Home article search

Sistema de detección de intrusiones y opciones avanzadas en ESET Smart Security y ESET Endpoint Security

Solución

La sección Sistema de detección de intrusiones y opciones avanzadas le permite configurar opciones avanzadas de filtrado para detectar numerosos tipos de ataques y vulnerabilidades que pueden ser dirigidos contra su equipo. En algunos casos usted no recibirá una notificación de amenazas acerca de comunicaciones bloqueadas. Usted puede ver el registro del Firewall personal para observar todas intentos bloqueados de comunicaciones entrantes y salientes, dentro del módulo Herramientas Archivos de registro (dentro del menú desplegable Registro seleccione Firewall personal). La disponibilidad de opciones particulares en esta ventana podría variar dependiendo del tipo de versión de su producto de seguridad ESET y del módulo del Firewall personal así como de la versión de su sistema operativo. 

ESS IDS and advanced options
Figura 1-1
Haga clic sobre la imagen para ampliarla

 

Servicios permitidos

  • Permitir el uso compartido de archivos e impresoras en la zona de confianza  – permite a los equipos remotos de la zona de confianza acceder a sus archivos e impresoras compartidos.
  • Permitir UPNP para los servicios del sistema en la zona de confianza – permite peticiones entrantes y salientes de protocolos UPnP para servicios del sistema. UPnP (Universal Plug and Play, también conocido como Microsoft Network Discovery) se utiliza en Windows Vista y sistemas operativos posteriores.
  • Permitir la comunicación RPC entrante en la zona de confianza – activa las conexiones TCP de una zona de confianza permitiendo acceso al Asignador de puertos MS RPC y a los servicios RPC/DCOM.
  • Permitir el escritorio remoto en la zona de confianza –activa conexiones mediante el Protocolo de escritorio remoto de Microsoft (RDP) y permite a los equipos de la zona de confianza acceder a su equipo por medio de un programa que utiliza RDP (por ejemplo, Conexión a escritorio remoto).
  • Habilitar los registros en grupos de multidifusión a través de IGMP – permite multidifusiones IGMP y UDP entrantes o salientes, por ejemplo secuencias de video generadas por aplicaciones que utilizan el protocolo IGMP (protocolo de administración de grupos de Internet).
  • Mantener las conexiones TCP inactivas – para funcionar, algunas aplicaciones necesitan que la conexión TCP que establecen se mantenga, aunque esté inactiva. Seleccione esta opción para evitar que finalicen las conexiones TCP inactivas.
  • Permitir la comunicación para las conexiones puente – seleccione esta opción para evitar que finalicen las conexiones puente.
  • Permitir la respuesta a solicitudes ARP desde fuera de la zona de confianza – seleccione esta opción si desea que el sistema responda a las solicitudes ARP con direcciones IP que no se encuentran en la zona de confianza. La aplicación de red utiliza ARP (Protocolo de resolución de direcciones) para determinar la dirección Ethernet.
  • Permitir todo el tráfico dentro del equipo – si esta opción está deshabilitada, se le indicará que permita o deniegue los intentos de comunicación de localhost. Para que esta opción sea funcional, el firewall personal se debe establecer en el modo Interactivo.
  • Permitir las aplicaciones Metro (solo Windows 8) – la comunicación de las aplicaciones Windows Store que se ejecutan en el ambiente Metro se permiten de acuerdo con el manifiesto de aplicación Metro. Esta opción anulará todas las reglas y excepciones para las aplicaciones Metro independientemente si las seleccionó del modo Interactivo o del modo con base en Política en el firewall personal de ESET.
  • Permitir una conexión entrante para intercambio de admin. en el protocolo de SMB – los intercambios administrativos (intercambios de admin.) son los intercambios de red predeterminados que intercambian particiones del disco rígido (C$, D$, ...) en el sistema junto con el directorio del sistema (ADMIN$). Deshabilitar la conexión a intercambios de admin. debería mitigar cualquier riesgo de seguridad. Por ejemplo, el gusano Conficker realiza ataques por diccionario para conectarse a intercambios de admin.

Servicios de Vista/Windows 7

    • Agregar direcciones IPv6 de la red local a la zona de confianza (fe80::/64) – agregar una dirección local de vínculo (dirección IP destinada a la comunicación en una red local) de su red local que será considerada como zona de confianza. Las direcciones locales de vínculos para iPv6 son asignadas con un prefijo fe80::/64.
    • Permitir Web Services Discovery (WSD) automático para servicios del sistema en la zona de confianza – permite peticiones de Web Services Discovery entrantes desde la zona de confianza a través del firewall. WSD es un protocolo utilizado para localizar servicios en una red local.
    • Permitir la multidifusión para la resolución de direcciones en la zona de confianza (LLMNR) – la LLMNR (Resolución de nombres de multidifusión local de vínculos) es un protocolo basado en el paquete DNS cuya función es permitir que tanto el host IPv4 como el IPv6 resuelvan nombres para hosts en el mismo vínculo local sin requerir la configuración del servidor o del cliente DNS. Esta opción permite peticiones de multidifusión DNS entrantes o salientes desde la zona de confianza o dentro de ella a través del firewall.
    • Soporte para el Grupo Hogar de Windows 7 – habilita el soporte para el Grupo Hogar del sistema operativo Windows 7 y sistemas operativos posteriores. Una red casera tiene la posibilidad de compartir archivos e impresoras en una red doméstica. Para configurar un grupo hogar, navegue a Inicio > Panel de control > Redes e Internet > Grupo Hogar.

Permitir la comunicación RPC entrante sobre SMB

MSRPC es la implementación de Microsoft del mecanismo DCE RPC. Además, MSRPC puede utilizar tuberías denominadas dentro del protocolo SMB (compartir archivo de red) para su transporte (transporte ncacn-np). Los servicios MSRPC proporcionan interfaces para el acceso y gestión del sistema de Windows de modo remoto. A lo largo de los últimos años, se descubrieron y explotaron varias vulnerabilidades de seguridad in the wild en el sistema MSRPC de Windows (gusano Conficker, gusano Sasser, ...). Deshabilite la comunicación con los servicios MSRPC que no necesite proporcionar para mitigar muchos riesgos de seguridad (como la ejecución remota de códigos o ataques por fallas del servicio).

    • Permitir la comunicación con el servicio Administrador de cuenta de seguridad – esta interfaz (samr) es utilizada para comunicarse con el subsistema SAM (Administrador de cuenta de seguridad). SAM es un servicio protegido que administra usuarios y grupos en Windows.
    • Permitir la comunicación con el servicio Autoridad de seguridad local – esta interfaz (lsarpc) es utilizada para comunicarse con el subsistema LSA (Autoridad de seguridad local), un proceso en Windows (lsass.exe) responsable de hacer cumplir la política de seguridad del sistema.
    • Permitir la comunicación con el servicio Registro remoto – esta interfaz (winreg) es utilizada para acceder al registro, ya sea de modo local o remoto. Esto permite a los usuarios remotos modificar las configuraciones del registro en su equipo.
    • Permitir la comunicación con el servicio Administrador de control de servicio – Esta interfaz (svcctl) es utilizada para administrar los servicios de Windows a través del SCM (Administrador de control de servicio), el cual inicia, interrumpe e interactúa con los procesos de servicio de Windows. La llamada remota a este servicio por parte de un atacador puede ocasionar varios problemas.
    • Permitir la comunicación con el servicio del servidor – esta interfaz (srvsvs) es utilizada para administrar el servicio lanmanserver (llamado Servicio del servidor), el cual soporta el intercambio de archivos, impresiones y tuberías denominadas a través de la red para este equipo.
    • Permitir la comunicación con los otros servicios – permite las comunicaciones con las otras interfaces de Microsoft RPC (como el servicio de Gestor de cola utilizado para impresoras, o el servicio de Tareas programadas).

Detección de intrusiones

  • Detección del gusano CodeRed – detecta el gusano CodeRed. El gusano CodeRed es un gusano que usa la vulnerabilidad de desbordamiento del búfer para propagarse. El gusano aprovecha una vulnerabilidad en el software de indización distribuido con IIS (Internet Information Server).
  • Detección del ataque por envenenamiento ARP – detección del ataque por envenenamiento ARP causado por un ataque interpuesto o un examen del conmutador de red. La aplicación de red utiliza ARP (Protocolo de resolución de direcciones) para determinar la dirección Ethernet.
  • Detección del ataque por envenenamiento DNS – detección del envenenamiento DNS; recibir respuestas falsas a peticiones DNS (enviadas por el atacante) que podrían dirigirlo a sitios Web maliciosos o falsos. Los DNS (Sistemas de nombre de dominio) son sistemas de bases de datos distribuidos que traducen entre nombres de dominios sencillos para el humano y direcciones IP numéricas, y les permiten a los usuarios referirse a un sitio Web simplemente utilizando su nombre de dominio. 
  • Detección del ataque de exploración de puerto TCP/UDP – detecta ataques de software de exploración de puerto; una aplicación diseñada para sondear puertos abiertos de un host enviando peticiones de cliente a un rango de direcciones de puerto, con el objetivo de encontrar puertos activos y explotar la vulnerabilidad del servicio. 
  • Bloquear la dirección no segura una vez detectado el ataque – las direcciones IP que han sido detectadas como fuentes de ataques son agregadas a la Lista negra para prevenir la conexión durante un cierto período.
  • Mostrar una notificación al detectar un ataque – activa la notificación de la bandeja del sistema en el sector inferior derecho de la pantalla.
  • Detección del gusano SqlSlamme – detecta ataques del gusano SqlSlammer. El gusano SqlSlammer provoca la denegación de servicio en algunos hosts de Internet y ralentiza el tráfico general de Internet.
  • Detección del ataque RPC/DCOM – si esta opción está seleccionada, se bloquearán los ataques que aprovechen la vulnerabilidad de RPC DCOM de Microsoft.
  • Detección del gusano Sasser – detección del gusano Sasser. Otro gusano relacionado con el desbordamiento del búfer, que afecta equipos con versiones vulnerables de Windows XP/2000 y aprovecha las vulnerabilidades del sistema a través de un puerto utilizado por el servicio LSASS de Windows.
  • Detección de ataques de transmisiones SMB – tipo de ataque en el que una parte remota intercepta la comunicación entre dos equipos. Lea más información sobre este tipo de ataque en el glosario.
  • Detección del gusano Conficker – detección del gusano Conficker, que ataca el sistema operativo Windows usando un Ataque por diccionario o el Ataque por fuerza bruta en las contraseñas del administrador.

Nota: Las casillas de verificación anteriormente mencionadas para los algoritmos de detección de gusanos específicos (como Sasser) no están disponibles para todos los usuarios. Estas características se han reemplazado por parte de la detección de CVE en versiones más nuevas sobre los productos de ESET o módulos de firewall personal (consulte a continuación).

Protocolo SMB

    • Detección de autenticación de ataque de desafío del servidor ficticio – esta opción lo protege contra un ataque que utiliza un desafío ficticio durante la autenticación para obtener credenciales de usuario.
    • Evasión de IDS durante la detección de abertura de tubería nombrada – detección de técnicas de evasión utilizadas para abrir tuberías denominadas MSRPC en el protocolo SMB.
    • Detección de CVE (Exposiciones y vulnerabilidades comunes): –  métodos de detección implementados de varios ataques, formas, agujeros de seguridad y explotaciones sobre el protocolo de SMB. Consulte lo siguiente Sitio Web de CVE en cve.mitre.org para buscar y obtener información más detallada sobre los identificadores de CVE (CVE).

Protocolo RDP – CVE en el protocolo RDP (consulte arriba).

Protocolo DCE/RPC – CVE en el sistema de llamadas de procedimientos remoto para el Entorno de computación distribuida (DCE).

Inspección de paquetes

  • Denegar dialectos SMB anteriores (no compatibles) – denegar una sesión SMB con un dialecto SMB negociado que no es compatible con IDS. Los sistemas operativos modernos de Windows son compatibles con los dialectos SMB antiguos debido a la retrocompatibilidad con sistemas operativos antiguos como Windows 95. El atacante puede negociar un dialecto antiguo en una sesión SMB para evadir la inspección de tráfico. Denegar dialectos SMB antiguos si su equipo no necesita intercambiar archivos (comunicación SMB en general) con un equipo que posee una versión antigua de Windows.
  • Denegar sesiones SMB sin extensiones de seguridad – se puede negociar las seguridad extendida durante la negociación de la sesión de SMB para proporcionar un mecanismo de autenticación más seguro que la autenticación Desafío/respuesta del administrador LAN (LM). El esquema LM es considerado débil y no se recomienda su uso.
  • Denegar la abertura de archivos ejecutables en un servidor fuera de la Zona de confianza en el protocolo de SMB – anula la conexión cuando intenta ejecutar un archivo ejecutable (.exe, .dll, ...) desde una carpeta compartida en el servidor que no pertenece a la zona de confianza en el firewall personal. Tenga en cuenta que copiar archivos ejecutables desde fuentes de confianza puede ser legítimo. Por otro lado, esta detección debería mitigar los riesgos de la abertura no deseada de un archivo en un servidor malicioso, por ejemplo causado por hacer clic en un usuario en un vínculo a un archivo ejecutable malicioso compartido.
  • Denegar la autenticación de NTLM en el protocolo de SMB para conectarse a un servidor dentro o fuera de la Zona de confianza – los protocolos que utilizan esquemas de autenticación de NTLM (ambas versiones) están sujetos a un ataque por reenvío de credenciales (conocido como ataque de Retransmisiones SMB en el caso de un protocolo de SMB). Denegar la autenticación de NTLM con un servidor fuera de la Zona de confianza debería mitigar los riesgos del reenvío de credenciales por parte de un servidor malicioso fuera de la Zona de confianza. De modo similar, también se puede denegar la autenticación de NTLM con servidores en la Zona de confianza.
    •Verificar el estado de conexión TCP: verifica para ver si todos los paquetes TCP pertenecen a una conexión existente. Si un paquete no existe en una conexión, se descartará.
  • Verificar el estado de conexión TCP – verifica para ver si todos los paquetes TCP pertenecen a una conexión existente. Si un paquete no existe en una conexión, se descartará.
  • Detección de sobrecarga del protocolo TCP – el principio de este método involucra exponer la computadora o servidor a múltiples solicitudes; consulte también los DoS (denegación de ataques servicio).
  • Verificación de los paquetes entrantes/salientes TCP y UDP (validación de la suma de comprobación) – seleccione esta opción solamente si su propósito es la evaluación. Esta funcionalidad valida la suma de comprobación de los paquetes TCP/UDP entrantes/salientes.
  • Verificación de mensajes para el protocolo ICMP – evita los ataques que aprovechan las debilidades del protocolo ICMP. 
  • Detección de canales ocultos del protocolo ICMP – verifica para ver si el protocolo ICMP se usa para la transferencia de datos. Muchas técnicas maliciosas usan el protocolo de ICMP para evadir el firewall personal.

Solución de problemas

  • Registrar todas las conexiones bloqueadas – incluye en un historial de registro todas las conexiones denegadas.
  • Registrar ataques de gusanos entrantes bloqueados – registra todos los intentos de gusanos de entrar al sistema.
  • Habilitar el registro avanzado de PCAP – registra todas las comunicaciones de la red con fines de solución de problemas. Una advertencia emergente notificará al usuario sobre el registro. Se pueden localizar los archivos de registro en:
    C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ en Vista y versiones más nuevas de Windows o en C:\Documents and Settings\All Users\... en versiones más antiguas de Windows.


Was this information helpful?