Host Intrusion Prevention

Transcripción

1 Guía del producto McAfee versión 6.1 Host Intrusion Prevention McAfee System Protection Soluciones líderes en el sector para la prevención de intrusiones

2

3 Guía del producto McAfee versión 6.1 Host Intrusion Prevention McAfee System Protection Soluciones líderes en el sector para la prevención de intrusiones

4 COPYRIGHT Copyright 2007 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a cualquier idioma de este documento o parte del mismo en cualquier forma o por cualquier medio sin el consentimiento previo, por escrito, de McAfee, Inc., sus proveedores o empresas asociadas. ATRIBUCIONES DE MARCAS COMERCIALES ACTIVE FIREWALL, ACTIVE SECURITY, ACTIVESECURITY (Y EN KATAKANA), ACTIVESHIELD, CLEAN-UP, DESIGN (E ESTILIZADA), DESIGN (N ESTILIZADA), ENTERCEPT, EPOLICY ORCHESTRATOR, FIRST AID, FOUNDSTONE, GROUPSHIELD, GROUPSHIELD (Y EN KATAKANA), INTRUSHIELD, INTRUSION PREVENTION THROUGH INNOVATION, MCAFEE, MCAFEE (Y EN KATAKANA), MCAFEE AND DESIGN, MCAFEE.COM, MCAFEE VIRUSSCAN, NET TOOLS, NET TOOLS (Y EN KATAKANA), NETSCAN, NETSHIELD, NUTS & BOLTS, OIL CHANGE, PRIMESUPPORT, SPAMKILLER, THREATSCAN, TOTAL VIRUS DEFENSE, VIREX, VIRUS FORUM, VIRUSCAN, VIRUSSCAN, VIRUSSCAN (Y EN KATAKANA), WEBSCAN, WEBSHIELD, WEBSHIELD (Y EN KATAKANA) son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas asociadas en EE.UU. y otros países. El color rojo utilizado para denotar seguridad es distintivo de los productos de la marca McAfee. Todas las demás marcas registradas y no registradas mencionadas en este documento son propiedad exclusiva de sus respectivos propietarios. INFORMACIÓN SOBRE LA LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL CONTRATO LEGAL CORRESPONDIENTE A LA LICENCIA ADQUIRIDA, QUE ESTIPULA LOS TÉRMINOS GENERALES Y LAS CONDICIONES DE USO DEL SOFTWARE CON LICENCIA. SI DESCONOCE EL TIPO DE LICENCIA ADQUIRIDA, CONSULTE EL DOCUMENTO DE VENTA U OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LICENCIA O LA ORDEN DE COMPRA QUE ACOMPAÑAN A SU PAQUETE DE SOFTWARE O QUE HA RECIBIDO POR SEPARADO AL COMPRAR EL PRODUCTO (COMO UN FOLLETO, UN ARCHIVO EN EL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ A EFECTOS DE OBTENER UN REEMBOLSO ÍNTEGRO. Atribuciones Este producto incluye o puede incluir: Software desarrollado por el proyecto OpenSSL Project para su uso con el kit de herramientas de OpenSSL ( Software criptográfico escrito por Eric A. Young y software escrito por Tim J. Hudson. Algunos programas de software cuya licencia (o sublicencia) se otorga al usuario bajo la Licencia pública general GNU (GNU General Public License, GPL) u otras licencias similares de Software libre que, entre otros derechos, permiten al usuario copiar, modificar y redistribuir ciertos programas, o partes de los mismos, y tener acceso al código fuente. De acuerdo con la Licencia pública general, si cualquier software regulado por ella se distribuye a otras personas en formato binario ejecutable, también se debe poner a disposición de los usuarios el código fuente correspondiente. En este CD tiene a su disposición el código fuente de este tipo de programas de software cubiertos por la GPL. Si cualquier licencia de Software libre requiere que McAfee proporcione derechos para usar, copiar o modificar un programa de software más amplios que los derechos otorgados en este Acuerdo, esos derechos tendrán prioridad sobre los derechos y restricciones especificados aquí. Software escrito originalmente por Henry Spencer, Copyright 1992, 1993, 1994, 1997 Henry Spencer. Software escrito originalmente por Robert Nordier, Copyright Robert Nordier. Software escrito por Douglas W. Sauder. Software desarrollado por Apache Software Foundation ( Encontrará una copia del acuerdo de licencia para este software en International Components for Unicode ( ICU ) Copyright (C) International Business Machines Corporation y otros. Software desarrollado por CrystalClear Software, Inc., Copyright 2000 CrystalClear Software, Inc. Tecnología FEAD Optimizer, Copyright Netopsystems AG, Berlín, Alemania. Outside In Viewer Technology Stellent Chicago, Inc. y/o Outside In HTML Export, 2001 Stellent Chicago, Inc. Software propiedad de Thai Open Source Software Center Ltd. y Clark Cooper, 1998, 1999, Software propiedad de Expat maintainers. Software propiedad de The Regents of the University of California, 1996, 1989, Software propiedad de Gunnar Ritter. Software propiedad de Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, EE.UU., Software propiedad de Gisle Aas Software propiedad de Michael A. Chase, Software propiedad de Neil Winton, Software propiedad de RSA Data Security, Inc., Software propiedad de Sean M. Burke, 1999, Software propiedad de Martijn Koster, Software propiedad de Brad Appleton, Software propiedad de Michael G. Schwern, Software propiedad de Graham Barr, Software propiedad de Larry Wall y Clark Cooper, Software propiedad de Frodo Looijaard, Software propiedad de Python Software Foundation, Copyright 2001, 2002, Encontrará una copia del acuerdo de licencia de este software en Software propiedad de Beman Dawes, , Software escrito por Andrew Lumsdaine, Lie-Quan Lee, Jeremy G. Siek Universidad de Notre Dame. Software propiedad de Simone Bordet y Marco Cravero, Software propiedad de Stephen Purcell, Software desarrollado por Indiana University Extreme! Lab ( Software propiedad de International Business Machines Corporation y otros, Software desarrollado por la Universidad de California (Berkeley) y sus colaboradores. Software desarrollado por Ralf S. Engelschall <rse@engelschall.com> para su uso en el proyecto mod_ssl ( Software propiedad de Kevlin Henney, Software propiedad de Peter Dimov y Multi Media Ltd. 2001, Software propiedad de David Abrahams, 2001, En encontrará más documentación. Software propiedad de Steve Cleary, Beman Dawes, Howard Hinnant y John Maddock, Software propiedad de Boost.org, Software propiedad de Nicolai M. Josuttis, Software propiedad de Jeremy Siek, Software propiedad de Daryle Walker, Software propiedad de Chuck Allison y Jeremy Siek, 2001, Software propiedad de Samuel Krempp, En encontrará actualizaciones, documentación y un historial de revisiones. Software propiedad de Doug Gregor (gregod@cs.rpi.edu), 2001, Software propiedad de Cadenza New Zealand Ltd., Software propiedad de Jens Maurer, 2000, Software propiedad de Jaakko Järvi (jaakko.jarvi@cs.utu.fi), 1999, Software propiedad de Ronald Garcia, Software propiedad de David Abrahams, Jeremy Siek y Daryle Walker, Software propiedad de Stephen Cleary (shammah@voyager.net), Software propiedad de Housemarque Oy < Software propiedad de Paul Moore, Software propiedad de Dr. John Maddock, Software propiedad de Greg Colvin y Beman Dawes, 1998, Software propiedad de Peter Dimov, 2001, Software propiedad de Jeremy Siek y John R. Bandela, Software propiedad de Joerg Walter y Mathias Koch, Software propiedad de Carnegie Mellon University 1989, 1991, Software propiedad de Cambridge Broadband Ltd., Software propiedad de Sparta, Inc., Software propiedad de Cisco, Inc. y de Information Network Center of Beijing University of Posts and Telecommunications, Software propiedad de Simon Josefsson, Software propiedad de Thomas Jacob, Software propiedad de Advanced Software Engineering Limited, Software propiedad de Todd C. Miller, Software propiedad de The Regents of the University of California, 1990, 1993, con código derivado de software aportado a Berkeley por Chris Torek. INFORMACIÓN SOBRE PATENTES Protegido por las patentes de los EE.UU ; ; ; ; Publicado en febrero de 2007 / Software Host Intrusion Prevention versión 6.1 DBN-100-ES

5 Contenido 1 Introducción a Host Intrusion Prevention 9 Novedades de esta versión Cambios con respecto a la versión anterior Nuevas funciones Uso de esta guía Destinatarios Convenciones Obtención de información del producto Documentación estándar Información de contacto Conceptos básicos 15 Función IPS Reglas de firma Reglas de comportamiento Eventos Reacciones Reglas de excepción Función cortafuegos Reglas del cortafuegos Reglas del cortafuegos de cliente Función de bloqueo de aplicaciones Reglas de bloqueo de aplicaciones del cliente Función General Gestión de directivas Imposición de directivas Directivas y categorías de directivas Herencia y asignación de directivas Propiedad de directivas Bloqueo de asignaciones de directivas Despliegue y gestión Protección preconfigurada Modo de adaptación y de aprendizaje Ajuste Informes Uso de epolicy Orchestrator 23 Operaciones de epolicy Orchestrator utilizadas con Host Intrusion Prevention consola de epolicy Orchestrator Gestión de directivas Asignación de propietarios a las directivas Generación de notificaciones Generación de informes Operaciones de Host Intrusion Prevention Instalación del servidor de Host Intrusion Prevention Despliegue de clientes de Host Intrusion Prevention Visualización y trabajo con datos de los clientes Colocación de los clientes en modo Adaptación o Aprendizaje Configuración de directivas Ajuste Uso de la Ayuda

6 Contenido 4 Directivas de IPS 33 Resumen Reglas de firma IPS de host y de red Directivas de IPS preestablecidas Acceso rápido Configuración de la directiva Opciones IPS Configuración de la directiva Protección IPS Configuración de la directiva Reglas IPS Detalles de la directiva Reglas IPS Reglas de excepción Firmas Reglas de protección de aplicaciones Eventos IPS Visualización de eventos Configuración de la vista de eventos Filtrado de eventos Marcado de eventos Marcado de eventos similares Visualización de detalles de eventos Creación de excepciones y aplicaciones de confianza basadas en eventos Reglas de cliente IPS Vista normal Vista agregada Búsqueda de reglas de excepción IPS Directivas de cortafuegos 68 Resumen Reglas HIP Reglas HIP Cómo funcionan las reglas de cortafuegos Cómo funciona el filtrado con seguimiento de estado Cómo funciona la inspección de paquetes con seguimiento de estado Grupos de reglas de cortafuegos y grupos para conexión Modos Aprendizaje y Adaptación del cortafuegos Directivas y reglas de cuarentena Migración de las reglas personalizadas de cortafuegos de la versión 6.0 a reglas de la versión Directivas preestablecidas de cortafuegos Acceso rápido Configuración de la directiva Opciones del cortafuegos Configuración de la directiva Reglas de cortafuegos Creación de nuevas directivas de Reglas de cortafuegos Visualización y edición de reglas de cortafuegos Creación de una nueva regla del cortafuegos o grupo del cortafuegos Eliminación de una regla o grupo del cortafuegos Visualización de reglas de cliente del cortafuegos Configuración de la directiva Opciones de cuarentena Configuración de la directiva Reglas de cuarentena Creación de nuevas directivas de Reglas de cuarentena Visualización y edición de reglas de cuarentena Creación de una nueva regla o grupo de cuarentena Eliminación de una regla o grupo de cuarentena Directivas de bloqueo de aplicaciones 94 Resumen Creación de aplicaciones Enlace de aplicaciones Directivas preestablecidas de bloqueo de aplicaciones Acceso rápido

7 Contenido Configuración de la directiva de opciones de bloqueo de aplicaciones Configuración de la directiva Reglas de bloqueo de aplicaciones Creación de nuevas directivas de reglas de aplicaciones Visualización y edición de reglas de bloqueo de aplicaciones Creación de nuevas reglas de bloqueo de aplicaciones Eliminación de una regla de bloqueo de aplicaciones Visualización de las reglas de aplicación del cliente Directivas generales 103 Resumen Directivas generales preestablecidas Configuración de Imponer directivas Configuración de la directiva IU de cliente Creación y aplicación de una directiva IU de cliente Configuración de la directiva Redes de confianza Configuración de la directiva Aplicaciones de confianza Creación y aplicación de directivas Aplicaciones de confianza Creación de aplicaciones de confianza Edición de aplicaciones de confianza Activación y desactivación de aplicaciones de confianza Eliminación de aplicaciones de confianza Mantenimiento 115 Afinar un despliegue Análisis de eventos IPS Creación de reglas de excepción y reglas de aplicaciones de confianza Trabajo con reglas de excepción de cliente Creación y aplicación de nuevas directivas Mantenimiento y tareas de directivas Ficha Directivas Catálogo de directivas Ejecución de tareas del servidor Puerta de enlace de directorio Archivador de eventos Traductor de propiedades Configuración de notificaciones para eventos Cómo funcionan las notificaciones Notificaciones de Host Intrusion Prevention Ejecución de informes Informes predefinidos Informes de Host Intrusion Prevention Actualización Incorporación del paquete de actualización Actualización de clientes Cliente de Host Intrusion Prevention 132 Cliente Windows Icono de la bandeja del sistema Consola del cliente Alertas Ficha Directiva IPS Ficha Directiva de cortafuegos Ficha Directiva de aplicación Ficha Hosts bloqueados Ficha Protección de aplicaciones Ficha Registro de actividades Cliente Solaris Aplicación de directivas con el cliente Solaris Solución de problemas Cliente Linux Aplicación de directivas con el cliente Linux Notas acerca del cliente Linux Solución de problemas

8 Contenido 10 Preguntas más frecuentes 160 A Creación de firmas personalizadas 164 Estructura de las reglas Secciones comunes obligatorias Secciones comunes opcionales Variables del valor de sección Firmas personalizadas de Windows Clase Files Clase Isapi Clase Registry Clase Services Firmas personalizadas de Solaris Clase UNIX_file Detalles avanzados Clase UNIX_apache Firmas personalizadas de Linux Clase UNIX_file Resumen de parámetros y directivas Lista de parámetros según el tipo Lista de directivas según el tipo Glosario 187 Indice 196 8

9 1 Introducción a Host Intrusion Prevention McAfee Host Intrusion Prevention es un sistema de detección y prevención de intrusos basado en host que protege los recursos del sistema y las aplicaciones de ataques internos y externos. Host Intrusion Prevention ofrece protección frente a la visualización, copia, modificación y eliminación no autorizadas de información y frente a la puesta en peligro de los recursos del sistema y de la red y de las aplicaciones que almacenan y proporcionan información. Alcanza estos objetivos mediante una combinación innovadora de firmas del sistema de prevención de intrusos de host (HIPS), firmas del sistema de prevención de intrusos de red (NIPS), reglas de comportamiento y reglas de cortafuegos. Host Intrusion Prevention está totalmente integrado con epolicy Orchestrator y utiliza la estructura de este programa para proporcionar e imponer directivas. Gracias a la división de la funcionalidad de Host Intrusion Prevention en las funciones IPS, Cortafuegos, Bloqueo de aplicaciones y General se proporciona un mayor control a la hora de ofrecer protecciones de directivas y niveles de protección a los usuarios. La protección se ofrece desde el momento en que Host Intrusion Prevention se instala. La configuración de protección predeterminada precisa poco o nada de ajuste y permite un despliegue rápido a gran escala. Para conseguir una mayor protección, edite y agregue directivas para ajustar el despliegue. Para obtener información básica sobre el uso de este producto y esta guía, consulte: Novedades de esta versión Uso de esta guía Obtención de información del producto Información de contacto 9

10 Introducción a Host Intrusion Prevention Novedades de esta versión 1 Novedades de esta versión Host Intrusion Prevention 6.1 se integra totalmente con epolicy Orchestrator para gestionar la aplicación del cliente en las plataformas Windows, Solaris y Linux. Se requiere el agente epolicy Orchestrator y su versión depende de la plataforma en la que esté instalado el cliente. Para Windows, se requiere epo Agent o posterior. Para Solaris y Linux, se requiere epo Agent 3.7. Cambios con respecto a la versión anterior Dos categorías de directivas de cortafuegos que ofrecen una funcionalidad de cortafuegos con seguimiento de estado para clientes Windows de la versión 6.1, además de la funcionalidad de cortafuegos estática para clientes de la versión 6.0.X. Las directivas Reglas del cortafuegos y Reglas de cuarentena son directivas de reglas de cortafuegos con seguimiento de estado que gestionan únicamente clientes de Host Intrusion Prevention 6.1. Las directivas 6.0 Reglas del cortafuegos y 6.0 Reglas de cuarentena son directivas de reglas de cortafuegos estáticas precedentes que gestionan clientes de Host Intrusion Prevention 6.0.X. Las opciones de cortafuegos con seguimiento de estado en la directiva Opciones del cortafuegos para activar Inspección del protocolo de FTP y establecer Tiempo de espera de conexión TCP y Tiempo de espera de conexión UDP virtual. Los Grupos para conexión de la directiva Reglas del cortafuegos se han mejorado. Se ha añadido un sufijo DNS como criterio de acceso a la red. Distingue entre conexiones de red por cable o inalámbricas. Nuevas funciones Soporte para clientes Linux en Red Hat Enterprise 4 con SE Linux. Gestión de directivas IPS a través de la consola de epo. Aplicación del modo Adaptación. Soporte para clientes Solaris en Solaris 8, 9 y 10, núcleos de 32 bits y 64 bits. Gestión de directivas IPS a través de la consola de epo. Aplicación del modo Adaptación. Protección de servidores web, incluidos Sun One y Apache. Posibilidad de actualización desde Entercept 5.1 para Solaris. 10

11 Introducción a Host Intrusion Prevention Uso de esta guía 1 Uso de esta guía Esta guía proporciona la siguiente información sobre la configuración y el uso del producto. Para ver los requisitos del sistema y las instrucciones para la instalación, consulte la Guía de configuración. Introducción a Host Intrusion Prevention Una descripción general del producto, incluida una explicación de las funciones nuevas o de las modificadas, una descripción general de esta guía e información para ponerse en contacto con McAfee. Conceptos básicos Una explicación de los elementos básicos de Host Intrusion Prevention y cómo funcionan. Uso de epolicy Orchestrator Una explicación de cómo utilizar Host Intrusion Prevention y epolicy Orchestrator. Directivas de IPS Una explicación de cómo trabajar con directivas IPS. Directivas de cortafuegos Una explicación de cómo trabajar con directivas de cortafuegos. Directivas de bloqueo de aplicaciones Una explicación de cómo trabajar con directivas de bloqueo de aplicaciones. Directivas generales Una explicación de cómo trabajar con directivas generales. Mantenimiento Una explicación de cómo mantener y actualizar Host Intrusion Prevention. Cliente de Host Intrusion Prevention Una explicación de cómo trabajar con el cliente. Preguntas más frecuentes Respuestas a preguntas frecuentes sobre Host Intrusion Prevention. Creación de firmas personalizadas Apéndice sobre cómo crear firmas personalizadas. Glosario Indice Destinatarios Esta información está destinada a administradores de la red o de equipos informáticos, responsables del sistema de detección y prevención de intrusos de host de sus empresas. 11

12 Introducción a Host Intrusion Prevention Uso de esta guía 1 Convenciones En esta guía se utilizan las siguientes convenciones: Negrita condensada Courier Cursiva Azul <TÉRMINO> Todas las palabras de la interfaz de usuario, incluidos los nombres de opciones, menús, botones y cuadros de diálogo. Ejemplo: Escriba el Nombre de usuario y la Contraseña de la cuenta que desee. Ruta de acceso de una carpeta o programa; texto que representa exactamente algo que escribe el usuario (por ejemplo, un comando en el símbolo del sistema). Ejemplo: La ubicación predeterminada del programa es: C:\Archivos de programa\mcafee\epo\3.5.0 Ejecute este comando en el equipo cliente: C:\SETUP.EXE Para enfatizar o al presentar un término nuevo; para nombres de documentación del producto y temas (títulos) en el material. Ejemplo: Consulte la Guía del producto de VirusScan Enterprise para obtener más información. Una dirección Web (URL) y/o un vínculo activo. Visite el sitio Web de McAfee en: Entre corchetes angulares se incluye un término genérico. Ejemplo: En el árbol de consola, haga clic con el botón derecho en <SERVIDOR>. Nota Nota: Información complementaria; por ejemplo, otro método para ejecutar el mismo comando. Sugerencia Sugerencia: Sugerencias de prácticas recomendadas y recomendaciones de McAfee para mejorar la prevención frente a amenazas, el rendimiento y la eficacia. Precaución Precaución: Consejos importantes para proteger el sistema informático, la empresa, la instalación de software o los datos. Advertencia Advertencia: Consejos importantes para proteger al usuario de daños físicos al utilizar un producto de hardware. 12

13 Introducción a Host Intrusion Prevention Obtención de información del producto 1 Obtención de información del producto A menos que se indique de otro modo, la documentación del producto se proporciona en archivos.pdf de Adobe Acrobat (versión 6.0) disponibles en el CD del producto o en el sitio de descargas de McAfee. Documentación estándar Guía de instalación: Procedimientos para el despliegue y la gestión de productos compatibles a través del software de gestión epolicy Orchestrator. Guía del producto: Introducción al producto y funciones disponibles, instrucciones detalladas para configurar el software, información sobre el despliegue, tareas recurrentes y procedimientos operativos. Ayuda: Información detallada y de alto nivel a la que se accede desde el botón Ayuda de la aplicación de software. Tarjeta de referencia rápida: Práctica tarjeta con información sobre las funciones básicas del producto, las tareas rutinarias que se realizan con frecuencia y las tareas críticas que se realizan ocasionalmente. Se adjunta una tarjeta impresa al CD del producto. Notas de la versión: Archivo léame. Información sobre el producto, problemas solucionados, problemas conocidos y adiciones o cambios de última hora en el producto o en la documentación que lo acompaña. (Se incluye un archivo de texto con la aplicación de software y en el CD del producto.) 13

14 Introducción a Host Intrusion Prevention Información de contacto 1 Información de contacto Centro de amenazas: McAfee Avert Labs Biblioteca de amenazas Avert Labs Avert Labs WebImmune, Enviar una muestra (se necesitan credenciales de inicio de sesión) Archivos DAT de Avert Labs Servicio de notificación Sitio de descargas Actualizaciones de productos (se requiere un número de licencia válido) Actualizaciones de seguridad (DAT, motor) Versiones de revisión Soporte técnico Para vulnerabilidades de seguridad (disponible para el público) Para productos (se requiere una cuenta ServicePortal y un número de licencia válido) Evaluación de productos Programa beta de McAfee Búsqueda en la base de datos KnowledgeBase McAfee Soporte técnico ServicePortal (es necesario disponer de credenciales para el inicio de sesión) Servicio de atención al cliente Web Teléfono: Número gratuito en EE.UU., Canadá y Latinoamérica: VIRUS NO o De lunes a viernes, de 8:00 a 20:00, hora central de EE.UU. Servicios profesionales Empresa: Pequeña y mediana empresa: 14

15 2 Conceptos básicos McAfee Host Intrusion Prevention es un sistema de protección de intrusos basado en host. Ofrece protección contra ataques conocidos y desconocidos, incluidos gusanos, troyanos, desbordamiento de búfer, modificación de archivos críticos del sistema y promoción de privilegios. La gestión de Host Intrusion Prevention se ofrece a través de la consola de epolicy Orchestrator y proporciona la posibilidad de configurar y aplicar directivas de prevención de intrusos de host, de cortafuegos, de bloqueo de aplicaciones y generales. Los clientes de Host Intrusion Prevention se despliegan en servidores y equipos de escritorio y funcionan como unidades de protección independientes. Envían informes sobre sus actividades a epolicy Orchestrator y recuperan actualizaciones para nuevas definiciones de ataques. En esta sección se describen las cuatro funciones de Host Intrusion Prevention y su funcionamiento con epolicy Orchestrator, y se incluyen los temas siguientes: Función IPS Función cortafuegos Función de bloqueo de aplicaciones Función General Gestión de directivas Despliegue y gestión Función IPS Reglas de firma La función IPS (Intrusion Prevention System, sistema de prevención de intrusos) supervisa todas las llamadas de API y del sistema y bloquea las que podrían dar origen a actividad dañina. Host Intrusion Prevention determina qué proceso está utilizando una llamada, el contexto de seguridad en el que se ejecuta el proceso y el recurso al que se está accediendo. Un controlador de kernel que recibe las entradas redireccionadas en la tabla de llamadas del sistema de modo de usuario supervisa la cadena de llamadas del sistema. Cuando se realizan llamadas, el controlador compara la solicitud de llamada con una base de datos donde se combinan firmas y reglas de comportamiento para determinar si una acción se permite, se bloquea o se registra. Las reglas de firma son patrones de caracteres que pueden coincidir con un flujo de tráfico. Por ejemplo, una regla de firma podría buscar una cadena específica en una solicitud HTTP. Si la cadena coincide con una de un ataque conocido, se emprende una acción. Estas reglas proporcionan protección contra ataques conocidos. 15

16 Conceptos básicos Función IPS 2 Las firmas se diseñan para aplicaciones y sistemas operativos específicos; por ejemplo, servidores Web como Apache, IIS y NES/iPlanet. La mayoría de las firmas protegen todo el sistema operativo, aunque algunas protegen aplicaciones específicas. Reglas de comportamiento Las reglas de comportamiento no modificables definen un perfil de actividad inofensiva. La actividad que no coincida con el perfil se considera sospechosa y activará una respuesta. Por ejemplo, una regla de comportamiento podría indicar que sólo un proceso del servidor Web deberá acceder a los archivos HTML. Si cualquier otro proceso intenta acceder a los archivos html, se emprenderá una acción. Estas reglas proporcionan protección contra ataques del día cero y desbordamiento del búfer. Eventos Se generan eventos IPS cuando un cliente reconoce una infracción de una regla de firma o de comportamiento. Los eventos se registran en la ficha Eventos IPS de Reglas IPS. Los administradores pueden supervisar estos eventos para ver y analizar infracciones de reglas del sistema. A continuación, pueden ajustar las reacciones a eventos o crear excepciones o reglas de aplicaciones de confianza para reducir el número de eventos y afinar la configuración de protección. Reacciones Una reacción es lo que hace un cliente cuando reconoce una firma con una gravedad específica. Un cliente reacciona de una de estas tres maneras: Omitir: no hay ninguna reacción; el evento no se registra y el proceso no se impide. Registro: el evento se registra pero no se impide el proceso. Evitar: el evento se registra y se impide el proceso. Una directiva de seguridad puede indicar, por ejemplo, que cuando un cliente reconozca una firma del nivel de Información, registre la incidencia de esa firma y permita que el sistema operativo gestione el proceso; y que cuando reconozca una firma del nivel Alto impida el proceso. Nota El registro se puede activar directamente en cada firma. Reglas de excepción Una excepción es una regla para anular actividad bloqueada. En algunos casos, el comportamiento que una firma define como un ataque puede ser parte de la rutina de trabajo habitual de un usuario o una actividad que está permitida para una aplicación protegida. Para anular la firma, puede crear una excepción para permitir actividades inofensivas. Por ejemplo, una excepción podría indicar que para un cliente en concreto se omita un proceso. Puede crear estas excepciones manualmente o colocar clientes en modo Adaptación y permitirles crear reglas de excepción de cliente. Para garantizar que algunas firmas nunca se anulen, edite la firma en cuestión y desactive las opciones de Permitir reglas del cliente. Puede hacer un seguimiento de las excepciones en la consola de epolicy Orchestrator y mostrarlas en una vista normal y agregada. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que puede aplicar a otros clientes. 16

17 Conceptos básicos Función cortafuegos 2 Función cortafuegos La función Cortafuegos de Host Intrusion Prevention actúa a modo de filtro entre el equipo y la red o Internet a la esté conectado. La directiva de Reglas del cortafuegos de la versión 6.0 utiliza un filtrado de paquetes estático con una coincidencia de reglas descendente. Cuando se analiza un paquete y se equipara con una regla de cortafuegos, con criterios tales como la dirección IP, el número de puerto y el tipo de paquete, el paquete se permite o se bloquea. Si no se encuentra ninguna regla coincidente, el paquete se descarta. La directiva de Reglas del cortafuegos de la versión actual utiliza tanto el filtrado de paquetes con seguimiento de estado como la inspección de paquetes con seguimiento de estado. Otras funciones son: Un modo de cuarentena en el que los equipos clientes pueden ponerse y al que se puede aplicar un conjunto estricto de reglas del cortafuegos que defina con qué clientes en cuarentena se puede o no comunicar. Grupos para conexión que permiten crear grupos de reglas especializadas basadas en un tipo de conexión específico para cada adaptador de red. Reglas del cortafuegos Se pueden crear reglas del cortafuegos tan sencillas o complejas como sea necesario. Host Intrusion Prevention admite reglas basadas en: Tipo de conexión (de red o inalámbrica). Protocolos IP y no IP. Dirección del tráfico de la red (entrante, saliente o ambos). Aplicaciones que han generado el tráfico. Servicio o puerto utilizado por un equipo (como el destinatario o el emisor). Servicio o puerto utilizado por un equipo remoto (como el emisor o el destinatario). Direcciones IP de origen y destino. Hora del día o la semana en la que se envió o se recibió el paquete. Reglas del cortafuegos de cliente Al igual que las reglas IPS, un cliente en modo de adaptación o de aprendizaje puede crear reglas del cliente para permitir actividad bloqueada. Puede hacer un seguimiento de las reglas del cliente y mostrarlas en una vista normal y agregada. Utilice estas reglas de cliente para crear nuevas directivas o agregarlas a directivas existentes que se pueden aplicar a otros clientes. 17

18 Conceptos básicos Función de bloqueo de aplicaciones 2 Función de bloqueo de aplicaciones La función Bloqueo de aplicaciones supervisa las aplicaciones que se están utilizando y las permite o las bloquea. Host Intrusion Prevention ofrece dos tipos de bloqueo de aplicaciones: Creación de aplicaciones. Enlace de aplicaciones. Cuando Host Intrusion Prevention supervisa la creación de aplicaciones, busca programas que están intentando ejecutarse. En la mayoría de los casos, no hay problemas; sin embargo, en otros hay virus, por ejemplo, que intentan ejecutar programas que dañan el sistema. Esto puede evitarse mediante la creación de reglas de aplicación, similares a las reglas del cortafuegos, que sólo permitan la ejecución de los programas permitidos para un usuario. Cuando Host Intrusion Prevention supervisa el enlace de aplicaciones, busca programas que están intentando enlazarse con otras aplicaciones. A veces, este comportamiento es inofensivo, pero en ocasiones se trata de un comportamiento sospechoso que puede indicar un virus u otro ataque al sistema. Se puede configurar Host Intrusion Prevention para que supervise sólo creación de aplicaciones, sólo enlace de aplicaciones o ambas funciones. La función Bloqueo de aplicaciones es muy similar a la función Cortafuegos. Se crea una lista de reglas de aplicación; ha de crear una regla para cada aplicación que desee permitir o bloquear. Cada vez que Host Intrusion Prevention detecte una aplicación que intenta iniciar o enlazar con otra aplicación, comprueba su lista de reglas de aplicación para determinar si debe permitir o bloquear la aplicación. Reglas de bloqueo de aplicaciones del cliente Los clientes en modo Adaptación o Aprendizaje pueden crear reglas de cliente para permitir la creación o enlace de aplicaciones bloqueadas; esto aparece en una vista normal o agregada. Utilice estas reglas de cliente exactamente como lo haría con las reglas de cliente del cortafuegos e IPS, para crear nuevas directivas o agregarlas a directivas existentes que se pueden aplicar a otros clientes. Función General La función General de Host Intrusion Prevention proporciona acceso a directivas que son, por naturaleza, generales y no específicas de las funciones IPS, Cortafuegos o Bloqueo de aplicaciones. Esta función incluye: Activación o desactivación de la imposición de todas las directivas. Determinación de cómo aparece la interfaz del cliente y cómo se accede a la misma. Creación y edición de direcciones de red y subredes de confianza. Creación y edición de aplicaciones de confianza para evitar la activación de eventos de falsos positivos. 18

19 Conceptos básicos Gestión de directivas 2 Gestión de directivas Una directiva es una recopilación de opciones de Host Intrusion Prevention que se configuran en la consola de epolicy Orchestrator y se imponen en los clientes de Host Intrusion Prevention. Las directivas permiten garantizar que el software de seguridad en sistemas gestionados se configura para ajustarse a los requisitos del entorno. La consola de epolicy Orchestrator permite configurar directivas de Host Intrusion Prevention desde una ubicación central. Las directivas son parte del archivo NAP de Host Intrusion Prevention que se agrega al repositorio maestro cuando se instala Host Intrusion Prevention. Imposición de directivas Cuando se modifican las directivas de Host Intrusion Prevention en la consola de epolicy Orchestrator, los cambios entrarán en vigor en los sistemas gestionados en el siguiente intervalo de comunicación entre agente y servidor (ASCI). Este intervalo se configura para que se produzca una vez cada 60 minutos de forma predeterminada. Las directivas de Host Intrusion Prevention se pueden imponer inmediatamente ejecutando una llamada de reactivación desde la consola de epolicy Orchestrator. Directivas y categorías de directivas La información de directivas para cada producto está agrupada por categoría. Cada categoría de directivas hace referencia a un subconjunto específico de directivas. En el Catálogo de directivas, al ampliar el nombre de un producto se muestran las categorías de directivas del producto en cuestión. Figura 2-1 Catálogo de directivas Una directiva con nombre es un conjunto configurado de definiciones de directivas correspondiente a una categoría de directivas específica. Para cada categoría de directivas, pueden crearse, modificarse o eliminarse tantas directivas con nombre como sea necesario. En el Catálogo de directivas, al ampliar el nombre de una categoría específica se muestran las directivas con nombre de dicha categoría. Cada categoría de directivas tiene una directiva con nombre Global Default. Esta directiva no puede editarse ni eliminarse. 19

20 Conceptos básicos Gestión de directivas 2 Dos categorías de directivas de Host Intrusion Prevention (Reglas IPS y Reglas de aplicaciones de confianza) permiten asignar más de una instancia de directiva con nombre y ofrecer un perfil de directivas IPS y de aplicación que pueden aplicarse. Figura 2-2 Perfil de dos instancias de directivas de aplicaciones de confianza Herencia y asignación de directivas Las directivas se aplican a cada nodo del árbol Directorio de la consola, ya sea por herencia o por asignación. Herencia determina si la configuración de directivas de cualquier nodo procede de su nodo principal. De forma predeterminada, la herencia está activada en todo el Directorio. La herencia se puede interrumpir mediante la asignación directa de directivas. Host Intrusion Prevention, al gestionarse mediante epolicy Orchestrator, permite crear directivas y asignarlas sin tener en cuenta su herencia. Cuando se interrumpe esta herencia asignando una nueva directiva en cualquier parte del Directorio, todos los nodos secundarios heredan la nueva directiva. Propiedad de directivas Una vez que todas las directivas están disponibles, es necesario que cada directiva tenga un propietario asignado. De forma predeterminada, el propietario de una directiva es el administrador global o del sitio que la ha creado. La propiedad garantiza que ningún usuario, salvo el administrador o propietario global de la directiva con nombre, pueda modificarla. Cualquier administrador puede utilizar una directiva que exista en el catálogo, pero únicamente el propietario o el administrador global podrá modificarla. Si asigna una directiva de la que no es propietario a nodos del Directorio que administra, y el propietario de la directiva la modifica, todos los sistemas a los que se ha asignado esta directiva recibirán estas modificaciones. Sugerencia Para utilizar y controlar una directiva que es propiedad de un administrador diferente, duplique la directiva y después asigne la directiva duplicada. Bloqueo de asignaciones de directivas Un administrador global puede bloquear la asignación de una directiva en cualquier ubicación del Directorio. El bloqueo de asignaciones de directivas impide que otros usuarios cambien la asignación de una directiva por otra. Se hereda con la directiva. El bloqueo de asignaciones de directivas resulta útil si un administrador global configura y asigna una directiva determinada en la parte superior del Directorio para asegurarse de que ningún otro usuario la sustituya por una directiva con nombre diferente de cualquier otra parte del Directorio. Nota El bloqueo de directivas no impide que el propietario de la directiva realice cambios en la configuración de la directiva con nombre. Por lo tanto, si pretende bloquear una asignación de directiva, asegúrese de que es el propietario de la misma. 20