Reglas de protección de aplicaciones

Las reglas de protección de aplicaciones ayudan a mitigar los problemas de compatibilidad y estabilidad implícitos en el enlace de procesos. Permite o bloquea el enlace de API a nivel de usuario para listas definidas y generadas de procesos. El enlace de archivos y Registro a nivel del kernel no se ve afectado.

Host Intrusion Prevention proporciona una lista estática de procesos que se permiten o se bloquean. Esta lista se actualiza mediante publicaciones de actualización de contenido. Además, los procesos a los que se permite el enlace se pueden agregar dinámicamente a la lista cuando el análisis del proceso está habilitado. Este análisis se realiza:

Este análisis implica comprobar primero si el proceso está en la lista de procesos bloqueados. Si no lo está, se comprueba la lista de procesos permitidos. Si no se encuentra en esta lista, el proceso se analiza para ver si escucha en un puerto de la red o si se ejecuta como un servicio. Si no, se bloquea; si escucha en un puerto o se ejecuta como un servicio, se le permite establecer el enlace.

El componente IPS mantiene una caché de información en los procesos en ejecución, que realiza el seguimiento de la información del enlace. El componente de cortafuegos determina si un proceso escucha en un puerto de la red, llama a una API exportada por el componente IPS y pasa la información a la API para que la agregue a la lista de control. Cuando se invoca a la API, el componente IPS encuentra la entrada correspondiente en su lista de procesos en ejecución. Entonces se enlaza un proceso que no esté enlazado y que no forme parte de la lista de bloqueo estático. El cortafuegos proporciona el PID (ID de proceso), que es la clave para la búsqueda en caché de un proceso.

La API exportada por el componente IPS también permite a la IU de cliente obtener la lista de los procesos enlazados actualmente, la cual se actualiza siempre que un proceso se enlaza o desenlaza. Un proceso enlazado se desenlazará si la consola envía una lista de procesos actualizada que especifica que el proceso ya enlazado no debería seguir enlazado. Cuando la lista de enlaces se actualice, todos los procesos listados en la caché de información de los procesos en ejecución se comparan con la lista actualizada. Si la lista indica que un proceso debería estar enlazado y no lo está, se procederá a enlazarlo. Si la lista indica que un proceso debería no estar enlazado y lo está, se procederá a desenlazarlo.

Las listas de enlace de procesos se pueden ver y editar en la ficha Reglas de protección de aplicaciones. La interfaz de usuario de cliente, al contrario que la vista de la directiva Reglas IPS, muestra una lista de todos los procesos de aplicación enlazados.

Para crear una regla de protección de aplicaciones:

  1. Lleve a cabo una de las siguientes acciones:
    • En la ficha Reglas de protección de aplicaciones, haga clic en Crear en la barra de herramientas o en el menú contextual. Aparece el cuadro de diálogo Nueva regla de protección de aplicaciones.
    • En la ficha Reglas de protección de aplicaciones, seleccione una aplicación y haga clic en Duplicar en la barra de herramientas o en el menú contextual. Aparecerá el cuadro de diálogo precumplimentado Duplicar reglas de protección de aplicaciones IPS.
  2. En la ficha General, introduzca el nombre, el estado y si la aplicación está incluida. Para ver detalles generales, haga clic en Ayuda.
  3. En la ficha Procesos, indique los procesos a los que desee aplicar la regla. Para ver detalles generales, haga clic en Ayuda.
  4. Haga clic en Aceptar.

Copyright © 2005 McAfee, Inc. Reservados todos los derechos.