Notas de la versión de Host Intrusion Prevention 8.0

Acerca de este documento

Gracias por haber elegido este producto de McAfee. Este documento contiene información importante relativa a la versión actual. Le recomendamos encarecidamente que lea todo el contenido.

ATENCIÓN: No se permite la ampliación automática de las versiones no definitivas del software. Para efectuar la ampliación a una versión de producción del software, primero deberá desinstalar la versión existente.

Nuevas funciones

A continuación se presenta una lista de funciones nuevas y actualizadas incluidas en esta versión del producto.

Novedades

IPS
  • Nuevas funciones de la directiva Opciones de IPS:
    • Protección de inicio: Protección durante el inicio, antes de iniciar los servicios de IPS
  • Nuevas funciones de la directiva Reglas de IPS:
    • Excepciones basadas en la dirección IP de las firmas IPS de redes
    • Las redes de confianza para las firmas IPS y las reglas de firewall
    • Ahora los ejecutables de las aplicaciones coinciden por ruta de acceso, hash, firma digital y descripción de archivo de las firmas y excepciones, en lugar de coincidir únicamente por la ruta de acceso
Firewall
  • Nuevas funciones de la directiva Opciones de firewall:
    • Clasificación y bloqueo con TrustedSource: Las reglas de firewall bloquean o permiten el tráfico entrante y saliente en función de las clasificaciones del sistema TrustedSource de McAfee
    • Protección contra falsificación de direcciones IP: Las reglas de firewall bloquean el tráfico saliente cuando la dirección IP local no es una de las direcciones IP del sistema local y cuando una dirección MAC local no es una dirección MAC de un invitado VM
    • Compatibilidad con VM en modo puente: Las reglas de firewall permiten el tráfico con una dirección MAC local que no sea la dirección MAC del sistema local, pero sí una de las direcciones MAC en el ámbito de software de VM compatible.
    • Protección de inicio: Las reglas de firewall bloquean todo el tráfico entrante hasta que se inician los servicios de firewall
  • Nuevas funciones de la directiva de reglas de firewall:
    • Las reglas de firewall son mucho más flexibles: Ahora, una misma regla puede contener varias aplicaciones (antes solo contenían una), varias redes (antes, solo una), una red local y una red remota (antes, solo una red remota) y un tipo de medios VPN, además de conexiones con cable e inalámbricas
    • Ahora, los grupos para conexión son simplemente grupos de firewall que tienen información sobre localización y programas con accesos a horas determinadas para conexiones asociadas a los mismos
    • Ahora los ejecutables de las aplicaciones se comparan por ruta de acceso, hash, firma digital y descripción de archivo de reglas de firewall, en lugar de comparar únicamente la ruta de acceso
  • Otras directivas de firewall: Bloqueo de DNS en el firewall que consiste en un conjunto de patrones de nombres de dominio que serán bloqueados. Esta directiva sustituye a la Regla de dominios que bloqueaba la resolución de DNS para nombres de dominio específicos del usuario
General
  • Las directivas de bloqueo de aplicaciones han sido eliminadas y se han sustituido por dos firmas de contenido en la directiva Reglas de Host IPS
  • Las directivas de cuarentena de firewall han sido eliminadas
  • Nuevo catálogo de IPS de host para organizar y permitir la reutilización de componentes de directivas comunes entre directivas, en concreto, grupos de firewall, reglas, ubicaciones, ejecutables y redes
  • Un único conjunto estándar de comodines utilizados en todo el producto
  • Registros localizados en una carpeta común, con algunos registros simplificados de lectura más rápida
Plataformas admitidas
  • Paridad absoluta de funciones en las plataformas Windows de 32 y 64 bits (excepto para Windows XP)
  • Agregado: Compatibilidad con Windows 7; SUSE Linux 10 SP3, SUSE Linux 11; Solaris Zone
  • Eliminado: Windows 2000, Solaris 8 y SUSE Linux 9
Compatibilidad con SQL
  • Agregado: SQL 2005, SQL 2008
  • Eliminado: SQL 2000
Extensión/funcionalidad cliente
  • Dos versiones de Host Intrusion Prevention 8.0: una versión de solo firewall y una versión completa que contiene el firewall y, además, protección IPS
  • Compatibilidad con la extensión IPS de host con las versiones 4.0, 4.5 y 4.6 de ePolicy Orchestrator
  • Posibilidad de instalar la extensión Host IPS 8.0 en ePolicy Orchestrator, aunque haya instaladas otras versiones anteriores de IPS de host
  • La extensión Host IPS 8.0 solo funciona con clientes Host IPS 8.0. No es compatible con versiones de cliente anteriores
  • La protección de IPS y firewall está desactivada en el cliente después de la instalación inicial y es necesario aplicar una directiva para activarla
  • En todas las plataformas, se puede actualizar desde una versión de evaluación a una versión con licencia de ePolicy Orchestrator sin reinstalar un cliente

Problemas conocidos

A continuación se presenta una lista de problemas conocidos en el momento de la producción.

Para consultar una lista actualizada de los problemas asociados a esta versión, consulte el artículo 69184 de KnowledgeBase en http://knowledge.mcafee.com.

Extensión de Host Intrusion Prevention

  1. Problema: Si la opción "Incluir automáticamente la subred local" está seleccionada en una directiva Redes de confianza asignada y se inicia un evento HTTP o IPS de red desde un sistema remoto en la subred local, la dirección IP remota solamente se mostrará como de confianza en los detalles del evento IPS si la dirección IP remota está explícitamente incluida en la directiva Redes de confianza. (521370)
  2. Problema: Para contrastar la ubicación en un grupo de reglas del firewall se puede necesitar hasta 20 segundos cuando se crea un valor de registro nuevo para el grupo. (549386)
  3. Problema: En estos momentos, la directiva Bloqueo de DNS del firewall no permite que se contraste el nombre de dominio localizado. (577764)
  4. Problema: En el caso de las firmas personalizadas, las excepciones y las aplicaciones de confianza, el código de ruta de aplicación de los procesos remotos y los procesos de sistema debe contener paréntesis:
    • Coincidencia de proceso remoto - ruta <SystemRemoteClient> Executable { Include { -path <SystemRemoteClient> }}
    • Coincidencia de proceso de sistema - ruta <System>

    Por ejemplo: Executable { Include { -path <SystemRemoteClient>}}

    (566890)
  5. Problema: Cuando el firewall se encuentra en modo adaptación, se bloquea el tráfico ICMP y no se crea una regla de tipo Permitir.

    Solución: Aplicar la directiva de reglas Firewall de muestra para entorno empresarial típico porque ya contiene las reglas ICMP. (489628)

  6. Problema: Si ha definido las aplicaciones, las opciones de transporte o las redes remotas de un grupo de firewall y a continuación ha habilitado la opción de aislamiento de conexión, todos estos datos se eliminarán del grupo de forma permanente. Aunque se deshabilite el aislamiento de conexión no se restaurarán las aplicaciones, las opciones de transporte o las redes remotas del grupo de firewall. (617832)
  7. Problema: No se pueden arrastrar reglas de firewall a un grupo de firewall vacío.

    Solución: Desplace una regla de firewall hacia arriba o hacia abajo en la lista para colocarla dentro de un nuevo grupo de firewall vacío. Cuando el grupo contenga una regla se podrán arrastrar reglas al grupo. (575087)

  8. Problema: Se puede agregar un grupo de firewall nuevo al catálogo de IPS de host, pero no se puede modificar a menos que se haya agregado una regla de firewall.

    Solución: Asegúrese de que el grupo de firewall agregado al catálogo de IPS de host contenga al menos una regla de firewall. (625030)

  9. Problema: Si se eliminan las extensiones de IPS de host y a continuación se instala la misma versión o una posterior, deberá reiniciar el Analizador de eventos de McAfee ePolicy Orchestrator. Hasta que no se reinicie este servicio, es posible que los eventos se muestren de forma incorrecta o que no se encuentren. (626040).
  10. Problema: Si se descarga la extensión Host Intrusion Prevention 8.0 desde el Administrador de programas de ePolicy Orchestrator 4.6, es posible que sea necesario instalar más de una extensión. En caso de duda, consulte la Guía de instalación de Host Intrusion Prevention 8.0 y asegúrese de que se hayan instalado todas las extensiones necesarias. (625745)
  11. Problema: Es posible que las áreas desplazables de algunas reglas de firewall que se hayan migrado a Host Intrusion Prevention 8.0 no se desplacen si contienen una gran cantidad de datos. (623329)
  12. Problema: Si un grupo de firewall está vinculado al catálogo de IPS de host y se elimina el vínculo, las reglas de firewall dentro del grupo permanecerán vinculadas al catálogo.

    Solución: Guarde la directiva que contenga el grupo de firewall y, a continuación, vuelva a abrirla. De esta forma se desactivará el vínculo entre las reglas y el catálogo. (624622)

Cliente de Host Intrusion Prevention

  1. Problema: La opción de reparación en los clientes de Windows no está disponible para Host Intrusion Prevention en la opción Agregar o quitar programas del Panel de control.

    Solución: Para realizar una reparación en estos sistemas operativos, ejecute uno de los siguientes comandos:

    • Para la versión de 32 bits: msiexec.exe /fvomus {6B005DF6-6B6E-4551-B632-B0001DF50499} /l*v %windir%\Temp\McAfeeLogs\hip8.0_repair.log
    • Para la versión de 64 bits: msiexec.exe /fvomus {D2B9C003-A3CD-44A0-9DE5-52FE986C03E5} /l*v %windir%\Temp\McAfeeLogs\hip8.0_repair.log (573713)
  2. Problema: Es posible que el cliente de Host Intrusion Prevention no se reinicie correctamente tras una actualización.

    Solución: Si aparece el mensaje "No se puede inicializar el examinador" en el registro de eventos de HIPShield y de Windows y se genera el evento del sistema "Fase del fallo: inicialización - se ha interrumpido el agente", reinicie el sistema cliente.

  3. Problema: La instalación en Windows XP podría tratar los controladores Host Intrusion Prevention como si no tuvieran firma. Puede leer la descripción y solución de este problema en el artículo 822798 de Microsoft Knowledge Base. En cualquier caso, si hace clic en "Continuar" en los cuadros de diálogo que se abran, el software se instalará correctamente. (593237)
  4. Problema: El servicio HTTP se reinicia si se está ejecutando cuando se instala un cliente IPS de host. (361247)
  5. Problema: Los mensajes de alerta de IPS y las excepciones de cliente mencionan ejecutables de destino, pero no se especifica el uso de ejecutables estándar para abrir el ejecutable de destino. La excepción incluye la unión de los dos ejecutables, pero aparecen detalles en la ficha de detalles de la excepción en la ficha Host IPS en Reporting en el servidor de ePO. (590152)
  6. Problema: El motor SQL del IPS de host no comunica direcciones IP remotas. (591986)
  7. Problema: Las reglas Falsificación de direcciones IP dinámicas creadas para bloquear el tráfico asociado a una aplicación se borran si la opción "Conservar reglas de clientes existentes" no está seleccionada en la directiva Opciones del firewall.

    Solución: Seleccionar la opción "Conservar reglas de clientes existentes" en la directiva Opciones del firewall. (590775)

  8. Problema: Después de instalar correctamente el cliente de Host Intrusion Prevention con una herramienta de terceros, el cliente no se inicia.

    Solución: Compruebe que el archivo Microsoft Visual C++ 2005 Redistributable (requisito de instalación del cliente de Host Intrusion Prevention) esté instalado en el sistema de destino. Este archivo se instala automáticamente cuando se distribuye el cliente mediante ePolicy Orchestrator o se instala de forma local utilizando el archivo ClientSetup.exe.

  9. Problema: Las firmas IPS de host obtenidas con la herramienta ClientControl no incluyen descripción, gravedad, estado ni los datos de registro de las firmas IPS de red. (610735)
  10. Problema: La dirección IP remota de una excepción IPS de red solo se reconoce cuando se trata de una dirección IP única o un intervalo de direcciones IP. Cuando la dirección IP se especifica en la notación de subred CIDR (por ejemplo, 172.16.43.0/24), el sistema no la reconoce.

    Solución: No utilice la notación de subred CIDR para la dirección IP de estas excepciones. (620740)

  11. Problema: No hay protección HTTP para los servidores web que se ejecutan en una zona local de Solaris. La protección solo está disponible cuando el servidor web se ejecuta en la zona global. (563779)
  12. Problema: Al actualizar el cliente de Linux de IPS de Host 7.1.0 a la versión 8.0.0, es necesario reiniciar el sistema Linux después de instalar el nuevo cliente. (590169)
  13. Problema: Es posible que se produzcan errores al instalar el cliente de VPN por SSL de Citrix en un sistema donde esté instalado el cliente de Host Intrusion Prevention 8.0.

    Solución: Reinicie el sistema si se producen errores. (626750)

  14. Problema: Al instalar Host Intrusion Prevention 8.0 en un sistema que ejecute un cliente VPN de NetMotion, se desactiva el cliente VPN.

    Solución: Reinicie el sistema para reiniciar el cliente VPN. (625391)

  15. Problema: El nombre de la aplicación y los campos de los nombres de los ejecutables pueden aparecer en blanco en las directivas de reglas de firewall migradas desde las versiones 6.1 ó 7.0. (488049)
  16. Problema: La Guía de instalación de Host Intrusion Prevention 8.0 indica que los clientes VPN compatibles son Nortel Contivity VPN Client 10.x y Microsoft Forefront UAG 2010. Es posible que los clientes no se hayan probado con el cliente Host Intrusion Prevention 8.0 y que sea necesario eliminarlos de la lista de aplicaciones VPN compatibles de esta versión. (626967)
  17. Problema: Si se está ejecutando VMware con la protección IPS habilitada y, a continuación, dicha protección se desactiva, no se podrá volver a activar durante la sesión de VWware. Para volver a habilitar la protección, detenga la sesión de VWware y reiníciela después de activar la protección IPS. (594086)

Búsqueda de documentación del producto

McAfee proporciona la información necesaria durante cada fase de la implementación del producto, desde la instalación a la utilización y la solución de problemas. Después de publicar un producto, su información se introduce en la base de datos en línea KnowledgeBase de McAfee.

  1. Visite el Technical Support ServicePortal de McAfee en http://mysupport.mcafee.com.
  2. En Self Service (Autoservicio), acceda al tipo de información que necesite:
    Para la documentación del usuario Para la KnowledgeBase
    1. Haga clic en Product Documentation (Documentación de productos).
    2. Seleccione un producto en Product y, a continuación, una versión en Version.
    3. Seleccione un documento del producto.
    • Haga clic en Search the KnowledgeBase (Buscar en KnowledgeBase) para encontrar respuestas a sus preguntas.
    • Haga clic en Browse the KnowledgeBase (Examinar KnowledgeBase) para ver los artículos clasificados por producto y versión.
COPYRIGHT

COPYRIGHT

Copyright © 2010 McAfee, Inc. Reservados todos los derechos.

Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus proveedores o sus empresas filiales.

ATRIBUCIONES DE MARCAS COMERCIALES

ATRIBUCIONES DE MARCAS COMERCIALES

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos.

INFORMACIÓN DE LICENCIA

INFORMACIÓN DE LICENCIA

Acuerdo de licencia

AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO.