Problema
Solución
Podría encontrar los siguientes nombres de eventos en el registro del Firewall de ESET.
No se cargó el archivo de definición de reglas – el módulo EPFW no se cargó correctamente.
No se encontró ninguna regla que se pueda usar – las conexiones entrantes en modo automático no coinciden con ninguna regla, por lo que se rechazan de manera predeterminada.
Paquete Ethernet incorrecto – demasiado poco del paquete fue recibido. El paquete es demasiado corto para contener un encabezado Ethernet o IP/IPv6.
Longitud incorrecta del paquete IP – el paquete es más corto que el indicado en su encabezado IPv4/IPv6, o el paquete es ICMP y demasiado corto para contener un encabezado ICMP.
Suma de comprobación incorrecta del paquete IP – suma de comprobación incorrecta en el encabezado IPv4. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).
Longitud incorrecta del paquete TCP – el paquete TCP es demasiado corto para contener el encabezado del paquete TCP.
Suma de comprobación incorrecta del paquete TCP – suma de comprobación incorrecta en el encabezado TCP. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).
Longitud incorrecta del paquete UDP – el paquete UDP es demasiado corto para el encabezado UDP.
Fragmento sospechoso del paquete IP – fragmentación sospechosa de acuerdo a RFC1858.
Versión desconocida del paquete IP – versión de IP incorrecta indicada en el paquete IPv4.
Suma de comprobación incorrecta del paquete UDP – suma de comprobación incorrecta en el encabezado UDP. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).
No hay ninguna aplicación escuchando el puerto – intento de conexión a un puerto al cual ninguna aplicación escucha. No importa si la conexión será permitida o denegada si existió una aplicación escuchando.
Comunicación denegada por la regla – la regla con acción LOG ha sido cumplida o “Registrar todos los bloqueos” es seleccionado en la sección Resolución de problemas.
Comunicación permitida por la regla – la regla con acción LOG ha sido cumplida.
Decisión para permitir comunicación delegada al usuario– la regla con acción LOG ha sido cumplida.
Ataque detectado en una vulnerabilidad de seguridad – se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB).
Un gusano intentó atacar este equipo– se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB)
Intento de enviar un gusano desde este equipo– se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB).
Se detectó un ataque de exploración de puertos – alguien intenta conectarse a varios puertos de su equipo dentro de un corto período.
Se detectó un ataque de envenenamiento de caché ARP – alguien intenta actualizar su caché ARP con una dirección MAC diferente a la que se halla en caché.
Se detectó un ataque de exploración de puertos– respuesta DNS recibida no solicitada. (Usualmente contiene diferentes direcciones de dominio).
Se detectó un ataque de desbordamiento ICMP – muchos paquetes ICMP recibidos de una IP particular dentro de un tiempo muy breve.
Se detectó un ataque de desbordamiento TCP – muchos paquetes TCP SYN (solicitudes de conexión) de una IP particular dentro de un tiempo muy breve.
Se detectó una dirección IP idéntica en la red – dos respuestas ARP recibidas de una dirección IP particular con direcciones MAC diferentes (una dirección de red estandarizada asignada a interfaces de red para las comunicaciones en la red física) dentro de un corto período.
El paquete de TCP no pertenece a ninguna conexión abierta – el paquete TCP no corresponde a ningún flujo existente.
Se detectó una vulnerabilidad de canal cubierto en un paquete ICMP – se encontró información inesperada en mensajes ICMP echo. El usuario podría posee una aplicación que implementa PING o podría ejecutar Linux como equipo virtual. Permitir la comunicación para conexiones de puente pueden ayudar a evitar falsos positivos de equipos virtuales.
Se detectó un dato inesperado en el protocolo – paquetes ARP, DNS o ICMP echo incorrectamente formateados. O puerto cero en TCP/UDP/.
La defensa activa (IDS) bloqueó temporalmente la dirección – la dirección fue bloqueada previamente por la Defensa activa. El bloqueo de direcciones no seguras luego de la detección debería encontrarse activado.
Paquete bloqueado por la defensa activa (IDS) – el paquete fue bloqueado por IDS sin razón específica. No debería ver este registro.
