mcafee host intrusion preventionb2b-download.mcafee.com/products/evaluation/host... · 7 mcafee®...

Guía del producto

McAfee® Host Intrusion Preventionversión 6.1

McAfee® System ProtectionSoluciones líderes en el sector para la prevención de intrusiones

COPYRIGHTCopyright © 2007 McAfee, Inc. Reservados todos los derechos.

Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a cualquier idioma de este documento o parte del mismo en cualquier forma o por cualquier medio sin el consentimiento previo, por escrito, de McAfee, Inc., sus proveedores o empresas asociadas.

ATRIBUCIONES DE MARCAS COMERCIALESACTIVE FIREWALL, ACTIVE SECURITY, ACTIVESECURITY (Y EN KATAKANA), ACTIVESHIELD, CLEAN-UP, DESIGN (E ESTILIZADA), DESIGN (N ESTILIZADA), ENTERCEPT, EPOLICY ORCHESTRATOR, FIRST AID, FOUNDSTONE, GROUPSHIELD, GROUPSHIELD (Y EN KATAKANA), INTRUSHIELD, INTRUSION PREVENTION THROUGH INNOVATION, MCAFEE, MCAFEE (Y EN KATAKANA), MCAFEE AND DESIGN, MCAFEE.COM, MCAFEE VIRUSSCAN, NET TOOLS, NET TOOLS (Y EN KATAKANA), NETSCAN, NETSHIELD, NUTS & BOLTS, OIL CHANGE, PRIMESUPPORT, SPAMKILLER, THREATSCAN, TOTAL VIRUS DEFENSE, VIREX, VIRUS FORUM, VIRUSCAN, VIRUSSCAN, VIRUSSCAN (Y EN KATAKANA), WEBSCAN, WEBSHIELD, WEBSHIELD (Y EN KATAKANA) son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas asociadas en EE.UU. y otros países. El color rojo utilizado para denotar seguridad es distintivo de los productos de la marca McAfee. Todas las demás marcas registradas y no registradas mencionadas en este documento son propiedad exclusiva de sus respectivos propietarios.

INFORMACIÓN SOBRE LA LICENCIAAcuerdo de licenciaAVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL CONTRATO LEGAL CORRESPONDIENTE A LA LICENCIA ADQUIRIDA, QUE ESTIPULA LOS TÉRMINOS GENERALES Y LAS CONDICIONES DE USO DEL SOFTWARE CON LICENCIA. SI DESCONOCE EL TIPO DE LICENCIA ADQUIRIDA, CONSULTE EL DOCUMENTO DE VENTA U OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LICENCIA O LA ORDEN DE COMPRA QUE ACOMPAÑAN A SU PAQUETE DE SOFTWARE O QUE HA RECIBIDO POR SEPARADO AL COMPRAR EL PRODUCTO (COMO UN FOLLETO, UN ARCHIVO EN EL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ A EFECTOS DE OBTENER UN REEMBOLSO ÍNTEGRO.

AtribucionesEste producto incluye o puede incluir:

• Software desarrollado por el proyecto OpenSSL Project para su uso con el kit de herramientas de OpenSSL (http://www.openssl.org/). • Software criptográfico escrito por Eric A. Young y software escrito por Tim J. Hudson. • Algunos programas de software cuya licencia (o sublicencia) se otorga al usuario bajo la Licencia pública general GNU (GNU General Public License, GPL) u otras licencias similares de Software libre que, entre otros derechos, permiten al usuario copiar, modificar y redistribuir ciertos programas, o partes de los mismos, y tener acceso al código fuente. De acuerdo con la Licencia pública general, si cualquier software regulado por ella se distribuye a otras personas en formato binario ejecutable, también se debe poner a disposición de los usuarios el código fuente correspondiente. En este CD tiene a su disposición el código fuente de este tipo de programas de software cubiertos por la GPL. Si cualquier licencia de Software libre requiere que McAfee proporcione derechos para usar, copiar o modificar un programa de software más amplios que los derechos otorgados en este Acuerdo, esos derechos tendrán prioridad sobre los derechos y restricciones especificados aquí. • Software escrito originalmente por Henry Spencer, Copyright 1992, 1993, 1994, 1997 Henry Spencer. • Software escrito originalmente por Robert Nordier, Copyright © 1996 – 7 Robert Nordier. • Software escrito por Douglas W. Sauder. • Software desarrollado por Apache Software Foundation (http://www.apache.org/). Encontrará una copia del acuerdo de licencia para este software en www.apache.org/licenses/LICENSE-2.0.txt. • International Components for Unicode (“ICU”) Copyright (C) 1995 – 2002 International Business Machines Corporation y otros. • Software desarrollado por CrystalClear Software, Inc., Copyright © 2000 CrystalClear Software, Inc. • Tecnología FEAD

®

Optimizer®

, Copyright Netopsystems AG, Berlín, Alemania. • Outside In®

Viewer Technology © 1992 – 2001 Stellent Chicago, Inc. y/o Outside In

®

HTML Export, © 2001 Stellent Chicago, Inc. • Software propiedad de Thai Open Source Software Center Ltd. y Clark Cooper, © 1998, 1999, 2000. • Software propiedad de Expat maintainers. • Software propiedad de The Regents of the University of California, © 1996, 1989, 1998 – 2000. • Software propiedad de Gunnar Ritter. • Software propiedad de Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, EE.UU., © 2003. • Software propiedad de Gisle Aas. © 1995 – 2003. • Software propiedad de Michael A. Chase, © 1999 – 2000. • Software propiedad de Neil Winton, © 1995 – 1996. • Software propiedad de RSA Data Security, Inc., © 1990 – 1992. • Software propiedad de Sean M. Burke, © 1999, 2000. • Software propiedad de Martijn Koster, © 1995. • Software propiedad de Brad Appleton, © 1996 – 1999. • Software propiedad de Michael G. Schwern, © 2001. • Software propiedad de Graham Barr, © 1998. • Software propiedad de Larry Wall y Clark Cooper, © 1998 – 2000. • Software propiedad de Frodo Looijaard, © 1997. • Software propiedad de Python Software Foundation, Copyright © 2001, 2002, 2003. Encontrará una copia del acuerdo de licencia de este software en www.python.org. • Software propiedad de Beman Dawes, © 1994 – 1999, 2002. • Software escrito por Andrew Lumsdaine, Lie-Quan Lee, Jeremy G. Siek © 1997 – 2000 Universidad de Notre Dame. • Software propiedad de Simone Bordet y Marco Cravero, © 2002. • Software propiedad de Stephen Purcell, © 2001. • Software desarrollado por Indiana University Extreme! Lab (http://www.extreme.indiana.edu/). • Software propiedad de International Business Machines Corporation y otros, © 1995 – 2003. • Software desarrollado por la Universidad de California (Berkeley) y sus colaboradores. • Software desarrollado por Ralf S. Engelschall <[email protected]> para su uso en el proyecto mod_ssl (http:// www.modssl.org/). • Software propiedad de Kevlin Henney, © 2000 – 2002. • Software propiedad de Peter Dimov y Multi Media Ltd. © 2001, 2002. • Software propiedad de David Abrahams, © 2001, 2002. En http://www.boost.org/libs/bind/bind.html encontrará más documentación. • Software propiedad de Steve Cleary, Beman Dawes, Howard Hinnant y John Maddock, © 2000. • Software propiedad de Boost.org, © 1999 – 2002. • Software propiedad de Nicolai M. Josuttis, © 1999. • Software propiedad de Jeremy Siek, © 1999 – 2001. • Software propiedad de Daryle Walker, © 2001. • Software propiedad de Chuck Allison y Jeremy Siek, © 2001, 2002. • Software propiedad de Samuel Krempp, © 2001. En http://www.boost.org encontrará actualizaciones, documentación y un historial de revisiones. • Software propiedad de Doug Gregor ([email protected]), © 2001, 2002. • Software propiedad de Cadenza New Zealand Ltd., © 2000. • Software propiedad de Jens Maurer, © 2000, 2001. • Software propiedad de Jaakko Järvi ([email protected]), © 1999, 2000. • Software propiedad de Ronald Garcia, © 2002. • Software propiedad de David Abrahams, Jeremy Siek y Daryle Walker, © 1999 – 2001. • Software propiedad de Stephen Cleary ([email protected]), © 2000. • Software propiedad de Housemarque Oy <http://www.housemarque.com>, © 2001. • Software propiedad de Paul Moore, © 1999. • Software propiedad de Dr. John Maddock, © 1998 – 2002. • Software propiedad de Greg Colvin y Beman Dawes, © 1998, 1999. • Software propiedad de Peter Dimov, © 2001, 2002. • Software propiedad de Jeremy Siek y John R. Bandela, © 2001. • Software propiedad de Joerg Walter y Mathias Koch, © 2000 – 2002. • Software propiedad de Carnegie Mellon University © 1989, 1991, 1992. • Software propiedad de Cambridge Broadband Ltd., © 2001 – 2003. • Software propiedad de Sparta, Inc., © 2003–2004. • Software propiedad de Cisco, Inc. y de Information Network Center of Beijing University of Posts and Telecommunications, © 2004. • Software propiedad de Simon Josefsson, © 2003. • Software propiedad de Thomas Jacob, © 2003 – 2004. • Software propiedad de Advanced Software Engineering Limited, © 2004. • Software propiedad de Todd C. Miller, © 1998. • Software propiedad de The Regents of the University of California, © 1990, 1993, con código derivado de software aportado a Berkeley por Chris Torek.

INFORMACIÓN SOBRE PATENTESProtegido por las patentes de los EE.UU. 6.301.699; 6.412.071; 6.496.875; 6.668.289; 6.823.460.

Publicado en febrero de 2007 / Software Host Intrusion Prevention versión 6.1 DBN-100-ES

Contenido

1 Introducción a Host Intrusion Prevention 9Novedades de esta versión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Cambios con respecto a la versión anterior. . . . . . . . . . . . . . . . . . . . . . . . .10

Nuevas funciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Uso de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Destinatarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Convenciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Obtención de información del producto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Documentación estándar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Información de contacto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

2 Conceptos básicos 15Función IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Reglas de firma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Reglas de comportamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Reacciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Reglas de excepción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Función cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Reglas del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Reglas del cortafuegos de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Función de bloqueo de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Reglas de bloqueo de aplicaciones del cliente. . . . . . . . . . . . . . . . . . . . . . 18

Función General . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Gestión de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

Imposición de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

Directivas y categorías de directivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

Herencia y asignación de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Propiedad de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Bloqueo de asignaciones de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Despliegue y gestión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Protección preconfigurada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Modo de adaptación y de aprendizaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Ajuste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3 Uso de ePolicy Orchestrator 23Operaciones de ePolicy Orchestrator utilizadas con

Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

consola de ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Gestión de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Asignación de propietarios a las directivas . . . . . . . . . . . . . . . . . . . . . . . . 26

Generación de notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Generación de informes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Operaciones de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Instalación del servidor de Host Intrusion Prevention. . . . . . . . . . . . . . . . 26

Despliegue de clientes de Host Intrusion Prevention . . . . . . . . . . . . . . . . 27

Visualización y trabajo con datos de los clientes. . . . . . . . . . . . . . . . . . . . 27

Colocación de los clientes en modo Adaptación o Aprendizaje. . . . . . . . 28

Configuración de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Ajuste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Uso de la Ayuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

5

McAfee® Host Intrusion Prevention 6.1 Guía del producto Contenido

4 Directivas de IPS 33Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Reglas de firma IPS de host y de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Directivas de IPS preestablecidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Acceso rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Configuración de la directiva Opciones IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Configuración de la directiva Protección IPS . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Configuración de la directiva Reglas IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Detalles de la directiva Reglas IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Reglas de excepción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Firmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Reglas de protección de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Visualización de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Configuración de la vista de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Filtrado de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Marcado de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Marcado de eventos similares. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Visualización de detalles de eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Creación de excepciones y aplicaciones de confianza basadas en eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Reglas de cliente IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Vista normal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Vista agregada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Búsqueda de reglas de excepción IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

5 Directivas de cortafuegos 68Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Reglas HIP 6.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Reglas HIP 6.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Cómo funcionan las reglas de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 71

Cómo funciona el filtrado con seguimiento de estado . . . . . . . . . . . . . . . 72

Cómo funciona la inspección de paquetes con seguimiento de estado. . . . . 73

Grupos de reglas de cortafuegos y grupos para conexión . . . . . . . . . . . . .74

Modos Aprendizaje y Adaptación del cortafuegos . . . . . . . . . . . . . . . . . . .76

Directivas y reglas de cuarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Migración de las reglas personalizadas de cortafuegos de la versión 6.0 a reglas de la versión 6.1. . . . . . . . . . . . . . . . . . . . . . . . . . 78

Directivas preestablecidas de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . 78

Acceso rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Configuración de la directiva Opciones del cortafuegos . . . . . . . . . . . . . . . . . 79

Configuración de la directiva Reglas de cortafuegos. . . . . . . . . . . . . . . . . . . . 81

Creación de nuevas directivas de Reglas de cortafuegos . . . . . . . . . . . . . 81

Visualización y edición de reglas de cortafuegos . . . . . . . . . . . . . . . . . . . 84

Creación de una nueva regla del cortafuegos o grupo del cortafuegos . . . . 85

Eliminación de una regla o grupo del cortafuegos . . . . . . . . . . . . . . . . . . 87

Visualización de reglas de cliente del cortafuegos . . . . . . . . . . . . . . . . . . 88

Configuración de la directiva Opciones de cuarentena . . . . . . . . . . . . . . . . . . 90

Configuración de la directiva Reglas de cuarentena . . . . . . . . . . . . . . . . . . . . 91

Creación de nuevas directivas de Reglas de cuarentena . . . . . . . . . . . . . 91

Visualización y edición de reglas de cuarentena . . . . . . . . . . . . . . . . . . . . 92

Creación de una nueva regla o grupo de cuarentena . . . . . . . . . . . . . . . . 93

Eliminación de una regla o grupo de cuarentena . . . . . . . . . . . . . . . . . . . 93

6 Directivas de bloqueo de aplicaciones 94Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Creación de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Enlace de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Directivas preestablecidas de bloqueo de aplicaciones . . . . . . . . . . . . . . 95

Acceso rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

6


Configuración de la directiva de opciones de bloqueo de aplicaciones . . . . . . 96

Configuración de la directiva Reglas de bloqueo de aplicaciones . . . . . . . . . 98

Creación de nuevas directivas de reglas de aplicaciones . . . . . . . . . . . . . 98

Visualización y edición de reglas de bloqueo de aplicaciones . . . . . . . . . 99

Creación de nuevas reglas de bloqueo de aplicaciones . . . . . . . . . . . . . 100

Eliminación de una regla de bloqueo de aplicaciones . . . . . . . . . . . . . . .101

Visualización de las reglas de aplicación del cliente . . . . . . . . . . . . . . . . .101

7 Directivas generales 103Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103

Directivas generales preestablecidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104

Configuración de Imponer directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105

Configuración de la directiva IU de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . .105

Creación y aplicación de una directiva IU de cliente . . . . . . . . . . . . . . . . .106

Configuración de la directiva Redes de confianza . . . . . . . . . . . . . . . . . . . . . . 110

Configuración de la directiva Aplicaciones de confianza . . . . . . . . . . . . . . . .112

Creación y aplicación de directivas Aplicaciones de confianza . . . . . . . . 112

Creación de aplicaciones de confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Edición de aplicaciones de confianza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Activación y desactivación de aplicaciones de confianza . . . . . . . . . . . . . 114

Eliminación de aplicaciones de confianza . . . . . . . . . . . . . . . . . . . . . . . . . 114

8 Mantenimiento 115Afinar un despliegue. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Análisis de eventos IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Creación de reglas de excepción y reglas de aplicaciones de confianza. . . 116

Trabajo con reglas de excepción de cliente . . . . . . . . . . . . . . . . . . . . . . . . 116

Creación y aplicación de nuevas directivas . . . . . . . . . . . . . . . . . . . . . . . . 116

Mantenimiento y tareas de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Ficha Directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Catálogo de directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Ejecución de tareas del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Puerta de enlace de directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Archivador de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Traductor de propiedades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Configuración de notificaciones para eventos . . . . . . . . . . . . . . . . . . . . . . . . 123

Cómo funcionan las notificaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

Notificaciones de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . 124

Ejecución de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Informes predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Informes de Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Incorporación del paquete de actualización . . . . . . . . . . . . . . . . . . . . . . . 130

Actualización de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

9 Cliente de Host Intrusion Prevention 132Cliente Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Icono de la bandeja del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Consola del cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Ficha Directiva IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142

Ficha Directiva de cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144

Ficha Directiva de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146

Ficha Hosts bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

Ficha Protección de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Ficha Registro de actividades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Cliente Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Aplicación de directivas con el cliente Solaris . . . . . . . . . . . . . . . . . . . . . 153

Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Cliente Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Aplicación de directivas con el cliente Linux . . . . . . . . . . . . . . . . . . . . . . 156

Notas acerca del cliente Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Solución de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

7


10 Preguntas más frecuentes 160

A Creación de firmas personalizadas 164Estructura de las reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

Secciones comunes obligatorias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

Secciones comunes opcionales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Variables del valor de sección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Firmas personalizadas de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Clase Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Clase Isapi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Clase Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176

Clase Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Firmas personalizadas de Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Clase UNIX_file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Detalles avanzados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Clase UNIX_apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Firmas personalizadas de Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Clase UNIX_file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Resumen de parámetros y directivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Lista de parámetros según el tipo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Lista de directivas según el tipo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

Glosario 187

Indice 196

8

1 Introducción a Host Intrusion Prevention

McAfee® Host Intrusion Prevention es un sistema de detección y prevención de intrusos basado en host que protege los recursos del sistema y las aplicaciones de ataques internos y externos.

Host Intrusion Prevention ofrece protección frente a la visualización, copia, modificación y eliminación no autorizadas de información y frente a la puesta en peligro de los recursos del sistema y de la red y de las aplicaciones que almacenan y proporcionan información. Alcanza estos objetivos mediante una combinación innovadora de firmas del sistema de prevención de intrusos de host (HIPS), firmas del sistema de prevención de intrusos de red (NIPS), reglas de comportamiento y reglas de cortafuegos.

Host Intrusion Prevention está totalmente integrado con ePolicy Orchestrator y utiliza la estructura de este programa para proporcionar e imponer directivas. Gracias a la división de la funcionalidad de Host Intrusion Prevention en las funciones IPS, Cortafuegos, Bloqueo de aplicaciones y General se proporciona un mayor control a la hora de ofrecer protecciones de directivas y niveles de protección a los usuarios.

La protección se ofrece desde el momento en que Host Intrusion Prevention se instala. La configuración de protección predeterminada precisa poco o nada de ajuste y permite un despliegue rápido a gran escala. Para conseguir una mayor protección, edite y agregue directivas para ajustar el despliegue.

Para obtener información básica sobre el uso de este producto y esta guía, consulte:

Novedades de esta versión

Uso de esta guía

Obtención de información del producto

Información de contacto

9

McAfee® Host Intrusion Prevention 6.1 Guía del producto Introducción a Host Intrusion PreventionNovedades de esta versión

1

Novedades de esta versiónHost Intrusion Prevention 6.1 se integra totalmente con ePolicy Orchestrator 3.6.1 para gestionar la aplicación del cliente en las plataformas Windows, Solaris y Linux. Se requiere el agente ePolicy Orchestrator y su versión depende de la plataforma en la que esté instalado el cliente. Para Windows, se requiere ePO Agent 3.5.5 o posterior. Para Solaris y Linux, se requiere ePO Agent 3.7.

Cambios con respecto a la versión anterior Dos categorías de directivas de cortafuegos que ofrecen una funcionalidad de cortafuegos con seguimiento de estado para clientes Windows de la versión 6.1, además de la funcionalidad de cortafuegos estática para clientes de la versión 6.0.X.

Las directivas Reglas del cortafuegos y Reglas de cuarentena son directivas de reglas de cortafuegos con seguimiento de estado que gestionan únicamente clientes de Host Intrusion Prevention 6.1.

Las directivas 6.0 Reglas del cortafuegos y 6.0 Reglas de cuarentena son directivas de reglas de cortafuegos estáticas precedentes que gestionan clientes de Host Intrusion Prevention 6.0.X.

Las opciones de cortafuegos con seguimiento de estado en la directiva Opciones del cortafuegos para activar Inspección del protocolo de FTP y establecer Tiempo de espera de conexión TCP y Tiempo de espera de conexión UDP virtual.

Los Grupos para conexión de la directiva Reglas del cortafuegos se han mejorado.

Se ha añadido un sufijo DNS como criterio de acceso a la red.

Distingue entre conexiones de red por cable o inalámbricas.

Nuevas funciones Soporte para clientes Linux en Red Hat Enterprise 4 con SE Linux.

Gestión de directivas IPS a través de la consola de ePO.

Aplicación del modo Adaptación.

Soporte para clientes Solaris en Solaris 8, 9 y 10, núcleos de 32 bits y 64 bits.

Gestión de directivas IPS a través de la consola de ePO.

Aplicación del modo Adaptación.

Protección de servidores web, incluidos Sun One y Apache.

Posibilidad de actualización desde Entercept 5.1 para Solaris.

10

McAfee® Host Intrusion Prevention 6.1 Guía del producto Introducción a Host Intrusion PreventionUso de esta guía

1

Uso de esta guíaEsta guía proporciona la siguiente información sobre la configuración y el uso del producto. Para ver los requisitos del sistema y las instrucciones para la instalación, consulte la Guía de configuración.

Introducción a Host Intrusion PreventionUna descripción general del producto, incluida una explicación de las funciones nuevas o de las modificadas, una descripción general de esta guía e información para ponerse en contacto con McAfee.

Conceptos básicosUna explicación de los elementos básicos de Host Intrusion Prevention y cómo funcionan.

Uso de ePolicy OrchestratorUna explicación de cómo utilizar Host Intrusion Prevention y ePolicy Orchestrator.

Directivas de IPSUna explicación de cómo trabajar con directivas IPS.

Directivas de cortafuegosUna explicación de cómo trabajar con directivas de cortafuegos.

Directivas de bloqueo de aplicacionesUna explicación de cómo trabajar con directivas de bloqueo de aplicaciones.

Directivas generalesUna explicación de cómo trabajar con directivas generales.

MantenimientoUna explicación de cómo mantener y actualizar Host Intrusion Prevention.

Cliente de Host Intrusion PreventionUna explicación de cómo trabajar con el cliente.

Preguntas más frecuentesRespuestas a preguntas frecuentes sobre Host Intrusion Prevention.

Creación de firmas personalizadasApéndice sobre cómo crear firmas personalizadas.

Glosario

Indice

DestinatariosEsta información está destinada a administradores de la red o de equipos informáticos, responsables del sistema de detección y prevención de intrusos de host de sus empresas.

11

McAfee® Host Intrusion Prevention 6.1 Guía del producto Introducción a Host Intrusion PreventionUso de esta guía

1

ConvencionesEn esta guía se utilizan las siguientes convenciones:

Negrita condensada

Todas las palabras de la interfaz de usuario, incluidos los nombres de opciones, menús, botones y cuadros de diálogo.

Ejemplo:

Escriba el Nombre de usuario y la Contraseña de la cuenta que desee.

Courier Ruta de acceso de una carpeta o programa; texto que representa exactamente algo que escribe el usuario (por ejemplo, un comando en el símbolo del sistema).

Ejemplo:

La ubicación predeterminada del programa es: C:\Archivos de programa\McAfee\EPO\3.5.0

Ejecute este comando en el equipo cliente:C:\SETUP.EXE

Cursiva Para enfatizar o al presentar un término nuevo; para nombres de documentación del producto y temas (títulos) en el material.

Ejemplo: Consulte la Guía del producto de VirusScan Enterprise para obtener más información.

Azul Una dirección Web (URL) y/o un vínculo activo.

Visite el sitio Web de McAfee en:http://www.mcafee.com

<TÉRMINO> Entre corchetes angulares se incluye un término genérico.

Ejemplo: En el árbol de consola, haga clic con el botón derecho en <SERVIDOR>.

Nota

Nota: Información complementaria; por ejemplo, otro método para ejecutar el mismo comando.

Sugerencia

Sugerencia: Sugerencias de prácticas recomendadas y recomendaciones de McAfee para mejorar la prevención frente a amenazas, el rendimiento y la eficacia.

Precaución

Precaución: Consejos importantes para proteger el sistema informático, la empresa, la instalación de software o los datos.

Advertencia

Advertencia: Consejos importantes para proteger al usuario de daños físicos al utilizar un producto de hardware.

12

http://www.mcafee.com

McAfee® Host Intrusion Prevention 6.1 Guía del producto Introducción a Host Intrusion PreventionObtención de información del producto

1

Obtención de información del productoA menos que se indique de otro modo, la documentación del producto se proporciona en archivos .PDF de Adobe Acrobat (versión 6.0) disponibles en el CD del producto o en el sitio de descargas de McAfee.

Documentación estándarGuía de instalación: Procedimientos para el despliegue y la gestión de productos compatibles a través del software de gestión ePolicy Orchestrator.

Guía del producto: Introducción al producto y funciones disponibles, instrucciones detalladas para configurar el software, información sobre el despliegue, tareas recurrentes y procedimientos operativos.

Ayuda: Información detallada y de alto nivel a la que se accede desde el botón Ayuda de la aplicación de software.

Tarjeta de referencia rápida: Práctica tarjeta con información sobre las funciones básicas del producto, las tareas rutinarias que se realizan con frecuencia y las tareas críticas que se realizan ocasionalmente. Se adjunta una tarjeta impresa al CD del producto.

Notas de la versión: Archivo léame. Información sobre el producto, problemas solucionados, problemas conocidos y adiciones o cambios de última hora en el producto o en la documentación que lo acompaña. (Se incluye un archivo de texto con la aplicación de software y en el CD del producto.)

13

McAfee® Host Intrusion Prevention 6.1 Guía del producto Introducción a Host Intrusion PreventionInformación de contacto

1

Información de contactoCentro de amenazas: McAfee Avert® Labs http://www.mcafee.com/us/threat_center/default.asp

Biblioteca de amenazas Avert Labs http://vil.nai.com

Avert Labs WebImmune, Enviar una muestra (se necesitan credenciales de inicio de sesión) https://www.webimmune.net/default.asp

Archivos DAT de Avert Labs Servicio de notificación http://vil.nai.com/vil/signup_DAT_notification.aspx

Sitio de descargas http://www.mcafee.com/us/downloads/ Actualizaciones de productos (se requiere un número de licencia válido)

Actualizaciones de seguridad (DAT, motor)

Versiones de revisión

Para vulnerabilidades de seguridad (disponible para el público)

Para productos (se requiere una cuenta ServicePortal y un número de licencia válido)

Evaluación de productos

Programa beta de McAfee

Soporte técnico http://www.mcafee.com/us/support/ Búsqueda en la base de datos KnowledgeBase

http://knowledge.mcafee.com/

McAfee Soporte técnico ServicePortal (es necesario disponer de credenciales para el inicio de sesión) https://mysupport.mcafee.com/eservice_enu/start.swe

Servicio de atención al clienteWeb http://www.mcafee.com/us/support/index.html http://www.mcafee.com/us/about/contact/index.html

Teléfono: Número gratuito en EE.UU., Canadá y Latinoamérica: +1-888-VIRUS NO o +1-888-847-8766 De lunes a viernes, de 8:00 a 20:00, hora central de EE.UU.

Servicios profesionales Empresa: http://www.mcafee.com/us/enterprise/services/index.html

Pequeña y mediana empresa: http://www.mcafee.com/us/smb/services/index.html

14

http://www.mcafee.com/us/threat_center/default.asp

http://vil.nai.com

https://www.webimmune.net/default.asp

http://vil.nai.com/vil/signup_DAT_notification.aspx

http://www.mcafee.com/us/downloads/

http://www.mcafee.com/us/support/

http://knowledge.mcafee.com/

https://mysupport.mcafee.com/eservice_enu/start.swe

http://www.mcafee.com/us/support/index.html

http://www.mcafee.com/us/about/contact/index.html

http://www.mcafee.com/us/enterprise/services/index.html

http://www.mcafee.com/us/smb/services/index.html

2 Conceptos básicos

McAfee® Host Intrusion Prevention es un sistema de protección de intrusos basado en host. Ofrece protección contra ataques conocidos y desconocidos, incluidos gusanos, troyanos, desbordamiento de búfer, modificación de archivos críticos del sistema y promoción de privilegios. La gestión de Host Intrusion Prevention se ofrece a través de la consola de ePolicy Orchestrator y proporciona la posibilidad de configurar y aplicar directivas de prevención de intrusos de host, de cortafuegos, de bloqueo de aplicaciones y generales. Los clientes de Host Intrusion Prevention se despliegan en servidores y equipos de escritorio y funcionan como unidades de protección independientes. Envían informes sobre sus actividades a ePolicy Orchestrator y recuperan actualizaciones para nuevas definiciones de ataques.

En esta sección se describen las cuatro funciones de Host Intrusion Prevention y su funcionamiento con ePolicy Orchestrator, y se incluyen los temas siguientes:

Función IPS

Función cortafuegos

Función de bloqueo de aplicaciones

Función General

Gestión de directivas

Despliegue y gestión

Función IPSLa función IPS (Intrusion Prevention System, sistema de prevención de intrusos) supervisa todas las llamadas de API y del sistema y bloquea las que podrían dar origen a actividad dañina. Host Intrusion Prevention determina qué proceso está utilizando una llamada, el contexto de seguridad en el que se ejecuta el proceso y el recurso al que se está accediendo. Un controlador de kernel que recibe las entradas redireccionadas en la tabla de llamadas del sistema de modo de usuario supervisa la cadena de llamadas del sistema. Cuando se realizan llamadas, el controlador compara la solicitud de llamada con una base de datos donde se combinan firmas y reglas de comportamiento para determinar si una acción se permite, se bloquea o se registra.

Reglas de firmaLas reglas de firma son patrones de caracteres que pueden coincidir con un flujo de tráfico. Por ejemplo, una regla de firma podría buscar una cadena específica en una solicitud HTTP. Si la cadena coincide con una de un ataque conocido, se emprende una acción. Estas reglas proporcionan protección contra ataques conocidos.

15

McAfee® Host Intrusion Prevention 6.1 Guía del producto Conceptos básicosFunción IPS

2

Las firmas se diseñan para aplicaciones y sistemas operativos específicos; por ejemplo, servidores Web como Apache, IIS y NES/iPlanet. La mayoría de las firmas protegen todo el sistema operativo, aunque algunas protegen aplicaciones específicas.

Reglas de comportamientoLas reglas de comportamiento no modificables definen un perfil de actividad inofensiva. La actividad que no coincida con el perfil se considera sospechosa y activará una respuesta. Por ejemplo, una regla de comportamiento podría indicar que sólo un proceso del servidor Web deberá acceder a los archivos HTML. Si cualquier otro proceso intenta acceder a los archivos html, se emprenderá una acción. Estas reglas proporcionan protección contra ataques del día cero y desbordamiento del búfer.

EventosSe generan eventos IPS cuando un cliente reconoce una infracción de una regla de firma o de comportamiento. Los eventos se registran en la ficha Eventos IPS de Reglas IPS. Los administradores pueden supervisar estos eventos para ver y analizar infracciones de reglas del sistema. A continuación, pueden ajustar las reacciones a eventos o crear excepciones o reglas de aplicaciones de confianza para reducir el número de eventos y afinar la configuración de protección.

ReaccionesUna reacción es lo que hace un cliente cuando reconoce una firma con una gravedad específica.

Un cliente reacciona de una de estas tres maneras:

Omitir: no hay ninguna reacción; el evento no se registra y el proceso no se impide.

Registro: el evento se registra pero no se impide el proceso.

Evitar: el evento se registra y se impide el proceso.

Una directiva de seguridad puede indicar, por ejemplo, que cuando un cliente reconozca una firma del nivel de Información, registre la incidencia de esa firma y permita que el sistema operativo gestione el proceso; y que cuando reconozca una firma del nivel Alto impida el proceso.

Reglas de excepciónUna excepción es una regla para anular actividad bloqueada. En algunos casos, el comportamiento que una firma define como un ataque puede ser parte de la rutina de trabajo habitual de un usuario o una actividad que está permitida para una aplicación protegida. Para anular la firma, puede crear una excepción para permitir actividades inofensivas. Por ejemplo, una excepción podría indicar que para un cliente en concreto se omita un proceso.

Puede crear estas excepciones manualmente o colocar clientes en modo Adaptación y permitirles crear reglas de excepción de cliente. Para garantizar que algunas firmas nunca se anulen, edite la firma en cuestión y desactive las opciones de Permitir reglas del cliente. Puede hacer un seguimiento de las excepciones en la consola de ePolicy Orchestrator y mostrarlas en una vista normal y agregada. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que puede aplicar a otros clientes.

Nota

El registro se puede activar directamente en cada firma.

16

McAfee® Host Intrusion Prevention 6.1 Guía del producto Conceptos básicosFunción cortafuegos

2

Función cortafuegosLa función Cortafuegos de Host Intrusion Prevention actúa a modo de filtro entre el equipo y la red o Internet a la esté conectado. La directiva de Reglas del cortafuegos de la versión 6.0 utiliza un filtrado de paquetes estático con una coincidencia de reglas descendente. Cuando se analiza un paquete y se equipara con una regla de cortafuegos, con criterios tales como la dirección IP, el número de puerto y el tipo de paquete, el paquete se permite o se bloquea. Si no se encuentra ninguna regla coincidente, el paquete se descarta. La directiva de Reglas del cortafuegos de la versión actual utiliza tanto el filtrado de paquetes con seguimiento de estado como la inspección de paquetes con seguimiento de estado.

Otras funciones son:

Un modo de cuarentena en el que los equipos clientes pueden ponerse y al que se puede aplicar un conjunto estricto de reglas del cortafuegos que defina con qué clientes en cuarentena se puede o no comunicar.

Grupos para conexión que permiten crear grupos de reglas especializadas basadas en un tipo de conexión específico para cada adaptador de red.

Reglas del cortafuegosSe pueden crear reglas del cortafuegos tan sencillas o complejas como sea necesario. Host Intrusion Prevention admite reglas basadas en:

Tipo de conexión (de red o inalámbrica).

Protocolos IP y no IP.

Dirección del tráfico de la red (entrante, saliente o ambos).

Aplicaciones que han generado el tráfico.

Servicio o puerto utilizado por un equipo (como el destinatario o el emisor).

Servicio o puerto utilizado por un equipo remoto (como el emisor o el destinatario).

Direcciones IP de origen y destino.

Hora del día o la semana en la que se envió o se recibió el paquete.

Reglas del cortafuegos de clienteAl igual que las reglas IPS, un cliente en modo de adaptación o de aprendizaje puede crear reglas del cliente para permitir actividad bloqueada. Puede hacer un seguimiento de las reglas del cliente y mostrarlas en una vista normal y agregada. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que se pueden aplicar a otros clientes.

17

McAfee® Host Intrusion Prevention 6.1 Guía del producto Conceptos básicosFunción de bloqueo de aplicaciones

2

Función de bloqueo de aplicacionesLa función Bloqueo de aplicaciones supervisa las aplicaciones que se están utilizando y las permite o las bloquea.

Host Intrusion Prevention ofrece dos tipos de bloqueo de aplicaciones:

Creación de aplicaciones.

Enlace de aplicaciones.

Cuando Host Intrusion Prevention supervisa la creación de aplicaciones, busca programas que están intentando ejecutarse. En la mayoría de los casos, no hay problemas; sin embargo, en otros hay virus, por ejemplo, que intentan ejecutar programas que dañan el sistema. Esto puede evitarse mediante la creación de reglas de aplicación, similares a las reglas del cortafuegos, que sólo permitan la ejecución de los programas permitidos para un usuario.

Cuando Host Intrusion Prevention supervisa el enlace de aplicaciones, busca programas que están intentando enlazarse con otras aplicaciones. A veces, este comportamiento es inofensivo, pero en ocasiones se trata de un comportamiento sospechoso que puede indicar un virus u otro ataque al sistema.

Se puede configurar Host Intrusion Prevention para que supervise sólo creación de aplicaciones, sólo enlace de aplicaciones o ambas funciones.

La función Bloqueo de aplicaciones es muy similar a la función Cortafuegos. Se crea una lista de reglas de aplicación; ha de crear una regla para cada aplicación que desee permitir o bloquear. Cada vez que Host Intrusion Prevention detecte una aplicación que intenta iniciar o enlazar con otra aplicación, comprueba su lista de reglas de aplicación para determinar si debe permitir o bloquear la aplicación.

Reglas de bloqueo de aplicaciones del clienteLos clientes en modo Adaptación o Aprendizaje pueden crear reglas de cliente para permitir la creación o enlace de aplicaciones bloqueadas; esto aparece en una vista normal o agregada. Utilice estas reglas de cliente exactamente como lo haría con las reglas de cliente del cortafuegos e IPS, para crear nuevas directivas o agregarlas a directivas existentes que se pueden aplicar a otros clientes.

Función GeneralLa función General de Host Intrusion Prevention proporciona acceso a directivas que son, por naturaleza, generales y no específicas de las funciones IPS, Cortafuegos o Bloqueo de aplicaciones. Esta función incluye:

Activación o desactivación de la imposición de todas las directivas.

Determinación de cómo aparece la interfaz del cliente y cómo se accede a la misma.

Creación y edición de direcciones de red y subredes de confianza.

Creación y edición de aplicaciones de confianza para evitar la activación de eventos de falsos positivos.

18

McAfee® Host Intrusion Prevention 6.1 Guía del producto Conceptos básicosGestión de directivas

2

Gestión de directivas Una directiva es una recopilación de opciones de Host Intrusion Prevention que se configuran en la consola de ePolicy Orchestrator y se imponen en los clientes de Host Intrusion Prevention. Las directivas permiten garantizar que el software de seguridad en sistemas gestionados se configura para ajustarse a los requisitos del entorno.

La consola de ePolicy Orchestrator permite configurar directivas de Host Intrusion Prevention desde una ubicación central. Las directivas son parte del archivo NAP de Host Intrusion Prevention que se agrega al repositorio maestro cuando se instala Host Intrusion Prevention.

Imposición de directivasCuando se modifican las directivas de Host Intrusion Prevention en la consola de ePolicy Orchestrator, los cambios entrarán en vigor en los sistemas gestionados en el siguiente intervalo de comunicación entre agente y servidor (ASCI). Este intervalo se configura para que se produzca una vez cada 60 minutos de forma predeterminada.

Las directivas de Host Intrusion Prevention se pueden imponer inmediatamente ejecutando una llamada de reactivación desde la consola de ePolicy Orchestrator.

Directivas y categorías de directivas La información de directivas para cada producto está agrupada por categoría. Cada categoría de directivas hace referencia a un subconjunto específico de directivas. En el Catálogo de directivas, al ampliar el nombre de un producto se muestran las categorías de directivas del producto en cuestión.

Una directiva con nombre es un conjunto configurado de definiciones de directivas correspondiente a una categoría de directivas específica. Para cada categoría de directivas, pueden crearse, modificarse o eliminarse tantas directivas con nombre como sea necesario. En el Catálogo de directivas, al ampliar el nombre de una categoría específica se muestran las directivas con nombre de dicha categoría.

Cada categoría de directivas tiene una directiva con nombre Global Default. Esta directiva no puede editarse ni eliminarse.

Figura 2-1 Catálogo de directivas

19

McAfee® Host Intrusion Prevention 6.1 Guía del producto Conceptos básicosGestión de directivas

2

Dos categorías de directivas de Host Intrusion Prevention (Reglas IPS y Reglas de aplicaciones de confianza) permiten asignar más de una instancia de directiva con nombre y ofrecer un perfil de directivas IPS y de aplicación que pueden aplicarse.

Herencia y asignación de directivas Las directivas se aplican a cada nodo del árbol Directorio de la consola, ya sea por herencia o por asignación. Herencia determina si la configuración de directivas de cualquier nodo procede de su nodo principal. De forma predeterminada, la herencia está activada en todo el Directorio. La herencia se puede interrumpir mediante la asignación directa de directivas. Host Intrusion Prevention, al gestionarse mediante ePolicy Orchestrator, permite crear directivas y asignarlas sin tener en cuenta su herencia. Cuando se interrumpe esta herencia asignando una nueva directiva en cualquier parte del Directorio, todos los nodos secundarios heredan la nueva directiva.

Propiedad de directivasUna vez que todas las directivas están disponibles, es necesario que cada directiva tenga un propietario asignado. De forma predeterminada, el propietario de una directiva es el administrador global o del sitio que la ha creado.

La propiedad garantiza que ningún usuario, salvo el administrador o propietario global de la directiva con nombre, pueda modificarla. Cualquier administrador puede utilizar una directiva que exista en el catálogo, pero únicamente el propietario o el administrador global podrá modificarla.

Si asigna una directiva de la que no es propietario a nodos del Directorio que administra, y el propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva recibirán estas modificaciones.

Bloqueo de asignaciones de directivasUn administrador global puede bloquear la asignación de una directiva en cualquier ubicación del Directorio. El bloqueo de asignaciones de directivas impide que otros usuarios cambien la asignación de una directiva por otra. Se hereda con la directiva.

El bloqueo de asignaciones de directivas resulta útil si un administrador global configura y asigna una directiva determinada en la parte superior del Directorio para asegurarse de que ningún otro usuario la sustituya por una directiva con nombre diferente de cualquier otra parte del Directorio.

Figura 2-2 Perfil de dos instancias de directivas de aplicaciones de confianza

Sugerencia

Para utilizar y controlar una directiva que es propiedad de un administrador diferente, duplique la directiva y después asigne la directiva duplicada.

Nota

El bloqueo de directivas no impide que el propietario de la directiva realice cambios en la configuración de la directiva con nombre. Por lo tanto, si pretende bloquear una asignación de directiva, asegúrese de que es el propietario de la misma.

20

McAfee® Host Intrusion Prevention 6.1 Guía del producto Conceptos básicosDespliegue y gestión

2

Despliegue y gestiónLa gestión y el despliegue de clientes de Host Intrusion Prevention se realizan desde ePolicy Orchestrator. En su árbol de la consola de ePO puede agrupar clientes jerárquicamente por atributos. Por ejemplo, podría agrupar un primer nivel por la ubicación geográfica y un segundo nivel por la plataforma de sistema operativo o dirección IP. Se recomienda agrupar los clientes en función de criterios de configuración de Host Intrusion Prevention, incluidos el tipo de sistema (servidor o equipo de escritorio), el uso de aplicaciones principales (Web, base de datos o servidor de correo) y ubicaciones estratégicas (DMZ o Intranet). Puede colocar clientes que se ajusten a un perfil de uso común en un grupo común del árbol de la consola. De hecho, podría asignar un nombre a un grupo según el perfil de uso; por ejemplo, Servidores Web.Con los equipos agrupados en el árbol de la consola según el tipo, la función o la ubicación geográfica, es posible dividir fácilmente las funciones administrativas según los mismos criterios. Con Host Intrusion Prevention también puede dividir tareas administrativas de acuerdo con las funciones del producto, como IPS o cortafuegos.Con esta versión de Host Intrusion Prevention y ePolicy Orchestrator, las directivas son entidades independientes que pueden compartirse entre varios nodos. Se asigna una directiva para cada categoría en una función de Host Intrusion Prevention. Algunas categorías, como las reglas IPS, permiten varias directivas; algunas de ellas se heredan de un nodo principal o se aplican en el propio nodo. En este caso, Host Intrusion Prevention gestiona los conflictos aplicando primero la regla más estricta. A través de la herencia en ePolicy Orchestrator, cuando se asigna a un nodo de grupo las directivas apropiadas, todo sistema debajo de ese nodo hereda automáticamente la configuración de su nodo principal. El despliegue de clientes de Host Intrusion Prevention en miles de equipos se gestiona de forma sencilla ya que la mayoría de los clientes encaja en un número pequeño de perfiles de uso. La gestión de un despliegue grande se reduce para mantener unas cuantas reglas de directivas. A medida que crece el despliegue, los sistemas que se acaben de agregar deberán ajustarse a uno o varios perfiles existentes y pueden colocarse en el nodo de grupo correcto del árbol de la consola.

Protección preconfiguradaHost Intrusion Prevention ofrece protección básica a través de la configuración de directivas predeterminadas de McAfee. Esta protección “rápida” no requiere ajuste y genera pocos eventos. Los clientes se pueden desplegar inicialmente a gran escala, incluso antes de ajustar el despliegue. Para muchos entornos, donde el cliente se instala en estaciones de trabajo y equipos portátiles, esta protección básica puede resultar insuficiente.La protección avanzada también está disponible en algunas directivas IPS y de cortafuegos preconfiguradas. Un perfil para servidores, por ejemplo, necesita mayor protección que la básica ofrecida para estaciones de trabajo. También pueden utilizarse las directivas de protección avanzadas preconfiguradas como base para crear directivas personalizadas.

Modo de adaptación y de aprendizajePara ajustar aún más la configuración de la protección, los clientes de Host Intrusion Prevention pueden crear reglas de excepción de cliente a las directivas impuestas por el servidor que bloqueen actividades inofensivas. La creación de reglas de cliente se permite cuando los clientes se ponen en modo Adaptación o Aprendizaje. En el modo Adaptación, disponible para las funciones IPS, Cortafuegos y Bloqueo de aplicaciones, las reglas de cliente se crean sin interacción por parte del usuario. En el modo Aprendizaje, disponible para las funciones Cortafuegos y Bloqueo de aplicaciones, el usuario debe indicar al sistema si se debe crear o no una regla de cliente.

21

McAfee® Host Intrusion Prevention 6.1 Guía del producto Conceptos básicosDespliegue y gestión

2

En ambos modos, primero se analizan los eventos en búsqueda de los ataques más dañinos, como el desbordamiento del búfer. Si la actividad se considera normal y necesaria para la empresa, los clientes de Host Intrusion Prevention crean reglas de cliente para admitir operaciones que, de otro modo, quedarían bloqueadas. Al colocar clientes en modo Adaptación o Aprendizaje, puede obtener una configuración de ajuste para ellos. Host Intrusion Prevention permite tomar cualquiera, todas o ninguna de las reglas del cliente y convertirlas a directivas de mandato del servidor. Los modos Adaptación y Aprendizaje pueden desactivarse en cualquier momento para reforzar la protección de prevención de intrusos del sistema.

Con frecuencia en organizaciones de gran tamaño, el hecho de evitar las interrupciones en las actividades de la empresa tiene prioridad sobre los asuntos de seguridad. Por ejemplo, puede que sea necesario instalar periódicamente nuevas aplicaciones en algunos equipos cliente y es posible que no se disponga del tiempo ni de los recursos necesarios para ajustarlos inmediatamente. Host Intrusion Prevention permite colocar clientes específicos en modo Adaptación para la protección IPS. Estos equipos realizarán un perfil de una aplicación recién instalada y reenviarán las reglas de cliente resultantes al servidor. El administrador puede promover estas reglas de cliente a una directiva existente o nueva y después aplicar la directiva a otros equipos para gestionar el nuevo software.

AjusteComo parte del despliegue de Host Intrusion Prevention, es necesario identificar un número pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor forma de conseguirlo es configurar un despliegue de prueba y después comenzar a reducir el número de falsos positivos y de eventos generados. Este proceso recibe el nombre de ajuste.

Reglas IPS más estrictas, por ejemplo, ofrecen más firmas que señalan un rango más amplio de infracciones y generan más eventos que en un entorno básico. Si aplica la protección avanzada, se recomienda utilizar la directiva Protección IPS para escalonar el impacto. Esto conlleva la asignación de cada uno de los niveles de gravedad (Alto, Medio, Bajo e Información) a una reacción (Evitar, Registro y Omitir). Configurando inicialmente todas las reacciones de gravedad, excepto Alto, en Omitir, sólo se aplicarán las firmas de nivel de gravedad Alto. Los otros niveles pueden elevarse incrementalmente a medida que se realice el ajuste.

Se puede reducir el número de falsos positivos con la creación de reglas de excepción, aplicaciones de confianza y reglas del cortafuegos. Las reglas de excepción son mecanismos para anular una directiva de seguridad en circunstancias específicas. Las aplicaciones de confianza son procesos de aplicaciones que siempre se permiten. Las reglas del cortafuegos determinan si se permite el tráfico y también si se permitirá o bloqueará la transmisión de paquetes.

InformesLos informes permiten obtener datos sobre un elemento determinado y filtrarlos para subconjuntos específicos de esos datos; por ejemplo, los eventos de nivel alto indicados por clientes determinados para un período de tiempo especificado. Los informes pueden planificarse y enviarse como mensajes de correo electrónico.

22

3 Uso de ePolicy Orchestrator

ePolicy Orchestrator debe utilizarse para configurar y gestionar Host Intrusion Prevention, lo cual consiste en estas tareas básicas:

Instalar y comprobar el paquete de clientes y archivos de servidor de Host

Intrusion Prevention.

Utilice el programa de instalación de Host Intrusion Prevention para comprobar los archivos de servidor de Host Intrusion Prevention, lo que incluye un archivo NAP, el contenido con firmas y reglas predeterminadas y los informes en el repositorio de ePolicy Orchestrator. Incorpore el paquete de clientes de Host Intrusion Prevention en el repositorio de ePolicy Orchestrator. Para obtener más detalles, consulte la Guía de instalación de Host Intrusion Prevention 6.0.

Desplegar clientes de Host Intrusion Prevention

Utilice la consola de ePolicy Orchestrator para desplegar los clientes de Host Intrusion Prevention en los equipos del árbol de la consola del directorio. Para obtener más detalles, consulte la Guía del producto de ePolicy Orchestrator 3.6.

Configurar las directivas de Host Intrusion Prevention.

Configure las directivas generales, de IPS, cortafuegos y bloqueo de aplicaciones que desea aplicar a los clientes. La configuración predeterminada de cada directiva ofrece una protección básica, pero para obtener una mayor seguridad deberá ajustar el despliegue y configurar las directivas para que se adapten a su entorno. Consulte los capítulos correspondientes de esta guía para obtener más detalles.

Asignar propietarios a las directivas en el Catálogo de directivas.

La propiedad se asigna en el Catálogo de directivas. Para obtener más detalles, consulte la Guía del producto de ePolicy Orchestrator 3.6.

Enviar la información de actualización de las directivas de Host Intrusion

Prevention a los clientes.

ePolicy Orchestrator envía información actualizada a los clientes de Host Intrusion Prevention. Los clientes imponen las directivas, recopilan información de eventos y vuelven a transmitir la información a ePolicy Orchestrator. La interacción entre el cliente y el servidor se determina mediante la configuración de la directiva de agentes de ePolicy Orchestrator. Para obtener más detalles, consulte la Guía del producto de ePolicy Orchestrator 3.6.

Configurar notificaciones en ePolicy Orchestrator para eventos de Host

Intrusion Prevention.

Para obtener más detalles, consulte la Guía del producto de ePolicy Orchestrator 3.6.

Ejecutar informes en ePolicy Orchestrator para ver los resultados de los

eventos y la protección.

La información de las actividades de los clientes de Host Intrusion Prevention se envía a ePolicy Orchestrator y se almacena en su base de datos. Utilice la consola para ejecutar informes sobre la protección de Host Intrusion Prevention.

23

McAfee® Host Intrusion Prevention 6.1 Guía del producto Uso de ePolicy OrchestratorOperaciones de ePolicy Orchestrator utilizadas con Host Intrusion Prevention

3

Para obtener más información sobre el uso de Host Intrusion Prevention con ePolicy Orchestrator, consulte los temas siguientes:

Operaciones de ePolicy Orchestrator utilizadas con Host Intrusion Prevention

Operaciones de Host Intrusion Prevention

Operaciones de ePolicy Orchestrator utilizadas con Host Intrusion Prevention

Las funciones de ePolicy Orchestrator realizan alguna de la funcionalidad básica de Host Intrusion Prevention. En la documentación de ePolicy Orchestrator encontrará más detalles sobre el uso de estas funciones. En este documento se ofrece un breve resumen y se proporcionan detalles para las áreas específicas de Host Intrusion Prevention.

consola de ePolicy OrchestratorUtilice la consola de ePolicy Orchestrator para gestionar Host Intrusion Prevention. Para obtener más detalles, consulte la Guía del producto de ePolicy Orchestrator 3.6.

La consola de ePolicy Orchestrator se divide en dos secciones principales: un árbol de la consola y un panel de detalles.

El árbol de la consola es el panel de navegación en el que se seleccionan los nodos de ePolicy Orchestrator (equipos, grupos y sitios) en Directorio y se aplican las directivas de Host Intrusion Prevention. El árbol también contiene vínculos con las demás funciones principales de la interfaz de la consola, incluidas Catálogo de directivas, Notificaciones e Informes.

El panel de detalles muestra la configuración de la funcionalidad del nodo seleccionado en el árbol de la consola.

Figura 3-1 consola de ePolicy Orchestrator

24

McAfee® Host Intrusion Prevention 6.1 Guía del producto Uso de ePolicy OrchestratorOperaciones de ePolicy Orchestrator utilizadas con Host Intrusion Prevention

3

Gestión de directivasUna directiva es una colección de opciones de software que se crean, se configuran y se imponen. Puede aplicar directivas predeterminadas o crear y aplicar directivas personalizadas en cualquier nodo del Directorio para el que disponga de permisos. Puede configurar y asignar directivas antes o después de desplegar un producto. Cada categoría de directivas indica si la directiva se aplica solamente a un cliente Windows (Windows) o a todos los clientes Windows, Solaris, y Linux (Todas las plataformas).

Puede elegir si desea imponer todas o ninguna de las selecciones de directivas en cualquier nodo del Directorio.

En la página Asignar directivas, que aparece al seleccionar un nodo, puede elegir si desea imponer las directivas para los productos o para funciones de productos.

En la página Catálogo de directivas, puede ver las asignaciones de directivas y los propietarios.

Figura 3-2 Página Asignar directivas

Figura 3-3 Catálogo de directivas

25

McAfee® Host Intrusion Prevention 6.1 Guía del producto Uso de ePolicy OrchestratorOperaciones de Host Intrusion Prevention

3

Asignación de propietarios a las directivasTodas las directivas de Host Intrusion Prevention para las que tiene permisos están disponibles en la página Catálogo de directivas. Para evitar que los usuarios puedan modificar las directivas de otros usuarios, se asigna un propietario a cada directiva: el administrador global o del sitio que la creó.

Sólo el autor de la directiva o un administrador global pueden modificar o eliminar una directiva. Cualquier administrador puede aplicar las directivas de la página Catálogo de directivas, pero sólo el propietario o el administrador global las pueden modificar.

Generación de notificacionesLas notificaciones por correo electrónico, localizador y captura SNMP pueden alertarle de eventos que se produzcan en los clientes de Host Intrusion Prevention o en el servidor mismo. Puede configurar reglas para enviar mensajes o capturas SNMP o ejecutar comandos externos cuando el servidor de ePolicy Orchestrator reciba y procese eventos específicos de Host Intrusion Prevention. La función de notificaciones, muy configurable, permite especificar las categorías de eventos que generan un mensaje de notificación y las frecuencias con las que se envían las notificaciones.

Generación de informesLos clientes de Host Intrusion Prevention de los sistemas cliente envían información al servidor, que se almacena en una base de datos de informes. Esa información almacenada es contra lo que se ejecutan informes y consultas. Existen ocho informes predefinidos que entran en dos categorías principales: informes IPS e informes del cortafuegos. Para obtener información adicional, consulte Ejecución de informes en la página 125.

Operaciones de Host Intrusion PreventionA continuación se ofrece un breve resumen de todos los aspectos del uso de Host Intrusion Prevention específicos del producto. En este documento encontrará más detalles sobre el uso de estas funciones.

Instalación del servidor de Host Intrusion Prevention Para poder desplegar clientes, debe instalar el servidor de gestión. Para obtener instrucciones detalladas, consulte la Guía de instalación de Host Intrusion Prevention.

Sugerencia

Si asigna una directiva de la que no es propietario a segmentos del directorio, tenga en cuenta que si el propietario de la directiva la modifica, todos los nodos a los que está asignada la directiva recibirán esta modificación. Para utilizar una directiva que es propiedad de un administrador diferente, duplique la directiva y después asigne el duplicado al nodo.

26


3

Despliegue de clientes de Host Intrusion PreventionLos clientes son el elemento que proporciona protección en un despliegue de Host Intrusion Prevention. Idealmente, cada sistema de un entorno de trabajo debe estar protegido por el software de los clientes. Se recomienda usar un enfoque por fases para el despliegue:

Determine el plan de despliegue de clientes inicial. Aunque implementará clientes de Host Intrusion Prevention en cada host (servidores y equipos de sobremesa) de su empresa, se recomienda empezar con la instalación de clientes en un número limitado de sistemas representativos y ajustar su configuración. Una vez se ha ajustado el despliegue, puede desplegar más clientes y aprovechar las directivas, excepciones y reglas de cliente creadas en el despliegue inicial.

Establezca una convención de nomenclatura para los clientes. Los clientes se identifican mediante su nombre en el árbol de la consola, en ciertos informes y en datos de eventos generados por las actividades del cliente. Los clientes pueden tomar los nombres de los hosts en los que se instalan, o bien se puede asignar un nombre de cliente específico durante la instalación. Se recomienda establecer una convención de nomenclatura para los clientes que resulte fácil de interpretar para las personas que trabajen con el despliegue de Host Intrusion Prevention.

Instale los clientes. Los clientes se instalan con un conjunto predeterminado de directivas de IPS, cortafuegos, bloqueo de aplicaciones y de reglas generales. Posteriormente, se pueden extraer del servidor nuevas directivas con reglas actualizadas.

Agrupe los clientes de forma lógica. Los clientes se pueden agrupar según cualquier criterio que se ajuste a la jerarquía del árbol de la consola. Por ejemplo, puede agrupar los clientes según su ubicación geográfica, su función en la empresa o las características del sistema.

Para obtener instrucciones detalladas, consulte la Guía de instalación de Host Intrusion Prevention.

Visualización y trabajo con datos de los clientesDespués de haber instalado y agrupado los clientes, el despliegue ha finalizado. Debería empezar a ver eventos activados por las actividades de los clientes que infrinjan la directiva de seguridad de IPS establecida. Si ha colocado clientes en el modo Adaptación, debería ver las reglas de cliente que indican las reglas de bloqueo y excepción de cliente que se crean. Al analizar estos datos, empezará a ajustar el despliegue.

Para analizar los datos de los eventos, consulte la ficha Evento IPS en la función IPS. Puede desglosar los detalles de un evento, como el proceso que activó el evento, cuándo se generó el evento y qué cliente generó el evento. Analice el evento y tome las medidas oportunas para ajustar el despliegue de Host Intrusion Prevention a fin de proporcionar mejores respuestas a los ataques. La ficha Evento IPS muestra las firmas de prevención de intrusos basadas en clientes y en red y las firmas personalizadas basadas en host.

Para analizar las reglas de cliente, consulte la ficha Reglas de cliente. Las reglas de cliente también aparecen en las funciones de cortafuegos y bloqueo de aplicaciones. Puede ver las reglas que se crean, agregarlas para encontrar las reglas más habituales y moverlas directamente a una directiva para su aplicación en otros clientes.

27


3

Además, la función Informes proporciona informes detallados basados en los eventos, las reglas de cliente y la configuración de Host Intrusion Prevention. Utilice estos informes para comunicar actividades del entorno a otros miembros de su equipo y a la dirección de la empresa.

Colocación de los clientes en modo Adaptación o AprendizajeUn elemento fundamental en el proceso de ajuste es colocar los clientes de Host Intrusion Prevention en modo Adaptación para IPS, el cortafuegos y el bloqueo de aplicaciones o en modo Aprendizaje para el cortafuegos y el bloqueo de aplicaciones. Estos modos permiten a los clientes crear reglas de excepción de cliente en las directivas administrativas. El modo Adaptación lo hace automáticamente, sin necesidad de interacción por parte del usuario, mientras que en el modo Aprendizaje, el usuario debe indicar al sistema qué hacer cuando se genera un evento.

Primero, estos modos analizan los eventos para buscar los ataques más dañinos, como un desbordamiento del búfer. Si la actividad se considera normal y necesaria para el desarrollo de las actividades de la empresa, se crean reglas de excepción de cliente. Al definir clientes representativos en modo Adaptación o Aprendizaje, se puede obtener una configuración de ajuste para ellos. A continuación, Host Intrusion Prevention le permite tomar cualquiera, todas o ninguna de las reglas de cliente y convertirlas en directivas de servidor. Al finalizar el ajuste, desactive los modos Adaptación o Aprendizaje para obtener una mayor protección de prevención de intrusos en el sistema:

Deje que los clientes se ejecuten en modo Adaptación o Aprendizaje durante una semana como mínimo. Esto permite a los clientes disponer de tiempo suficiente para detectar todas las actividades que detectarían normalmente. Intente llevar a cabo esta operación en los momentos de actividad planificada, como copias de seguridad o procesamiento de archivos de comandos.

A medida que se detecta cada actividad, se generan eventos IPS y se crean excepciones. Las excepciones son actividades que se distinguen como comportamiento legítimo. Por ejemplo, una directiva puede considerar que cierto procesamiento de archivos de comandos constituye un comportamiento ilegal, pero ciertos sistemas de los grupos de ingeniería necesitan realizar este tipo de tareas. Permita que se creen excepciones para estos sistemas a fin de que puedan seguir funcionando con normalidad, mientras la directiva sigue evitando esta actividad en otros sistemas. A continuación, haga que estas excepciones formen parte de una directiva de servidor relativa al grupo de ingeniería.

Puede tener algunas aplicaciones de software necesarias para el funcionamiento normal de la empresa en algunas áreas, pero que se deben evitar en otras. Por ejemplo, puede permitir el uso de la mensajería instantánea en las organizaciones de ingeniería y soporte técnico, pero evitar su utilización en los departamentos de finanzas y recursos humanos. Puede establecer la aplicación en cuestión como de confianza en los sistemas de las organizaciones de ingeniería y soporte técnico para permitir el acceso completo a la misma por parte de los usuarios.

La función Cortafuegos actúa como filtro entre un equipo y la red o Internet. El cortafuegos analiza todo el tráfico entrante y saliente en el nivel de paquetes. A medida que revisa cada paquete que se recibe o se envía, el cortafuegos comprueba su lista de reglas de cortafuegos, que es un conjunto de criterios con acciones asociadas. Si un paquete coincide con todos los criterios de una regla, el cortafuegos realiza la acción especificada por la regla, es decir, permite al paquete pasar por el cortafuegos o lo bloquea.

28


3

Configuración de directivasLas directivas son las reglas que se establecen para cada equipo de una red protegida por Host Intrusion Prevention. El cliente de Host Intrusion Prevention de los sistemas cliente recibe estas actualizaciones de directivas a intervalos regulares.

Al seleccionar un nodo en el Directorio del árbol de la consola, aparecerán las funciones disponibles en Host Intrusion Prevention en el panel de detalles de la ficha Directivas. Entre estas, se incluyen:

Directivas generales

Directivas de IPS

Directivas de cortafuegos

Directivas de bloqueo de aplicaciones

Haga clic en la flecha abajo para ver las categorías disponibles para cada función. Para obtener más detalles, consulte las secciones en esta guía relativas a cada una de estas funciones.

Alertas de visualización de directivasAl ver los detalles de una directiva de Host Intrusion Prevention, es posible que se le pida que confíe en un subprograma Java con firma necesario para mostrar el contenido de la directiva. Si aparece esta alerta, haga clic en Sí (o en Siempre) para mostrar los detalles de la directiva.

Figura 3-4 Advertencia de seguridad de subprograma Java

29


3

Algunas directivas de la función Cortafuegos requieren un control ActiveX. Al abrir una de estas directivas, es posible que se le solicite que ejecute el control necesario para mostrar el contenido de la directiva. Si aparece esta alerta, haga clic en Sí para mostrar los detalles de la directiva.

Ajuste Después de instalar el software Host Intrusion Prevention, McAfee recomienda configurarlo para proporcionar el mayor nivel de seguridad, al tiempo que no entra en conflicto con las actividades diarias. Las directivas predeterminadas de Host Intrusion Prevention se ajustan al más amplio conjunto de entornos de cliente y pueden cubrir sus necesidades. Para ajustar las directivas para que se adapten a su situación concreta, se recomienda realizar lo siguiente:

Defina cuidadosamente la configuración de seguridad de Host Intrusion Prevention. Evalúe quiénes son los encargados de configurar partes concretas del sistema y concédales un acceso adecuado.

Cambie las directivas predeterminadas Protección IPS o Reglas de cortafuegos, que proporcionan mayores niveles de protección preestablecida.

Modifique los niveles de gravedad de firmas específicas. Por ejemplo, cuando se active una firma por el trabajo diario de los usuarios, ajuste el nivel de gravedad a un nivel inferior. Para obtener más información, consulte Configuración de la directiva Protección IPS en la página 38.

Configure notificaciones, que alertan a usuarios específicos al producirse eventos concretos. Por ejemplo, se puede enviar una notificación cuando, en un servidor concreto, se produzca una actividad que desencadene un evento con un nivel de gravedad Alto. Para obtener más información, consulte Configuración de notificaciones para eventos en la página 123.

Figura 3-5 Advertencia de seguridad de control ActiveX

30


3

Uso de la AyudaePolicy Orchestrator y Host Intrusion Prevention incluyen Ayuda en línea. Puede acceder a la Ayuda de ePolicy Orchestrator desde el botón Ayuda de la barra de herramientas de ePolicy Orchestrator y los paneles de detalles de la consola. Puede acceder a la Ayuda de Host Intrusion Prevention desde los botones Ayuda de la página Configuración de directivas de Host Intrusion Prevention y los cuadros de diálogo relacionados.

La ventana Ayuda de Host Intrusion Prevention proporciona información acerca de la directiva o del cuadro de diálogo desde el que se llamó. Los vínculos Temas relacionados de la página le llevan a instrucciones sobre cómo realizar ciertas tareas. Puede acceder a información adicional utilizando la tabla de contenido, el índice o la función de búsqueda.

Procedimientos de navegación por la Ayuda

Para... Hacer esto...

Volver a la página que apareció inicialmente o desde la que hizo clic en un vínculo.

Haga clic en Atrás en el menú contextual.

Nota: No utilice los botones Anterior o Siguiente. Se utilizan para desplazarse por el orden lineal de páginas de la tabla de contenido.

Ver la tabla de contenido, el índice y la búsqueda desde un panel de Ayuda individual.

Haga clic en (Mostrar desplazamiento).

Indicar en qué parte de la tabla de contenido aparece la página.

Haga clic en (Mostrar en contenido).

Nota: Algunas páginas son específicas de la Ayuda y no aparecen en la tabla de contenido.

Pasar por las páginas de la Ayuda según el orden de la tabla de contenido.

Haga clic en (Anterior y Siguiente).

Ver temas de procedimientos relacionados. Haga clic en (Vínculos relacionados).

Buscar un elemento alfabéticamente en el índice.

En el panel izquierdo, haga clic en Índice.

Imprimir una página.

Haga clic en (Imprimir) o en Imprimir en el menú contextual.

Crear un marcador de una página para un explorador HTML. Haga clic en (Marcador).

Realizar una búsqueda. Haga clic en Buscar en el panel de navegación, escriba la palabra o palabras que desea buscar y haga clic en Ir.

Eliminar el texto resaltado de una página después de realizar una búsqueda.

Haga clic en Actualizar en el menú contextual.

31


3

Ayuda en la interfaz de usuarioEn cada ficha o cuadro de diálogo aparece una breve descripción de su utilización.

Al colocar el puntero del ratón sobre un botón de la barra de herramientas, aparece una descripción. Consulte la tabla siguiente para saber qué significan los iconos que representan información en las listas:

Tabla 3-1 Iconos de Host Intrusion Prevention

Eventos IPS/Firmas

Nivel de gravedad: Información

Nivel de gravedad: Bajo

Nivel de gravedad: Medio

Nivel de gravedad: Alto

Nivel de gravedad: Desactivado

Reglas de excepción de IPS

Estado: Activado

Estado: Desactivado

Reacción: Permitir

Reacción: Bloquear

Nota adjunta

Reglas de firma de IPSProtección de intrusos de red

Protección de intrusos de host personalizada

Reglas de cortafuegos, cuarentena o bloqueo de aplicaciones

Dirección: Entrante

Dirección: Saliente

Dirección: Entrante y saliente

Acción: Permitir

Acción: Bloquear

Tratar coincidencia de regla como intruso

Restringir la regla a intervalo de tiempo definido

32

4 Directivas de IPS

La función IPS (Intrusion Prevention System, sistema de prevención de intrusos) de Host Intrusion Prevention protege a los equipos con tecnología de prevención frente a intrusos. Las directivas IPS activan y desactivan la protección IPS, establecen el nivel de reacción frente a eventos y proporcionan detalles acerca de excepciones, firmas, reglas de protección de aplicaciones, eventos y excepciones generadas por los clientes.

En esta sección se describe la función IPS y se incluyen los temas siguientes:

Resumen

Configuración de la directiva Opciones IPS

Configuración de la directiva Protección IPS

Configuración de la directiva Reglas IPS

Detalles de la directiva Reglas IPS

Eventos IPS

Reglas de cliente IPS

Búsqueda de reglas de excepción IPS

Resumen Los clientes de Host Intrusion Prevention disponen de una base de datos de reglas de firma IPS que determinan si las actividades que se realizan en un equipo son benignas o dañinas. Cuando se detectan actividades dañinas, se envían alertas denominadas eventos a la consola de ePO, que aparecen en la directiva Reglas IPS de Host Intrusion Prevention.

El nivel de protección establecido para firmas en la directiva Protección IPS determina las acciones adoptadas por un cliente al producirse un evento. Entre las respuestas o reacciones se incluyen omitir, registrar o evitar la actividad.

Los eventos que resultan ser falsos positivos originados por actividades inofensivas se pueden anular mediante la creación de una excepción a la regla de firma o mediante la calificación de aplicaciones como de confianza. Los clientes en modo Adaptación crean excepciones automáticamente, denominadas reglas de cliente. Los administradores pueden crear excepciones manualmente en cualquier momento.

La supervisión de los eventos producidos y las reglas de excepción de cliente creadas ayudan a determinar cómo ajustar el despliegue para obtener la mejor protección IPS.

33

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSResumen

4

Reglas de firma IPS de host y de redLos ataques pueden seguir un patrón de firma de caracteres. Esta firma puede identificar y evitar la actividad dañina. Por ejemplo, puede que una firma se establezca para buscar la cadena ../ en la dirección URL de un sitio Web. Si la firma está activada y el sistema detecta esta cadena, se activa un evento.

Un enfoque basado en firmas, con firmas IPS de host y de red, representa la mayoría de los esquemas de detección utilizados en la detección de intrusos y es un mecanismo que utiliza Host Intrusion Prevention. Con cada cliente se instala una base de datos de reglas de firma, que se actualiza a medida que se descubren nuevos tipos de ataques.

Las firmas se clasifican por nivel de gravedad y descripción del peligro que supone un ataque. Están diseñadas para aplicaciones específicas y para sistemas operativos concretos. La mayoría protege todo el sistema operativo, aunque algunas protegen aplicaciones específicas.

Host Intrusion Prevention proporciona principalmente firmas IPS de host y algunas firmas IPS de red adicionales.

HIPSLa protección HIPS se encuentra en sistemas individuales, como servidores, estaciones de trabajo o portátiles. El cliente de Host Intrusion Prevention ofrece protección mediante la inspección del tráfico que entra y sale de un sistema y el examen del comportamiento de las aplicaciones y el sistema operativo para buscar ataques. Al detectar un ataque, el cliente lo puede bloquear en la conexión del segmento de red o puede emitir comandos destinados a la aplicación o el sistema operativo para detener el comportamiento iniciado por el ataque. Por ejemplo, el desbordamiento del búfer se evita bloqueando programas dañinos que se han insertado en el espacio de direcciones explotado por un ataque. La instalación de programas de puerta trasera (back door) con aplicaciones como Internet Explorer se bloquea al interceptar y denegar el comando “write file” de la aplicación.

Ventajas de IPS de hostProtege no sólo del ataque, sino de los resultados de un ataque, como bloquear un programa para que no pueda escribir un archivo.

Protege a los equipos portátiles de ataques cuando se encuentran fuera de la red protegida.

Ofrece protección frente a ataques locales introducidos por CD, tarjetas o llaves de memoria o disquetes. A menudo, estos ataques se centran en aumentar los privilegios del usuario a “raíz” o “administrador” para dañar otros sistemas de la red.

Proporciona una última línea de defensa frente a ataques que han evadido otras herramientas de seguridad.

Evita los ataques internos o el uso indebido de dispositivos ubicados en el mismo segmento de la red.

Ofrece protección frente a ataques en los que la secuencia de datos codificados finaliza en el sistema protegido al examinar el comportamiento y los datos descifrados.

Es independiente de la arquitectura de red utilizada y permite proteger sistemas en arquitecturas de red obsoletas o inusuales, como Token Ring o FDDI.

34

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSResumen

4

NIPSLa protección NIPS también se encuentra ubicada en sistemas individuales. Todos los datos que circulan entre el sistema protegido y el resto de la red se examinan para buscar ataques. Cuando se identifica un ataque, los datos dañinos se descartan o se bloquea su transmisión a través del sistema.

Ventajas de IPS de redProtege a los sistemas secundarios en un segmento de red.

Protege a los servidores y a los sistemas que se conectan a ellos.

Ofrece protección frente a ataques de denegación de servicio de red y ataques orientados al ancho de banda que deniegan o degradan el tráfico de red.

Reglas de comportamientoLas reglas de comportamiento definen un perfil de actividad inofensiva. La actividad que no coincide con el perfil desencadena un evento. Por ejemplo, puede configurar una regla que indique que sólo un proceso del servidor Web debería acceder a los archivos Web. Si otro proceso intenta acceder a un archivo Web, esta regla de comportamiento activa un evento.

Host Intrusion Prevention combina el uso de reglas de firma y reglas de comportamiento no modificables. Este método híbrido para identificar los ataques detecta la mayoría de ataques conocidos, así como ataques de día cero anteriormente desconocidos.

Directivas de IPS preestablecidasLa función IPS de Host Intrusion Prevention contiene tres categorías de directivas:

Opciones IPS: Esta directiva activa o desactiva la protección IPS de host y de red. Entre las directivas preestablecidas se incluyen Activado (predeterminado de McAfee), Desactivado y Adaptación.

Protección IPS: Esta directiva establece la reacción a los eventos. Entre las directivas preestablecidas se incluyen Básico (predeterminado de McAfee), Preparación para protección mejorada, Protección mejorada, Preparación para protección máxima, Protección máxima y Advertencia.

Reglas IPS: Esta directiva puede tener una o más instancias de directiva. La directiva preestablecida es la predeterminada (predeterminada de McAfee).

35

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSConfiguración de la directiva Opciones IPS

4

Acceso rápidoLa función IPS proporciona vínculos (*) para el acceso rápido a la supervisión y la gestión de Eventos IPS, Reglas IPS y Reglas de cliente IPS.

Configuración de la directiva Opciones IPSLa directiva Opciones IPS es el “interruptor de encendido y apagado” básico para la protección IPS, así como un medio para colocar un cliente en modo Adaptación, que permite al cliente conservar las excepciones que cree y bloquea automáticamente las intrusiones de red. Seleccione una de las directivas preestablecidas o cree una directiva nueva.

Para configurar la directiva Opciones IPS:1 Amplíe la función IPS y haga clic en Editar en la línea de categoría Opciones IPS.

2 Para aplicar una directiva preestablecida, selecciónela en la lista de directivas. Haga clic en el icono del nombre de la directiva para ver su configuración:

3 Haga clic en Aplicar.

Figura 4-1 función IPS

*

Seleccione esta directiva...

Para las siguientes opciones...

(Activado (predeterminado de McAfee))

Activar IPS de host Activar IPS de redBloquear automáticamente a los intrusos de la red durante 10 minutosRetener los host bloqueadosConservar reglas de cliente

(Desactivado) Retener los host bloqueados Conservar reglas de cliente

(Adaptación) Activar IPS de host Activar IPS de redRetener los host bloqueadosActivar el modo AdaptaciónConservar reglas de cliente

36

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSConfiguración de la directiva Opciones IPS

4

Para crear una nueva directiva de Opciones IPS:1 En la línea de categoría Opciones IPS, haga clic en Editar y, a continuación, seleccione

Nueva directiva en la lista de directivas.

2 En el cuadro de diálogo Crear nueva directiva, seleccione la directiva que se va a duplicar, escriba el nombre de la nueva directiva y, a continuación, haga clic en Aceptar.

Aparece el cuadro de diálogo Opciones IPS.

3 Seleccione las opciones necesarias:

Nota

Para crear una directiva duplicada al visualizar los detalles de una directiva preestablecida, haga clic en Duplicar, en la parte inferior del cuadro de diálogo de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva se va a asignar inmediatamente al nodo actual.

Figura 4-2 Opciones IPS

Seleccione... Para activar...

Activar IPS de host Protección IPS de host.

Activar IPS de red Protección IPS de red.

Bloquear automáticamente a los intrusos de la red

Un cliente para bloquear automáticamente los ataques de intrusión de red en un host durante un período de tiempo definido. Seleccione Hasta su eliminación para bloquear el tráfico entrante y saliente de un host hasta que se elimine manualmente de una lista bloqueada del cliente o durante (minutos) durante un número de minutos definido.

37

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSConfiguración de la directiva Protección IPS

4

4 Haga clic en Aplicar y, a continuación, haga clic en Cerrar.

5 Haga clic en Aplicar en la línea de categoría Opciones IPS.

Configuración de la directiva Protección IPSLa directiva Protección IPS define la reacción protectora para los niveles de gravedad de firma. Esta configuración indica a los clientes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. Cada firma tiene un nivel de gravedad de entre cuatro posibles:

Alto (rojo): Firma de amenazas de seguridad o acciones dañinas claramente identificables. Estas firmas son específicas de ataques de explotación claramente identificados y son principalmente de tipo no dependiente del comportamiento. Evite estas firmas en todos los sistemas.

Medio (naranja): Firma de actividades relacionadas con el comportamiento en las que las aplicaciones funcionan fuera de su ámbito. Evite estas firmas en sistemas críticos, así como en servidores Web y servidores SQL.

Bajo (amarillo): Firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema están bloqueados y no se pueden modificar. Si se evitan estas firmas se aumenta la seguridad del sistema subyacente, pero es necesario realizar ajustes adicionales.

Información (azul): Firma de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema se modifican y que pueden indicar un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Los eventos de este nivel se producen durante las actividades normales del sistema y, generalmente, no constituyen prueba de que se esté produciendo un ataque.

Retener los host bloqueados

Un cliente para bloquear un host (dirección IP) hasta los parámetros definidos en Bloquear automáticamente a los intrusos de la red. Si no se selecciona, el host queda bloqueado hasta la siguiente actualización de directivas.

Activar el modo Adaptación

Un cliente para generar reglas de cliente automáticamente.

Agregar automáticamente aplicaciones de alto riesgo a la lista de protección de aplicaciones

Un cliente para agregar aplicaciones abiertas a inyecciones de código (por tanto, de alto riesgo) automáticamente a la lista de aplicaciones protegidas.

Conservar reglas de cliente

Cliente para conservar las reglas de cliente que creó.

Nota

Las directivas sólo se pueden eliminar en la página del catálogo de directivas de ePolicy Orchestrator y sólo las pueden eliminar los administradores globales.

Seleccione... Para activar...

38


4

Estos niveles indican posibles daños en un sistema y le permiten definir reacciones específicas para distintos niveles de posibles daños. Puede modificar los niveles de gravedad y las reacciones para todas las firmas. Por ejemplo, cuando sea improbable que una actividad sospechosa provoque daños, puede seleccionar Omitir como reacción. Cuando es probable que una actividad sea peligrosa, puede definir Evitar como reacción.

La directiva Protección IPS tiene distintas directivas preestablecidas entre las que puede seleccionar. Si las directivas preestablecidas no proporcionan la combinación de opciones seleccionada que desea utilizar, cree una directiva nueva y seleccione las opciones requeridas. Las opciones que se pueden seleccionar en el cuadro de diálogo Protección IPS varían en función de la directiva seleccionada.

Para configurar la directiva Protección IPS:1 Amplíe la función IPS y haga clic en Editar en la línea de categoría Protección IPS.

2 Para aplicar una directiva preestablecida, selecciónela en la lista de directivas. Haga clic en el icono del nombre de la directiva para ver su configuración:


Para crear una nueva directiva Protección IPS:1 En la línea de categoría Gravedad IPS, haga clic en Editar y, a continuación, seleccione

Nueva directiva en la lista de directivas.


Aparece el cuadro de diálogo Protección IPS.



(Protección básica (predeterminado de McAfee))

Evitar las firmas con un nivel de gravedad alto y omitir el resto.

(Protección mejorada) Evitar las firmas con un nivel de gravedad alto y medio y omitir el resto.

(Protección máxima) Evitar las firmas con un nivel de gravedad alto, medio y bajo e incluir el resto en un archivo de registro.

(Preparación para protección mejorada)

Evitar las firmas con un nivel de gravedad alto, incluir las firmas con un nivel de gravedad medio en un archivo de registro y omitir el resto.

(Preparación para protección máxima)

Evitar las firmas con un nivel de gravedad alto y medio, incluir las firmas con un nivel de gravedad bajo en un archivo de registro y omitir el resto.

(Advertencia) Incluir las firmas con un nivel de gravedad alto en un archivo de registro y omitir el resto.

Nota


39


4

3 Seleccione el tipo de reacción para cada nivel de gravedad:

4 Haga clic en Aplicar y, a continuación, haga clic en Cerrar.

5 Haga clic en Aplicar en la línea de categoría Protección IPS.

Figura 4-3 Protección IPS

Para este elemento...

Seleccione...

Alto Omitir para permitir el evento sin registrarlo.

Registro para permitir el evento y registrarlo.

Evitar para evitar el evento e incluirlo en un archivo de registro.

Medio Omitir para permitir el evento sin registrarlo.



Bajo Omitir para permitir el evento sin registrarlo.



Información Omitir para permitir el evento sin registrarlo.


Nota


40

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSConfiguración de la directiva Reglas IPS

4

Configuración de la directiva Reglas IPSAl contrario que la mayoría de categorías de directivas, la directiva Reglas IPS puede tener varios perfiles de directiva asignados. Este uso ampliado de las directivas le permite crear varias directivas que realizan un perfil del uso y la ubicación de un cliente o el tipo de sistema en el que está instalado, todo ello para poder aplicar más fácilmente las opciones de prevención de intrusos. Por ejemplo, para un servidor IIS puede aplicar una directiva predeterminada general, una directiva de servidor y una directiva de IIS. Estas dos últimas directivas estarán configuradas para dirigirse específicamente a sistemas que se ejecutan como servidores IIS. Además de aplicar las directivas existentes, también puede crear fácilmente directivas nuevas si las directivas disponibles no cubren sus necesidades de protección.

Para asignar directivas Reglas IPS:1 Amplíe la función IPS y haga clic en Editar en la línea de nombre de directiva

Reglas IPS.

2 Para aplicar una directiva existente, selecciónela en la lista de directivas. Haga clic en el nombre de la directiva para ver sus detalles.


4 Para agregar otra instancia de directiva, haga clic en Asignar directiva adicional, al principio de la sección Reglas IPS.

Aparece una fila de directiva nueva.

5 Repita los pasos 1 a 3.

Para crear una nueva directiva Reglas IPS:1 Lleve a cabo una de las siguientes acciones:

Haga clic en Editar en una fila de nombre de directiva Reglas IPS.

Haga clic en Asignar directiva adicional al principio de la lista Reglas IPS.

2 Seleccione Nueva directiva en la lista de directivas.


4 En la ficha Reglas IPS, edite lo siguiente, según corresponda:

Excepciones (consulte Reglas de excepción en la página 42).

Firmas (consulte Firmas en la página 46).

Reglas de protección de aplicaciones (consulte Firmas en la página 46).

5 Haga clic en Cerrar para cerrar el cuadro de diálogo de la directiva Reglas IPS.

6 Haga clic en Aplicar en la fila de nombre de directiva Reglas IPS.

Nota


41

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSDetalles de la directiva Reglas IPS

4

Detalles de la directiva Reglas IPSLa directiva Reglas IPS le permite crear y aplicar una o más directivas que definan la configuración IPS. Las directivas deben basarse en el uso habitual, la ubicación o los derechos y privilegios de acceso. Por ejemplo, puede asignar una directiva global, una directiva de cliente de servidor y una directiva IIS a un servidor IIS.

Cada directiva incluye detalles sobre:

Reglas de excepción

Firmas

Reglas de protección de aplicaciones

Todas las directivas IPS disponibles se incluyen en la lista de directivas del cuadro de diálogo Configuración de directivas de Reglas IPS. Las directivas aplicadas al nodo seleccionado aparecen en negrita. Haga clic en Directiva efectiva para para ver una unión de todas las reglas de excepción, firmas y reglas de excepción e inclusión que se aplican al nodo seleccionado.

El cuadro de diálogo Configuración de directivas de Reglas IPS también ofrece acceso a las siguientes funciones relacionadas con las directivas IPS:

Eventos IPS

Reglas de cliente IPS

Búsqueda de reglas de excepción IPS

Reglas de excepciónA veces, un comportamiento que se interpretaría como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. Esto se denomina alerta de falso positivo. Para evitar falsos positivos, cree una excepción para el comportamiento en cuestión.

La función de excepciones permite detectar alertas de falsos positivos, minimiza el flujo de datos innecesarios hacia la consola y garantiza que las alertas son amenazas de seguridad legítimas.

Por ejemplo, al realizar pruebas de los clientes, un cliente reconoce la firma Outlook Envelope – Suspicious Executable Mod. Esta firma indica que la aplicación de correo electrónico Outlook está intentando modificar una aplicación fuera del ámbito de recursos habituales de Outlook. Por tanto, un evento activado por esta firma es motivo de alarma, puesto que Outlook puede estar modificando una aplicación que normalmente no está asociada con el correo electrónico, por ejemplo, Notepad.exe. En este caso, tiene razones suficientes para sospechar que se trata de un troyano. No obstante, si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico, por ejemplo, guardar un archivo con Outlook.exe, debe crear una excepción que permita esta acción.

Puede ver una lista de excepciones y crearlas y modificarlas en la ficha Excepciones del cuadro de diálogo Reglas IPS.

42


4

Creación de reglas de excepciónAl crear una regla de excepción, debe definir la excepción e indicar la firma a la que se aplica la excepción. Puede crear una excepción completamente nueva, una basada en un duplicado de una excepción existente o una basada en un evento.

Para crear una excepción:1 Lleve a cabo una de las siguientes acciones:

En la ficha Reglas de excepción, haga clic en Crear en el menú contextual o la barra de herramientas. Aparece un cuadro de diálogo Nueva excepción en blanco.

En la ficha Reglas de excepción, seleccione una excepción existente y haga clic en Duplicar en el menú contextual o la barra de herramientas. Aparece el cuadro de diálogo Duplicar excepción rellenado previamente.

En la ficha Eventos IPS, seleccione el evento para el que desea crear una excepción y haga clic en Crear excepción en el menú contextual o en la barra de herramientas. Seleccione la directiva en la que se creará la excepción y haga clic en Aceptar. Aparece un cuadro de diálogo Nueva excepción rellenado previamente.

Figura 4-4 Reglas IPS: Ficha Excepciones

43


4

2 Indique los datos adecuados en cada una de las fichas y haga clic en uno de los siguientes botones:

Aceptar para guardar los cambios y cerrar el cuadro de diálogo.

Aplicar para guardar los cambios y mantener el cuadro de diálogo abierto para crear otra regla de excepción.

Cancelar para eliminar los cambios y cerrar el cuadro de diálogo.

Ayuda para obtener más detalles.

Edición de reglas de excepción Puede ver y editar los detalles de una excepción existente.

Para editar una regla de excepción:1 Seleccione una excepción y haga clic en Propiedades en el menú contextual o la barra

de herramientas o haga doble clic en una excepción.

Aparece el cuadro de diálogo Propiedades de excepción.

2 Modifique los datos de las fichas y, a continuación, haga clic en Aceptar. Haga clic en Ayuda en el cuadro de diálogo para obtener detalles.

Figura 4-5 Cuadro de diálogo Nueva excepción

44


4

Activación y desactivación de reglas de excepciónEn lugar de eliminar las excepciones que no se utilizan, puede desactivarlas temporalmente y, posteriormente, activarlas para aplicarlas.

Para activar o desactivar una excepción:En la ficha Reglas de excepción, seleccione una regla y haga clic en Activar o desactivar en el menú contextual o la barra de herramientas.

El estado de la excepción seleccionada cambia según la selección que realice.

Eliminación de reglas de excepciónPara eliminar de forma permanente una excepción, selecciónela en la ficha Reglas de excepción y, a continuación, haga clic en Eliminar en el menú contextual o la barra de herramientas. La excepción se elimina de la ficha Excepciones.

Movimiento de reglas de excepción a otra directivaPuede mover fácilmente una excepción de una directiva a otra desde la ficha Reglas de excepción.

Para mover una regla de excepción a otra regla:1 Seleccione la regla de excepción que desea mover y haga clic en Mover a otra directiva

en el menú contextual o la barra de herramientas.

2 En la lista Seleccionar directiva, seleccione la directiva y haga clic en Aceptar.

Una copia de la regla de excepción aparece en la directiva seleccionada.

45


4

FirmasLas firmas describen amenazas de seguridad, metodologías de ataque e intrusiones de red. Cada firma tiene un nivel de gravedad predeterminado, que describe el peligro potencial de un ataque:

Alto (rojo): Firmas que protegen frente a amenazas de seguridad o acciones dañinas claramente identificables. La mayoría de estas firmas son específicas de ataques de explotación claramente identificados y son principalmente de tipo no dependiente del comportamiento. Deberían evitarse en todos los hosts.

Medio (naranja): Firmas más relacionadas con el comportamiento y que evitan el funcionamiento de las aplicaciones fuera de su entorno (relevante para clientes que protegen servidores Web y Microsoft SQL Server 2000). En servidores críticos, se recomienda evitar estas firmas después de realizar los ajustes.

Bajo (amarillo): Firmas más relacionadas con el comportamiento y que protegen a las aplicaciones. La protección implica el bloqueo de los recursos del sistema y las aplicaciones para que no se puedan modificar. Si se evitan las firmas amarillas, se aumenta la seguridad del sistema subyacente, pero es necesario realizar ajustes adicionales.

Información (azul): Indica una modificación en la configuración del sistema que puede crear un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Los eventos de este nivel se producen durante las actividades normales del sistema y, generalmente, no constituyen prueba de que se esté produciendo un ataque.

Tipos de firmasLa directiva Reglas IPS puede incluir tres tipos de firmas:

Firmas de host: firmas predeterminadas de prevención de intrusos de host (HIPS).

Firmas de host personalizadas: HIPS personalizadas creadas por el usuario.

Firmas de red: firmas predeterminadas de prevención de intrusos de red (NIPS).

Firmas de hostLas firmas de prevención de intrusos basadas en host (HIPS) detectan y evitan los ataques de actividades de operaciones del sistema, e incluyen reglas de tipo Archivo, Registro, Servicio y HTTP. Están desarrolladas por los expertos en seguridad de Host Intrusion Prevention y se proporcionan con el producto.

Cada firma tiene una descripción y un nivel de gravedad predeterminado. Con los niveles de privilegios adecuados, un administrador puede modificar el nivel de gravedad de una firma o desactivar una firma para grupos de clientes.

Al activarse, las firmas basadas en host generan un evento IPS que aparece en la ficha Eventos IPS.

Firmas de host personalizadasLas firmas personalizadas son firmas basadas en host que puede crear para ofrecer protección adicional para sus necesidades concretas. Por ejemplo, al crear un directorio nuevo con archivos importantes, puede crear una firma personalizada para protegerlo.

Firmas de redLas firmas de prevención de intrusos basadas en red (NIPS) detectan y evitan los ataques de red conocidos que llegan al sistema host.

46


4

Las firmas basadas en red aparecen en la consola en la misma lista de firmas que las firmas basadas en host. Tienen su propio icono en la columna Tipo y se designan como IPS de red en el cuadro de diálogo Propiedades de la firma: General.

Cada firma tiene una descripción y un nivel de gravedad predeterminado. Con los niveles de privilegios adecuados, un administrador puede modificar el nivel de gravedad de una firma o desactivar una firma.

Todas las firmas basadas en red pueden desactivar el registro, aunque la firma esté asociada con una reacción de tipo registrar o evitar en la directiva en vigor. No obstante, en el caso de una reacción de tipo evitar, la operación se evita, aunque no se registre ningún evento.

Puede crear excepciones para firmas basadas en red; sin embargo, no puede especificar atributos de parámetros adicionales, como el usuario del sistema operativo y el nombre del proceso. Los detalles avanzados contienen parámetros específicos de red que se pueden especificar, como, por ejemplo, direcciones IP.

Los eventos generados por firmas basadas en red se muestran junto con los eventos basados en host en la ficha Eventos IPS y presentan el mismo comportamiento que los eventos basados en host.

Visualización de firmasHost Intrusion Prevention incluye tres vistas de firmas en la ficha Firmas. La lista predeterminada sólo incluye firmas activas. También puede ver sólo firmas desactivadas o una combinación de firmas activas y desactivadas.

Nota

No se admiten las firmas personalizadas basadas en red.

Figura 4-6 Reglas IPS: Ficha Firmas

47


4

Para modificar la vista de firmas:Haga clic con el botón derecho en la lista de firmas y seleccione la vista deseada:

Modificación de las firmas de host y de redPuede ver y modificar las firmas predeterminadas en la ficha Firmas de la directiva Reglas IPS. Esto le permite cambiar el nivel de gravedad de la firma si la firma provoca falsos positivos.

Para modificar las firmas predeterminadas:1 Haga doble clic en la firma que desea modificar.

Aparece el cuadro de diálogo Propiedades de la firma.

2 En la ficha General, modifique las opciones Nivel de gravedad, Permitir excepciones de cliente o Registrar estado y escriba notas en el cuadro Nota para documentar el cambio.

3 En la ficha Descripción, revise los elementos que protege la firma y la protección que ofrece. Si hay un vínculo, haga clic en él para abrir una página de explorador y ver más información acerca de la amenaza de seguridad.

4 Haga clic en Aceptar.

Creación de firmas personalizadas Host Intrusion Prevention le proporciona la flexibilidad necesaria para crear y gestionar sus propias firmas y compartirlas entre directivas. La creación de firmas personalizadas, recomendada sólo para usuarios avanzados, proporciona una flexibilidad adicional para su entorno. Consulte Creación de firmas personalizadas en la página 164 para obtener detalles.

Puede utilizar dos métodos para crear firmas:

Asistente para la creación de firmas: Es el método más sencillo, pero no se pueden cambiar las operaciones que protege la firma.

Modo estándar: Es el método más avanzado, y permite agregar o eliminar operaciones protegidas por la firma.

Seleccione... Para ver...

Mostrar firmas activas Sólo las firmas activas para la directiva Reglas IPS. Se trata de la vista predeterminada.

Mostrar firmas desactivadas Sólo las firmas cuyo nivel de gravedad esté establecido en desactivado.

Mostrar todas las firmas Combinación de firmas activas y desactivadas.

Nota

Puede modificar el nivel de gravedad de varias firmas a la vez si las selecciona y hace clic en Modificar nivel de gravedad. En el cuadro de diálogo que aparece, seleccione Modificado y el nuevo nivel de gravedad que debe aplicarse a las firmas, o bien, seleccione Predeterminado para devolver a las firmas a su nivel de gravedad predeterminado. Haga clic en Aceptar para guardar los cambios. Las opciones de Nivel de gravedad incluyen: Alto, Medio, Bajo, Información y Desactivado.

48


4

Uso del asistente para crear firmasEl asistente para la creación de firmas es el método recomendado si carece de experiencia a la hora de crear firmas. El asistente ofrece dos cuadros de diálogo en los que debe indicar la información necesaria para la firma, pero no ofrece flexibilidad para las operaciones que protege la firma, puesto que no se pueden cambiar, agregar o eliminar operaciones.

Para crear firmas usando el asistente:1 En la barra de herramientas Firma, haga clic en Asistente para la creación de firmas.

2 En el cuadro de diálogo Asistente para la creación de firmas, paso 1 de 2, indique un nombre y una descripción, seleccione la plataforma y el nivel de gravedad y, a continuación, haga clic en Siguiente.

3 En el cuadro de diálogo Asistente para la creación de firmas, paso 2 de 2, seleccione el elemento que desea proteger frente a modificaciones, indique sus detalles y, a continuación, haga clic en Finalizar.

Figura 4-7 Asistente para la creación de firmas, paso 1 de 2

49


4

La nueva firma aparece en la lista con un icono de firma personalizada.

Uso del modo estándar para crear firmasUtilice este método sólo si es un usuario avanzado. Proporciona la flexibilidad necesaria para seleccionar las operaciones que protege la firma, incluidas operaciones de modificación, adición y eliminación. Puede crear una firma completamente nueva, una basada en una firma personalizada existente o una basada en un duplicado de una firma personalizada existente.

Para crear una firma con el modo estándar:1 Lleve a cabo una de las siguientes acciones:

En la ficha Firmas, haga clic en Crear en el menú contextual o la barra de herramientas. Aparece un cuadro de diálogo Nueva firma personalizada en blanco.

En la ficha Firmas, seleccione una firma personalizada y haga clic en Duplicar en el menú contextual o la barra de herramientas. Aparece un cuadro de diálogo Duplicar firma personalizada rellenado previamente.

2 En la ficha General, indique un nombre y seleccione la plataforma, el nivel de gravedad, el estado de registro y si se debe permitir la creación de reglas de cliente.

Figura 4-8 Asistente para la creación de firmas, paso 2 de 2

50


4

3 En la ficha Descripción, escriba una descripción de los elementos protegidos por la firma. Esta descripción aparece en el cuadro de diálogo Evento IPS al activarse la firma.

4 En la ficha Subregla, seleccione Método estándar o Método experto para crear la regla.

Figura 4-9 Nueva firma personalizada: Ficha General

Figura 4-10 Nueva firma personalizada: Ficha Subreglas

51


4

.

5 Haga clic en Aplicar para aplicar la nueva configuración y, a continuación, haga clic en Aceptar.

Edición de firmas personalizadasPuede editar las firmas personalizadas para agregar, eliminar o modificar reglas u otros datos incluidos en las firmas.

Para editar una firma personalizada:1 En la ficha Firma, haga doble clic en la firma personalizada que desea editar.

Aparece el cuadro de diálogo Propiedades de la firma personalizada.

2 Realice cambios en cada ficha según sea necesario. Haga clic en Ayuda en el cuadro de diálogo para obtener detalles.

3 Haga clic en Aceptar para guardar los cambios.

Eliminación de firmas personalizadasAdemás de crear y editar firmas personalizadas, también las puede eliminar. Al eliminar una firma personalizada, todos los eventos existentes activados por esta firma tendrán el ID de la firma anexado a su nombre en la ficha Eventos IPS.

Para eliminar una firma personalizada:1 En la ficha Firma, seleccione una firma personalizada que desee eliminar y haga clic

en Eliminar en el menú contextual o la barra de herramientas.

2 En el cuadro de diálogo que aparece, en el que se le solicita que confirme la eliminación, haga clic en Aceptar.

Para usar el método estándar: Para usar el método experto:

El método estándar limita el número de tipos que se pueden incluir en la regla de firma.

El método experto, recomendado sólo para usuarios avanzados, le permite proporcionar la sintaxis de las reglas sin limitar el número de tipos que se pueden incluir en la regla de firma. Antes de escribir una regla, asegúrese de comprender bien la sintaxis de las reglas. Consulte Creación de firmas personalizadas en la página 164.

1 Haga clic en Agregar. Aparece el cuadro de diálogo Nueva regla estándar.

2 En la ficha General, indique un nombre para la firma y elija un tipo.

3 En la ficha Operaciones, especifique las operaciones que activan la regla seleccionada.

4 En la ficha Parámetros, incluya o excluya parámetros concretos en la regla.

5 En la ficha Sintaxis de regla puede ver la sintaxis de regla que se ha generado para la firma que está creando.

6 Haga clic en Aceptar. La regla se compila y se comprueba la sintaxis. Si hay un error y la regla no supera la comprobación, aparece un cuadro de diálogo que describe el error. A continuación, puede solucionar el error y comprobar la regla de nuevo.

1 En la ficha Reglas del cuadro de diálogo Firma personalizada, seleccione Experto y Haga clic en Agregar. Aparece el cuadro de diálogo Nueva regla experta.

2 En la ficha General, escriba un nombre para la regla en el cuadro Nombre de regla y las notas que considere oportunas en el cuadro Nota.

3 En la ficha Sintaxis de regla, escriba la regla. Las reglas se escriben en formato ANSI y sintaxis TCL. Consulte Creación de firmas personalizadas en la página 164 para obtener más detalles.

4 Haga clic en Aceptar. La regla se compila y se comprueba la sintaxis. Si hay un error y la regla no supera la comprobación, aparece un cuadro de diálogo que describe el error. A continuación, puede solucionar el error y comprobar la regla de nuevo.

Nota

Puede incluir varias reglas en una firma.

52


4

Reglas de protección de aplicacionesLas reglas de protección de aplicaciones ayudan a mitigar los problemas de compatibilidad y estabilidad implícitos en el enlace de procesos. Permite o bloquea el enlace de API a nivel de usuario para listas definidas y generadas de procesos. El enlace de archivos y Registro a nivel del kernel no se ve afectado.

Host Intrusion Prevention proporciona una lista estática de procesos que se permiten o se bloquean. Esta lista se actualiza mediante publicaciones de actualización de contenido. Además, los procesos a los que se permite el enlace se pueden agregar dinámicamente a la lista cuando el análisis del proceso está habilitado. Este análisis se realiza:

Cada vez que el cliente se inicia y se enumeran los procesos en ejecución.

Cada vez que se inicia un proceso.

Cada vez que la lista de control de procesos se actualiza mediante el servidor de ePolicy Orchestrator.

Cada vez que se actualiza la lista de procesos que escuchan en un puerto de la red.

Este análisis implica comprobar primero si el proceso está en la lista de procesos bloqueados. Si no lo está, se comprueba la lista de procesos permitidos. Si no se encuentra en esta lista, el proceso se analiza para ver si escucha en un puerto de la red o si se ejecuta como un servicio. Si no, se bloquea; si escucha en un puerto o se ejecuta como un servicio, se le permite establecer el enlace.

Figura 4-11 Análisis de las reglas de protección de aplicaciones

53


4

El componente IPS mantiene una caché de información en los procesos en ejecución, que realiza el seguimiento de la información del enlace. El componente de cortafuegos determina si un proceso escucha en un puerto de la red, llama a una API exportada por el componente IPS y pasa la información a la API para que la agregue a la lista de control. Cuando se invoca a la API, el componente IPS encuentra la entrada correspondiente en su lista de procesos en ejecución. Entonces se enlaza un proceso que no esté enlazado y que no forme parte de la lista de bloqueo estático. El cortafuegos proporciona el PID (ID de proceso), que es la clave para la búsqueda en caché de un proceso.

La API exportada por el componente IPS también permite a la IU de cliente obtener la lista de los procesos enlazados actualmente, la cual se actualiza siempre que un proceso se enlaza o desenlaza. Un proceso enlazado se desenlazará si la consola envía una lista de procesos actualizada que especifica que el proceso ya enlazado no debería seguir enlazado. Cuando la lista de enlaces se actualice, todos los procesos listados en la caché de información de los procesos en ejecución se comparan con la lista actualizada. Si la lista indica que un proceso debería estar enlazado y no lo está, se procederá a enlazarlo. Si la lista indica que un proceso no debería estar enlazado y lo está, se procederá a desenlazarlo.

Las listas de enlace de procesos se pueden ver y editar en la ficha Reglas de protección de aplicaciones. La interfaz de usuario de cliente, al contrario que la vista de la directiva Reglas IPS, muestra una lista de todos los procesos de aplicación enlazados.

Para crear una regla de protección de aplicaciones:1 Lleve a cabo una de las siguientes acciones:

En la ficha Reglas de protección de aplicaciones, haga clic en Crear en la barra de herramientas o en el menú contextual. Aparece el cuadro de diálogo Nueva regla de protección de aplicaciones.

En la ficha Reglas de protección de aplicaciones, seleccione una aplicación y haga clic en Duplicar en la barra de herramientas o en el menú contextual. Aparecerá el cuadro de diálogo precumplimentado Duplicar reglas de protección de aplicaciones IPS.

Figura 4-12 Reglas IPS: Reglas de protección de aplicaciones

54


4

2 En la ficha General, introduzca el nombre, el estado y si la aplicación está incluida. Para ver detalles generales, haga clic en Ayuda.

.

3 En la ficha Procesos, indique los procesos a los que desee aplicar la regla. Para ver detalles generales, haga clic en Ayuda.

.


Figura 4-13 Cuadro de diálogo Nueva aplicación de confianza: ficha General

Figura 4-14 Cuadro de diálogo Nueva aplicación de confianza: ficha Procesos

55

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSEventos IPS

4

Edición de reglas de protección de aplicacionesPuede visualizar y editar las propiedades de una regla de aplicación existente y cambiar su estado de inclusión de incluir a excluir y viceversa.

Para editar las propiedades de una regla de aplicación:1 En la ficha Reglas de protección de aplicaciones, seleccione una aplicación y haga clic

en Propiedades, en la barra de herramientas o en el menú contextual; o haga doble clic en la aplicación de confianza seleccionada.

Aparece el cuadro de diálogo Propiedades de reglas de protección de aplicaciones.

2 Modifique los datos de las dos fichas y, a continuación, haga clic en Aceptar.

Activación y desactivación de reglas de protección de aplicacionesEn vez de eliminar las reglas de aplicación que no estén en uso, puede desactivarlas temporalmente y posteriormente activarlas para que sean efectivas.

Para activar o desactivar una regla de aplicación:1 En la ficha Reglas de protección de aplicaciones, seleccione la regla activada que desee

desactivar, o la regla desactivada que desee activar.

2 Haga clic en Desactivar o Activar en la barra de herramientas o en el menú de acceso directo.

El estado de la aplicación de la ficha Reglas de protección de aplicaciones cambia en consecuencia.

Eliminación de reglas de protección de aplicacionesPara eliminar de forma permanente una regla de protección de aplicaciones, selecciónela en la ficha Reglas de protección de aplicaciones y, a continuación, haga clic en Eliminar en la barra de herramientas o en el menú contextual. La regla se elimina de la ficha.

Eventos IPSUn evento IPS se activa cuando se detecta una infracción de seguridad definida por una firma. Por ejemplo, Host Intrusion Prevention compara el inicio de cualquier aplicación con una firma para dicha operación que puede representar un ataque. Si se encuentra una coincidencia, se genera un evento. De lo contrario (quizás por una excepción a la firma o si la aplicación se ha designado como de confianza), no se genera ningún evento.

Cuando Host Intrusion Prevention reconoce un evento IPS, lo marca en la ficha Eventos IPS con uno de los cuatro niveles de gravedad: Alto, Medio, Bajo e Información.

Nota

Cuando la misma operación activa dos eventos, se adopta la reacción con el nivel más alto.

56


4

A partir de la lista de eventos generados puede determinar los eventos que pueden permitirse y los que indican un comportamiento sospechoso. Para permitir eventos, configure el sistema con las siguientes opciones:

Excepciones: Reglas que anulan una regla de firma. Para crear una excepción específica para el evento, consulte Creación y aplicación de directivas Aplicaciones de confianza en la página 112.

Aplicaciones de confianza: Permite las aplicaciones internas cuyas operaciones pueden ser bloqueadas por una firma. Para crear una aplicación de confianza específica para el evento, consulte Creación y aplicación de directivas Aplicaciones de confianza en la página 112.

Este proceso de ajuste mantiene en un nivel mínimo los eventos que aparecen, de forma que se dispone de más tiempo para analizar los eventos graves que se producen.

Visualización de eventosPara ayudar a analizar los eventos IPS, Host Intrusion Prevention le permite marcar los eventos con un estado (no leídos, leídos u ocultos) y, a continuación, filtrarlos con una de entre varias visualizaciones.

Para ver eventos IPS:1 En el árbol de la consola, seleccione el nodo para el que desea ver eventos IPS.

2 Haga clic en el vínculo de acceso rápido Eventos IPS situado en la parte superior de la función IPS en el panel de directivas; o, si la ventana Gestión de IPS está abierta, haga clic en la ficha Eventos IPS.

Aparece una lista que contiene todos los eventos asociados con el cliente. De forma predeterminada, no se muestran todos los eventos. Para obtener detalles sobre la configuración de la vista de eventos, consulte Configuración de la vista de eventos en la página 58.

Figura 4-15 Ficha Eventos IPS

57


4

Configuración de la vista de eventosDe forma predeterminada, no se muestran todos los eventos. De forma predeterminada, sólo aparecen los eventos producidos en los últimos 30 días. Puede definir la vista para que muestre los eventos de un número concreto de días o eventos producidos antes de una fecha y hora concretas.

Para cambiar la vista de eventos:1 En la ficha Eventos IPS, haga clic en Configurar vista de evento en la barra

de herramientas o el menú contextual.

Aparece el cuadro de diálogo Configurar vista de evento.

2 Indique el número de días de eventos que se mostrarán.

3 Seleccione Eventos anteriores a (fecha) e indique una fecha y una hora para mostrar eventos producidos antes de la fecha y la hora indicadas.


Filtrado de eventosLos eventos que puede ver están determinados por la visualización que haya seleccionado. Seleccione el comando adecuado en el menú contextual:

Mostrar todos los eventos: Se muestran todos los eventos. Los eventos leídos aparecen con una fuente normal, los eventos no leídos en negrita, los ocultos en gris y los eventos agregados ocultos en azul claro.

Mostrar eventos leídos y no leídos: Se muestran todos los eventos con estado leído o no leído, pero no se muestran los eventos ocultos.

Mostrar eventos no leídos: Se muestran todos los eventos que todavía no se han leído. Estos eventos aparecen en negrita. Los eventos leídos y ocultos no se incluyen en esta vista.

Mostrar eventos leídos: Se muestran todos los eventos con el estado leído. Estos eventos aparecen en una fuente normal. Los eventos no leídos y ocultos no se incluyen en esta vista.

Mostrar eventos ocultos: Se muestran todos los eventos con el estado oculto. Estos eventos aparecen en una fuente gris.

Figura 4-16 Cuadro de diálogo Configurar vista de evento

58


4

Marcado de eventosLos eventos se marcan con uno de los tres estados siguientes para ayudar a filtrar la visualización:

No leído: Opción predeterminada para todos los eventos. Indica que el evento no se ha revisado. Aparece en negrita.

Leído: El evento se ha revisado y se ha marcado como Leído. Aparece en una fuente normal.

Oculto: Estos eventos se eliminan de la vista de eventos normal. Aparecen en gris sólo en las vistas Eventos ocultos o Todos los eventos, a menos que estén marcados como Leído o No leído.

Para marcar un evento como leído:1 En la ficha Eventos IPS, seleccione los eventos que desea marcar como leídos.

2 Haga clic en el botón Marcar como leído en el menú contextual o la barra de herramientas.

La fuente del evento cambia de negrita a normal.

Para marcar un evento como no leído:1 En la ficha Eventos IPS, seleccione los eventos que desea marcar como no leídos.

2 Haga clic en Marcar como no leído en el menú contextual o la barra de herramientas.

La fuente del evento cambia de normal a negrita.

Para ocultar un evento:1 En la ficha Eventos IPS, seleccione los eventos que desea ocultar.

2 Haga clic en Ocultar (marcar como oculto) en el menú contextual o la barra de herramientas.

Los eventos seleccionados se eliminan de la vista actual.

3 Para ver estos eventos ocultos, haga clic en Mostrar eventos ocultos en el menú contextual o la barra de herramientas.

Para quitar eventos de la vista oculta: 1 Haga clic en Mostrar eventos ocultos en el menú contextual o la barra de herramientas.

Se muestran los eventos ocultos.

2 Seleccione los eventos que desea quitar de la vista oculta.

3 Haga clic en Marcar como leído o en Marcar como no leído.

Los eventos seleccionados se quitan del estado Oculto.

4 Haga clic en Mostrar eventos leídos y no leídos o en Mostrar todos los eventos en el menú contextual.

Nota

Al marcar eventos, se marcan para todos los usuarios conectados con el mismo servidor de gestión.

59


4

Marcado de eventos similaresDada la gran cantidad de eventos IPS que pueden aparecer, debería limitar el número de eventos mostrados o la forma en que aparecen. Para ello, marque eventos concretos como leídos, no leídos u ocultos uno a uno. No obstante, este proceso puede resultar pesado.

La opción Marcar eventos similares como leídos/no leídos/ocultos permite marcar en una operación todos los eventos parecidos existentes que coincidan con un conjunto de criterios. No obstante, los eventos nuevos activados después de realizar esta operación no se marcan automáticamente.

Los criterios de coincidencia que establece el usuario se basan en los atributos asociados con los eventos, e incluyen cualquiera o todos los elementos siguientes:

AgenteFirmasUsuarioProcesoNivel de gravedad

Para marcar eventos similares:1 Seleccione un evento y haga clic en Marcar eventos similares en el menú contextual

o en Marcar eventos similares en la barra de herramientas.

Aparece el cuadro de diálogo Marcar eventos similares.

2 En la lista Marcar eventos como, seleccione uno de los tres estados para los eventos: No leído, Leído u Oculto.

3 Active la casilla de verificación situada junto a cada atributo que desee utilizar como criterio para marcar los eventos.

El valor de parámetro junto a la casilla de verificación se selecciona automáticamente. Para seleccionar otro parámetro, haga clic en Seleccionar. En el cuadro de diálogo Lista de selección que aparece, seleccione el parámetro y haga clic en Aceptar.

Figura 4-17 Cuadro de diálogo Marcar eventos similares

60


4

4 Después de volver al cuadro de diálogo original, haga clic en Aceptar. Los eventos que coincidan con los criterios seleccionados se cambian al estado seleccionado.

Visualización de detalles de eventos El cuadro de diálogo Propiedades del evento IPS muestra información acerca de un evento seleccionado. Ver estos datos puede resultar útil para ajustar el sistema, permitiéndole crear una excepción o aplicación de confianza o buscar excepciones existentes basadas en un evento.

Para ver los detalles de los eventos:Haga doble clic o seleccione el evento y haga clic en Propiedades en el menú contextual o la barra de herramientas.

Aparece el cuadro de diálogo Propiedades del evento IPS, con cuatro fichas: General, Descripción, Detalles avanzados y Resumen. Haga clic en Ayuda en el cuadro de diálogo para obtener detalles.

Creación de excepciones y aplicaciones de confianza basadas en eventos

En algunas circunstancias, un comportamiento que se interprete como un ataque puede ser una parte normal de la rutina de trabajo de un usuario. Cuando esto se produce, puede crear una regla de excepción o una regla de aplicación de confianza para dicho comportamiento.

Nota

Si no selecciona criterios específicos, todos los eventos se verán afectados al hacer clic en Aceptar.

Figura 4-18 Cuadro de diálogo Evento IPS: Ficha General

61


4

Puede crear excepciones o aplicaciones de confianza basadas en eventos directamente desde un evento para evitar que vuelva a producirse, o bien puede crear excepciones o aplicaciones de confianza sin que hagan referencia a un evento concreto. Para obtener más información acerca de esto último, consulte Reglas de excepción en la página 42 y Creación y aplicación de directivas Aplicaciones de confianza en la página 112.

La creación de excepciones y aplicaciones de confianza le permite detectar alertas de falsos positivos y garantiza que las notificaciones que recibe son comunicaciones con sentido.

EjemploPor ejemplo, durante el proceso de prueba de clientes, es posible que algunos de ellos reconozcan la firma de acceso a correo electrónico. En ciertas circunstancias, un evento activado por esta firma es motivo de alarma. Los piratas informáticos pueden instalar aplicaciones de troyanos que utilicen el puerto TCP/IP 25, reservado normalmente para aplicaciones de correo electrónico, y esta acción se detectaría mediante la firma TCP/IP Port 25 Activity (SMTP). Por otra parte, también es posible que el tráfico normal del correo electrónico coincida con esta firma. Cuando utilice esta firma, investigue el proceso que ha iniciado el evento. Si el proceso no está asociado normalmente con el correo electrónico, como Notepad.exe, puede tener sospechas razonables de que se trata de un troyano. Si el proceso que inicia el evento es responsable normalmente del envío de correo electrónico (Eudora, Netscape, Outlook), cree una excepción para este evento.

Por ejemplo, también puede detectar que una serie de clientes activan los programas de inicio de las firmas, lo cual indica que se modifica o se crea un valor en las claves del Registro siguientes:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

Dado que los valores almacenados bajo estas claves indican programas que se inician al encender el equipo, el reconocimiento de esta firma puede indicar que alguien está intentando alterar el sistema. O también puede indicar algo tan benigno como que uno de sus empleados esté instalando RealAudio en su equipo. La instalación de RealAudio agrega el valor RealTray a la clave del Registro Run.

Para eliminar la activación de eventos cada vez que alguien instale software autorizado, se crean excepciones para estos eventos. El cliente ya no generará eventos para esta instalación autorizada.

Para crear una excepción basada en eventos:1 Seleccione un evento y haga clic en Crear excepción en el menú contextual o la barra

de herramientas.

Aparece un cuadro de diálogo Nueva excepción rellenado previamente.

2 Siga las instrucciones para crear una excepción de Reglas de excepción en la página 42.

Para crear una aplicación de confianza basada en eventos:1 Seleccione un evento y haga clic en Crear aplicación de confianza en el menú contextual

o la barra de herramientas.

Aparece un cuadro de diálogo Nueva aplicación de confianza rellenado previamente.

2 Siga las instrucciones para crear una aplicación de confianza de Creación y aplicación de directivas Aplicaciones de confianza en la página 112.

62

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSReglas de cliente IPS

4

Búsqueda de excepciones relacionadasUn evento puede ser un falso positivo, que es una operación inofensiva que aparece de forma incorrecta como un intruso. Para los falsos positivos puede crear una excepción y evitar el registro de eventos idénticos futuros; no obstante, es posible que ya haya creado varias excepciones para eventos parecidos. En lugar de crear una excepción nueva, es posible que pueda editar una excepción existente para que se aplique al evento de falso positivo. Si las excepciones se mantienen organizadas y son pocas, resulta más fácil gestionarlas.

La función Buscar excepciones relacionadas permite buscar excepciones existentes que coincidan con uno o más atributos pertenecientes a un evento. Por ejemplo, puede buscar excepciones que coincidan con la firma o el proceso del evento, o con ambos. Asimismo, también puede buscar excepciones que ya estén desplegadas en el cliente en el que se produjo el evento o quizás las aplicadas al usuario asociado con el evento.

Para buscar una excepción relacionada:1 Seleccione un evento en la ficha Eventos IPS para el que desee buscar excepciones

relacionadas y haga clic en Buscar excepciones relacionadas en la barra de herramientas o el menú contextual.

Aparece el cuadro de diálogo de criterios de búsqueda Buscar reglas de excepción IPS con la información de proceso, firma y usuario rellenada previamente.

2 Active la casilla de verificación de cada criterio que desee aplicar. Puede editar los valores haciendo clic en Editar.


La ficha Buscar excepciones IPS muestra los resultados de la búsqueda. Consulte Búsqueda de reglas de excepción IPS en la página 66 para ver más detalles sobre cómo usar la función de búsqueda.

Reglas de cliente IPSCuando los clientes se encuentran en el modo Adaptación, se crean reglas de excepción de cliente automáticamente para permitir operaciones que, de lo contrario, bloquearían las directivas del administrador. Las reglas de cliente también se pueden crear manualmente, siempre que la opción de directiva IU de cliente para permitir la creación manual de reglas de cliente esté activada. Las reglas de cliente creadas automática y manualmente aparecen en la ficha Reglas de cliente IPS. Algunas o todas las reglas de excepción de cliente generadas en un cliente representativo se pueden promover a la ficha Reglas de excepción general de una directiva Reglas IPS concreta, lo que permite ajustar más fácilmente un despliegue.

63


4

Vista normalLas reglas de excepción de cliente aparecen en una Vista normal y en una Vista agregada. En la Vista normal puede ordenar y filtrar la lista de reglas para encontrar excepciones específicas y ver sus detalles. También puede migrar reglas de cliente a reglas de excepción del servidor de una directiva Reglas IPS.

Para migrar reglas de cliente a una directiva Reglas IPS:1 Seleccione una regla de excepción de cliente en la ficha Vista normal y haga clic

en Crear regla de excepción.

2 Seleccione la directiva a la que desee migrar la regla de cliente y haga clic en Aceptar.

3 En el cuadro de diálogo Regla de excepción rellenado previamente, compruebe o edite la información y haga clic en Aceptar.

La nueva regla de excepción aparece en la ficha Reglas de excepción de la directiva Reglas IPS seleccionada en el proceso de migración.

Si desea obtener más detalles, consulte Reglas de excepción en la página 42.

Figura 4-19 Regla de cliente IPS: Vista normal

64


4

Vista agregadaEn la Vista agregada puede agregar excepciones de regla de cliente en función de la firma, el usuario, el proceso, el estado, la reacción y el nodo para determinar la frecuencia de reglas de excepción similares creadas en todos los clientes.

Gestione las excepciones que aparecen en la ficha Reglas de cliente IPS con la función Vista agregada. Esta vista le permite combinar excepciones que tienen los mismos atributos, para que sólo aparezca una excepción agregada, al tiempo que se realiza un seguimiento del número de veces que se producen las excepciones. Esta información le permite ajustar un despliegue, posiblemente mediante la transferencia de algunas de las reglas de excepción de cliente a reglas de excepción administrativas para reducir los falsos positivos para un entorno de sistema concreto.

Las excepciones agregadas aparecen en azul y tienen un número en la columna Recuento. Para agregar excepciones, debe seleccionar criterios de agregación mientras visualiza las excepciones.

Para agregar reglas de cliente:1 Haga clic en la ficha Vista agregada en la ficha Reglas de cliente IPS.

2 En el cuadro de diálogo Reglas del cliente agregadas, seleccione los criterios para agregar las excepciones de regla del cliente. Entre las opciones disponibles, se incluyen las siguientes: Firma, Usuario, Proceso, Activada, Reacción y Nodo.


Aparece una lista de firmas y el número de reglas de excepción creadas para cada una de ellas.

4 Seleccione una fila y haga clic en Mostrar reglas individuales para ver detalles de cada regla de excepción asociada con la selección.

Volverá a la ficha Vista normal, que contiene detalles sobre cada regla en el conjunto agregado.

Figura 4-20 Reglas de cliente IPS: Vista agregada basada en proceso

65

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSBúsqueda de reglas de excepción IPS

4

Búsqueda de reglas de excepción IPSPuede buscar excepciones en cualquier directiva Reglas IPS en la ficha Buscar reglas de excepción IPS. Esta función de búsqueda le permite determinar si una excepción es necesaria para una regla de firma. También le permite gestionar excepciones eliminando reglas de excepción duplicadas o creando aplicaciones de confianza para permitir un proceso bloqueado. Los criterios de búsqueda incluyen los procesos que activaron un evento, las firmas que hicieron que el evento se activara y los usuarios afectados por la regla de excepción. Después de haber encontrado las reglas de excepción relacionadas que buscaba, se recomienda que gestione esta lista para mantener un número mínimo de excepciones generales. Para ello, puede eliminar las excepciones innecesarias (porque ya existen excepciones para un proceso o una firma concretos) o duplicar y editar una excepción para que sustituya a varias expresiones similares. La ficha Buscar excepciones IPS también le permite desactivar excepciones en lugar de eliminarlas permanentemente para encontrar excepciones que coincidan con un perfil y copiarlas a otras directivas IPS.

Para buscar excepciones y gestionar la lista de excepciones:1 En la ficha Buscar reglas de excepción IPS, haga clic en Buscar.

Aparece el cuadro de diálogo Buscar reglas de excepción IPS.

2 Seleccione los criterios adecuados y realice una de las acciones siguientes:

Seleccione Todos (opción predeterminada) para todos los procesos.

Seleccione Específicos y haga clic en Editar para indicar procesos específicos. En el cuadro de diálogo Buscar [criterios] específicos, mueva elementos de la lista de elementos disponibles a la de elementos seleccionados y haga clic en Aceptar.

Figura 4-21 Buscar reglas de excepción IPS

66

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de IPSBúsqueda de reglas de excepción IPS

4


Aparece la lista de excepciones que coinciden con los criterios de búsqueda.

4 Seleccione una excepción en la lista y utilice los comandos del menú contextual o de la barra de herramientas para activarla o desactivarla, moverla de una directiva a otra, crear una nueva excepción duplicándola o eliminarla. Si desea obtener más detalles, consulte Reglas de excepción en la página 42.

Figura 4-22 Ficha Buscar reglas de excepción IPS

Nota

Si selecciona varios criterios, los resultados que aparecen coinciden con cualquiera de los criterios seleccionados, no con todos los criterios. Por ejemplo, si selecciona dos procesos específicos, las excepciones que aparecen coinciden con cualquiera de los dos procesos y las excepciones que no aparecen son las que coinciden sólo con ambos procesos.

67

5 Directivas de cortafuegos

La función de cortafuegos de Host Intrusion Prevention protege a los equipos al filtrar todo el tráfico de red, lo que permite el tráfico inofensivo a través del cortafuegos y bloquea el resto. Esto se realiza aplicando reglas de cortafuegos. En la versión actual del producto, se ha añadido la inspección y el filtrado con seguimiento de estado para gestionar clientes de la versión 6.1 También están disponibles reglas de cortafuegos estáticas precedentes, denominadas reglas HIP 6.0, pero sólo se aplican a clientes de la versión 6.0. Existe una utilidad de migración de reglas de cortafuegos para ayudar con la transición de las reglas estáticas a reglas con seguimiento de estado.

En esta sección se describe la función de cortafuegos y se incluyen los temas siguientes:

Resumen

Configuración de la directiva Opciones del cortafuegos

Configuración de la directiva Reglas de cortafuegos

Configuración de la directiva Opciones de cuarentena

Configuración de la directiva Reglas de cuarentena

68

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de cortafuegosResumen

5

Resumen El cortafuegos de Host Intrusion Prevention protege a los equipos conectados en red de intrusiones que puedan dañar los datos, las aplicaciones o el sistema operativo. Ofrece esta protección trabajando en varias capas de la arquitectura de red en las que se utilizan diferentes criterios para restringir el tráfico de la red. Esta arquitectura de red está construida sobre el modelo Open System Interconnection (OSI) de siete capas, en el que cada capa gestiona protocolos de red específicos.

Reglas HIP 6.0El cortafuegos de Host Intrusion Prevention 6.0 trabajaba básicamente en la Capa de red 3 y en la Capa de transporte 4, enrutando los paquetes de red a sus destinos. En todas estas capas el cortafuegos utiliza un filtrado de paquetes estático con una coincidencia de regla descendente. Cuando se analiza un paquete y se equipara con una regla de cortafuegos, se utilizan criterios tales como la dirección IP, el número de puerto y el tipo de paquete para permitir o bloquear el paquete. Si no se encuentra ninguna regla coincidente, el paquete se descarta. Se necesitan reglas de cortafuegos bidireccionales, especialmente para los protocolos UDP e ICMP.

Reglas HIP 6.1 El cortafuegos de Host Intrusion Prevention 6.1 introduce un cortafuegos con seguimiento de estado tanto con filtrado como con inspección de paquetes con seguimiento de estado.

Figura 5-1 Protocolos y capas de red

69


5

Filtrado de paquetes con seguimiento de estadoEl filtrado de paquetes con seguimiento de estado es el rastreo con seguimiento de estado de la información del protocolo TCP/UDP/ICMP en la Capa de transporte 4 e inferiores de la pila de red OSI. Se examina cada paquete y si el paquete inspeccionado coincide con una regla de cortafuegos existente, éste se permite y se crea una entrada en una tabla de estado. La tabla de estado rastrea dinámicamente las conexiones que han coincidido anteriormente con un conjunto de reglas estáticas y refleja el estado de conexión actual de los protocolos TCP/UDP/ICMP. Si un paquete inspeccionado coincide con una entrada que ya existe en la tabla de estado, éste se permite sin realizar más exámenes. Cuando se cierra una conexión o se agota el tiempo, la entrada correspondiente se elimina de la tabla de estado.

Inspección de paquetes con seguimiento de estadoLa inspección de paquetes con seguimiento de estado es el proceso de filtrado de paquetes con seguimiento de estado y los comandos de rastreo en la Capa de aplicación 7 de la pila de red. Esta combinación ofrece una definición sólida del estado de conexión del equipo. El acceso a los comandos de nivel de aplicación ofrece una inspección sin errores y la seguridad de los protocolos FTP, DHCP y DNS.

Tabla de estadoUna función de un cortafuegos con seguimiento de estado es una tabla de estado que almacena de forma dinámica información sobre conexiones activas creadas por reglas de permiso. Cada entrada de la tabla define una conexión basada en:

Protocolo: el modo predefinido en que un servicio se comunica con otro; incluye los protocolos TCP, UDP e ICMP.

Direcciones IP de equipos locales y remotos: cada equipo tiene asignada una dirección IP exclusiva que consiste en un número de 32 bits expresado como cuatro octetos en un número decimal con puntos como, por ejemplo, 192.168.1.100.

Números de puerto de equipos locales y remotos: un equipo envía y recibe servicios mediante puertos numerados. Por ejemplo, el servicio HTTP normalmente está disponible en el puerto 80 y los servicios FTP en el puerto 21. Los números de puerto van del 0 al 65535.

ID de proceso (PID): un identificador exclusivo para el proceso asociado con un tráfico de conexión.

Fecha y hora del evento: la hora del último paquete entrante o saliente asociado con la conexión.

Tiempo de espera: el límite de tiempo (en segundos) definido en la directiva Opciones del cortafuegos, transcurrido el cual se elimina la entrada de la tabla si no se recibe ningún paquete que coincida con la conexión. El tiempo de espera para conexiones TCP se aplica sólo cuando no se ha establecido la conexión.

Dirección: la dirección (entrante o saliente) del tráfico que se activa en la entrada. Una vez establecida una conexión, se permite el tráfico bidireccional incluso con reglas unidireccionales, siempre que la entrada coincida con los parámetros de conexión de la tabla de estado.

Nota

Los clientes de Host Intrusion Prevention 6.0 sólo utilizan el cortafuegos estático, incluso aunque trabajen en un entorno combinado con servidores y clientes de Host Intrusion Prevention 6.1. Para utilizar el cortafuegos con seguimiento de estado, deberá actualizar el cliente de la versión 6.0 a la versión 6.1. Para ayudarle con la actualización, puede convertir reglas estáticas existentes en reglas con seguimiento de estado con la herramienta de migración de reglas de cortafuegos. Consulte Migración de las reglas personalizadas de cortafuegos de la versión 6.0 a reglas de la versión 6.1 en la página 78.

70


5

Funcionalidad de la tabla de estadoSi se modifican los conjuntos de reglas de cortafuegos, se comprueban de nuevo todas las conexiones activas con el nuevo conjunto de reglas. Si no se encuentra ninguna regla coincidente, la entrada de conexión se elimina de la tabla de estado.Si un adaptador obtiene una dirección IP nueva, el cortafuegos reconoce la nueva configuración IP y descarta todas las entradas de la tabla de estado con una dirección IP local no válida.Cuando el proceso finaliza, se eliminan todas las entradas de la tabla de estado asociadas con el mismo.

Cómo funcionan las reglas de cortafuegosLasreglas de cortafuegos determinan la forma de gestionar el tráfico de una red. Cada regla ofrece un conjunto de condiciones que debe cumplir el tráfico y tiene una acción asociada a ella: permitir o bloquear el tráfico. Cuando Host Intrusion Prevention encuentra tráfico que coincide con las condiciones de una regla, realiza la acción asociada.

Host Intrusion Prevention utiliza la prioridad para aplicar reglas: la regla situada en primera posición en las reglas de cortafuegos se aplica primero.

Si el tráfico cumple las condiciones de esta regla, Host Intrusion Prevention lo permite o lo bloquea. No aplica ninguna otra regla de la lista de reglas.

No obstante, si el tráfico no cumple las condiciones de la primera regla, Host Intrusion Prevention pasa a la siguiente regla de la lista. Va siguiendo la lista de reglas de cortafuegos hasta que encuentra una regla que cumpla el tráfico. Si no encuentra ninguna regla coincidente, bloquea automáticamente el tráfico. Si se ha activado el modo Aprendizaje, solicita que se realice una acción; si se ha activado el modo Adaptación, crea una regla de permiso para el tráfico.

A veces, el tráfico interceptado coincide con más de una regla en la lista. En este caso, la prioridad hace que Host Intrusion Prevention aplique sólo la primera regla coincidente en la lista.

Ordenación de la lista de reglas de cortafuegosAl crear o personalizar una directiva de reglas de cortafuegos, coloque las reglas más específicas al principio de la lista y las reglas más generales al final. Esto garantiza que Host Intrusion Prevention filtra el tráfico adecuadamente y que no pasa por alto reglas basadas en excepciones y aplica otras reglas más generales.

Por ejemplo, para bloquear todas las solicitudes HTTP excepto las de la dirección IP 10.10.10.1, debe crear dos reglas:

Regla de permiso: Se permite el tráfico HTTP desde la dirección IP 10.10.10.1. Esta regla es la más específica.

Regla de bloqueo: Se bloquea todo el tráfico que utiliza el servicio HTTP. Esta regla es más general.

Debe colocar la regla de permiso, más específica, en una posición más alta en la lista de reglas de cortafuegos que la regla de bloqueo, más general. Esto garantiza que cuando el cortafuegos intercepta una solicitud HTTP proveniente de la dirección 10.10.10.1, la primera regla coincidente que encuentra es la que permite este tráfico a través del cortafuegos.

Si colocó la regla de bloqueo, más general, en una posición superior a la de la regla de permiso, más específica, Host Intrusion Prevention encontraría una coincidencia de la solicitud HTTP de 10.10.10.1 con la regla de bloqueo antes de poder encontrar la excepción. Bloquearía el tráfico, aunque lo que el usuario deseaba realmente era permitir las solicitudes HTTP provenientes de esta dirección.

Nota

Host Intrusion Prevention trata de forma diferente la prioridad para las reglas basadas en dominio y para las reglas inalámbricas. Si una regla especifica una dirección remota como nombre de dominio o una conexión inalámbrica 802.11, ésta se aplica en primer lugar independientemente de su posición en la lista de reglas.

71


5

Cómo funciona el filtrado con seguimiento de estadoEl filtrado con seguimiento de estado engloba el procesamiento de un paquete frente a dos conjuntos de reglas, un conjunto de reglas de cortafuegos configurable y un conjunto de reglas de cortafuegos dinámicas o tabla de estado.

Las reglas configurables tienen dos acciones posibles:

Permitir: se permite el paquete y se realiza una entrada en la tabla de estado.Bloquear: se bloquea el paquete y no se realiza una entrada en la tabla de estado.

La tabla de estado anota el resultado de la actividad de la red y refleja el estado de la pila de red. Cada regla de la tabla de estado sólo tiene una acción: Permitir, por lo que cualquier paquete que coincida con una regla de la tabla de estado se permite automáticamente.

El proceso de filtrado incluye estos pasos:

1 El cortafuegos compara un paquete entrante con las entradas de la tabla de estado. Si el paquete coincide con una entrada de la tabla, éste se permite de forma inmediata. En caso contrario, se examina la lista de reglas de cortafuegos configurables.

2 Si el paquete coincide con una regla de permiso, éste se permite y se crea una entrada en la tabla de estado.

3 Si el paquete coincide con una regla bloqueada, éste se bloquea.

4 Si el paquete no coincide con ninguna regla configurable, éste se bloquea.

Nota

Se considera que una entrada de la tabla de estado coincide si el protocolo, la dirección local, el puerto local, la dirección remota y el puerto remoto son los mismos que los del paquete.

Figura 5-2 Proceso de filtrado con seguimiento de estado

72


5

Cómo funciona la inspección de paquetes con seguimiento de estado

La inspección de paquetes con seguimiento de estado combina un filtrado con seguimiento de estado con un acceso a comandos de nivel de aplicación, asegurando protocolos como FTP, DHCP y DNS.

FTP engloba dos conexiones: control para los comandos y datos para la información. Cuando un cliente se conecta a un servidor FTP, se establece el canal de control, llegando al puerto 21 de destino de FTP, y se crea una entrada en la tabla de estado. Si el cortafuegos encuentra una conexión abierta en el puerto 21, sabe que debe realizar una inspección de paquetes con seguimiento de estado de los paquetes que fluyen por el canal de control de FTP, si se ha definido la opción de inspección de FTP en la directiva Opciones del cortafuegos.

Con el canal de control abierto, el cliente se comunica con el servidor FTP. El cortafuegos analiza el comando PORT del paquete enviado a través de la conexión y crea una segunda entrada en la tabla de estado para permitir la conexión de datos.

Si el servidor FTP está en el modo activo, el servidor abre la conexión de datos; en el modo pasivo, es el cliente el que inicia la conexión. Cuando el servidor recibe el primer comando de transferencia de datos (LIST), éste abre la conexión de datos hacia el cliente y transfiere los datos. Una vez finalizada la transmisión se cierra el canal de datos.

La combinación de la conexión de control y una o más conexiones de datos se denomina una sesión y, en ocasiones, las reglas dinámicas de FTP se denominan reglas de sesión. La sesión sigue establecida hasta que su entrada del canal de control se elimina de la tabla de estado. Durante la limpieza periódica de la tabla, si se ha eliminado un canal de control de sesión, posteriormente se eliminan todas las conexiones de datos.

Rastreo de protocolos con seguimiento de estado A continuación, se muestra un resumen de los tipos de conexión supervisados por el cortafuegos con seguimiento de estado y cómo se gestionan.

Protocolo Descripción de la gestiónUDP Se agrega una conexión UDP a la tabla de estado cuando se encuentra una regla

estática coincidente y la acción de la regla es Permitir. Las conexiones UDP genéricas, que transportan protocolos de nivel de aplicación desconocidos para el cortafuegos, permanecen en la tabla de estado mientras la conexión no permanezca inactiva durante más tiempo que el especificado en el periodo de tiempo de espera.

ICMP Sólo se rastrean solicitudes de eco ICMP y los tipos de mensaje de respuesta de eco. Las otras conexiones ICMP se gestionan como conexiones UDP genéricas.

Nota: En comparación con el protocolo TCP fiable y orientado a la conexión, UDP e ICMP son protocolos sin conexión menos fiables. Para asegurar estos protocolos, el cortafuegos considera las conexiones UDP e ICMP genéricas como conexiones virtuales, que se mantienen sólo mientras la conexión no está inactiva durante más tiempo del especificado en el periodo de tiempo de espera de la conexión. El tiempo de espera para conexiones virtuales se ajusta en la directiva Opciones del cortafuegos.

73


5

Grupos de reglas de cortafuegos y grupos para conexiónPuede agrupar las reglas para gestionarlas con mayor facilidad. Los grupos de reglas normales no afectan a la forma en que Host Intrusion Prevention trata las reglas incluidas en ellos; éstas se siguen procesando de arriba a abajo.

TCP El protocolo TCP trabaja sobre el “establecimiento de comunicación de 3 vías”. Cuando un equipo cliente inicia una conexión nueva, éste envía un paquete a su destino con un bit SYN definido, indicando una nueva conexión. El destinatario responde enviando al cliente un paquete con un conjunto de bits SYN-ACK. El cliente responde entonces enviando un paquete con un conjunto de bits ACK y se establece la conexión con seguimiento de estado. Se permiten todos los paquetes salientes, pero sólo se permiten los paquetes entrantes que formen parte de la conexión establecida. Se produce una excepción cuando el cortafuegos pregunta en primer lugar al protocolo TCP y añade todas las conexiones preexistentes que coincidan con las reglas estáticas. Las conexiones preexistentes sin una regla estática coincidente se bloquean.

El tiempo de espera de la conexión TCP, definida en la directiva Opciones de cortafuegos, sólo se aplica cuando no está establecida la conexión.

Se aplica un segundo o tiempo de espera de TCP forzado sólo para conexiones TCP establecidas. Este tiempo de espera se controla mediante un ajuste de registro y tiene un valor predeterminado de una hora. Cada cuatro minutos el cortafuegos consulta a la pila de TCP y descarta las conexiones que no informen mediante TCP.

DNS Se trata de una coincidencia de solicitud/respuesta para asegurar que las respuestas DNS sólo se permitan para el puerto local que originó la consulta y sólo desde una dirección IP remota a la que se haya consultado dentro del intervalo de Tiempo de espera de conexión virtual UDP. Las respuestas DNS entrantes se permiten si:

La conexión de la tabla de estado no ha finalizado.

La respuesta viene de la misma dirección IP remota y el mismo puerto a los que se envió la solicitud.

DHCP Existe una coincidencia solicitud/respuesta para asegurar que los paquetes devueltos sólo estén permitidos por solicitudes legítimas; de esta forma, las respuestas DHCP están permitidas si:

La conexión de la tabla de estado no ha finalizado.

El ID de transacción de respuesta coincide con el de la solicitud.FTP El cortafuegos realiza una inspección de paquetes con seguimiento de estado

en conexiones TCP abiertas en el puerto 21. La inspección sólo se realiza en el canal de control, la primera conexión abierta en este puerto.

La inspección FTP sólo se realiza a los paquetes que transporten información nueva. Los paquetes retransmitidos se ignoran.

Se crean reglas dinámicas dependiendo de la dirección (cliente/servidor) y del modo (activo/pasivo):

– Modo activo de FTP cliente: el cortafuegos crea una regla de entrada dinámica después de analizar el comando de puerto de entrada, siempre que el comando de puerto sea compatible con RFC 959. La regla se elimina cuando el servidor inicia la conexión de datos o cuando la regla finaliza.

– Modo activo de FTP servidor: el cortafuegos crea una regla de salida dinámica después de analizar el comando de puerto entrante.

– Modo pasivo de FTP cliente: el cortafuegos crea una regla de salida dinámica cuando lee la respuesta de comando PASV enviada a través del servidor FTP, siempre que se haya enviado anteriormente el comando PASV desde el FTP cliente y el comando PASV sea compatible con RFC 959. La regla se elimina cuando el cliente inicia la conexión de datos o cuando la regla finaliza.

– Modo pasivo de FTP servidor: el cortafuegos crea una regla de entrada dinámica.

Protocolo Descripción de la gestión

74


5

Host Intrusion Prevention también admite un tipo de grupo de reglas que afecta a cómo se gestionan las reglas. Estos grupos se denominan grupos para conexión. Las reglas de los grupos para conexión sólo se procesan cuando se cumplen ciertos criterios.

Los grupos para conexión permiten gestionar reglas que sólo se aplican al conectarse a una red con una conexión por cable, una conexión inalámbrica o una conexión no específica con parámetros determinados. Asimismo, estos grupos son para adaptadores de red, de modo que los equipos con varias interfaces de red pueden tener reglas específicas para el adaptador. Los parámetros para conexiones permitidas pueden incluir uno o todos los siguientes adaptadores de red:

Dirección IP

Sufijo DNS

Par IP/MAC de puerta de enlace

Par IP/MAC de DHCP

Servidor DNS consultado para resolver direcciones URL

Servidor WINS utilizado

Si se aplican dos grupos para conexión a una conexión, Host Intrusion Prevention utiliza la prioridad normal y procesa el primer grupo de conexiones aplicables de su lista de reglas. Si no coincide ninguna regla del primer grupo de conexiones, el procesamiento de reglas prosigue y puede coincidir con una regla del siguiente grupo.

Cuando Host Intrusion Prevention encuentra una coincidencia entre los parámetros de un grupo para conexión y una conexión activa, aplica las reglas incluidas en el grupo para conexión. Trata las reglas como un pequeño conjunto de reglas y utiliza la prioridad normal. Si algunas de las reglas no coinciden con el tráfico interceptado, el cortafuegos las omite.

Una conexión se permite cuando se aplican todas las condiciones siguientes a un adaptador de red:

Si el tipo de conexión es LAN.

o

Si el tipo de conexión es Inalámbrica (802.11).

o

Si el tipo de conexión es Cualquiera y la lista de sufijos DNS o la lista de direcciones IP es pública.

Si está seleccionado Comprobar lista de direcciones IP, la dirección IP del adaptador debe coincidir con una de las entradas de la lista.

Si está seleccionado Comprobar lista de sufijos DNS, el sufijo DNS del adaptador debe coincidir con una de las entradas de la lista. (La coincidencia de nombre DNS distingue entre mayúsculas y minúsculas.)

Si está seleccionado Comprobar lista de puertas de enlace predeterminadas, el par IP/MAC de la puerta de enlace predeterminada del adaptador debe coincidir al menos con una de las entradas de la lista.

Si está seleccionado Comprobar lista de servidores DHCP, el par IP/MAC del servidor DHCP del adaptador debe coincidir al menos con una de las entradas de la lista. Nota: La dirección MAC es opcional y sólo se utiliza cuando está especificada.

Si está seleccionado Comprobar lista de servidores DNS primarios, la dirección IP del servidor DNS del adaptador debe coincidir con alguna de las entradas de la lista.

75


5

Si está seleccionado Comprobar lista de servidores DNS secundarios, la dirección IP del servidor DNS del adaptador debe coincidir con alguna de las entradas de la lista.

Si está seleccionado Comprobar lista de servidores WINS primarios, la dirección IP del servidor WINS primario del adaptador debe coincidir al menos con una de las entradas de la lista.

Si está seleccionado Comprobar lista de servidores WINS secundarios, la dirección IP del servidor WINS secundario del adaptador debe coincidir al menos con una de las entradas de la lista.

Modos Aprendizaje y Adaptación del cortafuegosAl activar la función de cortafuegos, Host Intrusion Prevention supervisa continuamente el tráfico de red que un equipo envía y recibe. Permite o bloquea el tráfico en función de la directiva Reglas de cortafuegos. Si no se encuentra ninguna coincidencia entre el tráfico y una regla existente, se bloquea automáticamente a menos que estén activados los modos Aprendizaje o Adaptación del cortafuegos.

Puede activar el modo Aprendizaje para las comunicaciones entrantes, para las comunicaciones salientes o para ambas.

En el modo Aprendizaje, Host Intrusion Prevention muestra una alerta del modo Aprendizaje cuando intercepta tráfico de red desconocido. Este cuadro de diálogo de alerta solicita al usuario que permita o bloquee el tráfico que no coincida con una regla existente y crea automáticamente reglas dinámicas correspondientes para el tráfico no coincidente.

En el modo Adaptación, Host Intrusion Prevention crea automáticamente una regla de permiso para permitir todo el tráfico que no coincida con una regla de bloqueo existente y crea automáticamente reglas de permiso dinámicas para el tráfico no coincidente.

No obstante, por motivos de seguridad, tanto en el modo Aprendizaje como en el modo Adaptación, los pings entrantes se bloquean a menos que se cree una regla de permiso explícita para el tráfico ICMP entrante. Además, el tráfico entrante hacia un puerto que no esté abierto en el host se bloqueará a menos que se cree una regla de permiso explícita para el tráfico. Por ejemplo, si el host no ha iniciado el servicio Telnet, el tráfico TCP entrante hacia el puerto 23 (Telnet) se bloqueará incluso aunque no haya ninguna regla explícita que bloquee este tráfico. Puede crear una regla de permiso explícita para el tráfico que desee.

Host Intrusion Prevention muestra todas las reglas creadas en clientes con el modo Aprendizaje o el modo Adaptación y permite guardar estas reglas y migrarlas a reglas administrativas.

Filtrado con seguimiento de estado Si se aplica un modo Aprendizaje o Adaptación con el cortafuegos con seguimiento de estado, el proceso de filtrado cambia ligeramente para permitir la creación adaptada de una nueva regla para gestionar el paquete entrante. El proceso de filtrado actúa del siguiente modo:

1 El cortafuegos compara un paquete entrante con las entradas de la tabla de estado y no encuentra coincidencias, después examina la lista de reglas estáticas y no encuentra coincidencias.

2 No se realiza ninguna entrada en la tabla de estado, pero si se trata de un paquete TCP, se introduce en una lista de elementos pendientes. Si no, el paquete se descarta.

3 Si se permiten nuevas reglas, se crea una regla de permiso estática unidireccional. Si es un paquete TCP, se realiza una entrada en la tabla de estado.

4 Si no se permite una regla nueva, el paquete se rechaza.

76


5

Directivas y reglas de cuarentenaCuando un cliente vuelve a la red tras una ausencia prolongada, las directivas de cuarentena restringen su capacidad de comunicarse con la red hasta que ePolicy Orchestrator comprueba positivamente que el cliente dispone de todos los archivos DAT, las directivas y las actualizaciones de software más recientes.

Los archivos y directivas no actualizados pueden crear agujeros de seguridad y hacer que los sistemas sean vulnerables a ataques. Al poner en cuarentena a los usuarios hasta que ePolicy Orchestrator los actualice, se evitan riesgos de seguridad innecesarios. Por ejemplo, las directivas de cuarentena resultan útiles en equipos portátiles cuyos archivos y directivas pueden quedar obsoletos al encontrarse fuera de la red corporativa durante varios días.

Al activar la directiva Opciones de cuarentena, participan tanto ePolicy Orchestrator como Host Intrusion Prevention. ePolicy Orchestrator detecta si un usuario dispone de toda la información más actualizada necesaria. Host Intrusion Prevention impone la cuarentena hasta que el cliente dispone de todos los archivos y directivas necesarios.

Al configurar la directiva Opciones de cuarentena, se especifica una lista de direcciones y subredes IP puestas en cuarentena. Host Intrusion Prevention pone en cuarentena a usuario al que se asigne una de estas direcciones al volver a la red.

Cuando se aplica una directiva Opciones de cuarentena a un cliente, Host Intrusion Prevention utiliza el agente de ePolicy Orchestrator para determinar si el cliente dispone de los archivos y directivas más recientes. Esto implica comprobar si todas las tareas de ePolicy Orchestrator se han ejecutado correctamente.

Si el usuario está actualizado, Host Intrusion Prevention libera inmediatamente al cliente de la cuarentena.

No obstante, si una o más tareas de ePolicy Orchestrator no se han ejecutado, el usuario no está actualizado y Host Intrusion Prevention no libera automáticamente la cuarentena. El cliente podría permanecer en cuarentena durante unos minutos mientras el agente de ePolicy Orchestrator actualiza las directivas y los archivos. Host Intrusion Prevention puede hacer continuar o detener la cuarentena según lo determinado por la configuración de la directiva Opciones de cuarentena. Si configura Host Intrusion Prevention para continuar imponiendo la cuarentena, los clientes podrían permanecer en cuarentena durante un período de tiempo prolongado.

Con la directiva de cuarentena, Host Intrusion Prevention impone un conjunto estricto de reglas de cuarentena del cortafuegos que definen con quién se pueden comunicar los clientes puestos en cuarentena.

Nota

Host Intrusion Prevention impone Reglas de cuarentena para todas las aplicaciones gestionadas por ePolicy Orchestrator. Si utiliza ePolicy Orchestrator para gestionar clientes con VirusScan Enterprise, Host Intrusion Prevention pondrá en cuarentena los clientes en los que no se puedan ejecutar tareas de VirusScan Enterprise; por ejemplo, si una tarea de actualización no puede entregar los archivos DAT más recientes.

Nota

Si el usuario se conecta a la red mediante software VPN, asegúrese de que las reglas de cuarentena permiten el tráfico requerido para conectarse y autenticarse a través de VPN.

Nota

Para poder utilizar el modo Cuarentena, la función Cortafuegos debe estar activada. Aunque el modo Cuarentena esté activado, la cuarentena no entra en vigor a menos que la función de cortafuegos también esté activada.

77


5

Migración de las reglas personalizadas de cortafuegos de la versión 6.0 a reglas de la versión 6.1

Utilice la utilidad de migración de reglas de cortafuegos de Host Intrusion Prevention para migrar las directivas de reglas personalizadas de cortafuegos de la versión 6.0 a las directivas correspondientes de la versión 6.1. Las directivas migradas aparecen en Reglas de cortafuegos o Reglas de cuarentena con [Migrado] antes del nombre. Se asignan automáticamente a los mismos clientes que las directivas correspondientes de la versión 6.0.

Puede migrar reglas de cortafuegos de la versión 6.0 siguiendo uno de estos métodos:

Traducir modifica las reglas con el fin de aprovechar la funcionalidad de cortafuegos con seguimiento de estado.

Copiar copia las reglas sin modificarlas.

Con ambos métodos, las directivas de reglas de cortafuegos migradas se asignan automáticamente a los mismos clientes que las directivas de la versión 6.0 correspondientes.

Para migrar reglas:1 Haga doble clic en el vínculo de la utilidad de migración en la carpeta ePO de McAfee

instalada (C:\Archivos de programa\McAfee\ePO\3.6.x\Herramienta de migración de reglas de cortafuegos Host IPS).

2 Introduzca un nombre de usuario y la contraseña del Administrador global de ePO y haga clic en Iniciar sesión.

3 Seleccione el método de migración, Traducir o Copiar, y haga clic en Migrar.

4 Cuando finalice la migración, revise la lista de nuevas directivas en Reglas de cortafuegos y en Reglas de cuarentena y cambie el nombre o vuelva a asignar según corresponda.

Directivas preestablecidas de cortafuegosLa función de cortafuegos de Host Intrusion Prevention contiene cuatro categorías de directivas:

Opciones del cortafuegos: activa o desactiva la protección del cortafuegos. Entre las directivas preestablecidas se incluyen: Desactivado (predeterminada de McAfee), Activado, Adaptación y Aprendizaje.

Reglas de cortafuegos de la versión 6.0 (sólo clientes de la versión 6.0): define las reglas de cortafuegos. Entre las directivas preestablecidas se incluyen: Mínima (predeterminada de McAfee), Inicio de aprendizaje, Alta de cliente, Media del cliente, Alta del servidor y Media del servidor.

Reglas de cortafuegos (sólo clientes de la versión 6.1): define las reglas de cortafuegos. Entre las directivas preestablecidas se incluyen: Mínima (predeterminada de McAfee), Inicio de aprendizaje, Alta de cliente, Media del cliente, Alta del servidor y Media del servidor.

Opciones de cuarentena: activa o desactiva la cuarentena. La directiva preestablecida es Desactivada (predeterminada de McAfee).

Reglas de cuarentena de la versión 6.0 (sólo clientes de la versión 6.0): define las reglas de cortafuegos que se aplican durante la cuarentena. La directiva preestablecida es la predeterminada (predeterminada de McAfee).

Reglas de cuarentena (sólo clientes de la versión 6.1): define las reglas de cortafuegos que se aplican durante la cuarentena. La directiva preestablecida es la predeterminada (predeterminada de McAfee).

Nota

Los clientes de la versión 6.0 sólo reconocen directivas de Reglas de cortafuegos de la versión 6.0 y de Reglas de cuarentena de la versión 6.0, y los clientes de la versión 6.1 sólo reconocen directivas de Reglas de cortafuegos y de Reglas de cuarentena.

78

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de cortafuegosConfiguración de la directiva Opciones del cortafuegos

5

Acceso rápidoLa función de cortafuegos proporciona vínculos (*) para el acceso rápido a la supervisión y la gestión de Reglas de cortafuegos y Reglas de cliente del cortafuegos.

Configuración de la directiva Opciones del cortafuegosLa directiva Opciones del cortafuegos permite activar o desactivar el cortafuegos, así como aplicar el modo Adaptación o Aprendizaje para los clientes. Puede elegir entre cuatro directivas preconfiguradas o crear y aplicar una directiva nueva.

Para configurar la directiva Opciones del cortafuegos:1 En el árbol de la consola, seleccione el grupo o el equipo al que desee aplicar

la directiva.

2 En la ficha Directivas, amplíe la función de cortafuegos de Host Intrusion Prevention.

3 En la línea Opciones del cortafuegos, haga clic en Editar.

La lista de nombres de directivas se activa.

4 Lleve a cabo una de las siguientes acciones:

Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar:

Seleccione Nueva directiva.

Figura 5-3 Función de cortafuegos

*

Seleccione... Para las siguientes opciones...

Desactivado (predeterminado de McAfee)

Todas las opciones se desactivan

Activado Activar cortafuegos

Activar protección habitual


Adaptación Activar cortafuegos



Aprendizaje Activar cortafuegos

Activar el modo Aprendizaje, Entrante y saliente


79

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de cortafuegosConfiguración de la directiva Opciones del cortafuegos

5

5 Seleccione la directiva que desee duplicar, escriba un nombre para la nueva directiva y haga clic en Aceptar.

Aparece el cuadro de diálogo Opciones del cortafuegos.

6 Seleccione las opciones adecuadas. Para obtener detalles, haga clic en Ayuda.

7 Haga clic en Aplicar y cierre el cuadro de diálogo.

El nombre de la nueva directiva aparece en la lista de directivas.


Nota


Figura 5-4 Opciones del cortafuegos

Aparecerá el cuadro de diálogo Crear nueva directiva.

80

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de cortafuegosConfiguración de la directiva Reglas de cortafuegos

5

Configuración de la directiva Reglas de cortafuegosLas reglas de cortafuegos determinan qué hace un sistema al interceptar tráfico de red: permitirlo o bloquearlo. Las reglas de cortafuegos se crean y gestionan aplicando una directiva Reglas de cortafuegos con las opciones adecuadas.

La directiva Reglas de cortafuegos proporciona acceso a lo siguiente:

Creación de nuevas directivas de Reglas de cortafuegos

Visualización y edición de reglas de cortafuegos

Creación de una nueva regla del cortafuegos o grupo del cortafuegos

Eliminación de una regla o grupo del cortafuegos

Visualización de reglas de cliente del cortafuegos

Creación de nuevas directivas de Reglas de cortafuegosPara agregar una nueva directiva que no sea específica de un nodo, cree una directiva en el Catálogo de directivas. Consulte Catálogo de directivas en la página 119 para obtener más detalles. Para agregar una nueva directiva específica de un nodo, siga las instrucciones de esta sección.

Para crear una nueva directiva Reglas de cortafuegos:1 En el árbol de la consola, seleccione el grupo o el equipo al que desee aplicar

la directiva.

2 En la ficha Directivas, amplíe la función de cortafuegos.

3 En la línea Reglas de cortafuegos, haga clic en Editar.



Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar.

81


5


Para obtener esta protección...

Mínima (Predeterminada)

Bloquea el tráfico ICMP entrante que un atacante podría utilizar para recopilar información acerca del equipo. Host Intrusion Prevention permite el resto de tráfico ICMP.

Permite solicitudes para compartir archivos de Windows provenientes de equipos de la misma subred y bloquea las solicitudes para compartir archivos provenientes de cualquier otra ubicación. (La directiva Redes de confianza debe tener seleccionada la opción Incluir automáticamente la subred local.)Permite examinar dominios, grupos de trabajo y equipos de Windows.

Permite todo el tráfico alto UDP entrante y saliente.

Permite el tráfico que utiliza puertos UDP Net Time, BOOTP y DNS.

Inicio de aprendizaje Bloquea el tráfico ICMP entrante que un atacante podría utilizar para recopilar información acerca del equipo. Host Intrusion Prevention permite el resto de tráfico ICMP.

Permite solicitudes para compartir archivos de Windows provenientes de equipos de la misma subred y bloquea las solicitudes para compartir archivos provenientes de cualquier otra ubicación. (La directiva Redes de confianza debe tener seleccionada la opción Incluir automáticamente la subred local.)Permite examinar dominios, grupos de trabajo y equipos de Windows.

Permite el tráfico que utiliza puertos UDP Net Time, BOOTP y DNS.

Media del cliente Permite sólo el tráfico ICMP necesario para las redes IP (incluidos pings salientes, seguimiento de rutas y mensajes ICMP entrantes). Host Intrusion Prevention bloquea el resto de tráfico ICMP.

Permite el tráfico UDP necesario para obtener acceso a información de IP (como su propia dirección IP o la hora de la red). Este nivel de protección permite también el tráfico en puertos UDP altos (1024 o superiores).

Permite compartir archivos de Windows, pero sólo para una subred local. El usuario no puede examinar ubicaciones externas a la subred local y esta protección bloquea el acceso a los archivos del equipo por parte de usuarios ubicados fuera de la subred. (La directiva Redes de confianza debe tener seleccionada la opción Incluir automáticamente la subred local.)

Alta del cliente Utilice este nivel de protección si está sufriendo un ataque o si el riesgo de sufrir un ataque es elevado. Este nivel de protección permite sólo una entrada y salida mínima de tráfico en el sistema.

Permite sólo el tráfico ICMP necesario para que la red funcione correctamente. Esta protección bloquea los pings de entrada y salida.

Permite sólo el tráfico UDP necesario para obtener acceso a información de IP (como su propia dirección IP o la hora de la red).

Bloquea la función de compartir archivos de Windows.

82


5

Seleccione Nueva directiva para crear una directiva nueva.



Aparece el cuadro de diálogo Reglas de cortafuegos con la nueva directiva seleccionada en el panel de la lista de directivas.

Media del servidor Utilice este nivel de protección para un servidor de red.

Permite el tráfico ICMP que facilita las comunicaciones entre el servidor y sus clientes. Esta protección bloquea el resto de tráfico ICMP.

Permite el tráfico UDP necesario para obtener acceso a información de IP. Esta protección permite también el tráfico en puertos UDP altos (1024 o superiores).

Alta del servidor Utilice este nivel de protección para servidores conectados directamente a Internet, con un elevado riesgo de sufrir ataques. Utilice este nivel de protección como base para crear su propio conjunto de reglas personalizadas.

Permite el tráfico ICMP específico que facilita las comunicaciones entre el servidor y sus clientes. Host Intrusion Prevention bloquea el resto de tráfico ICMP.

Permite el tráfico UDP necesario para acceder a la información de IP. Host Intrusion Prevention bloquea el resto de tráfico UDP.


Para obtener esta protección...

Figura 5-5 Cuadro de diálogo Crear nueva directiva

Figura 5-6 Ficha Reglas de cortafuegos

83


5


Agregue reglas o grupos (consulte Creación de una nueva regla del cortafuegos o grupo del cortafuegos en la página 85).

Edite reglas (consulte Visualización y edición de reglas de cortafuegos).

Elimine reglas (consulte Eliminación de una regla o grupo del cortafuegos en la página 87).

7 Haga clic en Cerrar.



Visualización y edición de reglas de cortafuegosPuede ver los detalles de una regla o editar una regla para cambiar las opciones. Las reglas se pueden visualizar y editar en la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos.

Para ver y editar una regla del cortafuegos:1 En la ficha Reglas de cortafuegos, seleccione una directiva en la lista Directivas y,

a continuación, seleccione la regla que desee ver o editar en el panel de detalles.

2 En el menú contextual o en la barra de herramientas, haga clic en Propiedades.

Aparece el cuadro de diálogo Regla de cortafuegos.

3 Cambie cualquiera de las opciones de la regla. Para ver detalles generales, haga clic en Ayuda.


Nota

También puede crear una nueva directiva en el cuadro de diálogo Reglas de cortafuegos haciendo clic en Agregar directiva o Duplicar directiva.

84


5

Creación de una nueva regla del cortafuegos o grupo del cortafuegos

Puede crear una regla nueva partiendo de cero o duplicar una regla existente y modificarla. También puede crear un grupo para un conjunto de reglas, un grupo para conexión o agregar reglas predefinidas. Puede crear reglas y grupos nuevos en la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos.

Para crear una regla del cortafuegos:1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic

en Agregar y, a continuación, en Nueva regla.

Aparece el cuadro de diálogo Regla de cortafuegos.

2 Seleccione las opciones adecuadas.


Figura 5-7 Cuadro de diálogo Nueva regla de cortafuegos

Nota

También puede crear reglas agregando reglas predefinidas y grupos de reglas a la directiva. Haga clic en Agregar y, a continuación, en Reglas predefinidas. En el cuadro de diálogo Seleccionar reglas predefinidas, seleccione el grupo o las reglas individuales que desea agregar y haga clic en Aceptar.

85


5

Para crear un nuevo grupo de reglas:1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic

en Agregar y, a continuación, en Nuevo grupo.

Aparece el cuadro de diálogo Grupo de reglas de cortafuegos.

2 En el campo Nombre, escriba un nombre para este grupo.

3 Haga clic en Aceptar para agregar el grupo.

Ahora puede crear nuevas reglas dentro de este grupo o incluir las reglas existentes de la lista de reglas de cortafuegos.

Para crear un grupo para conexión:1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic

en Agregar y, a continuación, en Nuevo grupo para conexión.

Aparece el cuadro de diálogo Nuevo grupo para conexión.


3 En Tipo de conexión, seleccione el tipo de conexión (LAN, Inalámbrica (802.11), Cualquiera) al que desee aplicar las reglas de este grupo.

Figura 5-8 Cuadro de diálogo Nuevo grupo de reglas de cortafuegos

Figura 5-9 Cuadro de diálogo Nuevo grupo para conexión

86


5

4 Seleccione una casilla de verificación Información de conexión para definir el grupo y, a continuación, haga clic en la opción Editar lista correspondiente para agregar una o más direcciones o sufijos DNS.


Ahora puede crear nuevas reglas dentro de este grupo o incluir las reglas existentes de la lista de reglas de cortafuegos. Los tres grupos para conexión aparecen en las reglas de cortafuegos con el mismo icono que el tipo de conexión que aparece entre paréntesis.

Para obtener más información sobre Grupos para conexión, consulte Grupos de reglas de cortafuegos y grupos para conexión en la página 74.

Para agregar reglas predefinidas:1 En la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos, haga clic

en Agregar y, a continuación, en Reglas predefinidas.

Aparece el cuadro de diálogo Seleccionar reglas predefinidas.

2 Seleccione uno o más grupos o reglas dentro de un grupo.

3 Haga clic en Aceptar para agregar los grupos y las reglas seleccionados.

Eliminación de una regla o grupo del cortafuegosPuede eliminar reglas y grupos en la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos.

Nota

Si selecciona Cualquiera como tipo de conexión, se le pedirá que seleccione Comprobar lista de direcciones IP o Comprobar lista de sufijos DNS y editar la lista correspondiente.

Especifique una dirección MAC del servidor DHCP sólo para los servidores DHCP de la misma subred que el cliente. Identifique los servidores DHCP remotos sólo por su dirección IP.

Figura 5-10 Seleccione el cuadro de diálogo Reglas predefinidas

87


5

Para eliminar una regla o grupo del cortafuegos:1 Seleccione la ficha Reglas de cortafuegos de la directiva Reglas de cortafuegos

y seleccione las reglas o los grupos que desee eliminar.

2 Haga clic en Eliminar.

3 Haga clic en Sí en el cuadro de diálogo de confirmación para eliminar los elementos de la lista.

Visualización de reglas de cliente del cortafuegosEn la ficha Reglas de cliente del cortafuegos se muestran todas las reglas de cortafuegos creadas en sistemas cliente. La Vista normal muestra todas las reglas, incluidas las duplicadas; la Vista agregada muestra las reglas en grupos de características similares especificadas por el usuario.

Para ver todas las reglas de cliente del cortafuegos:1 Seleccione la ficha Reglas de cliente del cortafuegos de la directiva Reglas

de cortafuegos y haga clic en la ficha Vista normal.

2 Para modificar la vista, realice una de las acciones siguientes:

Figura 5-11 Reglas de cliente del cortafuegos: Vista normal


Ver los detalles de una regla

Seleccione la regla y haga clic en Propiedades.

Mover una regla a una directiva

Seleccione la regla y haga clic en Agregar a directiva.

Desplazarse por la lista de reglas

Haga clic en los botones de navegación de la barra de herramientas.

Filtrar la lista de reglas

Haga clic en Establecer filtro. En el cuadro de diálogo Establecer filtro de aplicación, seleccione una o más casillas de verificación e indique un valor en el campo correspondiente para establecer un filtro.

88


5

Para ver las reglas de cliente del cortafuegos agregadas:1 Seleccione la ficha Reglas de cliente del cortafuegos de la directiva Reglas de

cortafuegos y haga clic en la ficha Vista agregada.

Haga clic en Seleccionar columna para mostrar el cuadro de diálogo Regla de cortafuegos agregada si todavía no se muestra.

2 Active una o más casillas de verificación para determinar los criterios para agregar las reglas de cliente que se mostrarán y haga clic en Aceptar.

Para ver los detalles de una regla del cortafuegos agregada:En la ficha Vista agregada, seleccione una regla agregada y haga clic en Mostrar reglas individuales.

Todas las reglas individuales de la regla agregada aparecen en la ficha Vista normal.

Figura 5-12 Reglas de cliente del cortafuegos: Vista agregada

89

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de cortafuegosConfiguración de la directiva Opciones de cuarentena

5

Configuración de la directiva Opciones de cuarentenaLa directiva Opciones de cuarentena permite activar o desactivar el modo de cuarentena, crear un mensaje de notificación de cuarentena, definir las redes puestas en cuarentena y configurar las opciones en caso de error.

Para configurar la directiva Opciones de cuarentena:1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar

la directiva.

2 Amplíe la función de cortafuegos y, en la línea Opciones de cuarentena, haga clic en Editar.


3 Seleccione Nueva directiva.


4 Seleccione la directiva que desee duplicar, escriba el nombre de la nueva directiva y haga clic en Aceptar.

Aparece el cuadro de diálogo Opciones de cuarentena.





Nota


Figura 5-13 Opciones de cuarentena

90

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de cortafuegosConfiguración de la directiva Reglas de cuarentena

5

Configuración de la directiva Reglas de cuarentenaLa directiva Reglas de cuarentena es un conjunto especial de reglas de cortafuegos que se impone cuando el modo Cuarentena está activo. Las reglas de cuarentena se crean y gestionan aplicando una directiva Reglas de cuarentena con las opciones adecuadas.

La directiva Reglas de cuarentena proporciona acceso a lo siguiente:

Creación de nuevas directivas de Reglas de cuarentena

Visualización y edición de reglas de cuarentena

Creación de una nueva regla o grupo de cuarentena

Eliminación de una regla o grupo de cuarentena

Creación de nuevas directivas de Reglas de cuarentenaPara agregar una nueva directiva que no sea específica de un nodo, cree una directiva en el Catálogo de directivas. Consulte Catálogo de directivas en la página 119 para obtener más detalles. Para agregar una nueva directiva específica de un nodo, siga las instrucciones de esta sección.

Para crear una nueva directiva Reglas de cuarentena:1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar

la directiva.

2 Amplíe la función de cortafuegos y, en la línea Reglas de cuarentena, haga clic en Editar.



Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar.

Seleccione Nueva directiva para crear una directiva nueva.



Aparece el cuadro de diálogo Reglas de cuarentena con la nueva directiva seleccionada en el panel de la lista de directivas.

Nota

Si los usuarios se conectan a la red mediante software VPN, asegúrese de que las reglas de cuarentena permitan el tráfico requerido para conectarse y autenticarse a través de VPN.

Puede utilizar la función normal de cortafuegos para determinar las reglas relacionadas con VPN que necesita para el modo Cuarentena. Active el modo Aprendizaje o el modo Adaptación y, a continuación, conéctese usando el software VPN. Host Intrusion Prevention genera automáticamente las reglas VPN relevantes, que puede reproducir en las reglas de cuarentena.

91


5


Agregue reglas (consulte Creación de una nueva regla o grupo de cuarentena en la página 93).

Edite reglas (consulte Visualización y edición de reglas de cuarentena).

Elimine reglas (consulte Eliminación de una regla o grupo de cuarentena en la página 93).

6 Haga clic en Cerrar para cerrar el cuadro de diálogo.



Visualización y edición de reglas de cuarentenaPuede ver los detalles de una regla o editar las opciones de una regla. Las reglas se pueden visualizar y editar en el cuadro de diálogo Reglas de cuarentena.

Para ver y editar una regla de cuarentena:1 Seleccione una directiva en la lista Directivas y, en el panel de detalles, seleccione

la regla que desee ver o editar.

2 Haga clic en Propiedades.

Aparece el cuadro de diálogo Regla de cuarentena.

3 Cambie cualquiera de las opciones de la regla.


Figura 5-14 Cuadro de diálogo Reglas de cuarentena

Nota

También puede crear una nueva directiva en el cuadro de diálogo Reglas de cuarentena haciendo clic en Agregar directiva o Duplicar directiva.

92


5

Creación de una nueva regla o grupo de cuarentenaPuede crear una regla nueva, partiendo de cero o duplicar una regla existente y modificarla. También puede crear un grupo para un conjunto de reglas o agregar reglas predefinidas. Las reglas y grupos nuevos se crean en el cuadro de diálogo Reglas de cuarentena.

Para crear una regla de cuarentena:1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, haga clic

en Agregar y, a continuación, en Nueva regla.

Aparece el cuadro de diálogo Regla de cuarentena del cortafuegos.



Para crear un nuevo grupo de reglas:1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, haga clic

en Agregar y, a continuación, en Nuevo grupo.

Aparece el cuadro de diálogo Grupo de reglas de cuarentena del cortafuegos.


3 Haga clic en Aceptar para agregar el grupo.

Ahora puede crear nuevas reglas dentro de este grupo o incluir las reglas existentes de la lista de reglas de cuarentena del cortafuegos.

Para agregar reglas predefinidas:1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, haga clic

en Agregar y, a continuación, en Reglas predefinidas.

Aparece el cuadro de diálogo Seleccionar reglas predefinidas.

2 Seleccione uno o más grupos o reglas dentro de un grupo.

3 Haga clic en Aceptar para agregar los grupos y las reglas seleccionados.

Eliminación de una regla o grupo de cuarentenaLas reglas y grupos se eliminan en el cuadro de diálogo Reglas de cuarentena.

Para eliminar una regla o grupo de cuarentena:1 En la ficha Reglas de cuarentena de la directiva Reglas de cuarentena, seleccione

las reglas o los grupos que desee eliminar.


3 Haga clic en Sí en el cuadro de diálogo de confirmación para eliminar los elementos de la lista.

Nota

También puede crear reglas agregando reglas predefinidas y grupos de reglas a la directiva. Haga clic en Agregar y, a continuación, en Reglas predefinidas. En el cuadro de diálogo Seleccionar reglas predefinidas, seleccione el grupo o las reglas individuales que desea agregar y haga clic en Aceptar.

93

6 Directivas de bloqueo de aplicaciones

La función de bloqueo de aplicaciones de Host Intrusion Prevention gestiona un conjunto de aplicaciones que se permite que se ejecuten (conocido como creación de aplicaciones) o que se enlacen (conocido como enlace de aplicaciones) con otras aplicaciones.

En esta sección se describe la función de bloqueo de aplicaciones y se incluyen los temas siguientes:

Resumen

Configuración de la directiva de opciones de bloqueo de aplicaciones

Configuración de la directiva Reglas de bloqueo de aplicaciones

Resumen La función de bloqueo de aplicaciones activa y desactiva el bloqueo de aplicaciones, y configura las reglas de bloqueo de aplicaciones. El bloqueo de aplicaciones permite establecer el bloqueo de creación de aplicaciones, el bloqueo de enlace de aplicaciones o ambos. También permite indicar si se desean mantener las reglas de bloqueo de aplicaciones creadas en clientes manualmente o a través de los modos Adaptación o Aprendizaje.

Creación de aplicaciones Bloquee la creación de aplicaciones cuando desee evitar que se ejecuten programas específicos o desconocidos. Por ejemplo, algunos ataques de troyanos pueden ejecutar aplicaciones dañinas en equipos sin conocimiento del usuario. Si bloquea la creación de aplicaciones, puede evitar que estos ataques tengan éxito, al permitir que sólo se ejecuten aplicaciones específicas o inofensivas. Asimismo, puede activar el modo automático Adaptación o el modo interactivo Aprendizaje para crear de forma dinámica un conjunto de aplicaciones permitidas.

94

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de bloqueo de aplicacionesResumen

6

Enlace de aplicaciones Bloquee el enlace de aplicaciones para impedir que aplicaciones desconocidas se enlacen con otros programas. Este tipo de enlace, que tiene lugar en el nivel del núcleo del API es necesario para algunas aplicaciones inofensivas, pero también puede ser indicación de un ataque. Por ejemplo, una aplicación dañina podría intentar enviar copias de sí misma por correo electrónico por el procedimiento de enlazarse a la aplicación de correo electrónico. Para impedir estos ataques, puede bloquear el enlace de aplicaciones o configurarlo para que sólo aplicaciones específicas se enlacen con otros programas. También puede activar el modo automático Adaptación o el modo interactivo Aprendizaje para gestionar las aplicaciones desconocidas que intentan enlazarse con otras aplicaciones.

Directivas preestablecidas de bloqueo de aplicacionesLa función de bloqueo de aplicaciones contiene dos categorías de directivas:

Opciones de bloqueo de aplicaciones: activa o desactiva el bloqueo de creación y enlace de aplicaciones. Entre las directivas preestablecidas se incluyen: Desactivado (predeterminada de McAfee), Activado, Adaptación y Aprendizaje.

Reglas de bloqueo de aplicaciones: define las opciones del bloqueo de aplicaciones. La directiva preestablecida es la predeterminada (predeterminada de McAfee).

Acceso rápidoLa función de bloqueo de aplicaciones proporciona vínculos (*) para el acceso rápido a la supervisión y la gestión de Reglas de bloqueo de aplicaciones y Reglas de cliente de bloqueo de aplicaciones.

Figura 6-1 Función de bloqueo de aplicaciones

*

95

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de bloqueo de aplicacionesConfiguración de la directiva de opciones de bloqueo de aplicaciones

6

Configuración de la directiva de opciones de bloqueo de aplicaciones

La directiva de opciones de bloqueo de aplicaciones tiene cuatro directivas preconfiguradas desde las que elegir. Como alternativa, puede crear una directiva nueva y aplicarla.

Para aplicar una directiva de opciones de bloqueo de aplicaciones, haga lo siguiente:1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar

la directiva.

2 Amplíe la función de bloqueo de aplicaciones y, en la línea Opciones de bloqueo de aplicaciones, haga clic en Editar.



Seleccione una de las directivas preconfiguradas de la lista y haga clic en Aplicar:

Seleccione Nueva directiva.


Aparecerá el cuadro de diálogo Opciones de bloqueo de aplicaciones.



Desactivado (predeterminado de McAfee)

Todas las opciones se desactivan.

Activado Bloqueo de creación de aplicaciones, protección habitual

Bloqueo de enlace de aplicaciones, protección habitual

Adaptación Bloqueo de creación de aplicaciones, modo Adaptación

Bloqueo de enlace de aplicaciones, modo Adaptación

Aprendizaje Bloqueo de creación de aplicaciones, modo Aprendizaje

Bloqueo de enlace de aplicaciones, modo Aprendizaje

Nota

Para crear una directiva duplicada al visualizar los detalles de una directiva preestablecida, haga clic en Duplicar en la parte inferior del cuadro de diálogo de la directiva. Escriba el nombre de la nueva directiva e indique si la directiva se va a asignar inmediatamente al nodo actual.


96

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de bloqueo de aplicacionesConfiguración de la directiva de opciones de bloqueo de aplicaciones

6





Figura 6-2 Opciones de bloqueo de aplicaciones

97

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas de bloqueo de aplicacionesConfiguración de la directiva Reglas de bloqueo de aplicaciones

6

Configuración de la directiva Reglas de bloqueo de aplicaciones

Las reglas determinan cómo la función de bloqueo de aplicaciones trata a las distintas aplicaciones. Las reglas se crean y gestionan aplicando una directiva Reglas de bloqueo de aplicaciones con la configuración correspondiente.

La directiva Reglas de bloqueo de aplicaciones proporciona acceso para:

Creación de nuevas directivas de reglas de aplicaciones

Visualización y edición de reglas de bloqueo de aplicaciones

Creación de nuevas reglas de bloqueo de aplicaciones

Eliminación de una regla de bloqueo de aplicaciones

Visualización de las reglas de aplicación del cliente

Creación de nuevas directivas de reglas de aplicacionesPara agregar una nueva directiva que no sea específica de un nodo, cree una directiva en el Catálogo de directivas. Consulte Ficha Directivas en la página 117 para obtener más detalles. Para agregar una nueva directiva específica de un nodo, siga las instrucciones de esta sección.

Para crear una directiva de Reglas de bloqueo de aplicaciones:1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar la

directiva.

2 Amplíe la función de bloqueo de aplicaciones y, en la línea Reglas de bloqueo de aplicaciones, haga clic en Editar.





El cuadro de diálogo Reglas de bloqueo de aplicaciones aparecerá con la nueva directiva seleccionada en el panel de la lista de directivas.

Figura 6-3 Cuadro de diálogo Crear nueva directiva

98


6


Agregue reglas (consulte Creación de nuevas reglas de bloqueo de aplicaciones en la página 100).

Edite reglas (consulte Visualización y edición de reglas de bloqueo de aplicaciones).

Elimine reglas (consulte Eliminación de una regla de bloqueo de aplicaciones en la página 101).

6 Haga clic en Cerrar para cerrar el cuadro de diálogo.



Visualización y edición de reglas de bloqueo de aplicacionesPuede ver los detalles de una regla o editar una regla para desactivarla, personalizarla y cambiar las opciones de la aplicación. Las reglas se ven y editan en la ficha Reglas de bloqueo de aplicaciones de la directiva Reglas de bloqueo de aplicaciones.

Para visualizar y editar una regla de bloqueo de aplicaciones:1 En la ficha Reglas de bloqueo de aplicaciones, seleccione una directiva en la lista

Directivas y, a continuación, seleccione la regla que desee ver o editar en el panel de detalles.

2 Haga clic en Propiedades.

Aparecerá el cuadro de diálogo Regla de aplicación.

3 Cambie cualquiera de las opciones de la regla. Consulte en Creación de nuevas reglas de bloqueo de aplicaciones en la página 100 los detalles de cada opción.


Figura 6-4 Cuadro de diálogo Reglas de bloqueo de aplicaciones

Nota

Asimismo, puede crear una nueva directiva desde dentro del cuadro de diálogo Reglas del bloqueo de aplicaciones utilizando los botones Agregar directiva o Duplicar directiva.

99


6

Creación de nuevas reglas de bloqueo de aplicacionesPuede crear una regla nueva, partiendo de cero o duplicar una regla existente y modificarla. Las reglas nuevas se crean en la ficha Reglas de aplicaciones en el cuadro de diálogo Reglas de bloqueo de aplicaciones.

Para crear una nueva regla de bloqueo de aplicaciones:1 En la ficha Reglas de bloqueo de aplicaciones de la directiva Reglas de bloqueo

de aplicaciones, haga clic en Agregar.

Aparecerá el cuadro de diálogo Regla de aplicación.

2 En la lista Aplicaciones, seleccione la aplicación a la que aplicar esta regla. Si la aplicación no aparece en esta lista, haga clic en Examinar y navegue hasta el archivo ejecutable de la aplicación.

3 Haga clic en Personalizar para configurar las opciones de coincidencia de la aplicación de la regla y seleccione una de las opciones siguientes:

Huella digital de la aplicación: calcula el hash de la aplicación en el servidor que coincidirá sólo si la aplicación del cliente tiene la misma versión que la aplicación a la que se hace referencia en el servidor:

La ruta de acceso en la primera coincidencia y después la huella digital: cuando la aplicación se inicia por primera vez, se averiguará si coincide con la ruta especificada por el usuario. Si coincide, se calculará la huella digital en el cliente. Desde ese punto en adelante, la regla sólo buscará coincidencias en función de la huella digital de la aplicación.

La ruta de acceso siempre y no utilizar la huella digital: cuando la aplicación se inicie, sólo se averiguará si coincide con la ruta especificada por el usuario.

4 Seleccione las Opciones de la aplicación:

5 Haga clic en Aceptar para agregar la nueva regla a la lista Reglas de aplicaciones.

Nota

También puede crear una nueva regla, seleccionando una regla existente, haciendo clic en Duplicar, editando la regla y guardándola.

Figura 6-5 Cuadro de diálogo Regla de aplicaciones

Nota

Hacer clic en Examinar permite navegar hasta las aplicaciones en el servidor ePO. En la mayor parte de los casos, será necesario hacer clic en Personalizar y seleccionar las opciones adecuadas para garantizar el uso de la aplicación correcta en el sistema cliente.

Seleccione esta opción... Para...

La regla de la aplicación está activa Activa esta regla.

Se permite crear la aplicación Permitir que la aplicación se ejecute.

La aplicación puede enlazar con otras aplicaciones

Permitir que la aplicación se enlace con otras aplicaciones.

100


6

Eliminación de una regla de bloqueo de aplicacionesElimine las reglas en la ficha Reglas de bloqueo de aplicaciones de la directiva Reglas de bloqueo de aplicaciones.

Para eliminar una regla de bloqueo de aplicaciones:1 En la ficha Reglas de bloqueo de aplicaciones de la directiva Reglas de bloqueo

de aplicaciones, seleccione una o más reglas para eliminarlas.


3 Haga clic en Sí en el cuadro de diálogo de confirmación para eliminar las reglas de la lista.

Visualización de las reglas de aplicación del clienteLa ficha Reglas cliente de bloqueo de aplicaciones muestra todas las reglas creadas en los sistemas clientes que permiten o bloquean aplicaciones. La Vista normal muestra todas las reglas, incluidas las duplicadas. La Vista agregada muestra las reglas en grupos de características similares.

Para ver todas las reglas de aplicación del cliente:1 Haga clic en la ficha Reglas de cliente de bloqueo de aplicaciones de la directiva Reglas

de bloqueo de aplicaciones y haga clic en la ficha Vista normal.

Sugerencia

Cuando se elimina una regla, se elimina permanentemente. Se recomienda editar la regla y cancelar la selección de Activa para desactivar la regla.

Figura 6-6 Ficha Vista normal

101


6

2 Para modificar la vista, realice una de las acciones siguientes:

Para ver las reglas agregadas de aplicación del cliente:1 Haga clic en la ficha Reglas de cliente de bloqueo de aplicaciones de la directiva Reglas

de bloqueo de aplicaciones y haga clic en la ficha Vista agregada.

2 Haga clic en Seleccionar columna para mostrar el cuadro de diálogo Regla de aplicación agregada, si todavía no se ha mostrado.

3 Seleccione una o más opciones para determinar los criterios para agregar las reglas de cliente y haga clic en Aceptar.

Para ver los detalles de una regla agregada de aplicación del cliente:En la ficha Vista agregada, seleccione una regla agregada y haga clic en Mostrar reglas individuales, en el menú contextual o en la barra de herramientas.

Todas las reglas individuales de la regla agregada aparecen en la ficha Vista normal.

:


Ver los detalles de una regla

Seleccione la regla y haga clic en Propiedades.

Mover una regla a una directiva

Seleccione la regla y haga clic en Agregar a directiva.

Desplazarse por la lista de reglas

Haga clic en los botones de navegación de la barra de herramientas.

Filtrar la lista de reglas

Haga clic en Establecer filtro. En el cuadro de diálogo Establecer filtro de aplicación, seleccione una o más casillas de verificación e indique un valor en el campo correspondiente para establecer un filtro.

Figura 6-7 Ficha Vista agregada

102

7 Directivas generales

La función General de Host Intrusion Prevention proporciona acceso a directivas que son de naturaleza general y no específicas de una función.

En esta sección se describe la función General y se incluyen los temas siguientes:

Resumen

Configuración de Imponer directivas

Configuración de la directiva IU de cliente

Configuración de la directiva Redes de confianza

Configuración de la directiva Aplicaciones de confianza

Resumen Las directivas generales se aplican a la configuración de IPS y del cortafuegos, y tienen prioridad sobre la configuración de las directivas individuales de IPS y del cortafuegos.

La directiva Imponer directivas es el conmutador básico de activación/desactivación para hacer cumplir las directivas administrativas de Host Intrusion Prevention en el cliente.

La directiva IU de cliente determina qué opciones están disponibles para un equipo cliente con un cliente de Host Intrusion Prevention, inclusive si el icono del cliente aparece o no en la bandeja del sistema, los tipos de alertas de intrusos y las contraseñas para permitir el acceso a la interfaz del cliente.

La directiva Redes de confianza indica las subredes y direcciones IP con las que existen comunicaciones seguras. Las redes de confianza pueden incluir subredes, direcciones IP individuales o intervalos de direcciones IP. Marcar las redes como “de confianza” elimina o reduce la necesidad de excepciones IP y de reglas de cortafuegos adicionales.

La directiva Reglas de aplicaciones de confianza enumera las aplicaciones que son seguras, que no tienen vulnerabilidades conocidas y a las que se permite realizar cualquier operación. Marcar las aplicaciones como “de confianza” elimina o reduce la necesidad de excepciones IP y de reglas adicionales de cortafuegos y de bloqueo de aplicaciones. Al igual que la directiva Reglas IPS (consulte Configuración de la directiva Reglas IPS en la página 41), esta categoría de directivas puede contener varias instancias de directiva.

103

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas generalesResumen

7

La configuración de las directivas Redes de confianza y Aplicaciones de confianza puede reducir o eliminar falsos positivos y, por tanto, ayudar a ajustar un despliegue.

Directivas generales preestablecidasLa función General contiene cuatro categorías de directivas:

Imponer directivas: activa y desactiva la imposición de directivas administrativas. Entre las directivas preestablecidas se incluyen: Sí (predeterminada de McAfee) y No.

IU de cliente: define el acceso a la interfaz de usuario del cliente de Host Intrusion Prevention. La directiva preestablecida es la predeterminada (predeterminada de McAfee).

Redes de confianza: establece redes de confianza. La directiva preestablecida es la predeterminada (predeterminada de McAfee).

Aplicaciones de confianza: define aplicaciones de confianza. La directiva preestablecida es la predeterminada (predeterminada de McAfee).

Figura 7-1 función General

104

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas generalesConfiguración de Imponer directivas

7

Configuración de Imponer directivas Esta directiva es el conmutador básico de activación/desactivación para hacer cumplir las directivas. Esta directiva no se puede eliminar ni editar y no se pueden crear nuevas directivas.

Para modificar el ajuste de la directiva:1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar

la directiva.

2 Amplíe la función General y, en la línea Imponer directivas, haga clic en Editar.


3 Seleccione Sí o No.

La opción predeterminada Sí permite imponer directivas administrativas a los clientes; No impide que se impongan directivas administrativas.


Configuración de la directiva IU de clienteLa directiva IU de cliente determina qué opciones están disponibles para un equipo cliente Windows protegido con Host Intrusion Prevention. Estas incluyen la configuración de visualización de iconos, las reacciones en caso de intrusos y el acceso del administrador y del usuario de cliente. Las opciones de esta directiva permiten satisfacer las necesidades de tres funciones típicas de usuario:

Usuario normal Se trata del usuario medio que tiene el cliente Host Intrusion Prevention instalado en un equipo de sobremesa o en un portátil. La directiva IU de cliente permite a este usuario hacer lo siguiente:

Visualizar el icono del cliente Host Intrusion Prevention en la bandeja del sistema y ejecutar la interfaz de usuario del cliente.

Obtener alertas emergentes de intrusos o desactivarlas después de que empiecen a aparecer.

Crear reglas adicionales de IPS, cortafuegos y bloqueo de aplicaciones.

Nota

Al seleccionar No, no se desactiva el cliente y su protección de su host; simplemente, se evita que las actualizaciones de las directivas se impongan al cliente.

Figura 7-2 Imponer directivas

105

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas generalesConfiguración de la directiva IU de cliente

7

Usuario desconectadoSe trata de un usuario, probablemente con un portátil, que pasa períodos de tiempo desconectado del servidor Host Intrusion Prevention. El usuario podría tener problemas técnicos con Host Intrusion Prevention o podría necesitar realizar operaciones sin interacción con él. La directiva IU de cliente permite a este usuario obtener una contraseña específica para su equipo, basada en tiempos, para realizar tareas administrativas o activar o desactivar las funciones de protección.

Usuario administradorSe trata del administrador TI de todos los equipos, que tiene que realizar operaciones especiales en equipos cliente ignorando las posibles directivas impuestas por los administradores. La directiva IU de cliente permite a este tipo de usuario obtener una contraseña de administrador sin fecha de caducidad para realizar tareas administrativas.

Entre las tareas administrativas para los usuarios desconectados y administradores se incluyen las siguientes:

Activar o desactivar directivas de IPS, de cortafuegos y de opciones de bloqueo de aplicaciones.

Crear reglas adicionales de IPS, de cortafuegos y de bloqueo de aplicaciones, si determinadas actividades inofensivas están bloqueadas.

Creación y aplicación de una directiva IU de clienteSi la directiva predeterminada IU de cliente no tiene la configuración deseada, cree una nueva directiva y seleccione las opciones correspondientes. A continuación puede aplicar la directiva a un equipo o a un grupo de equipos.

Para configurar una directiva IU de cliente:1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar

la nueva directiva.

2 Amplíe la función General y, en la línea IU de cliente, haga clic en Editar.





Aparecerá el cuadro de diálogo IU de cliente.

Nota

Las modificaciones en las directivas administrativas realizadas desde al consola de ePolicy Orchestrator se impondrán sólo después de que haya caducado la contraseña. Las reglas de cliente creadas durante este período de tiempo se conservan, si las permiten las reglas administrativas.

Nota


106


7

5 Cambie cualquiera de estas opciones según sea necesario. Para ver detalles generales, haga clic en Ayuda. Si desea conocer detalles acerca de las contraseñas, consulte Definición de contraseñas; para obtener más información sobre el icono de la bandeja, consulte Control del icono de la bandeja en la página 109.


Para ver más detalles acerca de cómo trabajar con la interfaz de cliente, consulte Cliente de Host Intrusion Prevention en la página 132.

Definición de contraseñasLa directiva IU de cliente es donde se crea la contraseña necesaria para desbloquear el IU del cliente, si aparece en un equipo cliente. Cuando esta directiva se aplica al cliente, la contraseña se activa.

Existen dos tipos de contraseñas:

Una contraseña de administrador, que un administrador puede configurar y que es válida mientras que la directiva se aplique al cliente. La IU de cliente permanece desbloqueada hasta que se cierra. Para reabrir la IU de cliente, vuelva a introducir la contraseña del administrador. Para crear y aplicar una contraseña de administrador, seleccione cualquier sitio, grupo o equipo en el árbol de directorio.

Una contraseña basada en tiempos, la cual es generada automáticamente, se aplica sólo a un determinado equipo y tiene fecha y hora de caducidad. La IU de cliente sigue desbloqueada, incluso si se cierra, siempre que una contraseña basada en tiempos sea válida. Para crear y aplicar una contraseña basada en tiempos, seleccione un único equipo en el árbol de directorio.

Figura 7-3 IU de cliente: ficha Opciones de visualización

107


7

Para obtener detalles acerca de cómo utilizar una contraseña para desbloquear la IU de cliente, consulte Desbloqueo de la interfaz del cliente en la página 134.

Para crear una contraseña del administrador:1 Haga clic en la ficha Opciones avanzadas de la directiva IU de cliente.

2 Escriba una contraseña en el cuadro de texto Contraseña. Debe constar al menos de diez caracteres.

3 Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña.


Nota

Las directivas se aplican en el cliente sólo cuando el cliente se cierra, independientemente de si el cliente está bloqueado o desbloqueado.

Figura 7-4 IU de cliente: ficha Opciones avanzadas

Nota

Cuando utilice la contraseña del administrador en el cliente, active siempre la casilla Contraseña de administración.

108


7

Para crear una contraseña basada en tiempos:1 Haga clic en la ficha Opciones avanzadas del cuadro de diálogo de la directiva IU

de cliente y, a continuación, haga clic en Calcular una contraseña basada en tiempos.

Aparecerá el cuadro de diálogo Contraseña basada en tiempos.

2 Introduzca la fecha y la hora en que expira la contraseña y haga clic en Calcular contraseña.

Aparecerá una contraseña codificada en el cuadro de texto Contraseña.

Control del icono de la bandejaSi hay usuarios que en ocasiones necesiten desactivar temporalmente una función de Host Intrusion Prevention para acceder a un sitio de red o a una aplicación legítima pero bloqueada, por ejemplo, pueden utilizar el icono de la bandeja de Host Intrusion Prevention para desactivar una función sin abrir la IU de cliente, lo que requiere una contraseña.

Para obtener más detalles sobre el uso del menú del icono de la bandeja, consulte Icono de la bandeja del sistema en la página 133.

Para proporcionar el control de icono de la bandeja de la IU de Windows:1 Seleccione Mostrar icono de la bandeja en la ficha Opciones de visualización.

2 Seleccione Permitir la desactivación de las funciones desde el icono de la bandeja en la ficha Opciones avanzadas y, a continuación, seleccione que se desactive una o todas las funciones.

Después de aplicar la directiva al cliente, aparece el icono de Host Intrusion Prevention en la bandeja del sistema y su menú se expande para incluir la desactivación de la función y la restauración de las opciones. La función desactivada permanece así hasta que la restaura el comando del menú o hasta que una nueva directiva (con la característica activada) se introduzca al cliente.

Figura 7-5 Cuadro de diálogo Contraseña basada en tiempos

Nota

Tenga en cuenta lo siguiente:

La desactivación de IPS desactiva la protección IPS de host y de red.

La desactivación de Bloqueo de aplicaciones desactiva la protección de Bloqueo de creación de aplicaciones y del Bloqueo de enlace de aplicaciones.

Si la IU de cliente está abierta, los comandos del menú no surten efecto.

109

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas generalesConfiguración de la directiva Redes de confianza

7

Configuración de la directiva Redes de confianzaLa directiva Redes de confianza permite mantener una lista de direcciones de red y subredes que se pueden marcar como de confianza. La directiva permite realizar las acciones siguientes:

Configurar opciones de redes de confianza.

Agregar o eliminar direcciones o subredes en la lista de confianza.

Para configurar las opciones de las redes de confianza:1 En el árbol de la consola, seleccione el grupo o el equipo donde desee aplicar

la directiva.

2 Amplíe la función General y, en la línea Redes de confianza, haga clic en Editar.





Aparecerá el cuadro de diálogo Redes de confianza.

Nota

Si una red de confianza considera como de confianza a una dirección IP para IPS de red determinada y otra red de confianza no considera como de confianza a la misma dirección IP para IPS de red, como reglas del cortafuegos, tiene prioridad la entrada que aparece primero en la lista.

Nota


Figura 7-6 Redes de confianza

110

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas generalesConfiguración de la directiva Redes de confianza

7





Seleccione... Para hacer esto...

Agregar Agregar a la lista una dirección de red de confianza. Seleccione el tipo de dirección (individual, intervalo, subred) introduzca la dirección correspondiente y seleccione si se ha de marcar como de confianza para IPS de red.

Editar Modificar los datos en una dirección de red de confianza.

Eliminar Eliminar una dirección de red de confianza.

Incluir automáticamente la subred local

Tratar automáticamente a todos los usuarios de la misma subred como usuarios de confianza, incluso a los que no estén en la lista.

No incluir automáticamente la subred local

Tratar como usuarios de confianza sólo a los que estén en la lista, aunque estén todos en la misma subred de confianza.

111

McAfee® Host Intrusion Prevention 6.1 Guía del producto Directivas generalesConfiguración de la directiva Aplicaciones de confianza

7

Configuración de la directiva Aplicaciones de confianzaLa directiva Aplicaciones de confianza permite crear una lista de aplicaciones de confianza. Imponga una o más directivas basadas en perfiles con esta configuración de aplicaciones para reducir o eliminar la mayoría de falsos positivos.

Creación y aplicación de directivas Aplicaciones de confianzaCree y aplique una directiva Aplicaciones de confianza que defina las aplicaciones de confianza. Puede crear una directiva completamente nueva o una basada en una directiva existente.

Para crear una nueva directiva:1 Amplíe la función General y, en la línea Reglas de aplicación, haga clic en Editar.





Aparecerá la ficha Aplicación de confianza.

4 Cambie cualquiera de estas opciones según sea necesario. Para ver detalles generales, haga clic en Ayuda.

5 Haga clic en Cerrar para guardar los cambios.

Figura 7-7 Ficha Aplicaciones de confianza

112


7

Creación de aplicaciones de confianzaAl ajustar un despliegue, la creación de reglas de excepción IPS es una manera de reducir los falsos positivos. No siempre resulta práctico al tratar con varios miles de clientes o cuando se dispone de tiempo y recursos limitados. Una mejor solución consiste en crear una lista de aplicaciones de confianza, aplicaciones conocidas por ser seguras en un determinado entorno. Por ejemplo, cuando se ejecuta una aplicación de copia de seguridad, se pueden desencadenar muchos eventos de falsos positivos. Para evitar esto, marque la aplicación de copia de seguridad como aplicación de confianza.

Para crear una aplicación de confianza:1 Lleve a cabo una de las siguientes acciones en la ficha Aplicación de confianza:

En el menú contextual o en la barra de herramientas, haga clic en Crear. Aparecerá el cuadro de diálogo Nueva aplicación de confianza.

Seleccione una aplicación de la lista y, en la barra de herramientas o en el menú contextual, haga clic en Duplicar. Aparecerá un cuadro de diálogo precumplimentado, Duplicar aplicación de confianza.

2 En la ficha General, introduzca el nombre, el estado y si la aplicación es de confianza para IPS, cortafuegos y enlace de aplicaciones. Para ver detalles generales, haga clic en Ayuda.

.

3 En la ficha Procesos, seleccione el proceso al que desee aplicar la aplicación de confianza. Para ver detalles generales, haga clic en Ayuda.

Nota

Una aplicación de confianza es susceptible de determinadas vulnerabilidades comunes, como desbordamiento del búfer y uso ilegal. Por tanto, una aplicación de confianza sigue siendo controlada y puede desencadenar eventos para evitar ataques de explotación.

Nota

También puede crear aplicaciones de confianzas basadas en un evento. Para obtener más detalles, consulte Creación de excepciones y aplicaciones de confianza basadas en eventos en la página 61.

Figura 7-8 Cuadro de diálogo Nueva aplicación de confianza: ficha General

113


7

.


Edición de aplicaciones de confianzaPuede visualizar y editar las propiedades de una aplicación de confianza existente.

Para editar las propiedades de una aplicación de confianza:1 En la ficha Aplicación de confianza, haga doble clic en una aplicación de confianza.

Aparecerá el cuadro de diálogo Propiedades de la aplicación de confianza.

2 Modifique cualquiera de los datos de las fichas General y Proceso y, a continuación, haga clic en Aceptar.

Activación y desactivación de aplicaciones de confianzaEn vez de eliminar las aplicaciones de confianza que no estén en uso, puede desactivarlas temporalmente y activarlas más tarde.

Para desactivar/activar una aplicación de confianza:1 En la ficha Aplicación de confianza, seleccione la aplicación de confianza que desee

desactivar o activar.

2 Haga clic en Desactivar o Activar en la barra de herramientas o en el menú de acceso directo.

El estado de la aplicación de la ficha Aplicaciones de confianza cambia en consecuencia.

Eliminación de aplicaciones de confianzaPara eliminar de forma permanente una aplicación de confianza, selecciónela en la ficha Aplicaciones de confianza y, a continuación, haga clic en Eliminar en la barra de herramientas o en el menú de acceso directo.

Figura 7-9 Cuadro de diálogo Nueva aplicación de confianza: ficha Procesos

114

8 Mantenimiento

En esta sección se describen las actividades utilizadas para mantener y afinar un despliegue de Host Intrusion Prevention y se incluyen los siguientes temas:

Afinar un despliegue.

Mantenimiento y tareas de directivas.

Ejecución de tareas del servidor.

Configuración de notificaciones para eventos.

Ejecución de informes.

Actualización.

Afinar un despliegueUna vez desplegados los clientes con la configuración predeterminada, puede afinar y reforzar la seguridad para obtener una protección óptima. Afinar un despliegue implica lo siguiente:

Análisis de eventos IPS.

Creación de reglas de excepción y reglas de aplicaciones de confianza.

Trabajo con reglas de excepción de cliente.

Creación y aplicación de nuevas directivas.

Análisis de eventos IPSUn evento IPS se activa cuando se detecta una infracción de seguridad definida por una firma. Aparece en la ficha Eventos IPS con un nivel de gravedad Alto, Medio, Bajo o Información, que corresponde a una reacción.

Nota

Cuando una única operación desencadena dos eventos, se considera el evento con la reacción más fuerte.

115

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoAfinar un despliegue

8

En la lista de eventos generados, determine los que indican que no existe riesgo y los que indican comportamientos sospechosos. Para permitir eventos, configure el sistema con las siguientes opciones:

Excepciones: reglas de permiso o de bloqueo que anulan una regla de firma.

Aplicaciones de confianza: permite las aplicaciones internas cuyas operaciones pueden ser bloqueadas por una firma.

El proceso de afinación ayuda a mantener al mínimo los falsos positivos, lo que proporciona más tiempo para el análisis de los eventos graves. Si desea obtener más detalles, consulte Eventos IPS en la página 56.

Creación de reglas de excepción y reglas de aplicaciones de confianza

Tras analizar la lista de eventos IPS, puede crear reglas de excepción o reglas de aplicaciones de confianza para cada evento de falso positivo por perfil de usuario. Esto mantiene la lista de eventos al mínimo, permite una mejor comprensión de los tipos de ataques dañinos y garantiza que los sistemas estén protegidos contra estos ataques.

Desde la ficha Eventos IPS puede crear una excepción o una aplicación de confianza basada en un evento concreto. Para obtener más detalles, consulte Creación de excepciones y aplicaciones de confianza basadas en eventos en la página 61.

Trabajo con reglas de excepción de clienteUn enfoque sencillo para crear excepciones consiste en colocar clientes en modo Adaptación y permitir a los clientes crear automáticamente reglas de excepción de cliente para permitir comportamientos inofensivos. Todas las reglas de cliente aparecen en la ficha Reglas de cliente de la directiva Reglas IPS. Las directivas Reglas del cortafuegos y Reglas de bloqueo de aplicaciones también muestran las reglas de cliente creadas a través de los modos Adaptación o Aprendizaje.

Para obtener las reglas generadas con más frecuencia, utilice la vista agregada de las reglas de cliente, que agrupan las reglas similares. Las reglas se pueden mover a continuación a directivas administrativas.

Para obtener detalles acerca de cómo trabajar con reglas de cliente, consulte:

Reglas de cliente IPS en la página 63.

Configuración de la directiva Reglas de cortafuegos en la página 81.

Configuración de la directiva Reglas de bloqueo de aplicaciones en la página 98.

Creación y aplicación de nuevas directivasDespués de crear nuevas reglas de excepción y aplicaciones de confianza, agréguelas a las directivas existentes donde sea oportuno. También puede crear nuevas directivas IPS y Aplicación de confianza basadas en una que requiera la creación de excepciones y aplicaciones de confianza.

Para obtener detalles acerca de cómo crear y aplicar nuevas directivas, consulte:

Configuración de la directiva Reglas IPS en la página 41.

Configuración de la directiva Reglas de cortafuegos en la página 81.

Configuración de la directiva Reglas de bloqueo de aplicaciones en la página 98.

116

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoMantenimiento y tareas de directivas

8

Mantenimiento y tareas de directivasePolicy Orchestrator proporciona dos ubicaciones en el árbol de consola para ver y gestionar las directivas y tareas de Host Intrusion Prevention:

Ficha Directivas de un nodo seleccionado en el árbol de la consola.

Página Catálogo de directivas.

Ficha DirectivasUtilice la ficha Directivas para visualizar, modificar o crear la información de directiva relativa a un nodo seleccionado. Para obtener más detalles, consulte:

Directivas de IPS en la página 33.

Directivas de cortafuegos en la página 68.

Directivas de bloqueo de aplicaciones en la página 94.

Directivas generales en la página 103.

Herencia y asignación de directivasLa ficha Directivas permite bloquear o desbloquear la herencia de directivas, ver y restablecer las herencias rotas y copiar asignaciones de directivas de un nodo a otro.

Para bloquear la asignación de una directiva personalizada:1 En el árbol de la consola, seleccione un grupo o equipo y haga clic en la ficha

Directivas.

2 Amplíe una función de Host Intrusion Prevention para mostrar las directivas asignadas al nodo.

3 Haga clic en Editar en una directiva personalizada.

4 Seleccione Bloquear y, a continuación, haga clic en Aplicar.

Para visualizar y restablecer la herencia rota bajo un determinado nodo:1 En el árbol de la consola, seleccione un grupo o equipo y haga clic en la ficha

Directivas.

2 Amplíe una función de Host Intrusion Prevention para mostrar las directivas asignadas al nodo.

Nota

Sólo los administradores pueden bloquear una directiva con nombre.

Figura 8-1 Herencia de directivas

117


8

Bajo Heredado por está el número de nodos en los que la herencia de esta directiva está rota.

3 Haga clic en el texto azul que indica el número de nodos secundarios que no heredan.

La página Ver herencia rota aparece con una lista de nombres de nodos.

4 Para restablecer la herencia de cualquiera de estos nodos, seleccione la casilla que hay junto al nombre del nodo y, a continuación, haga clic en Restablecer herencia.

Para copiar y pegar las asignaciones de directivas de un nodo:1 En el árbol de la consola, seleccione un grupo o equipo del que desee copiar

asignaciones de directivas y haga clic en la ficha Directivas.

2 Haga clic en Copiar asignaciones de directivas.

3 Seleccione las funciones cuyas asignaciones de directivas desee copiar y haga clic en Aceptar.

4 En el árbol de la consola, seleccione un grupo o equipo y haga clic en Pegar asignaciones de directivas.

5 Haga clic en Aceptar para confirmar la sustitución de las asignaciones.

Nota

Este número es el número de nodos en los que la directiva está rota, no el número de sistemas que no heredan la directiva. Por ejemplo, si un nodo de grupo en concreto no hereda la directiva, ello se representa mediante 1 no hereda, independientemente del número de sistemas que haya dentro del grupo.

Figura 8-2 Página Ver herencia rota

118


8

Catálogo de directivasUtilice el nodo Catálogo de directivas del árbol de la consola para ver, crear y editar directivas, sin hacer referencia a un determinado nodo.

Visualización de la información de las directivasEl Catálogo de directivas permite visualizar todas las directivas de Host Intrusion Prevention, sus asignaciones y sus propietarios.

Para ver todas las directivas que se han creado:1 En el árbol de la consola, seleccione Catálogo de directivas.

2 Amplíe Host Intrusion Prevention para exponer las categorías de directivas.

3 Amplíe una categoría de directivas para exponer las directivas de la categoría.

Para visualizar los nodos donde se asigna una directiva:1 En la página Catálogo de directivas, amplíe Host Intrusion Prevention y, a continuación,

amplíe una categoría de directivas.

2 Bajo Asignaciones, en la fila de la directiva nombrada deseada, haga clic en el texto en azul que indica el número de nodos a los que se asigna la directiva (por ejemplo, 1 asignaciones).

En la página Ver asignaciones, cada nodo al que se asigna la directiva aparece con el Nombre del nodo y el Tipo del nodo. Esta lista muestra sólo los puntos de asignación, no los nodos en los que se hereda la directiva.

Figura 8-3 Catálogo de directivas de Host Intrusion Prevention

Figura 8-4 Directivas de la categoría Reglas IPS

119


8

3 Haga clic en el nombre del nodo para ver la página Asignar directivas para ese nodo.

Para ver la configuración y el propietario de una directiva:1 En la página Catálogo de directivas, amplíe Host Intrusion Prevention y, a continuación,


El propietario de la directiva nombrada aparece bajo Propietario.

2 Haga clic en el nombre de la directiva para ver su configuración.

Para ver las asignaciones en las que la comprobación de la directiva está desactivada:1 En la página Catálogo de directivas, haga clic en el texto azul que hay junto

a Comprobación, que indica el número de asignaciones donde se desactiva la comprobación.

Aparecerá la página Ver las asignaciones en las que la comprobación de la directiva está desactivada.

2 Haga clic en cualquier nodo de la lista para abrir la página Asignar directivas de ese nodo.

Edición de la información de la directivaDesde la página Catálogo de directivas puede crear nuevas directivas con nombre, que no se asignan de forma predeterminada a ningún nodo en particular.

Figura 8-5 Ver asignaciones de una directiva

120


8

Para editar una directiva:1 En la página Catálogo de directivas, amplíe Host Intrusion Prevention y, a continuación,



Para obtener detalles de cualquiera de estas funciones, consulte la Guía del producto de ePolicy Orchestrator o la ayuda en línea.


Crear una directiva Haga clic en Definir directiva nueva, déle un nombre y edite las opciones.

Cambiar el nombre de una directiva

Haga clic en Cambiar el nombre y cambie el nombre de la directiva. (No está disponible para la directiva predeterminada).

Duplicar una directiva Haga clic en Duplicar, cambie el nombre de la directiva y edite la configuración.

Eliminar una directiva Haga clic en Eliminar. (No está disponible para la directiva predeterminada).

Nota: Cuando se elimina una directiva, todos los nodos a los que está actualmente aplicada heredan la directiva de esta categoría desde sus nodos principales. Antes de eliminar una directiva, examine todos los nodos a los que está asignada y asigne una directiva distinta si no desea que la directiva se herede desde el nodo principal.

Si elimina una directiva que está aplicada en el nivel del Directorio, se aplica la directiva predeterminada de esta categoría.

Asignar un propietario a la directiva

Haga clic en el propietario de la directiva y seleccione otro propietario de una lista. (No está disponible para la directiva predeterminada).

Exportar una directiva Haga clic en Exportar y, a continuación, de un nombre a la directiva y guarde la directiva (archivo XML) en la ubicación deseada.

Exportar todas las directivas Haga clic en Exportar todas las directivas y, a continuación, dé un nombre a la directiva y guarde el archivo XML correspondiente en la ubicación deseada.

Importar directivas Haga clic en Importar directiva, en la parte superior de la página Catálogo de directivas, seleccione el archivo XML de la directiva y, a continuación, haga clic en Aceptar.

121

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoEjecución de tareas del servidor

8

Ejecución de tareas del servidorHost Intrusion Prevention proporciona tareas del servidor para gestionar y mantener el nivel de seguridad de los clientes. Entre estas, se incluyen:

Actualización de las listas del dominio de usuarios (Puerta de enlace de directorio)

Archivado y eliminación de eventos de la base de datos (Archivador de eventos)

Traducción de las propiedades del cliente para facilitar la gestión (Traductor de propiedades)

Si desea más información acerca de cómo ejecutar las tareas del servidor, consulte la ayuda en línea o la Guía del Producto de ePolicy Orchestrator.

Puerta de enlace de directorio La tarea de servidor Puerta de enlace de directorio actualiza la lista de dominios donde se ejecuta un cliente. Esta lista actualizada es necesaria durante la creación de reglas de excepción IPS, debido a que las reglas de excepción sólo se comprueban en los dominios que aparecen en la base de datos. Con el tiempo, los dominios se agregan o eliminan, por lo que la lista tiene que actualizarse periódicamente para garantizar una adecuada aplicación de las excepciones.

Para esta tarea, seleccione en la lista que aparezca el dominio donde se va a ejecutar la actualización e introduzca las credenciales solicitadas de usuario y contraseña para el dominio. Los servidores de directorios correspondientes se consultarán en busca de actualizaciones en los dominios. Esta tarea se puede planificar a intervalos diarios o semanales, según el tamaño del entorno; los despliegues de mayor tamaño necesitan actualizaciones más frecuentes.

Archivador de eventos La tarea de servidor Archivador de eventos archiva los eventos procedentes de la base de datos para que el rendimiento de ésta sea óptimo. Con el tiempo, Host Intrusion Prevention genera miles de eventos, lo que aumenta considerablemente el tamaño de la base de datos. Archive y elimine periódicamente los eventos más antiguos para controlar el tamaño de la base de datos y garantizar el funcionamiento correcto de la aplicación.

Para esta tarea, introduzca la ruta a la ubicación del directorio del archivo de almacenamiento y la antigüedad mínima en días de los eventos que se archivarán. Un archivo XML comprimido, con el nombre de la fecha actual, se crea en la ubicación indicada, y los eventos se eliminan de al base de datos.

Traductor de propiedades La tarea de servidor Traductor de propiedades traduce los datos de Host Intrusion Prevention almacenados en la base de datos de ePolicy Orchestrator para gestionar la clasificación, agrupación y filtrado de datos de Host Intrusion Prevention. Esta tarea, que se ejecuta automáticamente cada 15 minutos, no se debe editar, aunque se puede desactivar si es necesario.

Nota

Para cambiar a una frecuencia distinta de 15 minutos, desactive la tarea original y cree una tarea del servidor con otra frecuencia.

122

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoConfiguración de notificaciones para eventos

8

Configuración de notificaciones para eventosLa función Notificaciones puede alertar de cualquier evento que tenga lugar en los clientes de Host Intrusion Prevention o en el propio servidor. Puede configurar reglas para enviar mensajes de correo electrónico, SMS, localizadores o capturas SNMP, o ejecutar comandos externos cuando se reciban y procesen determinados eventos en el servidor de ePolicy Orchestrator. Puede especificar las categorías de eventos que generan un mensaje de notificación y la frecuencia con que se envían las notificaciones. Para obtener detalles completos, consulte la ayuda en línea o la Guía del producto de ePolicy Orchestrator.

Cómo funcionan las notificacionesCuando se producen eventos en el entorno de Host Intrusion Prevention, se envían al servidor de ePolicy Orchestrator. Las reglas de notificación están asociadas con el grupo o el sitio que contiene los sistemas afectados y se aplican a los eventos. Si se cumplen las condiciones de una regla, se envía un mensaje de notificación o se ejecuta un comando externo, según se especifique en la regla.

Puede configurar reglas independientes en los distintos niveles del directorio. También puede configurar cuándo se envían los mensajes de notificación mediante la configuración de umbrales basados en agregación y dosificación.

ePolicy Orchestrator proporciona reglas predeterminadas que se pueden activar para su uso inmediato. Antes de activar ninguna de las reglas predeterminadas:

1 Especifique el servidor de correo desde el que se envían los mensajes de notificación.

2 Verifique que la dirección de correo electrónico del destinatario es en la que desea recibir los mensajes de correo electrónico.

Creación de reglasPuede crear reglas para diversas categorías de eventos. Entre estas, se incluyen:

Básicamente, todas las reglas se crean de la misma manera:

1 Descripción de la regla

2 Definición de filtros para la regla

3 Definición de umbrales para la regla

4 Creación del mensaje que se va a enviar y del tipo de entrega

Violación de la regla de Protección de acceso detectada y bloqueada

Violación de la regla de Protección de acceso detectada y NO bloqueada

Equipo puesto en modo cuarentena

Contenido de correo electrónico filtrado o bloqueado

Intruso detectado

Equipo incompatible detectado

Operación normal

Error al comprobar la directiva

Error al actualizar o replicar el repositorio

Error en el despliegue del software

Software desplegado con éxito

Error o fallo del software

Categoría desconocida

Error al actualizar/ampliar

Actualización/ampliación con éxito

123

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoConfiguración de notificaciones para eventos

8

Notificaciones de Host Intrusion PreventionHost Intrusion Prevention admite las siguientes categorías de notificaciones específicas de los productos:

Intrusos de host detectados y gestionados

Intrusos de red detectados y gestionados

Aplicación bloqueada

Equipo puesto en modo cuarentena

Las notificaciones sólo se pueden configurar para todas o para ninguna de las firmas IPS del host (o de red). Entercept 5.x admitía notificaciones basadas en conjuntos de ID de firmas y en niveles de gravedad individuales. Host Intrusion Prevention admite la especificación de un único ID de firma IPS en el campo Nombre de amenaza o Nombre de regla en la configuración de reglas de notificación. Mediante la asignación interna del atributo ID de firma de un evento al nombre de la amenaza se crea una regla que identifica exclusivamente una firma IPS.

Entre las asignaciones específicas de parámetros de Host Intrusion Prevention permitidas en el asunto o el cuerpo de un mensaje se incluyen:

Parámetros Valores de eventos

IPS de host y de red

Valores de eventos de aplicaciones bloqueadas

Valores de eventos de cuarentena

Nombres de amenazas recibidas

ID de firma ninguno ninguno

Equipos de origen Dirección IP remota nombre del equipo nombre del equipo

Objetos afectados Nombre de proceso Nombre de la aplicación

Dirección IP del equipo

Marca horaria del evento

Hora de incidencia Hora de incidencia Hora de incidencia

ID de evento Asignación de ePO del ID de evento

Asignación de ePO del ID de evento

Asignación de ePO del ID de evento

Información adicional Nombre de firma localizada (desde el equipo cliente)

Ruta completa de la aplicación

ninguno

124

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoEjecución de informes

8

Ejecución de informes Software Host Intrusion Prevention incluye una funcionalidad para la elaboración de informes a través de ePolicy Orchestrator. Puede producir varios informes y consultas útiles a partir de eventos y propiedades que el cliente envía al servidor y se almacenan en la base de datos.

Software Host Intrusion Prevention incluye plantillas predefinidas de informes y consultas que se almacenan en el repositorio de informes y en el repositorio de consultas bajo Informes, en el árbol de la consola. Para obtener más información, consulte la Guía de generación de informes de ePolicy Orchestrator 3.6.

Puede generar informes y consultas para un grupo de sistemas cliente seleccionados o limitar los resultados de los informes por producto o por criterios del sistema. Puede exportar informes a distintos formatos de archivo, inclusive HTML y Microsoft Excel.

Puede:

Definir un filtro de directorio para recopilar sólo información seleccionada. Elejir el segmento del directorio que desea incluir en el informe.

Definir un filtro de datos, utilizando operadores lógicos, para definir filtros precisos en los datos devueltos por el informe.

Generar informes gráficos a partir de la información de la base de datos y filtrar los informes según sea necesario. Puede imprimir los informes y exportarlos a otro software.

Lleve a cabo consultas de equipos, eventos e instalaciones.

Informes predefinidos Los clientes Host Intrusion Prevention de los sistemas clientes envían al servidor información que se almacena en una base de datos de informes. Los informes y las consultas se ejecutan contra estos datos almacenados.

Existen ocho informes predefinidos de Host Intrusion Prevention dentro de dos categorías principales: informes IPS e informes del cortafuegos. También puede crear informes propios utilizando Crystal Reports 8.5.

Repositorio de informesEl repositorio de informes contiene las consultas y los informes predefinidos de Host Intrusion Prevention, así como cualquier informe y consulta que cree.

Puede organizar y mantener el repositorio de informes de acuerdo con sus necesidades. Puede agregar informes que exportase como plantillas de informes, por ejemplo, para guardar selecciones personalizadas realizadas al generar un informe o para agregar plantillas de informes personalizados. Asimismo, puede organizar plantillas de informes en grupos lógicos. Por ejemplo, puede agrupar informes que ejecute cada día, cada semana y cada mes, bajo grupos de informes con el mismo nombre.

Nota

Para ver los informes, debe iniciar una sesión en la base de datos con credenciales de ePO. No se admiten credenciales de autenticación de NT.

125


8

Información de resumen y detallesUna vez generado un informe, se ve la información de resumen, tal y como esté determinado por el filtro, si lo hubiera, que se haya definido. Desde la información de resumen se puede descender uno o dos niveles para obtener información detallada, todo en el mismo informe.

Control del contenido del informePuede controlar cuánta información del informe será visible para los distintos usuarios; por ejemplo, para los administradores globales o para los administradores de sitio. Los administradores de sitio y los revisores de sitio sólo pueden informar sobre los sistemas clientes de aquellos sitios para los que tengan permisos. La información incluida en los informes también se controla mediante la aplicación de filtros.

Informes de Host Intrusion PreventionEntre las plantillas de informes de Host Intrusion Prevention se incluyen las siguientes:

Resumen de eventos IPS por firmaUtilice este informe para ver los eventos IPS por firma. Incluye los siguientes detalles:

Filtros en la firma, la hora de registro, el nivel de gravedad, el usuario de SO, la reacción, el proceso y la IP de origen.

Informes IPS Informes del cortafuegos

Resumen de eventos IPS por firma

Resumen de eventos IPS por destino

Resumen de intrusos de red por IP de origen

Primeros 10 nodos atacados para IPS

Primeras 10 firmas desencadenadas

Resumen de aplicaciones bloqueadas

Primeras 10 aplicaciones bloqueadas

Actualizaciones de cuarentena con error

Vista inicial Desglose de nivel 1 Desglose de nivel 2

Nombre de firma >

Recuento de eventos

Nombre de firma

Proceso >

Recuento

Usuario de SO

Reacción

Nombre del nodo

IP de origen

Hora de incidencia:

Hora de registro

Nivel de gravedad

Descripción del evento

Detalles avanzados

126


8

Resumen de eventos IPS por destinoUtilice este informe para ver los eventos IPS por host. Incluye los siguientes detalles:

Filtros en la firma, la hora de registro, el nivel de gravedad, el usuario de SO, la reacción, el proceso y la IP de origen.

Resumen de intrusos de red por IP de origenUtilice este informe para ver eventos de intruso en red por IP de origen. Incluye los siguientes detalles:

Filtros en IP de origen, firma, usuario de SO, reacción, hora de grabación, nivel de gravedad y nombre del host.


Nombre del host >

Recuento de eventos

Nombre del host

Firma >

Recuento

Usuario de SO

Reacción

Proceso

IP de origen

Hora de incidencia

Hora de registro

Nivel de gravedad


Detalles avanzados


IP de origen >

Recuento de eventos

IP de origen

Nombre de firma >

Recuento

Usuario de SO

Reacción

Proceso

Nombre del nodo

IP de origen

Hora de incidencia

Hora de registro

Nivel de gravedad


Detalles avanzados

127


8

Primeros 10 nodos atacados para IPS Utilice este informe para ver un gráfico de barras de los 10 principales nodos en los que se generan eventos IPS. Incluye los siguientes detalles:

Filtros en la plataforma y tipo de firma.

Primeras 10 firmas desencadenadasUtilice este informe para ver un gráfico de barras de las 10 principales firmas IPS desencadenadas. Incluye los siguientes detalles:

Filtros en la plataforma y tipo de firma.

Resumen de aplicaciones bloqueadasUtilice este informe para ver un resumen de los eventos de aplicaciones bloqueadas, por aplicación. Incluye los siguientes detalles:

Filtros en la descripción de la aplicación y en la hora del evento.


Nombre del host >

Recuento de eventos

Nombre del host

Firma >

Recuento

Usuario de SO

Reacción

Proceso

IP de origen

Hora de incidencia

Hora de registro

Nivel de gravedad


Detalles avanzados


Nombre de firma >

Recuento de eventos

Nombre de firma

Proceso >

Recuento

Usuario de SO

Reacción

Nombre del nodo

IP de origen

Hora de incidencia

Hora de registro

Nivel de gravedad


Detalles avanzados

Vista inicial Desglose

Descripción de la

aplicación >

Recuento de eventos

Nombre del host

IP del host

Hora del evento

Nombre del proceso

Ruta de la aplicación

Versión de la aplicación

Hash de la aplicación

128


8

Primeras 10 aplicaciones bloqueadasUtilice este informe para ver un gráfico de barras de las 10 aplicaciones más bloqueadas. Incluye los siguientes detalles:

Filtros en la descripción de la aplicación, en el nombre del host y en la hora del evento.

Actualizaciones de cuarentena con errorUtilice este informe para ver actualizaciones de cuarentena con error por host. Incluye los siguientes detalles:

Filtros en el nombre del host de la aplicación, en la IP del host y en la hora del evento.


Descripción de la

aplicación >

Recuento de eventos

Nombre del host

IP del host

Hora del evento

Nombre del proceso

Ruta de la aplicación

Versión de la aplicación

Hash de la aplicación


Nombre del host >

Recuento de eventos

Nombre del host

IP del host

Hora del evento

129

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoActualización

8

ActualizaciónLa base de datos de ePO incluye datos con contenido de seguridad de Host Intrusion Prevention, como firmas, que se muestran en las directivas de Host Intrusion Prevention. Host Intrusion Prevention admite varias versiones de contenido y código de los clientes; el contenido más reciente disponible aparece en la consola de ePO. El contenido nuevo siempre se admite en las versiones subsiguientes, por lo que las actualizaciones de contenido incluyen principalmente información nueva o modificaciones menores de la información existente.

Las actualizaciones se gestionan mediante un paquete de actualización de contenido. Este paquete incluye información de la versión del contenido y secuencias de comandos de actualización. Tras su incorporación, la versión del paquete se compara con la versión de la información de contenido más reciente de la base de datos. Si el paquete es más reciente, las secuencias de comandos del paquete se extraen y se ejecutan. A continuación, esta nueva información del contenido se pasa a los clientes en la siguiente comunicación entre el servidor y el agente.

El proceso básico incluye la incorporación del paquete de actualización al repositorio de ePO y, a continuación, el envío de la información actualizada a los clientes.

Incorporación del paquete de actualizaciónPuede crear una tarea del servidor ePO que incorpore automáticamente los paquetes de actualización de contenido al repositorio de ePO o descargar un paquete de actualización e incorporarlo manualmente.

Para agregar paquetes de actualización automáticamente: 1 Seleccione el nombre del servidor ePO en el árbol de la consola de ePO y,

a continuación, haga clic en la ficha Tareas planificadas.

2 Haga clic en Crear tarea.

3 En el panel Configurar tarea nueva, escriba un nombre para la tarea, por ejemplo, Actualizaciones de contenido HIP.

4 En la lista Tipo de tarea, seleccione Extracción al repositorio.

5 En la lista Planificar tipo, seleccione una frecuencia.

6 Haga clic en Siguiente.

7 Seleccione el repositorio de origen (McAfeeHttp o McAfeeFtp) y cualquier otra opción disponible.

8 Haga clic en Finalizar.

Esta tarea descarga el paquete de actualización de contenido directamente desde McAfee con la frecuencia indicada y lo agrega al repositorio, lo que actualiza la base de datos con el nuevo contenido de Host Intrusion Prevention.

Nota

Las actualizaciones de contenido de Host Intrusion Prevention deben incorporarse al repositorio de ePO para su distribución entre los clientes. Los clientes de Host Intrusion Prevention deben obtener las actualizaciones únicamente mediante comunicaciones con el servidor ePO, no directamente a través de los protocolos FTP o HTTP.

130

McAfee® Host Intrusion Prevention 6.1 Guía del producto MantenimientoActualización

8

Para agregar paquetes de actualización manualmente:1 Seleccione el repositorio en el árbol de la consola de ePO y haga clic en Incorporar

paquete.

2 Haga clic en Siguiente y, a continuación, seleccione Productos o actualizaciones.

3 Haga clic en Siguiente y, a continuación, introduzca la ruta completa del archivo PkgCatalog.z.

4 Haga clic en Siguiente y, a continuación, haga clic en Finalizar.

Actualización de clientesUna vez incorporado el paquete de actualización al repositorio, puede enviar las actualizaciones al cliente ejecutando una tarea de actualización o enviando una llamada de reactivación de agente. Un cliente también puede solicitar actualizaciones.

Para ejecutar una tarea de actualización:1 En el árbol de la consola de ePO, seleccione el equipo, el grupo o el sitio al que

desee enviar actualizaciones de contenido y seleccione la ficha Tareas.

2 Seleccione Planificar tarea en el menú contextual.

3 Escriba el nombre de la tarea, seleccione Actualización de agente de ePolicy Orchestrator y haga clic en Aceptar.

4 Haga clic con el botón derecho en la tarea y seleccione Editar tarea.

5 En el cuadro de diálogo ePolicy Orchestrator Scheduler, haga clic en Configuración.

6 En el cuadro de diálogo que aparece, seleccione Contenido HIP y haga clic en Aceptar. (Esta opción está disponible sólo si se ha incorporado un paquete de contenido al repositorio.)

7 En el cuadro de diálogo ePolicy Orchestrator Scheduler, haga clic en la ficha Planificar y defina la tarea para que se ejecute inmediatamente.

8 En la ficha Tarea, cancele la selección de Heredar y seleccione Activar.

9 Haga clic en Aplicar y, a continuación, haga clic en Aceptar.

Para enviar una llamada de reactivación de agente:1 En el árbol de la consola de ePO, haga clic con el botón derecho en el sitio, el grupo

o el equipo al que desee enviar actualizaciones de contenido y seleccione Llamada de reactivación del agente.

2 Establezca el proceso aleatorio en 0 minutos y haga clic en Aceptar.

Las actualizaciones de contenido se envían y se aplican al cliente.

Para que un cliente solicite una actualización:(Válido sólo si en la bandeja del sistema aparece un icono de agente de ePO.)

Haga clic con el botón derecho en el icono de ePO de la bandeja del sistema y seleccione Actualizar ahora.

Aparecerá el cuadro de diálogo Progreso de AutoUpdate de McAfee. Las actualizaciones de contenido se extraen y se aplican en el cliente.

131

9 Cliente de Host Intrusion Prevention

El cliente de Host Intrusion Prevention puede instalarse en plataformas Windows, Solaris y Linux. Sólo la versión Windows del cliente tiene interfaz, aunque las demás versiones tienen la funcionalidad de solución de problemas. En esta sección se describen las funciones básicas de cada versión de cliente.

Cliente Windows

Cliente Solaris

Cliente Linux

Cliente WindowsLa gestión directa del cliente Windows de Host Intrusion Prevention está disponible a través de una interfaz de cliente. Para mostrar la consola del cliente, haga doble clic en el icono del cliente de la bandeja del sistema o, en el menú Inicio, seleccione Programas | McAfee | Host Intrusion Prevention.

Cuando la consola del cliente aparece por primera vez, la mayoría de las opciones están bloqueadas. Cuando la consola se encuentra en el modo bloqueado, sólo se puede ver la configuración actual y sólo se pueden crear reglas de cliente si la directiva IU de cliente tiene activada la creación manual de reglas de cliente. Para obtener control completo de todas las opciones de la consola, desbloquee la interfaz con una contraseña creada en la directiva IU de cliente aplicada. Para obtener detalles sobre estas opciones de la directiva IU de cliente, consulte Creación y aplicación de una directiva IU de cliente en la página 106.

132

McAfee® Host Intrusion Prevention 6.1 Guía del producto Cliente de Host Intrusion PreventionCliente Windows

9

Icono de la bandeja del sistemaSi el icono de Host Intrusion Prevention aparece en la bandeja del sistema, proporciona acceso a la consola del cliente e indica el estado del cliente.

Cuando el puntero del ratón permanece sobre el icono, aparece una descripción del estado. Haga clic con el botón derecho en el icono para acceder al menú contextual:

Si se aplica al cliente la opción Permitir la desactivación de las funciones desde el icono de la bandeja, estarán disponibles algunos o todos estos comandos adicionales:

Consola del clienteLa consola del cliente de Host Intrusion Prevention proporciona acceso a varias opciones de configuración. Para abrir la consola, lleve a cabo una de las acciones siguientes:

Haga doble clic en el icono situado en la bandeja del sistema.

Haga clic con el botón derecho en el icono y seleccione Configurar.

En el menú Inicio, seleccione Programas | McAfee | Host Intrusion Prevention.

Icono Estado de Host Intrusion Prevention

Funciona correctamente

Se ha detectado un potencial ataque

Desactivado o no funciona correctamente

Haga clic en... Para...

Configurar Abrir la consola del cliente Host Intrusion Prevention.

Acerca de... Abrir el cuadro de diálogo Acerca de Host Intrusion Prevention, en el que se mostrará el número de versión y otra información relativa al producto.

Haga clic en... Para...

Restaurar configuración Activar todas las funciones desactivadas. Sólo disponible si se han desactivado una o más funciones.

Desactivar todo Desactivar funciones de IPS, cortafuegos y bloqueo de aplicaciones. Sólo disponibles si están activadas todas las funciones.

Desactivar IPS Desactivar la función IPS. Esto incluye la funcionalidad de IPS de host e IPS de red. Sólo disponible si está habilitada la función.

Desactivar cortafuegos Desactivar la función de cortafuegos. Sólo disponible si está habilitada la función.

Desactivar bloqueo de aplicaciones

Desactivar la función de bloqueo de aplicaciones. Esto incluye tanto el Bloqueo de creación de aplicaciones y el Bloqueo de enlace de aplicaciones. Sólo disponible si está habilitada la función.

133


9

La consola permite configurar y ver información acerca de las funciones de Host Intrusion Prevention. Contiene varias fichas, que corresponden a funciones específicas de Host Intrusion Prevention. Para obtener más detalles, consulte:

Ficha Directiva IPS en la página 142.

Ficha Directiva de cortafuegos en la página 144.

Ficha Directiva de aplicación en la página 146.

Ficha Hosts bloqueados en la página 148.

Ficha Protección de aplicaciones en la página 150.

Ficha Registro de actividades en la página 151.

Desbloqueo de la interfaz del clienteEl administrador que gestiona en remoto Host Intrusion Prevention utilizando ePolicy Orchestrator puede mantener la interfaz protegida mediante contraseña para evitar cambios accidentales. Con una contraseña basada en tiempos y específica del equipo, un administrador o un usuario pueden desbloquear temporalmente la interfaz y realizar cambios.

Para desbloquear la interfaz de Host Intrusion Prevention:1 Solicite la contraseña al administrador de Host Intrusion Prevention.

2 En el menú Tarea, seleccione Desbloquear interfaz de usuario.

Aparecerá el cuadro de diálogo Inicio de sesión.

3 Escriba la contraseña y haga clic en Aceptar. Si la contraseña es una contraseña del administrador, y no una contraseña por tiempos, seleccione Contraseña del administrador antes de hacer clic en Aceptar.

Configuración de opcionesLa consola del cliente de Host Intrusion Prevention proporciona acceso a algunas opciones determinadas por la directiva IU de cliente y permite personalizarlas para cada cliente individual.

Para personalizar las opciones del cliente:1 En el menú Edición, haga clic en Opciones.

Aparecerá el cuadro de diálogo Opciones de Host Intrusion Prevention.

2 Seleccione y desactive opciones según sea necesario.

Nota

Para obtener detalles acerca de cómo crear una contraseña, consulte Definición de contraseñas en la página 107.

Seleccione... Para esto...

Mostrar alerta emergente Cuando se produce un ataque, aparece un cuadro de diálogo de alerta. Para obtener más detalles, consulte Alertas en la página 137.

Reproducir sonido Se reproduce un sonido cuando tiene lugar un ataque.

134


9

Notificación de erroresHost Intrusion Prevention incluye una utilidad de notificación de errores que realiza el seguimiento y el registro de los errores del software. Cuando está activada, solicita al usuario que envíe los datos del problema detectado al sitio Web de asistencia técnica de McAfee, donde se pueden utilizar para abrir un caso de asistencia, si fuera necesario.

Si McAfee Alert Manager está instalado en la red donde ha fallado un equipo, informa al administrador de la red de que se ha detectado un problema. El administrador de la red puede guiar al usuario sobre cómo manejar el problema.

Cuando la utilidad detecta un error, el usuario selecciona una opción:

Enviar datos: esta opción conecta con el sitio Web de asistencia técnica de McAfee y envía los datos.

Ignorar error: no se realiza ninguna conexión.

Al enviar los datos al sitio Web de asistencia técnica de McAfee, es posible que se pidan detalles adicionales al usuario. Si el problema tiene una causa conocida, el usuario puede ser dirigido a una página Web que proporciona información acerca del problema y de cómo tratar con él.

Solución de problemasHost Intrusion Prevention incluye una opción Solución de problemas en el menú Ayuda, disponible cuando la interfaz está desbloqueada. Las opciones incluyen la activación del registro de IPS y del cortafuegos y la desactivación de los motores del sistema.

RegistroComo parte de la solución de problemas, puede crear registros de actividad de IPS y cortafuegos que se pueden analizar en el sistema o enviarse a la asistencia de McAfee para ayudar a resolver problemas.

Destello del icono de la bandeja El icono cambia entre el estado normal y el estado de ataque cuando se produce un ataque.

Crear una captura de rastreador si está disponible

Se agrega una columna de Captura de rastreador al registro de actividades para indicar que se han capturado los datos del paquete intruso. Guarde estos datos en un archivo .cap del rastreador de McAfee para analizarlos posteriormente.

Mostrar icono de la bandeja El icono de Host Intrusion Prevention aparece en la bandeja del sistema.

Notificación de errores La utilidad de notificación de errores del software está activada para enviar los errores a McAfee. Para obtener más detalles, consulte Notificación de errores.

Seleccione... Para esto...

Nota

Para utilizar la utilidad de notificación de informes, el equipo debe tener acceso a Internet y un navegador Web que esté habilitado para Java Script.

135


9

Para definir opciones de registro IPS:1 Seleccione la casilla de IPS Activar registro.

2 Seleccione el tipo de mensaje (Todos o una combinación de Información, Advertencia, Depurar, Error y Violaciones de seguridad).

Como mínimo, debe seleccionar Error y Violaciones de seguridad.


La información se escribe en el archivo CSlog.txt de la carpeta Archivos de programa\McAfee\Host Intrusion Prevention.

Para definir opciones de registro de cortafuegos:1 Seleccione la casilla del cortafuegos Activar registro.

2 Seleccione el tipo de mensaje (Todos o una combinación de Información, Advertencia, Error y Kernel).


La información se escribe en el archivo FireSvc.dbg de la carpeta Archivos de programa\McAfee\Host Intrusion Prevention.

Motores IPS del hostComo parte de la solución de problemas, puede también desactivar los motores que protegen a un cliente. McAfee recomienda que sólo utilicen este procedimiento de solución de problemas los administradores que estén en comunicación con el departamento de asistencia de McAfee.

Para tener acceso, haga clic en Funcionalidad en el cuadro de diálogo Opciones de solución de problemas. En el cuadro de diálogo Motores HIPS que aparecerá, desactive uno o más motores de sistema cliente mediante la desactivación de las casillas contiguas al motor. Una vez resuelto el problema, y para regresar a un entorno operativo normal, asegúrese de que todos los motores están seleccionados.

Figura 9-1 Opciones de solución de problemas

136


9

AlertasUn usuario puede encontrar varios tipos de mensajes de alerta y necesita reaccionar ante ellos. Entre estos mensajes se incluyen alertas de detección de intrusos, de cortafuegos, de cuarentena, de bloqueo de aplicaciones y de detección simulada. Las alertas de cortafuegos y de bloqueo de aplicaciones sólo aparecen cuando el cliente se encuentra en modo Aprendizaje para estas funciones.

Alertas de intrusosSi activa la protección IPS y la opción Mostrar alerta emergente, esta alerta aparece automáticamente cuando Host Intrusion Prevention detecta un ataque potencial. Si el cliente se encuentra en modo Adaptación, esta alerta aparece sólo si la opción Permitir reglas del cliente está desactivada para la firma que hizo que se produjera el evento.

La ficha Información del intruso muestra detalles acerca del ataque que generó la alerta, lo que incluye una descripción del ataque, el equipo del usuario o cliente donde se produjo el ataque, el proceso implicado en el ataque y la fecha y la hora en que Host Intrusion Prevention lo interceptó. Además, puede aparecer un mensaje genérico especificado por el administrador.

Figura 9-2 Motores HIPS

Figura 9-3 Cuadro de diálogo Alerta de intruso detectado

137


9

Para ignorar el evento, haga clic en Omitir; para crear una regla de excepción para el evento, haga clic en Crear excepción. El botón Crear excepción está activo sólo si la opción Permitir reglas del cliente está activada para la firma que hizo que se produjera el error.

Si la alerta es resultado de una firma HIP, el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre del proceso, el usuario y la firma. Puede seleccionar Todas las firmas o Todos los procesos, pero no ambas opciones. El nombre de usuario siempre se incluye en la excepción.

Si la alerta es resultado de una firma NIP, el cuadro de diálogo de la regla de excepción aparece precumplimentado con el nombre de la firma y la dirección IP del host. Opcionalmente, puede seleccionar Todos los hosts..

Además, puede hacer clic en Notificar al administrador para enviar información del evento al administrador de Host Intrusion Prevention. Este botón está activo sólo si la opción Permitir al usuario notificar al administrador está activada en la directiva IU de cliente aplicada.

Seleccione No mostrar alertas para los eventos de IPS para que las alertas de eventos de IPS dejen de mostrarse. Para que las alertas vuelvan a aparecer después de seleccionar esta opción, seleccione Mostrar alerta emergente en el cuadro de diálogo Opciones.

Alertas del cortafuegosSi activa la protección del cortafuegos y el modo Aprendizaje para el tráfico entrante o saliente, aparece una alerta del cortafuegos. La ficha Información de la aplicación muestra información acerca de la aplicación que intenta el acceso a la red, incluidos el nombre de la aplicación, la ruta y la versión. La ficha Información de la conexión muestra información acerca de la dirección, los puertos y el protocolo del tráfico.

Para responder a una alerta del modo Aprendizaje del cortafuegos1 En la ficha Información de aplicación del cuadro de diálogo de la alerta, realice una de las

acciones siguientes:

Haga clic en Denegar para bloquear este tráfico y todo el tráfico similar.

Haga clic en Permitir para permitir el paso de este tráfico y todo el tráfico similar a través del cortafuegos.

2 Opcional: en la ficha Información de conexión seleccione posibles opciones para la nueva regla del cortafuegos:

Nota

Esta alerta de intrusos también aparece para los intrusos del cortafuegos si se produce una coincidencia con una regla del cortafuegos que tenga seleccionada la opción Tratar coincidencia de regla como intruso.

Seleccione... Para...

Crear una regla de aplicación del cortafuegos para todos los puertos y servicios

Crear una regla para permitir o bloquear el tráfico de una aplicación a través de cualquier puerto o servicio. Si no selecciona esta opción, la nueva regla del cortafuegos permite o bloquea sólo puertos específicos:

Si el tráfico interceptado utiliza un puerto inferior al 1024, la nueva regla permite o bloquea sólo ese puerto concreto.

Si el tráfico utiliza el puerto 1024 o un puerto superior, la nueva regla permite o bloquea el intervalo de puertos del 1024 hasta el 65535.

Eliminar esta regla cuando finalice la aplicación

Crear una regla temporal de tipo Permitir o Bloquear que se detecte al cerrar la aplicación. Si no selecciona esta opción, la nueva regla del cortafuegos se crea como regla de cliente permanente.

138


9

Host Intrusion Prevention crea una nueva regla del cortafuegos basada en las opciones seleccionadas, la agrega a la lista Reglas del cortafuegos y permite o bloquea automáticamente tráfico similar.

Alertas de bloqueo de aplicacionesCuando la creación de aplicaciones o el enlace de aplicaciones se habilita en la directiva Opciones de bloqueo de aplicaciones, Host Intrusion Prevention supervisa las actividades de las aplicaciones y las permite o bloquea basándose en la directiva Reglas de bloqueo de aplicaciones.

Si activó el modo Aprendizaje para el bloqueo de creación o el bloqueo de enlace, Host Intrusion Prevention muestra una alerta de creación de aplicaciones o una alerta de enlace de aplicaciones siempre que detecta una aplicación desconocida que intenta ejecutarse o enlazarse a otro programa.

La ficha Información de la aplicación muestra información acerca de la aplicación que intenta ejecutarse (creación) o enlazarse (enlace) a otro proceso, incluidos el nombre de la aplicación, la ruta y la versión.

Utilice este cuadro de diálogo para seleccionar una acción:

Haga clic en Permitir para que la aplicación pueda completar su acción:

En el caso de una alerta de creación de aplicaciones, si hace clic en Permitir, permitirá que la aplicación se ejecute.

En el caso de una alerta de enlace de aplicaciones, si hace clic en Permitir, la aplicación podrá enlazarse con otro programa.

Haga clic en Denegar para bloquear la aplicación:

En el caso de una alerta de creación de aplicaciones, si hace clic en Denegar, evitará que la aplicación se ejecute.

En el caso de una alerta de enlace de aplicaciones, si hace clic en Denegar, impedirá que la aplicación pueda enlazarse con otro programa.

Al hacer clic en Permitir o Denegar, Host Intrusion Prevention crea una nueva regla de aplicación basada en su elección. Después de obtener las propiedades del cliente, esta regla se agrega a la ficha Reglas de aplicación del cliente de la directiva Reglas de aplicación. A continuación, la aplicación se permite o bloquea automáticamente.

Figura 9-4 Alerta del cortafuegos: fichas Información de la aplicación e Información

de la conexión

139


9

Alertas de cuarentenaSi activa el modo Cuarentena e incluye la dirección IP del cliente para la imposición de la cuarentena en la directiva Opciones de cuarentena, aparece una alerta de cuarentena en las situaciones siguientes:

Cambio de la dirección IP del equipo cliente

Desconexión y reconexión de la Ethernet del cliente

Reinicio del cliente

Alerta de simulación detectada Si activa la función IPS, esta alerta aparecerá automáticamente cuando Host Intrusion Prevention detecte que una aplicación de su equipo envía tráfico de red simulado. Esto significa que la aplicación intenta simular que el tráfico procedente de su equipo realmente procede de otro equipo distinto. Lo hace cambiando la dirección IP en los paquetes salientes. La simulación es siempre una actividad sospechosa. Si ve este cuadro de diálogo, investigue inmediatamente a la aplicación que envió el tráfico simulado.

El cuadro de diálogo Alerta de simulación detectada es muy similar a la función de alerta modo Aprendizaje del cortafuegos. Muestra información acerca del tráfico interceptado, en dos fichas: la ficha Información de la aplicación, y la ficha Información de la conexión.

Figura 9-5 Alertas de creación y de enlace de bloqueo de aplicaciones

Figura 9-6 Alerta de cuarentena

Nota

El cuadro de diálogo Alerta de simulación detectada aparece sólo si selecciona la opción Mostrar alerta emergente. Si no tiene activada esta opción, Host Intrusion Prevention bloqueará automáticamente el tráfico simulado, pero no se lo notificará.

140


9

La ficha Información de la aplicación muestra:

La dirección IP de la que el tráfico finge proceder.

La información acerca del programa que generó el tráfico simulado.

La hora y la fecha a las que Host Intrusion Prevention interceptó el tráfico.

La ficha Información de la conexión proporciona más información acerca de la red. En concreto, Dirección local muestra la dirección IP que la aplicación simula tener, mientras que Dirección remota muestra la dirección IP real.

Cuando Host Intrusion Prevention detecta tráfico simulado en la red, intenta bloquear tanto el tráfico, como la aplicación que lo generó. Lo hace agregando una nueva regla al final de la lista de reglas del cortafuegos. Esta regla Bloquear atacante por simulación bloquea específicamente todo el tráfico creado por la aplicación sospechosa, a no ser que otra regla de la lista la sustituya.

Figura 9-7 Cuadro de diálogo Alerta de simulación de IP detectada

141


9

Ficha Directiva IPSUtilice la ficha Directiva IPS para configurar la función IPS, que protege de los ataques de intrusos al host basándose en reglas de firmas y de comportamiento. Desde esta ficha se puede activar o desactivar la funcionalidad y configurar reglas de excepciones del cliente. Si desea obtener más detalles acerca de las directivas IPS, consulte Capítulo 4, Directivas de IPS.

Opciones de Directiva IPSLas opciones de la parte superior de la ficha controlan la configuración enviada por las directivas IPS del servidor, después de desbloqueada la interfaz del cliente.

Para personalizar las opciones de Directiva IPS:1 Haga clic en la ficha Directiva IPS.


Figura 9-8 ficha Directiva IPS


Activar IPS de host Activar la protección de prevención de intrusos del host.

Activar IPS de red Activar la protección de prevención de intrusos de red.


Activar el modo Adaptación para crear automáticamente excepciones a las firmas de prevención de intrusos.

Bloquear atacantes automáticamente

Bloquear automáticamente los ataques de intrusos en la red, durante un determinado período de tiempo. Seleccione Hasta su eliminación para bloquear un ataque hasta que se elimina, o seleccione Durante x minutos para bloquear un ataque para un determinado número de minutos, siendo el valor predeterminado 30.

142


9

Reglas de excepciones a directivas IPSLa lista de reglas de excepciones IPS muestra las reglas de excepciones de cliente que se pueden visualizar y editar.

Para editar las reglas de excepciones:1 Haga clic en Agregar para agregar una regla.

Aparecerá el cuadro de diálogo Regla de excepción.

2 Escriba una descripción para la regla.

3 Seleccione la aplicación a la que se aplica la regla en la lista de aplicaciones o haga clic en Examinar para localizar la aplicación.

4 Seleccione La regla de excepción está activa para activar la regla.

La excepción se aplica a todas las firmas, que no está activada y se selecciona como opción predeterminada, aplica la excepción a todas las firmas.


La nueva regla aparece en la lista.

6 Para otras ediciones, haga una de las acciones siguientes:

Lista de reglas de excepciónLas reglas de excepción muestran las reglas de excepción correspondientes al cliente y proporcionan información resumida y detallada para cada regla.


Ver los detalles de una regla o editar una regla

Haga doble clic en una regla o seleccione una y haga clic en Propiedades. Aparecerá el cuadro de diálogo Regla de excepción, que muestra información sobre la regla que puede editarse.

Activar o desactivar una regla

Seleccione o cancele la selección de la casilla La regla de excepción está activa, en el cuadro de diálogo Regla de excepción. También puede seleccionar o borrar la casilla que hay junto al icono de la regla, en la lista.

Eliminar una regla

Seleccione una regla y haga clic en Eliminar.

Esta columna... Muestra

Excepción El nombre de la excepción.

Firma El nombre de la firma contra la que se creó la excepción.

Aplicación La aplicación a la que corresponde esta regla, el nombre del programa y el nombre de archivo ejecutable, inclusive.

143


9

Ficha Directiva de cortafuegosUtilice la ficha Directiva de cortafuegos para configurar la función de cortafuegos, que permite o bloquea las comunicaciones de la red basándose en las reglas definidas. Desde esta ficha se puede activar o desactivar la funcionalidad y configurar reglas de cortafuegos del cliente. Si desea obtener más detalles acerca de las directivas de cortafuegos, consulte Capítulo 5, Directivas de cortafuegos.

Opciones de la Directiva de cortafuegosLas opciones de la parte superior de la ficha controlan la configuración proporcionada por las directivas de cortafuegos procedentes del servidor.

Para personalizar las opciones de Directiva de cortafuegos:1 Haga clic en la ficha Directiva IPS.


Figura 9-9 ficha Directiva de cortafuegos


Activar cortafuegos

Activar la protección de la directiva de cortafuegos.

Modo Aprendizaje activado para tráfico entrante

Activar el modo Aprendizaje para el tráfico entrante.

Modo Aprendizaje activado para tráfico saliente

Activar el modo Aprendizaje para el tráfico saliente.

De confianza... Crear redes de confianza. Para obtener más detalles, consulte Configuración de la directiva Redes de confianza en la página 110.

144


9

Reglas de directiva de cortafuegosLa lista Reglas del cortafuegos muestra las reglas de cliente que se pueden visualizar y editar. Para obtener detalles acerca de cómo trabajar con reglas de cortafuegos, consulte:

Visualización y edición de reglas de cortafuegos en la página 84.

Creación de una nueva regla del cortafuegos o grupo del cortafuegos en la página 85.

Eliminación de una regla o grupo del cortafuegos en la página 87.

Lista de reglas de cortafuegosLas reglas de cortafuegos muestran las reglas y los grupos de reglas correspondientes al cliente y proporcionan información resumida y detallada para cada regla.

Nota

No se pueden agregar grupos para conexión de cortafuegos desde el cliente. Esta funcionalidad está disponible sólo en la directiva Reglas de cortafuegos gestionada en la consola de ePolicy Orchestrator.

Esta columna... Muestra...

Descripción El propósito de esta regla o grupo de reglas.

Protocolo Protocolos a los que se aplica la regla (TCP, UDP, ICMP).

Si la regla permite el tráfico o lo bloquea:

Permite el tráfico.

Bloquea el tráfico.

Si la regla se aplica al tráfico entrante, al tráfico saliente, o a ambos:

Tráfico entrante.

Tráfico saliente.

Ambas direcciones.

Si Host Intrusion Prevention trata el tráfico que coincide con esta regla como a un intruso (un ataque) contra el sistema.

Si esta regla sólo se aplica en determinados momentos.

Servicio (L) Servicios del equipo a los que se aplica la regla. Cuando es posible, esta columna también muestra los números de puerto asociados. Puede definir un servicio individual, un rango de servicios, una lista de servicios concretos o especificar todos (Cualquiera) o ninguno de los servicios (N/D).

Servicio (R) Los servicios donde se aplica esta regla en el equipo al que se envía el tráfico o del que se recibe el tráfico. Cuando es posible, esta columna también muestra los números de puerto asociados. Puede definir un servicio individual, un rango de servicios, una lista de servicios concretos o especificar todos (Cualquiera) o ninguno de los servicios (N/D).

Dirección Dirección IP, subred, dominio u otro identificador específico al que se aplique esta regla.

Aplicación La aplicación a la que corresponde esta regla, el nombre del programa y el nombre de archivo ejecutable, inclusive.

145


9

Ficha Directiva de aplicaciónUtilice la ficha Directiva de aplicación para configurar la función de bloqueo de aplicaciones. Puede especificar si una aplicación puede ejecutarse (lo que también se llama creación de aplicaciones) o si se puede enlazar a otros programas (también llamado enlace de aplicaciones), si activar el modo Aprendizaje para la creación y el enlace de aplicaciones, y configurar reglas de aplicaciones de cliente. Si desea obtener más detalles acerca del bloqueo de aplicaciones, consulte Capítulo 6, Directivas de bloqueo de aplicaciones.

Opciones de Directiva de aplicaciónLas opciones de la parte superior de la ficha controlan la configuración proporcionada por las directivas de aplicaciones procedentes del servidor.

Para personalizar las opciones de Directiva de aplicación:1 Haga clic en la ficha Directiva de aplicación.


Figura 9-10 Ficha Directiva de aplicación


Activar Bloqueo de creación de aplicaciones

Activar el bloqueo de la creación de aplicaciones. Las opciones de Activar creación de aplicaciones en modo Aprendizaje se activan.

Activar Bloqueo de enlace de aplicaciones

Activar el bloqueo del enlace de aplicaciones. Las opciones de Activar enlace de aplicaciones en modo Aprendizaje se activan.

146


9

Reglas de directivas de aplicacionesLa lista de reglas de directivas de aplicaciones muestra las reglas de cliente que se pueden visualizar y editar. Para obtener detalles acerca de cómo trabajar con reglas de bloqueo de aplicaciones, consulte:

Visualización y edición de reglas de bloqueo de aplicaciones en la página 99.

Creación de nuevas reglas de bloqueo de aplicaciones en la página 100.

Eliminación de una regla de bloqueo de aplicaciones en la página 101.

Lista de reglas de aplicacionesLa lista de reglas de aplicaciones muestran las reglas importantes para el cliente y proporcionan información resumida y detallada de cada regla.

Activar creación de aplicaciones en modo Aprendizaje

Activar el modo Aprendizaje para la creación de aplicaciones, de forma que se pregunte al usuario para que permita o bloquee la creación de aplicaciones.

Activar enlace de aplicaciones en modo Aprendizaje

Activar el modo Aprendizaje para el enlace de aplicaciones, de forma que se pregunte al usuario para que permita o bloquee el enlace de aplicaciones.


Esta columna... Muestra...

Descripción El propósito de esta regla.

Crear

Permite que la aplicación se ejecute.

Bloquea la aplicación para que no se ejecute.

Enlazar Permite que la aplicación se enlace a otros programas.

Bloquea la aplicación para que no se enlace a otros

programas.

Aplicación El nombre del archivo y la ruta de la aplicación a la que se aplica esta regla.

147


9

Ficha Hosts bloqueadosUtilice la ficha Hosts bloqueados para controlar una lista de hosts bloqueados (direcciones IP) que se crea automáticamente cuando la protección IPS de red (NIPS) está activada (consulte Opciones de Directiva IPS en la página 142). Si la opción Crear reglas de cliente está seleccionada en la directiva Opciones IPS, en la consola de ePolicy Orchestrator, puede agregar elementos y editar la lista de hosts bloqueados.

Lista de hosts bloqueadosLa lista de direcciones bloqueadas se puede ver y editar. Se pueden añadir, eliminar y editar hosts bloqueados y ver los detalles de los hosts bloqueados.

La lista de hosts bloqueados muestra todos los hosts actualmente bloqueados por Host Intrusion Prevention. Cada línea representa un único host. Puede obtener más información sobre los hosts individuales, leyendo la información de cada columna.

Figura 9-11 ficha Hosts bloqueados

Columna Lo que muestra

Origen La dirección IP que Host Intrusion Prevention ha bloqueado.

Motivo del bloqueo Una explicación de por qué Host Intrusion Prevention está bloqueando esta dirección.

Si Host Intrusion Prevention agregó esta dirección a la lista por un intento de ataque al sistema, esta columna describe el tipo de ataque.

Si Host Intrusion Prevention agregó esta dirección porque una de sus reglas de cortafuegos utilizó la opción Tratar coincidencia de regla como intruso, esta columna muestra el nombre de la regla de cortafuegos correspondiente.

Si agregó esta dirección manualmente, esta columna muestra sólo la dirección IP que bloqueara.

148


9

Para editar la lista de hosts bloqueados:1 Haga clic en Agregar para agregar un host.

Aparecerá el cuadro de diálogo Host bloqueado.

2 Introduzca la dirección IP que desee bloquear. Para buscar una dirección IP por nombre de dominio, haga clic en Búsqueda de DNS.

3 Determine cuánto tiempo desea bloquear la dirección IP:

Seleccione Hasta su eliminación, para mantener el host bloqueado hasta que se elimine.

Seleccione Durante y escriba el número de minutos, hasta 60, para mantener el host bloqueado durante un período fijo de tiempo.

4 Haga clic en Trazar origen para trazar la dirección IP y obtener información como usuarios de NetBIOS, dirección MAC, identificador del servidor Telnet, identificador del servidor HTTP, identificador del servidor FTP, identificador del servidor SMTP y nombres DNS de las direcciones cercanas.


El nuevo host bloqueado aparece en la lista.

6 Para otras ediciones, haga una de las acciones siguientes:

Hora La hora y la fecha en la que agregó esta dirección a la lista de direcciones bloqueadas.

Tiempo restante Cuánto tiempo tendrá Host Intrusion Prevention bloqueada esta dirección.

Si especificó una hora de caducidad cuando bloqueó la dirección, esta columna mostrará el número de minutos que quedan para que Host Intrusion Prevention elimine la dirección de la lista.

Si especificó que deseaba que la dirección estuviera bloqueada hasta que se quitara manualmente de la lista, esta columna mostrará Hasta su eliminación.


Nota

Una vez haya creado una dirección bloqueada, Host Intrusion Prevention agrega una nueva entrada a la lista de la ficha Protección de aplicaciones. Bloquea cualquier intento de comunicación procedente de esa dirección IP, hasta que se retira ésta de la lista de direcciones bloqueadas o hasta que expira un determinado período de tiempo.


Ver los detalles de un host bloqueado o editarlo

Haga doble clic en una entrada de host, o seleccione un host y haga clic en Propiedades. El cuadro de diálogo Host bloqueado muestra información que puede editarse.

Eliminar un host bloqueado

Seleccione un host y haga clic en Eliminar.

149


9

Ficha Protección de aplicacionesLa ficha Protección de aplicaciones muestra una lista de aplicaciones protegidas en el cliente. Se trata de una lista no editable que contiene directivas administrativas y una lista de aplicaciones específicas de un cliente creada de forma heurística. Para obtener más detalles, consulte Reglas de protección de aplicaciones en la página 53.

Lista de Protección de aplicacionesEsta lista muestra todos los procesos supervisados en el cliente.

Figura 9-12 Ficha Lista de protección de aplicaciones


Proceso El proceso de la aplicación.

PID Identificador del proceso, la clave para la búsqueda en caché de un proceso.

Ruta completa del proceso La ruta completa del proceso de la aplicación.

150


9

Ficha Registro de actividadesUtilice la ficha Registro de actividades para configurar la función de registro y realizar el seguimiento de las acciones de Host Intrusion Prevention.

Opciones de Registro de actividadesLas opciones de la parte superior de la ficha controlan qué elementos registrar y mostrar.

Para personalizar las opciones de Registro de actividades:1 Haga clic en la ficha Registro de actividades.


Figura 9-13 Ficha Registro de actividades


Registro del tráfico: Registrar todos los bloqueados

Registrar todo el tráfico bloqueado en el cortafuegos.

Registro del tráfico: Registrar todos los permitidos

Registrar todo el tráfico permitido en el cortafuegos.

Opciones de Filtro: Tráfico

Filtrar los datos para visualizar tráfico bloqueado y permitido por el cortafuegos.

Opciones de Filtro: Aplicaciones

Filtrar los datos para mostrar los eventos causados por las aplicaciones.

Opciones de Filtro: Intrusos

Filtrar los datos para mostrar intrusos.

Nota

Puede activar y desactivar el registro para el tráfico del cortafuegos, pero no para las funciones IPS o de bloqueo de aplicaciones. No obstante, puede elegir ocultar estos eventos en el registro mediante el uso de un filtro.

151


9

Lista Registro de actividadesEl Registro de actividades contiene un registro en ejecución de las actividades. Las actividades más recientes aparecen en la parte inferior de la lista.

Puede borrar la lista eliminando el contenido del registro o guardándolo en forma de archivo .txt.


Hora La fecha y la hora de la acción de Host Intrusion Prevention.

Evento La función que realizó la acción.

Tráfico indica una acción del cortafuegos.

Aplicación indica una acción de bloqueo de aplicaciones.

Intruso indica una acción IPS.

Sistema indica un evento relacionado con los componentes internos del software.

Servicio indica un evento relacionado con el servicio o los controladores del software.

Origen Dirección remota a la que esta comunicación se envió, o de la que procede.

Datos del intruso

Nota: esta columna aparecerá sólo si selecciona Crear captura de rastreador... en el cuadro de diálogo Opciones de McAfee Host Intrusion Prevention.

Icono que indica que Host Intrusion Prevention guardó los datos del paquete asociados con este ataque. (Este icono sólo aparece para las entradas del registro IPS).

muestra que puede exportar los datos de paquete asociados con esta entrada del registro. Haga clic con el botón derecho en la entrada del registro para guardar los datos a un archivo Rastreador.

Aplicación Programa que dio lugar a la acción.

Mensaje Descripción de la acción tan detallada como es posible.


Eliminar permanentemente el contenido del registro

Haga clic en Borrar.

Guardar el contenido del registro y eliminar la lista de la ficha

Haga clic en Guardar. En el cuadro de diálogo Guardar archivo de registro en que aparecerá, de un nombre al archivo .txt y guárdelo.

152

McAfee® Host Intrusion Prevention 6.1 Guía del producto Cliente de Host Intrusion PreventionCliente Solaris

9

Cliente Solaris El cliente Solaris de Host Intrusion Prevention 6.1 identifica y evita intentos potencialmente perjudiciales que puedan dañar archivos y aplicaciones del servidor Solaris. Protege el sistema operativo del servidor junto con los servidores Web Apache y Sun y previene especialmente ataques de desbordamiento del búfer.

Aplicación de directivas con el cliente SolarisNo todas las directivas que protegen un cliente Windows están disponibles para el cliente Solaris. En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales pero no ofrece protección de cortafuegos. Las directivas válidas son las siguientes.

Solución de problemasUna vez instalado e iniciado, el cliente Solaris protege su host. Sin embargo, puede ser necesario solucionar problemas de instalación o de funcionamiento.

Problemas de instalación del clienteSi ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas que investigar. Entre ellas, asegúrese de que todos los archivos se han instalado en el directorio correcto, la desinstalación y reinstalación del cliente y la comprobación de los registros del proceso.

Con esta directiva... Están disponibles estas opciones...

HIP 6.1 GENERAL:IU de cliente Ninguna excepto admin o una contraseña basada

en tiempos para permitir el uso de la herramienta de solución de problemas.

Redes de confianza Ninguno

Aplicaciones de confianza Solo Marcar como de confianza para IPS y Nombre de nuevo proceso para agregar aplicaciones de confianza.

HIP 6.1 IPS:Opciones IPS Activar HIPS

Activar el modo AdaptaciónConservar reglas de cliente existentes

Protección IPS Todos

Reglas IPS Reglas de excepciónFirmas (solo reglas de HIPS predeterminadas y personalizadas)

Nota: las firmas NIPS y las Reglas de protección de aplicaciones no están disponibles.

Eventos IPS Todos

Reglas del cliente IPS Todos

Buscar reglas de excepción IPS

Todos

HIP 6.1 CORTAFUEGOS Ninguno

HIP 6.1 BLOQUEO DE APLICACIONES

Ninguno

153


9

Comprobación de los archivos de instalaciónDespués de una instalación, compruebe que se han instalado todos los archivos en el directorio apropiado en el cliente. El directorio /opt/McAfee/hip deberá incluir estos archivos y directorios esenciales:

El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo si tiene alguna pregunta acerca del proceso de instalación o de eliminación del cliente de Host Intrusion Prevention.

Comprobación de que el cliente se ejecutaEs posible que el cliente esté instalado correctamente pero que tenga problemas de funcionamiento. Si el cliente no aparece en la consola de ePO, por ejemplo, compruebe que se está ejecutando utilizando alguno de estos comandos:

/etc/rc2.d/SS99hip status

ps –ef | grep hip

Problemas de operaciones del clienteEl cliente Solaris no tiene interfaz de usuario para la solución de problemas de funcionamiento. Ofrece una herramienta de solución de problemas de línea de comandos, hipts, situada en el directorio /opt/McAfee/hip. Para utilizar esta herramienta, debe proporcionar una contraseña de cliente de Host Intrusion Prevention. Utilice la contraseña predeterminada que se incluye con el cliente (abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela.

Utilice la herramientas de solución de problemas para:

Indicar la configuración de registro y el estado del motor para el cliente.

Activar o desactivar el registro de mensajes.

Activar o desactivar los motores.

Iniciar sesión como raíz y ejecutar los siguientes comandos para la solución de problemas:

Nombre de archivo/directorio

Descripción

HipClient

HipClient-bin

Cliente Solaris

HipClientPolicy.xml Reglas de directivas

hipts

hipts-bin

Herramienta de solución de problemas

*.so Módulos de objetos compartidos de Host Intrusion Prevention y agente ePO

log directory Contiene archivos de registro: HIPShield.log y HIPClient.log

Ejecute este comando... Para...

hipts status Obtener el estado actual del cliente que indica qué tipo de registro está activado y qué motores están funcionando.

hipts logging on Activar el registro de tipos de mensajes específicos.

154


9

Inicio y parada del clientePuede que sea necesario detener la ejecución de un cliente y reiniciarla como parte de la solución de un problema.

Para detener un cliente Solaris:1 Desactive la protección IPS. Utilice uno de estos procedimientos:

Establezca Opciones IPS en Desactivado en la consola de ePO y aplique la directiva al cliente.

Ejecute el comando: hipts engines MISC:off.

2 Ejecute el comando: /etc/rc2.d/S99hip stop.

Para reiniciar un cliente Solaris:1 Ejecute el comando: /etc/rc2.d/S99hip restart.

2 Activar protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado para detener el cliente:

Establezca Opciones IPS en Activado en la consola de ePO y aplique la directiva al cliente.

Ejecute el comando: hipts engines MISC:on.

hipts logging off Desactivar el registro de tipos los tipos de mensajes. El registro está desactivado de forma predeterminada.

hipts message <nombre del mensaje>:on

Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”. Entre los mensajes se incluye:

errorwarningdebuginfoviolations

hipts message <nombre del mensaje>:off

Ocultar el tipo de mensaje indicado cuando el registro está establecido en “activado”. El mensaje de error está desactivado de forma predeterminada.

hipts message all:on Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”.

hipts message all:off Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”.

hipts engines <nombre del motor>:on

Activar el motor indicado. El motor está activado de forma predeterminada. Entre los motores se incluye:

MISCFILESGUIDMMAPBOENVHTTP

hipts engines <nombre del motor>:off

Desactivar el motor indicado.

hipts engines all:on Activar todos los motores.

hipts engines all:off Desactivar todos los motores.

Sugerencia

Además de la herramienta de solución de problemas, consulte los archivos HIPShield.log y HIPClient.log en el directorio /opt/McAfee/hip/log para verificar las operaciones o hacer un seguimiento de los problemas.


155

McAfee® Host Intrusion Prevention 6.1 Guía del producto Cliente de Host Intrusion PreventionCliente Linux

9

Cliente Linux El cliente Linux de Host Intrusion Prevention 6.1 identifica y evita intentos potencialmente perjudiciales que puedan dañar archivos y aplicaciones del servidor Linux. Aprovecha el mecanismo de protección SELinux nativo, traduciendo directivas IPS en reglas SELinux y eventos SELinux de nuevo en eventos IPS, y proporciona una gestión fácil de la consola de ePO.

Aplicación de directivas con el cliente LinuxNo todas las directivas que protegen un cliente Windows están disponibles para el cliente Linux. En resumen, Host Intrusion Prevention protege el servidor host de ataques perjudiciales pero no ofrece protección contra las intrusiones de red, incluido el desbordamiento de búfer. Las directivas válidas son las siguientes.

Notas acerca del cliente LinuxSi dispone de una directiva de SELinux existente o está utilizando la configuración de protección predeterminada, la instalación de un cliente Linux sustituye la directiva por una directiva de McAfee Host Intrusion Prevention predeterminada. La desinstalación del cliente Linux restaura la directiva de SELinux anterior.

El cliente Linux requiere que SELinux esté instalado y activado (establecido en imponer o permisivo). Si está instalado pero no activado, actívelo, defínalo para la directiva de destino y reinicie el equipo tras instalar el cliente Linux.

Con esta directiva... Están disponibles estas opciones...

HIP 6.1 GENERAL:IU de cliente Ninguna excepto admin o una contraseña basada en

tiempos para permitir el uso de la herramienta de solución de problemas.

Redes de confianza Ninguno

Aplicaciones de confianza Solo Marcar como de confianza para IPS y Nombre de nuevo proceso para agregar aplicaciones de confianza.

HIP 6.1 IPS:Opciones IPS Activar HIPS

Activar el modo AdaptaciónConservar reglas de cliente existentes

Protección IPS Todos

Reglas IPS Reglas de excepciónFirmas (solo reglas de HIPS predeterminadas y personalizadas)

Nota: las firmas NIPS y las Reglas de protección de aplicaciones no están disponibles.

Eventos IPS Todos

Reglas del cliente IPS Todos

Buscar reglas de excepción IPS Todos

HIP 6.1 CORTAFUEGOS Ninguno

HIP 6.1 BLOQUEO DE APLICACIONES

Ninguno

156


9

Linux controla los cambios de atributos de archivos con un único permiso de SELinux (archivo:setattr) No tiene control individual de chdir o symlink, control de un directorio de cambio ni control de creación de un vínculo simbólico.

SELinux utiliza un mecanismo de control de acceso obligatorio implementado en el núcleo de Linux con la estructura de Linux Security Modules (LSM). Esta estructura comprueba las operaciones permitidas después de comprobar los controles de acceso discrecional estándar de Linux. Puesto que el cliente Linux utiliza LSM, cualquier otra aplicación que utilice LSM no funcionará a no ser que se implemente el apilado.

Solución de problemasUna vez instalado e iniciado, el cliente Linux protege su host. Sin embargo, puede ser necesario solucionar problemas de instalación o de funcionamiento.

Problemas de instalación del clienteSi ha surgido algún problema al instalar o desinstalar el cliente, hay varias cosas que investigar. Entre ellas, asegúrese de que todos los archivos se han instalado en el directorio correcto, la desinstalación y reinstalación del cliente y la comprobación de los registros del proceso.

Comprobación de los archivos de instalaciónDespués de una instalación, compruebe que se han instalado todos los archivos en el directorio apropiado en el cliente. El directorio opt/McAfee/hip deberá incluir estos archivos y directorios esenciales:

El historial de instalación se escribe en /opt/McAfee/etc/hip-install.log. Consulte este archivo si tiene alguna pregunta acerca del proceso de instalación o eliminación del cliente de Host Intrusion Prevention.

Comprobación de que el cliente se ejecutaSi el cliente no aparece en la consola de ePO, por ejemplo, compruebe que el cliente se esté ejecutando. Para ello, ejecute este comando:

ps –ef | grep hip

Problemas de operaciones del clienteEs posible que el cliente esté instalado correctamente pero que tenga problemas de funcionamiento. Puede comprobar si el cliente se está ejecutando y detener y reiniciar el cliente.

Nombre de archivo Descripción

HipClient

HipClient-bin

Cliente Linux

HipClientPolicy.xml Reglas de directivas

hipts

hipts-bin

Herramienta de solución de problemas

*.so Módulos de objetos compartidos de Host Intrusion Prevention y agente ePO

log directory Contiene archivos de registro: HIPShield.log y HIPClient.log

157


9

Herramienta de solución de problemasEl cliente Linux no tiene interfaz de usuario para la solución de problemas de funcionamiento. Ofrece una herramienta de solución de problemas de línea de comandos, hipts, situada en el directorio opt/McAfee/hip. Para utilizar esta herramienta debe proporcionar una contraseña de cliente de Host Intrusion Prevention. Utilice la contraseña predeterminada que se incluye con el cliente (abcde12345) o envíe una directiva de IU de cliente al cliente con una contraseña de administrador o una contraseña basada en tiempos ajustada con la directiva y utilícela.

Utilice la herramientas de solución de problemas para:

Indicar la configuración de registro y el estado del motor para el cliente.

Activar o desactivar el registro de mensajes.

Activar o desactivar los motores.

Iniciar sesión como raíz y ejecutar los siguientes comandos para la solución de problemas:


hipts status Obtener el estado actual del cliente que indica qué tipo de registro está activado y qué motores están funcionando.

hipts logging on Activar el registro de tipos de mensajes específicos.

hipts logging off Desactivar el registro de tipos los tipos de mensajes. El registro está desactivado de forma predeterminada.

hipts message <nombre del mensaje>:on

Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”. Entre los mensajes se incluye:

error

warning

debug

info

violations

hipts message <nombre del mensaje>:off

Ocultar el tipo de mensaje indicado cuando el registro está establecido en “activado”. El mensaje de error está desactivado de forma predeterminada.

hipts message all:on Mostrar el tipo de mensaje indicado cuando el registro está establecido en “activado”.

hipts message all:off Ocultar todos los tipos de mensajes cuando el registro está establecido en “activado”.

hipts engines <enombre del motor>:on Activar el motor indicado. El motor está activado de forma predeterminada. Entre los motores se incluye:

MISC

FILES

hipts engines <nombre del motor>:off Desactivar el motor indicado.

hipts engines all:on Activar todos los motores.

hipts engines all:off Desactivar todos los motores.

Sugerencia

Además de la herramienta de solución de problemas, consulte los archivos HIPShield.log y HIPClient.log en el directorio McAfee/hip/log para verificar las operaciones o hacer un seguimiento de los problemas.

158


9

Inicio y parada del clientePuede que sea necesario detener la ejecución de un cliente y reiniciarla como parte de la solución de un problema.

Para detener un cliente Linux:1 Desactive la protección IPS. Utilice uno de estos procedimientos:

Establezca Opciones IPS en Desactivado en la consola de ePO y aplique la directiva al cliente.

Ejecute el comando: hipts engines MISC:off.

2 Ejecute el comando: hipts agent off.

Para reiniciar un cliente Linux:1 Ejecute el comando: hipts agent on.

2 Activar protección IPS. Siga uno de estos procedimientos, según cuál haya utilizado para detener el cliente:

Establezca Opciones IPS en Activado en la consola de ePO y aplique la directiva al cliente.

Ejecute el comando: hipts engines MISC:on.

159

10 Preguntas más frecuentes

En esta sección se da respuesta a algunas preguntas prácticas que pueden surgir al utilizar Host Intrusion Prevention 6.0.

¿Qué es una directiva?

¿Qué es la directiva McAfee Default?

¿Qué sucede en los nodos del Directorio debajo de un nodo donde he asignado una nueva directiva?

¿Cómo se ven afectados los nodos a los que se aplica una directiva cuando ésta se modifica?

¿Por qué la nueva directiva de Host Intrusion Prevention que he asignado no se impone?

¿Puedo delegar la administración de directivas IPS y del cortafuegos a diferentes administradores en distintas ubicaciones geográficas?

¿Puedo aplicar la misma configuración de seguridad a diferentes sistemas?

¿Puedo ver y editar las directivas aplicables a un nodo o cliente específico?

¿Cómo puedo ver todas las directivas aplicables y los nodos a los que están asignadas?

¿Cómo puedo ver eventos IPS activados por clientes?

¿Cómo puedo crear una excepción basada en un evento IPS?

¿Cómo puedo refinar directivas de Reglas IPS con mecanismos de ajuste automatizados?

¿Cómo puedo crear firmas personalizadas para una directiva IPS?

¿Cómo puedo reorganizar excepciones existentes y personalizar firmas en una nueva directiva?

¿Cómo puedo buscar directivas existentes que coincidan con un perfil determinado?

¿Qué es una directiva?Una directiva es un subconjunto personalizado de opciones del producto que corresponden a una categoría de directivas. Para cada categoría de directivas pueden crearse, modificarse o eliminarse tantas directivas con nombre como sea necesario.

160

McAfee® Host Intrusion Prevention 6.1 Guía del producto Preguntas más frecuentes 10

¿Qué es la directiva McAfee Default?Tras la instalación, cada categoría de directivas contiene al menos una directiva con nombre: McAfee Default. Las directivas predeterminadas de McAfee no pueden editarse, renombrarse ni eliminarse.

¿Qué sucede en los nodos del Directorio debajo de un nodo donde he asignado una nueva directiva?Todos los nodos con herencia activada para la categoría de directivas especificada heredarán la directiva que se aplique a un nodo principal.

¿Cómo se ven afectados los nodos a los que se aplica una directiva cuando ésta se modifica?Todos los nodos a los que se aplica una directiva reciben cualquier modificación realizada en la directiva en la siguiente comunicación entre agente y servidor o mediante la ejecución de una llamada de reactivación del agente. La directiva se impondrá después en cada intervalo de imposición de directivas.

¿Por qué la nueva directiva de Host Intrusion Prevention que he asignado no se impone?Las nuevas asignaciones de directivas no se imponen hasta la siguiente comunicación entre agente y servidor o mediante la ejecución de una llamada de reactivación del agente después de realizar la asignación. Además, si la interfaz de usuario de cliente se desbloquea con una contraseña, no se imponen nuevas asignaciones de directivas.

¿Puedo delegar la administración de directivas IPS y del cortafuegos a diferentes administradores en distintas ubicaciones geográficas? Sí. Host Intrusion Prevention permite delegar la responsabilidad de todas las funciones del producto o de funciones individuales, como IPS o Cortafuegos. No se admite una granularidad más fina de funcionalidad en la función, por ejemplo, administración de clientes y creación de excepciones.

Asigne derechos de usuario en el nivel del sitio, un nivel por debajo del directorio raíz, y los derechos se heredarán en todos los nodos debajo de ese sitio. No se admite el permiso explícito del usuario en nodos por debajo del nivel del sitio. Para delegar la administración por ubicación geográfica, designe una ubicación geográfica en un nodo de sitio y, a continuación, aplique los derechos de usuario correspondientes.

¿Puedo aplicar la misma configuración de seguridad a diferentes sistemas? El árbol de la consola organiza los nodos jerárquicamente. Se asignan directivas a nodos, de forma que los nodos del nivel de sitio denotan normalmente agrupaciones basadas en perfil, como Todos los servidores, Todos los equipos de escritorio, Servidores IIS o Servidores SQL. Este patrón de grupo puede replicarse en cada nodo de sitio.

ePolicy Orchestrator permite la creación de directivas independientes de nodos, aunque pueden compartirse entre todos los nodos. Cuando se asigna una directiva a un nodo, sus nodos secundarios la heredan automáticamente, a menos que otra directiva la anule. Se puede crear una directiva que coincida con cada perfil, como Directiva de servidor IIS, y aplicarla a cada uno de los grupos de nodos correspondientes, como Servidores IIS.

Coloque un equipo con un nuevo cliente de Host Intrusion Prevention en el grupo de perfiles apropiado al que se asignarán las directivas de seguridad correctas. Si esto no es posible, se puede definir la directiva para un cliente individual modificando las directivas en el nivel de nodo individual. La mayoría de las directivas heredadas pueden anularse, a menos que a una directiva se le haya asignado herencia forzada.

Nota

Si los nodos del árbol de ePolicy Orchestrator ya se han organizado para admitir productos cuya organización no se ajusta a Host Intrusion Prevention, podría resultar difícil reorganizar el árbol. Dado que la reorganización podría romper asignaciones de directivas existentes, se precisan conocimientos y permisos sobre todos los productos aplicables.

161


¿Puedo ver y editar las directivas aplicables a un nodo o cliente específico? Sí. Las directivas de Host Intrusion Prevention tienen categorías específicas, como Reglas IPS y Protección IPS, y cada una de ellas proporciona configuración específica. En las funciones de Host Intrusion Prevention, se pueden ver las categorías correspondientes al nodo seleccionado de la ficha Directivas. Cada categoría muestra el nombre de su directiva o directivas asignadas. La mayoría de las categorías, como Protección IPS, muestran una sola directiva, mientras que las categorías Reglas IPS y Aplicaciones de confianza muestran una o varias instancias de directivas. Para ver los detalles de cada directiva, haga clic en su nombre.

¿Cómo puedo ver todas las directivas aplicables y los nodos a los que están asignadas?El árbol de ePolicy Orchestrator tiene un nodo Catálogo de directivas, que muestra la lista de todas las directivas de cada categoría con un recuento de sus asignaciones. Haga clic en el valor de recuento para mostrar una lista de todos los nodos en los que la directiva se asigna directamente. El recuento no incluye nodos en los que se ha heredado la directiva.

¿Cómo puedo ver eventos IPS activados por clientes?ePolicy Orchestrator no tiene su propio visor de eventos, por lo que los eventos se gestionan en la ficha Eventos IPS de Host Intrusion Prevention dentro de la directiva Reglas IPS. Para ver la lista de eventos asociados con un nodo seleccionado, haga clic en la ficha Directivas y, a continuación, haga clic en el vínculo Eventos IPS. La ficha Eventos IPS muestra el conjunto combinado de eventos IPS generados por clientes debajo del nodo seleccionado para un número de días específico. La vista se actualiza automáticamente cuando se activan nuevos eventos y ofrece las operaciones siguientes:

Clasificar eventos por un solo atributo y filtrar por varios atributos.

Ver detalles de eventos.

Marcar los eventos como leídos u ocultos y ver los eventos en combinaciones de eventos leídos, no leídos y ocultos.

Crear excepciones o aplicaciones de confianza basadas en eventos.

¿Cómo puedo crear una excepción basada en un evento IPS?Seleccione un solo evento en la ficha Eventos IPS y haga clic en Crear excepción. Aparece un cuadro de diálogo Nueva excepción con datos ya introducidos basados en el evento original. Una ficha del cuadro de diálogo Nueva excepción muestra una lista de instancias de Directivas de reglas IPS de destino en las que se puede colocar esta excepción tras su creación.

¿Cómo puedo refinar directivas de Reglas IPS con mecanismos de ajuste automatizados?Host Intrusion Prevention proporciona una opción de modo de adaptación, que permite que clientes creen de forma automática y silenciosa reglas del cliente que permitan que se produzca actividad bloqueada pero no dañina. Una vez que los clientes han estado en modo de adaptación por un tiempo, un administrador puede hacer lo siguiente:

Nota

La nueva excepción sólo puede colocarse en una directiva existente que pueda editarse. Aplique una excepción a un cliente específico o a varios clientes; la directiva de destino para una excepción puede ser una directiva de cliente específico o una que se ajuste a un perfil común. Sin embargo, todas las directivas pueden compartirse como opción predeterminada, y aparecen en la lista de asignaciones para cada nodo. Se recomienda crear y mantener un número pequeño de directivas, de forma que puedan satisfacer colectivamente las necesidades de todos los clientes.En lugar de crear una excepción nueva, puede buscar y editar una excepción existente con atributos similares en una directiva existente; para ello utilice la función Buscar excepciones relacionadas.

162


Ver la lista de reglas del cliente creadas en un conjunto de clientes que tienen un perfil similar y crear una nueva directiva basada en esa información. Esta nueva directiva puede aplicarse a un conjunto más grande de clientes con el mismo perfil.

Determinar qué reglas del cliente específicas representan violaciones de seguridad y bloquear estas reglas como parte de la directiva Reglas IPS.

Ver una lista agregada de excepciones para obtener una idea del predominio de la misma operación en diferentes clientes con el mismo perfil.

Mover una regla de excepción del cliente a la lista de excepciones de directivas.

Buscar excepciones de directivas existentes para encontrar una excepción similar a una excepción del cliente que pueda editarse.

¿Cómo puedo crear firmas personalizadas para una directiva IPS?Las firmas personalizadas son parte de la directiva Reglas IPS y pueden crearse para satisfacer las necesidades de seguridad específicas de un perfil. Hay disponible un asistente para firmas personalizadas para crear firmas sencillas; también hay disponibles modos Estándar y Experto de firmas personalizadas destinados a usuarios avanzados.

¿Cómo puedo reorganizar excepciones existentes y personalizar firmas en una nueva directiva?Como administrador, ha identificado algunos falsos positivos en unos cuantos clientes y creado excepciones para ellos. Dado que estos eventos falsos positivos parecían aislados, inicialmente los ha colocado en diversas directivas. En un segundo análisis de las excepciones, ve un nuevo patrón: uno que puede aislarse en su propia directiva.

Para reorganizar estas excepciones en una nueva directiva, cree una nueva directiva de Reglas IPS y agréguela a la lista de directiva de Reglas IPS para el nodo correspondiente. Vea la lista de todas las excepciones de las diversas directivas asignadas a ese nodo. Seleccione una o varias excepciones apropiadas y muévalas a la nueva directiva.

Esta nueva directiva puede aplicarse entonces a otros clientes que se ajusten al perfil que se acaba de identificar, ya sea individualmente o como grupo.

¿Cómo puedo buscar directivas existentes que coincidan con un perfil determinado?Normalmente una organización tendrá múltiples directivas de Reglas IPS, una por perfil de cliente, como Servidor IIS y SQL Server. Dado que varios administradores gestionan normalmente diferentes partes del sistema, en ocasiones trabajar en diferentes turnos es esencial para tener un número pequeño de directivas mantenidas correctamente. Esto le ayudará como administrador a comprender rápidamente la organización actual de directivas y a identificar lo que está buscando.

Puede utilizar Buscar excepciones IPS para buscar excepciones en función de sus atributos y localizar su directiva principal en el proceso. La búsqueda permite:

Buscar directivas que contengan una excepción para una aplicación.

Buscar excepciones creadas para una firma.

Buscar directivas que contengan excepciones que coincidan con uno o varios atributos de un evento de falso positivo.

163

A Creación de firmas personalizadas

En esta sección se describe la estructura de las firmas personalizadas y se facilita información sobre cómo escribirlas para las diversas plataformas de clientes. Entre los temas se incluyen:

Estructura de las reglas

Firmas personalizadas de Windows

Firmas personalizadas de Solaris

Firmas personalizadas de Linux

Estructura de las reglasCada firma contiene una o varias reglas escritas en la sintaxis del lenguaje de comandos de herramientas ANSI (TCL, Tool Command Language). Cada regla contiene secciones obligatorias y opcionales, con una sección por línea. Las secciones opcionales varían en función del sistema operativo y de la clase de la regla. Cada sección define una categoría de regla y su valor. Una sección siempre identifica la clase de la regla, que define el comportamiento global de la regla.

La estructura básica de una regla es la siguiente:

Rule {

SectionA value

SectionB value

SectionC value

...

}

Nota

Asegúrese de revisar las reglas para escribir cadenas y secuencias de escape en TCL antes de intentar escribir reglas personalizadas. Una revisión rápida de cualquier referencia estándar en TCL debería garantizar una introducción correcta de los valores apropiados.

164

McAfee® Host Intrusion Prevention 6.1 Guía del producto Creación de firmas personalizadasEstructura de las reglas

A

Una regla para evitar una solicitud al servidor Web que tenga una parte “subject” (asunto) en la consulta de solicitud http tiene el siguiente formato:

Rule {

Class Isapi

Id 4001

level 4

query { Include “*subject*” }

method { Include “GET” }

time { Include “*” }

application { Include “*”}

user_name { Include “*” }

directives -c -d isapi:request

}

Consulte Firmas personalizadas de Windows en la pagina 170 para obtener una explicación de las diversas secciones y valores.

Secciones comunes obligatorias Las secciones obligatorias de una regla y sus valores incluyen los elementos descritos abajo. Para ver las secciones obligatorias de la sección class seleccionada, consulte la sección Class correspondiente en Firmas personalizadas de Windows, Unix y Linux.Las palabras clave Include y Exclude se utilizan para todas las secciones excepto para Id, level y directives. Include significa que la sección funciona en el valor indicado y Exclude significa que la sección funciona en todos los valores excepto en el indicado.

Nombre de sección

Valor Descripción

Class Depende del sistema operativo.

Indica la clase a la que se aplica esta regla.

Consulte:

Firmas personalizadas de Windows en la pagina 170

Firmas personalizadas de Solaris en la pagina 181

Firmas personalizadas de Linux en la pagina 185

Id 4000 – 7999 El número de ID único de la firma. Son los números disponibles para las reglas personalizadas.

level 0

1

2

3

4

El nivel de seguridad de la firma:

0=Desactivado

1=Blanco

2=Amarillo

3= Naranja

4= Rojo

time {include “*”} Esta sección sólo tiene este valor.

165


A

Uso de Include y ExcludeCuando se marca un valor de sección como Include, la sección funciona en el valor indicado, mientras que si se marca como Exclude, la sección funciona en todos los valores, excepto en el indicado. Cuando utilice estas palabras clave, se pondrán entre llaves { ... } y su valor entre comillas “... “.

user_name {Include/Exclude “cuenta de usuario o del sistema”}

Los usuarios a los que se aplica la regla. Especifique usuarios determinados o todos los usuarios. Observaciones para Windows: Para usuario local: utilice <nombre de equipo>/<nombre de usuario local>.Para usuario de dominio: utilice <nombre de dominio>/<nombre de usuario del dominio>. Para sistema local: use Local/System; esto equivale a NT Authority/System en Windows NT y <dominio>/<equipo> en Windows 2000. Algunas acciones iniciadas remotamente no indican el ID del usuario remoto, sino que en su lugar utilizan el servicio local y su contexto de usuario. Es necesario planificar esto correctamente al desarrollar las reglas. Cuando se produce un proceso en el contexto de una sesión nula, el usuario y el dominio son “Anónimos”. Si una regla se aplica a todos los usuarios, utilice un asterisco (*). En Solaris esta sección distingue entre mayúsculas y minúsculas.

application {Include/Exclude “ruta de acceso y nombre de la aplicación”}

La ruta completa del proceso que ha realizado la operación que ha creado la instancia. Cuando la operación es remota, la aplicación es el servicio/servidor local que gestiona la operación. Algunas operaciones locales se gestionan como si fueran remotas. Por ejemplo, para Windows el nombre de aplicación será el servicio/servidor local que gestiona la aplicación. Si una regla se aplica a todas las aplicaciones, utilice un asterisco (*). En Solaris esta sección distingue entre mayúsculas y minúsculas.

directives -c -d tipo de operación Los tipos de operación dependen de la clase y se enumeran para cada clase en las secciones posteriores. Tenga en cuenta que deben utilizarse los modificadores -c y -d.

Nota

Para crear una firma con varias reglas, basta con ir agregando una regla detrás de otra. Tenga presente que cada regla de la misma firma debe tener el mismo valor para sus secciones id y level.

Nombre de sección

Valor Descripción

166


A

Por ejemplo, para supervisar todos los archivos de texto en C:\test\:

files { Include “C:\\test\\*.txt” }

y para supervisar todos los archivos de texto excepto los de C:\test\:

files { Exclude “C:\\test\\*.txt” }

Combine las palabras clave para excluir valores de un conjunto de valores incluidos. Para supervisar todos los archivos de texto de la carpeta C:\test\ excepto el archivo abc.txt:


files { Exclude “C:\\test\\acb.txt” }

Cada vez que agregue la misma sección con la misma palabra clave, se agregará una operación. Para supervisar cualquier archivo de texto de la carpeta C:\test\ cuyo nombre comience por la cadena “abc”:


files { Include “C:\\test\\acb*” }

Secciones comunes opcionalesLas secciones comunes opcionales de una regla y sus valores incluyen el elemento descrito más abajo. Para ver las secciones opcionales de una sección class seleccionada, consulte la sección Class correspondiente en Firmas personalizadas de Windows, Unix y Linux. Las palabras clave Include y Exclude se utilizan tanto para dependencias como para atributos. Include significa que la sección funciona en el valor indicado y Exclude significa que la sección funciona en todos los valores excepto en el indicado.

Uso de la sección dependencies Agregue la sección opcional dependencies para impedir que una regla más general se active junto con una regla más específica. Por ejemplo, si hay una sola regla para supervisar un solo archivo de texto en C:\test\:

files { Include “C:\\test\\abc.txt” }

así como una regla para supervisar todos los archivos de texto en C:\test\:


Agregue la sección dependencies a la regla más específica; de esta forma, básicamente se indica al sistema que no active la regla más general si se activa la regla específica.


dependencies –c –d “the general rule”

Sección Valor Descripción

dependencies -c -d {Include/Exclude “id de una regla”}

Define dependencias entre reglas e impide la activación de reglas dependientes. Sólo se utilizan los modificadores -c y -d.

167


A

Variables del valor de secciónPueden utilizarse comodines, metasímbolos y variables predefinidas como valor en las secciones disponibles.

Uso de comodines.

Uso de variables del entorno.

Uso de variables predefinidas.

Uso de comodines Los comodines pueden utilizarse para algunos de los valores de las secciones.

Uso de variables del entornoUtilice variables del entorno, el comando iEnv con un parámetro (el nombre de la variable), como forma abreviada de especificar nombres de rutas de acceso a directorios y archivos de Windows.

Uso de variables predefinidas Host Intrusion Prevention proporciona variables predefinidas para la escritura de reglas. Estas variables están precedidas por “$,” y se enumeran a continuación.

Servidor Web con Windows IIS

Carácter Lo que representa

? (signo de interrogación) Un solo carácter.

* (asterisco) Varios caracteres.


& (símbolo de “y” comercial) Varios caracteres excepto / y \. Utilícelo para que se corresponda con el contenido del nivel raíz de una carpeta, pero no con las subcarpetas.

files { Include “C:\\test\\&.txt” }

! (signo de exclamación) Escape de comodín.

files { Include “C:\\test\\yahoo!!.txt” }

Variable del entorno

Lo que representa

iEnv SystemRoot C:\winnt\, donde C es la unidad que contiene la carpeta System de Windows. Por ejemplo:

files {Include “[iEnv SystemRoot]\\system32\\abc.txt” }

iEnv SystemDrive C:\ donde C es la unidad que contiene la carpeta System de Windows.

Por ejemplo:

files {Include “[iEnv System Root]\\system32\\abc.txt”}

Variable Significado

IIS_BinDir Directorio donde se ubica inetinfo.exe

IIS_Computer Nombre del equipo en el que se ejecuta IIS

IIS_Envelope Incluye todos los archivos a los que puede obtener acceso IIS

IIS_Exe_Dirs Directorios virtuales que permiten ejecutar archivos, incluidas la raíz del sistema y la raíz de IIS

IIS_Ftp_Dir Directorios de la raíz del sitio FTP

IIS_FTP_USR Nombre de cuenta de usuario anónimo del FTP local

168


A

Servidor de base de datos con MS SQL

Solaris Apache e iPlanet

IIS_FtpLogDir Directorio de archivos de registro de FTP

IIS_IUSR Nombre de cuenta de usuario anónimo de Web local

IIS_IUSRD Nombre de cuenta de usuario anónimo de Web de dominio

IIS_IWAM Nombre de cuenta de usuario de IIS Web Application Manager

IIS_LogFileDir Directorio de archivos de registro de Web

IIS_LVirt_Root Todos los directorios virtuales de IIS

IIS_Processes Procesos con derechos de acceso a recursos de IIS

IIS_Services Todos los servicios necesarios para que IIS funcione correctamente

MSSQL_Allowed_Access_Paths Directorios accesibles, como \WINNT y \WINNT\System32

MSSQL_Allowed_Execution_Paths Directorios ejecutables, como \WINNT y \WINNT\System32

MSSQL_Allowed_Modification_Paths Directorios modificables, como \WINNT\Temp

MSSQL_Auxiliary_Services Servicios MS SQL auxiliares encontrados en el sistema

MSSQL_Core_Services Servicios MS SQL principales encontrados en el sistema

MSSQL_Data_Paths Todos los demás archivos de datos asociados con MS SQL que pueden encontrarse fuera del directorio MSSQL_DataRoot_Path

MSSQL_DataRoot_Paths Ruta de acceso a los archivos de datos de MS SQL para cada instancia

MSSQL_Instances Nombre de cada instancia instalada de MS SQL

MSSQL_Registry_Paths Todas las ubicaciones del Registro asociadas con MS SQL


UAPACHE_Bins Ruta de acceso a archivos binarios de Apache

UAPACHE_CgiRoots Ruta de acceso a las raíces CGI

UAPACHE_ConfDirs Directorios que contienen archivos de configuración de Apache

UAPACHE_DocRoots Ruta de acceso a raíces de documentos

UAPACHE_Logs Archivos de registro de Apache

UAPACHE_Logs_dir Directorio de archivos de registro

UAPACHE_Roots Raíces Web de Apache

UAPACHE_Users Usuarios bajo los que se ejecuta Apache

UAPACHE_VcgiRoots Ruta de acceso a las raíces CGI de servidores virtuales

UAPACHE_VdocRoots Raíces de documentos virtuales

UAPACHE_Vlogs Archivos de registro de servidores virtuales

UAPACHE_Vlogs_dir Directorios para archivos de registro de servidores virtuales

UIPLANET_BinDirs Ruta de acceso a archivos binarios de iPlanet

UIPLANET_CgiDirs Ruta de acceso a directorios CGI

UIPLANET_DocDirs Rutas de acceso a directorios de documentos

UIPLANET_Process Ruta de acceso al archivo binario ns-httpd de iPlanet

UIPLANET_Roots Ruta de acceso al directorio raíz de iPlanet


169

McAfee® Host Intrusion Prevention 6.1 Guía del producto Creación de firmas personalizadasFirmas personalizadas de Windows

A

Firmas personalizadas de WindowsEn este tema se describe el método para crear firmas personalizadas de Windows.

El valor de la sección class depende de la naturaleza de la seguridad y de la protección que pueden ofrecer las reglas. Para Windows están disponibles estos valores:

Clase Files En la tabla siguiente se enumeran las posibles secciones de la clase Files.

Nota

Las reglas en la clase Files de Windows utilizan barras invertidas dobles y las reglas en la clase UNIX_Files de Solaris utilizan una única barra invertida.

Class Cuándo se utiliza

Files Para operaciones en archivos o directorios. Consulte Clase Files.

Isapi Para supervisar la solicitud a IIS. Consulte Clase Isapi en la pagina 173.

Registry Para operaciones en claves y valores del Registro. Consulte Clase Registry en la pagina 176.

Services Para operaciones en servicios. Consulte Clase Services en la pagina 178.

Sección Valores Notas

Class Files

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user-name cuenta de usuario o del sistema

application ruta + nombre de la aplicación

files Archivo o carpetas implicados en la operación

Consulte las Notas 1 y 2.

dest_file Archivo de destino, si la operación implica archivos de origen y de destino

Esta sección es opcional. Consulte las Notas 1 y 2.

directives -c -d files:create Crear el archivo directamente o mover el archivo al directorio.

files:read Abrir el archivo en modo de lectura.

files:write Abrir el archivo en modo de escritura.

files:execute Ejecutar el archivo (ejecutar un directorio significa que este directorio se convertirá en el directorio actual).

files:delete Eliminar un archivo de un directorio o moverlo a otro directorio.

files:rename Cambiar el nombre de un archivo en el mismo directorio; consulte la Nota 2.

files:attribute Cambiar los atributos del archivo. Los atributos supervisados son “Sólo lectura”, “Oculto”, “Archivo de almacenamiento” y “Sistema”. No se supervisan los atributos exclusivos de Windows 2000 “Índice”, “Comprimir” ni “Cifrar”.

170


A

Nota 1Si se utiliza la sección files, la ruta de acceso a una carpeta o archivo supervisado puede ser la ruta completa o un comodín. Por ejemplo, algunas representaciones válidas de la ruta de acceso son:


files { Include “*\\test\\abc.txt” }

files { Include “*\\abc.txt” }

Si se utiliza la sección dest_file, la ruta de acceso absoluta no se puede utilizar sino que debe existir un comodín al comienzo de la ruta para representar la unidad. Por ejemplo, algunas representaciones válidas de la ruta de acceso son:

dest_file { Include “*\\test\\abc.txt” }

dest_file { Include “*\\abc.txt” }

Nota 2La directiva files:rename tiene un significado diferente cuando se combina con la sección files y la sección dest_file.

Cuando se combina con la sección files, significa que se supervisa el cambio de nombre del archivo en la sección files. Por ejemplo, la siguiente regla supervisa el cambio de nombre del archivo C:\test\abc.txt a cualquier otro:

Rule {

Class Files

Id 4001

level 1





directives -c -d files:rename

}

Combinada con la sección dest_file, significa que no se puede cambiar el nombre del archivo al archivo de la sección dest_file. Por ejemplo, la siguiente regla supervisa el cambio de nombre de cualquier archivo a C:\test\abc.txt:

Rule {

Class Files

Id 4001

level 1

dest_file { Include “*\\test\\abc.txt” }




directives -c -d files:rename}

Nota

La sección files no es obligatoria cuando se utiliza la sección dest_file. Si se emplea la sección files, ambas secciones files y dest_file han de coincidir.

171


A

Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros de eventos de seguridad para la clase Files. Los valores de estos parámetros pueden ayudarle a comprender por qué se activa una firma.

La siguiente regla impediría a cualquier usuario y a cualquier proceso crear el archivo “abc.txt” en la carpeta C:\test\.

Rule {

Class Files

Id 4001

level 4





directives -c -d files:create

}

Las diversas secciones de esta regla tienen el siguiente significado:

Class Files: indica que esta regla está relacionada con la clase de operaciones en servicios.

Id 4001: asigna el ID 4001 a esta regla. Si la firma personalizada tiene varias reglas, cada una de ellas deberá utilizar el mismo ID.

level 4: Asigna el nivel de seguridad “alto” a esta regla. Si la firma personalizada tiene varias reglas, cada una de ellas deberá utilizar el mismo nivel.

files { Include “C:\\test\\abc.txt” }: Indica que la regla cubre el archivo y la ruta C:\test\abc.txt específicos. Si la regla tuviera que cubrir varios archivos, habría que agregarlos en esta sección en líneas diferentes. Por ejemplo, al supervisar los archivos C:\test\abc.txt y C:\test\xyz.txt, la sección cambia a: files { Include “C:\\test\\abc.txt” “C:\\test\\xyz.txt” }.

time { Include “*” }: Esta sección no se utiliza actualmente, aunque debe incluirse de esta forma en la regla.

application { Include “*”}: Indica que esta regla es válida para todos los procesos. Si deseara limitar la regla a procesos específicos, se deben escribir aquí, junto con el nombre de su ruta de acceso.

user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios (o más concretamente, el contexto de seguridad en el que se ejecuta un proceso). Si deseara limitar la regla a contextos de usuarios específicos, debe indicarlos aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones comunes obligatorias” para obtener más información.

directives -c -d files:create: Indica que esta regla cubre la creación de un archivo. Los modificadores -c y -d siempre deben utilizarse en la sección directives.

Nombre en la GUI Explicación

files Nombre del archivo al que se ha accedido

archivo de destino Sólo aplicable para cambiar el nombre de archivos: nuevo nombre asignado al archivo

172


A

Clase Isapi En la tabla siguiente se enumeran las posibles secciones de la clase Isapi.

Nota 1Una solicitud http entrante puede representarse como: http://www.myserver.com/ {url}?{query}. En este documento, nos referimos a {url} como la parte “url” de la solicitud http y a {query} como la parte de “consulta” de la solicitud http. Utilizando esta convención de nombres, podemos decir que la sección “url” se comparará con {url} y la sección de “consulta” con {query}.

Por ejemplo, la siguiente regla se activaría si IIS recibiera la solicitud http http:// www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean:

Rule {

Class Isapi

Id 4001

level 1

url { Include “*abc*” }





}

Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor de la sección “url” (es decir, abc).

Nota 2 Antes de efectuar la correspondencia, se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape.


Class Isapi

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *

user_name cuenta de usuario o del sistema


url Esta sección es opcional. Se compara con la parte url de una solicitud entrante; consulte las notas 1, 2, 3 y 4.

consulta Esta sección es opcional. Se compara con la parte de consulta de una solicitud entrante; consulte las notas 1, 2, 3 y 4.

método “GET”, “POST”, “INDEX” y todos los demás métodos de http permitidos

Esta sección es opcional. Consulte la nota 4.


173


A

Nota 3Se puede definir una restricción de longitud máxima para las secciones “url” y “query”. Agregando “;número_de_caracteres” al valor de estas secciones, la regla sólo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. Por ejemplo, la siguiente regla coincidirá si la parte url de la solicitud contiene “abc” y tiene más de 500 caracteres:

Rule {

Class Isapi

Id 4001

level 1

url { Include “*abc*;500” }




directives -c -d isapi:request}

}

Nota 4 Una regla ha de contener al menos una de las secciones url, query, method opcionales.

Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros de eventos de seguridad para la clase Isapi. Los valores de estos parámetros pueden ayudarle a comprender por qué se activa una firma.

Nombre en la GUI explicación

url Parte de ubicación descodificada y normalizada de una solicitud HTTP entrante (la parte antes del signo de interrogación “?”).

consulta Parte de consulta descodificada y normalizada de una solicitud HTTP entrante (la parte después del primer signo de interrogación “?”).

tipo de servidor Web Tipo y versión de la aplicación de servidor Web utilizada.

método Método de la solicitud HTTP entrante (como Get, Put, Post, Query, etc.).

archivo local Nombre físico del archivo que la solicitud recupera o ha intentado recuperar. Descodificado y normalizado en IIS.

url sin procesar Línea de solicitud “sin procesar” (no descodificada y no normalizada) de la solicitud HTTP entrante. La línea de solicitud es “<method> <location[?query]> <http version> CRLF”.

usuario Nombre de usuario del cliente que realiza la solicitud; sólo está disponible si la solicitud se autentica.

origen Nombre o dirección IP del cliente en el que se originó la solicitud HTTP.

servidor Información sobre el servidor Web en el que se creó el evento (es decir, el equipo en el que está instalado el cliente) en el formato <nombre de host>:<dirección IP>:<puerto>. El nombre de host es la variable host del encabezado de HTTP; se deja en blanco si no está disponible.

longitud del contenido Número de bytes en el cuerpo de la parte de mensaje de la consulta.

174


A

La siguiente regla impediría una solicitud al servidor Web que contiene “subject” en la parte “query” de la solicitud http:

Rule {

Class Isapi

Id 4001

level 4

query { Include “*subject*” }

method { Include “GET” }





}

Por ejemplo, la siguiente regla impediría la solicitud GET http://www.myserver.com/test/ abc.exe?subject=wildlife&environment=ocean.


Class Isapi: indica que esta regla está relacionada con la clase Isapi.



query { Include “*subject*” }: Indica que la regla coincide con cualquier solicitud (GET) que contenga la cadena “subject” en la parte “query” de la solicitud http. Si la regla tuviera que cubrir varios archivos en la parte “query”, se tendrían que agregar en esta sección en líneas diferentes.

method { Include “GET” }: Indica que la regla sólo puede coincidir con solicitudes GET.


application { Include “*”}: Indica que esta regla es válida para todos los procesos. Si se deseara limitar la regla a procesos específicos, se deberían escribir aquí, junto con el nombre de su ruta de acceso.

user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios (o más concretamente, el contexto de seguridad en el que se ejecuta un proceso). Si deseara limitar la regla a contextos de usuarios específicos, debería indicarlos aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones comunes obligatorias” para obtener más información.

directives -c -d isapi:request: Indica que esta regla cubre una solicitud http. Los modificadores -c y -d siempre deben utilizarse en la sección directives.

175


A

Clase Registry En la tabla siguiente se enumeran las posibles secciones de la clase Registry.

Nota 1 HKEY_LOCAL_MACHINE en una ruta del Registro se sustituye por \REGISTRY\MACHINE\ y CurrentControlSet se sustituye por ControlSet. Por ejemplo, el valor del Registro “abc” en la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa se representa como \\REGISTRY\\MACHINE\\ SYSTEM\\ControlSet\\Control\\Lsa\\abc.

Nota 2Los datos de las secciones old data y new data deben estar en formato hexadecimal. Por ejemplo, los datos ‘def’ del valor del Registro “\HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa\abc” deben representarse como old_data { Include “%64%65%66”}.


Class Registry

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *



keys o values clave o valor del Registro Consulte la Nota 1.

old data Datos anteriores del valor Esta sección es opcional. Es sólo para la <directiva> Modify; consulte la Nota 2.

new data Nuevos datos del valor Esta sección es opcional. Es sólo para las <directivas> Modify o Create; consulte la Nota 2.

directives -c -d registry:delete Eliminación de una clave o un valor del Registro.

registry:modify Modificación del contenido de un valor del Registro o de la información de una clave del Registro.

registry:permissions Modificación de los permisos de una clave del Registro.

registry:read Obtención de información de claves del Registro (número de subclaves, etc.) o del contenido de un valor del Registro.

registry:enumerate Enumeración de una clave del Registro; es decir, obtención de la lista de todas las subclaves y valores de la clave.

176


A

Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros de eventos de seguridad para la clase Registry. Los valores de estos parámetros pueden ayudarle a comprender por qué se activa una firma.

Ejemplo

La siguiente regla impediría que cualquier usuario y cualquier proceso pudiera eliminar el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa”

Rule {

Class Registry

Id 4001

level 4

values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }




directives -c -d registry:delete

}


Class Registry: indica que esta regla está relacionada con solicitudes enviadas a IIS.



values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\ Lsa\\abc” }: Indica que la regla supervisa el valor del Registro “abc” en la clave del Registro “\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Si la regla tuviera que cubrir varios valores, se deberían agregar en esta sección en líneas diferentes.

Nombre en la GUI explicación

Clave del Registro Nombre de la clave del Registro afectada, incluido el nombre de la ruta de acceso. El prefijo \REGIS-TRY\MACHINE\ representa HKEY_LOCAL_MACHINE\, y \REGISTRY\CURRENT_USER\ representa \HKEY_USER\.

Valor(es) del Registro Nombre del valor del Registro concatenado con el nombre completo de su clave.

datos anteriores datos nuevos tipo de datos anteriores tipo de datos nuevos

Sólo aplicable para cambios de los valores del Registro: datos que contenía un valor del Registro antes de que se cambiara o se intentara cambiar. Sólo aplicable para cambios de los valores del Registro: datos que un valor del Registro contiene después de haberse cambiado o que contendría si el cambio se realizara. Sólo aplicable para cambios de los valores del Registro: tipo de datos que un valor del Registro contenía antes de cambiarse o de que se intentaran cambiar. Sólo aplicable para cambios de los valores del Registro: tipo de datos que un valor del Registro contendría después de cambiarse o si el cambio se realizara.

177


A



user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios (o más concretamente, el contexto de seguridad en el que se ejecuta un proceso). Si se deseara limitar la regla a contextos de usuarios específicos, se deberían indicar aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones comunes obligatorias” para obtener más información.

directives -c -d registry:delete: Indica que esta regla cubre la eliminación de una clave o valor del Registro. Los modificadores -c y -d siempre deben utilizarse en la sección directives.

Clase Services En la tabla siguiente se enumeran las posibles secciones de la clase Services.

Nota 1La sección service debe contener el nombre del servicio de la clave del Registro correspondiente en HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.

La sección display_names debe contener el nombre de visualización del servicio, el nombre mostrado en el panel de control de Servicios, que se encuentra en el valor del Registro HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ <nombre_del_servicio>\DisplayName.

sección valores significado/observaciones

Class Services

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *



services nombre del servicio que es el asunto de la operación de creación de la instancia.

debe utilizarse la sección “services” o la sección “display_names”; el nombre de un servicio se encuentra en el Registro en HKLM\SYSTEM\CurrentControlSet\Services\; consulte la Nota 1

display_names nombre de visualización del servicio

este nombre se muestra en el panel de control de servicios; consulte la Nota 1

directives -c -d services:delete Eliminación de un servicio

services:create Creación de un servicio

services:start Comando de inicio de un servicio

services:stop Comando de fin de un servicio

services:pause Comando de pausa de un servicio

services:continue Comando de continuación de un servicio

services:startup Modificación del modo de inicio de un servicio

services:profile_enable Activación de un perfil de hardware

services:profile_disable Desactivación de un perfil de hardware

services:logon Modificación de la información de inicio de sesión de un servicio

178


A

Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros de eventos de seguridad para la clase Services. Los valores de estos parámetros pueden ayudarle a comprender por qué se activa una firma.

La siguiente regla impediría la desactivación del servicio Alerter.

Rule {

Class Services

Id 4001

level 4

Service { Include “Alerter” }




directives -c -d service:stop

}

Nombre en la GUI

Explicación Valores posibles

nombres para mostrar

Nombre del servicio de Windows, tal y como aparece en el panel de control del Administrador de servicios.

services Nombre del sistema del servicio de Windows (mostrado en HKLM\CurrentControlSet\Services\); puede ser distinto del nombre mostrado en el panel de control del Administrador de servicios.

parámetros Sólo aplicable para iniciar un servicio: parámetros pasados al servicio tras la activación.

inicio anterior Sólo aplicable para crear o cambiar el modo de inicio de un servicio: indica el modo de inicio antes de que se cambiara o se intentara cambiar.

Arranque, Sistema, Automático, Manual, Desactivado

inicio nuevo Sólo aplicable para cambiar el modo de inicio de un servicio: indica el modo de inicio que un servicio tiene después cambiarse o que tendría si el cambio se realizara.

Arranque, Sistema, Automático, Manual, Desactivado

inicio de sesión Sólo aplicable para cambios en el modo de inicio de sesión de un servicio: información sobre el inicio de sesión (cuenta de usuario o del sistema) utilizada por el servicio.

179


A


Class Services: indica que esta regla está relacionada con la clase de operaciones en servicios.



Service { Include “Alerter” }: Indica que la regla cubre el servicio denominado “Alerter”. Si la regla tuviera que cubrir varios servicios, se deberían agregar en esta sección en líneas diferentes.



user_name { Include “*” }: Indica que esta regla es válida para todos los usuarios (o más concretamente, el contexto de seguridad en el que se ejecuta un proceso). Si se deseara limitar la regla a contextos de usuarios específicos, se deberían indicar aquí en el formato Local/user o Domain/user. Consulte el apartado “Secciones comunes obligatorias” para obtener más información.

directives -c -d service:stop: Indica que esta regla cubre la desactivación de un servicio. Los modificadores -c y -d siempre deben utilizarse en la sección directives.

180

McAfee® Host Intrusion Prevention 6.1 Guía del producto Creación de firmas personalizadasFirmas personalizadas de Solaris

A

Firmas personalizadas de Solaris En este tema se describe el método para crear firmas personalizadas de Solaris.

La clase de la firma depende de la naturaleza de la seguridad y de la protección que pueden ofrecer las reglas. En la tabla siguiente se enumeran las clases Solaris disponibles:

Clase UNIX_file En la tabla siguiente se enumeran las posibles secciones de la clase Files.

Nota

Las reglas en la clase Files de Windows utilizan barras invertidas dobles y las reglas en la clase UNIX_Files de Solaris utilizan una única barra invertida.

clase significado/observaciones

UNIX_file Se utiliza para operaciones en archivos o directorios. Consulte Clase UNIX_file.

UNIX_apache Se utiliza para operaciones http. Consulte Clase UNIX_apache en la pagina 183.


Class UNIX_file

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *


application ruta de cuenta de usuario o del sistema + nombre de la aplicación

files archivo(s) de origen Archivos que hay que buscar. Esto es opcional si se utiliza el origen de una sección; consulte la Nota 1.

origen nombres de archivos de destino Esto es opcional. Consulte la Nota 1.

file permission] lista de permisos de nombres de archivos de origen

Esto es opcional. Consulte la Nota 2.

new permission modo de permiso de un archivo recién creado o permiso modificado

Esto es opcional. Consulte la Nota 2.

directives unixfile:symlink Creación de un vínculo simbólico.

unixfile:link Creación de un vínculo rígido. Consulte la Nota 3.

unixfile:read Apertura del archivo en modo de lectura.

unixfile:write Apertura del archivo en modo de escritura.

unixfile:unlink Eliminación de un archivo de un directorio o eliminación del directorio.

unixfile:rename Cambio de nombre de un archivo. Consulte la Nota 4.

unixfile:chmod Cambio de los permisos del directorio o archivo.

unixfile:chown Cambio de la propiedad de archivo del directorio o archivo.

unixfile:create Creación de un archivo.

unixfile:mkdir Creación de un directorio.

unixfile:rmdir Eliminación de un directorio.

unixfile:chdir Cambio del directorio de trabajo.

181


A

Nota 1 Directivas (X) correspondientes por sección:

Nota 2El valor de las secciones permisos de archivo y nuevos permisos corresponde a la Lista de control de acceso (ACL). Éstas sólo pueden tener valores de “SUID” o “SGID”.

Nota 3 La directiva Unixfile:link tiene un significado diferente cuando se combina con la sección files y la sección source:

Combinada con la sección files, significa que se supervisa la creación de un vínculo con el archivo en la sección files.

Combinada con la sección source, significa que no se puede crear ningún vínculo con el nombre que se especifica en la sección source.

Nota 4 La directiva Unixfile:rename tiene un significado diferente cuando se combina con la sección files y la sección source:

Combinada con la sección files, significa que se supervisa el cambio de nombre del archivo en la sección files.

Combinada con la sección source, significa que no se puede cambiar el nombre del archivo al archivo de la sección source.

directiva archivo origen permiso de archivo

nuevo permiso

symlink X X - X

read X - - -

write X - - -

unlink X - - -

rename X X - -

chmod X - X X

chown X - - -

create X - X X

mkdir X - - -

rmdir X - - -

chdir X - - -

182


A

Detalles avanzados En la ficha Detalles avanzados aparecen algunos o todos los siguientes parámetros de eventos de seguridad para la clase UNIX_Files. Los valores de estos parámetros pueden ayudarle a comprender por qué se activa una firma.

Clase UNIX_apache En la tabla siguiente se enumeran las posibles secciones de la clase Unix_apache. Esta clase puede utilizarse para los servidores Web Apache, iPlanet y Netscape Enterprise.

Nota 1Una solicitud http entrante puede representarse como: http://www.myserver.com/ {url}?{query}. En este documento, nos referimos a {url} como la parte “url” de la solicitud http y a {query} como la parte de “consulta” de la solicitud http. Utilizando esta convención de nombres, podemos decir que la sección “url” se comparará con {url} y la sección de “consulta” con {query}.

Nombre en la GUI Explicación

files Nombres del archivo al que se ha accedido o se ha intentado acceder.

origen Sólo se aplica cuando la operación consiste en la creación de un vínculo simbólico entre archivos: nombre del nuevo vínculo; o cuando la operación consisten en cambiar el nombre de un archivo: nuevo nombre del archivo.

permiso de archivo Permisos del archivo.

source permission Sólo se aplica cuando la operación consiste en la creación de un vínculo simbólico entre archivos: permisos del archivo de destino (el archivo al que envía el vínculo).

nuevo permiso Sólo se aplica al crear un nuevo archivo o al realizar una operación chmod: permisos del nuevo archivo.


Class UNIX_apache

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *



url Esta sección es opcional. Se compara con la parte de URL de una solicitud entrante; consulte las notas 1, 2, 3 y 4.

consulta Esta sección es opcional. Se compara con la parte de consulta de una solicitud entrante; consulte las notas 1, 2, 3 y 4.

método “GET”, “POST”, “INDEX” y los demás métodos de http

Esta sección es opcional. Consulte la Nota 4.

directives -c -d apache:request

183


A

Por ejemplo, la siguiente regla se activaría si IIS recibiera la solicitud http http://www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean:

Rule {

Clase UNIX_apache

Id 4001

level 1

url { Include “*abc*” }




directives -c -d apache:request

}

Esta regla se activa porque {url}=/search/abc.exe, que coincide con el valor de la sección “url” (es decir, abc).

Nota 2 Antes de efectuar la correspondencia, se descodifican y normalizan las secciones “url” y “query” de forma que las solicitudes no puedan rellenarse con secuencias de codificación o escape.

Nota 3Se puede definir una restricción de longitud máxima para las secciones “url” y “query”. Agregando “;número_de_caracteres” al valor de estas secciones, la regla sólo puede coincidir si {url} o {query} tienen más caracteres que el número especificado en “número_de_caracteres”. Por ejemplo, la siguiente regla coincidirá si la parte url de la solicitud contiene “abc” y tiene más de 500 caracteres:

Rule {

Clase UNIX_Apache

Id 4001

level 1

url { Include “*abc*;500” }




directives -c -d apache:request}

}

Nota 4 Una regla ha de contener al menos una de las secciones url, query, method opcionales.

184

McAfee® Host Intrusion Prevention 6.1 Guía del producto Creación de firmas personalizadasFirmas personalizadas de Linux

A

Firmas personalizadas de LinuxEn este tema se describe el método para crear firmas personalizadas de Linux.

La clase de la firma depende de la naturaleza de la seguridad y de la protección que ofrecen las reglas. En la tabla siguiente se enumeran las clases Linux disponibles:

Clase UNIX_file En la tabla siguiente se enumeran las posibles secciones de la clase Files.

clase significado/observaciones

UNIX_file Se utiliza para operaciones en archivos o directorios. Consulte Clase UNIX_file.


Class UNIX_file

Id 4000 – 7999

level 0, 1, 2, 3, 4

time *


application ruta de cuenta de usuario o del sistema + nombre de la aplicación

files archivo(s) de origen Archivos que hay que buscar. Esto es opcional si se utiliza el origen de una sección; consulte la Nota 1.

directives unixfile:link Creación de vínculos rígidos.

unixfile:read Apertura del archivo en modo de lectura.

unixfile:write Apertura del archivo en modo de escritura.

unixfile:unlink Eliminación de un archivo de un directorio o eliminación del directorio.

unixfile:rename Cambio de nombre de un archivo.

unixfile:setattr Cambio de los permisos y la propiedad de archivo del directorio o archivo.

unixfile:create Creación de un archivo.

unixfile:mkdir Creación de un directorio.

unixfile:rmdir Eliminación de un directorio.

185

McAfee® Host Intrusion Prevention 6.1 Guía del producto Creación de firmas personalizadasResumen de parámetros y directivas

A

Resumen de parámetros y directivas El siguiente es un resumen de los parámetros y directivas según el tipo.

Lista de parámetros según el tipo

Lista de directivas según el tipo

Tipo Parámetros

Archivos, plataforma Windows

Aplicación, Archivo de destino, Archivos, Nombre de usuario

HTTP, plataforma Windows

Aplicación, Método, Consulta, URL, Nombre de usuario

Archivos, plataforma Solaris y Linux

Aplicación, Origen, Archivos, Nombre de usuario

Registro Aplicación, Clave del Registro, Nombre de usuario, Valor del Registro

Servicios Aplicación, Nombre de visualización, Servicio, Nombre de usuario

Plataforma Apache, Solaris

Aplicación, URL, Consulta, Método, Nombre de usuario

Tipo Directivas

Archivos, plataforma Windows

create, read, write, execute, delete, rename, attribute

HTTP, plataforma Windows

request

Archivos, plataforma Solaris

create, symlink, link, chown, chmod, write, rmdir, chdir, read, unlink, mkdir, rename

Archivos, plataforma Linux

create, link, setattr, write, rmdir, read, unlink, mkdir, rename

Registro create, read, delete, modify, permissions, enumerate, monitor, restore, replace, load

Servicios start, stop, pause, continue, startup, profile_enable, profile_disable, logon, create, delete

Plataforma Apache, Solaris

request

186

acamTécnialmac

actuaProce

actuaMétoen el los rede rea todoactua

actuaPosiblos re

Cons

admiCuenlas oplos gr

Comp

admiCuenlas opque s

Comp

agenProgrlas soequip

agenCualqdeter

ajusteProcepor re

Glosario

padaca de pirateo para irrumpir en un sistema y después buscar un lugar seguro desde el que controlarlo, enar información o volver a entrar en el sistema en otro momento.

lizaciónso de instalar actualizaciones de productos existentes o de conseguir nuevas versiones de productos.

lización globaldo para el despliegue de las actualizaciones del producto, tan pronto como los archivos se comprueban repositorio maestro, sin intervención del usuario. Los archivos se replican inmediatamente a todos positorios distribuidos SuperAgent y globales; el servidor de ePolicy Orchestrator envía una llamada activación a todos los SuperAgents y estos, a su vez, envían una llamada de reactivación de emisión s los agentes de la misma subred; a continuación, todos los equipos clientes obtienen los archivos

lizados desde su respectivo repositorio más cercano.

lización selectivailidad de especificar qué versión de actualizaciones desea que los equipos cliente recuperen de positorios de software distribuidos.

ulte también rama.

nistrador del sitiota de usuario con permisos de lectura, escritura y eliminación, así como con derechos para todas eraciones para el sitio en concreto (excepto las restringidas al administrador global), y para todos upos y equipos bajo él en el árbol de la consola.

are con revisor global, administrador global, revisor de sitio.

nistrador globalta de usuario con permisos de lectura, escritura y eliminación, así como con derechos para todas eraciones, específicamente operaciones que afecten a toda la instalación, y que está reservada para ólo la utilice el administrador global.

arar con revisor global, administrador de sitio, revisor de sitio.

te de ePolicy Orchestratorama que realiza tareas en segundo plano en los equipos gestionados, hace de intermediario de todas licitudes entre el servidor de ePolicy Orchestrator y los productos antivirus y de seguridad de dichos os, y envía de vuelta un informe al servidor que indica el estado de las tareas.

te inactivo uier agente que no se haya comunicado con el servidor de ePolicy Orchestrator dentro de un minado período de tiempo.

so de identificación de unos cuantos perfiles y de creación de directivas para ellos, en un esfuerzo ducir el número de falsos positivos y de evitar la generación de eventos.

187

McAfee® Host Intrusion Prevention 6.1 Guía del producto Glosario

ajustCons

alertaCons

análiTécnidispode un

aplicAplicapara r

aplicSegúen su

árbolConteque e

archiArchivel cua

archiExtenen el

archiArchivvarian

Cons

archiArchiv

Cons

archiConjude eP

Cons

archiCons

ASCICons

ataquIntencomoalguie

ataquIntenpor eque d

es de configuraciónulte directiva.

ulte también evento.

sis de puertosca de pirateo que se utiliza para comprobar los puertos TCP/IP y así descubrir qué servicios están nibles con el fin de planificar una explotación de esos servicios, y para determinar el sistema operativo equipo determinado.

ación de confianzación que se sabe que es segura para un entorno, no tiene vulnerabilidades conocidas y tiene permiso ealizar cualquier operación.

ación de alto riesgon las reglas de protección de aplicaciones, una aplicación que se abre con código inyectado espacio de memoria o biblioteca dinámica y que, por tanto, requiere protección.

de la consolanido de la ficha Árbol en el panel izquierdo de la consola de ePolicy Orchestrator; muestra los elementos stán disponibles en la consola.

vo de catálogo del paqueteo que contiene detalles sobre cada paquete de actualización, incluidos el nombre del producto para l está prevista la actualización, la versión del idioma y cualquier información para la instalación.

vo .NAP sión de archivos utilizada para designar archivos de programas del software McAfee que se instalan repositorio de software para que ePolicy Orchestrator los gestione.

vo EXTRA.DATo adicional de definición de virus que se crea como respuesta al ataque de un nuevo virus o a una nueva te de un virus ya existente.

ulte también archivos DAT y archivos DAT incrementales y SUPERDAT.

vos DATos de detección y definición, a veces llamados archivos de firma.

ulte también archivo EXTRA.DAT, archivos DAT incrementales y SuperDAT.

vos de directivanto de ajustes de directivas para uno o más productos que se guardan en la unidad local del servidor olicy Orchestrator, pero a los que no se puede acceder mediante una consola remota.

ulte también plantillas de directivas.

vos de firmaulte archivos DAT.

ulte intervalo de comunicaciones de agente a servidor.

eto de infracción contra la seguridad del sistema. Los ataques oscilan en gravedad, desde baja, por ejemplo alguien que ve los datos del sistema sin estar autorizado para ello, hasta alta, por ejemplo, n que destruye o roba datos, o que hace que se pare el sistema.

eto de infracción contra la seguridad del sistema. Los ataques oscilan en gravedad, desde baja, como jemplo alguien que ve los datos del sistema sin estar autorizado para ello, hasta alta, por ejemplo, alguien estruye o roba datos, o que hace que se pare el sistema.

188


ataquAtaquse ha

ataquFormrespocon fa

ataquMétoa men

ataquMéto

ataquAtaquUn atlas sofalsearespo

baseLa balos ag

Cons

bloquFuncicreac

categDivisila fun

ClienSe rede capoten

comuCualqOrchela com

consoInterfremo

Cons

consoCons

consoInterfde eP

Cons

e del día ceroe de explotación que aprovecha una vulnerabilidad de seguridad el mismo día que la vulnerabilidad ce conocida.

e DoS (por denegación de servicio)a de ataque, intrusión, contra un equipo, un servidor o una red, que interrumpe la capacidad de nder a solicitudes genuinas de conexión. Un ataque por denegación de servicio abruma a su objetivo lsas solicitudes de conexión, de forma que el objetivo ignora las solicitudes reales.

e por desbordamiento de búferdo de hacer desbordar un búfer de software para insertar y ejecutar otro código con privilegios elevados, udo una plataforma desde la que enviar posteriores comandos.

e por pingdo de saturación de una red con comandos ping.

e smurfe por denegación de servicio que inunda a su objetivo con respuestas a solicitudes de eco ICMP (ping). aque smurf envía solicitudes de ping a direcciones de difusión de Internet, que a su vez reenvían licitudes de ping hasta a 255 hosts de una subred. La dirección de retorno de la solicitud de ping está da para que parezca la dirección del objetivo del ataque. Todos los hosts que reciben solicitudes de ping nden al objetivo atacado, inundándolo con sus respuestas.

de datos de ePolicy Orchestratorse de datos que almacena todos los datos recibidos por el servidor de ePolicy Orchestrator desde entes de ePolicy Orchestrator y todos los ajustes realizados en el propio servidor.

ulte también servidor de base de datos de ePolicy Orchestrator.

eo de aplicacionesón que permite o bloquea determinadas aplicaciones. Existen dos tipos de bloqueos de aplicaciones: ión de aplicaciones y enlace de aplicaciones.

oríaón de una función de Host Intrusion Prevention a la que se puede asignar una directiva. Por ejemplo, ción IPS incluye las categorías Opciones IPS, Protección IPS y Reglas IPS.

te de Host Intrusion Prevention (HIP)fiere al módulo Host Intrusion Prevention que se instala en cada sistema host de su red. El cliente sirve pa protectora que rodea el sistema operativo de un equipo y sus aplicaciones, y que identifica y previene ciales infracciones de seguridad y ataques dañinos.

nicación servidor a servidoruier comunicación que tenga lugar entre los agentes de ePolicy Orchestrator y el servidor ePolicy strator donde los agentes y el servidor intercambian datos. Normalmente, el agente inicia toda unicación con el servidor.

la de ePolicy Orchestratoraz de usuario del software ePolicy Orchestrator que se utiliza para controlar y supervisar de forma ta los equipos gestionados.

ulte también consola remota de ePolicy Orchestrator.

la remotaulte consola remota de ePolicy Orchestrator.

la remota de ePolicy Orchestratoraz de usuario de ePolicy Orchestrator cuando se instala en un equipo independiente desde el servidor olicy Orchestrator.

ulte también consola de ePolicy Orchestrator.

189


cortaUn filde couna inde la

deneSistemo no a

despAcció

direc

Gruposólo sde ap

direcUniónlos eq

direcDirec

direcLa co

DirecEn el el enl

elemCons

elemCada

estadDesccomuDesin

estruArquicomu

equipEquip

equipEn el Los e

eventAlertalos ev

Cons

fuegostro entre las conexiones de un equipo y una red que permite o bloquea el tráfico según las reglas rtafuegos. Con un filtrado con seguimiento de estado se controla el estado de las conexiones, y con spección con seguimiento de estado se examina el rastreo de los comandos en un nivel superior pila de red, lo que permite un mayor control y seguridad de las conexiones.

gación de servicioa de ataque en el que un equipo se satura de solicitudes falsas, por lo que el equipo se colapsa

tiende a las solicitudes genuinas.

legar, desplieguen de distribuir, instalar y configurar equipos clientes desde una ubicación central.

tiva

de ajustes asignados a una categoría de una función del producto. Para la mayoría de las categorías, e permite una directiva nombrada para cada una. Las excepciones son las Reglas IPS y las Reglas licaciones, en las que pueden aplicarse una o más directivas con nombre.

tiva efectiva de todas las directivas Reglas IPS y Reglas de aplicaciones de confianza que se aplican a todos uipos clientes.

tiva globaltiva predeterminada de McAfee para una categoría.

tiva global/predeterminada de McAfeenfiguración de la directiva básica para una categoría que proporciona una protección instantánea.

torioárbol de la consola la lista de todos los equipos que se gestionan a través de ePolicy Orchestrator, ace a las interfaces principales para la gestión de estos equipos.

entoulte elemento del árbol de la consola.

ento de árbol de la consolauno de los iconos individuales del árbol de la consola de ePolicy Orchestrator.

oribe la forma en que funciona el cliente en realidad (estado actual) o funciona después de su siguiente nicación con el servidor (estado solicitado). La consola reconoce cuatro estados distintos: Normal, stalando, Sin conexión, Sin licencia.

ctura comúntectura que permite que diferentes productos de McAfee compartan los componentes y el código nes, que son el Planificador de tareas, AutoUpdate y el agente ePolicy Orchestrator.

o clienteo en el que el agente de ePolicy Orchestrator y el cliente de Host Intrusion Prevention están instalados.

osárbol de la consola se refiere a los equipos físicos de la red gestionada por ePolicy Orchestrator. quipos se pueden agregar a los sitios o grupos existentes en el Directorio.

o desencadenada cuando se produce una violación de la seguridad según lo definido por una firma. Todos entos desencadenados en un determinado host aparecen en la lista de eventos IPS.

ulte también Firma.

190


extraAccióComodel re

falsoEvent

fisgoObse

firmaConjuuno dde gr

Cons

forzaCons

FRAMECons

fuerzMétolas co

funciDivisiCorta

grupoEn el Los go másla impdel ag

grupoGrupoha po

heredAcciópor e

host Host el pro

host Cons

host,Cons

llamaLa ca

Cons

cciónn de copiar archivos desde un repositorio de origen o de reserva y pegarlos en el repositorio maestro. es posible agregar manualmente archivos adicionales al repositorio maestro, sólo aquellos archivos positorio de origen o de reserva se sobrescriben.

positivoo desencadenado por una operación inofensiva de un proceso benigno, y no de una intrusión.

nearrvar una red de forma pasiva.

nto de reglas que describen las amenazas a la seguridad y las instrucciones a un host o una red. Cada e los tres tipos de firmas IPS: de host (HIPS), personalizado (HIPS) y de red (NIPS), tiene un nivel avedad asociado que indica el peligro del ataque potencial.

ulte también regla de comportamiento.

r la instalación, forzar la desinstalaciónulte tarea del cliente de despliegue del producto.

PKG.EXE ulte paquete de instalación del agente.

a brutado de pirateo utilizado para buscar contraseñas o claves de codificación, que consiste en probar todas mbinaciones posibles de caracteres, hasta que el código queda expuesto.

ónón funcional de un producto. Entre las funciones de Host Intrusion Prevention se incluyen IPS, fuegos, Bloqueo de aplicaciones y General.

árbol de la consola se trata de un conjunto lógico de entidades reunidas para facilitar su gestión. rupos pueden contener otros grupos o equipos, y se les pueden asignar rangos de direcciones IP caras de subred IP para permitir clasificar los equipos por dirección IP. Si crea un grupo mediante ortación de un dominio de Windows NT, puede enviar automáticamente el paquete de instalación ente a todos los equipos importados del dominio.

Perdidos y encontrados utilizado para almacenar temporalmente equipos cuya ubicación adecuada en el Directorio aún no se dido determinar.

ar, herencian de aplicar los ajustes definidos para un elemento dentro de una jerarquía desde el elemento ncima de él.

bloqueadoespecífico con el que Host Intrusion Prevention permite bloquear las comunicaciones; además, grama intenta rastrear el origen de los paquetes recibidos desde el host bloqueado.

del agenteulte equipo cliente.

equipo hostulte equipo cliente.

da de reactivación del agentepacidad para iniciar la comunicación agente-servidor desde el servidor.

ulte también llamada de reactivación de SuperAgent.

191


impoAcció

incorProce

instaMétode qu

intervPeríod

intervEl perOrche

inundTécniun cliTCP dsigue

IPS dReglasistem

IPS dRegla

lista Lista Cualqsiemp

Comp

modoEl ajusin in

modoEl ajurespoCorta

modoAislamde pr

MonitCons

ner, imposiciónn de aplicar ajustes predefinidos sobre los equipos clientes a intervalos predeterminados.

porar, incorporaciónso de agregar archivos al repositorio maestro.

lación en modo silenciosodo de instalación que instala un paquete de software en un equipo en modo silencioso, sin necesidad e intervenga el usuario.

alo de comunicaciones de agente a servidor (ASCI)o de tiempo entre la comunicación predefinida de agente a servidor.

alo de imposición de directivaíodo de tiempo durante el cual el agente impone los ajustes que ha recibido desde el servidor de ePolicy strator. Como estos ajustes se imponen localmente, el intervalo no precisa de ancho de banda.

ación SYNca de pirateo utilizada para ocasionar una denegación del servicio. Los paquetes SYN se envían desde ente con una dirección IP falsa y se envían a una velocidad superior a la que puede gestionar la pila el host. Como la dirección del cliente está simulada, el cliente no envía una señal de SYN-ACK, sino que

inundando el host con paquetes SYN, con lo que satura todos los recursos del host.

e host (HIPS)s de protección del host que controlan y previenen ataques al sistema operativo y las aplicaciones de un a host.

e red (NIPS)s de protección de red que controlan y evitan ataques en la red.

negra globalde direcciones o dominios de correo electrónico que el administrador crea como estándar corporativo. uier mensaje de correo electrónico procedente de las direcciones o dominios de la lista negra global re se tratará como correo basura.

árelo con lista blanca global; consulte también lista negra.

Adaptaciónste de protección para un cliente HIP donde las reglas se aprenden y agregan automáticamente, tervención del usuario. Este modo se aplica a las reglas de IPS, cortafuegos y bloqueo de aplicaciones.

Aprendizajeste de Host Intrusion Prevention donde las reglas se aprenden y se agregan después de que un usuario nda a una solicitud para permitir o bloquear una acción. Este modo se puede aplicar a las funciones fuegos y Bloqueo de aplicaciones.

Cuarentenaiento obligado de un equipo, hasta que se pueda realizar algún acción para actualizar las directivas

otección.

or del estadoulte Monitor del agente.

192


nivel Uno d

Informdel si

Baja (pero qparte

Mediaparte

Alta (r

nodoCons

orificHerraa trav

panePanelde la

páginPartelos prmaes

paquArchivse codel pr

paquPaquela ins

perfilAgrupy priv

ping Técnia un ohacer

produProdu

propiDatosde caconfig

propiConju

Cons

de gravedade los cuatro niveles de riesgo asignados a las definiciones de virus:

ación (azul): modificación a la configuración del sistema o intento de acceder a componentes esenciales stema pero que en general no evidencia un ataque.

amarillo): modificación de la configuración del sistema o intento de acceder a componentes esenciales, ue no se identifica como un ataque conocido, aunque es indicativo de comportamiento sospechoso por

de un usuario o una aplicación.

(naranja): ataque conocido con un riesgo de bajo a medio, o un comportamiento muy sospechoso por de un usuario o una aplicación.

oja): ataque que supone una grave amenaza para la seguridad.

ulte elemento del árbol de la consola.

io traseromienta de administración remota que puede proporcionar acceso y control no deseados a un equipo, és del enlace a Internet. Funciona en Windows 95, Windows 98 y Windows NT.

l de detalles derecho de la consola de ePolicy Orchestrator, que muestra detalles del elemento del árbol consola actualmente seleccionado.

as de directivas de la consola de ePolicy Orchestrator; permiten establecer directivas y crear tareas planificadas para oductos, y se guardan en servidores individuales de ePolicy Orchestrator (no se añaden al repositorio tro).

ete de actualizaciónos de paquete de McAfee que proporcionan actualizaciones a un producto. Todos los paquetes

nsideran actualizaciones del producto con la excepción de los archivos binarios (de Instalación) oducto.

ete de instalación personalizada del agentete de instalación del agente que utiliza las credenciales del usuario que se le proporcionan para realizar

talación, en vez de utilizar las del usuario de la sesión actual.

ación de directivas basadas en el uso común de aplicaciones, la ubicación de red o los derechos ilegios de acceso.

de la muerteca de pirateo utilizada para originar una denegación de servicio, enviando un largo paquete ICMP bjetivo. Cuando el objetivo intenta reorganizar el paquete, el tamaño de éste supera el búfer y puede

que el objetivo se reinicie o se cuelgue.

ctos gestionadoscto de seguridad, como Host Intrusion Prevention, que se gestiona desde ePolicy Orchestrator.

edades intercambiados durante la comunicación desde el agente al servidor y que incluyen información acerca da equipo gestionado (por ejemplo, hardware y software) y sus productos gestionados (por ejemplo, uración específica de las directivas y número de la versión del producto).

edades completasnto completo de propiedades que se intercambian durante la comunicación de agente a servidor.

ulte también propiedades incrementales.

193


propiTodas

Cons

puertInfrac

ramaUbicade las

Cons

reaccRespla opela ope

reglaRegladese

Cons

reglaRegla

reglaReglainofende se

RepoUbica

reposConjude baque eprodu

ConsreposSupe

reposTipo destabde or

Cons

reposRepodel re

Cons

reposTipo dreposcombal rep

Cons

edades completas las propiedades que se pueden intercambiar durante la comunicación del agente al servidor.

ulte también propiedades mínimas.

a traseración de seguridad planificada en una aplicación que puede permitir acceso no autorizado a los datos.

ciones del repositorio maestro que permiten almacenar y distribuir distintas versiones actualizaciones seleccionadas.

ulte también actualización selectiva.

iónuesta de un cliente cuando intercepta una firma. Existen tres posibles reacciones: Ignorar (ignora ración), Registrar (registra la operación en la base de datos como una intrusión) y Evitar (impide que ración ilegal específica tenga lugar, y la registra).

de comportamiento IPS que define un perfil de actividad inofensiva. La actividad que no coincide con el perfil

ncadena un evento.

ulte también firma.

de excepción que permite actividades inofensivas que, de otra forma, quedarían bloqueadas por una firma.

s de cliente IPS, de cortafuegos o de bloqueo de aplicaciones creada en un cliente para permitir actividades sivas que, de otra forma, se bloquearían. Las reglas de cliente no forman parte de las directivas

rvidor, pero se pueden mover a una directiva para su aplicación en otros clientes.

sitorioción donde se almacenan páginas de directivas utilizadas para gestionar productos.

itorios de software distribuidosnto de sitios Web o de equipos ubicados en la red, de tal forma que proporciona un acceso de ancho nda eficiente a los equipos clientes. Los repositorios de software distribuidos almacenan los archivos l equipo cliente necesita para instalar los productos compatibles, y las actualizaciones de dichos ctos.

ulte también repositorio de reserva, repositorio global distribuido, repositorio local distribuido, itorio maestro, réplica de repositorio distribuido, repositorio de origen y repositorio distribuido de rAgent.

itorio de reservae repositorio de software distribuido que se utiliza en el caso de que los equipos clientes no puedan lecer conexión con ninguno de sus repositorios distribuidos predefinidos. Normalmente, otro repositorio igen se define como repositorio de reserva.

ulte también replicar, réplica.

itorio global distribuidositorio distribuido de software que se puede mantener automáticamente al día con el contenido positorio maestro.

ulte también replicar, réplica.

itorio maestroe repositorio de software distribuido cuyo contenido funciona como estándar para todos los demás itorios estándar. Normalmente, el contenido del repositorio maestro se define partiendo de una inación del contenido del repositorio de origen y archivos adicionales agregados manualmente ositorio maestro.

ulte también extracción; replicar, réplica.

194


reposTipo d

RevisVersio

revisoCuenespec

Comp

revisoCueninstal

Comp

serviEquipel ser

serviComp

Cons

simulFalse

sitio En el Los sde su

sitio dSitio W

Cons

tareaCons

tareaTareaPermel inte

tareaTarea

troyaProgrpero virus,

utilidUtilidLa inf

vista Vista

itorio local distribuidoe repositorio de software distribuido cuyo contenido se actualiza manualmente.

iones (en adelante, Parches)nes intermedias del producto que resuelven problemas específicos.

r de sitiota de usuario con permisos de solo lectura que puede ver toda la configuración del software del sitio ificado, pero no puede cambiarla.

are con administrador global, revisor global, administrador de sitio.

r globalta de usuario con permisos de solo lectura que puede ver toda la configuración del software de una ación completa, pero no puede cambiarla.

árese con administrador global, administrador de sitio, revisor de sitio.

dor de base de datos de ePolicy Orchestratoro host de la base de datos de ePolicy Orchestrator. Puede ser el mismo equipo en el que está instalado vidor de ePolicy Orchestrator o un equipo distinto.

dor de ePolicy Orchestratoronente de fondo del software ePolicy Orchestrator.

ulte también agente de ePolicy Orchestrator y consola de ePolicy Orchestrator.

arar algo, como una dirección IP, para ocultar la ubicación y la identidad propias.

árbol de la consola, se trata de un conjunto lógico de entidades reunidas para facilitar su gestión. itios pueden contener grupos o equipos y se pueden organizar por rango de direcciones IP, máscara bred IP, ubicación, departamento, etc.

e descargaseb de McAfee desde el cual se recuperan actualizaciones del producto o de archivos DAT.

ulte también sitio de actualización.

ulte tareas del cliente, tareas del servidor.

de cliente de despliegue del producto planificada para desplegar a la vez todos los productos actualmente marcados en el repositorio maestro. ite planificar instalaciones y desinstalaciones de productos durante las horas de menos trabajo o durante rvalo de imposición de la directiva.

s del servidors que se pueden ejecutar desde el servidor del software.

noama que pretende tener, o se describe como que tiene, una serie de características útiles o deseables, cuyo contenido en realidad es perjudicial. Los archivos troyanos no pueden considerarse técnicamente porque no se replican.

ad de notificación de erroresad diseñada específicamente para controlar y registrar los errores del software McAfee de su sistema. ormación obtenida se puede utilizar para analizar los problemas.

agregadade elementos idénticos agrupados en una sola entidad.

195

Indice

Aacceso rápido

eventos IPS, 36

reglas de bloqueo de aplicaciones, 95

reglas de cliente de bloqueo de aplicaciones, 95

Reglas de cliente del cortafuegos, 79

reglas de cliente IPS, 36

Reglas de cortafuegos, 79

reglas IPS, 36

actualización

clientes, 131

contenido, 130

incorporación de actualización, 130

proceso, 130

actualizaciones de producto, 14

actualizaciones de seguridad, archivos DAT y motor, 14

ajuste

análisis de eventos, 115

aplicación de nuevas directivas, 116

automatizado, 162

creación de aplicaciones de confianza, 116

creación de excepciones, 116

creación de nuevas directivas, 116

reglas de cliente, 116

alertas

Active X, 29

bloqueo de aplicaciones, 139

cortafuegos, 138

cuarentena, 140

intrusos, 137

simulación detectada, 140

suprograma Java, 29

visualización de directivas, 29

Alertas del cliente Windows


cortafuegos, 138

cuarentena, 140

intrusos, 137

simulación detectada, 140

aplicaciones de confianza

activación, 114

creación, 113

creación basada en evento, 61

desactivación, 114

edición, 114

eliminación, 114

archivos DAT

actualizaciones, sitio Web, 14

Servicio de notificación de actualizaciones de Avert Labs, 14

ayuda

en IU, 32

explicación de los iconos, 32

procedimientos de navegación, 31

uso, 31

Bbiblioteca de amenazas, 14

Biblioteca de amenazas Avert Labs, 14

Biblioteca de información de virus (consulte Biblioteca de amenazas Avert Labs)

Bloqueo de aplicaciones

acceso rápido, 95

configuración de opciones, 96

reglas de cliente, 18

resumen, 94

bloqueo de aplicaciones

creación, 94

directivas preestablecidas, 95

enlace, 95

Buscar en la base de datos KnowledgeBase, 14

CCentro de amenazas (consulte Avert Labs)

Centro de amenazas Avert Labs, 14

Cliente Linux

imposición de directivas, 156

notas, 156

resumen, 156

solución de problemas, 157

Cliente Solaris

imposición de directivas, 153

resumen, 153


Cliente Windows

alertas, 137

configuración de opciones, 134

consola, 133

desbloquear IU, 134

ficha Directiva de aplicación, 146

ficha Directiva de cortafuegos, 144

ficha Directiva IPS, 142

ficha Hosts bloqueados, 148

ficha Protección de aplicaciones, 150

Ficha Registro de actividades, 151

icono de la bandeja del sistema, 109, 133

Lista de hosts bloqueados, 148

lista de la ficha Protección de aplicaciones, 150

lista de la ficha Registro de actividades, 152

lista de reglas de la ficha Directiva de aplicación, 147

lista de reglas de la ficha Directiva de cortafuegos, 145

lista de reglas de la ficha Directiva IPS, 143

notificación de errores, 135

opciones de la ficha Directiva de aplicación, 146

opciones de la ficha Directiva de cortafuegos, 144

opciones de la ficha Directiva IPS, 142

opciones de la ficha Registro de actividades, 151

196

McAfee® Host Intrusion Prevention 6.1 Guía del producto Indice

reglas de la ficha Directiva de aplicación, 147

reglas de la ficha Directiva de cortafuegos, 145

reglas de la ficha Directiva IPS, 143

resumen, 132


solución de problemas, motores IPS, 136

solución de problemas, registro, 135

contraseñas

administrador, 108

basadas en tiempos, 109

de IU de cliente, 107

Control de IU de cliente Windows

icono de la bandeja, 109

convenciones de la guía

fuentes y símbolos, 12

cortafuegos

directiva Reglas de cuarentena, 91


filtrado de paquetes, 70

grupos de reglas, 74

grupos para conexión, 74

inspección de paquetes, 70

migración a reglas con seguimiento de estado, 78

modo Adaptación, 76

modo Aprendizaje, 76

reglas, 17

reglas de cuarentena, 77

reglas para conexión, 74

resumen de funciones, 69

tabla de estado, 70

cuarentena

directivas y reglas, 77

Ddefinición de términos (consulte Glosario)

despliegue

afinación, 115

ajuste, 22, 30, 115, 162

destinatarios del manual, 11

directiva Aplicaciones de confianza

aplicación, 112

configuración, 112

creación, 112

directiva Imponer directivas

configuración, 105

directiva IU de cliente

aplicación, 106

configuración, 105

contraseñas, 107

creación, 106

directiva Opciones de bloqueo de aplicaciones

configuración, 96

directiva Opciones de cuarentena

configuración, 90

directiva Opciones del cortafuegos

configuración, 79


directiva Opciones IPS

configuración, 36

creación, 37


directiva Protección IPS


directiva Redes de confianza, 110

configuración, 110

directiva Reglas de bloqueo de aplicaciones

configuración, 98

creación, 98, 100

directiva Reglas de cortafuegos

configuración, 81

creación, 81


directiva Reglas de cuarentena

configuración, 91

creación, 91

directiva Reglas IPS

asignación, 41

configuración, 41

creación, 41

detalles, 42

firmas, 46

reglas de excepción, 42

reglas de protección de aplicaciones, 53

directivas

administradores, 161

asignación, 20, 117, 161

asignación de propietarios, 26

bloqueo de asignaciones, 20

categorías, 19

coincidencia con un perfil, 163

configuración, 29

edición de información, 120

gestión, 19, 25

herencia, 20, 117

imposición, 19, 161

imposición desactivada, 120

mantenimiento, 117

nodos a los que se asigna, 119

propiedad, 20

protección preconfigurada, 21

tareas, 117

uso de la ficha Directivas, 117

uso del Catálogo de directivas, 119

visualización de información, 119

visualización del propietario, 120

directivas preestablecidas

Bloqueo de aplicaciones, 95

cortafuegos, 78

General, 104

IPS, 35

Opciones del cortafuegos, 79

Opciones IPS, 36

Protección IPS, 39

Reglas de cortafuegos, 81

Eenviar una muestra, Avert Labs WebImmune, 14

ePO

consola, 24

gestión de directivas, 25

informes, 26

notificaciones, 26

operaciones utilizadas con Host Intrusion Prevention, 24

propietarios de directivas, 26

evaluación de productos de McAfee, sitio Web de descargas, 14

eventos IPS, 56

análisis, 115

configuración de la vista, 58

creación de aplicaciones de confianza, 61

creación de excepciones, 61, 162

filtrado de vista, 58

marcado, 59

marcado como leído, 59

marcado como no leído, 59

marcado de similares, 60

mostrar ocultos, 59

ocultación, 59

resumen, 56

visualización, 57, 162

detalles, 61

197


Ffiltrado con seguimiento de estado, 72

filtrado de paquetes, 70

firmas, 46

creación, 48

creación con asistente, 49

creación con el método estándar, 52

creación con el método experto, 52

creación con el modo estándar, 50

creación de personalizadas, 163

de host personalizadas, 46

edición, 48

edición de personalizadas, 52

host, 46

IPS de host, 34

IPS de red, 34

modificación de vista, 48

niveles de gravedad, 46

personalizadas, 46, 48

red, 46

tipos, 46

firmas de host, 46

firmas de red, 46

formación, recursos de McAfee, 14

función General


resumen, 103

funciones

Bloqueo de aplicaciones, 18, 94

Cortafuegos, 17, 69

General, 18

IPS, 15, 33

Gglosario, 187 to 195

grupo de reglas de cortafuegos

creación, 85

eliminación, 87

grupo para conexión

creación, 85

grupos de cuarentena

eliminación, 93

grupos de reglas

cortafuegos, 74

grupos de reglas de cuarentena

creación, 93

HHost Intrusion Prevention

ajuste, 30

ayuda, 31

configuración, 23

despliegue, 21

despliegue de clientes, 27

instalación, 26

mantenimiento, 21

trabajo con clientes, 27

uso de ePO, 23 to 24

Iimposición de directivas

Cliente Linux, 156

Cliente Solaris, 153

información del producto

recursos, 13

informes, 22

Actualizaciones de cuarentena con error, 129

ejecución, 125

generación, 26

listas, 126

predefinidos, 125

Primeras 10 aplicaciones bloqueadas, 129

Primeras 10 firmas desencadenadas, 128

Primeros 10 nodos atacados para IPS, 128

Resumen de aplicaciones bloqueadas, 128

Resumen de eventos IPS por destino, 127

Resumen de eventos IPS por firma, 126

Resumen de intrusos de red por IP de origen, 127

inspección de paquetes con seguimiento de estado, 73

inspección de paquetes, cortafuegos, 70

IPS

eventos, 16

eventos, análisis, 115

firmas, 15

función, 15

reacciones, 16


reglas de excepción del cliente, 17

resumen de funciones, 33

Mmodo Adaptación, 21, 28

bloqueo de aplicaciones, 28, 96

cortafuegos, 28, 76

IPS, 28, 36

modo Aprendizaje, 21, 28

bloqueo de aplicaciones, 28, 139

cortafuegos, 28, 76

Nniveles de seguridad

Alto (rojo), 46

Bajo (amarillo), 46

Información (azul), 46

Medio (naranja), 46

notificaciones

generación, 26

tipos, 124

uso, 123

nuevas funciones, 10

Ppersonalizadas

firmas de host, 46

firmas, información adicional, 52

Rrastreo de protocolos con seguimiento de estado, 73

DHCP, 74

DNS, 74

FTP, 74

ICMP, 73

TCP, 74

recursos de la guía

documentación del producto, 13

Redes de confianza

opciones, 110

reglas de bloqueo de aplicaciones, 99

creación, 100

eliminación, 101

reglas de cliente


cortafuegos, 17, 88

IPS, 64

reglas de cliente de bloqueo de aplicaciones

Vista agregada, 101

Vista normal, 101

visualización, 101

198


reglas de cliente del cortafuegos

acceso rápido, 79

agregación, 89

vista agregada, 89

vista normal, 88

visualización, 88

reglas de cliente IPS, 63

agregación, 65

migración a una directiva, 64

resumen, 63

vista agregada, 65

vista normal, 64

reglas de comportamiento, 35

reglas de cortafuegos, 71

6.0, 69

6.1, 69

acceso rápido, 79

agregación, 85

cómo funcionan, 71

con seguimiento de estado, 69

creación, 85

edición, 84

eliminación, 87

estáticas, 69

filtrado con seguimiento de estado, 72

inspección con seguimiento de estado, 73

migración a seguimiento de estado, 78

orden, 71

rastreo de protocolos con seguimiento de estado, 73

visualización, 84

reglas de cuarentena

agregación, 93

creación, 93

edición, 92

eliminación, 93

visualización, 92


activación, 45

búsqueda, 66

búsqueda de relacionadas, 63

creación, 43

creación basada en evento, 61

desactivación, 45

edición, 44

eliminación, 45

mover a otra directiva, 66

movimiento a otra directiva, 45

reglas de protección de aplicaciones, 53

activación, 56

creación, 54

desactivación, 56

edición, 56

eliminación, 56

resumen, 53

reglas del cortafuegos

cliente, 17

SSede central de seguridad (consulte Avert Labs)

ServicePortal, soporte técnico, 14

servicio de atención al cliente, contactar, 14

servicios profesionales, recursos de McAfee, 14

sitio web de actualizaciones, 14

sitio web de descargas, 14

sitio Web de programa beta, 14

solución de problemas

Cliente Linux, 157

Cliente Solaris, 153

soporte técnico, contactar, 14

Ttabla de estado, cortafuegos, 70

tareas del servidor, 122

Archivador de eventos, 122

Puerta de enlace de directorio, 122

Traductor de propiedades, 122

UUDP, 73

uso de esta guía, 11

VVersiones de revisión (para productos y vulnerabilidades de seguridad), 14

vulnerabilidades de seguridad, versiones para, 14

WWebImmune, Centro de amenazas Avert Labs, 14

199

mcafee host intrusion preventionb2b-download.mcafee.com/products/evaluation/host... · 7 mcafee®...

Documents