Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
0
Gua del producto para su uso con ePolicy Orchestrator 4.0
COPYRIGHT
Copyright 2010 McAfee, Inc. Reservados todos los derechos.
Queda prohibida la reproduccin, transmisin, transcripcin, almacenamiento en un sistema de recuperacin o traduccin a ningn idioma, de
este documento o parte del mismo, de ninguna forma ni por ningn medio, sin el consentimiento previo por escrito de McAfee, Inc., sus
proveedores o sus empresas filiales.
ATRIBUCIONES DE MARCAS COMERCIALES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y
WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros pases.
El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las dems marcas comerciales, tanto registradas
como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.
INFORMACIN DE LICENCIA
Acuerdo de licencia
AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE
ESTIPULA LOS TRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QU TIPO DE LICENCIA
HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIN DE LA LICENCIA O
CON LA ORDEN DE COMPRA QUE ACOMPAAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA
COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE
DESCARG EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE.
SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRI CON EL FIN DE OBTENER SU REEMBOLSO
NTEGRO.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Contenido
Introduccin a Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Proteccin de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gestin de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Seguimiento y ajuste de directivas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Gestin de la proteccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Gestin de la informacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Paneles de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Consultas de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Gestin de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Dnde encontrar directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configuracin de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Proteccin predeterminada y ajustes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Migracin de directivas de Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Gestin del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Conjuntos de permisos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tareas del servidor de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Notificaciones de eventos de IPS en host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Actualizaciones de proteccin de IPS en host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Contenido
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Contenido
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Contenido
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Las aplicaciones de McAfee se enumeran como aplicaciones de confianza para todas las
reglas, excepto para las reglas de autoproteccin de IPS.
Se protegen las aplicaciones y procesos predefinidos.
Para la proteccin de firewall:
Se permite la conectividad bsica de red.
NOTA: cuando Host Intrusion Prevention 8.0 se instala por primera vez, no est activa ninguna
proteccin. Debe activar la proteccin en la directiva Opciones de IPS u Opciones del firewall
y aplicar la directiva al cliente.
Proteccin avanzada
Para obtener proteccin avanzada, cambie de configuraciones IPS predeterminadas a
configuraciones preestablecidas ms estrictas o cree configuraciones personalizadas.
Empiece con un despliegue de muestra para supervisar y ajustar la nueva configuracin. Los
ajustes necesitan equilibrar la proteccin contra prevencin de intrusos y acceder a la informacin
necesaria y a las aplicaciones por tipos de grupo.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Directivas de firewall
La funcin Firewall incluye tres directivas que solo protegen los equipos Windows. Filtra el
trfico de red, lo que permite que el trfico legtimo pase a travs del firewall, y bloquea el
resto.
Opciones de firewall (solo Windows). Activa o desactiva la proteccin del firewall y la
aplicacin del modo de adaptacin o de aprendizaje para el ajuste.
Reglas de firewall (solo Windows). Define las reglas de firewall.
Bloqueo DNS del firewall (solo Windows). Define los servidores de nombre de dominio
que han de bloquearse.
Directivas generales
La funcin General incluye tres directivas que pueden aplicarse a las funciones IPS y Firewall.
IU de cliente (solo Windows). Define el acceso a la interfaz de usuario de Host Intrusion
Prevention en los sistemas de cliente Windows, as como a las opciones de solucin de
problemas. Tambin proporciona proteccin mediante contrasea a todos los sistemas de
clientes que no son Windows.
Redes de confianza (solo Windows). Muestra direcciones IP y redes seguras para establecer
comunicacin. Se usa con las funciones IPS y Firewall.
Aplicaciones de confianza (todas las plataformas). Muestra aplicaciones que son de
confianza para realizar operaciones. Se usa con la funcin IPS. Esta directiva es una directiva
de mltiples instancias, lo que permite que se asignen a un sistema varias directivas de
Aplicaciones de confianza, en lugar de una sola direciva. Por lo tanto, la directiva efectiva
es el resultado de los contenidos unidos de las directivas. Si hay configuraciones en conflicto,
se aplica la configuracin que ofrezca mayor proteccin.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
preconfiguradas de solo lectura. Si estas directivas cubren sus necesidades, puede aplicar
cualquiera de ellas. Estas directivas de solo lectura, como todas las directivas, pueden duplicarse
y personalizar el duplicado, si fuera necesario.
Las reglas IPS y las aplicaciones de confianza son directivas de instancias mltiples, ya que
puede asignar mltiples instancias de directivas bajo una nica directiva. Las instancias de
directivas se combinan automticamente en una directiva en vigor.
SUGERENCIA: las directivas McAfee Default para Reglas IPS y Aplicaciones de confianza se
actualizan automticamente como parte del proceso de actualizacin de contenido. McAfee
recomienda asignar siempre estas directivas a todos los clientes y crear instancias adicionales
de la directiva para personalizar el comportamiento de estas dos directivas.
Cmo se aplican las directivas
Las directivas se aplican a cada grupo o sistema del rbol del sistema, ya sea por herencia o
por asignacin. Herencia determina si la configuracin de directivas de cualquier sistema procede
de su nodo principal. La herencia est activada de forma predeterminada en todo el rbol de
sistemas. Puede romper la herencia mediante asignacin directa de directivas. Host Intrusion
Prevention, si se gestiona desde ePolicy Orchestrator, le permite crear directivas y asignarlas
sin contar con la herencia. Cuando se interrumpe esta herencia asignando una nueva directiva,
todos los grupos y sistemas secundarios heredan la nueva directiva.
Propietarios de las directivas
Cada directiva tiene que tener asignado un propietario. La propiedad asegura que nadie ms
que el administrador global, el creador de la directiva o la persona asociada como propietario
de la directiva pueda modificarla. Cualquier administrador puede utilizar una directiva que exista
en el catlogo, pero nicamente el creador, el propietario o el administrador global podrn
modificarla.
SUGERENCIA: en lugar de utilizar una directiva que es propiedad de un administrador diferente,
se aconseja duplicar la directiva y, a continuacin, asignar el duplicado. Por otro lado, si asigna
una directiva de la que no es propietario a grupos de rbol del sistema que administra y el
propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva
recibirn estas modificaciones.
10
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
11
12
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
La gestin de un despliegue de Host Intrusion Prevention incluye el seguimiento, el anlisis y
la reaccin a las actividades, el cambio y actualizacin de directivas, y la realizacin de tareas
del sistema.
Contenido
Gestin de la informacin
Gestin de directivas
Gestin del sistema
Gestin de la informacin
Tras la instalacin de Host Intrusion Prevention, puede hacer un seguimiento y un informe
sobre los asuntos de seguridad que surjan en su entorno. Utilice los paneles para obtener una
visin diaria de la situacin de seguridad o para ejecutar consultas sobre informacin detallada
acerca de asuntos concretos.
Monitores
IPS en host
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
13
Gestin de la proteccin
Gestin de la informacin
Panel
Monitores
14
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin de la informacin
Parmetros
Accin
Direccin
Activado
ltima modificacin
ID de nodo de hoja
Servicios locales
Estado de registro
Protocolo IP
Tipo de soporte
Nombre
Nota
Servicios remotos
ID de regla
Planificar fin
Planificar inicio
Protocolo de transporte
Huella digital
Nombre
Nota
Ruta
ID de regla
Fecha de creacin
Descripcin
Huella digital
Versin local
Reaccin
ID de firma
Estado
Nombre de usuario
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
15
Gestin de la proteccin
Gestin de la informacin
Consulta
Parmetros
Atacantes bloqueados
Idioma
Versin de contenido
Versin de complemento
Versin de hotfix/parche
Servicio en ejecucin
Versin del producto
Service Pack
Nombre de la firma
Instalar directorio
Consultas predefinidas
Adems de las consultas personalizadas, puede usar varias consultas predefinidas tal cual o
editarlas para obtener solo la informacin que necesita. Escoja entre las siguientes consultas
predefinidas de Host IPS:
Consulta HIP
Resumen
Muestra las reglas de firewall para cliente enumeradas por proceso y por intervalo de
puertos.
Muestra las reglas de firewall para cliente enumeradas por proceso y usuario.
Muestra las reglas de firewall para cliente enumeradas por protocolo y nombre de
sistema.
Muestra las reglas de firewall para cliente enumeradas por protocolo y proceso.
Muestra las primeras tres versiones del cliente con una categora nica para el resto
de las versiones.
Clientes pendientes de reinicio Muestra los sistemas administrados en los que IPS en host est desplegado y el
instalador debe reiniciar el sistema.
16
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin de directivas
Consulta HIP
Resumen
Muestra las primeras tres versiones del contenido con una categora nica para el
resto de las versiones.
Recuento de reglas de cliente Muestra el nmero de reglas de firewall para cliente que se han creado con el paso
de firewall
del tiempo.
Recuento de reglas IPS de
cliente
Muestra el nmero de reglas IPS de cliente que se han creado con el paso del tiempo.
Eventos de redes de confianza Muestra los eventos generados por sistemas que forman parte de redes de confianza
de IPS en host
de IPS en host.
Errores de firewall
Muestra los sistemas administrados en los que la funcin de firewall est activada
mediante directiva, pero que no se iniciaron correctamente.
Muestra los sistemas administrados en los que la funcin de IPS est activada mediante
directiva, pero que no se iniciaron correctamente.
10 eventos IPS principales por Muestra los 10 sistemas con mayor nmero de eventos IPS.
destino
10 NIPS principales por IP de
origen
10 firmas ms activadas
Gestin de directivas
La gestin de directivas implica la configuracin y aplicacin de directivas y el ajuste de la
proteccin para los recursos y las aplicaciones del sistema. Parte de este proceso necesita un
anlisis de los eventos y las reglas de los clientes.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
17
Gestin de la proteccin
Gestin de directivas
Haga lo siguiente...
18
Importar directivas
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin de directivas
Configuracin de directivas
Despus de instalar el software Host Intrusion Prevention, McAfee recomienda configurar las
directivas para proporcionar el mximo nivel de seguridad sin entrar en conflicto con las
actividades diarias. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al
ms amplio conjunto de entornos de cliente y pueden satisfacer sus necesidades. Para ajustar
las directivas para que se adapten a su situacin concreta, se recomienda lo siguiente:
Con cuidado, defina su configuracin de seguridad de Host Intrusion Prevention. Evale
quines son los encargados de configurar partes concretas del sistema y concdales los
permisos adecuados.
Cambie las directivas de proteccin IPS o de las reglas de Firewall predeterminadas, que
proporcionan niveles crecientes de la proteccin preestablecida.
Modifique los niveles de gravedad de firmas especficas. Por ejemplo, cuando una firma se
activa por el trabajo cotidiano de los usuarios, reduzca el nivel de gravedad.
Configure los paneles para ver un resumen rpido de conformidad y asuntos.
Configure notificaciones para alertar a usuarios especficos cuando se produzcan eventos
concretos. Por ejemplo, se puede enviar una notificacin cuando una actividad que activa
un evento de gravedad alta se produce en un servidor concreto.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
19
Gestin de la proteccin
Gestin de directivas
20
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin de directivas
Promocione las reglas de cliente apropiadas para las reglas de directivas administrativas.
Al cabo de unas cuantas semanas, desactive el modo de adaptacin.
Supervise el grupo de prueba durante unos das para asegurarse de que la configuracin
de la directiva es adecuada y ofrece la proteccin deseada.
Repita este proceso con cada tipo de grupo de produccin.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
21
Gestin de la proteccin
Gestin de directivas
estas consultas para comunicar actividades del entorno a otros miembros de su equipo y a la
direccin de la empresa.
Modo de adaptacin
Un elemento fundamental en el proceso de ajuste incluye colocar clientes Host Intrusion
Prevention en el modo de adaptacin para IPS y Firewall. Este modo permite a los equipos
crear reglas de excepcin de cliente en las directivas administrativas. El modo de adaptacin
lo hace de forma automtica sin la interaccin del usuario.
Este modo primero analiza los eventos en busca de los ataques ms dainos, como el
desbordamiento del bfer. Si la actividad se considera normal y necesaria para la empresa, se
crean reglas de excepcin de cliente. Al configurar clientes representativos en modo de
adaptacin, puede crear una configuracin de ajuste para ellos. A continuacin, Host Intrusion
Prevention permite escoger cualquiera, todas o ninguna de las reglas de cliente y convertirlas
en directivas impuestas por el servidor. Al finalizar el ajuste, desactive el modo de adaptacin
para obtener una mayor proteccin de prevencin de intrusiones en el sistema.
Ejecute los clientes en modo de adaptacin durante una semana como mnimo. Esto permite
a los clientes disponer de tiempo suficiente para detectar todas las actividades que detectaran
normalmente. Intente llevar a cabo esta operacin en los momentos de actividad planificada,
como copias de seguridad o procesamiento de secuencias de comandos.
A medida que se detectan las actividades, se generan eventos IPS y se crean excepciones.
Las excepciones son actividades que se distinguen como comportamiento inofensivo. Por
ejemplo, una directiva puede considerar que cierto procesamiento de secuencias de comandos
constituye un comportamiento ilegal, pero ciertos sistemas de los grupos de ingeniera
necesitan realizar este tipo de tareas. Permita que se creen excepciones para esos sistemas
a fin de que puedan funcionar con normalidad, mientras la directiva sigue evitando esta
actividad en otros sistemas. A continuacin, haga que estas excepciones formen parte de
una directiva impuesta por el servidor relativa al grupo de ingeniera.
Es posible que necesite aplicaciones de software para negocios normales en algunas reas
de la empresa, pero no en otras. Por ejemplo, puede permitir el uso de la mensajera
instantnea en las organizaciones de asistencia tcnica, pero evitar su uso en el departamento
de finanzas. Puede establecer la aplicacin como de confianza en los sistemas de asistencia
tcnica para permitir el acceso completo a la misma por parte de los usuarios.
La funcin firewall acta como filtro entre un equipo y la red o Internet. El firewall analiza
todo el trfico entrante y saliente a nivel del paquete. A medida que revisa cada paquete
que se recibe o se enva, el firewall comprueba su lista de reglas de firewall, que es un
conjunto de criterios con acciones asociadas. Si un paquete cumple con todos los criterios
de una regla, el firewall realiza la accin especificada por la regla: permite que el paquete
pase por el firewall o lo bloquea.
22
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin de directivas
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
23
Gestin de la proteccin
Gestin de directivas
24
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin del sistema
la herencia podra interrumpirse en otros puntos del rbol de sistemas, cuando las asignaciones
migradas estn fusionadas. Revise siempre la asignacin de directivas despus de migrar las
directivas.
Migracin de directivas de forma directa
Tras instalar la extensin Host Intrusion Prevention 8.0, la manera ms fcil de migrar todas
las directivas existentes es migrarlas directamente.
1
En Accin para directivas de Host IPS 6.1 o 7.0 del catlogo de directivas ePO, haga clic
en Migrar.
En Accin para directivas de Host IPS 6.1 7.0 en un archivo xml, haga clic en Migrar.
Seleccione los archivos xml de la versin de Host IPS 6.1 7.0 exportados previamente y,
a continuacin, haga clic en Aceptar. El archivo xml se ha convertido al formato de las
directivas de la versin 8.0.
Haga clic con el botn derecho en el enlace del archivo convertido MigratedPolicies.xml y
gurdelo para importarlo.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
25
Gestin de la proteccin
Gestin del sistema
Firewall
General
El administrador global tambin necesita dar permisos de ePolicy Orchestrator para encargarse
de otras reas que funcionan con Host Intrusion Prevention, como consultas y paneles. Por
ejemplo, para analizar y gestionar las reglas de firewall para clientes encontradas en las pginas
de IPS en host, en Informes, un usuario necesita los permisos de vista para acceder al registro
de eventos, los permisos de vista para sistemas, los permisos de vista para acceder al rbol de
sistemas, y los permisos de vista y de cambio para la funcin de Firewall de Host Intrusion
Prevention.
Tabla 3: Permisos necesarios para trabajar con varias funciones
Para estas funciones de IPS en host
Paneles, consultas
Consultas
Tareas servidor
Software
Notificaciones
26
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin del sistema
Intrusion Prevention, as como para el conjunto de permisos del registro de eventos, de los
sistemas y del acceso al rbol de sistemas.
Tarea
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
1
Panel, consultas
Consultas
Descripcin
Traductor de propiedades de IPS en host (preconfigurado) Esta tarea servidor traduce reglas de cliente de Host
Intrusion Prevention almacenadas en las bases de datos
de ePolicy Orchestrator para gestionar la clasificacin, la
agrupacin y el filtrado de datos de Host Intrusion
Prevention. Esta tarea se ejecuta automticamente cada
15 minutos y no requiere interaccin del usuario. Pero
puede ejecutarla manualmente si necesita ver de forma
inmediata los comentarios de las acciones de los clientes.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
27
Gestin de la proteccin
Gestin del sistema
Tarea servidor
Descripcin
28
Describa la regla.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin del sistema
Categoras de notificaciones
Host Intrusion Prevention admite las siguientes categoras de notificaciones de productos
especficos:
Intrusin en host detectada y gestionada
Intrusin de red detectada y gestionada
Desconocido
Parmetros de las notificaciones
Las notificaciones solo se pueden configurar para todas o para ninguna de las firmas de IPS en
host (o de red). Host Intrusion Prevention admite la especificacin de un nico ID de firma de
IPS como nombre de la amenaza o de la regla en la configuracin de reglas de notificacin. Al
asociar internamente el atributo ID de la firma de un evento con el nombre de la amenaza, se
crea una regla para identificar solo una firma IPS.
Las asignaciones especficas de los parmetros de Host Intrusion Prevention permitidos en el
asunto/cuerpo de un mensaje incluyen:
Parmetros
ID de firma
Sistemas de origen
Direccin IP remota
Objetos afectados
ID del evento
Informacin adicional
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
29
Gestin de la proteccin
Gestin del sistema
Seleccione Extraccin del repositorio como tipo de tarea, el origen del paquete
(McAfeeHttp o McAfeeFtp), la rama que recibe el paquete (Actual, Anterior,
Evaluacin) y un paquete seleccionado (Contenido de Host Intrusion Prevention)
y, a continuacin, haga clic en Siguiente.
30
Seleccione la rama en la que desea instalar el paquete y haga clic en Guardar. El paquete
aparecer en la ficha Repositorio principal.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gestin de la proteccin
Gestin del sistema
Vaya a Sistemas | rbol de sistemas | Tareas del cliente, seleccione el grupo al que
desea enviar las actualizaciones del contenido y haga clic en Nueva tarea.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
31
32
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
que indican qu procesos proteger, complementan las firmas. Al igual que la directiva
Aplicaciones de confianza, esta categora de directivas puede contener varias instancias de
directiva. Las actualizaciones de contenido proporcionan firmas nuevas y actualizadas y reglas
de proteccin de aplicaciones para mantener la proteccin en curso.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
33
Firmas
Las firmas son una recopilacin de reglas de prevencin de intrusiones que se pueden hacer
corresponder con una secuencia de trfico. Por ejemplo, una firma podra buscar una cadena
especfica en una solicitud HTTP. Si una cadena coincide con un ataque conocido, se lleva a
cabo una accin. Estas reglas proporcionan proteccin contra los ataques conocidos.
Las firmas se disean para aplicaciones y sistemas operativos especficos; por ejemplo, servidores
Web como Apache e IIS. La mayora de las firmas protegen todo el sistema operativo, mientras
que algunas protegen aplicaciones especficas.
Firmas del IPS en host
La proteccin de Host Intrusion Prevention se encuentra en sistemas individuales, como
servidores, estaciones de trabajo o porttiles. El cliente de Host Intrusion Prevention inspecciona
el trfico que entra y sale de un sistema, y examina el comportamiento de las aplicaciones y el
sistema operativo para buscar ataques. Al detectar un ataque, el cliente lo puede bloquear en
la conexin del segmento de red o puede emitir comandos para detener el comportamiento
iniciado por el ataque. Por ejemplo, se impide el desbordamiento del bfer al bloquear los
programas malintencionados insertados en el espacio de direcciones que aprovecha un ataque.
La instalacin de programas de puerta trasera (back door) con aplicaciones como Internet
Explorer se bloquea al interceptar y denegar el comando write file (escribir archivo) de la
aplicacin.
Estas firmas:
Protegen frente a un ataque y los resultados de un ataque; por ejemplo, evitan que un
programa escriba en un archivo.
Protegen los equipos porttiles cuando se encuentran fuera de la red protegida.
Protegen de los ataques locales introducidos por CD o dispositivos USB. A menudo, estos
ataques se centran en aumentar los privilegios del usuario a raz o administrador para
daar otros sistemas de la red.
Proporcionan una ltima lnea de defensa contra los ataques que han eludido otras
herramientas de seguridad.
Evitan los ataques internos o el uso indebido de dispositivos ubicados en el mismo segmento
de la red.
34
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Ofrecen proteccin frente a ataques en los que la secuencia de datos codificados finaliza en
el sistema protegido al examinar el comportamiento y los datos descifrados.
Protegen sistemas en arquitecturas de red obsoletas o no habituales como Token Ring o
FDDI.
Host Intrusion Prevention contiene una larga lista predeterminada de firmas de IPS en host
para todas las plataformas. Puede editar el nivel de gravedad, el estado de registro y la
configuracin de creacin de reglas de cliente de estas firmas, o agregar firmas personalizadas
a la lista. La lista de firmas se actualiza si es necesario siempre que instale actualizaciones de
contenido.
Firmas IPS de red
La proteccin IPS de red tambin se encuentra ubicada en sistemas individuales. Se examinan
todos los flujos entre el sistema protegido y el resto de la red para un ataque. Cuando se
identifica un ataque, se descartan o se bloquean los datos infractores que pasan por el sistema.
Estas firmas:
Protegen los sistemas secundarios en un segmento de red.
Protegen los servidores y los sistemas que se conectan a ellos.
Ofrecen proteccin frente a ataques de denegacin de servicio de red y ataques orientados
al ancho de banda que deniegan o degradan el trfico de red.
Host Intrusion Prevention contiene una lista predeterminada de un nmero pequeo de firmas
de IPS de red para plataformas Windows. Puede editar el nivel de gravedad, el estado de
registro y la configuracin de creacin de reglas de cliente de estas firmas, pero en este momento
no puede agregar firmas personalizadas a la lista. La lista de firmas se actualiza si es necesario
siempre que instale actualizaciones de contenido.
Reglas de comportamiento
Las reglas basadas en el comportamiento bloquean los ataques de tipo zero-day y garantizan
el comportamiento apropiado de sistemas operativos y aplicaciones. Las reglas de
comportamiento heursticas definen un perfil de actividad legtima. La actividad que no coincide
con estas reglas se considera sospechosa y activa una respuesta. Por ejemplo, una regla de
comportamiento puede indicar que solo un proceso de servidor web puede acceder a los archivos
HTML. Si cualquier otro proceso intenta acceder a los archivos HTML, se llevar a cabo una
accin. Este tipo de proteccin, llamada blindaje y envoltura de aplicacin, evita poner en peligro
aplicaciones y datos, y evita que las aplicaciones se usen para atacar otras aplicaciones.
Adems, las reglas de comportamiento previenen los ataques de desbordamiento de bfer y
evitan ejecuciones de cdigo derivadas de un ataque de desbordamiento de bfer, uno de los
mtodos ms comunes para atacar servidores y equipos de sobremesa.
Reacciones
Una reaccin es lo que hace el cliente Host Intrusion Prevention cuando se activa una firma
con una gravedad especfica.
El cliente reacciona de una de estas tres maneras:
Ignorar: no hay ninguna reaccin; el evento no se registra y la operacin no se impide.
Registrar: el evento se registra pero no se impide la operacin.
Evitar: el evento se registra y se impide la operacin.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
35
Una directiva de seguridad podra indicar, por ejemplo, que cuando un cliente reconoce una
firma de gravedad baja registra la incidencia de esa firma y permite que se produzca la operacin,
y que cuando reconoce una firma de gravedad alta impide la operacin.
NOTA: se puede permitir directamente el registro en cada firma. La directiva Proteccin IPS
define automticamente la reaccin para los niveles de gravedad de firma.
Excepciones
Una excepcin anula una actividad bloqueada por la reaccin a una firma.
En algunos casos, el comportamiento que una firma define como un ataque podra ser parte
de la rutina de trabajo habitual de un usuario o una actividad que est permitida para una
aplicacin protegida. Para omitir esta firma, puede crear una excepcin que permita las
actividades legtimas. Por ejemplo, una excepcin podra indicar que se omita una operacin
para un cliente en concreto.
Puede crear estas excepciones manualmente o colocar clientes en modo de adaptacin y
permitirles crear reglas de excepcin de cliente. Para asegurar que algunas firmas no se omiten
nunca, edite la firma y desactive las opciones de Permitir reglas del cliente. Puede hacer un
seguimiento de las excepciones en la consola de ePolicy Orchestrator y mostrarlas en vistas
normales, filtradas y agregadas. Utilice estas reglas de cliente para crear nuevas directivas o
agregarlas a directivas existentes que pueden aplicarse a otros clientes.
Los clientes de Host Intrusion Prevention contienen un conjunto de reglas de firma IPS que
determinan si las actividades que se realizan en un equipo son inofensivas o dainas. Cuando
se detectan actividades dainas, se envan alertas denominadas eventos al servidor de ePO y
aparecen en la ficha IPS en host, en Informes.
El nivel de proteccin establecido para firmas en la directiva Proteccin IPS determina las
acciones adoptadas por un cliente al producirse un evento. Las reacciones incluyen omitir,
registrar o evitar la actividad.
Los eventos de actividades inofensivas que resultan ser falsos positivos se pueden anular
mediante la creacin de una excepcin a la regla de firma o mediante la calificacin de
aplicaciones como de confianza. Los clientes en modo de adaptacin crean excepciones
automticamente, denominadas reglas de cliente. Los administradores pueden crear excepciones
manualmente en cualquier momento.
Supervisar los eventos y las reglas de excepcin del cliente ayuda a determinar cmo ajustar
la implementacin para lograr una proteccin IPS ms efectiva.
36
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Eventos
Se generan eventos IPS cuando un cliente reacciona a una firma activada.
Los eventos se registran en la ficha Eventos de la ficha IPS en host, en Informes. Los
administradores pueden ver y supervisar estos eventos para analizar infracciones de reglas del
sistema. Despus, pueden ajustar las reacciones a eventos o crear excepciones o reglas de
aplicaciones de confianza para reducir el nmero de eventos y ajustar la configuracin de
proteccin.
NOTA: el cliente de Host Intrusion Prevention agrega eventos para que no se enven todos los
eventos al servidor ePO. As se evita que numerosos eventos que ocurren en menos de 20
segundos se enven de manera repetida al servidor. Si un evento vuelve a suceder tras 20
segundos, se informa del evento adicional. Los administradores pueden ver todos los eventos
en la ficha IPS en host, en Informes, en la consola ePO del sistema del cliente.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
37
En la lista de directivas Opciones IPS, haga clic en Editar en Acciones para cambiar la
configuracin de una directiva personalizada.
NOTA: Para las directivas editables, otras opciones incluyen: cambiar nombre, duplicar,
eliminar y exportar. Para las directivas no editables, las opciones incluyen visualizar y
duplicar.
38
En la pgina Opciones IPS que aparece, haga los cambios que sean necesarios, incluyendo
el estado, el inicio y la configuracin IPS de red, y, a continuacin, haga clic en Guardar.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Funcin
Proteccin mejorada
Proteccin mxima
Evitar las firmas con gravedad alta, registrar las que tienen
una gravedad media y omitir el resto.
Advertencia
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
39
En la lista de directivas Proteccin IPS que aparece, haga clic en Editar en Acciones
para cambiar la configuracin de una directiva personalizada.
NOTA: para las directivas editables, otras opciones incluyen cambiar nombre, duplicar,
eliminar y exportar. Para las directivas no editables, las opciones incluyen visualizar y
duplicar.
En la pgina Proteccin IPS que aparece, haga los cambios que sean necesarios y, a
continuacin, haga clic en Guardar.
40
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
En la lista de directivas Reglas IPS, haga clic en Editar en Acciones para cambiar la
configuracin de una directiva personalizada.
NOTA: para las directivas editables, otras opciones incluyen: cambiar nombre, duplicar,
eliminar y exportar. Para las directivas no editables, las opciones incluyen visualizar y
duplicar.
En la pgina Reglas IPS que aparece, haga los cambios que sean necesarios y, a
continuacin, haga clic en Guardar. Consulte Configuracin de firmas IPS, Configuracin
de las reglas de proteccin de aplicaciones IPS y Configuracin de las excepciones IPS para
obtener ms detalles.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
41
42
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
43
En Acciones, haga clic en Editar para hacer los cambios en la pgina Reglas IPS y, a
continuacin, haga clic en la ficha Firmas.
Haga lo siguiente...
44
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Para...
Haga lo siguiente...
predeterminadas haciendo clic en Revertir en
Acciones.
NOTA: cuando haya editado una firma y guardado
los cambios, la firma vuelve a ordenarse en la lista.
Por ello, quizs tendr que buscar en la lista para
encontrar la firma editada.
En la ficha Firmas de la directiva Reglas IPS, haga clic en Nueva. Aparecer una pgina
Firma en blanco.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
45
Mtodo estndar
Mtodo experto
2
2
Para obtener detalles sobre cmo trabajar con tipos de clases, operaciones y parmetros,
consulte la seccin de clase adecuada de Escritura de firmas personalizadas y excepciones.
5
46
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Definicin
? (signo de interrogacin)
Un solo carcter.
* (un asterisco)
** (dos asteriscos)
| (canalizacin)
Definicin
? (signo de interrogacin)
Un solo carcter.
* (un asterisco)
| (canalizacin)
Qu caracteres comodn puedo usar para los valores de subregla experta de firma?
Para todos los valores cuando se crea una subregla mediante el mtodo experto:
Carcter
Definicin
? (signo de interrogacin)
Un solo carcter.
* (un asterisco)
C:\*.txt }
& (y comercial)
C:\test\\&.txt }
! (signo de exclamacin)
C:\test\\yahoo!.txt }
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
47
registro y archivos a nivel del kernel no se ve afectado. Solo los procesos que en la lista muestran
el estado incluido reciben la proteccin contra desbordamiento de bfer.
Host Intrusion Prevention proporciona una lista esttica de procesos que se permiten o bloquean.
Esta lista se actualiza con actualizaciones de contenido que se aplican a la directiva Reglas IPS
de McAfee Default. Adems, los procesos a los que se permite el enlace se agregan
dinmicamente a la lista cuando el anlisis del proceso est habilitado. Este anlisis se realiza
en estas circunstancias:
Cada vez que el cliente se inicia y se enumeran los procesos en ejecucin.
Cada vez que se inicia un proceso.
Cada vez que la lista de proteccin de la aplicacin se actualiza mediante el servidor de
ePolicy Orchestrator.
Cada vez que la lista de procesos que escuchan en un puerto de red se actualiza.
NOTA: para la actualizacin dinmica de la lista, la opcin "Incluir automticamente aplicaciones
para red y basadas en servicios en la lista de proteccin de aplicaciones" de la directiva Opciones
de IPS debe estar seleccionada. Esta opcin incluye, de manera implcita, todos los servicios y
las aplicaciones de Windows que escuchan en puertos de red.
Este anlisis implica la comprobacin de si el proceso est excluido de la lista Proteccin de
aplicaciones. Si no est excluido, comprueba si se ha incluido en la lista Proteccin de
aplicaciones. Si no es as, el proceso se analiza para ver si escucha en un puerto de red o se
ejecuta como un servicio. Si tampoco es as, se bloquea el enlace y el proceso no se protege.
48
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
49
de procesos actualizada que especifique que el proceso ya enlazado no debera seguir enlazado.
Cuando la lista de enlaces del proceso se actualiza, cada proceso enumerado en el cach de
informacin de procesos en ejecucin se compara con la lista actualizada. Si la lista indica que
un proceso debera estar enlazado y no lo est, se procede a enlazarlo. Si las listas indican que
un proceso no debera estar enlazado y lo est, se procede a eliminar el enlace.
La lista de enlazado de procesos puede verse y editarse en la ficha Reglas de proteccin de
aplicaciones. La interfaz de usuario de cliente, a diferencia de la vista de la directiva Reglas
IPS, muestra una lista esttica de todos los procesos de aplicacin enlazados.
NOTA: para evitar la inyeccin de un DLL en un ejecutable al usar hook:set_windows_hook,
incluya el ejecutable en la lista de proteccin de aplicaciones.
En Acciones, haga clic en Editar para hacer los cambios en la pgina Reglas IPS y, a
continuacin, haga clic en la ficha Reglas de proteccin de aplicaciones.
Haga lo siguiente...
50
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Tarea
Para ver las definiciones de las opciones, haga clic en ? en la interfaz.
1
Seleccione una regla y haga clic en Duplicar. Despus de darle un nombre y guardar
la nueva regla, haga clic en Editar.
Introduzca el nombre (obligatorio), el estado, si la regla de la aplicacin se incluye en la
lista de proteccin y los ejecutables a los que desea aplicar la regla.
NOTA: puede agregar un ejecutable existente del catlogo de IPS en host al hacer clic en
Agregar desde catlogo. Para obtener ms informacin sobre el catlogo, consulte Cmo
funciona el catlogo de IPS en host en Configuracin de directivas de firewall.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
51
En Acciones, haga clic en Editar para hacer los cambios en la pgina Reglas IPS y, a
continuacin, haga clic en la ficha Reglas de excepcin.
Haga lo siguiente...
Configure los ejecutables, los parmetros o los grupos de dominio que representan un
papel como excepcin segn comportamiento para la firma.
52
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Dado que los valores almacenados bajo estas claves indican programas que se inician al encender
el equipo, el reconocimiento de esta firma podra indicar que alguien est intentando alterar el
sistema. Tambin puede indicar algo benigno, como la instalacin de WinZip por parte de un
empleado en uno de sus equipos. La instalacin de WinZip agrega un valor a la clave de registro
Ejecutar.
Para eliminar el inicio de eventos cada vez que alguien instala software autorizado, puede crear
excepciones para dichos eventos.
Filtrado y agregacin de eventos
La aplicacin de eventos genera una lista de eventos que satisface todas las variables definidas
en los criterios de filtro. El resultado es una lista de eventos que incluye todos los criterios. La
agregacin de eventos de cliente genera una lista de eventos agrupados por el valor asociado
con cada variable seleccionada en el cuadro de dilogo "Seleccionar columnas para agregar".
El resultado es una lista de eventos mostrados en grupos y ordenados por el valor asociado
con las variables seleccionadas.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
53
Seleccione el grupo en el rbol de sistemas del que desea mostrar los eventos IPS.
Aparecern todos los eventos asociados al grupo. De forma predeterminada, no se muestran
todos los eventos. Solo aparecern los eventos de los ltimos 30 das.
Para...
Haga lo siguiente...
Agregar excepciones
Marque los eventos para facilitar su filtrado y seguimiento: seleccione la casilla de uno o
ms eventos y despus haga clic en el comando adecuado.
NOTA: el comando est en el men Ms acciones.
54
Para...
Ocultar el evento
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seleccione la casilla del evento para el que quiere crear una excepcin.
En el cuadro de dilogo que aparece, seleccione una directiva de destino Reglas IPS y haga
clic en Aceptar. Se ha creado la excepcin y se ha aadido de forma automtica al final
de la lista de excepciones de la directiva de destino Reglas IPS.
Seleccione la casilla del evento para el que quiere crear una aplicacin de confianza.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
55
Puede ordenar, filtrar y agregar las excepciones y ver sus detalles. De este modo, puede ascender
algunas o todas las excepciones de clientes a una directiva Reglas IPS concreta para reducir
los falsos positivos en un entorno del sistema concreto.
Use la funcin de agregacin para combinar excepciones que tengan los mismos atributos, para
que solo aparezca una excepcin agregada, al tiempo que se realiza un seguimiento del nmero
de veces que se producen las excepciones. Esto permite encontrar ms fcilmente los puntos
problemticos de proteccin de IPS en los clientes.
Vaya a Informes | Host IPS 8.0 y haga clic en Reglas de cliente de IPS.
Seleccione el grupo en el rbol del sistema del que desea mostrar las reglas de cliente.
56
Para...
Haga lo siguiente...
Agregar excepciones
Para mover excepciones a una directiva, seleccione una o ms excepciones de la lista, haga
clic en Crear excepcin e indique la directiva a la que desea mover las excepciones.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
57
Protocolos de firewall
El firewall protege trabajando en varios niveles de la arquitectura de red, donde se utilizan
diferentes criterios para restringir el trfico de la red. Esta arquitectura de red se construye en
el paquete Protocolo de control de transmisin/Protocolo de Internet (TCP/IP).
Capa de enlace
El protocolo de capa de enlace describe el control de acceso a los medios (MAC) y algunas
aplicaciones menores de deteccin de errores.
Ethernet LAN (802.3), Wi-Fi inalmbrico (802.11x) y LAN virtual (VPN) se encuentran en esta
capa. Tanto las reglas de firewall como los grupos distinguen entre enlaces con cables,
inalmbricos o virtuales.
58
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Capa de red
Los protocolos de capa de red definen planes de direcciones, enrutado y control de red.
Igualmente, es compatible con los protocolos arbitrarios no de IP, pero no puede detectar
parmetros de capa de red o de transporte en ellos. En el mejor de los casos, permite al
administrador bloquear o permitir estos protocolos de capa de red. Los nmeros asociados a
los protocolos no de IP se basan en nmeros de Ethernet definidos por Internet Assigned
Numbers Authority (IANA) y publicados en http://www.iana.org/assignments/ethernet-numbers.
El firewall de Host IPS ofrece total compatibilidad para IPv4 e IPv6 en Windows XP, Windows
Vista, Windows Server 2008 y Windows 7.
Capas de transporte
IP puede ser utilizado como protocolo de red por una serie de protocolos de transporte distintos.
En la prctica, los ms comunes son cuatro: TCP, User Datagram Protocol (UDP), Internet
Control Message Protocol versin 4 y versin 6 (ICMPv4 e ICMPv6).
TCP
TCP es un protocolo de transporte de confianza orientado a la conexin. Garantiza que los datos
incluidos en los paquetes de red se entreguen de modo fiable y en orden. Tambin controla la
velocidad a la que se reciben y transmiten los datos. Esto implica una cierta cantidad de exceso
de trabajo, y hace que los tiempos en las operaciones de TCP sean impredecibles cuando las
condiciones de red no son ptimas.
TCP es la capa de transporte para la gran mayora de protocolos de aplicaciones. HTTP, FTP,
SMTP, RDP, SSH, POP e IMAP usan TCP.
TCP se multiplexa entre los protocolos de capa de aplicacin usando el concepto de "puertos".
Cada paquete de TCP contiene un nmero de puerto de origen y de destino, de 0 a 65535.
Normalmente, el lado de servidor de una conexin TCP escucha las conexiones de un puerto
fijo.
Los puertos de 0 a 1023 se reservan como "puertos conocidos". Los nmeros de este rango se
asignan normalmente a protocolos por parte de IANA
(www.iana.org/assignments/protocol-numbers), y la mayora de sistemas operativos necesitan
un proceso que otorgue permisos especiales para escuchar en uno de estos puertos.
Por lo general, las reglas de firewall se crean para bloquear ciertos puertos y permitir otros,
limitando as las actividades que pueden darse en la red.
UDP
UDP es un protocolo de transporte de mejor solucin sin conexin. No ofrece garantas acerca
del orden de paquetes o la confianza, y no tiene funciones de control de flujo. En la prctica,
tiene algunas propiedades muy deseables para ciertos tipos de trfico.
UDP se usa a menudo como protocolo de transporte para aplicaciones con mucha importancia
en el rendimiento (que podran implementar algunas de las funciones de fiabilidad y ordenacin
de paquetes del protocolo de aplicacin TCP) y en aplicaciones multimedia en tiempo real, en
las que los paquetes perdidos solo causan una interrupcin momentnea del flujo de datos, lo
que resulta ms aceptable que un flujo que debe detenerse y esperar la retransmisin. El
software de telefona IP y videoconferencia a menudo usa UDP, al igual que muchos videojuegos
multijugador.
El plan de multiplexacin de UDP es idntico al de TCP: cada datagrama tiene un puerto de
origen y de destino, de 0 a 65535.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
59
ICMP
ICMP se usa como canal de comunicacin fuera de banda entre hosts IP. Resulta til para la
solucin de problemas, y necesario para el funcionamiento de una red IP, ya que constituye el
mecanismo de informacin de errores.
IPv4 e IPv6 tienen variantes de protocolo ICMP separadas y sin relacin. ICMPv4 se conoce a
menudo simplemente como ICMP.
ICMPv6 tambin es importante en una red IPv6, ya que se usa para varias tareas fundamentales,
como descubrimiento de vecino (que ARP gestiona en una red IPv4). No se recomienda que
los usuarios bloqueen el trfico ICMPv6 si IPv6 es compatible con la red.
En lugar de nmeros de puertos, las dos versiones de ICMP definen un conjunto de "tipos de
mensaje". Para el ping, se usan "Peticin de eco" y "Respuesta de eco". Los mensajes de
"Destino inaccesible" indican fallos del enrutado. ICMP tambin implementa una aplicacin
Traceroute, aunque UDP y TCP tambin pueden usarse para este fin.
Otros protocolos de transporte
IP es compatible con ms de cien protocolos de transporte, pero la mayora no se usan a
menudo. En cualquier caso, la lista completa de protocolos reconocidos por IANA es, al menos,
mnimamente compatible. Es posible crear reglas para bloquear o permitir el trfico en los
protocolos de transporte de IP, aunque el firewall no es compatible con el mecanismo de
multiplexacin que estos protocolos pueden usar.
Muchos se usan para superponer otros tipos de red sobre una red IP (encapsulado de red).
Algunos de ellos (normalmente GRE, AH y ESP) se usan para el encriptado IP y para VPN.
Los nmeros de protocolo de IP se enumeran en www.iana.org/assignments/protocol-numbers.
Protocolos comunes no admitidos
Hay varios protocolos de red con los que el firewall de IPS en host no es compatible. El trfico
de estos protocolos (a menudo, el tipo no separable EtherType) puede bloquearse siempre o
permitirse siempre, segn si la opcin "Permitir el trfico de protocolos no admitidos" est
seleccionada en Opciones de firewall.
60
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
un nombre, los parmetros para las conexiones permitidas pueden incluir una o todas las
opciones siguientes para cada adaptador de red:
En la ficha Localizacin:
Sufijo DNS especfico de conexin
IP de gateway
IP de DHCP
Servidor DNS consultado para resolver las URL
Servidor WINS usado
Clave de registro
En la ficha Opciones de red:
Direccin IP local
Tipo de soporte
Si dos grupos para localizacin se aplican a una conexin, Host Intrusion Prevention utiliza la
prioridad normal y procesa el primer grupo aplicable de su lista de reglas. Si no hay ninguna
regla que coincida en el primer grupo, prosigue con el procesamiento de la regla y podra
encontrar una regla coincidente en el siguiente grupo.
Cuando Host Intrusion Prevention encuentra una coincidencia entre los parmetros de un grupo
para localizacin y una conexin activa, aplica las reglas incluidas en el grupo. Tratar las reglas
como un conjunto pequeo de reglas y usar la prioridad normal. Si algunas de las reglas no
coinciden con el trfico interceptado, el firewall las omite.
Tenga en cuenta lo siguiente:
Si Estado de localizacin est seleccionado, se requiere un nombre de localizacin.
Si se selecciona Red local, la direccin IP del adaptador debe coincidir con una de las
entradas de la lista.
Si se selecciona Sufijo DNS , el sufijo DNS del adaptador debe coincidir con una de las
entradas de la lista.
Si se selecciona Puerta de enlace predeterminada, el IP de la puerta de enlace
predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.
Si se selecciona Servidor DHCP, el IP del servidor DHCP del adaptador debe coincidir al
menos con una de las entradas de la lista.
Si se selecciona Lista de servidor DNS, la direccin IP del servidor DNS del adaptador
debe coincidir con una de las entradas de la lista.
Si se selecciona Servidor WINS principal, la direccin IP del servidor WINS principal del
adaptador debe coincidir al menos con una de las entradas de la lista.
Si se selecciona Servidor WINS secundario, la direccin IP del servidor WINS secundario
del adaptador debe coincidir al menos con una de las entradas de la lista.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
61
nico tipo de trfico procesado es el que coincide con las reglas de trfico permitido anteriores
al grupo en la lista de reglas de firewall y el trfico que coincide con los criterios del grupo. El
resto del trfico se bloquea.
NOTA: cualquier grupo con el aislamiento de conexin habilitado no puede tener asociadas
opciones de transporte ni aplicaciones.
62
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
63
Elemento de la directiva
Elemento del
catlogo
Dependencia
Firewall
Reglas de firewall
Regla de firewall
Regla
Firewall
Reglas de firewall
Grupo de firewall
Grupo
Firewall
Reglas de firewall
Localizacin
Firewall
Reglas de firewall
Grupo/regla de firewall
Red
Firewall
Reglas de firewall
Grupo/regla de firewall
Aplicacin
Firewall
Reglas de firewall
Aplicacin de grupo/regla de
firewall
Ejecutable
IPS
Reglas IPS
Regla de proteccin de
aplicacin
Ejecutable
No
General
Aplicaciones de
confianza
Aplicacin de confianza
Ejecutable
No
64
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
host para llenarlo con datos de reglas de firewall de las directivas. Para obtener los datos
de la directiva del firewall en el catlogo de IPS en host, use los enlaces de Agregar al
catlogo.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
65
Direccin: la direccin (entrante o saliente) del trfico que activ la entrada. Despus de
establecer una conexin, se permite el trfico bidireccional incluso con reglas unidireccionales,
siempre que la entrada coincida con los parmetros de la conexin de la tabla de estados.
Tenga en cuenta lo siguiente sobre la tabla de estados:
Si cambian los conjuntos de reglas de firewall, todas las conexiones activas se comprueban
en relacin con el nuevo conjunto de reglas. Si no se encuentra ninguna regla coincidente,
la entrada de conexin se descarta de la tabla de estados.
Si un adaptador obtiene una nueva direccin IP, el firewall reconoce la nueva configuracin
de IP e interrumpe todas las entradas de la tabla de estados que tengan una direccin IP
local no vlida.
Cuando el proceso finaliza, todas las entradas de la tabla de estados asociadas con un
proceso se eliminan.
66
Si el paquete coincide con una regla de permiso, se permite su entrada y se crea una
entrada en la tabla de estados.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
67
Descripcin de la gestin
UDP
Se agrega una conexin UDP a la tabla de estados cuando se encuentra una regla esttica que
coincida y la accin de la regla es de tipo Permitir. Las conexiones UDP genricas, que conllevan
protocolos desconocidos de nivel de aplicacin al firewall, permanecen en la tabla de estados
mientras la conexin no est inactiva durante un tiempo superior al periodo de tiempo de espera
especificado.
ICMPv4/v6
nicamente se rastrean los mensajes de tipo Peticin de eco y Respuesta del eco de ICMP.
NOTA: a diferencia del protocolo TCP fiable orientado a la conexin, los protocolos UDP e ICMPv4/v6
son menos fiables y no tienen conexin. Para asegurar estos protocolos, el firewall considera las
conexiones UDP e ICMP como conexiones virtuales, que se mantienen nicamente mientras la
conexin no est inactiva durante un tiempo superior al tiempo de espera especificado. El tiempo
de espera de las conexiones virtuales se define en la directiva Opciones del firewall.
Cuando usa IPv6, la funcionalidad de firewall de seguimiento de estado solo se admite con Windows
Vista y plataformas posteriores.
TCP
DNS
Las consultas y respuestas deben coincidir para asegurar que las respuestas de DNS slo se permiten
en el puerto local que origin la consulta y que provienen nicamente de una direccin IP remota
que se ha consultado dentro del intervalo de tiempo de espera de conexin virtual UDP. Las
respuestas de DNS entrantes se permiten si:
DHCP
FTP
68
La respuesta proviene de la misma direccin IP remota y del mismo puerto desde el que se
envi la solicitud.
Las consultas y respuestas deben coincidir para garantizar que solo se permiten paquetes devueltos
para consultas inofensivas. Por tanto, las respuestas DHCP entrantes se permiten si:
El firewall realiza una inspeccin de paquetes con seguimiento de estado en las conexiones TCP
abiertas en el puerto 21. La inspeccin se produce nicamente en el canal de control, la primera
conexin abierta en este puerto.
La inspeccin FTP se realiza nicamente en los paquetes con informacin nueva. Los paquetes
retransmitidos se omiten.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Protocolo
Descripcin de la gestin
Modo activo del cliente FTP: el firewall crea una regla entrante dinmica despus de analizar
el comando del puerto entrante, siempre que el comando del puerto sea compatible con
RFC 959. La regla se elimina cuando el servidor inicia la conexin de datos o cuando la
regla caduca.
Modo activo del servidor FTP: el firewall crea una regla saliente dinmica tras analizar el
comando del puerto entrante.
Modo pasivo del cliente FTP: el firewall crea una regla saliente dinmica cuando lee la
respuesta del comando PASV enviado por el servidor FTP, siempre que haya visto
anteriormente el comando PASV del cliente FTP y que el comando PASV sea compatible
con RFC 959. La regla se elimina cuando el cliente inicia la conexin de datos o cuando la
regla caduca.
Modo pasivo del servidor FTP: el firewall crea una regla entrante dinmica.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
69
La directiva Opciones del firewall activa la proteccin por firewall y proporciona TrustedSource
y configuracin de firewall con seguimiento de estado.
Configuracin general
Estas son las opciones generales disponibles:
70
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
automtica mediante el modo de adaptacin, por medio de la interaccin del usuario con el
modo de aprendizaje o manualmente en un cliente cuando se aplique esta directiva.
Configuracin de la proteccin
Esta configuracin permite una proteccin especial especfica del firewall:
Permitir solo el trfico saliente hasta que el servicio de Host IPS se haya iniciado:
seleccinela para permitir el trfico saliente, pero no el trfico entrante, hasta que el servicio
de firewall de Host IPS se haya iniciado en el cliente.
Activar la proteccin contra falsificacin de direcciones IP: seleccinela para bloquear
el trfico de red de direcciones IP no locales del host o de los procesos locales que intenten
falsificar su direccin IP.
Enviar eventos a ePO para infracciones de TrustedSource: seleccinela para enviar
eventos al servidor ePO si la configuracin del umbral de bloqueo TrustedSource para el
trfico entrante o saliente registra coincidencias.
Lmite de bloqueo de TrustedSource entrante: seleccione de la lista la clasificacin
TrustedSource a la que se bloquear el trfico entrante de una conexin de red. Las opciones
incluyen: Riesgo alto, Riesgo medio, Sin verificar y No bloquear.
Lmite de bloqueo de TrustedSource saliente: seleccione de la lista la clasificacin
TrustedSource a la que se bloquear el trfico saliente de una conexin de red. Las opciones
incluyen: Riesgo alto, Riesgo medio, Sin verificar y No bloquear.
Configuracin de firewall con seguimiento de estado
Est disponible la configuracin del firewall con seguimiento de estado:
Inspeccin de protocolo FTP: una configuracin de firewall con seguimiento de estado
que permite hacer el seguimiento de las conexiones FTP, de modo que solo se requiera una
regla de firewall para el trfico FTP cliente saliente y otra para el trfico FTP servidor entrante.
Si esta opcin no est seleccionada, las conexiones FTP requerirn una regla adicional para
el trfico FTP de cliente entrante y otra para el trfico FTP de servidor saliente. Debera estar
siempre seleccionada.
Tiempo de espera de la conexin TCP: el tiempo en segundos durante el que sigue
activa una conexin TCP no establecida si no se envan ni reciben ms paquetes que coincidan
con la conexin.
Tiempo de espera de la conexin virtual de eco UDP e ICMP: el tiempo en segundos
durante el que se mantiene activa una conexin virtual de eco UDP o IMCP si no se envan
ni reciben ms paquetes que coincidan con la conexin. Se restablece su valor configurado
cada vez que se enva o recibe un paquete que coincida con la conexin virtual.
Selecciones de directiva
La categora de directivas incluye una directiva preconfigurada y una directiva editable llamada
Mis valores predeterminados, basada en la directiva McAfee Default. Puede ver y duplicar
directivas preconfiguradas y crear, editar, cambiar el nombre, duplicar, eliminar y exportar
directivas personalizadas.
La directiva preconfigurada tiene las siguientes configuraciones:
McAfee Default
La proteccin por firewall est desactivada, y estas opciones se seleccionan para aplicarse
cuando se activa el firewall:
Permitir trfico mediante puentes
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
71
En la lista de directivas Opciones del firewall, haga clic en Editar en Acciones para
cambiar la configuracin de una directiva personalizada.
NOTA: para las directivas editables, otras opciones incluyen cambiar nombre, duplicar,
eliminar y exportar. Para las directivas no editables, las opciones incluyen visualizar y
duplicar.
En la pgina Opciones del firewall que aparece, cambie los valores predeterminados y,
a continuacin, haga clic en Guardar.
72
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
agrega y relaciona automticamente de clientes y socios acerca del estado del panorama de
las amenazas en Internet. La reputacin se expresa en cuatro clases:
Riesgo mnimo (no bloquear): nuestro anlisis indica que se trata de una fuente o destino
legtimo de contenido/trfico.
Sin verificar: nuestro anlisis indica que parece ser una fuente o destino legtimo de
contenido/trfico, pero que tambin muestra algunas propiedades que sugieren la necesidad
de una inspeccin adicional.
Riesgo medio: nuestro anlisis indica que esta fuente/destino muestra comportamientos
que creemos que son sospechosos y el contenido/trfico dirigido a esta fuente/destino o
procedente del mismo requiere un escrutinio especial.
Riesgo alto: nuestro anlisis indica que esta fuente/destino enva o enviar/alojar
contenido/trfico potencialmente malicioso, as que creemos que representa un riesgo
importante.
Introduce latencia? Cunta?
Cuando TrustedSource recibe una demanda de comprobacin de reputacin, algo de latencia
es inevitable. McAfee ha hecho todo lo posible para minimizarla.
En primer lugar, la comprobacin de reputacin se realiza solo cuando se seleccionan las
opciones. En segundo lugar, se da una arquitectura de creacin de cach inteligente. En un
uso normal de la red, la mayora de las conexiones deseadas se resuelven desde la cach, sin
consultas a la reputacin en lnea.
Qu pasa si el firewall no puede llegar a los servidores de TrustedSource? Se
detiene el trfico?
Si el firewall no puede llegar a cualquiera de los servidores de TrustedSource, asigna
automticamente a todas las conexiones aplicables una reputacin predeterminada permitida
y sigue con un anlisis de las reglas posteriores.
Uso
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
73
Directiva
Uso
equipo. IPS en host permite todo el resto de trfico
ICMP.
En la lista de directivas Reglas del firewall, haga clic en Editar en Acciones para cambiar
la configuracin de una directiva personalizada.
NOTA: para las directivas editables personalizadas, otras opciones incluyen cambiar nombre,
duplicar, eliminar y exportar. Para las directivas no editables, las opciones incluyen visualizar
y duplicar.
74
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Para...
Haga lo siguiente...
Haga clic en Exportar para exportar toda la informacin del grupo o la regla de la directiva
a un archivo .xml. Este archivo puede importarse al catlogo del firewall o a otra directiva.
En la pgina de directivas Reglas de firewall, haga clic en Nueva regla para crear una
nueva regla; haga clic en Editar en Acciones para editar una regla existente.
Introduzca la informacin adecuada en cada ficha, a las que es posible acceder haciendo
clic en Siguiente o en el enlace de la ficha.
En esta ficha...
Descripcin
Red
Transporte
Protocolo de transporte
Aplicacin
Aplicaciones y ejecutables
Planificacin
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
75
En la pgina de directivas Reglas de firewall, haga clic en Nuevo grupo para crear un
nuevo grupo; haga clic en Editar en Acciones para editar un grupo existente.
Introduzca la informacin adecuada en cada ficha, a las que es posible acceder haciendo
clic en Siguiente o en el enlace de la ficha.
En esta ficha...
Descripcin
Localizacin
Red
Protocolo de red, tipo de soporte (con cable, inalmbrico, virtual), redes locales o
remotas
Transporte
Protocolo de transporte
Aplicacin
Aplicaciones y ejecutables
Planificacin
En la ficha Resumen, revise los detalles del grupo y haga clic en Guardar.
Cree reglas nuevas en este grupo, o mueva las reglas existentes a este desde la lista de
reglas de firewall o desde el catlogo de IPS en host.
76
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Cree reglas nuevas en este grupo, o mueva las reglas existentes a este desde la lista de
reglas de firewall o desde el catlogo de IPS en host.
En la pgina de directivas Bloqueo DNS del firewall, haga clic en Nueva regla para crear
una nueva regla; haga clic en Editar en Acciones para editar una regla existente.
Haga clic en el botn Agregar para agregar otras direcciones; haga clic en el botn Eliminar
para eliminar direcciones.
En Tipo de elemento, seleccione un elemento del catlogo. Las opciones son: Grupo,
Regla, Aplicacin, Proceso, Red y Localizacin.
Haga lo siguiente...
Editar un elemento
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
77
Para...
Haga lo siguiente...
Duplicar para crear una copia del elemento y haga clic
en Eliminar para eliminar el elemento.
NOTA: si elimina un elemento que tiene un enlace
dependiente, se ubicar una copia independiente del
elemento eliminado con el grupo o la regla enlazados.
NOTA: para agregar un elemento del catlogo cuando se crea una regla o grupo de firewall,
haga clic en Agregar desde catlogo en la parte inferior de la pgina adecuada del
creador. Para agregar un elemento que haya creado mientras trabaja en el creador de
reglas o grupos del firewall, haga clic en el enlace Agregar al catlogo que se encuentra
junto al elemento. Cuando agrega un elemento desde el catlogo o hacia este, crea un
enlace dependiente entre el elemento y el catlogo con un enlace Interrumpir referencia
de catlogo. Si hace clic en el enlace, se rompe la dependencia entre el elemento y el
catlogo y se crea un elemento nuevo independiente en su lugar, con la regla o el grupo
enlazados.
78
Vaya a Informes | IPS en host y haga clic en Reglas de cliente del firewall.
Seleccione el grupo en el rbol del sistema del que desea mostrar las reglas de cliente.
Haga lo siguiente...
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Para...
Haga lo siguiente...
Agregar reglas
Para mover las reglas a una directiva, seleccione una o ms en la lista y haga clic en Crear
regla del firewall; despus, indique la directiva a la que desea mover las reglas.
Definicin
? (signo de interrogacin)
Un solo carcter.
* (un asterisco)
** (dos asteriscos)
| (canalizacin)
NOTA: las rutas de las claves de registro para las localizaciones de los grupos de firewall no
reconocen los valores de los comodines.
Qu caracteres comodn puedo usar para todos los dems valores?
Para los valores que normalmente no contienen informacin de ruta con barras, use los siguientes
caracteres comodn:
Carcter
Definicin
? (signo de interrogacin)
Un solo carcter.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
79
80
Carcter
Definicin
* (un asterisco)
| (canalizacin)
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
81
Funcionalidad
Normal
El usuario medio que tiene el cliente Host Intrusion Prevention instalado en un equipo de
sobremesa o en un porttil. La directiva IU de cliente permite a este usuario:
Ver el icono del cliente Host Intrusion Prevention en la bandeja del sistema y ejecutar
la consola del cliente.
Desconectado
El usuario, probablemente con un porttil, que pasa perodos de tiempo desconectado del
servidor Host Intrusion Prevention. El usuario puede tener problemas tcnicos con Host
Intrusion Prevention o necesitar realizar operaciones sin que interacten con el programa.
La directiva IU de cliente permite a este usuario obtener una contrasea basada en tiempos
para realizar tareas administrativas o para activar o desactivar las funciones de proteccin.
Administrador
Un administrador TI de todos los equipos, que tiene que realizar operaciones especiales en
equipos cliente ignorando las posibles directivas impuestas por los administradores. La
directiva IU de cliente permite que este usuario obtenga una contrasea de administrador
sin caducidad para realizar tareas administrativas.
Las tareas administrativas para los usuarios desconectados y administrador incluyen:
La directiva IU de cliente contiene una directiva preconfigurada y una directiva Mis valores
predeterminados que se puede editar. Puede ver y duplicar la directiva preconfigurada. Tambin
puede crear, editar, cambiar el nombre, duplicar, eliminar y exportar directivas personalizadas.
82
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
En En caso de evento de intruso, seleccione las opciones que controlan la reaccin del
cliente cuando se encuentra un intruso.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
83
hasta que se cierra. Para volver a abrir los controles de la consola del cliente, introduzca
nuevamente la contrasea de administrador.
Una contrasea basada en tiempos, que tiene fecha y hora de caducidad. Esta contrasea
se genera automticamente. Puede indicar el sistema en el que desea crear la contrasea
o crear la contrasea en la directiva IU de cliente para todos los sistemas a los que se aplica
la directiva. La consola del cliente permanece desbloqueada hasta que se cierra.
NOTA: cuando la consola de cliente est desbloqueada, las directivas no se aplican.
Para obtener ms informacin, consulte Desbloqueo de la interfaz del cliente Windows.
Tarea
1
Haga lo siguiente...
Administrador
Basada en tiempos
84
Haga clic en Guardar en caso de que haya efectuado algn cambio en la directiva.
Aplique la directiva IU de cliente al grupo que incluye el sistema al que aplicar la contrasea.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Haga lo siguiente...
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
85
Para
Haga lo siguiente...
NOTA: para obtener detalles acerca de cmo trabajar directamente con el cliente HIP,
consulte Trabajo con clientes de Host Intrusion Prevention.
Haga lo siguiente...
Marcar la red como de confianza para firmas IPS de red Seleccione De confianza para IPS.
o tipo de host HTTP y firmas personalizadas IPS.
86
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Para...
Haga lo siguiente...
Eliminar o agregar una entrada de direccin de red de Haga clic en el botn Eliminar ( ) o Agregar ( + ).
confianza.
Haga lo siguiente...
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
87
Para...
Haga lo siguiente...
Realizar una accin en una o ms aplicaciones al mismo Seleccinelas y haga clic en:
tiempo
88
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
89
90
Configurar
Acerca de...
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Restaurar configuracin
Desactivar todo
Desactivar IPS
Desactivar Firewall
Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el
en host
tiempo restante de activacin de cada grupo.
IPS en host
IPS de red
Firewall
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
91
de firewall en una directiva aplicada de Reglas del firewall, estos comandos adicionales
estarn disponibles:
Tabla 12: Men de McAfee Agent 4.5 con Activar grupo sincronizado
Haga clic en...
Ver estado de los grupos de firewall sincronizados de IPS Visualizar los nombres de los grupos sincronizados y el
en host
tiempo restante de activacin de cada grupo.
92
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seleccione el idioma para la interfaz de la consola del cliente y haga clic en Aceptar. Las
opciones incluyen: chino, ingls, francs, alemn, italiano, japons, coreano, portugus,
ruso y espaol. Si selecciona "Automtico", la interfaz aparecer en el idioma del sistema
operativo en el que se instala el cliente.
Reproducir sonido
Definicin
Registro: firewall
Registro: IPS *
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
93
Opcin
Definicin
Mostrar el producto en la lista Agregar/Quitar programas Permitir que IPS en host aparezca en la lista
Agregar/Quitar programas y que se pueda quitar del
cliente.
Funcionalidad *
94
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Depurar
Desactivado
Error
Informacin
Advertencia
Si el tipo de mensaje est configurado como Desactivado, no se registrar ningn mensaje.
3
Una vez resuelto el problema, vuelva a seleccionar todos los motores para los que se haya
anulado la seleccin en el cuadro de dilogo Motores HIPS.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
95
proceso implicado en el ataque y la fecha y hora en la que Host Intrusion Prevention lo intercept.
Adems, puede aparecer un mensaje genrico especificado por el administrador.
Puede ignorar el evento haciendo clic en Ignorar, o crear una regla de excepcin para el evento
haciendo clic en Crear excepcin. El botn Crear excepcin est activo solo si la opcin Permitir
reglas del cliente est activada para la firma que hizo que se produjera el error.
Si la alerta es resultado de una firma IP de host, el cuadro de dilogo de la regla de excepcin
aparece precumplimentado con el nombre del proceso, el usuario y la firma. Puede seleccionar
Todas las firmas o Todos los procesos, pero no ambos. El nombre de usuario siempre se
incluye en la excepcin.
Si la alerta es resultado de una firma IPS de red, el cuadro de dilogo de la regla de excepcin
aparece precumplimentado con el nombre de la firma y la direccin IP del host. Como opcin,
puede seleccionar Todos los hosts.
Adems, puede hacer clic en Notificar al administrador para enviar informacin acerca del
evento al administrador de Host Intrusion Prevention. Este botn slo estar activo si la opcin
Permitir que el usuario notifique al administrador est activada en la directiva IU de cliente
aplicada.
Seleccione No mostrar alertas de eventos IPS para dejar de mostrar las alertas de eventos
IPS. Para hacer que las alertas vuelvan a aparecer despus de seleccionar esta opcin, seleccione
Mostrar alerta emergente en el cuadro de dilogo Opciones.
NOTA: esta alerta de intrusin tambin aparece en las intrusiones del firewall si coincide con
una regla de firewall que tenga la opcin Tratar coincidencia de regla como intruso seleccionada.
Haga clic en Permitir para permitir que pase por el firewall este trfico y el similar.
Opcional: seleccione opciones para la nueva regla de firewall:
Seleccione...
96
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seleccione...
Host Intrusion Prevention crea una nueva regla de firewall segn las opciones seleccionadas,
la agrega a la lista de directivas Reglas de firewall y permite o bloquea automticamente
el trfico similar.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
97
La ficha Directiva de IPS muestra las reglas de excepcin importantes para el cliente y
proporciona informacin resumida y detallada de cada regla.
Tabla 15: Ficha Directiva de IPS
Esta columna...
Muestra
Excepcin
Nombre de la excepcin.
Firma
Aplicacin
En la consola del cliente de IPS en host, haga clic en la ficha Directiva IPS.
98
En la ficha Directiva IPS, haga clic en Agregar para agregar una regla.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Para...
Haga lo siguiente...
Descripcin
Casilla de verificacin
Grupo sincronizado
Grupo con reconocimiento de ubicacin
Regla de firewall
Accin de la regla
Indica si la regla permite el trfico
o si lo bloquea
.
Direccin de la regla
Indica si la regla se aplica al trfico de
trfico de
salida, o a ambos
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
entrada, al
99
En la consola del cliente de IPS en host, haga clic en la ficha Directiva de firewall.
Seleccione...
Activar firewall
Activar el modo de aprendizaje para el trfico entrante Modo de aprendizaje para trfico entrante
Activar el modo de aprendizaje para el trfico saliente Modo de aprendizaje para trfico saliente
Activar el modo de adaptacin
Modo de adaptacin
Redes de confianza
En la ficha Directiva del firewall, haga clic en Agregar para agregar una regla.
NOTA: solo puede crear reglas, y no grupos, en la consola del cliente.
Haga clic en Siguiente para seguir hacia las otras pginas y cambiar la configuracin
predeterminada.
NOTA: cada pgina del creador de reglas se corresponde con una ficha del creador de
reglas de firewall en la directiva Reglas de firewall.
100
General
Redes
Transporte
El protocolo y las direcciones locales o remotas a las que se aplica esta regla.
Puede definir una direccin individual, una gama de direcciones, una lista
de direcciones especficas o especificar todas las direcciones.
Aplicaciones
Las aplicaciones a las que se aplica esta regla, incluido el nombre del archivo
ejecutable.
Planificacin
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Para...
Haga lo siguiente...
Ver los detalles de una regla o Seleccione una regla y haga clic en Propiedades. El cuadro de dilogo del
editar una regla
creador de reglas de firewall aparece y muestra la informacin de la regla. Si
la regla no est en cursiva, podr editarla.
Hacer regla activa/inactiva
Aplicar cambios
inmediatamente
Haga clic en Aplicar. Si no hace clic en este botn despus de hacer cambios,
aparecer un cuadro de dilogo que le pedir que guarde los cambios.
Qu muestra
Origen
Hora
Tiempo restante
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
101
En el cuadro de dilogo Host bloqueado, indique la direccin IP que desee bloquear. Para
buscar una direccin IPS por su nombre de dominio, haga clic en Bsqueda de DNS. Si
encuentra ah el nombre del host, haga clic en Usar.
Haga lo siguiente...
Qu muestra
Proceso
El proceso de la aplicacin.
PID
102
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Columna
Qu muestra
Hora
Evento
Usuario/Direccin IP
Datos de intruso
Aplicacin
Mensaje
Regla coincidente
En la consola del cliente de IPS en host, haga clic en la ficha Registro de actividad.
NOTA: puede activar y desactivar la creacin de registros para el trfico del firewall, pero
no para la funcin IPS. Sin embargo, puede elegir ocultar estos eventos en el registro
mediante filtrado.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
103
Haga lo siguiente...
Actualizar la pantalla
Opciones disponibles
Activar HIPS
Proteccin de IPS
Todos
Reglas IPS
Reglas de excepcin
104
IU de cliente
Redes de confianza
Ninguna
Aplicaciones de confianza
Ninguna
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Ejecutar...
hipts logging on
error
advertencia
depuracin
informacin
infracciones
Ocultar el tipo de mensaje indicado cuando el registro est hipts message <message name>:off
establecido en activado. De manera predeterminada, el
mensaje de error est desactivado.
Mostrar todos los tipos de mensajes cuando el registro
est establecido en activado.
MISC
FILES
GUID
MMAP
BO
HTTP
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
105
Para...
Ejecutar...
Descripcin
HipClient; HipClient-bin
Cliente Solaris
HipClientPolicy.xml
Reglas de directiva
hipts; hipts-bin
*.so
Directorio de registro
Para detener un cliente en ejecucin, desactive primero la proteccin IPS. Utilice uno de
estos procedimientos:
Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.
106
Tras haber iniciado sesin en raz, ejecute el siguiente comando: hipts engines MISC:off
Ejecute el comando: /sbin/rc2.d/S99hip stop
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Active la proteccin IPS. Siga uno de estos procedimientos, segn cul haya utilizado para
detener el cliente:
Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
Tras haber iniciado sesin en raz, ejecute el siguiente comando: hipts engines MISC:on
Opciones disponibles
Activar HIPS
Proteccin de IPS
Todas
Reglas IPS
Reglas de excepcin
Redes de confianza
Ninguna
Aplicaciones de confianza
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
107
Directiva
Opciones disponibles
Ninguna
Ejecutar...
108
hipts logging on
error
advertencia
depuracin
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Para...
informacin
infracciones
Ejecutar...
Ocultar el tipo de mensaje indicado cuando el registro est hipts message <message name>:off
establecido en activado. De manera predeterminada, el
mensaje de error est desactivado.
Mostrar todos los tipos de mensajes cuando el registro
est establecido en activado.
MISC
FILES
HTTP
Descripcin
HipClient; HipClient-bin
Cliente Linux
HipClientPolicy.xml
Reglas de directiva
hipts; hipts-bin
*.so
Directorio de registro
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
109
Para detener un cliente, desactive la proteccin IPS. Utilice uno de estos procedimientos:
Configure Opciones de IPS como Desactivado en la consola de ePO y aplique la
directiva al cliente.
Active la proteccin IPS. Siga uno de estos procedimientos, segn cul haya utilizado para
detener el cliente:
Configure Opciones de IPS como Activado en la consola de ePO y aplique la directiva
al cliente.
Ejecute el comando: hipts engines MISC:on
110
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Estructura de regla
Cada firma contiene una o varias reglas escritas en la sintaxis de ANSI Tool Command Language
(TCL). Cada regla contiene secciones obligatorias y opcionales, con una seccin por lnea. Las
secciones opcionales cambian segn el sistema operativo y la clase de regla. Cada seccin
define una categora de regla y su valor. Una seccin siempre identifica la clase de la regla, que
define el comportamiento global de la misma.
La estructura bsica de una regla es la siguiente:
Rule {
Valor SeccinA
Valor SeccinB
Valor SeccinC
...
}
NOTA: antes de que intente escribir reglas personalizadas, debe revisar la sintaxis para escribir
cadenas y secuencias de escape en TCL. Una revisin rpida de las referencias estndar de TCL
le garantizar que introduce los valores apropiados correctamente.
Una regla para evitar una solicitud al servidor web que tiene una parte subject en la consulta
de solicitud http tiene el siguiente formato:
Rule {
Class Isapi
Id 4001
level 4
query { Include *subject* }
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
111
Secciones comunes
Las secciones ms comunes de una regla y sus valores incluyen los elementos siguientes. Para
las secciones relacionadas con la seccin de clase seleccionada, consulte la seccin de clase en
firmas personalizadas de Windows o no Windows. Las palabras clave Incluir y Excluir se usan
para todas las secciones excepto etiqueta, ID, nivel y directivas. Incluir significa que la seccin
funciona en el valor indicado, y Excluir significa que la seccin funciona en todos los valores
excepto el indicado.
NOTA: todos los nombres de seccin de todas las plataformas diferencian entre maysculas y
minsculas. Los valores de las secciones diferencian entre maysculas y minsculas solo en las
plataformas no Windows.
Seccin
Valor
Clase
etiqueta
Nombre de la subregla.
ID
4000 - 5999
nivel
Descripcin
0=Desactivado
1=Registro
2=Bajo
3= Medio
4= Alto
user_name
{Incluir/Excluir nombre de
usuario o cuenta de sistema}
112
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seccin
Valor
Descripcin
Cuando se produce un proceso en el
contexto de una sesin nula, el usuario y el
dominio son "Annimos". Si una regla se
aplica a todos los usuarios, use *. En UNIX,
esta seccin distingue entre maysculas y
minsculas.
Ejecutable
directivas
tipo de operacin
NOTA: puede crear una firma con mltiples reglas simplemente agregando las reglas una tras
otra. Tenga en cuenta que cada regla de la misma firma debe tener el mismo valor para ID y
secciones de nivel.
Uso de Incluir y Excluir
Cuando marca el valor de una seccin con Incluir, la seccin funciona en el valor indicado.
Cuando marca el valor de una seccin con Excluir, la seccin funciona en todos los valores
excepto el valor indicado Cuando usa estas palabras clave, se encierra en llaves { ... }.
NOTA: con la subregla estndar, use una sola barra invertida en las rutas de los archivos. Con
la subregla de exportacin, use dos barras invertidas en las rutas de los archivos. La subregla
estndar traduce las barras nicas en las barras dobles necesarias, mientras que la subregla
de exportacin no realiza ninguna traduccin.
Por ejemplo, para supervisar todos los archivos de texto en C:\test\:
files { Include C:\\test\\*.txt }
y para supervisar todos los archivos, excepto los archivos de texto, en C:\test\:
files { Exclude C:\\test\\*.txt }
Combine las palabras clave para excluir valores de un conjunto de valores incluidos. Para
supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo abc.txt:,
files { Include C:\\test\\*.txt }
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
113
Cada vez que agrega la misma seccin con la misma palabra clave, agrega una operacin. Para
supervisar cualquier archivo de texto en la carpeta C:\test\ cuyo nombre comience con la cadena
abc:
files { Include C:\\test\\*.txt }
files { Include C:\\test\\abc* }
Valor
Descripcin
dependencias
{Include/Exclude id de una
regla}
atributos
no_log
not_auditable
no_trusted_apps
inactive
as como una regla para supervisar todos los archivos de texto de C:\test\
files { Include C:\\test\\*.txt }
Agregue las dependencias de seccin a la regla ms especfica, lo que explica al sistema que
no debe iniciar la regla ms general si se inicia la ms especfica.
files { Include C:\\test\\abc.txt }
114
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Qu representa
? (signo de interrogacin)
Un solo carcter.
* (un asterisco)
| (canalizacin)
Qu representa
? (signo de interrogacin)
Un solo carcter.
* (un asterisco)
C:\*.txt }
& (y comercial)
C:\test\\&.txt }
! (signo de exclamacin)
C:\test\\yahoo!.txt }
Qu representa
iEnv SystemRoot
SystemRoot]\\system32\\abc.txt }
iEnv SystemDrive
SystemDrive]\\system32\\abc.txt}
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
115
Descripcin
IIS_BinDir
IIS_Computer
IIS_Envelope
IIS_Exe_Dirs
IIS_Ftp_Dir
IIS_FTP_USR
IIS_FtpLogDir
IIS_IUSR
IIS_IUSRD
IIS_IWAM
IIS_LogFileDir
IIS_LVirt_Root
IIS_Processes
IIS_Services
116
Variable
Descripcin
MSSQL_Allowed_Access_Paths
MSSQL_Allowed_Execution_Paths
MSSQL_Allowed_Modification_Paths
MSSQL_Auxiliary_Services
MSSQL_Core_Services
MSSQL_Data_Paths
MSSQL_DataRoot_Paths
MSSQL_Instances
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Variable
Descripcin
MSSQL_Registry_Paths
Descripcin
UAPACHE_Bins
UAPACHE_CgiRoots
UAPACHE_ConfDirs
UAPACHE_DocRoots
UAPACHE_Logs
UAPACHE_Logs_dir
UAPACHE_Roots
UAPACHE_Users
UAPACHE_VcgiRoots
UAPACHE_VdocRoots
UAPACHE_Vlogs
UAPACHE_Vlogs_dir
UIPLANET_BinDirs
UIPLANET_CgiDirs
UIPLANET_DocDirs
UIPLANET_Process
UIPLANET_Roots
Cundo usarla
Archivos
Enlazar
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
117
Clase
Cundo usarla
Uso ilegal
Isapi
Programa
Registro
Servicios
SQL
Valores
Clase
Buffer_Overflow
ID
Notas
nivel
hora
user_name
Ejecutable
118
dependencias
428
mdulo de llamada
directivas
bo:stack
bo:heap
bo:writeable_memory
bo:invalid_call
bo:target_bytes
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seccin
Valores
Notas
una excepcin dirigida para un falso positivo sin
desactivar el desbordamiento del bfer durante
todo el proceso.
bo:call_not_found
bo:call_return_unreadable
Nota 1
La Firma 428, desbordamiento de bfer genrico, es una regla de desbordamiento de bfer
genrica. Para evitar que se inicie esta regla, incluya la seccin "dependencias 428" en la firma
personalizada.
Valores
Clase
Archivos
ID
Notas
nivel
hora
user_name
Ejecutable (use este parmetro
para distinguir entre acceso a los
archivos local y remoto. Consulte
la nota 3).
archivos
dest_file
Archivos de destino si la
operacin implica archivos de
origen y de destino
drive_type
OtherRemovable: USB u
otros accesos de unidad
extrable
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
119
Seccin
Valores
Notas
directivas
files:create
files:read
files:write
files:execute
files:delete
files:rename
files:attribute
files:hardlink
solo lectura
oculto
archivar
sistema
Nota 1
Si se usa la seccin files, la ruta a una carpeta supervisada o archivo pueden ser tanto la ruta
completa como un comodn. Por ejemplo, las siguientes son representaciones de ruta vlidas:
files { Include C:\\test\\abc.txt }
files { Include *\\test\\abc.txt }
files { Include *\\abc.txt }
Si se usa la seccin dest_file la ruta absoluta no puede usarse, as que debe haber un comodn
presente en el inicio de la ruta para representar el disco duro. Por ejemplo, las siguientes son
representaciones de ruta vlidas:
dest_file { Include *\\test\\abc.txt }
dest_file { Include *\\abc.txt }
Nota 2
La directiva files:rename tiene un significado diferente cuando se combina con la seccin files
y la seccin dest_file.
Cuando se combina con la seccin files, significa que se supervisa el cambio de nombre del
archivo en la seccin files. Por ejemplo, la siguiente regla supervisa el cambio de nombre de
C:\test\abc.txt a cualquier otro nombre:
Rule {
tag "Sample1"
Class Files
Id 4001
level 4
files { Include C:\\test\\abc.txt }
120
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Executable { Include *}
user_name { Include * }
directives files:rename
}
Combinada con la seccin dest_file, significa que ningn archivo puede cambiar de nombre al
del archivo de la seccin dest_file. Por ejemplo, la siguiente regla supervisa el cambio de nombre
de cualquier archivo a C:\test\abc.txt:
Rule {
tag "Sample2"
Class Files
Id 4001
level 4
dest_file { Include *\\test\\abc.txt }
Executable { Include *}
user_name { Include * }
directives files:rename
}
La seccin files no es obligatoria si se usa la seccin dest_file. Si se usa la seccin files, las dos
secciones (files y dest_file) tienen que coincidir.
Nota 3
Para distinguir entre el acceso remoto al archivo y el acceso local al archivo para cualquier
directiva, cambie el nombre de ruta del ejecutable a "SystemRemoteClient": Executable { Include
-path SystemRemoteClient }
Explicacin
archivos
dest_file
La siguiente regla impedira a cualquier usuario y a cualquier proceso crear el archivo abc.txt
en la carpeta C:\test\.
Rule {
tag "Sample3"
Class Files
Id 4001
level 4
files { Include C:\\test\\abc.txt }
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
121
Executable { Include *}
user_name { Include * }
directives files:create
}
Valores
Clase
Hook
ID
Notas
nivel
hora
user_name
Ejecutable
122
mdulo de administrador
Un parmetro necesario.
directivas
hook:set_windows_hook
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Valores
Clase
Illegal_API_Use
ID
Notas
nivel
hora
user_name
Ejecutable
vulnerability_name
Nombre de la vulnerabilidad
detailed_event_info
Una o ms CLSID.
directivas
illegal_api_use:bad_parameter
illegal_api_use:invalid_call
Use esta clase para crear una firma de bit de interrupcin personalizada. El bit de interrupcin
es una caracterstica de seguridad en navegadores web y otras aplicaciones que usen ActiveX.
Un bit de interrupcin especifica el identificador de clase del objeto (CLSID) para los controles
de software de ActiveX que se identifican como amenazas de vulnerabilidad de la seguridad.
Las aplicaciones que usan ActiveX no cargan el software especfico de ActiveX si hay un bit de
interrupcin activo.
La finalidad primaria de un bit de interrupcin es cerrar los orificios de seguridad. Los bits de
interrupcin se instalan normalmente en los sistemas operativos de Windows por medio de las
actualizaciones de seguridad de Windows.
Esto es un ejemplo de una firma:
Rule {
tag "Sample4"
Class Illegal_API_Use
Id 4001
level 4
Executable { Include *}
user_name { Include * }
vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"}
detailed_event_info { Include
"0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"}
directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call
attributes -not_auditable
}
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
123
Valores
Clase
Illegal_Use
ID
Notas
nivel
hora
user_name
Ejecutable
nombre
directivas
illegal:api
Valores
Clase
Isapi
ID
Notas
nivel
hora
user_name
Ejecutable
124
url
consulta
mtodo
directivas
isapi:request
isapi:requrl
isapi:reqquery
isapi:rawdata
isapi:response
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Nota 1
Una solicitud entrante de http puede representarse como: http://www.myserver.com/
{url}?{query}. En este documento, nos referimos a {url} como la parte "URL" de la solicitud
http y a {query} como la parte "consulta" de la solicitud http. Utilizando esta convencin de
nombres, podemos decir que la seccin "URL" se compara con {url} y que la seccin "consulta"
se compara con {query}. Por ejemplo, la siguiente regla se activa si IIS recibe la solicitud http:
http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean
Rule {
tag "Sample6"
Class Isapi
Id 4001
level 1
url { Include *abc* }
Executable { Include *}
user_name { Include * }
directives isapi:request
}
Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor de la seccin url
(es decir, abc).
Nota 2
Antes de efectuar la correspondencia, se descodifican y normalizan las secciones url y query
de forma que las solicitudes no puedan rellenarse con secuencias de codificacin o escape.
Nota 3
Se puede definir una restriccin de longitud mxima para las secciones url y query. Agregando
;nmero_de_caracteres al valor de estas secciones, la regla solo puede coincidir si {url} o
{query} tienen ms caracteres que el nmero especificado en nmero_de_caracteres. Por
ejempo "abc*;500" coincide con las cadenas que contienen "abc" que son de 500 caracteres o
ms. "*abc;xyz*;" coincide con cualquier cadena que incluya "abc;xyz", independientemente
de su longitud.
Nota 4
Una regla debe incluir, al menos, una de las siguientes secciones opcionales: url, consulta,
mtodo.
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los parmetros siguientes de eventos
de seguridad para la clase Isapi. Los valores de estos parmetros pueden ayudarle a entender
por qu se inicia una firma.
Nombre de GUI
Explicacin
url
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
125
Nombre de GUI
Explicacin
consulta
mtodo
local file
raw url
usuario
origen
servidor
content len
La siguiente regla impedira una solicitud al servidor web que contenga "subject" en la parte
de consulta de la solicitud HTTP:
Rule {
tag "Sample7"
Class Isapi
Id 4001
level 1
query { Include *subject* }
method { Include GET }
Executable { Include *}
user_name { Include * }
directives isapi:request
}
126
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
level 4: asigna el nivel de seguridad "alto" a esta regla. Si la firma personalizada tena
mltiples reglas, cada una de estas reglas necesitar usar el mismo nivel.
query { Include *subject* }: indica que la regla coincide con cualquier solicitud (GET) que
contenga la cadena "subject" en la parte de consulta de la solicitud HTTP. Si la regla tuviera
que cubrir varios archivos en la parte query, se agregaran en esta seccin en lneas
diferentes.
method { Include GET }: indica que la regla solo puede coincidir con solicitudes GET.
Executable { Include *}: indica que esta regla es vlida para todos los procesos. Si desea
limitar la regla a procesos especficos, escrbalos aqu, junto con el nombre de la ruta de
acceso.
user_name { Include * }: indica que esta regla es vlida para todos los usuarios (o, para
ser ms precisos, el contexto de seguridad en el que se ejecuta un proceso). Si desea limitar
la regla a contextos de usuarios especficos, indquelos aqu, en el formato Local/user o
Domain/user. Consulte Secciones comunes para obtener ms informacin.
directives isapi:request: indica que esta regla cubre una solicitud HTTP.
Valores
Clase
Programa
ID
Notas
nivel
hora
user_name
Ejecutable
nombre de archivo
ruta
directivas
program:run
program:open_with_any
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
127
Seccin
Valores
Notas
PROCESS_SET_INFORMATION: requerido
para establecer cierta informacin sobre un
proceso, como su clase de prioridad.
PROCESS_SET_INFORMATION: requerido
para establecer cierta informacin sobre un
proceso, como su clase de prioridad.
128
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Valores
Clase
Registro
ID
Notas
nivel
hora
user_name
Ejecutable
claves
Operacin de la clave de registro Uno de los parmetros requeridos. A usar con las
operaciones de clave (crear, borrar, cambiar el
nombre, enumerar, supervisar, restaurar, leer,
sustituir y cargar). Consulte la nota 1.
dest_keys
valores
new_data
directivas
registry:delete
registry:modify
registry:create
registry:permissions
registry:read
registry:enumerate
registry:monitor
registry:restore
registry:replace
registry:load
registry:open_existing_key
registry:rename
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
129
Nota 1
HKEY_LOCAL_MACHINE en una ruta de registro se sustituye por \REGISTRY\MACHINE\ y
CurrentControlSet se sustituye por ControlSet. Por ejemplo, el valor del Registro abc en la
clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa se representa
como \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet\\Control\\Lsa\\abc.
Nota 2
Los datos de la seccin de datos nuevos deben ser hexadecimales. Por ejemplo, los datos def
del valor del Registro \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc
deben representarse como old_data { Include %64%65%66}.
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los parmetros siguientes de eventos
de seguridad para la clase Registro. Los valores de estos parmetros pueden ayudarle a entender
por qu se inicia una firma.
Nombre de GUI
Explicacin
Clave de registro
Valores de registro
HKEY_LOCAL_MACHINE\
\REGISTRY\MACHINE\
HKEY_CURRENT_USER\
\REGISTRY\CURRENT_USER\
HKEY_CLASSES_ROOT\
\REGISTRY\MACHINE\SOFTWARE\CLASSES\
HKEY_CURRENT_CONFIG\
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE
PROFILES\0001\
HKEY_USERS\
\REGISTRY\USER\
Nombre del valor de registro enlazado con el nombre completo de su clave. Tenga en cuenta
lo siguiente:
Para los valores de esta clave Use esta sintaxis
HKEY_LOCAL_MACHINE\Test
\REGISTRY\MACHINE\Test\*
HKEY_CURRENT_USER\Test
\REGISTRY\CURRENT_USER\Test\*
HKEY_CLASSES_ROOT\Test
\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*
HKEY_CURRENT_CONFIG\Test
REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE
PROFILES\0001\Test\*
HKEY_USERS\Test
\REGISTRY\USER\Test\*
datos antiguos
Solo se aplica a los cambios del valor de registro: los datos que un valor de registro inclua
antes de que se cambiara o intentara cambiarse.
datos nuevos
Solo se aplica a los cambios del valor de registro: los datos que un valor de registro contiene
tras un cambio o que contendra si se produjera el cambio.
tipos de datos antiguos Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro
inclua antes de que se cambiara o intentara cambiarse.
130
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Nombre de GUI
Explicacin
Solo se aplica a los cambios del valor de registro: los tipos de datos que un valor de registro
contendra tras un cambio o que contendra si se produjera el cambio.
La siguiente regla impedira que cualquier usuario y cualquier proceso pudiera eliminar el valor
del Registro abc en la clave del Registro
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
Rule {
tag "Sample8"
Class Registry
Id 4001
level 4
values { Include \\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc }
application { Include *}
user_name { Include * }
directives registry:delete
}
Valores
Clase
Registro
ID
Notas
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
131
Seccin
Valores
Notas
nivel
hora
user_name
Ejecutable
servicios
display_names
directivas
services:delete
Borra un servicio.
services:create
Crea un servicio.
services:start
Inicia un servicio.
services:stop
Detiene un servicio.
services:pause
Pausa un servicio.
services:continue
services:startup
services:profile_enable
services:profile_disable
services:logon
Nota 1
La seccin service debe incluir el nombre del servicio de la clave de registro conrrespondiente,
que se encuentra en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.
La seccin display_names debe incluir el nombre mostrado del servicio, el nombre que se
muestra en el administrador de servicios, que se encuentra en el valor de registro
HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<name-of-service>\ .
Detalles avanzados
En la ficha Detalles avanzados aparecen algunos o todos los parmetros siguientes de eventos
de seguridad para la clase Servicios. Los valores de estos parmetros pueden ayudarle a entender
por qu se inicia una firma.
132
Nombre de GUI
Explicacin
display names
servicios
Valores posibles
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Nombre de GUI
Explicacin
Valores posibles
params
old startup
new startup
logon
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
133
Valores
Clase
MSSQL
ID
Notas
nivel
hora
user_name
Ejecutable
134
authentication_mode
client_agent
db_user_name
sp_name
Nombre de procedimiento
almacenado.
sp_param_char_len_one...
sp_param_one...
sp_param_orign_len-one...
sql_line_comment
sql_original_query
sql_query
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seccin
Valores
Notas
sql_user_password
Se configura como 1 si la
contrasea es NULL y 0 si es
distinta.
transporte
En MSSQL 2005/2008, es un
texto no configurable de:
memoria compartida (LPC).
directivas
sql:request.
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en
SO Windows de 64 bits
(x64)
XP 2K3
bo:
XP
2K3
2K8
XP
2K3
2K8
stack
heap
writeable_memory
invalid_call
target_bytes
call_not_found
call_return_unreadable
call_different_target
call_return_to_api
2K8 7
Archivos de clase
Directivas Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
archivos:
XP
2K3
2K8
XP
2K3
2K8
XP
2K3
2K8
crear
leer
escribir
ejecutar
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
135
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
archivos:
XP
2K3
2K8
XP
2K3
2K8
XP
2K3
2K8
borrar
cambiar
nombre
atributo
writeop
hardlink
Clase Enlace
Directivas
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
enlace:
XP 2K3
2K8 7
XP
2K3
2K8
XP
2K3
2K8
set_windows_hook
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
illegal_api_use:
XP
2K3
2K8
XP
2K3
2K8
XP
2K3
2K8
bad_parameter
invalid_call
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
illegal:
XP
2K3 V
2K8
XP
2K3
2K8
XP
2K3
2K8
api
Clase ISAPI
Directivas Procesos de 32 bits en SO
Windows de 32 bits (x32)
isapi:
136
XP
2K3
2K8
Procesos de 32 bits en SO
Windows de 64 bits (x64)
7
XP
2K3
2K8
Procesos de 64 bits en SO
Windows de 64 bits (x64)
7
XP
2K3
2K8
request
requrl
reqquery
rawdata
responder
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Clase Programa
Directivas
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
programa:
XP
2K3
2K8
XP
ejecutar
open_with_any
open_with_create_thread
open_with_modify
open_with_terminate
open_with_wait
2K3
2K8
XP 2K3
2K8
Clase Registro
Directivas
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
registro:
XP
2K3
2K8 7
XP
2K3
2K8
XP 2K3
2K8
crear
leer
borrar
modificar
permisos
enumerar
supervisar
restaurar
sustituir
x
x
x
x
cargar
open_existing_key
cambiar nombre
Clase Servicios
Directivas
Procesos de 32 bits en SO
Windows de 32 bits (x32)
servicios:
XP
2K3
iniciar
detener
interrumpir
continuar
inicio
profile_enable
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
2K8 7
XP
2K3
2K8
XP
2K3
2K8
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
137
Directivas
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
Procesos de 64 bits en SO
Windows de 64 bits (x64)
servicios:
XP
2K3
2K8 7
XP
2K3
2K8
XP
2K3
2K8
profile_disable
logon
crear
borrar
Clase SQL
Directivas
Procesos de 32 bits en SO
Windows de 32 bits (x32)
Procesos de 32 bits en SO
Windows de 64 bits (x64)
sql:
XP
2K3
2K8
XP
request
2K3
2K8
Procesos de 64 bits en SO
Windows de 64 bits (x64)
7
XP
2K3
2K8
Cundo usarla
UNIX_file
UNIX_apache
UNIX_Misc
UNIX_bo
UNIX_map
UNIX_GUID
Valores
Clase
UNIX_file
ID
Notas
nivel
138
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seccin
Valores
Notas
archivos
origen
archivo
nuevo
zona
directivas
unixfile:chdir
unixfile:chmod
unixfile:chown
unixfile:create
Crea un archivo.
unixfile:link
unixfile:mkdir
Crea un directorio.
unixfile:read
unixfile:rename
unixfile:rmdir
Elimina un directorio.
unixfile:symlink
unixfile:unlink
unixfile:write
unixfile:setattr
unixfile:mknod
Crea un nodo.
unixfile:access
unixfile:foolaccess
unixfile:priocntl
hora
user_name
Ejecutable
Nota 1
Directivas apropiadas por seccin:
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
139
Directiva
Archivo
chdir
chmod
chown
crear
vnculo
mkdir
leer
cambiar nombre
rmdir
setattr
symlink
unlink
escribir
Origen
Nuevo permiso
X
Nota 2
El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista de
control de acceso (acl). Solo pueden tener los valores SUID o SGID.
Nota 3
La directiva unixfile:link tiene un significado diferente cuando se combina con la seccin archivos
y la seccin origen:
Cuando se combina con la seccin archivos, significa que se supervisa la creacin de un
enlace en el archivo en la seccin archivos.
Cuando se combina con la seccin origen, significa que no se puede crear ningn enlace
con el nombre especificado en la seccin origen.
Nota 4
La directiva unixfile:rename tiene un significado diferente cuando se combina con la seccin
archivos y la seccin origen:
Cuando se combina con la seccin archivos, significa que se supervisa el cambio de nombre
del archivo en la seccin archivos.
Cuando se combina con la seccin origen, significa que no se puede cambiar el nombre del
archivo al archivo de la seccin origen.
Nota 5
De manera predeterminada, todas las zonas estn protegidas por la firma. Para reducir la
proteccin a una zona concreta, agregue una seccin de zona en la firma e incluya el nombre
de la zona.
Por ejemplo, si tiene una zona llamada "app_zone" cuya raz es /zones/app, la regla:
Rule {
...
140
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Explicacin
archivos
origen
Permisos de archivo.
nuevo permiso
Valores
Clase
UNIX_apache
ID
Notas
nivel
hora
user_name
Ejecutable
url
consulta
mtodo
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
141
Seccin
Valores
Notas
zona
directivas
apache:requrl
apache:reqquery
apache:rawdata
Nota 1
Una solicitud entrante de http puede representarse como: http://www.myserver.com/
{url}?{query}. En este documento, nos referimos a {url} como la parte url de la solicitud http
y a {query} como la parte de consulta de la solicitud http. Utilizando esta convencin de
nombres, podemos decir que la seccin "url" se compara con {url} y que la seccin "consulta"
se compara con {query}.
Por ejemplo, la siguiente regla se activa si IIS recibe la solicitud http: http://
www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean
Rule {
Class UNIX_apache
Id 4001
level 1
url { Include *abc* }
time { Include * }
application { Include *}
user_name { Include * }
directives apache:request
}
Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor de la seccin "url"
(es decir, abc).
Nota 2
Antes de efectuar la correspondencia, se descodifican y normalizan las secciones url y query
de forma que las solicitudes no puedan rellenarse con secuencias de codificacin o escape.
Nota 3
Se puede definir una restriccin de longitud mxima para las secciones url y query. Agregando
;nmero_de_caracteres al valor de estas secciones, la regla solo puede coincidir si {url} o
{query} tienen ms caracteres que el nmero especificado en nmero_de_caracteres. Por
ejemplo, la siguiente regla coincide si la parte url de la solicitud contiene "abc" y tiene ms de
500 caracteres:
Rule {
Class UNIX_apache
Id 4001
level 1
url { Include *abc*;500 }
142
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
time { Include * }
application { Include *}
user_name { Include * }
directives apache:request}
}
Nota 4
Una regla debe incluir, al menos, una de las siguientes secciones opcionales: url, consulta,
mtodo.
Nota 5
De manera predeterminada, todas las zonas estn protegidas por la firma. Para reducir la
proteccin a una zona concreta, agregue una seccin de zona en la firma e incluya el nombre
de la zona.
Por ejemplo, si tiene una zona llamada "app_zone" cuya raz es /zones/app, la regla:
Rule {
...
file { Include "/tmp/test.log" }
zone { Include "app_zone" }
... }
Valores
Notas
Clase
UNIX_misc
ID
nivel
hora
user_name
Ejecutable
zona
Solaris 10 o posterior.
directivas
unixmisc:killagent
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
143
Valores
Clase
UNIX_bo
ID
Notas
nivel
hora
user_name
Ejecutable
programa
zona
directivas
unixbo:binargs
Argumentos binarios.
unixbo:illegal_address
unixbo:exec
unixbo:environment
unixbo:binenv
Entorno binario.
unixbo:libc
Nota 1
De manera predeterminada, todas las zonas estn protegidas por la firma. Para reducir la
proteccin a una zona concreta, agregue una seccin de zona en la firma e incluya el nombre
de la zona.
Por ejemplo, si tiene una zona llamada "app_zone" cuya raz es /zones/app, la regla:
Rule {
...
file { Include "/tmp/test.log" }
zone { Include "app_zone" }
... }
144
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Seccin
Valores
Notas
Clase
UNIX_map
ID
nivel
hora
user_name
Ejecutable
zona
Solaris 10 o posterior.
directivas
mmap:mprotect
mmap:mmap
Valores
Notas
Clase
UNIX_GUID
ID
nivel
hora
user_name
Ejecutable
zona
Solaris 10 o posterior.
directivas
guid:setuid
guid:seteuid
guid:setreuid
guid:setgid
guid:setegid
guid:setregid
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
145
Class UNIX_bo
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixbo:binargs
unixbo:illegal_address
unixbo:exec
unixbo:enrironment
unixbo:binenv
unixbo:libc
Class UNIX_file
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixfile:chdir
unixfile:chmod
unixfile:chown
unixfile:create
unixfile:link
unixfile:mkdir
unixfile:read
unixfile:rename
unixfile:rmhdir
unixfile:setattr
unixfile:symlink
unixfile:unlink
unixfile:write
unixfile:mknod
unixfile:access
unixfile:foolaccess
unixfile:priocntl
Class UNIX_Misc
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
unixmisc:killagent
Class UNIX_apache
146
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
apache:requrl
apache:reqquery
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
apache:rawdata
RedHat Linux
SuSE Linux
Class UNIX_map
Directivas
Solaris 9
Solaris 10
mmap:mprotect
mmap:mmap
Class UNIX_GUID
Directivas
RedHat Linux
SuSE Linux
Solaris 9
Solaris 10
guid:setuid
guid:seteuid
guid:setreuid
guid:setgid
guid:setegid
guid:setregid
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
147
Problemas generales
Qu servicios de Host Intrusion Prevention se tendran que instalar y ejecutar en
el sistema del cliente para que el software funcione correctamente?
Estos servicios siempre tendran que estar activados para proporcionar proteccin de prevencin
de intrusiones con IPS o firewall o ambos:
Servicio McAfee Host Intrusion Prevention (FireSvc.exe)
Servicio McAfee Firewall Core (mfefire.exe)
Servicio McAfee Validation Trust Protection (mfevtps.exe)
Estos servicios tendran que estar activos cuando se los llame:
Icono de la bandeja del sistema del servicio McAfee Host Intrusion Prevention (FireTray.exe)
Consola del cliente de McAfee Host Intrusion Prevention (McAfeeFire.exe)
Cmo puedo evitar que el firewall bloquee el trfico distinto de IP?
A no ser que est indicado especficamente en una regla de firewall, el firewall no reconoce
algunos tipos de trfico distinto de IP y, debido a ello, estn bloqueados. Adems, el modo de
adaptacin y el modo de aprendizaje, de forma dinmica, no detectan y crean reglas de firewall
para protocolos distintos de IP. Para evitar que se descarten los protocolos distintos de IP,
seleccione Permitir el trfico de protocolos no admitidos en la directiva Opciones de
Firewall. Despus puede comprobar el registro de actividades de Protocolos distintos de
IP entrantes/salientes permitidos: 0xXXX, donde 0xXXX indica el nmero del protocolo
IANA Ethernet (consulte htttp://www.iana.org/assignments/ethernet-numbers). Utilice esta
informacin para determinar el trfico distinto de IP necesario y cree una regla de firewall que
lo permita.
148
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Qu tengo que hacer si una aplicacin falla o una funcin se ve afectada despus
de instalar o actualizar el contenido de Host Intrusion Prevention?
Si el comportamiento de una aplicacin ha cambiado despus de instalar o actualizar el cliente
de Host Intrusion Prevention o una actualizacin de contenido, tiene que determinar si es la
firma u otro elemento el que causa el problema.
Si el problema se produce por una firma IPS:
1
Si una firma nueva est bloqueando actividad por culpa de un evento, vaya a la ficha Evento
de Host IPS en Informes en el servidor ePolicy Orchestrator, busque el evento y cree una
excepcin. Asegrese de hacer la excepcin tan diferenciada como sea posible utilizando
los parmetros avanzados del evento.
Si los parmetros avanzados del evento son limitados, visualice la firma relacionada con el
evento. Si se incluye un elemento CVE (Common Vulnerabilities and Exposures) en la
descripcin de la firma IPS, esto indica que una actualizacin de seguridad de un parche
est disponible. Aplique el parche y desactive la firma.
Desactive todos los mdulos de Host Intrusion Prevention (IPS, IPS de red y Firewall), y
vulvalo a probar para verificar si el problema se produce.
Desactive el IPS y detenga el servicio del cliente de Host Intrusion Prevention (FireSvc.exe)
y, a continuacin, vulvalo a probar para verificar si el problema se produce.
Asle el motor IPS que podra estar causando el problema. Para obtener detalles, consulte
el artculo 54960 de KnowledgeBase en http://knowledge.mcafee.com.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
149
Cmo aslo un componente en Host IPS para descubrir cul causa el problema?
NOTA: este proceso incluye pasos que pueden requerir reincializaciones y accesos repetidos o
problemas que se recrean. Los pasos siguientes tendran que realizarse en el sistema del cliente
local con la consola de Host IPS. Si encuentra la causa del problema pero no puede resolverlo,
reenve los registros que obtenga al Soporte de McAfee.
Desactivar todos los componentes y comprobar si hay fallos:
1
Desactivar IPS: haga clic en la ficha Directiva IPS y anule la seleccin de Activar Host
IPS y Activar IPS de red.
Desactivar Firewall: haga clic en la ficha Directiva Firewall y anule la seleccin de Activar
Firewall.
Borrar la lista de Hosts bloqueados: haga clic en la ficha Hosts bloqueados y borre la lista
seleccionando cada entrada y haciendo clic en Quitar.
150
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Guarde una copia del registro hipshield por cada prueba y etiqutela con el nombre del
motor al que se ha realizado la prueba, para informar al soporte.
Cuando se hayan completado las pruebas, active todos los motores para pasar al siguiente
paso.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
151
Haga clic en la ficha Hosts bloqueados, tenga en cuenta cualquier entrada de atacante
bloqueado y revise para ver si hay falsos positivos.
Vulvalo a probar para verificar si el problema est solucionado. Si lo est, Host IPS
Firewall puede asociarse potencialmente al problema.
152
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Guarde una copia del registro de actividad y pngale el nombre Registro de actividad
deFirewall LearnINOUT wProb, para informar al soporte.
Guarde la regla. Si la regla se ha creado en una directiva en la consola ePO, mueva la regla
Permitir todo el trfico para que sea la primera regla en la lista de directivas. Si se ha
creado la regla de forma local, asegrese de que ninguna regla la precede.
Haga una captura de pantalla de la lista del firewall en la ficha Directiva de Firewall.
Haga clic en la ficha Directiva de Firewall, anule la seleccin de la casilla Activar Firewall
y pase al siguiente paso.
Haga clic en la ficha Hosts bloqueados y elimine todos los hosts bloqueados de la lista.
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
153
Desde el icono de la bandeja, abra la consola de Host IPS. Desbloquee la interfaz del usuario
con un administrador o una contrasea basada en tiempos.
154
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
155
Las lneas del formato signature=111 level=2, log=True indican que se ha cargado una
firma individual. Se incluyen el ID y el nivel de la firma junto con una indicacin de si el
registro est activado para esta firma.
NOTA: Shield.db y except.db se crean en el mismo directorio que los registros solo cuando
la depuracin est activada. Estos archivos contienen un volcado de las reglas y las excepciones
que se envan al kernel despus de que el AgentNT.dll haya procesado el contenido.
Qu archivos de registro estn asociados con el componente firewall?
Los archivos de registro primarios del componente Firewall contienen:
Nombre
Descripcin
FireSvc.log
HipMgtPlugin.log
Errores/advertencias
Registro de complemento de
McAfee Agent
FireUI.log
Errores/advertencias
Errores/advertencias
Errores/advertencias
Estos archivos crecen hasta que alcanzan el tamao mximo predeterminado de 100 MB. Si se
desean archivos de registro ms grandes o ms pequeos, el tamao se puede controlar
agregando el siguiente valor de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.
Para establecer el tamao del registro:
1
Cambie el valor al tamao deseado para los registros. Este valor se introduce en KB.
Utilidad Clientcontrol.exe
Esta utilidad de lnea de comandos ayuda a automatizar las actualizaciones y otras tareas de
mantenimiento cuando se utiliza software de terceros para desplegar Host Intrusion Prevention
156
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
157
[ ] significa obligatorio.
[xxx, ...] significa uno o ms.
< > significa datos introducidos por el usuario.
Argumentos principales:
Solo uno de los siguientes argumentos principales tiene permiso por invocacin:
/ayuda
/inicio
/detencin
/registro
/motor
/exportacin
Sin embargo, puede especificar ms de una opcin de registro cuando cambie la configuracin
de registro.
Ejecutar la utilidad con el comando /ayuda proporciona la informacin de ayuda y las notas
ms actualizadas.
Uso:
clientcontrol [arg]
Definiciones de los argumentos:
/ayuda
Muestra la sintaxis de las lneas de comando y las notas.
/inicio
Inicia el servicio.
/detencin <contrasea>
Detiene el servicio.
/registro <contrasea> [tipo de registro] [opciones de registro]
Genera registros. Las opciones de registro se procesan en orden.
Definiciones del tipo de registro:
0 = HIPS (crea un HipShield.log)
1 = Firewall (crea un FireSvc.log)
Definiciones de las opciones de registro:
0 = desactivado
1 = error
2 = advertencia
3 = informacin
4 = depuracin
5 = violacin de la seguridad (solo IPS)
/motor <contrasea> [tipo de motor] [opciones de motor]
Enciende y apaga los motores.
Definiciones del tipo de motor:
0 = todos
158
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
159
160
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
ndice
A
caracteres comodn
reglas de firewall 79
reglas IPS 47
firmas personalizadas 115
Catlogo de directivas
Aplicaciones de confianza 87
directivas de firewall personalizadas, creacin 70, 73
directivas de propiedad de IPS en host 8
gestin de directivas de IPS en host 18
IU de cliente 82
Redes de confianza 86
Catlogo de IPS en host
agregar a 77
contenido 63
dependencias 63
edicin 77
explicacin 63
exportar a 77
exportar desde 77
filtrar 77
usar 77
Cliente Linux 107, 108, 109, 110
comprobar archivos de instalacin 109
consideraciones 108
descripcin 107
detener y reiniciar 110
implementacin de directivas 107
solucin de problemas 108, 109
Cliente Solaris
archivos de instalacin 106
comprobacin de que el cliente se ejecuta 106
descripcin 104
detener y reiniciar 106, 107
implementacin de directivas 104
prevencin de desbordamiento del bfer 104
solucin de problemas 105
Cliente Windows
alertas 95
descripcin 90
directivas IPS, editar 98
directivas IPS, trabajar con 98
Ficha Directiva de firewall 99, 100
Ficha Directiva de IPS 97
Ficha Hosts bloqueados 101, 102
Ficha Proteccin de aplicaciones 102
Ficha Registro de actividad 102, 103
lista de reglas de firewall 99
reglas de excepcin para directivas de IPS 97, 98
reglas de firewall, crear y editar 100
solucin de problemas 93, 94, 95
clientes
actualizacin con llamada de activacin del agente o tarea 31
ajuste de IPS en host 21
B
blindaje y envoltura 33, 35
reglas de comportamiento de IPS y 35
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
161
ndice
clientes (continuacin)
anlisis de datos en clientes IPS en host 21
consultas para grupos de 14
convenciones de nomenclatura para IPS en host 21
Linux (consulte Cliente Linux) 107
Solaris (consulte Cliente Solaris) 104
trabajar con, en IPS en host 21
Windows (consulte Cliente Windows) 90
conformidad
configuracin de paneles de IPS en host para ver 19
conjuntos de permisos
asignar 26
gestin del despliegue de IPS en host 25
permisos de IPS en host 25
quin configura el sistema 19
consola de cliente Windows
desbloquear la interfaz 92
descripcin 90
Men Icono de la bandeja de sistema 90
mtodos de apertura 92
personalizar por cliente 93
consultas, IPS en host
gestin de la informacin 13
informes 10
personalizado, parmetros para 14
predefinidas y personalizadas 14
seguimiento de actividades 14
contraseas
desbloquear la consola de cliente Windows 92
para directiva IU de cliente 83
usar la herramienta de solucin de problemas hipts 105
D
desbordamiento del bfer
configuracin de la directiva Aplicaciones de confianza 87
prevencin en el cliente Solaris 104
reglas de comportamiento de IPS y 35
despliegue
despliegue del cliente de IPS en host inicial 21
Directivas de IPS en host y 10
perfiles de uso en IPS en host 10
tareas servidor para IPS en host 25
direccin IP
configurar redes de confianza 86
Notificaciones y parmetros de IPS en host 28
Direccin IP
firewall de seguimiento de estado, IPv4 contra IPv6 65
grupos con reconocimiento de ubicacin 60
grupos de reglas 60
reglas de firewall y 99
supervisin de hosts bloqueados 101
directiva Aplicaciones de confianza
acerca de 8
crear y editar 88
definir 87
falsos positivos, reducir 81
Directiva Aplicaciones de confianza
descripcin 81
Directiva de bloqueo de DNS del firewall
acerca de 8
definir 73
descripcin 57
Directiva de IU de cliente
acerca de 8
configuracin 82
162
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
ndice
E
estructura de regla
firmas personalizadas 111
Eventos IPS
acerca de 37
aplicaciones de confianza, creacin 52
F
falsos positivos
ajuste de directivas de IPS en host 10
directiva Aplicaciones de confianza, reducir 87
directivas de reglas IPS y excepciones 51
ficha Hosts bloqueados, trabajar con 101
filtros
cmo funciona el filtrado con seguimiento de estado del firewall
66
consulta de actividades de IPS en host 14
eventos y consultas de IPS en host 10
firewall con seguimiento de estado
cmo funciona el filtrado con seguimiento de estado 66
inspeccin de paquetes, cmo funciona 67
rastreo de protocolo 68
firewall, Host IPS
grupos de reglas, reconocimiento de ubicacin 60
firewall, IPS en host
inspeccin de paquetes con seguimiento de estado 65, 67
acciones, permitir y bloquear 66
acerca de 8
alertas 96
cmo funcionan las reglas de firewall 58
consultas 14
descripcin 57
filtrado con seguimiento de estado, cmo funciona 66
filtrado de paquetes con seguimiento de estado 65
grupos con reconocimiento de ubicacin 76
grupos de reglas 60
grupos de reglas de firewall, creacin 76
inspeccin de paquetes con seguimiento de estado 65, 67
lista de reglas 74, 99, 100
lista de reglas de firewall, ordenacin 58
modos de adaptacin y aprendizaje 69
opciones de registro 94
Opciones del firewall, configuracin 72
permisos para 25
personalizar opciones 100
rastreo de protocolo con seguimiento de estado 68
Reglas de bloqueo de DNS 77
reglas de cliente 14, 70
reglas de firewall 10, 73, 75
Reglas del firewall, configuracin 74
reglas, permitir y bloquear 58
tabla de estados 65
firmas
ajuste de directivas de IPS en host 10
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
163
ndice
firmas (continuacin)
alertas y firmas NIPS 95
configuracin de directiva Reglas IPS 44
creacin de un IPS en host personalizado 45
creacin mediante el mtodo estndar 45
creacin mediante el mtodo experto 45
definido 34
directiva Reglas IPS 40
excepciones 36
HIPS, acerca de 34
host 43
IP de host y excepciones 95
IPS en host predeterminado 43
IPS en host y de red 28
lista de reglas de excepcin 97
NIPS, acerca de 34
niveles de gravedad 43
niveles de gravedad para 39
personalizar 43
red 43
tipos de 43
uso de 43
utilizacin del asistente para crear 46
firmas de Host Intrusion Prevention 34
firmas de prevencin de intrusiones en red 34
firmas personalizadas
caracteres comodn 115
descripcin general para Linux y Solaris 138
descripcin general para Windows 117
directivas vlidas en Linux 145
directivas vlidas en Solaris 145
directivas vlidas en Windows 135
estructura de regla 111
Linux 138
Linux, UNIX_apache (HTTP) 141
Linux, UNIX_file (archivos) 138
Linux, UNIX_misc 143
secciones comunes 112
secciones opcionales 114
Solaris 138
Solaris, UNIX_apache (HTTP) 141
Solaris, UNIX_bo 144
Solaris, UNIX_file (archivos) 138
Solaris, UNIX_GUID 145
Solaris, UNIX_map 144
Solaris, UNIX_misc 143
Uso ilegal de API, Windows 123
variables de valor de seccin 115
Windows, Archivos 119
Windows, Desbordamiento de bfer 118
Windows, directivas por plataforma 135
Windows, Hook 122
Windows, Ilegal 124
Windows, Isapi 124
Windows, Programa 127
Windows, Registro 129
Windows, Servicios 131
Windows, SQL 134
gestin de la informacin
anlisis de datos de clientes de IPS en host 21
consultas predefinidas y personalizadas para IPS en host 14
paneles y consultas para IPS en host 13
164
I
icono de la bandeja del sistema
definir opciones de cliente 93
desactivar una funcin de IPS en host 83
idioma, IPS en host
definir opciones para clientes 93
implementacin de directivas
cliente Linux y 107
cliente Solaris y 104
Clientes de IPS en host y ePO 7
IPS en host 9
interceptacin de llamadas de sistema 33
IPS en host
actividades y paneles 13
cmo establecer y ajustar la proteccin 20
cmo funciona 7
conjuntos de permisos 25
directivas y sus categoras 9
ficha Informacin del intruso 95
funciones y categoras 9
proteccin bsica y avanzada 7
responder a alertas 95
tipos de directivas 8
IPS, IPS en host
permisos para 25
L
listas de reglas
excepciones para IPS en host 97
reglas de firewall para IPS en host 100
llamadas de activacin
actualizacin de clientes IPS en host 31
migracin
directivas 24
directivas de la versin 7 a la versin 8 24
Mis valores predeterminados, directiva
Aplicaciones de confianza 87
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
ndice
N
NIPS (firmas de Network Intrusion Prevention) 101
niveles de gravedad, IPS
configuracin de reacciones para 40
configuracin y ajuste de la proteccin 20
configurar 10, 19
directiva Proteccin IPS 39
eventos y 52
trabajar con firmas 43
trazado hasta una reaccin 10
niveles de seguridad de firmas
tipos de 43
notificaciones, IPS en host
acerca de 28
categoras especficas del producto admitidas 28
configuracin 19
reglas y eventos 28
O
opciones de lnea de comandos
ClientControl.exe, automatizacin de la actualizacin 93
cliente Solaris, reiniciar 107
comprobacin de que el cliente Solaris se ejecuta 106
comprobar que el cliente Linux se ejecuta 109
detener y reiniciar el cliente Linux 110
Detenin del cliente Solaris 106
P
paneles
consultas y Host Intrusion Prevention 10
gestin de la informacin en IPS en host 13
seguimientos de IPS en host predeterminados 13
visualizacin de conformidad y asuntos de IPS en host 19
paquetes
actualizaciones de contenido de IPS en host 29
perfiles de uso
agrupacin de sistemas de IPS en host 10
ajuste de directivas de IPS en host 10
Preguntas frecuentes
modo de adaptacin 22
directivas de instancias mltiples 42
prevencin de intrusiones (IPS)
blindaje y envoltura 33
descripcin 32
directiva Proteccin IPS 39
editar reglas de excepcin 98
excepciones 36
firmas, definidas 34
HIPS, acerca de 34
interceptacin de llamadas de sistema 33
mtodos de entrega 33
modo de adaptacin y excepciones 36
motores y controladores 33
NIPS, acerca de 34
opciones de registro 94
opciones de registro del firewall 94
personalizar opciones 98
reacciones 35
reglas de cliente 14
reglas de cliente, visin general 56
reglas de comportamiento 35
prioridad
directiva Redes de confianza 86
directivas generales, IPS en host y 81
IPS de red y direcciones IP 86
lista de reglas de firewall 58
procesos supervisados, ver 102
proteccin bsica
directivas de IPS en host predeterminadas 20
IPS en host 7
Proteccin de IPS
activar 37
desactivar 37
proteccin por firewall
activar 70
desactivar 70
protocolos
rastreo y firewall con seguimiento de estado 68
puertos
conexiones FTP e inspeccin de paquetes con seguimiento de
estado 67
conexiones y alertas de firewall 96
firewall y entradas de tabla de estados 65
trfico bloqueado y reglas de firewall 69
R
reacciones
acerca de 35
alertas de firewall, responder a 96
alertas de intrusos, responder a 95
alertas de simulacin detectada, responder a 97
configuracin, para niveles de gravedad de firma 40
proteccin IPS, configuracin 39
tipos de 35
trazado hasta la gravedad de IPS 10
recomendaciones de McAfee
agrupacin de clientes de IPS en host lgica 21
ajuste de directivas predeterminadas de IPS en host 19
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0
165
ndice
166
S
solucin de problemas, Host IPS
aislar los componentes que causan problemas 148
bloquear trfico distinto de IP 148
comprobar los servicios que se estn ejecutando 148
fallo de aplicaciones con Host Intrusion Prevention instalado 148
usar la utilidad ClientControl 156
usar registros 154
solucin de problemas, IPS en host
Cliente Linux 107, 108
Cliente Solaris 105
Cliente Windows 93, 94
desactivacin de motores IPS en host 95
herramienta hipts 105, 108
IU de cliente 85
opciones 93
registro del firewall, definir opciones 94
sugerencias
uso de notificaciones 28
T
tabla de estados, firewall
descripcin 65
funcionalidad 65
tareas servidor, IPS en host
Ejecutar consulta 27
Exportar consultas 27
Exportar directivas 27
Extraccin del repositorio 27
gestin del despliegue 25, 27
incorporacin de actualizaciones 30
Purgar registro de eventos 27
Purgar registro de eventos de amenazas 27
Traductor de propiedades 27
Traductor de propiedades de IPS en host 27
TrustedSource
cmo funciona 72
definicin 72
Directiva Opciones del firewall de Host IPS 72
Preguntas frecuentes 72
U
utilidad ClientControl
detener servicios 156
funcin e instalacin 156
sintaxis de lnea de comandos 156
usar para solucionar problemas 156
utilidades
ClientControl.exe, automatizacin de la actualizacin 93
Gua del producto McAfee Host Intrusion Prevention 8.0 para ePolicy Orchestrator 4.0