Servicios permitidos y opciones avanzadas

En la sección de opciones de Servicios permitidos se puede configurar el acceso a algunos de los servicios que se ejecutan en su ordenador desde la zona de confianza, así como activar o desactivar la detección de varios tipos de ataques y exploits que podrían utilizarse para dañar su ordenador.

note

Nota

en algunos casos no recibirá una notificación de amenaza sobre las comunicaciones bloqueadas. En la sección Registro y creación de reglas o excepciones del registro encontrará instrucciones para ver todas las comunicaciones bloqueadas en el registro del cortafuegos.

important

Importante

La disponibilidad de determinadas opciones de esta ventana puede variar en función del tipo o la versión de su producto de ESET y el módulo Cortafuegos, así como de la versión de su sistema operativo.

icon_section Servicios permitidos

Las opciones de este grupo pretenden simplificar la configuración del acceso a los servicios de este ordenador desde la zona de confianza. Muchas de ellas activan o desactivan reglas predefinidas del cortafuegos.

Permitir el uso compartido de archivos e impresoras en la zona de confianza: permite que los ordenadores remotos que se encuentren en la zona de confianza accedan a los archivos e impresoras compartidos.

Permitir UPNP para los servicios del sistema en la zona de confianza: permite solicitudes entrantes y salientes de protocolos UPnP para los servicios del sistema. UPnP (Universal Plug and Play, también conocido como Detección de redes de Microsoft) se utiliza en Windows Vista y en sistemas operativos posteriores.

Permitir la comunicación RPC entrante en la zona de confianza: activa las conexiones TCP desde la zona de confianza para permitir el acceso a los servicios MS RPC Portmapper y RPC/DCOM.

Permitir el escritorio remoto en la zona de confianza: activa las conexiones a través del Protocolo de escritorio remoto (RDP) de Microsoft y permite a los ordenadores de la zona de confianza acceder a su ordenador mediante un programa que emplea RDP (por ejemplo, Conexión de escritorio remoto).

Habilitar los registros en grupos de multidifusión a través de IGMP: admite secuencias de multidifusión IGMP entrantes y salientes y UDP entrantes, como las secuencias de vídeo generadas por aplicaciones que utilizan el protocolo IGMP (Protocolo de administración de grupos de Internet).

Permitir la comunicación para las conexiones puente: seleccione esta opción para evitar que las conexiones puente finalicen. La red puente conecta una máquina virtual a una red utilizando el adaptador Ethernet del ordenador cliente. Si utiliza redes puente, la máquina virtual puede acceder a otros dispositivos de la red y viceversa, como si se tratara de un ordenador físico de la red.

Permitir aplicaciones Metro: la comunicación de las aplicaciones de la Tienda Windows que se están ejecutando en el entorno Metro se permite de conformidad con el manifiesto de la aplicación Metro. Esta opción anulará todas las reglas y excepciones para las aplicaciones Metro, independientemente de si ha seleccionado el Modo interactivo o el Modo basado en reglas en el cortafuegos de ESET.

Permitir Web Services Discovery (WSD) automático para servicios del sistema en la zona de confianza: permite las solicitudes Web Services Discovery entrantes o salientes de zonas de confianza a través del cortafuegos. WSD es el protocolo que se utiliza para localizar servicios en una red local.

Permitir la multidifusión para la resolución de direcciones en la zona de confianza (LLMNR): LLMNR (Resolución de nombres de multidifusión local de enlaces) es un protocolo basado en paquetes DNS que permite que los hosts IPv4 e IPv6 resuelvan nombres para los hosts situados en el mismo vínculo local sin necesidad de configurar un servidor DNS o un cliente DNS. Esta opción permite solicitudes DNS de multidifusión entrantes de la zona de confianza a través del cortafuegos.

Soporte para el Grupo Hogar de Windows: activa el soporte para redes caseras de Windows 7 y sistemas operativos posteriores. El Grupo Hogar permite compartir archivos e impresoras en una red doméstica. Para configurar una red casera, vaya a Inicio > Panel de control > Red e Internet > Grupo Hogar.

 

icon_section Detección de intrusiones

Protocolo SMB: detecta y bloquea los siguientes problemas de seguridad del protocolo SMB:

Detección de autenticación de ataque por desafío malicioso al servidor: esta opción le protege frente a un ataque que utilice un desafío malicioso durante la autenticación para obtener las credenciales del usuario.

Detección de evasión del IDS durante apertura de acceso con nombre: detección de técnicas de evasión conocidas usadas para aperturas de acceso con nombre MSRPCS en el protocolo SMB.

Detección de CVE (Common Vulnerabilities and Exposures, vulnerabilidades y exposiciones comunes): métodos de detección implementados de diversos ataques, formularios, vulnerabilidades de seguridad y exploits a través del protocolo SMB. Consulte el sitio web de CVE en cve.mitre.org para obtener más información sobre los identificadores de CVE (CVE).

Protocolo RPC: detecta y bloquea varios identificadores de CVE en el sistema de llamadas de procedimiento remoto desarrollado para el Entorno de computación distribuida (DCE).

Protocolo RDP: detecta y bloquea distintos identificadores de CVE en el protocolo RDP (consulte la información previa).

Detección del ataque por envenenamiento ARP: detección de ataques por envenenamiento ARP provocados por ataques "hombre en medio" o detección por rastreo en el conmutador de red. La aplicación de red o el dispositivo utiliza ARP (Protocolo de resolución de direcciones) para determinar la dirección Ethernet.

Permitir la respuesta a solicitudes ARP desde fuera de la zona de confianza: seleccione esta opción si desea que el sistema responda a las solicitudes ARP con direcciones IP que no pertenecen a la zona de confianza. La aplicación de red utiliza ARP (Protocolo de resolución de direcciones) para determinar la dirección Ethernet.

Detección del ataque por envenenamiento DNS: detección del ataque por envenenamiento DNS, con recepción de respuesta falsa a una solicitud DNS (enviada por el atacante) que puede dirigirle a sitios web falsos y maliciosos. Los DNS (Sistemas de nombres de dominio) son sistemas de bases de datos distribuidas que realizan conversiones entre nombres de dominio que los humanos pueden comprender y direcciones IP numéricas, y permiten a los usuarios hacer referencia a un sitio web utilizando simplemente su nombre de dominio. Puede obtener más información sobre este tipo de ataque en el glosario.

Detección del ataque de exploración de puerto TCP/UDP: detecta ataques de software de análisis de puertos; aplicación diseñada para detectar si existen puertos abiertos en un host enviando al cliente solicitudes para un intervalo de direcciones de puertos, con el objetivo de encontrar puertos activos y aprovechar la vulnerabilidad del servicio. Puede obtener más información sobre este tipo de ataque en el glosario.

Bloquear la dirección no segura una vez detectado el ataque: las direcciones IP que se han detectado como fuentes de ataques se agregan a la lista negra para evitar la conexión durante un determinado periodo de tiempo.

Mostrar notificación tras la detección de un ataque: activa la notificación de la bandeja del sistema en la esquina inferior derecha de la pantalla.

Mostrar notificaciones al recibir ataques que aprovechen de fallos de seguridad: le avisa si se detectan ataques contra vulnerabilidades de seguridad o si una amenaza intenta acceder al sistema a través de este método.

 

icon_section Comprobación de paquetes

Permitir una conexión entrante para intercambio de admin en el protocolo de SMB: los recursos compartidos administrativos (recursos compartidos del administrador) son los recursos compartidos de red predeterminados que comparten particiones del disco duro (C$, D$, etc.) en el sistema con la carpeta del sistema (ADMIN$). La desactivación de la conexión a los recursos compartidos del administrador debería mitigar muchos riesgos de seguridad. Por ejemplo, el gusano Conficker realiza ataques por diccionario para conectarse a recursos compartidos del administrador.

Denegar dialectos SMB anteriores (no compatibles): permite denegar sesiones SMB que utilicen un dialecto SMB anterior incompatible con IDS. Los sistemas operativos Windows modernos son compatibles con dialectos SMB anteriores gracias a la compatibilidad con sistemas operativos anteriores como Windows 95. El atacante puede utilizar un dialecto anterior en una sesión SMB para evadir la inspección de tráfico. Deniegue dialectos SMB anteriores si su ordenador no necesita compartir archivos (o utilizar la comunicación SMB en general) con un ordenador con una versión anterior de Windows.

Denegar la seguridad de SMB sin extensiones de seguridad: la seguridad ampliada se puede utilizar durante la negociación de la sesión de SMB para proporcionar un mecanismo de autenticación más seguro que la autenticación de desafío o respuesta de LAN Manager (LM). El esquema de LM se considera débil, por lo que no se recomienda su uso.

Denegar apertura de archivos ejecutables en un servidor fuera de la zona de confianza en el protocolo SMB: finaliza la conexión cuando se intenta abrir un archivo ejecutable (.exe, .dll, ...) desde una carpeta compartida en el servidor que no se encuentra en la zona de confianza del cortafuegos. Tenga en cuenta que la copia de archivos ejecutables desde fuentes de confianza puede ser legítima; no obstante, esta detección debería mitigar el riesgo de abrir accidentalmente un archivo de un servidor malicioso (por ejemplo, un archivo abierto al hacer clic en un enlace a un archivo ejecutable malicioso compartido).

Denegar la autenticación de NTLM en el protocolo de SMB para conectarse al servidor en la Zona de confianza/fuera de la Zona de confianza: los protocolos que utilizan los esquemas de autenticación de NTLM (ambas versiones) pueden verse afectados por un ataque de envío de credenciales (conocido como ataque de retransmisión SMB en el caso del protocolo de SMB). La denegación de la autenticación de NTLM con un servidor fuera de la zona de confianza debería mitigar los riesgos de envío de credenciales por parte de un servidor malicioso fuera de la zona de confianza. Asimismo, puede denegar la autenticación de NTLM con servidores de la zona de confianza.

Permitir la comunicación con el servicio Security Account Manager: para obtener más información sobre este servicio, consulte [MS-SAMR].

Permitir la comunicación con el servicio Local Security Authority: para obtener más información sobre este servicio, consulte [MS-LSAD] y [MS-LSAT].

Permitir la comunicación con el servicio Remote Registry: para obtener más información sobre este servicio, consulte [MS-RRP].

Permitir la comunicación con el servicio Services Control Manager: para obtener más información sobre este servicio, consulte [MS-SCMR].

Permitir la comunicación con el Server Service: para obtener más información sobre este servicio, consulte [MS-SRVS].

Permitir la comunicación con los otros servicios: otros servicios de MSRPC.

MSRPC es la implementación de Microsoft del mecanismo DCE RPC. Además, MSRPC puede utilizar aperturas de acceso con nombre en el protocolo SMB (intercambio de archivos en la red) para el transporte (transporte ncacn_np). Los servicios de MSRPC proporcionan interfaces para acceder a sistemas Windows y administrarlos de forma remota. Se han detectado y aprovechado varias vulnerabilidades de seguridad en estado salvaje en el sistema MSRPC de Windows (por ejemplo: gusano Conficker, gusano Sasser…). Desactive la comunicación con los servicios de MSRPC que no necesite proporcionar para mitigar muchos riesgos de seguridad (como la ejecución de código remoto o los ataques por fallo del servicio).

Verificar el estado de conexión TCP: comprueba si todos los paquetes TCP pertenecen a una conexión existente. Si un paquete no existe en una conexión, este se eliminará.

Mantener las conexiones TCP inactivas: para funcionar, algunas aplicaciones necesitan que la conexión TCP que establecen se mantenga, aunque la conexión TCP pueda estar inactiva. Seleccione esta opción para evitar que finalicen las conexiones TCP inactivas.

detección de sobrecarga del protocolo TCP: el principio de este método implica exponer el ordenador/servidor a varias solicitudes. Consulte también DoS (ataques por denegación de servicio).

Verificación de mensajes para el protocolo ICMP: impide los ataques que aprovechan los puntos débiles del protocolo ICMP, que pueden provocar que el ordenador deje de responder. Consulte también Ataque ICMP.

Detección de canales ocultos del protocolo ICMP: comprueba si se utiliza el protocolo ICMP para la transferencia de datos. Muchas técnicas maliciosas utilizan el protocolo ICMP para burlar el cortafuegos.

Consulte el siguiente artículo de la base de conocimiento de ESET para ver una versión actualizada de esta página de ayuda.