Loading...

Preguntas frecuentes sobre Network Security Platform
Artículos técnicos ID:   KB75269
Última modificación:  03/08/2017
Calificado:


Entorno

McAfee Network Security Platform (NSP) 8.x

Resumen

Contenido
General Información del producto y temas varios
Compatibilidad Interacción con otros productos y software
Instalación/ampliación Información acerca de la instalación, ampliación, migración y eliminación
Configuración Incluye prácticas recomendadas, optimización, configuración y personalización
Funcionalidad Características y funciones del producto
Clave de secreto compartido Preguntas habituales acerca de la clave de secreto compartido y SSL, incluida la renovación de la clave SSL
NSP y GTI Preguntas habituales sobre NSP y Global Threat Intelligence (GTI) y su interacción
Cobertura contra ataques Información sobre la cobertura contra ataques específicos
NSP y NAC Preguntas y respuestas sobre el funcionamiento conjunto de NSP y Network Access Control (NAC)
Conjunto de firmas heterogéneo Información sobre el conjunto de firmas heterogéneo
Reinicio de Sensor sin impacto Una función que reduce el impacto de los ciclos de Sensor 
Detección avanzada de malware Preguntas sobre la detección avanzada de malware
Network Security Platform 8.3 Preguntas sobre las funciones agregadas en NSP 8.3


Información general

¿Con qué frecuencia se intercambian información Sensor y Manager para comprobar que Sensor está encendido?
El intervalo de sondeo suele ser cada dos minutos; sin embargo, cuando ESM detecta un fallo, la frecuencia de dicho intervalo se reduce a cada 30 segundos. Con esto, se pretenden evitar problemas como el de un paquete perdido que provoca una alerta de fallo. Si después de 10 minutos no se puede contactar con Sensor, la frecuencia de sondeo vuelve a su valor habitual cada dos minutos.

 
¿Qué volumen de transferencia de datos se genera con este sondeo?
El sondeo se realiza mediante un paquete de SNMP vía UDP; además, se sondean cuatro variables MIB. La carga útil completa de la solicitud de la aplicación SNMP suma en torno a 100 bytes.

 
¿Cuánto tiempo transcurre hasta que Manager marca un Sensor como desconectado en el mantenimiento del sistema?
Dado que el sondeo inicial se realiza cada dos minutos y el tiempo de espera habitual es de 60 segundos, el mejor indicio de fallo serían 60 segundos, aunque podrían llegar a ser hasta 180 segundos (120 + 60).


¿Realiza el kit de apertura en caso de error una operación MDIX automática?
No. Esta es una característica de la función MDIX automática del SFP de McAfee instalado en Sensor.


¿Funciona el kit de apertura en caso de error de cobre igual que los kits de apertura en caso de error de omisión óptica de modo único (SM) y multimodo (MM)?
El kit de apertura en caso de error (conmutador de omisión de fibra) no cruza pares TX/RX. Consulte la guía rápida del kit de apertura en caso de error de omisión óptica de Gigabit para obtener más información sobre Sensor y la versión del software de este. Esta guía incluye un diagrama que le ayudará a instalar el kit correctamente, además de otros datos relativos a la instalación y la conectividad.

 
Después de cambiar un kit con conmutador de cobre de omisión de apertura en caso de error activa (AFO) 10/100/1000 del modo en línea al modo TAP, se ha reiniciado el ciclo de encendido del kit. Durante el reinicio, se ha desactivado el modo TAP. ¿Por qué?
El kit de AFO funciona tal y como se ha diseñado. Los ajustes del modo TAP no se almacenan en el kit de AFO. Al reiniciar el ciclo de encendido del kit de AFO, se restaura el ajuste predeterminado, es decir, el modo TAP desactivado. Esto se diseñó así.


La alerta ARP: MAC Address Flip-Flop (ARP: Tendencia inestable de la dirección MAC) solo se muestra en la interfaz CIDR. ¿Por qué no se muestra en el nombre de la subinterfaz?
La búsqueda basada en CIDR de compatibilidad de la subinterfaz se realiza únicamente para paquetes IPv4 (PTYPE = 0x800). Dado que ARP no entra en esta categoría, solo se registrará la clasificación de interfaces basada en puertos y en VLAN para paquetes ARP. Se trata de un comportamiento esperado.


¿Por qué se cifran los archivos de registro de Sensor?
Los archivos de registro de Sensor se diseñan principalmente para guardar información que los equipos de desarrollo y soporte técnico necesitan para solucionar problemas, según corresponda. Dado que los empleados de McAfee son los principales destinatarios de estos archivos, es posible que contengan detalles de naturaleza interna o confidencial. Por ese motivo, es preciso que se cifren. NSP le facilita todos los eventos críticos que necesita saber al utilizar los comandos de la interfaz de línea de comandos (CLI) de Sensor. Se recomienda que envíe una solicitud de mejora de producto para obtener cualquier otra información que necesite; sin embargo, tenga en cuenta que el servicio no está disponible en este momento. Estas solicitudes se transformarán en futuras versiones de mantenimiento de NSP.


¿Compensa NSP por la latencia de la red durante la sincronización de tiempo?
No. NSP no compensa por los problemas de latencia de la red durante la sincronización de tiempo.

Si se produce un retraso de la red de 100 ms entre Sensor y Manager, el tiempo de Sensor sería 100 ms más lento que el tiempo real de Manager. Sensor dispone de un reloj interno que se ajusta según el tiempo de Manager, de modo que ambos estén sincronizados. Si Sensor pierde la conexión con Manager, el reloj interno del primero actualiza periódicamente el tiempo de este. El retraso entre Sensor y Manager sería el retraso de latencia de la red entre ese Sensor específico y el Manager. Podrían existir retrasos de más o menos tiempo entre Manager y algún otro Sensor desplegado.

Sensor escribe el tiempo en su propia memoria flash porque no tiene un reloj de respaldo con batería. En caso de producirse una interrupción del suministro eléctrico, cuando Sensor se reinicia y vuelve a conectarse, existe la posibilidad de que no esté disponible para conectarse inmediatamente con su Manager asociado. En ese caso, Sensor utilizará el último registro de tiempo almacenado en su memoria flash. Esta es la única circunstancia en la que Sensor recupera el tiempo de la memoria flash; en cualquier otro caso, el tiempo almacenado no tiene ninguna importancia.


¿Cómo administra Sensor el tráfico de los hosts que se han puesto en cuarentena?
La función de puesta en cuarentena del IPS permite que Sensor ponga en cuarentena hosts que no cumplen la normativa al tiempo que proporciona acceso a la corrección. Con la función de puesta en cuarentena del IPS activada, cuando se detecta un ataque en un puerto de supervisión en línea de Sensor, este último crea una regla de cuarentena para la dirección IP de origen del host solo si dicho host no está incluido en la lista de exclusiones de NAC. Sensor jamás bloqueará el tráfico de los hosts en la lista de exclusiones de NAC. Si el host no está incluido en la lista de exclusiones de NAC, se coloca en la tabla de cuarentena durante un intervalo de tiempo determinado.

Sensor comprueba todo el tráfico que pasa a través de los puertos en la tabla de cuarentena y bloquea cualquier paquete enviado desde los hosts puestos en cuarentena. De esta forma, se impide que los hosts que no cumplan los requisitos dañen otros sistemas de la red. Puede configurar una zona de acceso a la red del IPS con direcciones IP específicas a las que el host puede acceder mientras está en cuarentena (por ejemplo, el portal de corrección o el servidor DNS). De esta forma, un host puesto en cuarentena puede acceder a los materiales de corrección sin poner en riesgo la seguridad de toda la red. Es posible agregar un host a la tabla de cuarentena haciendo coincidir una directiva de NAC o una firma que tengan la opción de respuesta de cuarentena activada.


Cuando se instala NSM con dos Manager configurados en Manager Disaster Recovery (MDR), ambos deberán actualizarse con los datos de alerta de Sensor. ¿Cómo se comunica Sensor con NSM para actualizar la información de alertas?
Sensor trata de enviar alertas a los NSM con una configuración MDR. Si la alerta se envía correctamente a un NSM, puede eliminarla del búfer de Sensor. Si Sensor no puede enviar la alerta a ninguno de los NSM, esta se guarda en el búfer de Sensor. En la siguiente comunicación, los dos Manager sincronizan sus bases de datos para actualizarlas con cualquier alerta que alguno de ellos no haya podido recibir. Cada alerta se etiqueta con atributos únicos lo que facilita la sincronización entre los Manager.


¿En qué se diferencian las características de puesta en cuarentena de IPS y la lista de control de acceso (ACL) en NSP?

  • Las reglas de puesta en cuarentena de IPS se procesan de forma independiente, y se evalúan antes, de las reglas de ACL.
  • Una regla de puesta en cuarentena de IPS baja todo el tráfico de una IP de origen, mientras que una regla de ACL puede ser más específica respecto al tipo de tráfico que se baja.
  • Las reglas de cuarentena de IPS se crean de forma dinámica. Al crear una directiva, debe agregar explícitamente las reglas de ACL.
  • Después de un intervalo de tiempo determinado, puede eliminar de forma dinámica las reglas de cuarentena de IPS. Debe eliminar las reglas de ACL explícitamente mediante una actualización de directiva.


¿Cómo se muestran los ataques de red de bots en Threat Analyzer?
Cuando se detecta tráfico, se comprueban las direcciones en el archivo DAT de red de bots para determinar si una dirección IP o nombre de dominio son una dirección de red de bots conocida.

Si los datos coinciden, se activará una alerta y la IP o dominio de comando y control (C&C) se marcarán como un atacante. La dirección del atacante se incluirá en la columna de IP de origen en Threat Analyzer. La dirección del host que se conecta a la dirección de C&C constará como víctima. La víctima aparecerá en la columna de IP de destino en Threat Analyzer.

La dirección del flujo se basa en quién inició la conexión e indica si el flujo de inicio es entrante o saliente.


¿Por qué se activan de inmediato los ajustes de acción de Manager sin una actualización de la configuración?
Cuando un administrador del sistema cambia algún ajuste de acción de Manager (por ejemplo, ACK automático, SNMP y Syslog) en el editor de directivas, se requiere una actualización de la configuración. No obstante, estos ajustes se activan inmediatamente sin que esta se produzca. Este es el comportamiento previsto. El diseño actual de NSP controla los cambios de configuración en la granularidad de la directiva y cualquier cambio en esta significa que se requiere una notificación push de archivo de firma para Sensor. Se han realizado considerables esfuerzos en NSP para mejorar la actualización del archivo de firma para Sensor con la introducción de almacenamiento en caché y de actualizaciones incrementales. El plan actual se centra en mejorar la eficacia de la notificación push del archivo de firma y no en controlar los cambios de directiva a un nivel de granularidad superior.

Ajustes activados inmediatamente Gravedad de ataques*, notificaciones, correo electrónico, script, ACK automático, buscapersonas, SNMP y Syslog
Ajustes necesarios para la actualización de la configuración Gravedad de ataques*, acciones de Sensor y registro

* Los cambios de gravedad de ataques sirven tanto para Manager como para Sensor. La parte de Manager, como los cambios de gravedad mostrados en Threat Analyzer, entra en vigor de inmediato. La parte de Sensor, como NAC, requiere una actualización de este.


¿Por qué no se muestran las alertas Low (Bajo) e Informational (Informativo) en Real Time Threat Analyzer (RTTA)?
Esto se diseñó así. Utilice Historical Threat Analyzer para ver dichas alertas. 


Puedo configurar el bloqueo de ataques en el editor de directivas, de modo que ¿por qué envía Sensor una alerta a Manager aunque no esté seleccionada la opción Send Alert to the Manager (Enviar alerta a Manager) para el ataque?
Esto se diseñó así. Dado que el ataque se bloquea, Sensor envía la alerta, independientemente de cómo esté configurado el ajuste Send Alert to the Manager (Enviar alerta a Manager), por lo que Manager recibe una notificación sobre qué Sensor bloqueó el ataque.


En RTTA, la sección DoS Analysis (Análisis de denegación del servicio) de la pantalla de detalles de alertas para las alertas de tipo Inbound/Outbound UDP Packet Volume Too High (Volumen de paquete de UDP entrante/saliente demasiado elevado) muestra los valores DoS IP Range (Intervalo de direcciones IP de denegación del servicio) y Top 3 Attack IP Ranges (Tres principales intervalos de direcciones IP de ataque). ¿Por qué se muestra esta sección vacía algunas veces, es decir, sin información del intervalo de direcciones IP?
Esto se diseñó así. Cuando Sensor observa un ataque, inicia inmediatamente la recopilación de direcciones IP. Después, espera un tiempo antes de activar la alerta para dar parte, además, de la información de la dirección IP. No obstante, si el ataque se detiene inmediatamente después, Sensor no obtiene ninguna información de la dirección IP y activa la alerta sin la dirección IP.


¿Cuáles son los ajustes predeterminados de mi Sensor de NSP o de otro hardware?
Hardware Tasa de baudios Datos Paridad Detener Control de flujo Usuario predeterminado Contraseña predeterminada Puerto SSH
Serie I 9600 8 ninguno 1 ninguno admin admin123 22
Serie M 38400 8 ninguno 1 ninguno admin admin123 22
Serie N 38400 8 ninguno 1 ninguno admin admin123 22
Serie NS 115200 8 ninguno 1 ninguno admin admin123 22
NTBA 9600 8 ninguno 1 ninguno admin admin123 22
XC240 115200 8 ninguno 1 ninguno admin admin123 22
Kit de AFO 19200 8 ninguno 1 ninguno McAfee McAfee  


¿Por qué no funciona SYN Cookies cuando hay tráfico MPLS en la red?
SYN Cookies no admite el tráfico MPLS porque NSP no sabe qué etiqueta de MPLS utilizar en la dirección de retorno cuando el proxy de Sensor responde a los paquetes SYN.

 
¿Evitará Sensor una posible inundación SYN si activa SYN Cookies en un Sensor en el que hay un puerto configurado en el modo SPAN para ver el tráfico de MPLS y el otro en el modo en línea por lo que no puede verlo?
Sí. SYN Cookies seguirá funcionando con el tráfico normal en el par de puertos en línea.

 
¿Puedo utilizar SYN Cookies si empleo una etiqueta VLAN para el tráfico? Por ejemplo, si todo el tráfico contiene una etiqueta VLAN y Sensor solo ve el tráfico de una VLAN, pero no el de las demás, ¿seguirá SYN Cookies funcionando o debería eliminarse la etiqueta VLAN de todo el tráfico en línea para que SYN Cookies funcione?
SYN Cookies funciona para el tráfico con la etiqueta VLAN. Además, seguirá funcionando aunque exista una mezcla de tráfico con etiqueta VLAN y sin ella. No obstante, existen algunas restricciones si los paquetes regresan a través de la misma interfaz.


Si las interfaces de Sensor se configuran en el modo en línea, ¿se producirá algún tipo de comunicación cruzada entre los puertos cuando el tráfico pase a través de Sensor?
No. Sensor no realiza ningún cambio ni redirecciona el tráfico. Las dos interfaces agrupadas en un par (1A/1B, 2A/2B, etc.) se vinculan entre ellas de manera fija. El tráfico entrante en una interfaz (por ejemplo, la 1A) puede salir de Sensor únicamente por la interfaz coincidente del par (es decir, la 1B). Este es un factor de diseño fundamental en el software de Sensor y, dado que este no toma ninguna decisión sobre redireccionamientos o cambios, no existe compatibilidad alguna en Sensor para reenviar paquetes a otra interfaz del dispositivo.


¿Puede la suma total de tráfico, tanto de entrada como de salida, ser en todo momento superior a las capacidades de inspección de un Sensor determinado (por ejemplo, NS9100 tiene un rendimiento de IPS de 10 Gbps)?
No. Las capacidades de inspección serán comunes y se compartirán con todos los puertos de Sensor.  Además, son estas las que determinan la capacidad máxima de Sensor.


¿Cómo puedo forzar o cambiar la detección de denegación del servicio de Sensor al modo de aprendizaje?
Seleccione Denial of Service (Denegación de servicio), Data Management (Administración de datos) y elija Rebuild DoS Profile (Reconstruir perfil de denegación de servicio) (inicie el aprendizaje desde cero).


¿Cuál es la diferencia entre un ataque de correlación de reconocimiento y uno de firma de reconocimiento? ¿Forman ambos tipos de ataque parte de la directiva de reconocimiento predeterminada?
Depende de la versión de NSP/NSM que se utilice. En la versión 8.1 y anteriores, se emplean tanto las directivas de IPS como las de reconocimiento. Las directivas de IPS incluyen los ataques basados en firma y las directivas de reconocimiento los ataques basados en correlación. En cambio, a partir de la versión 8.2, las directivas de reconocimiento dejan de existir y se encuentra en las directivas de IPS tanto los ataques basados en firma como los basados en correlación.
Para diferenciarlos en el editor de directivas de IPS, McAfee ha introducido categorías de ataque específicas para cada tipo (por ejemplo, el ataque de correlación de reconocimiento y el ataque de firma de reconocimiento).


El consumo de energía máximo de Sensor NS7x00 es de 250 W. ¿Por qué tiene la fuente de alimentación suministrada un valor nominal de 650 W?
McAfee utiliza esta fuente de alimentación de 650 W debido a los requisitos de diseño de los appliances de la serie NS7x00.


El navegador web de un host puesto en cuarentena manualmente no muestra un mensaje de puesta en cuarentena ni uno informativo, ni tampoco ofrece un redireccionamiento al portal de corrección. ¿Por qué?
Si configura un Sensor para que muestre el mensaje de un navegador sobre un cliente puesto en cuarentena o para que lo redirija a un portal de corrección, esta acción solo se implementa en los hosts que el Sensor ha puesto en cuarentena automáticamente. Es algo propio del diseño. Cuando un usuario pone en cuarentena a un host manualmente desde Threat Analyzer, no se ofrecen ni el mensaje del navegador ni el redireccionamiento al portal de corrección, y la única medida que se toma es la colocación del host en la zona de cuarentena correspondiente.

Volver a Contenido

 

Compatibilidad

¿Qué XFP son compatibles con los Sensor de la serie M?
Solo los siguientes XFP son compatibles con los Sensor de la serie M:

  • IAC-1550-CG1 (XFP de alcance extensible, modo único y 1550 nm)
  • IAC-1310-CG1 (XFP de alcance largo, modo único y 1310 nm)
  • IAC-X850-CG1 (XFP de alcance corto, multimodo y 850 nm)

IMPORTANTE: No son compatibles XFP de terceros.


¿Es necesaria una llave de cierre en caso de error para configurar los puertos de supervisión de los Sensor M-1250 y M-1450 en el modo de cierre en caso de error o en el modo SPAN?  
No. A diferencia de los Sensor de la serie I, no es necesario que instale llaves de cierre en caso de error en los puertos de supervisión de los Sensor M-1250 y M-1450 incluso si estos están configurados en el modo de cierre en caso de error o en el modo SPAN. La funcionalidad de llave ya se ha incorporado a los propios puertos de supervisión.


¿Por qué no puedo acceder a NSM desde un dispositivo móvil con un idioma distinto del inglés?
NSM no funcionará correctamente si accede desde un dispositivo móvil con un idioma distinto del inglés porque solo son compatibles aquellos que tienen ese idioma configurado. Para acceder a Manager, cambie el ajuste de idioma del sistema operativo a inglés.


¿Qué versión de Nessus es compatible con NSM?
Los informes de Nessus generados con los analizadores Nessus 4 y Nessus 5.x se importan correctamente en NSM. Si el informe generado incluye direcciones IP del host como nombres de dominio completos (FQDN) o nombres NetBIOS, NSM no resuelve la dirección IP de destino del host en el informe ni tampoco importa las vulnerabilidades de dichos hosts en la base de datos de Manager. Un informe de Nessus 4 o Nessus 5.x en formato .nessus, que incluya direcciones IP válidas del host en formato de puntos, se importa correctamente en la base de datos de Manager.


¿Por qué no puede Sensor detectar cualquier ataque cuando el tráfico está encapsulado en PPPoE? 
PPPoE no es compatible. Sensor reenvía todos los paquetes encapsulados en PPPoE sin ninguna detección. Es algo propio del diseño.


Si NSM se configura para el despliegue automático de los conjuntos de firmas descargados en todos los dispositivos, el despliegue automático funciona para los Sensor de NSP, pero no para los de NTBA. ¿Por qué?
El despliegue automático de NTBA (del inglés, Network Threat Behavior Analysis) es compatible en NSM 8.1 y versiones posteriores. Para implementar el despliegue automático, debe ampliar a NSM 8.1.3.6 o versiones posteriores.


¿Es compatible el análisis de GTP con los Sensor de la serie M?
No. El análisis de GTP solo es compatible con los Sensor de la serie NS.

 
¿Puede NSP inspeccionar el tráfico encapsulado en GRE y detectar ataques utilizando este protocolo? 
NSP puede inspeccionar el tráfico encapsulado en GRE y detectar ataques. Sin embargo, es preciso activar esta capacidad, ya que la configuración predeterminada del Sensor no inspecciona el tráfico tunelizado en GRE.

 
¿Admite NSP el análisis del nuevo protocolo HTTP/2 (HTTP 2.0)?
NSP no admite en estos momentos el protocolo HTTP/2; no obstante, la compatibilidad está prevista para una versión futura de NSP.


Cuando un conmutador de red admite la funcionalidad MDI/MDIX automática, ¿puede Sensor utilizarla para establecer un vínculo entre el conmutador y el propio Sensor?
Sí. No obstante, la funcionalidad MDI/MDIX automática no funcionará correctamente si el puerto de Sensor tiene desactivada la opción de negociación automática.  Debe activar dicha opción antes de configurar el vínculo entre el conmutador y Sensor utilizando la funcionalidad MDI/MDIX automática.

Volver a Contenido

 

Instalación/ampliación

¿Puedo instalar el software del appliance NSM por medio del software RMM del appliance?
No. No se admite el uso del DVD de instalación del appliance NSM por medio del software RMM del appliance. Si intenta utilizar el DVD de instalación del appliance NSM por medio del software RMM de Intel suministrado con el appliance, podría experimentar resultados imprevistos e inapropiados. Para acceder a la interfaz de soporte de instalación, es preciso utilizar un teclado y un ratón conectados directamente al servidor, donde este se encuentre.

¿Puedo agregar o combinar varias licencias de NSM en una única instalación? Por ejemplo, si dispongo de una licencia estándar, ¿puedo comprar un paquete de inicio para poder administrar ocho dispositivos? 
No. Las licencias de NSM no son acumulables. Para administrar más de seis Sensor desde un único NSM, debe adquirir una licencia de NSM Global.


Después de ampliar Manager, observo un proceso de actualización de Sensor que no se ha accionado manualmente. Los Sensor no muestran ninguna descarga activa cuando se ejecuta el comando downloadstatus y el último conjunto de firmas está presente en Manager. Si reinicio Manager, el proceso de actualización también se reinicia después de un tiempo, el registro Ems.log no muestra ninguna notificación push clara y el registro Sudit no muestra la actividad de ningún usuario que envíe una configuración actualizada de los Sensor. ¿Cuál es la causa de este proceso de actualización?
Tras la ampliación de Manager, el NSM compila el último conjunto de firmas y lo envía automáticamente a los Sensor.

NOTA: Esta actualización fallará si los Sensor ya cuentan con el conjunto de firmas más reciente.
 
Volver a Contenido



Configuración

¿Puedo ejecutar un par de conmutación por error de Sensor con los puertos de supervisión configurados en el modo SPAN?
No. Solo puede ejecutar un par de conmutación por error cuando los puertos de supervisión están configurados en el modo en línea. Después de crear el par, ya no podrá cambiar ni modificar el modo del puerto.


¿Qué directivas de control de acceso basado en identidad no se puede eliminar de NSM?
No puede eliminar las siguientes directivas, aunque puede editar sus ajustes para especificar si hay que tener en cuenta el mantenimiento del sistema para conceder acceso a la red, y el nivel de acceso real que se concede:

  • Default (Predeterminado)
  • Guest User (Usuario invitado)
  • Self Registered (Autorregistrado)

¿Puedo crear una regla de omisión y no agregar ningún nombre de ataque?
No. Las reglas de omisión deben tener un nombre de ataque porque, de lo contrario, Sensor no entiende este tipo filtro de alerta. 


¿Cómo puedo excluir una dirección IP específica de la inspección?
Añada una regla de firewall con la acción definida en Stateless Ignore (Omitir sin estado). De ese modo, se reenviarán todos los paquetes que coincidan con la regla sin realizar ninguna inspección, a excepción de la búsqueda o coincidencia de la regla FW.


¿Puedo implementar configuraciones de alta disponibilidad activa-activa con los Sensor de NSP?
Sensor siempre tiene una configuración de alta disponibilidad activa-activa; son los dispositivos de red del mismo nivel los que determinan si Sensor se utiliza con una configuración activa-pasiva (una ruta de red está bloqueada) o con una activa-activa.


¿Cómo puedo bloquear TOR y las variantes de TOR?
Se recomienda utilizar la directiva de firewall para crear reglas de acceso con el fin de definir los aspectos u objetos que bloquear o que no requieren inspección. En los objetos de reglas existentes, ya hay definidas varias aplicaciones TOR y variantes de TOR. Puede crear su propio grupo de aplicaciones con estas y otras aplicaciones OTHER P2P que no desee permitir.

Utilice ese grupo de aplicaciones, junto con su configuración de origen y destino para detener la mayoría de las conexiones y variantes de TOR.


Puedo crear reglas de omisión para que se omitan los ataques de reconocimiento (análisis de los analizadores de vulnerabilidades) con la red interna establecida como origen (atacante) y como destino el valor Any (Cualquiera); sin embargo, sigo viendo alertas en RTTA. ¿Por qué? 
El uso de reglas de omisión no es adecuado para dirigir los analizadores de vulnerabilidades. En su lugar, agregue una regla de acceso a la directiva de firewall para omitir todo el tráfico (con la opción Stateless Ignore [Omitir sin estado]) que se dirige al analizador de vulnerabilidades y otra para todo el tráfico procedente del analizador (es decir, dos reglas).



Funcionalidad

¿Es el editor de UDS de NSP compatible con la operación NOT?
No. El editor de UDS no es compatible con la operación NOT. El hardware de aceleración coincidente con el patrón de Sensor deberá llevar a cabo una coincidencia de cadenas en todas aquellas que no vengan con la expresión NOT especificada al lado.
Se recomienda no llevar a cabo este tipo de búsqueda, porque podría ocasionar importantes problemas de rendimiento y porque no es una solución eficaz.


¿Admite el editor de UDS las búsquedas con caracteres comodín?
No. No las admite porque el simple uso de un carácter comodín en una búsqueda podría provocar que se recuperasen todos los registros de la base de datos.


¿Puede desactivarse el servicio de DCOM del servidor donde está alojado NSP?
Sí. Es posible desactivar el servicio de DCOM sin que ello afecte al funcionamiento de Manager de NSP. Para obtener más información sobre cómo desactivar el servicio de DCOM y las implicaciones de otros programas y servicios, vaya a http://support.microsoft.com/default.aspx?kbid=825750.


¿Cómo se puede detectar un único espacio utilizando el editor de UDS?
Si tiene que detectar un único espacio en una expresión (por ejemplo, xyz xyz), puede realizar la búsqueda de cadenas escribiendo xyz xyz. Se recomienda que no busque un único espacio ni cadenas muy cortas porque podrían producirse problemas de rendimiento y se podrían generar resultados falso positivo.


¿Puedo utilizar un conversor GBIC de fibra y un conversor GBIC en línea de cobre en el mismo par de interfaces de Sensor?
No. No puede utilizar conversores GBIC diferentes en el mismo par de interfaces.


¿Es compatible Sensor con la tecnología EtherChannel formada por dos conexiones de módulos SFP+ diferentes (conexiones de fibra SR y LR)?
Sí, Sensor es compatible con la tecnología EtherChannel formada por esas dos conexiones.


¿Cómo compruebo los códigos de error de MySQL?
En MySQL, puede comprobar los códigos de error generados utilizando el comando perror. Abra una línea de comandos (haga clic en Inicio, Ejecutar, escriba CMD y haga clic en Aceptar) y, desde el directorio mysql\bin, escriba el comando perror, <código de error> y pulse INTRO. Por ejemplo, perror 28 Error code 28: No space left on device (perror 28 Código de error 28: No hay espacio disponible en el dispositivo).


¿Cómo definen Manager o Sensor de NSP las direcciones internas o externas para los filtros de alerta?
Las direcciones internas o externas se definen en función del modo configurado:

  • Modo TAP o en línea: En la configuración del puerto, especifique qué puerto está dentro y cuál fuera. Los filtros de alertas utilizan las mismas especificaciones para definir el interno o el externo respectivamente.
  • Modo SPAN: Para detectar y marcar como interno o externo en el modo SPAN, el usuario debe configurar VIDS basados en CIDR. Si no hay VIDS basados en CIDR, Sensor marca los paquetes como desconocidos.

¿Por qué no incluyen las alertas de denegación del servicio bidireccionales una pestaña con el valor de tasa de paquetes?
La pestaña Packet Rate (Tasa de paquetes) no está presente para las alertas estadísticas de denegación de servicio categorizadas como bidireccionales por los siguientes motivos:
  • Estas alertas estadísticas implican más de un tipo de paquete.
  • El volumen del flujo de paquetes entre dos direcciones es diferente.


¿Cuál es la diferencia entre los estados Successful (Satisfactorio) y Maybe Successful (Quizá satisfactorio) de los resultados de ataques de Threat Analyzer?
Para determinar si un ataque es satisfactorio o no, NSP abarca tanto los aspectos de la detección del ataque como los posteriores a esta. NSP identifica si un ataque es satisfactorio según las respuestas observadas en la red:

Successful (Satisfactorio) El ataque ha sido satisfactorio.
Maybe Successful (Quizá satisfactorio) Los resultados no se conocen, NSP no puede determinar si el ataque ha resultado satisfactorio o no.


¿Admite Sensor la configuración del conmutador de omisión de cobre externo en los puertos RJ-45?
Sí. Actualmente, es posible configurar el conmutador de omisión de cobre externo en los puertos RJ-45, siempre que estos estén configurados en el modo de cierre en caso de error en los siguientes modelos de Sensor:
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
Siga estos pasos para configurar el modo de cierre en caso de error:
  1. En Manager, seleccione Device List (Lista de dispositivos), Sensor Name (Nombre de sensor), Physical Sensor (Sensor físico), Port Settings (Configuración de puertos).
  2. En los puertos de supervisión, elija el puerto numerado que quiera configurar.
    La ventana Configure Monitoring Port (Configurar puertos de supervisión) muestra los ajustes del puerto actual.
  3. En la lista desplegable Operating Mode (Modo de operación), seleccione In-line Fail-Closed (Port Pair) (Cierre en caso de error en línea [par de puertos]).

    NOTA: El estado del conmutador de omisión de cobre externo no se muestra en Manager. Del mismo modo, el estado no se mostrará si se ejecuta el comando show intfport desde la CLI de Sensor.
¿Puede Network Security Platform identificar la verdadera dirección IP de cliente del tráfico procedente de una red de entrega de contenidos como Akamai?
Sí. Al activar las opciones X-forwarded-for (XFF), Network Security Sensor puede detectar y bloquear ataques según la verdadera dirección IP de cliente.
NOTA: Esta funcionalidad se aplica únicamente a HTTP.


¿Es NSP compatible con el uso de claves privadas incrustadas en el certificado firmado SHA-2?  
Sí. Los certificados firmados SHA-2 son compatibles. La función de descifrado de tráfico SSL entrante solo compara datos sin procesar del certificado de servidor y no valida el certificado; por lo tanto, NSP puede descifrar utilizando las claves privadas incrustadas en el certificado firmado SHA-2.


Si ejecuta el comando clrstat para borrar las estadísticas de Sensor y, a continuación, ejecuta el comando show sensor-load, la carga de Sensor muestra un valor muy elevado, como un 90 %, incluso cuando apenas hay tráfico pasando por Sensor. ¿Por qué?
Es algo propio del diseño. Los contadores empleados para calcular la carga de Sensor se borran con el comando clrstat. Para dejar que Sensor genere contadores actualizados y que se muestre una carga más precisa, espere de 20 a 30 segundos y ejecute el comando show sensor-load de nuevo.


¿Es la integración de TIE/DXL compatible con todos los modelos de Sensor?
No. Estas características solo son compatibles con los modelos Sensor de la serie NS.
 

¿Puedo obtener el número de serie de la fuente de alimentación de Sensor desde la línea de comandos?
No. Actualmente, no existe ningún comando que detalle el número de serie de Sensor.


¿Puedo bloquear archivos mediante la carga de hashes de archivos MD5 en NSP?
Sí. Esta es una función propia de NSP y no requiere la creación de una definición personalizada de ataque. Sensor de NSP mantiene una lista negra y una lista blanca de los hashes y los aplica a los archivos extraídos de los flujos HTTP, SMTP y FTP cuando así lo indica la directiva de malware. Para obtener instrucciones sobre cómo importar un valor hash, consulte el capítulo Advanced Malware Policies (Directivas de malware avanzadas) de la guía de administración de IPS específica de su versión.


¿Puedo utilizar un puerto de respuesta de Sensor para conectarlo a mi appliance NTBA?
No. No puede utilizar el puerto de respuesta como puerto de supervisión.


¿Puede NSP bloquear el tráfico de Skype?
Actualmente, NSP no bloquea el tráfico de Skype; sin embargo, se prevé que una versión futura contenga dicha funcionalidad.


¿Cómo determina NSP el tipo de archivo para la directiva de malware avanzada?
NSP utiliza una combinación de tipo de contenido, extensión de archivos, propiedades de archivos y tecnología patentada de McAfee.


Después de desenchufar el cable de red de un puerto de Sensor, el puerto se desactiva y debe volver a activarse a través del administrador. ¿Es correcto?
Sí. Es algo propio del diseño. Dado que Sensor no conoce el motivo del fallo del puerto, este se marca como desactivado y, una vez resuelto el error de enlace, ya puede volver a activarse.
Si Sensor trató de activar el puerto automáticamente, podría experimentar una oscilación de la red, el puerto se activaría, fallaría y, después, volvería a activarse sin que el problema subyacente se hubiera resuelto.


¿Puedo modificar este comportamiento?
Puede modificar este comportamiento si hay en uso un kit de apertura en caso de error pasiva (externo o integrado).
Para obtener más información, consulte los datos obtenidos con el comando setfailopencfg restore-inline en la guía de la línea de comandos de su versión.


Cuando Sensor bloquea un paquete de ataque, ¿por qué no recupera NSP la información del encabezado de X-Forwarded-For (XFF)?
Cuando Sensor de NSP bloquea un paquete de ataque, no puede ver la información de Forwarded Layer7. Esto se diseñó así.


Si creo una firma UDS personalizada, ¿se situará esta por encima de todas las demás firmas o al final de ellas?
Una UDS personalizada ayuda a definir el ataque o firma y se agrega a la lista de ataques; sin embargo, no se establece un orden para la detección de ataques, a diferencia de lo que ocurre con las reglas de ACL de firewall.


¿Puedo convertir un appliance de conmutación por error en uno de repuesto?
No, no es posible. Puede ampliar un modelo de conmutación por error a uno estándar, pero no puede degradar un modelo de conmutación por error a uno de repuesto. Para obtener más información, póngase en contacto con el responsable de ventas.
 

En el informe Top 10 Attack Source Countries (Diez principales países de origen de ataques), una de las entradas se denomina AP, ¿qué significa?
Se utiliza cuando no se conoce el país de origen específico. Para obtener más información, consulte la página http://dev.maxmind.com/geoip/legacy/codes/iso3166/.


¿Puede el Sensor de conmutación en caso de error funcionar con un tipo de configuración activa-activa o necesita hacerlo con una configuración activa-en espera, donde el latido activa la acción de conmutación en caso de error?
Sensor de NSP siempre utiliza la configuración activa-activa; en todo momento, el cable de conmutación en caso de error copia todo el tráfico de cada Sensor a los demás. Esto permite que el tráfico siempre fluya, incluso si se produce un error.


¿Puede Sensor dirigir el tráfico?
No, Sensor no participa en la dirección ni en la conmutación en caso de error del tráfico, sino que lo realiza en su totalidad la arquitectura de cambio o direccionamiento de red.

¿Puede NSP enviar archivos de imágenes PNG, JPG o de otro tipo a ATD para su análisis?
NSP no puede extraer archivos de imágenes de los flujos. Estos pueden formar parte de un archivo zip que NSP extrae y envía a ATD. Sin embargo, NSP no extrae archivos de imágenes individuales.

Volver a Contenido


Clave de secreto compartido

 

¿En qué circunstancias puedo utilizar la función de reimportar para importar claves SSL en Manager?
Solo puede utilizar la función Re-Import (Reimportar) cuando vaya a importar de nuevo una clave que ya existe en Manager. Puede utilizar la función de reimportar varias veces para sustituir la clave existente en Manager cuando las actualizaciones de SSL aún no se han enviado a Sensor. No utilice la función para sustituir una clave SSL antigua por una nueva.


¿Consiste el procedimiento de renovación correcto en eliminar la clave SSL antigua de Sensor e importar una clave SSL nueva tras la eliminación manual?
Sí. Se recomienda importar la clave SSL nueva en Manager y, después, enviar la actualización de SSL a Sensor una vez que se haya eliminado la clave SSL antigua.


¿Es preciso reiniciar Sensor después de importar o reimportar una clave SSL nueva y de enviarla a Sensor desde Manager?
Solo se requiere reiniciar Sensor si se activa o desactiva la funcionalidad SSL en Sensor. Después de importar o reimportar las claves SSL, no es necesario.


¿Por qué veo el mensaje "SSL: Bad State Transition alerts(0x00006000)" (SSL: alertas de transición de estado incorrecto [0x00006000]) en Alert Manager después de que se haya sustituido una clave SSL?
Puede ver estas alertas en Alert Manager si hay flujos HTTP activos cuando se envía el nuevo certificado SSL a Sensor. Póngase en contacto con Soporte técnico si este comportamiento persiste, y envíe capturas de paquetes durante la importación o renovación de la clave SSL y después de estas.

 
¿Por qué veo el mensaje "SSL: Bad State Transition alerts(0x00006000)" (SSL: alertas de transición de estado incorrecto [0x00006000]) en Alert Manager? ¿Se trata de una detección falso positivo? 
Recopile informes de pruebas de las alertas mostradas como se explica en el artículo KB55743 y, después, abra el registro de paquete generado en los informes de pruebas con una aplicación de rastreo de paquetes como Wireshark y compruebe la versión de TLS/SSL utilizada. Sensor de NSP no admite en este momento las versiones 1.1 y 1.2 de TLS, por lo que se activará esta alerta. Cree un filtro de ataque para ignorar este tráfico o utilice una versión compatible de SSL/TLS (SSLv2, SSLv3, TLSv1.0).
 

¿Existe un tamaño límite de clave de secreto compartido cuando se establece a través del comando Sharedsecretkey?
La clave de secreto compartido de NSP debe tener un mínimo de 8 caracteres y un máximo de 25. La clave no puede empezar con un signo de exclamación ni tener espacios.

Volver a Contenido
 

NSP y GTI

¿Qué es GTI?
GTI es un motor de correlación de amenazas globales y base de inteligencia de comportamientos de comunicación y mensajería globales, que permite proteger a los clientes frente a cualquier tipo de amenaza electrónica tanto conocida como emergente.


¿Qué puertos utiliza GTI?
 
Descripción
Protocolo
Iniciador
Puerto de origen
Puerto de destino
Para enviar información de participación
TCP
Manager
Aleatorio
HTTPS/443
 
 
Descripción
Protocolo
Iniciador
Puerto de origen
Puerto de destino
Dirección de destino
Para enviar consultas de McAfee IP Reputation
TCP
Manager o Sensor
Aleatorio
HTTPS/443
tunnel.web.trustedsource.org
Para enviar consultas de McAfee File Reputation UDP Sensor Aleatorio DNS/53 avqs.mcafee.com

NOTAS:
  • IP Reputation se llamaba anteriormente TrustedSource.
  • File Reputation se llamaba anteriormente Artemis.

¿Qué información utiliza Sensor en una consulta de GTI?
La conexión 5-tupla (IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo).


¿Qué información utiliza Manager de NSP en una consulta de GTI?
La conexión 5-tupla y cualquier otra información adicional sobre ataques que pueda haber disponible: nombre de ataque, hora de ataque, categoría, recuento, SO de destino, mecanismo de detección, dirección del ataque, URL de malware, ID de ataque de NSP, resultado, ID de firma, SO de origen, subcategoría y tipo de ataque.

NOTA: Consulte la página de participación de GTI en Manager para obtener una visión detallada de lo que se envía. Seleccione Configure (Configurar), Integration (Integración), GTI Participation (Participación de GTI).
 
¿Dónde se envían las consultas de GTI?
Sensor lleva a cabo una consulta de DNS específica en mcafee.com. Para obtener más información sobre las consultas de Manager, diríjase a https://tunnel.web.trustedsource.org.
 
 
¿Cómo puedo ver qué reputación tiene un sitio o una dirección específicos?
Utilice la herramienta de búsqueda disponible en www.trustedsource.org.
 
 
¿Por qué la dirección que busco muestra una reputación diferente?
GTI utiliza muchos factores para determinar la reputación de una conexión específica. Si la conexión se establece en el puerto 80 u 8080, se utilizará la reputación web. Si la conexión se establece en el puerto 25, se utilizará la reputación de correo. Todos los demás puertos utilizan la reputación de IP, que puede estar compuesta por la reputación web y la de correo y que, con el tiempo, tendrá un valor único a medida que se recopilen más datos.
 
 
¿Puede McAfee ajustar la reputación de una dirección IP específica?
Después de plantear una consulta en www.trustedsource.org, existe una opción para recibir comentarios sobre amenazas. Utilice este formulario para solicitar una revisión. Asimismo, puede solicitar por correo electrónico una revisión de una IP específica. Para obtener más información sobre las reputaciones web, póngase en contacto con nosotros a través del correo sites@mcafee.com. Para obtener más información sobre las reputaciones de red y de correo, póngase en contacto con nosotros a través del correo trusign-feedback@mcafee.com. Incluya siempre en la consulta información sobre la dirección IP, el puerto y el tipo de tráfico que utiliza.
 
¿Dónde puedo encontrar más información acerca de GTI?
Consulte la guía Network Security Platform Integration Guide (Guía de integración de Network Security Platform) específica de su versión o visite a la página www.trustedsource.org


¿Puede Sensor de NSP llevar a cabo una búsqueda de direcciones IP de GTI para todo el tráfico que ve?
No de forma predeterminada. Es posible configurar Sensor para que lleve a cabo una búsqueda de GTI de todo el tráfico mediante la activación del análisis de reputación de Endpoint.
 
 
NOTA: Actualmente, NSP puede aprovechar la información sobre la reputación de IP con las funciones Smart Blocking (Bloqueo inteligente) y Connection Limiting (Limitación de conexión). Actualmente, NSP no puede detectar una devolución de llamada con la reputación de IP.


No puedo abrir un archivo detectado por GTI en NSP para llevar a cabo un análisis. ¿Por qué ocurre esto y cómo puedo abrir los archivos condenados por GTI?
Estos archivos se cifran, incluso cuando se exportan a través de la interfaz gráfica de usuario. Para descifrarlos, debe emplear la utilidad MalwareDecrypter.bat. La ubicación de archivos de esta utilidad es la siguiente: 

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

NOTA: Si ejecuta el archivo sin ningún parámetro configurado, se mostrarán las opciones disponibles.
 
 
¿Dónde puedo encontrar información adicional sobre el descifrado de archivos?
Consulte la información sobre la utilidad MalwareDecryptor en la sección "Archive malware files" (Almacenar archivos de malware) de las guías Network Security Platform Manager Administration Guide (Guía de administración de Network Security Platform Manager) y Network Security Platform IPS Administration Guide (Guía de administración de Network Security Platform IPS) específicas de su versión de producto.
Cobertura contra ataques
¿Detectan las firmas IPS en NSP la vulnerabilidad descrita en VU922681 (ejecución de código remoto de solicitudes de SSDP en UPnP [libupnp])?
Sí. La vulnerabilidad VU922681 está cubierta por el ataque: 0x47a00100 "UPnP: Generic Buffer Overflow" (UPnP: Desbordamiento del búfer genérico).

Volver a Contenido
 

NSP y NAC

¿Cuándo se utiliza la directiva predeterminada de control de acceso basado en identidad en NSP?
La directiva predeterminada de control de acceso basado en identidad (IBAC por sus siglas en inglés) se utiliza en los casos siguientes, en los que se configura IBAC en NSP:
  • Cuando el nombre de usuario en cuestión no coincide con ninguna otra directiva de IBAC (no predeterminada) definida.
  • En un caso especial en el que se haya perdido la conexión entre Sensor y Manager.
     


¿Cuál es la implementación de NAC y 802.11Q en NSP?
La actual implementación de NAC en NSP admite NAC en el tráfico procedente de varias VLAN vistas en el puerto de supervisión de NAC. El puerto de supervisión de NAC de Sensor está configurado con una VLAN. Sin embargo, la infraestructura local debe admitir la comunicación entre las VLAN (enrutamiento entre VLAN), es decir, entre la VLAN en el puerto de supervisión de NAC de Sensor y las demás VLAN que tienen hosts que requieren la supervisión o implementación de NAC.


¿Cuáles son los hosts de total confianza de NAC en NSP?
Network Security Sensor excluye las siguientes direcciones IP automáticamente de la implementación de NAC:

  • Dirección IP del puerto de supervisión de Sensor
  • Dirección IP del puerto de administración de Sensor
  • Dirección IP de NSM (si se encuentra en el modo MDR, se agregan los dos Manager)
  • Dirección IP del servidor de McAfee NAC
  • Dirección IP del portal de clientes invitados
  • Dirección IP del portal de corrección
  • Dirección IP del concentrador VPN
     

¿Qué implementaciones de servidor DHCP son compatibles con el modo NAC de DHCP en NSP?
Hay dos tipos de implementaciones de servidor DHCP disponibles cuando se configura NSP para que funcione en el modo NAC de DHCP:

  • Servidor DHCP integrado
    En esta implementación, un único servidor DHCP asigna direcciones IP a hosts en buen estado y en mal estado. El servidor DHCP se configura con clases de usuario y asigna direcciones IP según el campo de clase de usuario del paquete de descubrimiento de DHCP. Cada clase de usuario puede tener parámetros definidos que son exclusivos de dicha clase, como la dirección IP de DNS, el gateway predeterminado y las rutas estáticas. Las clases de usuario pueden definirse para las redes de producción, puesta en cuarentena y preadmisión, donde cada una de ellas tiene sus propios parámetros y grupo de direcciones IP definidos.
     
  • Servidor DHCP independiente
    Con esta implementación, se configuran dos servidores DHCP independientes para los hosts en buen estado (grupo de direcciones IP de producción) y en mal estado (preadmisión y puesta en cuarentena). Cada servidor DHCP tendrá información de configuración distinta. Por un lado, información para hosts en buen estado y, por otro, para hosts en mal estado.
Volver a Contenido
 

Conjunto de firmas heterogéneo

¿Qué es un conjunto de firmas heterogéneo o sigset?
Las versiones anteriores de NSP requerían la ejecución de la misma versión del software de NSM (8.x, 7.x) y de Sensor. En caso de administrar varias versiones del software Sensor, entonces se necesitaba una versión distinta de NSM para cada versión de Sensor. Para resolver este problema, McAfee agregó a NSM la funcionalidad de administrar versiones anteriores del software Sensor. Por ejemplo, NSM 8.3 puede administrar modelos Sensor instalados de las versiones 8.x y 7.x. Para dar soporte a esta funcionalidad, McAfee ha desarrollado un conjunto de firmas heterogéneo, que incluye todas las firmas de cada versión de software de Sensor.

El conjunto de firmas heterogéneo es un formato que incluye las principales versiones publicadas en único conjunto de firmas unificado. Los administradores descargan y aplican un único conjunto de firmas que Manager utilizará para controlar cualquier Sensor. 

NSM 7.x y versiones posteriores solo aceptan conjuntos de firmas heterogéneos y no son compatibles con los conjuntos de firmas homogéneos (una sola versión).


¿Serán a partir de ahora heterogéneos todos los conjuntos de firmas? 
¿Ha interrumpido McAfee la publicación de conjuntos de firmas homogéneos?
Sí. McAfee ha interrumpido la publicación de conjuntos de firmas homogéneos, por lo que, de ahora en adelante, todos serán heterogéneos.


¿Qué incluye un conjunto de firmas heterogéneo?, ¿cuál es el esquema de numeración? y ¿qué otra información puede obtener a partir de un número de conjunto de firmas?
El conjunto de firmas heterogéneo incluye dos o más de las principales versiones de conjuntos de firmas individuales en un nuevo formato unificado. El esquema de numeración es el siguiente: sigsetW.X.Y.Z donde:
  • W indica la versión más alta compatible del software Sensor.
  • X indica la versión más baja compatible del software Sensor.
  • Y indica el número de versión del conjunto de firmas.
  • Z indica la versión de la compilación.

    Por ejemplo, sigset 8.7.1.1 significa que este conjunto de firmas admite Sensor de las versiones 8.x y 7.x.
     
¿Cómo prueba McAfee el conjunto de firmas heterogéneo?
McAfee dispone de completas metodologías de pruebas para garantizar la compatibilidad con todas las versiones del software Sensor. Además de todas las pruebas que se realizan con los conjuntos de firmas normales, McAfee realiza otras para asegurarse de que los conjuntos de firmas heterogéneos funcionan bien en un entorno de estas características en los que se emplean varias versiones del software Sensor.


¿Tengo que cambiar la configuración de Manager para utilizar los conjuntos de firmas heterogéneos?
No.


¿Habrá un conjunto de firmas heterogéneo para cada versión importante (por ejemplo, la 7.x y la 8.x)?
Solo habrá un conjunto de firmas heterogéneo que incluirá todas las firmas para todas las versiones de Sensor actualmente compatibles. (Por ejemplo, 8.7.1.1 dará soporte a las versiones de Sensor 8.x y 7.x)

Volver a Contenido
 


Reinicio de Sensor sin impacto
¿En qué consiste el reinicio de Sensor sin impacto?
NSP admite ahora la ampliación y el reinicio sin impacto. Esto reduce el tiempo necesario para que Sensor se reinicie y evita la interrupción del tráfico.


¿Cómo funciona un reinicio sin impacto?
Un reinicio sin impacto solo reinicia los procesos seleccionados en Sensor. Sensor entra en el modo de acceso directo de capa 2 y se reinicia mientras la ruta de datos sigue pasando tráfico. El tiempo de reinicio también se reduce considerablemente porque no se apaga Sensor por completo.


¿En qué circunstancias se produce un reinicio sin impacto?
Sensor siempre intenta un reinicio sin impacto si tiene que recuperarse de errores internos. Asimismo, se puede iniciar un reinicio sin impacto desde la línea de comandos de Sensor o en NSM. Si no fuera posible, se envía una notificación a Manager y se realiza un reinicio completo.


¿Serán las ampliaciones de Sensor ampliaciones sin impacto?
Depende de si el cambio del software Sensor requiere un reinicio completo o no. Al completarse una ampliación de Sensor, puede ver la opción disponible para realizar un reinicio sin impacto según la versión de software que tenga.


¿Cuáles son las limitaciones de un reinicio sin impacto?
El reinicio sin impacto no es compatible en las ampliaciones cuando se ha producido un cambio en el conmutador interno o en el kernel del código de software. Además, si Sensor no es capaz de recuperarse de errores internos y se han llevado a cabo los tres intentos de autorrecuperación posibles en un intervalo de 15 minutos, en el siguiente intento, Sensor permanecerá en el modo de capa 2 o se apagará para un reinicio completo.


¿Cuáles son algunas de las causas habituales por las que falla un reinicio sin impacto?
El reinicio sin impacto falla si las rutas de datos de Sensor no se inicializan y no muestran un estado listo para el uso.
 
 

Detección avanzada de malware

¿Puede una transferencia de archivos por FTP bloquearse?
No, Sensor no puede bloquear siempre las transferencias de archivos por FTP. Para FTP, el bloqueo se realiza en la medida de lo posible y es el resultado de una limitación del protocolo FTP.

No hay información disponible sobre el tamaño de archivos para la transferencia FTP, por lo que Sensor no conoce de forma fiable cuándo se completará la transferencia.
El único modo que tiene Sensor de determinar el tamaño es cuando termina la conexión de datos (se recibe TCP FIN). Sin embargo, esto significa que el archivo ya se habrá transferido.

Con independencia de los resultados de ataques en Threat Analyzer, el bloqueo no es compatible con las transferencias de archivos por FTP. Esto no supone un problema, sino una limitación debido al protocolo FTP. Sensor seguirá extrayendo el archivo, analizándolo en busca de malware y emitiendo alertas.

Volver a Contenido


Network Security Platform 8.3
¿Cómo activo Real-time Threat Analyzer en NSM 8.3?
En NSM 8.3 y versiones posteriores, Real-time Threat Analyzer se ha sustituido por Threat Explorer. Si tiene que activar Real-time Threat Analyzer, siga estos pasos:
  1. En el servidor de Manager, utilice el Explorador de Windows para acceder a: C:\Archivos de programa\McAfee\Network Security Manager\App\config.
    NOTA: Esta ruta podría variar si tiene NSM instalado en otra ubicación.
  2. Busque el archivo ems.properties y ábralo con el Bloc de notas de Windows.
  3. Agregue la siguiente entrada:

    iv.ui.ta.display.isEnabled=true
     
  4. Guarde el archivo y reinicie el servicio NSM.

¿Qué modelos de Sensor son compatibles con NSM 8.3 y cuáles admiten el despliegue del conjunto de firmas de NSM 8.3? 
NSM 8.3 admite y puede desplegar los últimos segmentos de firma automáticamente en los modelos Sensor de la serie M, la serie NS y la serie VM.
NOTA: Los modelos Sensor de la serie I no son compatibles y no se comercializan.


¿Cómo importo las reglas de omisión anteriormente exportadas?
Esta funcionalidad se ha actualizado en NSM 8.3 y los pasos para importar las reglas de omisión han cambiado respecto a las versiones anteriores. Para importar las reglas de omisión anteriormente exportadas en NSM 8.3, seleccione Policy (Directiva), Intrusion Prevention (Prevención de intrusión), Advanced (Avanzado), Policy Import (Importación de directiva), Ignore Rules (Reglas de omisión).


¿Cómo importo los ataques personalizados anteriormente exportados?
Esta funcionalidad se ha actualizado en NSM 8.3. Para importar los ataques anteriormente exportados, seleccione Policy (Directiva), Policy Types (Tipos de directiva), IPS Policies (Directivas de IPS), Custom Attacks (Ataques personalizados), Other Actions (Otras acciones), Import (Importar).


Después de ampliar a NSM 8.3, el registro de ataques no muestra ninguna alerta antigua. ¿Cómo puedo verlas?
Si ve un aviso de advertencia para ejecutar otros scripts (esto ocurre si su base de datos supera el millón de alertas o más) cuando lleva a cabo la ampliación, ejecute los scripts como se recoge en la sección "Ejecutar scripts adicionales" de la guía Network Security Platform 8.3 Installation Guide (Guía de instalación de Network Security Platform 8.3, PD26343); de lo contrario, no verá los registros de ataques antiguos.
 
Si no ve ninguna advertencia que indique que se han superado los datos de alertas o si experimenta problemas a la hora de visualizar registros de ataques, abra un caso con Soporte técnico para obtener ayuda con la resolución del problema.
 
  

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Calificar este documento

Beta Translate with

Select a desired language below to translate this page.

Idiomas: