La directiva Reglas IPS puede incluir tres tipos de firmas:
Firmas de host
Las firmas de prevención de intrusos basadas en host (HIPS) detectan y evitan los ataques de actividades de operaciones del sistema, e incluyen reglas de tipo Archivo, Registro, Servicio y HTTP. Están desarrolladas por los expertos en seguridad de Host Intrusion Prevention y se proporcionan con el producto.
Cada firma tiene una descripción y un nivel de gravedad predeterminado. Con los niveles de privilegios adecuados, un administrador puede modificar el nivel de gravedad de una firma o desactivar una firma para grupos de agentes.
Al activarse, las firmas basadas en host generan un evento IPS que aparece en la ficha Eventos IPS.
Firmas de host personalizadas
Las firmas personalizadas son firmas basadas en host que puede crear para ofrecer protección adicional para sus necesidades concretas. Por ejemplo, al crear un directorio nuevo con archivos importantes, puede crear una firma personalizada para protegerlo.
Firmas de red
Las firmas de prevención de intrusos basadas en red (NIPS) detectan y evitan los ataques de red conocidos que llegan al sistema host.
Las firmas basadas en red aparecen en la consola en la misma lista de firmas que las firmas basadas en host. Tienen su propio icono en la columna Tipo y se designan como IPS de red en el cuadro de diálogo Propiedades de la firma: General.
Cada firma tiene una descripción y un nivel de gravedad predeterminado. Con los niveles de privilegios adecuados, un administrador puede modificar el nivel de gravedad de una firma o desactivar una firma.
Todas las firmas basadas en red pueden desactivar el registro, aunque la firma esté asociada con una reacción de tipo registrar o evitar en la directiva en vigor. No obstante, en el caso de una reacción de tipo evitar, la operación se evita, aunque no se registre ningún evento.
Puede crear excepciones para firmas basadas en red; sin embargo, no puede especificar atributos de parámetros adicionales, como el usuario del sistema operativo y el nombre del proceso. Los detalles avanzados contienen parámetros específicos de red que se pueden especificar; por ejemplo, direcciones IP.
Los eventos generados por firmas basadas en red se muestran junto con los eventos basados en host en la ficha Eventos IPS y presentan el mismo comportamiento que los eventos basados en host.
Copyright © 2005 McAfee, Inc. Reservados todos los derechos.