Administrar la prevención de intrusiones

La configuración de prevención de intrusiones predeterminada protege los equipos cliente contra una amplia variedad de amenazas. Es posible cambiar la configuración predeterminada para su red.
Si ejecuta
Symantec Endpoint Protection
en los servidores, la prevención de intrusiones puede afectar los recursos del servidor o el tiempo de respuesta. Para obtener más información, consulte:
El cliente de Linux no admite la prevención de intrusiones.
Administrar la prevención de intrusiones
Tarea
Descripción
Aprender sobre la prevención de intrusiones
Aprenda cómo la prevención de intrusiones detecta y bloquea ataques de la red y del navegador.
Habilitar prevención de intrusiones
Para proteger sus equipos cliente, debe mantener la prevención de intrusiones habilitada:
  • Prevención de intrusiones de red
  • Prevención contra intrusiones de navegador (equipos de Windows solamente)
    Es posible también configurar la prevención contra intrusiones de navegador para registrar solamente las detecciones, pero no para bloquearlas. Es necesario usar esta configuración de forma temporal a medida que baja el perfil de seguridad del cliente. Por ejemplo, solo configuraría el modo de solo registro cuando soluciona problemas de tráfico bloqueado en el cliente. Después de revisar el registro de ataque para identificar y excluir las firmas que bloquean el tráfico, deshabilita el modo de solo registro.
También es posible habilitar ambos tipos de prevención de intrusiones, además del firewall, al ejecutar el comando
Habilitar protección contra amenazas de red
en un grupo o cliente.
Cree excepciones para cambiar el comportamiento predeterminado de las firmas de prevención de intrusiones de red de Symantec
Es posible que desee crear excepciones para cambiar el comportamiento predeterminado de las firmas de prevención de intrusiones de red predeterminada de Symantec. Algunas firmas bloquean el tráfico de forma predeterminada y otras firmas permiten el tráfico de forma predeterminada.
No es posible cambiar el comportamiento de las firmas de prevención contra intrusiones de navegador.
Es posible que desee cambiar el comportamiento predeterminado de algunas firmas de red por los siguientes motivos:
  • Reducir el consumo en los equipos cliente.
    Por ejemplo, es posible que desee reducir el número de firmas que bloquean el tráfico. Sin embargo, asegúrese de que una firma de ataques no plantee ninguna amenaza antes de excluirla del bloqueo.
  • Permitir algunas firmas de red que Symantec bloquea de forma predeterminada.
    Por ejemplo, es posible que desee crear excepciones para reducir los falsos positivos cuando la actividad de red benigna coincide con una firma de ataques. Si sabe que la actividad de red es segura, puede crear una excepción.
  • Bloquear algunas firmas que Symantec permite.
    Por ejemplo, Symantec incluye firmas para aplicaciones de punto a punto y permite el tráfico de forma predeterminada. Es posible crear excepciones para bloquear el tráfico.
  • Use firmas de auditoría para supervisar ciertos tipos de tráfico (Windows solamente)
    Las firmas de auditoría tienen una acción predeterminada de
    No registrar
    para ciertos tipos de tráfico, como tráfico de las aplicaciones de mensajes instantáneos. Es posible crear una excepción para registrar el tráfico de modo que pueda ver los registros y supervisar este tráfico en su red. Puede usar la excepción para bloquear el tráfico, crear una norma de firewall para bloquear el tráfico o no modificarlo.
    Podría además crear una regla de aplicaciones para el tráfico.
Es posible usar el control de aplicaciones para evitar que los usuarios ejecuten aplicaciones de punto a punto en sus equipos.
Si desea bloquear los puertos que envían y reciben tráfico de punto a punto, use las políticas de firewall.
Crear excepciones para omitir firmas del navegador en equipos cliente
(Windows solamente)
Es posible crear excepciones para excluir firmas del navegador de prevención contra intrusiones de navegador en equipos con Windows.
Es posible que desee omitir las firmas del navegador si la prevención contra intrusiones de navegador causa problemas con los navegadores en su red.
Excluir equipos específicos del análisis de prevención de intrusiones de red
Es posible que desee excluir ciertos equipos de prevención de intrusiones de red. Por ejemplo, algunos equipos de la red interna se pueden configurar a los fines de realizar pruebas. Es posible que desee que
Symantec Endpoint Protection
omita el tráfico que va hacia esos equipos y desde ellos.
Cuando excluye equipos, también los excluye de la denegación de la protección del servicio y de la protección del análisis de puertos que el firewall proporciona.
Configure notificaciones de prevención de intrusiones
De forma predeterminada, los mensajes aparecen en los equipos cliente para intentos de intrusión. Es posible personalizar el mensaje.
Crear firmas de prevención personalizada contra intrusiones (Windows solamente)
Es posible escribir su propia firma de prevención de intrusiones para identificar una amenaza específica. Cuando escribe su propia firma, puede reducir la posibilidad de que la firma cause un falso positivo.
Por ejemplo, es posible que desee usar las firmas de prevención personalizada contra intrusiones para bloquear y registrar sitios web.
Es necesario que el firewall esté instalado y habilitado para usar firmas IPS personalizadas.
Supervisar la prevención de intrusiones
Compruebe regularmente que la prevención de intrusiones esté habilitada en los equipos cliente en su red.