dependencias de seccin opcionales para prevenir que una regla ms general se
inicie junto a una regla ms especfica. Por ejemplo, si hay una regla que supervise un solo
archivo de texto en C:\test\
files { Include C:\\test\\abc.txt }
as como una regla para supervisar todos los archivos de texto de C:\test\
Agregue las dependencias de seccin a la regla ms especfica, lo que explica al sistema que
no debe iniciar la regla ms general si se inicia la ms especfica.
114

Estructura de regla
dependencies the general rule
Caracteres comodn y variables

Los caracteres comodn, los metasmbolos y las variables predefinidas pueden usarse como
valor en las secciones disponibles.
Caracteres comodn
Puede usar caracteres comodn para los valores de las secciones. Tenga en cuenta el uso
levemente diferente de los asteriscos con rutas y direcciones que normalmente contienen barras
o barras invertidas. Para las firmas y subreglas expertas, se usa el plan de caracteres comodn
TCL.
Tabla 21: Caracteres comodn
Carcter
Qu representa
Un solo carcter.
* (un asterisco)

NOTA: para las rutas y las direcciones, use ** (dos
asteriscos) para incluir / y \; use * (un asterisco) para
excluir / y \.
| (canalizacin)
Tabla 22: Caracteres comodn TCL

Carcter
Qu representa
Un solo carcter.
* (un asterisco)
Varios caracteres incluidos / y \. Ejemplo: files { Include
C:\*.txt }
& (y comercial)
Varios caracteres excepto / y \. selo para seleccionar los

contenidos del nivel raz de una carpeta sin seleccionar
las subcarpetas. Ejemplo: files { Include
C:\test\\&.txt }
! (signo de exclamacin)
Escape de caracteres comodn. Ejemplo: files { Include
C:\test\\yahoo!.txt }
Uso de variables de entorno

Use las variables de entorno y el comando iEnv con un parmetro (el nombre de la variable)
entre corchetes [ ... ] como atajo para especificar el archivo de Windows y los nombres de ruta
del directorio.
Variable de entorno
Qu representa
iEnv SystemRoot
C:\winnt\, donde C es la unidad que contiene la carpeta

Windows System. Ejemplo: files {Include [iEnv
SystemRoot]\\system32\\abc.txt }
iEnv SystemDrive
C:\ donde C es la unidad que contiene la carpeta Windows

System. Ejemplo: files {Include [iEnv
SystemDrive]\\system32\\abc.txt}
115

Estructura de regla
Uso de variables predefinidas

Host Intrusion Prevention proporciona variables predefinidas para la escritura de reglas. Estas
variables estn precedidas por $, y se enumeran a continuacin.
Tabla 23: Windows IIS Web Server
Variable
Descripcin
IIS_BinDir
Directorio donde se encuentra inetinfo.exe
IIS_Computer
Nombre del equipo donde se ejecuta IIS
IIS_Envelope
Incluye todos los archivos a los que IIS tiene acceso
IIS_Exe_Dirs
Directorios virtuales que permiten la ejecucin de archivos,

incluida la raz del sistema y la raz de IIS
IIS_Ftp_Dir
Directorios raz del sitio FTP
IIS_FTP_USR
Nombre de cuenta de usuario annimo de FTP local
IIS_FtpLogDir
Directorio de archivos de registro de FTP
IIS_IUSR
Nombre de cuenta de usuario annimo de web local
IIS_IUSRD
Nombre de cuenta de usuario annimo de web de dominio
IIS_IWAM
Nombre de cuenta de usuario de IIS Web Application

Manager
IIS_LogFileDir
Directorio de archivos de registro Web
IIS_LVirt_Root
Todos los directorios virtuales de IIS
IIS_Processes
Procesos con derechos de acceso a recursos de IIS
IIS_Services
Todos los servicios necesarios para que IIS funcione

correctamente
Tabla 24: MS SQL Database Server
116
Variable
Descripcin
MSSQL_Allowed_Access_Paths
Directorios como \WINNT y \WINNT\System32 que sean

accesibles
MSSQL_Allowed_Execution_Paths
Directorios como \WINNT y \WINNT\System32 que sean

ejecutables
MSSQL_Allowed_Modification_Paths
Directorios como \WINNT\Temp que sean modificables
MSSQL_Auxiliary_Services
Los servicios auxiliares de MS SQL que se encuentren en

el sistema
MSSQL_Core_Services
Los servicios principales de MS SQL que se encuentren en

el sistema
MSSQL_Data_Paths
El resto de archivos de datos asociados a MS SQL que

pueden encontrarse fuera del directorio
MSSQL_DataRoot_Path
MSSQL_DataRoot_Paths
La ruta a los archivos de datos de MS SQL para cada

instancia
MSSQL_Instances
El nombre de cada instancia de MS SQL instalada

Variable
Descripcin
MSSQL_Registry_Paths
Todas las ubicaciones de registro asociadas con MS SQL
Tabla 25: Unix Apache e iPlanet

Variable
Descripcin
UAPACHE_Bins
Ruta a archivos binarios de Apache
UAPACHE_CgiRoots
Ruta a archivos raz de CGI
UAPACHE_ConfDirs
Directorios que contienen archivos de configuracin de

Apache
UAPACHE_DocRoots
Ruta a archivos raz de documentos
UAPACHE_Logs
Archivos de registro de Apache
UAPACHE_Logs_dir
Directorio de archivos de registro
UAPACHE_Roots
Archivos raz de servidores Web Apache
UAPACHE_Users
Usuarios que Apache ejecuta como
UAPACHE_VcgiRoots
Ruta a archivos raz de servidores virtuales de CGI
UAPACHE_VdocRoots
Archivos raz de documentos virtuales
UAPACHE_Vlogs
Archivos de registro de servidores virtuales
UAPACHE_Vlogs_dir
Directorios para los archivos de registro de servidores

virtuales
UIPLANET_BinDirs
Ruta a archivos binarios de iPlanet
UIPLANET_CgiDirs
Ruta a directorios de CGI
UIPLANET_DocDirs
Rutas a directorios de documentos
UIPLANET_Process
Ruta a archivos binarios ns-httpd de iPlanet
UIPLANET_Roots
Ruta a archivos raz de iPlanet

Esta seccin describe cmo escribir firmas personalizadas en la plataforma Windows.
NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles en las
rutas y las reglas en la clase UNIX_file no Windows utilizan una sola barra.
La clase usada por una firma depende de la naturaleza de la seguridad y de la proteccin que
puede ofrecer la firma. Algunas clases y parmetros aparecen en la interfez de usuario de firma
personalizada, mientras que otras no. Para estas clases y parmetros sin interfaz de usuario,
la nica forma de acceder a ellos es el mtodo experto de creacin de reglas. Para Windows
estn disponibles las siguientes clases:
Clase
Cundo usarla
Desbordamiento del bfer
Para la proteccin contra el desbordamiento del bfer
Archivos
Para la proteccin de operaciones de archivos y directorios
Enlazar
Para la proteccin del enlace de proceso de API
117

Clase
Cundo usarla
Uso ilegal de API
Para la proteccin contra el uso ilegal de API de IPS en

host
Uso ilegal
Para la proteccin contra el uso ilegal de API
Isapi
Para supervisar las solicitudes de http a IIS
Programa
Para la proteccin contra las operaciones de programa
Registro
Para la proteccin de las operaciones de valor de registro

y clave de registro
Servicios
Para la proteccin contra las operaciones de servicios
SQL
Para la proteccin contra las operaciones de SQL
Desbordamiento de bfer de clase Windows

La siguiente tabla enumera las secciones y valores posibles para el desbordamiento del bfer
de la clase Windows:
Seccin
Valores
Clase
Buffer_Overflow
ID
Consulte Secciones comunes.
Notas
nivel
hora
user_name
Ejecutable
118
dependencias
428
Opcional. Consulte la nota 1.
mdulo de llamada
Ruta a un mdulo (por ejemplo,

un DLL) cargado por un
ejecutable que hace una llamada
que crea un desbordamiento del
bfer
directivas
bo:stack
Examina la ubicacin de la memoria que se est

ejecutando y detecta si la ubicacin de la memoria
se est ejecutando desde una memoria de
escritura que forma parte de la pila del subproceso
actual.
bo:heap

escritura que forma parte de una pila.
bo:writeable_memory

escritura que no forma parte de una pila ni de un
montn del subproceso actual.
bo:invalid_call
Comprueba que el API se llama desde una

instruccin de llamada adecuada.
bo:target_bytes
Una cadena hexadecimal que representa 32 bytes

de instrucciones que pueden usarse para crear

Seccin
Valores
Notas
una excepcin dirigida para un falso positivo sin
desactivar el desbordamiento del bfer durante
todo el proceso.
bo:call_not_found
Comprueba que la secuencia de cdigo previa a

la direccin de retorno no sea una llamada.
bo:call_return_unreadable
Comprueba que la direccin de retorno no sea

memoria de lectura.
bo:call_different_target_address Comprueba que el objetivo de la llamada no se

corresponda con el objetivo enlazado.
bo:call_return_to_api
Comprueba que la direccin de retorno sea un

punto de entrada de API.
Nota 1
La Firma 428, desbordamiento de bfer genrico, es una regla de desbordamiento de bfer
genrica. Para evitar que se inicie esta regla, incluya la seccin "dependencias 428" en la firma
personalizada.
Archivos de clase de Windows

La siguiente tabla enumera las secciones y los valores posibles para Archivos de clase Windows:
Seccin
Valores
Clase
Archivos
ID
Notas
nivel
hora
user_name
Ejecutable (use este parmetro
para distinguir entre acceso a los
archivos local y remoto. Consulte
la nota 3).
archivos
Archivo o carpeta implicado en

la operacin
Uno de los parmetros requeridos. Consulte las

notas 1 y 2.
dest_file
Archivos de destino si la
operacin implica archivos de
origen y de destino
Uno de los parmetros requeridos. Solo se usa

con files:rename y files:hardlink. Consulte las
notas 1 y 2.
drive_type
Network: acceso a archivos Permite la creacin de reglas de clase de archivo

de red
especficos de los tipos de unidad.
Floppy: acceso a unidad de

disco
CD: acceso a CD o DVD
OtherRemovable: USB u
otros accesos de unidad
extrable
OtherFixed: acceso al disco

duro local o a otros discos
duros fijos
119

Seccin
Valores
Notas
directivas
files:create
Crea un archivo en un directorio, o mueve el

archivo a otro directorio.
files:read
Abre el archivo con acceso de solo lectura.
files:write
Abre el archivo con acceso de lectura y escritura.
files:execute
Ejecuta el archivo (ejecutar un directorio significa

que este directorio se convertir en el directorio
actual).
files:delete
Borra el archivo de un directorio, o lo mueve a

otro directorio.
files:rename
Cambia el nombre de un archivo en el mismo

directorio. Consulte la nota 2.
files:attribute
Cambia los atributos del archivo. Los atributos

supervisados son:
files:hardlink
solo lectura
oculto
archivar
sistema
Crea un enlace no modificable.
Nota 1
Si se usa la seccin files, la ruta a una carpeta supervisada o archivo pueden ser tanto la ruta
completa como un comodn. Por ejemplo, las siguientes son representaciones de ruta vlidas:
files { Include *\\test\\abc.txt }
files { Include *\\abc.txt }
Si se usa la seccin dest_file la ruta absoluta no puede usarse, as que debe haber un comodn
presente en el inicio de la ruta para representar el disco duro. Por ejemplo, las siguientes son
representaciones de ruta vlidas:
dest_file { Include *\\test\\abc.txt }
dest_file { Include *\\abc.txt }
Nota 2
La directiva files:rename tiene un significado diferente cuando se combina con la seccin files
y la seccin dest_file.
Cuando se combina con la seccin files, significa que se supervisa el cambio de nombre del
archivo en la seccin files. Por ejemplo, la siguiente regla supervisa el cambio de nombre de
C:\test\abc.txt a cualquier otro nombre:
Rule {
tag "Sample1"
Class Files
Id 4001
level 4
120

Executable { Include *}
directives files:rename
}
Combinada con la seccin dest_file, significa que ningn archivo puede cambiar de nombre al
del archivo de la seccin dest_file. Por ejemplo, la siguiente regla supervisa el cambio de nombre
de cualquier archivo a C:\test\abc.txt:
Rule {
tag "Sample2"
Class Files
Id 4001
level 4
dest_file { Include *\\test\\abc.txt }
directives files:rename
}
La seccin files no es obligatoria si se usa la seccin dest_file. Si se usa la seccin files, las dos
secciones (files y dest_file) tienen que coincidir.
Nota 3
Para distinguir entre el acceso remoto al archivo y el acceso local al archivo para cualquier
directiva, cambie el nombre de ruta del ejecutable a "SystemRemoteClient": Executable { Include
-path SystemRemoteClient }
As se evitar que cualquier directiva se ejecute si el ejecutable no es local.

Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los parmetros siguientes de eventos
de seguridad para los Archivos de clase. Los valores de estos parmetros pueden ayudarle a
entender por qu se inicia una firma.
Nombre de GUI
Explicacin
archivos
Nombre del archivo al que se accedi.
dest_file
Solo se aplica al cambio de nombre de archivos. El nuevo

nombre que recibi el archivo.
La siguiente regla impedira a cualquier usuario y a cualquier proceso crear el archivo abc.txt
en la carpeta C:\test\.
Rule {
tag "Sample3"
Class Files
Id 4001
level 4
121

directives files:create
}
Las distintas secciones de esta regla tienen el siguiente significado:

Archivos de clase: indica que esta regla est relacionada con la clase de operaciones en
archivos.
id 4001: asigna la ID 4001 a esta regla. Si la firma personalizada tena mltiples reglas, cada
una de estas reglas necesitar usar la misma ID.
level 4: asigna el nivel de seguridad "alto" a esta regla. Si la firma personalizada tena
mltiples reglas, cada una de estas reglas necesitar usar el mismo nivel.
files { Include C:\\test\\abc.txt }: indica que la regla cubre el archivo especfico y la ruta
C:\test\abc.txt. Si la regla debiera cubrir mltiples archivos, podra aadirlos en esta seccin
en lneas distintas. Por ejemplo, al supervisar los archivos C:\test\abc.txt y C:\test\xyz.txt,
la seccin cambia a: files { Include C:\\test\\abc.txt C:\\test\\xyz.txt }.
Executable { Include *}: indica que esta regla es vlida para todos los procesos. Si desea
limitar la regla a procesos especficos, escrbalos aqu, junto con el nombre de la ruta de
acceso.
user_name { Include * }: indica que esta regla es vlida para todos los usuarios (o, para
ser ms precisos, el contexto de seguridad en el que se ejecuta un proceso). Si desea limitar
la regla a contextos de usuarios especficos, indquelos aqu, en el formato Local/user o
Domain/user. Consulte Secciones comunes para obtener ms informacin.
directives files:create: indica que esta regla cubre la creacin de un archivo.
Hook de la clase Windows

La siguiente tabla enumera las secciones y valores posibles para Hook de la clase Windows:
Seccin
Valores
Clase
Hook
ID
Notas
nivel
hora
user_name
Ejecutable
122
mdulo de administrador
El nombre de la ruta del

ejecutable que se enlaza con
otro ejecutable.
Un parmetro necesario.
directivas
hook:set_windows_hook
Para evitar la inyeccin de un DLL en un

ejecutable al usar hook:set_windows_hook,
incluya el ejecutable en la lista de proteccin de
aplicaciones.

Uso de host ilegal IPS API, clase Windows

La siguiente tabla enumera las secciones y valores posibles para uso ilegal de API de la clase
Windows:
Seccin
Valores
Clase
Illegal_API_Use
ID
Notas
nivel
hora
user_name
Ejecutable
vulnerability_name
Nombre de la vulnerabilidad
detailed_event_info
Una o ms CLSID.
directivas
illegal_api_use:bad_parameter
Se trata de un nmero de 128 bits que representa

una ID nica para un componente de software.
Normalmente se muestra como:
"{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}"
illegal_api_use:invalid_call
Use esta clase para crear una firma de bit de interrupcin personalizada. El bit de interrupcin
es una caracterstica de seguridad en navegadores web y otras aplicaciones que usen ActiveX.
Un bit de interrupcin especifica el identificador de clase del objeto (CLSID) para los controles
de software de ActiveX que se identifican como amenazas de vulnerabilidad de la seguridad.
Las aplicaciones que usan ActiveX no cargan el software especfico de ActiveX si hay un bit de
interrupcin activo.
La finalidad primaria de un bit de interrupcin es cerrar los orificios de seguridad. Los bits de
interrupcin se instalan normalmente en los sistemas operativos de Windows por medio de las
actualizaciones de seguridad de Windows.
Esto es un ejemplo de una firma:
Rule {
tag "Sample4"
Class Illegal_API_Use
Id 4001
level 4
vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"}
detailed_event_info { Include
"0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"}
directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call
attributes -not_auditable
}
123

Uso ilegal, clase Windows

La siguiente tabla enumera las secciones y valores posibles para uso ilegal de la clase Windows:
Seccin
Valores
Clase
Illegal_Use
ID
Notas
nivel
hora
user_name
Ejecutable
nombre
Un valor de los tres:

LsarLookupNames,
LsarLookupSids o
ADMCOMConnect
directivas
illegal:api
Isapi (HTTP) de clase Windows

La siguiente tabla enumera las secciones y valores posibles para Isapi IIS de la clase Windows:
Seccin
Valores
Clase
Isapi
ID
Notas
nivel
hora
user_name
Ejecutable
124
url
Uno de los parmetros requeridos. Se compara

con la parte URL de una solicitud entrante.
Consulte las notas 1-4.
consulta
Uno de los parmetros requeridos. Se compara

con la parte de consulta de una solicitud entrante.
Consulte las notas 1-4.
mtodo
GET, POST, INDEX o cualquier

Uno de los parmetros requeridos. Consulte la
otro mtodo de HTTP permitido. nota 4.
directivas
isapi:request
Para los tres tipos de solicitudes entrantes de

HTTP.
isapi:requrl
Para solicitudes de url.
isapi:reqquery
Para solicitudes de consultas.
isapi:rawdata
Para solicitudes de datos sin procesar.
isapi:response
Para las repuestas de solicitud.

Nota 1
Una solicitud entrante de http puede representarse como: http://www.myserver.com/
{url}?{query}. En este documento, nos referimos a {url} como la parte "URL" de la solicitud
http y a {query} como la parte "consulta" de la solicitud http. Utilizando esta convencin de
nombres, podemos decir que la seccin "URL" se compara con {url} y que la seccin "consulta"
se compara con {query}. Por ejemplo, la siguiente regla se activa si IIS recibe la solicitud http:
http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean
Rule {
tag "Sample6"
Class Isapi
Id 4001
level 1
url { Include *abc* }
}
Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor de la seccin url
(es decir, abc).
Nota 2
Antes de efectuar la correspondencia, se descodifican y normalizan las secciones url y query
de forma que las solicitudes no puedan rellenarse con secuencias de codificacin o escape.
Nota 3
Se puede definir una restriccin de longitud mxima para las secciones url y query. Agregando
;nmero_de_caracteres al valor de estas secciones, la regla solo puede coincidir si {url} o
{query} tienen ms caracteres que el nmero especificado en nmero_de_caracteres. Por
ejempo "abc*;500" coincide con las cadenas que contienen "abc" que son de 500 caracteres o
ms. "*abc;xyz*;" coincide con cualquier cadena que incluya "abc;xyz", independientemente
de su longitud.
Nota 4
Una regla debe incluir, al menos, una de las siguientes secciones opcionales: url, consulta,
mtodo.
Detalles avanzados
de seguridad para la clase Isapi. Los valores de estos parmetros pueden ayudarle a entender
por qu se inicia una firma.
Nombre de GUI
Explicacin
url
Parte de ubicacin descodificada y normalizada de una

solicitud HTTP entrante (la parte antes del signo de
interrogacin "?").
125

Nombre de GUI
Explicacin
consulta
Parte de consulta descodificada y normalizada de una

solicitud HTTP entrante (la parte despus del primer signo
de interrogacin "?").
web server type
Tipo y versin de la aplicacin de servidor web usada.
mtodo
Mtodo de la solicitud entrante de HTTP (por ejemplo,

Get, Put, Post y Query).
local file
Nombre fsico del archivo que se recupera o se intenta

recuperar con la solicitud. Se descodifica y normaliza con
IIS.
raw url
Lnea de solicitud sin procesar (no descodificada y no

normalizada) de la solicitud HTTP entrante. La lnea de la
solicitud es <method> <location[?query]> <http version>
CRLF.
usuario
Nombre del usuario del cliente que hace la solicitud. Solo

est disponible si la solicitud es autenticada.
origen
Nombre o direccin IP del equipo en el que se origin la

solicitud HTTP. La direccin contiene tres partes: nombre
de host: direccin: nmero de puerto.
servidor
Informacin sobre el servidor Web en el que se cre el

evento (es decir, el equipo en el que est instalado el
cliente) en el formato <host name>:<IP address>:<port>.
El nombre de host es la variable de host del encabezado
HTTP. Se deja en blanco si no est disponible.
content len
Nmero de bytes en el cuerpo del mensaje que es parte

de la consulta.
La siguiente regla impedira una solicitud al servidor web que contenga "subject" en la parte
de consulta de la solicitud HTTP:
Rule {
tag "Sample7"
Class Isapi
Id 4001
level 1
query { Include *subject* }
method { Include GET }
}
Por ejemplo, la solicitud GET http://www.myserver.com/test/

abc.exe?subject=wildlife&environment=ocean se evitara con esta regla.
Clase Isapi: indica que esta regla est relacionada con la clase de operaciones de Isapi.
Id 4001: asigna la ID 4001 a esta regla. Si la firma personalizada tena mltiples reglas,
cada una de estas reglas necesitar usar la misma ID.
126

query { Include *subject* }: indica que la regla coincide con cualquier solicitud (GET) que
contenga la cadena "subject" en la parte de consulta de la solicitud HTTP. Si la regla tuviera
que cubrir varios archivos en la parte query, se agregaran en esta seccin en lneas
diferentes.
method { Include GET }: indica que la regla solo puede coincidir con solicitudes GET.
Executable { Include *}: indica que esta regla es vlida para todos los procesos. Si desea
acceso.
directives isapi:request: indica que esta regla cubre una solicitud HTTP.
Programa de clase Windows

La siguiente tabla enumera las secciones y valores posibles para los programas de la clase
Windows:
Seccin
Valores
Clase
Programa
ID
Notas
nivel
hora
user_name
Ejecutable
nombre de archivo
Nombre del proceso en la

operacin.
Uno de los parmetros requeridos.
ruta
Nombre de la ruta del proceso.
Uno de los parmetros requeridos.
directivas
program:run
Seleccinelo para evitar que el ejecutable de

destino se ejecute. (Ejecute el ejecutable de
destino en la interfaz de usuario).
program:open_with_any
Las directivas "program:open_with_x" administran

los derechos de acceso creados con
OpenProcess(). Seleccinela para evitar estos
derechos de acceso especficos de proceso:
PROCESS_TERMINATE: requerido para

terminar un proceso.
PROCESS_CREATE_THREAD: requerido para

crear un subproceso.
PROCESS_VM_WRITE: requerido para escribir

en la memoria.
PROCESS_DUP_HANDLE: requerido para

duplicar un control.
127

Seccin
Valores
Notas
PROCESS_SET_INFORMATION: requerido
para establecer cierta informacin sobre un
proceso, como su clase de prioridad.
PROCESS_SUSPEND_RESUME: requerido para

suspender o reanudar un proceso.

SYNCHRONIZE: requerido para esperar a que

el proceso termine.
(Se abre con cualquier acceso en la interfaz de

usuario).
program:open_with_create_thread Seleccinela para evitar este derecho de acceso
especfico de proceso:

(Se abre con un acceso para crear un subproceso
en la interfaz de usuario).
program:open_with_modify
Seleccinela para evitar estos derechos de acceso

especficos de proceso:


PROCESS_VM_WRITE: requerido para escribir

en la memoria.
PROCESS_DUP_HANDLE: requerido para

duplicar un control.
PROCESS_SET_INFORMATION: requerido
para establecer cierta informacin sobre un
proceso, como su clase de prioridad.

(Se abre con un acceso para modificar en la
interfaz de usuario).
program:open_with_terminate
Seleccinela para evitar estos derechos de acceso

especficos de proceso:


(Se abre con un acceso para terminar en la
interfaz de usuario).
program:open_with_wait
Seleccinela para evitar este derecho de acceso

especfico de proceso:
SYNCHRONIZE: requerido para esperar a que

el proceso termine.
(Se abre con un acceso para esperar en la interfaz
de usuario).
NOTA: no disponible en Microsoft Vista y
plataformas posteriores.
128

Registro de la clase Windows

La siguiente tabla enumera las secciones y los valores posibles para el registro de la clase
Windows:
Seccin
Valores
Clase
Registro
ID
Notas
nivel
hora
user_name
Ejecutable
claves
Operacin de la clave de registro Uno de los parmetros requeridos. A usar con las
operaciones de clave (crear, borrar, cambiar el
nombre, enumerar, supervisar, restaurar, leer,
sustituir y cargar). Consulte la nota 1.
dest_keys
Operacin de la clave de registro Opcional. Solo para registry:rename cuando se

cambia el nombre de una clave. El objetivo ser
el nombre de la clave.
valores
Operacin de valor de la clave

de registro
Uno de los parmetros requeridos. A usar con las

operaciones de valor de registro (borrar, leer,
modificar y crear).
new_data
Operacin de valor de la clave

de registro. Nuevos datos del
valor.
Opcional. Solo para registry:modify o

registry:create. Consulte la nota 2.
directivas
registry:delete
Elimina una clave o un valor de registro
registry:modify
Modifica el contenido de un valor de registro o la

informacin de una clave de registro.
registry:create
Permite la creacin de una clave de registro.
registry:permissions
Modifica los permisos de una clave de registro.
registry:read
Obtiene la informacin de la clave de registro

(nmero de subclaves, etc.) u obtiene el contenido
de un valor de registro.
registry:enumerate
Enumera una clave del registro; es decir, obtiene

la lista de todas las subclaves y valores de la
clave.
registry:monitor
Solicita la supervisin de una clave de registro.
registry:restore
Restaura un subrbol de un archivo, como la

funcin de restauracin regedit32.
registry:replace
Restaura un ajuste del registro, pero solo despus

de un reinicio.
registry:load
Carga claves o valores de registro de un archivo.
registry:open_existing_key
Abre una clave de registro existente.
registry:rename
Cambia el nombre de una clave de registro.
129

Nota 1
HKEY_LOCAL_MACHINE en una ruta de registro se sustituye por \REGISTRY\MACHINE\ y
CurrentControlSet se sustituye por ControlSet. Por ejemplo, el valor del Registro abc en la
clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa se representa
como \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc.
Nota 2
Los datos de la seccin de datos nuevos deben ser hexadecimales. Por ejemplo, los datos def
del valor del Registro \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc
deben representarse como old_data { Include %64%65%66}.
Detalles avanzados
de seguridad para la clase Registro. Los valores de estos parmetros pueden ayudarle a entender
Nombre de GUI
Explicacin
Clave de registro
Nombre de la clave de registro implicada, incluido el nombre de la ruta. Tenga en cuenta lo

siguiente:
Valores de registro
Para esta clave
Use esta sintaxis
HKEY_LOCAL_MACHINE\
\REGISTRY\MACHINE\
HKEY_CURRENT_USER\
\REGISTRY\CURRENT_USER\
HKEY_CLASSES_ROOT\
\REGISTRY\MACHINE\SOFTWARE\CLASSES\
HKEY_CURRENT_CONFIG\
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE
PROFILES\0001\
HKEY_USERS\
\REGISTRY\USER\
Nombre del valor de registro enlazado con el nombre completo de su clave. Tenga en cuenta
lo siguiente:
Para los valores de esta clave Use esta sintaxis
HKEY_LOCAL_MACHINE\Test
\REGISTRY\MACHINE\Test\*
HKEY_CURRENT_USER\Test
\REGISTRY\CURRENT_USER\Test\*
HKEY_CLASSES_ROOT\Test
\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*
HKEY_CURRENT_CONFIG\Test
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE
PROFILES\0001\Test\*
HKEY_USERS\Test
\REGISTRY\USER\Test\*
datos antiguos
Solo se aplica a los cambios del valor de registro: los datos que un valor de registro inclua
antes de que se cambiara o intentara cambiarse.
datos nuevos
Solo se aplica a los cambios del valor de registro: los datos que un valor de registro contiene
tras un cambio o que contendra si se produjera el cambio.
tipos de datos antiguos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro
inclua antes de que se cambiara o intentara cambiarse.
130

Nombre de GUI
Explicacin
tipos de datos nuevos
Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro
contendra tras un cambio o que contendra si se produjera el cambio.
La siguiente regla impedira que cualquier usuario y cualquier proceso pudiera eliminar el valor
del Registro abc en la clave del Registro
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
Rule {
tag "Sample8"
Class Registry
Id 4001
level 4
values { Include \\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc }
application { Include *}
directives registry:delete
}

Class Registry: indica que esta regla est relacionada con una solicitud enviada a IIS.
values { Include \\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc }: indica
que la regla supervisa el valor del Registro abc en la clave del Registro
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Si la regla cubre varios
valores, agrguelos en esta seccin en lneas diferentes.
application { Include *}: indica que esta regla es vlida para todos los procesos. Si desea
acceso.
directives registry:delete: indica que esta regla incluye la eliminacin de la clave o el valor
de registro.
Servicios de la clase Windows

La siguiente tabla enumera las secciones y valores posibles para los servicios de la clase
Windows:
Seccin
Valores
Clase
Registro
ID
Notas
131

Seccin
Valores
Notas
nivel
hora
user_name
Ejecutable
servicios
Nombre del servicio que

Uno de los parmetros requeridos. El nombre de
constituye el sujeto de la
un servicio se encuentra en el registro, en
operacin que crea la instancia. HKLM\SYSTEM\CurrentControlSet\Services\.
Consulte la nota 1.
display_names
Muestra el nombre del servicio
Uno de los parmetros requeridos. Este nombre

aparece en el administrador de servicios. Consulte
la nota 1.
directivas
services:delete
Borra un servicio.
services:create
Crea un servicio.
services:start
Inicia un servicio.
services:stop
Detiene un servicio.
services:pause
Pausa un servicio.
services:continue
Contina un servicio despus de una pausa.
services:startup
Modifica el modo de inicio de un servicio.
services:profile_enable
Activa un perfil de hardware.
services:profile_disable
Desactiva un perfil de hardware.
services:logon
Modifica la informacin de inicio de sesin de un

servicio.
Nota 1
La seccin service debe incluir el nombre del servicio de la clave de registro conrrespondiente,
que se encuentra en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.
La seccin display_names debe incluir el nombre mostrado del servicio, el nombre que se
muestra en el administrador de servicios, que se encuentra en el valor de registro
HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service>\ .
Detalles avanzados
de seguridad para la clase Servicios. Los valores de estos parmetros pueden ayudarle a entender
132
Nombre de GUI
Explicacin
display names
Nombre del servicio de Windows

que se muestra en el
administrador de servicios.
servicios
Nombre de sistema del servicio

Windows en
HKLM\CurrentControlSet\Services\.
Este puede ser diferente al
nombre mostrado en el
administrador de servicios.
Valores posibles

Nombre de GUI
Explicacin
Valores posibles
params
Solo es aplicable al iniciar un

servicio: parmetros que se
pasan a un servicio cuando se
activa.
old startup
Solo se aplica para crear o

Boot, System, Automatic, Manual, Disabled
cambiar el modo de inicio de un
servicio: indica el modo de inicio
antes de que se cambiara o
intentara cambiarse.
new startup
Solo se aplica para cambiar el

Boot, System, Automatic, Manual, Disabled
modo de inicio de un servicio:
indica el modo de inicio que el
servicio tena antes de cambiarlo,
o el que tendra si se produjera
el cambio.
logon
Solo se aplica para los cambios

del modo de inicio de sesin de
un servicio: la informacin de
inicio de sesin (sistema o
cuenta de usuario) usada por el
servicio.
La siguiente regla prevendra la desactivacin del servicio de alerta.

Rule {
tag "Sample9"
Class Services
Id 4001
level 4
Service { Include Alerter }
directives service:stop
}

Class Services: indica que esta regla est relacionada con la clase de operaciones en archivos.
Service { Include Alerter }: indica que la regla cubre el servicio denominado Alerter. Si
la regla cubre varios servicios, agrguelos en esta seccin en lneas diferentes.
application { Include *}: indica que esta regla es vlida para todos los procesos. Si desea
acceso.
133

directives service:stop: indica que esta regla cubre la desactivacin de un servicio.
SQL de clase Windows

La siguiente tabla enumera las secciones y los valores posibles para los SQL de la clase Windows:
Seccin
Valores
Clase
MSSQL
ID
Notas
nivel
hora
user_name
Ejecutable
134
authentication_mode
Valor booleano que especifica si

se ha usado una autenticacin
Windows (1) o una autenticacin
SQL (0).
client_agent
Nombre de la utilidad que enva Ejemplo: OSQL-32, Internet Information Services

la solicitud al sistema cliente.
db_user_name
Nombre del usuario, si se ha

Ejemplo: sa
usado la autenticacin SQL, o del
usuario de confianza, si se ha
usado la autenticacin de
Windows.
sp_name
Nombre de procedimiento
almacenado.
sp_param_char_len_one...
Contiene la longitud del

parmetro en nmero de
caracteres.
sp_param_one...
Contiene el valor del parmetro.
sp_param_orign_len-one...
Contiene la longitud del

parmetro en nmero de bytes.
sql_line_comment
El valor se configura como 1 si

la consulta incluye un comentario
"-" de una sola lnea con una
sola cita.
sql_original_query
Contiene la consulta SQL

completa, exactamente como se
recibi (incluidas las cadenas y
los espacios en blanco).
sql_query
Es la cadena de la consulta SQL

con los valores de la cadena, los
espacios en blanco y todo lo que
aparezca en los comentarios.
Debera coincidir con un nombre de procedimiento

almacenado. Un procedimiento almacenado se
identifica por medio de una lista suministrada de
nombres de procedimiento que se incluye en cada
versin de agente de SQL (actualmente SPList.txt,
en el directorio Agent).

Seccin
Valores
Notas
sql_user_password
Se configura como 1 si la
contrasea es NULL y 0 si es
distinta.
Siempre se configura como 0 para los no usuarios

de SQL.
transporte
En MSSQL 2005/2008, es un
texto no configurable de:
memoria compartida (LPC).
directivas
sql:request.
Para las solicitudes de SQL entrantes
Clases y directivas de la plataforma Windows

Una lista de las clases y directivas efectivas para la plataforma Windows:
Windows XP, SP2, SP3, 32 y 64 bits (XP)
Windows 2003, R2, R2 SP2, 32 y 64 bits (2K3)
Windows Vista, 32 y 64 bits (V)
Windows 2008 R2, (32 y 64 bits [2K8])
Windows 7, 32 y 64 bits (7)
Clase Desbordamiento del bfer
Directivas
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 64 bits en
SO Windows de 64 bits
(x64)
XP 2K3
bo:
XP
2K3
2K8
XP
2K3
2K8
stack
heap
writeable_memory
invalid_call
target_bytes
call_not_found
call_return_unreadable
call_different_target
call_return_to_api
2K8 7
Archivos de clase
Directivas Procesos de 32 bits en SO
archivos:
XP
2K3
2K8
XP
2K3
2K8
XP
2K3
2K8
crear
leer
escribir
ejecutar
135


archivos:
XP
2K3
2K8
XP
2K3
2K8
XP
2K3
2K8
borrar
cambiar
nombre
atributo
writeop
hardlink
Clase Enlace
Directivas
enlace:
XP 2K3
2K8 7
XP
2K3
2K8
XP
2K3
2K8
set_windows_hook
Clase Uso ilegal de API

Directivas
illegal_api_use:
XP
2K3
2K8
XP
2K3
2K8
XP
2K3
2K8
bad_parameter
invalid_call
Clase Uso ilegal

Directivas
illegal:
XP
2K3 V
2K8
XP
2K3
2K8
XP
2K3
2K8
api
Clase ISAPI
isapi:
136
XP
2K3
2K8
7
XP
2K3
2K8
7
XP
2K3
2K8
request
requrl
reqquery
rawdata
responder

Clase Programa
Directivas
programa:
XP
2K3
2K8
XP
ejecutar
open_with_any
open_with_create_thread
open_with_modify
open_with_terminate
open_with_wait
2K3
2K8
XP 2K3
2K8
Clase Registro
Directivas
registro:
XP
2K3
2K8 7
XP
2K3
2K8
XP 2K3
2K8
crear
leer
borrar
modificar
permisos
enumerar
supervisar
restaurar
sustituir
x
x
x
x
cargar
open_existing_key
cambiar nombre
Clase Servicios
Directivas
servicios:
XP
2K3
iniciar
detener
interrumpir
continuar
inicio
profile_enable
2K8 7
XP
2K3
2K8
XP
2K3
2K8
137

Directivas
servicios:
XP
2K3
2K8 7
XP
2K3
2K8
XP
2K3
2K8
profile_disable
logon
crear
borrar
Clase SQL
Directivas
sql:
XP
2K3
2K8
XP
request
2K3
2K8
7
XP
2K3
2K8

Esta seccin describe cmo escribir firmas personalizadas en las plataformas Solaris y Linux.
NOTA: las reglas en los Archivos de clase de Windows utilizan barras invertidas dobles, mientras
que las reglas en la clase UNIX_Files no Windows utilizan una sola barra.
La clase de firma depende de la naturaleza de la seguridad y de la proteccin que puede ofrecer
la firma. Para Solaris y Linux estn disponibles las siguientes clases:
Clase
Cundo usarla
UNIX_file
Para el archivo o directorio de uso en Solaris y Linux.
UNIX_apache
Para solicitudes http en Solaris y Linux.
UNIX_Misc
Para salvaguardar la proteccin de acceso en Solaris y

Linux.
UNIX_bo
Para el desbordamiento del bfer. Solo Solaris.
UNIX_map
Para el mapeado de archivos o dispositivos en la memoria.

Solo Solaris.
UNIX_GUID
Para permitir que los usuarios ejecuten un ejecutable con

los permisos del propietario o grupo del ejecutable. Solo
Solaris.
Solaris/Linux clase UNIX_file

La siguiente tabla enumera las secciones y los valores posibles para la clase de UNIX_file basada
en UNIX:
Seccin
Valores
Clase
UNIX_file
ID
Notas
nivel
138

Seccin
Valores
Notas
archivos
Archivo o carpeta implicado en

la operacin
Uno de los parmetros requeridos. Archivos para

buscar. Consulte la nota 1.
origen
Nombres de archivos de destino Uno de los parmetros requeridos. Consulte la

nota 1.
archivo
Lista de permisos de los nombres Solo Solaris. Opcional. Consulte la nota 2.

de archivos de origen
nuevo
Modo de permiso del archivo

recin creado o permiso
modificado
Solo Solaris. Opcional. Consulte la nota 2.
zona
Nombre de la zona a la que se

aplica la firma
Solaris 10 o posterior. Consulte la nota 5.
directivas
unixfile:chdir
Cambia el directorio de trabajo.
unixfile:chmod
Cambia los permisos de un directorio o archivo.
unixfile:chown
Cambia la propiedad de un directorio o archivo.
unixfile:create
Crea un archivo.
unixfile:link
Crea un enlace no modificable. Consulte la nota

3.
unixfile:mkdir
Crea un directorio.
unixfile:read
Abre un archivo en modo de solo lectura.
unixfile:rename
Cambia el nombre de un archivo. Consulte la nota

4.
unixfile:rmdir
Elimina un directorio.
unixfile:symlink
Crea un enlace simblico.
unixfile:unlink
Elimina un archivo de un directorio o elimina un

directorio.
unixfile:write
Abre un archivo en modo lectura y escritura.
unixfile:setattr
Solo Linux. Cambia los permisos y la propiedad

del directorio o el archivo.
unixfile:mknod
Crea un nodo.
unixfile:access
Cambia los atributos del archivo. Los atributos

supervisados son Solo lectura, Oculto,
Archivo y Sistema.
unixfile:foolaccess
Solo Solaris. El nombre de archivo tiene 512 '/'

consecutivas.
unixfile:priocntl
Solo Solaris. Muestra o establece los parmetros

de programacin.
hora
user_name
Ejecutable
Nota 1
Directivas apropiadas por seccin:
139

Directiva
Archivo
chdir
chmod
chown
crear
vnculo
mkdir
leer
cambiar nombre
rmdir
setattr
symlink
unlink
escribir
Origen
Permiso del archivo
Nuevo permiso
X
Nota 2
El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista de
control de acceso (acl). Solo pueden tener los valores SUID o SGID.
Nota 3
La directiva unixfile:link tiene un significado diferente cuando se combina con la seccin archivos
y la seccin origen:
Cuando se combina con la seccin archivos, significa que se supervisa la creacin de un
enlace en el archivo en la seccin archivos.
Cuando se combina con la seccin origen, significa que no se puede crear ningn enlace
con el nombre especificado en la seccin origen.
Nota 4
La directiva unixfile:rename tiene un significado diferente cuando se combina con la seccin
archivos y la seccin origen:
Cuando se combina con la seccin archivos, significa que se supervisa el cambio de nombre
del archivo en la seccin archivos.
Cuando se combina con la seccin origen, significa que no se puede cambiar el nombre del
archivo al archivo de la seccin origen.
Nota 5
De manera predeterminada, todas las zonas estn protegidas por la firma. Para reducir la
proteccin a una zona concreta, agregue una seccin de zona en la firma e incluya el nombre
de la zona.
Por ejemplo, si tiene una zona llamada "app_zone" cuya raz es /zones/app, la regla:
Rule {
...
140

file { Include "/tmp/test.log" }

zone { Include "app_zone" }
... }
se aplicar solo al archivo de la zona "app_zone" y no a la zona global.

Tenga en cuenta que, en esta versin, la proteccin del servidor web no se puede reducir a
una zona concreta.
Detalles avanzados
de seguridad para la clase UNIX_Files. Los valores de estos parmetros pueden ayudarle a
entender por qu se inicia una firma.
Nombre de GUI
Explicacin
archivos
Nombres del archivo al que se ha accedido o se ha

intentando acceder.
origen
Solo se puede aplicar cuando la operacin es la creacin

de un enlace simblico entre archivos: nombre del nuevo
enlace; o cuando la operacin es el cambio de nombre de
un archivo: nuevo nombre del archivo.
permiso del archivo
Permisos de archivo.
permiso del origen
Solo se puede aplicar cuando la operacin es la creacin

de un enlace simblico entre archivos: permisos de archivo
de destino (el archivo que seala el enlace). Solo Solaris.
nuevo permiso
Solo se puede aplicar cuando se crea un nuevo archivo o

se realiza una operacin chmod: permisos del nuevo
archivo. Solo Solaris.
Solaris/Linux class UNIX_apache (HTTP)

La siguiente tabla enumera las secciones y valores posibles para la clase de apache basada en
UNIX:
Seccin
Valores
Clase
UNIX_apache
ID
Notas
nivel
hora
user_name
Ejecutable
url
Opcional. Se compara con la parte url de una

solicitud entrante. Consulte las notas 1-4.
consulta
Opcional. Se compara con la parte de consulta de

una solicitud entrante. Consulte las notas 1-4.
mtodo
GET, POST, INDEX y todos Opcional. Consulte la nota 4.

los dems mtodos de http
permitidos
141

Seccin
Valores
Notas
zona

aplica la firma
directivas
apache:requrl
Para solicitudes de URL.
apache:reqquery
Para solicitudes de consultas.
apache:rawdata
Para solicitudes de datos sin procesar.
Nota 1
Una solicitud entrante de http puede representarse como: http://www.myserver.com/
{url}?{query}. En este documento, nos referimos a {url} como la parte url de la solicitud http
y a {query} como la parte de consulta de la solicitud http. Utilizando esta convencin de
nombres, podemos decir que la seccin "url" se compara con {url} y que la seccin "consulta"
se compara con {query}.
Por ejemplo, la siguiente regla se activa si IIS recibe la solicitud http: http://
www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean
Rule {
Class UNIX_apache
Id 4001
level 1
url { Include *abc* }
time { Include * }
directives apache:request
}
Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor de la seccin "url"
(es decir, abc).
Nota 2
Antes de efectuar la correspondencia, se descodifican y normalizan las secciones url y query
de forma que las solicitudes no puedan rellenarse con secuencias de codificacin o escape.
Nota 3
Se puede definir una restriccin de longitud mxima para las secciones url y query. Agregando
;nmero_de_caracteres al valor de estas secciones, la regla solo puede coincidir si {url} o
{query} tienen ms caracteres que el nmero especificado en nmero_de_caracteres. Por
ejemplo, la siguiente regla coincide si la parte url de la solicitud contiene "abc" y tiene ms de
500 caracteres:
Rule {
Class UNIX_apache
Id 4001
level 1
url { Include *abc*;500 }
142

time { Include * }
directives apache:request}
}
Nota 4
Una regla debe incluir, al menos, una de las siguientes secciones opcionales: url, consulta,
mtodo.
Nota 5
de la zona.
Rule {
...
... }

una zona concreta.
Solaris/Linux clase UNIX_Misc

La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris o Linux
UNIX_misc:
Seccin
Valores
Notas
Clase
UNIX_misc
Una clase miscelnea que salvaguarda la

proteccin de acceso.
ID
nivel
hora
user_name
Ejecutable
zona

aplica la firma
Solaris 10 o posterior.
directivas
unixmisc:killagent
Evita que la seal SIGKILL se enve al cliente.
143

Solaris clase UNIX_bo

La siguiente tabla enumera las secciones y valores posibles para class_bo (desbordamiento del
bfer) de Solaris
Seccin
Valores
Clase
UNIX_bo
ID
Notas
nivel
hora
user_name
Ejecutable
programa
Nombre del programa
Programa para buscar.
zona

aplica la firma
directivas
unixbo:binargs
Argumentos binarios.
unixbo:illegal_address
Direccin ilegal, como ejecutar un programa desde

la pila.
unixbo:exec
Ejecucin del programa.
unixbo:environment
Entorno del programa.
unixbo:binenv
Entorno binario.
unixbo:libc
Se usa cuando la direccin de retorno de una

funcin no est en el marco de pila adecuado.
Nota 1
de la zona.
Rule {
...
... }

una zona concreta.
Solaris clase UNIX_map

La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_map:
144

Seccin
Valores
Notas
Clase
UNIX_map
Use esta clase para asociar archivos o dispositivos

UNIX en la memoria.
ID
nivel
hora
user_name
Ejecutable
zona

aplica la firma
directivas
mmap:mprotect
Establece la proteccin de acceso de las pginas

de memoria.
mmap:mmap
Asocia archivos o dispositivos en la memoria.
Solaris clase UNIX_GUID

La siguiente tabla enumera las secciones y valores posibles para la clase de Solaris UNIX_GUID:
Seccin
Valores
Notas
Clase
UNIX_GUID
Use esta clase para establecer indicadores de

derechos de acceso de Unix que permitan que los
usuarios inicien un ejecutable con el permiso del
grupo o del propietario del ejecutable.
ID
nivel
hora
user_name
Ejecutable
zona

aplica la firma
directivas
guid:setuid
Establece la ID de usuario para permitir que el

usuario inicie un ejecutable con el permiso del
propietario del ejecutable.
guid:seteuid
Establece una ID de usuario efectiva.
guid:setreuid
Establece una ID de usuario real y efectiva.
guid:setgid
Establece la ID de grupo para permitir que el

grupo inicie un ejecutable con el permiso del
grupo del ejecutable.
guid:setegid
Establece una ID de grupo efectiva.
guid:setregid
Establece una ID de grupo real y efectiva.
Clases y directivas de la plataforma UNIX

Una lista de las clases y directivas efectivas para la plataforma no Windows:
145

Class UNIX_bo
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixbo:binargs
unixbo:illegal_address
unixbo:exec
unixbo:enrironment
unixbo:binenv
unixbo:libc
Class UNIX_file
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixfile:chdir
unixfile:chmod
unixfile:chown
unixfile:create
unixfile:link
unixfile:mkdir
unixfile:read
unixfile:rename
unixfile:rmhdir
unixfile:setattr
unixfile:symlink
unixfile:unlink
unixfile:write
unixfile:mknod
unixfile:access
unixfile:foolaccess
unixfile:priocntl
Class UNIX_Misc
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixmisc:killagent
Class UNIX_apache
146
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
apache:requrl
apache:reqquery

Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
apache:rawdata
RedHat Linux
SuSE Linux
Class UNIX_map
Directivas
Solaris 9
Solaris 10
mmap:mprotect
mmap:mmap
Class UNIX_GUID
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
guid:setuid
guid:seteuid
guid:setreuid
guid:setgid
guid:setegid
guid:setregid
147
Apndice B: solucin de problemas

Los artculos de la base de datos de conocimientos del sitio Soporte de McAfee http://mcafee.com
le ofrecen la informacin de soporte ms actualizada sobre problemas y la solucin de los
mismos. Consulte KB69184 para obtener la informacin ms reciente.
Contenido
Problemas generales
Registros de Host IPS
Utilidad Clientcontrol.exe
Problemas generales
Qu servicios de Host Intrusion Prevention se tendran que instalar y ejecutar en
el sistema del cliente para que el software funcione correctamente?
Estos servicios siempre tendran que estar activados para proporcionar proteccin de prevencin
de intrusiones con IPS o firewall o ambos:
Servicio McAfee Host Intrusion Prevention (FireSvc.exe)
Servicio McAfee Firewall Core (mfefire.exe)
Servicio McAfee Validation Trust Protection (mfevtps.exe)
Estos servicios tendran que estar activos cuando se los llame:
Icono de la bandeja del sistema del servicio McAfee Host Intrusion Prevention (FireTray.exe)
Consola del cliente de McAfee Host Intrusion Prevention (McAfeeFire.exe)
Cmo puedo evitar que el firewall bloquee el trfico distinto de IP?
A no ser que est indicado especficamente en una regla de firewall, el firewall no reconoce
algunos tipos de trfico distinto de IP y, debido a ello, estn bloqueados. Adems, el modo de
adaptacin y el modo de aprendizaje, de forma dinmica, no detectan y crean reglas de firewall
para protocolos distintos de IP. Para evitar que se descarten los protocolos distintos de IP,
seleccione Permitir el trfico de protocolos no admitidos en la directiva Opciones de
Firewall. Despus puede comprobar el registro de actividades de Protocolos distintos de
IP entrantes/salientes permitidos: 0xXXX, donde 0xXXX indica el nmero del protocolo
IANA Ethernet (consulte htttp://www.iana.org/assignments/ethernet-numbers). Utilice esta
informacin para determinar el trfico distinto de IP necesario y cree una regla de firewall que
lo permita.
148

Problemas generales
Qu tengo que hacer si una aplicacin falla o una funcin se ve afectada despus
de instalar o actualizar el contenido de Host Intrusion Prevention?
Si el comportamiento de una aplicacin ha cambiado despus de instalar o actualizar el cliente
de Host Intrusion Prevention o una actualizacin de contenido, tiene que determinar si es la
firma u otro elemento el que causa el problema.
Si el problema se produce por una firma IPS:
1
Permita el registro de IPS (escrito en HipShield.log) y el registro de firewall (escrito en

FireSvc.log) en el cliente o en la directiva IU del cliente en el servidor ePolicy Orchestrator
y reproduzca el problema.
Busque INFRACCIN en HipShield.log: cualquier detalle de infraccin de <Evento>.
Si una firma nueva est bloqueando actividad por culpa de un evento, vaya a la ficha Evento
de Host IPS en Informes en el servidor ePolicy Orchestrator, busque el evento y cree una
excepcin. Asegrese de hacer la excepcin tan diferenciada como sea posible utilizando
los parmetros avanzados del evento.
Si los parmetros avanzados del evento son limitados, visualice la firma relacionada con el
evento. Si se incluye un elemento CVE (Common Vulnerabilities and Exposures) en la
descripcin de la firma IPS, esto indica que una actualizacin de seguridad de un parche
est disponible. Aplique el parche y desactive la firma.
Si el problema no est relacionado con una firma IPS:

1
Desactive todos los mdulos de Host Intrusion Prevention (IPS, IPS de red y Firewall), y
vulvalo a probar para verificar si el problema se produce.
Desactive el IPS y detenga el servicio del cliente de Host Intrusion Prevention (FireSvc.exe)
y, a continuacin, vulvalo a probar para verificar si el problema se produce.
Si el problema no se produce, seleccione Permitir el trfico de protocolos no admitidos

en la directiva Opciones de Firewall del servidor ePolicy Orchestrator y aplique la directiva
al cliente. Vulvalo a probar con esta opcin definida. Nota: aunque el firewall est
desactivado, el trfico tambin puede ser descartado si Host Intrusion Prevention est
activo.
Si estos pasos no resuelven el problema, desactive el adaptador de minipuerto de filtro

intermedio McAfee NDIS y vulvalo a probar para verificar si el problema se produce.
Si estos pasos no resuelven el problema, desinstale el adaptador de minipuerto de filtro

intermedio McAfee NDIS y vulvalo a probar para verificar si el problema se produce. Para
obtener detalles, consulte el artculo 51676 de KnowledgeBase en
http://knowledge.mcafee.com.
Si el problema no se produce con el NDIS desinstalado, consulte el artculo 68557 de

KnowledgeBase en http://knowledge.mcafee.com y comprubelo con el controlador de
Microsoft Pass Thru desinstalado.
Si el problema se produce solo con el mdulo IPS activado y no se produjeron infracciones

<Evento> en HipShield.log:
1
Identifique los ejecutables asociados con la aplicacin.
Excluya los ejecutables de proteccin de la lista de proteccin de aplicaciones de Host IPS.
Repita la prueba para la aplicacin de funciones. Tenga en cuenta los resultados.
Incluya los ejecutables que excluy en el paso 2.
Asle el motor IPS que podra estar causando el problema. Para obtener detalles, consulte
el artculo 54960 de KnowledgeBase en http://knowledge.mcafee.com.
Identifique el motor IPS que causa el problema.
149

Problemas generales
Cmo aslo un componente en Host IPS para descubrir cul causa el problema?
NOTA: este proceso incluye pasos que pueden requerir reincializaciones y accesos repetidos o
problemas que se recrean. Los pasos siguientes tendran que realizarse en el sistema del cliente
local con la consola de Host IPS. Si encuentra la causa del problema pero no puede resolverlo,
reenve los registros que obtenga al Soporte de McAfee.
Desactivar todos los componentes y comprobar si hay fallos:
1
Desactivar IPS: haga clic en la ficha Directiva IPS y anule la seleccin de Activar Host
IPS y Activar IPS de red.
Desactivar Firewall: haga clic en la ficha Directiva Firewall y anule la seleccin de Activar
Firewall.
Borrar la lista de Hosts bloqueados: haga clic en la ficha Hosts bloqueados y borre la lista
seleccionando cada entrada y haciendo clic en Quitar.
Activar el registro de actividad: haga clic en la ficha Registro de actividad y verifique

que todas las casillas de los registros de trfico y de las opciones de filtro estn
seleccionadas.
Pruebe el sistema para ver si el problema se repite:

Si el problema persiste, pase al paso 6.
Si el problema se ha resuelto, pase al paso 1 de la fase de pruebas iterativas.
Realice las comprobaciones siguientes:

Detenga el servicio McAfee Host IPS y vulvalo a probar. Si el problema desaparece,
informe del problema como un problema asociado directamente con el servicio.
Desinstale el Host IPS del cliente del sistema local y vulvalo a probar. Si el problema
desaparece, informe del problema como un problema asociado con los archivos instalados
y no con un componente especfico.
Fase de pruebas iterativas de cada componente:

Prueba de Host IPS
1
Haga clic en la ficha Registro de actividad y borre el registro.
Haga clic en la ficha Directiva de IPS y seleccione Activar Host IPS.
Pruebe el sistema para determinar si el problema se repite:

Si el problema no se repite, pase al paso 5, Prueba de IPS de red.
Si el problema se repite:
1
Anule la seleccin de Activar Host IPS.
Vulvalo a probar para verificar si el problema desaparece. Si se ha solucionado el

problema, Host IPS puede asociarse potencialmente al problema.
Guarde una copia del registro de actividades y pngale el nombre Registro de

actividad de Host IPS wProb, para informar al soporte.
Seleccione Activar Host IPS y verifique si el problema reaparece.
Prueba de todos los motores IPS
150
Haga clic en Ayuda y seleccione Solucin de problemas.
Seleccione informe de Error en registro de IPS.
Seleccione Violaciones de seguridad de registro.
Haga clic en Funcionalidad.

Problemas generales
En el cuadro de dilogo de motores de HIPS, anule la seleccin de Activar/Desactivar

todos los motores y haga clic en Aceptar.
Pruebe el sistema para determinar si el problema se repite.

Si el problema se repite, tenga en cuenta si el problema est asociado con el componente
IPS pero no con los motores concretos. Revise hipshield.log para ver si el componente
IPS es el problema.
Si el problema no se repite, podra estar asociado con un motor concreto. Pase al
siguiente paso, Prueba de cada motor IPS.
Prueba de cada motor IPS

1
Haga clic en Ayuda y seleccione Solucin de problemas.
Seleccione informe de Error en registro de IPS.
Seleccione Violaciones de seguridad de registro.
Haga clic en Funcionalidad.
Seleccione los motores, uno cada vez, y vulvalo a probar.
Guarde una copia del registro hipshield por cada prueba y etiqutela con el nombre del
motor al que se ha realizado la prueba, para informar al soporte.
Cuando se hayan completado las pruebas, active todos los motores para pasar al siguiente
paso.
Prueba del modo de adaptacin de IPS

1
Haga clic en la ficha Directiva de IPS y seleccione Activar modo de adaptacin.

Si el problema se repite, anule la seleccin de Activar modo de adaptacin y vulvalo
a probar para ver si el problema est solucionado. Si lo est, Host IPS en modo de
adaptacin puede asociarse potencialmente al problema. Guarde una copia del Registro
de actividad y pngale el nombre Registro de actividad de adaptacin de Host
IPS wProb, para informar al soporte.
Si el problema no se repite, anule la seleccin de Activar Host IPS y pase al siguiente
paso.
Prueba de IPS de red

1
Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red.

Si el problema se repite, anule la seleccin de Activar IPS de red y vulvalo a probar
para ver si el problema est solucionado. Si lo est, IPS de red puede asociarse
potencialmente al problema. Guarde una copia del Registro de actividad y pngale
el nombre Registro de actividad de IPS de red wProb, para informar al soporte.
Si el problema no se repite, seleccione Activar IPS de red y pase al siguiente paso.
Prueba del bloqueo automtico de IPS de red

1
151

Problemas generales
Haga clic en la ficha Directiva de IPS y seleccione Activar IPS de red.
Haga clic en la casilla Bloquear automticamente los atacantes.
Pruebe el sistema para determinar si el problema se repite. Si se repite:
Anule la seleccin de Bloquear automticamente los atacantes y vulvalo a probar

para ver si el problema est solucionado. Si lo est, IPS de red en modo atacantes
bloqueados puede asociarse potencialmente al problema.
Haga clic en la ficha Hosts bloqueados, tenga en cuenta cualquier entrada de atacante
bloqueado y revise para ver si hay falsos positivos.
Guarde una copia del Registro de actividad y pngale el nombre Registro de

actividad de IPS de red de adaptacin wProb, para informar al soporte.
Si el problema no se repite, anule la seleccin de Activar IPS de red y pase al siguiente

paso.
Prueba de la directiva Firewall

1
Haga clic en la ficha Directiva Firewall y seleccione Activar Firewall.
Anule la seleccin de Activar firewall.
Vulvalo a probar para verificar si el problema est solucionado. Si lo est, Host IPS
Firewall puede asociarse potencialmente al problema.

actividad de Firewall wProb.
Si el problema no se repite, seleccione Activar firewall y pase al siguiente paso.
Prueba del modo de aprendizaje de Firewall
152
Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Entrante.

Anule la seleccin de Saliente.

a
Anule la seleccin de Entrante.
Vulvalo a probar para verificar si el problema est solucionado. Si lo est, el modo

de aprendizaje entrante de Firewall puede asociarse potencialmente al problema.

actividad de Firewall wProb, para informar al soporte.
Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y Saliente.

Anule la seleccin de Entrante.

a
Anule la seleccin de Saliente.

de aprendizaje saliente de Firewall puede asociarse potencialmente al problema.

actividad de Firewall LearnOUT wProb, para informar al soporte.

Problemas generales
Desplcese hasta la ficha Directiva de Firewall.
Haga clic en la ficha Directiva Firewall y seleccione Modo de aprendizaje y tanto

Entrante como Saliente.

a
Anule la seleccin de Entrante y Saliente.

de aprendizaje entrante y saliente de Firewall puede asociarse potencialmente al
problema.
Guarde una copia del registro de actividad y pngale el nombre Registro de actividad
deFirewall LearnINOUT wProb, para informar al soporte.
Prueba con la regla Permitir todo el trfico de Firewall

NOTA: es posible que este paso se tenga que configurar desde la consola de gestin de ePO,
ya que es obligatorio que la primera regla de la lista de reglas de firewall sea una regla Permitir
todo el trfico. Si se han configurado otras directivas desde la consola, tienen preferencia sobre
las reglas creadas de forma local.
1
Cree una regla nueva y pngale el nombre Permitir todo el trfico.
Defina la Accin en Permitir.
Defina el Protocolo como TCP IP.
Defina la Direccin en Ambos.
Guarde la regla. Si la regla se ha creado en una directiva en la consola ePO, mueva la regla
Permitir todo el trfico para que sea la primera regla en la lista de directivas. Si se ha
creado la regla de forma local, asegrese de que ninguna regla la precede.
Desactive la regla Permitir todo el trfico.
Vulvalo a probar para verificar si el problema est solucionado. Si lo est,

probablemente hay un error de configuracin con las reglas.
Haga una captura de pantalla de la lista del firewall en la ficha Directiva de Firewall.
Guarde una copia del Registro de Actividad y pngale el nombre Registro de

actividad de Firewall Prueba Permitir todo el trfico.
Exporte la configuracin de la Directiva de Host IPS:

a
Inicie sesin en la consola de ePO.
Desplcese hasta el objeto Catlogo de directivas en el rbol del sistema de

ePO.
Busque Host IPS y amplelo.
Haga clic en Exportar todas las directivas.
Haga clic en la ficha Directiva de Firewall, anule la seleccin de la casilla Activar Firewall
y pase al siguiente paso.
Prueba de la directiva Hosts bloqueados

1
Haga clic en la ficha Hosts bloqueados y elimine todos los hosts bloqueados de la lista.
Pruebe el sistema para determinar si el problema se repite. Si se repite, probablemente no

est asociado con Hosts bloqueados.
153

Si no ha encontrado la causa del problema, pngase en contacto con Soporte de McAfee,

explique el problema y adjunte los datos obtenidos durante este proceso.

Dnde se encuentran los archivos de registro?
Todos los archivos de registro estn en uno de estos directorios en el sistema del cliente, segn
el sistema operativo:
Windows XP, Windows 2003: C:\Documents and Settings\All Users\Application
Data\McAfee\Host Intrusion Prevention
Windows Vista, Windows 2008, Windows 7: C:\ProgramData\McAfee\Host Intrusion
Prevention
Cmo se activa el registro?
Puede establecer el registro de Host IPS con la consola del cliente de Host IPS o con la directiva
IU de cliente de Host IPS de la consola de ePolicy Orchestrator.
Para permitir el registro del cliente:
1
Desde el icono de la bandeja, abra la consola de Host IPS. Desbloquee la interfaz del usuario
con un administrador o una contrasea basada en tiempos.
Seleccione Ayuda | Solucin de problemas.
Seleccione la configuracin de registro necesaria:

Depuracin: registra todos los mensajes.
Informacin: registra mensajes de informacin, advertencia y error.
Advertencia: registra los mensajes de advertencia y de error.
Error: registra los mensajes de error.
Desactivado: no registra ningn mensaje.
Los registros de Firewall e IPS se controlan de forma independiente. Estas configuraciones
de los registros permanecen vigentes hasta que se bloquee la consola del cliente y se
produzca una aplicacin de la directiva subsiguiente.
NOTA: el registro se puede establecer localmente al agregar el valor DWORD

'depuracin_activada' en la clave de registro HKLM\Software\McAfee\HIP. Se activa
un valor del decimal 1 en el registro depuracin detallada. El uso de una clave de registro
local para permitir la depuracin del registro sustituye cualquier conjunto de directivas que
utilice ePolicy Orchestrator.
Para permitir el registro desde ePolicy Orchestrator:
1
En Host IPS: General, edite la directiva IU de cliente que se aplicar a un cliente.
Haga clic en la ficha Solucin de problemas.
Seleccione la configuracin de registro necesaria:

Depuracin: registra todos los mensajes.
Informacin: registra mensajes de informacin, advertencia y error.
Advertencia: registra los mensajes de advertencia y de error.
Error: registra los mensajes de error.
154

Desactivado: no registra ningn mensaje.

Los registros de Firewall e IPS se controlan de forma independiente. Estas configuraciones
de los registros se aplicarn a la siguiente implementacin de la directiva.
Qu archivos de registro estn asociados con el componente Host IPS?
El archivo de registro primario para el componente Host IPS es HipShield.log. Este archivo
de registro crece hasta los 128 MB y rota con una copia de seguridad.
La rotacin de archivos de registro la controlan las entradas DWORD log_rotate_size_kb y
log_rotate_count en la clave de registro
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. La clave log_rotate_count determina
el nombre de archivos de registro de copias de seguridad que se tienen que mantener, y el
DWORD entrylog_rotate_size_kb tiene el tamao aproximado en KB de un archivo de
registro de copia de seguridad, donde 0 significa que la rotacin del registro est desactivada.
Cuando se ha superado el tamao especificado de log_rotate_size_kb, se cierra el archivo y se
le cambia el nombre con el sufijo .1. Si ya existe un archivo con este nombre, el sufijo se
incrementa en uno. Cuando se alcanza el nmero especificado de archivos de copia de seguridad,
los antiguos se eliminan.
NOTA: cuando se recopilen datos para incidentes remitidos al Soporte de McAfee, recomendamos
encarecidamente que se cree el registro de valores debug_enabledy se establezca a 1. Este
registro de valores registra todos los eventos de Host IPS y de IPS de red en HIPShield.log, sea
cual sea la configuracin del estado de registro original en las propiedades de la firma. Asegrese
de parar el servicio, eliminar los archivos de registro antiguos, reiniciar el servicio y ejecutar la
reproduccin. Esto reduce el tamao de los archivos de registro.
Qu se tiene que buscar en HipShield.log?
Una ejecucin del componente Host IPS empieza con una declaracin de banner que identifica
la ejecucin de la compilacin y la marca de fecha/hora de la sesin. Cada entrada del registro
HipShield muestra una marca de fecha/hora, seguida de una indicacin sobre si estos datos
son informativos, de depuracin o un error. Los datos que contiene HipShield son ad-hoc y
difieren entre las partes del componente Host IPS.
reas clave de inters:
Las lneas que empiezan por In install modules new describen la copia de archivos como
parte del inicio del componente Host IPS. El hecho de no copiar estos archivos impide que
el componente Host IPS se inicie.
Una lnea que empieza con Scrutinizer initialized successfully indica que la descarga
del componente IPS ha sido correcta durante la inicializacin del examinador, cosa que
depende de que los archivos mencionados anteriormente se hayan copiado correctamente.
Una lnea que empieza con New Process: Pid= indica que el componente Host IPS es
capaz de supervisar el proceso de creacin.
Una lnea que empieza con IIS - Start indica que la supervisin IIS est empezando.
Una lnea que empieza con Scrutinizer started successfully ACTIVATED status indica
que el examinador se ha inicializado correctamente.
Una lnea que empieza con Hooking xxx indica que el proceso de interceptacin prosigue.
El nmero xxx indica el PID (proceso ID) del proceso que se est interceptando.
Una serie de lneas que empiezan con Processing Buffer xxx.scn informa sobre el resultado
del proceso de anlisis de archivos del analizador xxx.scn, donde xxx es un nombre como
EnterceptMgmtServer, como se muestra ms arriba. Los errores del proceso de anlisis
de archivos del analizador se indican aqu.
155

Las lneas del formato signature=111 level=2, log=True indican que se ha cargado una
firma individual. Se incluyen el ID y el nivel de la firma junto con una indicacin de si el
registro est activado para esta firma.
NOTA: Shield.db y except.db se crean en el mismo directorio que los registros solo cuando
la depuracin est activada. Estos archivos contienen un volcado de las reglas y las excepciones
que se envan al kernel despus de que el AgentNT.dll haya procesado el contenido.
Qu archivos de registro estn asociados con el componente firewall?
Los archivos de registro primarios del componente Firewall contienen:
Nombre
Descripcin
FireSvc.log
Registro de servicio principal
HipMgtPlugin.log
Registro IU del cliente
Registro del nivel de depuracin
La ubicacin coincide con la salida
Clasificacin de salida de la conexin TrustedSource
Errores/advertencias
Registro de complemento de
McAfee Agent
FireTray.log/McTrayHip.log Registro de bandeja
FireUI.log
Contiene estos datos

Estadsticas de los intervalos de aplicacin de las
directivas
Estos archivos crecen hasta que alcanzan el tamao mximo predeterminado de 100 MB. Si se
desean archivos de registro ms grandes o ms pequeos, el tamao se puede controlar
agregando el siguiente valor de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.
Para establecer el tamao del registro:
1
Seleccione la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP, haga clic

con el botn derecho en un espacio en blanco en el panel derecho y, a continuacin,
seleccione Nuevo, Valor Dword.
Pngale nombre al valor nuevo MaxFwLogSize.
Haga clic con el botn derecho en MaxFwLogSize y seleccione Modificar.
Cambie el valor al tamao deseado para los registros. Este valor se introduce en KB.
Haga clic en Aceptar y, a continuacin, cierre el editor del registro.
NOTA: la clave de registro MaxFwLogSize controla el tamao de FireSvc.log, HipMgtPlugin.log,

FireTray.log y FireUI.log. Crear y asignar un valor a las claves de registro anteriores establece
el tamao mximo de todos estos archivos de registro.
Esta utilidad de lnea de comandos ayuda a automatizar las actualizaciones y otras tareas de
mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention
156

en equipos cliente. Se puede incluir en los comandos de instalacin y mantenimiento para

desactivar de forma temporal la proteccin IPS y activar las funciones de registro.
Funcin e instalacin
Esta utilidad permite que los administradores realicen lo siguiente en los clientes de IPS en host
de McAfee:
Iniciar el servicio IPS en host.
Detener el servicio IPS en host (requiere un administrador o una contrasea basada en
tiempos).
Cambiar la configuracin de registro (requiere un administrador o una contrasea basada
en tiempos).
Iniciar/detener los motores de IPS en host (requiere un administrador o una contrasea
basada en tiempos).
Exportar el registro de actividad a un archivo con formato de texto.
Mostrar los datos de licencia NaiLite que se encuentran en el registro del equipo cliente.
Exportar las opciones de configuracin a un archivo con formato de texto.
Sustituir las opciones de configuracin con la configuracin de la directiva predeterminada.
Exportar las reglas de proteccin IPS de inicio del registro.
La utilidad graba sus actividades en ClientControl.log en: C:\Documents and Settings\All
Users\Application Data\McAfee\Host Intrusion Prevention; o C:\ProgramData\McAfee\Host
Intrusion Prevention en Windows Vista, Windows 2008, y Windows 7.
Para permitir el registro, modifique HKLM\Software\McAfee\HIP en el registro agregando la
entrada FwLogLevel de tipo DWORD con un valor de 0x7.
Detencin de los servicios de IPS en host
El parmetro /detener detiene los servicios de IPS en host si el usuario tiene autoridad
administrativa para detener los servicios. Si el usuario tiene autoridad para detener los servicios
en el equipo, se produce lo siguiente:
Los servicios de IPS en host estn desactivados. La casilla de IPS en host en la ficha
Directiva IPS queda en blanco automticamente.
Los servicios de IPS en host no se han detenido. Se crea una entrada en ClientControl.log.
McAfee Agent aplica las directivas al siguiente intervalo de aplicacin de directivas.
Si McAfee Agent aplica directivas mientras usted realiza una actividad que requiere que la
proteccin est desactivada (por ejemplo, aplicar parches en Windows), su actividad podra
quedar bloqueada por las directivas aplicadas.
Incluso si la detencin de los servicios de IPS en host es correcta, la configuracin de la directiva
podra permitir que McAfee Agent los reiniciase al siguiente intervalo de comunicacin
agente-servidor (ASCI). Para evitarlo:
1
En ePolicy Orchestrator, abra Host Intrusion Prevention: Directiva general.
Seleccione la ficha Avanzadas.
Anule la seleccin de Comprobacin de integridad del producto.
Ejecute una llamada de activacin del agente.
Sintaxis de lnea de comandos

Convenciones:
157

[ ] significa obligatorio.
[xxx, ...] significa uno o ms.
< > significa datos introducidos por el usuario.
Argumentos principales:
Solo uno de los siguientes argumentos principales tiene permiso por invocacin:
/ayuda
/inicio
/detencin
/registro
/motor
/exportacin
Sin embargo, puede especificar ms de una opcin de registro cuando cambie la configuracin
de registro.
Ejecutar la utilidad con el comando /ayuda proporciona la informacin de ayuda y las notas
ms actualizadas.
Uso:
clientcontrol [arg]
Definiciones de los argumentos:
/ayuda
Muestra la sintaxis de las lneas de comando y las notas.
/inicio
Inicia el servicio.
/detencin <contrasea>
Detiene el servicio.
/registro <contrasea> [tipo de registro] [opciones de registro]
Genera registros. Las opciones de registro se procesan en orden.
Definiciones del tipo de registro:
0 = HIPS (crea un HipShield.log)
1 = Firewall (crea un FireSvc.log)
Definiciones de las opciones de registro:
0 = desactivado
1 = error
2 = advertencia
3 = informacin
4 = depuracin
5 = violacin de la seguridad (solo IPS)
/motor <contrasea> [tipo de motor] [opciones de motor]
Enciende y apaga los motores.
Definiciones del tipo de motor:
0 = todos
158

1 = Desbordamiento del bfer

2 = SQL (solo servidor)
3 = Registro
4 = Servicios
5 = Archivos
6 = HTTP (solo servidor)
7 = API de IPS en host
8 = Uso no autorizado
9 = Programa
10= Enlazado
Definiciones de las opciones de motor:
0 = desactivado
1 = activado
/exportacin /s <ruta del archivo de origen de exportacin> <ruta del archivo
de exportacin del registro de eventos>
Exporta el registro de eventos a un archivo con formato de texto. La ruta del archivo de
origen es opcional. No incluya "/s" si no hay un archivo de origen.
/readNaiLic
Muestra los datos de licencia de NaiLite.
/exportConfig <ruta del archivo de exportacin> <tipo de configuracin>
Exporta las opciones de configuracin a un archivo con formato de texto.
Definiciones del tipo de configuracin:
0 = todos
1 = proteccin de la aplicaciones
2 = hosts bloqueados
3 = firewall
4 = firmas personalizadas de IPS en host
5 = excepciones IPS
6 = configuracin
7 = aplicaciones de confianza
8 = redes de confianza
9 = firmas de IPS de red
10 = firmas de IPS en host
11 = motores de IPS en host
12 = sesiones de inicio de sesin
13 = reglas de bloqueo DNS
/defConfig <contrasea>
Sustituye las opciones de configuracin con directivas de cliente predeterminadas para la
configuracin de la proteccin de aplicaciones, firewall y las aplicaciones de confianza.
159

/bootTimeRules <contrasea> <ruta del archivo de exportacin>

Exporta las reglas IPS de inicio a un archivo con formato de texto.
NOTA:
Tiene que haber al menos un espacio entre el argumento, la contrasea y cualquier otro
parmetro obligatorio.
Flujos de trabajo de muestra
Aplicar un parche a un equipo protegido por IPS en host de McAfee
1
Abra un shell de comandos.
Ejecute clientcontrol.exe /detencin <contrasea>
Realice su actividad de mantenimiento.
Ejecute clientcontrol.exe /inicio (para reiniciar los servicios de Host IPS).
Exportar el registro de actividad de IPS en host a un archivo de texto

1
Ejecute clientcontrol.exe /exportacin <ruta del archivo de exportacin>
Copie el archivo de registro exportado a otro equipo para la recopilacin y el anlisis.
Activar el registro como parte de un ejercicio de resolucin de problemas

1
Ejecute clientcontrol.exe /registro <contrasea> [tipo de registro] [opcin de registro, ...]
Realice la actividad para generar entradas de registro.
Revise HipShield.log o FireSvc.log para obtener informacin relevante.
Desactivar motores especficos de IPS en host como parte de un ejercicio de

resolucin de problemas
160
Ejecute clientcontrol.exe /<contrasea> [tipo de motor] [opcin de motor]
Realice la actividad para generar reacciones y entradas de registro.
Revise HipShield.log o FireSvc.log para obtener informacin relevante.
ndice
A
acciones de permiso y bloqueo

comunicaciones de red, directiva de firewall 99
filtrado de firewall con seguimiento de estado 66
actualizar
firmas, IPS en host 29
incorporacin de paquetes de IPS en host 30
mtodos de IPS en host 31
paquete de contenido de IPS en host 29
adaptadores de red
condiciones para permitir la conexin 60
administradores globales
asignacin de conjuntos de permisos 25
ajuste de IPS en host
anlisis de eventos 17
directivas de aplicaciones de confianza 87
directivas predeterminadas y 19
gestionar directivas 10
manual y automtico 20
modos adaptacin y aprendizaje 22
perfiles de uso 10
Alertas de simulacin detectada 97
alertas, IPS en host
alertas de intrusos 95
clientes Windows 95
definir opciones para clientes 93
firewall 96
modo aprendizaje y trfico de red desconocido 69
responder 95, 96, 97
simulacin detectada 97
aplicaciones de confianza
configuracin, en IPS en host 87
creacin, basada en evento 52
crear una lista en IPS en host 87
crear y editar, en IPS en host 88
definido 10
directiva Reglas IPS 52
archivos de registro, IPS en host
actividad del firewall 94
actividad IPS 94
cliente Linux, historial de instalacin 109
cliente Solaris, historial de instalacin 106
solucin de problemas 105, 108
solucin de problemas de IU de cliente 85
asignacin de directivas
activacin de proteccin por firewall 70
cambiar 19
IPS en host 9
caracteres comodn
reglas de firewall 79
reglas IPS 47
firmas personalizadas 115
Catlogo de directivas
Aplicaciones de confianza 87
directivas de firewall personalizadas, creacin 70, 73
directivas de propiedad de IPS en host 8
gestin de directivas de IPS en host 18
IU de cliente 82
Redes de confianza 86
Catlogo de IPS en host
agregar a 77
contenido 63
dependencias 63
edicin 77
explicacin 63
exportar a 77
exportar desde 77
filtrar 77
usar 77
Cliente Linux 107, 108, 109, 110
comprobar archivos de instalacin 109
consideraciones 108
descripcin 107
detener y reiniciar 110
implementacin de directivas 107
solucin de problemas 108, 109
Cliente Solaris
archivos de instalacin 106
comprobacin de que el cliente se ejecuta 106
descripcin 104
detener y reiniciar 106, 107
implementacin de directivas 104
prevencin de desbordamiento del bfer 104
solucin de problemas 105
Cliente Windows
alertas 95
descripcin 90
directivas IPS, editar 98
directivas IPS, trabajar con 98
Ficha Directiva de firewall 99, 100
Ficha Directiva de IPS 97
Ficha Hosts bloqueados 101, 102
Ficha Proteccin de aplicaciones 102
Ficha Registro de actividad 102, 103
lista de reglas de firewall 99
reglas de excepcin para directivas de IPS 97, 98
reglas de firewall, crear y editar 100
solucin de problemas 93, 94, 95
clientes
actualizacin con llamada de activacin del agente o tarea 31
ajuste de IPS en host 21
B
blindaje y envoltura 33, 35
reglas de comportamiento de IPS y 35
161
ndice
clientes (continuacin)
anlisis de datos en clientes IPS en host 21
consultas para grupos de 14
convenciones de nomenclatura para IPS en host 21
Linux (consulte Cliente Linux) 107
Solaris (consulte Cliente Solaris) 104
trabajar con, en IPS en host 21
Windows (consulte Cliente Windows) 90
conformidad
configuracin de paneles de IPS en host para ver 19
conjuntos de permisos
asignar 26
gestin del despliegue de IPS en host 25
permisos de IPS en host 25
quin configura el sistema 19
consola de cliente Windows
desbloquear la interfaz 92
descripcin 90
Men Icono de la bandeja de sistema 90
mtodos de apertura 92
personalizar por cliente 93
consultas, IPS en host
gestin de la informacin 13
informes 10
personalizado, parmetros para 14
predefinidas y personalizadas 14
seguimiento de actividades 14
contraseas
desbloquear la consola de cliente Windows 92
para directiva IU de cliente 83
usar la herramienta de solucin de problemas hipts 105
D
desbordamiento del bfer
configuracin de la directiva Aplicaciones de confianza 87
prevencin en el cliente Solaris 104
reglas de comportamiento de IPS y 35
despliegue
despliegue del cliente de IPS en host inicial 21
Directivas de IPS en host y 10
perfiles de uso en IPS en host 10
tareas servidor para IPS en host 25
direccin IP
configurar redes de confianza 86
Notificaciones y parmetros de IPS en host 28
Direccin IP
firewall de seguimiento de estado, IPv4 contra IPv6 65
grupos con reconocimiento de ubicacin 60
grupos de reglas 60
reglas de firewall y 99
supervisin de hosts bloqueados 101
directiva Aplicaciones de confianza
acerca de 8
crear y editar 88
definir 87
falsos positivos, reducir 81
Directiva Aplicaciones de confianza
descripcin 81
Directiva de bloqueo de DNS del firewall
acerca de 8
definir 73
descripcin 57
Directiva de IU de cliente
acerca de 8
configuracin 82
162
Directiva de IU de cliente (continuacin)

contraseas 83
control de icono de bandeja, configurar 83
definir 82
descripcin 81
Ficha General, configurar 83
opciones 93
solucin de problemas 85
directiva efectiva
con directivas de instancias mltiples 42
directiva McAfee Default
Bloqueo de DNS 73
IPS en host 9
IU de cliente 82
Opciones del firewall 70
Opciones IPS 37
Proteccin de IPS 39
Reglas de firewall 73
Reglas IPS 40
directiva Opciones del firewall
acerca de 8
configuracin 72
uso de 70
Directiva Opciones del firewall
TrustedSource 72
descripcin 57
directiva Opciones IPS
acerca de 8
configuracin 38
directivas preconfiguradas 38
modo de adaptacin 37
uso de 37
Directiva Opciones IPS
descripcin 32
directiva Proteccin IPS
acerca de 8
configuracin 40
niveles de gravedad, configuracin 39
reacciones, configuracin 40
uso de 39
Directiva Proteccin IPS
descripcin 32
directiva Redes de confianza
acerca de 8
configuracin 86
definir 86
falsos positivos, reducir 81
prioridad y 86
Directiva Redes de confianza
descripcin 81
directiva Reglas de firewall
caracteres comodn 79
acerca de 8
definir 73
descripcin 57
grupos, creacin 76
directiva Reglas del firewall
configuracin 74
reglas de cliente, gestin 78
directiva Reglas IPS
acerca de 8
configuracin 40, 50
definir 40
ndice
directiva Reglas IPS (continuacin)

descripcin 32
eventos, trabajar con 52
excepciones, configuracin 40
firmas, configuracin 40
firmas, trabajar con 43
gestin de excepciones 51
registrar eventos 37
reglas de excepcin 51
reglas de proteccin de aplicaciones 36, 47, 50
reglas de proteccin de aplicaciones, configuracin 40
directivas de firewall, Host IPS
introduccin a las funciones 57
directivas de instancias mltiples
directiva efectiva 42
Preguntas frecuentes 42
utilizar en el despliegue 42
asignar 41, 88
Directivas generales, IPS en host
pgina de directiva Aplicaciones de confianza 88
permisos para 25
directivas preconfiguradas
IU de cliente 82
Opciones IPS 37
Proteccin de IPS 39
directivas, Host IPS
migracin 24
asignar 19
crear nuevas 19
directivas, IPS en host
ajustar predeterminados 19
anulacin, con excepciones de cliente 10
Bloqueo de DNS del firewall 73
Catlogo de directivas 18
cmo se aplican las directivas 9
configuracin de las opciones IPS 38
definido 9
dnde encontrar 18
firewall (Consulte firewall, IPS en host) 8
gestionar 18
herencia 10
instancias mltiples 41, 88
Opciones del firewall 70, 72
perfiles de uso y ajuste 10
propietario asignado 9
proteccin preconfigurada 10
reglas de cliente, crear excepciones 10
Reglas de firewall 73, 74
responder a alertas 97
revisin de caractersticas 8
valores predeterminados, proteccin bsica 7
visualizacin de directivas 18
y sus categoras 9
E
estructura de regla
firmas personalizadas 111
Eventos IPS
acerca de 37
aplicaciones de confianza, creacin 52
Eventos IPS (continuacin)

descripcin 52
excepciones, creacin 52
gestionar 54
uso de 52
eventos, IPS en host
alertas de intrusos, responder a 95
analizar y ajustar 10
excepciones 36
firewall, registros de actividad 102
gestionar 54
infracciones de firma 37
notificaciones 28
registro y ficha eventos de IPS 37
reglas de comportamiento 35
uso de 52
F
falsos positivos
ajuste de directivas de IPS en host 10
directiva Aplicaciones de confianza, reducir 87
directivas de reglas IPS y excepciones 51
ficha Hosts bloqueados, trabajar con 101
filtros
cmo funciona el filtrado con seguimiento de estado del firewall
66
consulta de actividades de IPS en host 14
eventos y consultas de IPS en host 10
firewall con seguimiento de estado
cmo funciona el filtrado con seguimiento de estado 66
inspeccin de paquetes, cmo funciona 67
rastreo de protocolo 68
firewall, Host IPS
grupos de reglas, reconocimiento de ubicacin 60
firewall, IPS en host
inspeccin de paquetes con seguimiento de estado 65, 67
acciones, permitir y bloquear 66
acerca de 8
alertas 96
cmo funcionan las reglas de firewall 58
consultas 14
descripcin 57
filtrado con seguimiento de estado, cmo funciona 66
filtrado de paquetes con seguimiento de estado 65
grupos con reconocimiento de ubicacin 76
grupos de reglas 60
grupos de reglas de firewall, creacin 76
inspeccin de paquetes con seguimiento de estado 65, 67
lista de reglas 74, 99, 100
lista de reglas de firewall, ordenacin 58
modos de adaptacin y aprendizaje 69
opciones de registro 94
Opciones del firewall, configuracin 72
permisos para 25
personalizar opciones 100
rastreo de protocolo con seguimiento de estado 68
Reglas de bloqueo de DNS 77
reglas de cliente 14, 70
reglas de firewall 10, 73, 75
Reglas del firewall, configuracin 74
reglas, permitir y bloquear 58
tabla de estados 65
firmas
163
ndice
firmas (continuacin)
alertas y firmas NIPS 95
configuracin de directiva Reglas IPS 44
creacin de un IPS en host personalizado 45
creacin mediante el mtodo estndar 45
creacin mediante el mtodo experto 45
definido 34
excepciones 36
HIPS, acerca de 34
host 43
IP de host y excepciones 95
IPS en host predeterminado 43
IPS en host y de red 28
lista de reglas de excepcin 97
NIPS, acerca de 34
niveles de gravedad 43
niveles de gravedad para 39
personalizar 43
red 43
tipos de 43
uso de 43
utilizacin del asistente para crear 46
firmas de Host Intrusion Prevention 34
firmas de prevencin de intrusiones en red 34
firmas personalizadas
descripcin general para Linux y Solaris 138
descripcin general para Windows 117
directivas vlidas en Linux 145
directivas vlidas en Solaris 145
directivas vlidas en Windows 135
estructura de regla 111
Linux 138
Linux, UNIX_apache (HTTP) 141
Linux, UNIX_file (archivos) 138
Linux, UNIX_misc 143
secciones comunes 112
secciones opcionales 114
Solaris 138
Solaris, UNIX_apache (HTTP) 141
Solaris, UNIX_bo 144
Solaris, UNIX_file (archivos) 138
Solaris, UNIX_GUID 145
Solaris, UNIX_map 144
Solaris, UNIX_misc 143
Uso ilegal de API, Windows 123
variables de valor de seccin 115
Windows, Archivos 119
Windows, Desbordamiento de bfer 118
Windows, directivas por plataforma 135
Windows, Hook 122
Windows, Ilegal 124
Windows, Isapi 124
Windows, Programa 127
Windows, Registro 129
Windows, Servicios 131
Windows, SQL 134
gestin del sistema

actualizacin de proteccin IPS en host 29
notificaciones para eventos de IPS en host 28
tareas servidor para IPS en host 25, 27
gestionar directivas
acceder a directivas de IPS en host 18
ajuste de IPS en host 10, 20
anlisis de eventos de IPS en host y reglas de cliente 17
Cliente Linux y 107
ficha Directivas, IPS en Host 18
seguimiento de directivas de IPS en host 10
grupos con reconocimiento de ubicacin
aislamiento de conexin 61
creacin 76
grupos de reglas, IPS en host
grupos de reglas de firewall, creacin 76
grupos, IPS en host
asignar directivas a 9
cmo se aplican las directivas 9
criterios de configuracin 10
eliminacin de directivas y herencia para 18
firewall con reconocimiento de ubicacin, creacin 76
notificaciones y 28
y herencia 9
gestin de la informacin
anlisis de datos de clientes de IPS en host 21
consultas predefinidas y personalizadas para IPS en host 14
paneles y consultas para IPS en host 13
164
I
icono de la bandeja del sistema
definir opciones de cliente 93
desactivar una funcin de IPS en host 83
idioma, IPS en host
definir opciones para clientes 93
implementacin de directivas
cliente Linux y 107
cliente Solaris y 104
Clientes de IPS en host y ePO 7
IPS en host 9
interceptacin de llamadas de sistema 33
IPS en host
actividades y paneles 13
cmo establecer y ajustar la proteccin 20
cmo funciona 7
conjuntos de permisos 25
directivas y sus categoras 9
ficha Informacin del intruso 95
funciones y categoras 9
proteccin bsica y avanzada 7
responder a alertas 95
tipos de directivas 8
IPS, IPS en host
permisos para 25
L
listas de reglas
excepciones para IPS en host 97
reglas de firewall para IPS en host 100
llamadas de activacin
actualizacin de clientes IPS en host 31
migracin
directivas 24
directivas de la versin 7 a la versin 8 24
Mis valores predeterminados, directiva
ndice
Mis valores predeterminados, directiva (continuacin)

Bloqueo de DNS 73
IPS en host 9
IU de cliente 82
Opciones del firewall 70
Opciones IPS 37
Proteccin de IPS 39
Reglas IPS 40
modo adaptacin
Directivas Opciones del firewall 70
Directivas Reglas de firewall 73
modo de adaptacin
aplicar 22
con IPS contra firewall 22
reglas que no se han creado automticamente 22
acerca de 10
ajuste automtico 20
colocar clientes de Host IPS en 37
colocar clientes de IPS en host en 22
directiva Opciones IPS 38
excepcin y 36
modo de aprendizaje
acerca de 10
colocar clientes de IPS en host en 22
Directivas Opciones del firewall 70
Directivas Reglas de firewall 73
reglas de firewall 69
N
NIPS (firmas de Network Intrusion Prevention) 101
niveles de gravedad, IPS
configuracin de reacciones para 40
configuracin y ajuste de la proteccin 20
configurar 10, 19
directiva Proteccin IPS 39
eventos y 52
trabajar con firmas 43
trazado hasta una reaccin 10
niveles de seguridad de firmas
tipos de 43
notificaciones, IPS en host
acerca de 28
categoras especficas del producto admitidas 28
configuracin 19
reglas y eventos 28
O
opciones de lnea de comandos
ClientControl.exe, automatizacin de la actualizacin 93
cliente Solaris, reiniciar 107
comprobacin de que el cliente Solaris se ejecuta 106
comprobar que el cliente Linux se ejecuta 109
detener y reiniciar el cliente Linux 110
Detenin del cliente Solaris 106
P
paneles
consultas y Host Intrusion Prevention 10
gestin de la informacin en IPS en host 13
seguimientos de IPS en host predeterminados 13
visualizacin de conformidad y asuntos de IPS en host 19
paquetes
actualizaciones de contenido de IPS en host 29
perfiles de uso
agrupacin de sistemas de IPS en host 10
Preguntas frecuentes
modo de adaptacin 22
directivas de instancias mltiples 42
prevencin de intrusiones (IPS)
blindaje y envoltura 33
descripcin 32
directiva Proteccin IPS 39
editar reglas de excepcin 98
excepciones 36
firmas, definidas 34
HIPS, acerca de 34
interceptacin de llamadas de sistema 33
mtodos de entrega 33
modo de adaptacin y excepciones 36
motores y controladores 33
NIPS, acerca de 34
opciones de registro 94
opciones de registro del firewall 94
reacciones 35
reglas de cliente 14
reglas de cliente, visin general 56
reglas de comportamiento 35
prioridad
directiva Redes de confianza 86
directivas generales, IPS en host y 81
IPS de red y direcciones IP 86
lista de reglas de firewall 58
procesos supervisados, ver 102
proteccin bsica
directivas de IPS en host predeterminadas 20
IPS en host 7
Proteccin de IPS
activar 37
desactivar 37
proteccin por firewall
activar 70
desactivar 70
protocolos
rastreo y firewall con seguimiento de estado 68
puertos
conexiones FTP e inspeccin de paquetes con seguimiento de
estado 67
conexiones y alertas de firewall 96
firewall y entradas de tabla de estados 65
trfico bloqueado y reglas de firewall 69
R
reacciones
acerca de 35
alertas de firewall, responder a 96
alertas de intrusos, responder a 95
alertas de simulacin detectada, responder a 97
configuracin, para niveles de gravedad de firma 40
proteccin IPS, configuracin 39
tipos de 35
trazado hasta la gravedad de IPS 10
recomendaciones de McAfee
agrupacin de clientes de IPS en host lgica 21
ajuste de directivas predeterminadas de IPS en host 19
165
ndice
recomendaciones de McAfee (continuacin)

Despliegue de IPS en host en fases 21
ponerse en contacto con el soporte de McAfee para desactivar el
motor HIPS 95
sistemas de grupos por criterios de IPS en host 10
utilice la proteccin de IPS para escalonar el impacto de los
eventos 10
registros
activar 154
FireSvc.log 154
HipShield.log 154
para funcionalidad de firewall 154
para funcionalidad IPS 154
usar para solucionar problemas 154
registros de actividad, IPS en host
eliminar entradas 102
opciones de registro del firewall 94
opciones de registro IPS 94
trabajar con la ficha Registro de actividad 102
visualizacin 102
Reglas de bloqueo de DNS
crear y editar 77
reglas de cliente
Firewall 70, 78
consultas de IPS en host 14
creacin de excepciones 36
crear, con modos de adaptacin y aprendizaje 10
directiva Reglas IPS, visin general 55, 56
Firewall 70, 78
IPS 40
reglas de comportamiento
blindaje y envoltura 35
definicin de actividades de IPS en host legtimas 35
reglas de excepcin
acerca de 36
ajuste automtico 22
configuracin de directiva Reglas IPS 51
creacin 52
creacin, basada en evento 52
Crear excepcin 95
definido 10
directiva Reglas IPS 40, 51
editar directivas IPS 98
eventos y 52
lista, clientes Windows y 97
reglas de cliente y agregacin 55, 56
uso de 51
reglas de firewall
crear y editar 75
reglas de proteccin de aplicaciones
acerca de 36
configuracin 50
creacin 50
descripcin 47
directiva Reglas IPS 36, 40, 50
166
reglas de proteccin de aplicaciones (continuacin)

procesos, permitidos o bloqueados 47
uso de 47
S
solucin de problemas, Host IPS
aislar los componentes que causan problemas 148
bloquear trfico distinto de IP 148
comprobar los servicios que se estn ejecutando 148
fallo de aplicaciones con Host Intrusion Prevention instalado 148
usar la utilidad ClientControl 156
usar registros 154
solucin de problemas, IPS en host
Cliente Linux 107, 108
Cliente Solaris 105
Cliente Windows 93, 94
desactivacin de motores IPS en host 95
herramienta hipts 105, 108
IU de cliente 85
opciones 93
registro del firewall, definir opciones 94
sugerencias
uso de notificaciones 28
T
tabla de estados, firewall
descripcin 65
funcionalidad 65
tareas servidor, IPS en host
Ejecutar consulta 27
Exportar consultas 27
Exportar directivas 27
Extraccin del repositorio 27
gestin del despliegue 25, 27
incorporacin de actualizaciones 30
Purgar registro de eventos 27
Purgar registro de eventos de amenazas 27
Traductor de propiedades 27
Traductor de propiedades de IPS en host 27
TrustedSource
cmo funciona 72
definicin 72
Directiva Opciones del firewall de Host IPS 72
U
utilidad ClientControl
detener servicios 156
funcin e instalacin 156
sintaxis de lnea de comandos 156
usar para solucionar problemas 156
utilidades
ClientControl.exe, automatizacin de la actualizacin 93

Directivas y Reglas Hip - 800 - Product - Guide - Epo40 - Es-Es PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Directivas y Reglas Hip - 800 - Product - Guide - Epo40 - Es-Es PDF

Caricato da

Copyright:

Formati disponibili

McAfee Host Intrusion Prevention 8.

Configuracin de directivas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Configuracin de la directiva Proteccin IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Configuracin de directivas de firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Configuracin de directivas generales

Introduccin a las directivas generales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Configuracin de una directiva IU de cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Uso de clientes de Host Intrusion Prevention

Introduccin al cliente Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Apndice A -- Escritura de firmas personalizadas y excepciones. . . . . . . . . . . . . . . . . . 111

Desbordamiento de bfer de clase Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Apndice B: solucin de problemas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Introduccin a Host Intrusion Prevention

McAfee Host Intrusion Prevention es un sistema de deteccin y prevencin de intrusos basado

Proteccin de IPS en host

Introduccin a Host Intrusion Prevention

Directivas de Host IPS

Introduccin a Host Intrusion Prevention

Gestin de directivas de IPS en host

Introduccin a Host Intrusion Prevention

Seguimiento y ajuste de directivas de IPS en host

Introduccin a Host Intrusion Prevention

El despliegue de Host Intrusion Prevention en miles de equipos se gestiona fcilmente, ya que

Introduccin a Host Intrusion Prevention

Puede reducir el nmero de falsos positivos mediante la creacin de reglas de excepcin,

Paneles de IPS en host

Estado del firewall

Estado de IPS en host

Estado del servicio

Recuento de reglas IPS de cliente

Versiones del contenido

Primeros 10 eventos NIPS por IP de origen

Firmas desencadenadas por alto nivel en el escritorio

Firmas desencadenadas por medio nivel en el escritorio

Firmas desencadenadas por bajo nivel en el escritorio

Firmas desencadenadas por alto nivel en el servidor

Firmas desencadenadas por IPS en host

Firmas desencadenadas por medio nivel en el servidor

Firmas desencadenadas por bajo nivel en el servidor

Para obtener ms informacin acerca de la creacin y el uso de paneles, consulte la

Consultas de IPS en host

Consultas predefinidas y personalizadas para analizar la proteccin

Los parmetros para estas consultas incluyen:

Reglas de firewall y reglas de cliente de firewall

NOTA: esta consulta devuelve las reglas de firewall

Usuario de la ltima modificacin

Coincidir con intrusin

Cambiar cuando caduque

Ejecutables de regla de cliente de firewall de Host

Reglas IPS de cliente de Host IPS 8.0

Excepciones IPS de Host IPS 8.0

Nombre del firmante

Nombre del ejecutable

Ruta del ejecutable

Nombre completo del ejecutable

Incluir todos los ejecutables

Incluir todas las firmas

Incluir todos los usuarios

Fecha de la ltima modificacin

Nombre del firmante

Regla de excepcin IPS

Directiva Reglas IPS

Propiedades de IPS en host comunes