Problema
Solución
Podría encontrar los siguientes nombres de eventos en el registro del Firewall de ESET.
No se cargó el archivo de definición de reglas – el módulo EPFW no se cargó correctamente.
No se encontró ninguna regla que se pueda usar – las conexiones entrantes en modo automático no coinciden con ninguna regla, por lo que se rechazan de manera predeterminada.
Paquete Ethernet incorrecto – demasiado poco del paquete fue recibido. El paquete es demasiado corto para contener un encabezado Ethernet o IP/IPv6.
Longitud incorrecta del paquete IP – el paquete es más corto que el indicado en su encabezado IPv4/IPv6, o el paquete es ICMP y demasiado corto para contener un encabezado ICMP.
Suma de comprobación incorrecta del paquete IP – suma de comprobación incorrecta en el encabezado IPv4. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).
Longitud incorrecta del paquete TCP – el paquete TCP es demasiado corto para contener el encabezado del paquete TCP.
Suma de comprobación incorrecta del paquete TCP – suma de comprobación incorrecta en el encabezado TCP. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).
Longitud incorrecta del paquete UDP – el paquete UDP es demasiado corto para el encabezado UDP.
Fragmento sospechoso del paquete IP – fragmentación sospechosa de acuerdo a RFC1858.
Versión desconocida del paquete IP – versión de IP incorrecta indicada en el paquete IPv4.
Suma de comprobación incorrecta del paquete UDP – suma de comprobación incorrecta en el encabezado UDP. La validación debe encontrarse activada en las opciones avanzadas (separadas, para entrantes y salientes).
No hay ninguna aplicación escuchando el puerto – intento de conexión a un puerto al cual ninguna aplicación escucha. No importa si la conexión será permitida o denegada si existió una aplicación escuchando.
Comunicación denegada por la regla – la regla con acción LOG ha sido cumplida o “Registrar todos los bloqueos” es seleccionado en la sección Resolución de problemas.
Comunicación permitida por la regla – la regla con acción LOG ha sido cumplida.
Decisión para permitir comunicación delegada al usuario– la regla con acción LOG ha sido cumplida.
Ataque detectado en una vulnerabilidad de seguridad – se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB).
Un gusano intentó atacar este equipo– se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB)
Intento de enviar un gusano desde este equipo– se encuentra transfiriéndose información maliciosa en un protocolo de aplicación (como DCE/RPC, SMB).
Se detectó un ataque de exploración de puertos – alguien intenta conectarse a varios puertos de su equipo dentro de un corto período.
Se detectó un ataque de envenenamiento de caché ARP – alguien intenta actualizar su caché ARP con una dirección MAC diferente a la que se halla en caché.
Se detectó un ataque de exploración de puertos – respuesta DNS recibida no solicitada. (Usualmente contiene diferentes direcciones de dominio).
Se detectó un ataque de desbordamiento ICMP – muchos paquetes ICMP recibidos de una IP particular dentro de un tiempo muy breve.
Se detectó un ataque de desbordamiento TCP – muchos paquetes TCP SYN (solicitudes de conexión) de una IP particular dentro de un tiempo muy breve.
Se detectó una dirección IP idéntica en la red – dos respuestas ARP recibidas de una dirección IP particular con direcciones MAC diferentes (una dirección de red estandarizada asignada a interfaces de red para las comunicaciones en la red física) dentro de un corto período.
El paquete de TCP no pertenece a ninguna conexión abierta – el paquete TCP no corresponde a ningún flujo existente.
Se detectó una vulnerabilidad de canal cubierto en un paquete ICMP – se encontró información inesperada en mensajes ICMP echo. El usuario podría posee una aplicación que implementa PING o podría ejecutar Linux como equipo virtual. Permitir la comunicación para conexiones de puente pueden ayudar a evitar falsos positivos de equipos virtuales.
Se detectó un dato inesperado en el protocolo – paquetes ARP, DNS o ICMP echo incorrectamente formateados. O puerto cero en TCP/UDP/.
La defensa activa (IDS) bloqueó temporalmente la dirección – la dirección fue bloqueada previamente por la Defensa activa. El bloqueo de direcciones no seguras luego de la detección debería encontrarse activado.
Paquete bloqueado por la defensa activa (IDS) – el paquete fue bloqueado por IDS sin razón específica. No debería ver este registro.
