[KB2958] ¿Qué significan los códigos del Firewall?

Problema

Solución

Podría encontrar los siguientes nombres de eventos en el registro del Firewall de ESET.

Acceso a la Ayuda del registro del Firewall:

Para obtener mayor información acerca del registro del Firewall de ESET acceda a nuestra Ayuda en línea.

Haga clic aquí para obtener instrucciones para encontrar y enviar los archivos de registro al Equipo de ESET para que sean analizados.


No se cargó el archivo de definición de reglas – el módulo EPFW no se cargó correctamente.

No se encontró ninguna regla que se pueda usar – las conexiones entrantes en modo automático no coinciden con ninguna regla, por lo que se rechazan de manera predeterminada.

Paquete Ethernet incorrecto – demasiado poco del paquete fue recibido. El paquete es demasiado corto para contener un encabezado Ethernet o IP/IPv6.

Longitud incorrecta del paquete IP – el paquete es más corto que el indicado en su encabezado IPv4/IPv6, o el paquete es ICMP y demasiado corto para contener un encabezado ICMP.

Suma de comprobación incorrecta del paquete IP – suma de comprobación incorrecta en el encabezado IPv4. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).

Longitud incorrecta del paquete TCP – el paquete TCP es demasiado corto para contener el encabezado del paquete TCP.

Suma de comprobación incorrecta del paquete TCP – suma de comprobación incorrecta en el encabezado TCP. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).

Longitud incorrecta del paquete UDP – el paquete UDP es demasiado corto para el encabezado UDP.

Fragmento sospechoso del paquete IP – fragmentación sospechosa de acuerdo a RFC1858.

Versión desconocida del paquete IP – versión de IP incorrecta indicada en el paquete IPv4.

Suma de comprobación incorrecta del paquete UDP – suma de comprobación incorrecta en el encabezado UDP. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).

No hay ninguna aplicación escuchando el puerto – intento de conexión a un puerto al cual ninguna aplicación escucha. No importa si la conexión será permitida o denegada si existió una aplicación escuchando.

Comunicación denegada por la regla – la regla con acción LOG ha sido cumplida o “Registrar todos los bloqueos” es seleccionado en la sección Resolución de problemas.

Comunicación permitida por la regla – la regla con acción LOG ha sido cumplida.

Decisión para permitir comunicación delegada al usuario– la regla con acción LOG ha sido cumplida.

Ataque detectado en una vulnerabilidad de seguridad – se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB).

Un gusano intentó atacar este equipo se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB)

Intento de enviar un gusano desde este equipo– se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB).

Se detectó un ataque de exploración de puertos – alguien intenta conectarse a varios puertos de su equipo dentro de un corto período.

Se detectó un ataque de envenenamiento de caché ARP – alguien intenta actualizar su caché ARP con una dirección MAC diferente a la que se halla en caché.

Se detectó un ataque de exploración de puertos – respuesta DNS recibida no solicitada. (Usualmente contiene diferentes direcciones de dominio).

Se detectó un ataque de desbordamiento ICMP – muchos paquetes ICMP recibidos de una IP particular dentro de un tiempo muy breve.

Se detectó un ataque de desbordamiento TCP – muchos paquetes TCP SYN (solicitudes de conexión) de una IP particular dentro de un tiempo muy breve.

Se detectó una dirección IP idéntica en la red – dos respuestas ARP recibidas de una dirección IP particular con direcciones MAC diferentes (una dirección de red estandarizada asignada a interfaces de red para las comunicaciones en la red física)  dentro de un corto período.

El paquete de TCP no pertenece a ninguna conexión abierta – el paquete TCP no corresponde a ningún flujo existente.

Se detectó una vulnerabilidad de canal cubierto en un paquete ICMP – se encontró información inesperada en mensajes ICMP echo. El usuario podría posee una aplicación que implementa PING o podría ejecutar Linux como equipo virtual. Permitir la comunicación para conexiones de puente pueden ayudar a evitar falsos positivos de equipos virtuales.

Se detectó un dato inesperado en el protocolo – paquetes ARP, DNS o ICMP echo incorrectamente formateados. O puerto cero en TCP/UDP/.

La defensa activa (IDS) bloqueó temporalmente la dirección – la dirección fue bloqueada previamente por la Defensa activa. El bloqueo de direcciones no seguras luego de la detección debería encontrarse activado.

Paquete bloqueado por la defensa activa (IDS) – el paquete fue bloqueado por IDS sin razón específica. No debería ver este registro.