Cómo configurar Eset HIPS

Intrusion Prevention System (IPS) es una herramienta similar a IDS para especialistas en seguridad de sistemas de información que le permite tomar medidas para reducir el impacto de un ataque. Es un IDS activo, detecta el problema a través de un escaneo automático. IPS puede bloquear los puertos automáticamente. por lo tanto, puede combatir ataques conocidos y desconocidos. Al igual que los IDS, no son 100% confiables e incluso pueden, en el caso de falsos positivos, bloquear el tráfico legítimo.

Cómo configurar Eset HIPS y cómo funciona

HIPS se ha integrado con Eset (Smart Security Antivirus) desde la versión 5 del antivirus. Con 2 o 3 configuraciones pequeñas, puede despedirse de una infección. Son accesibles desde los parámetros avanzados del software (tecla F5).

¿Cuáles son los diferentes modos de operación?

El HIPS de Eset tiene varios modos de operación:

Modo automático con regla.

Esta es la configuración predeterminada: orden de evaluación (reglas, autorización). Esto significa que si no existen reglas para la acción de este producto, entonces está autorizado.

Ejemplo: Si crea una regla que requiere autorización del usuario o prohíbe la creación de una clave de registro para la inscripción al inicio, el software aplicará la regla definida.

En resumen:

¿Tiene lugar la acción> regla existente?

En caso afirmativo: ejecute la regla

Si no: autorizado

Modo interactivo:

Esto reanuda parcialmente el primer modo (modo automático con regla). Si se lleva a cabo una acción y no se establecen reglas, se le solicitará al usuario que acepte o rechace (temporal o permanentemente) la acción.

Este modo es comparable a un modo paranoico, pero puede volverse muy molesto en el momento de una instalación, por ejemplo, donde se solicitarán numerosos permisos. Además, cometer un error en el momento de una respuesta puede bloquear el sistema (por ejemplo, con la actualización de Windows).

Modo personalizado basado en reglas: regla, bloque.

Esto es lo mismo que el primero, pero con la diferencia de que no autorizará, esta vez lo prohibirá. Esta forma muy práctica para un administrador del sistema, puede crear sus reglas de autorización, luego el software se encargará de prohibir el resto.

Modo de aprendizaje: reglas, crear una regla de autorización.

Este modo es particular, puede pedirle a su software que cree reglas de autorización para todos los que lo haga. Esto está destinado a pasar al modo 3 (modo personalizado basado en reglas). Sin embargo, debe usarse con precaución y en una máquina limpia, de lo contrario, una infección no tendrá problemas para infiltrarse.

Reglas a medida

Hemos visto los diferentes modos de operación y guardaremos el modo predeterminado, que es el automático. Todo lo que no son las reglas establecidas por el usuario, necesitarán una autorización.

Regla 1: Pídanos autorización de software al inicio. La regla básica, una infección se inicia al inicio, luego hacemos clic en Configurar las reglas.

Ya habrá una regla, no la tocaremos, son las unidades del sistema. Haga clic en Nuevo … abajo a la izquierda.

A la derecha habilitar regla, puedes seleccionar Periódico para suscribirse a los registros porque la regla está en solicitud (hubiera sido autorizado o prohibido, podría haber sido útil haberlo habilitado)

Elegimos el registro objetivo, en operación marcamos modificar los parámetros de arranque,  después Ok.

Por lo tanto, todas las operaciones (creaciones, modificaciones, eliminación …) de una clave de registro del sistema que toque el inicio del sistema, se realizará una solicitud de autorización.

Un ejemplo práctico.

Veamos esto con un ejemplo. Le pedí a CCleaner (famoso software de limpieza) que se deshabilitara al inicio (ya lo había habilitado). Entonces HIPS reaccionó:

Solicitud : Este es el software que intenta modificar.

Target : la clave que desea eliminar / modificar (o crear).

Entonces puedo Autorizar y CCleaner hará lo que he solicitado o rechazado, se bloqueará y el registro del sistema no se verá afectado.

Yo también puedo Crear una regla, lo que hará que para CCleaner la pregunta ya no se haga y luego siempre pueda Autorizar o Rechazar, de acuerdo a mi elección.

En cuanto Memorice esta acción temporalmente para este proceso , mantendrá mi elección mientras el software esté abierto (si juego marcar y desmarcar el cuadro de configuración de CCleaner, ya no me preguntará hasta que cierre el software), es el equivalente de una regla efímera.

Aquí está nuestra primera gran regla, que evitará una infección de arranque de PC (si tenemos permiso, por supuesto …)

Regla 2: Prohibir el acceso a archivos de hosts. Lea este consejo antes de continuar. Así bloquearemos el acceso a este archivo, que podría estar infectado. Creamos una nueva regla, con el Nombre (también puede colocar ‘prompt’ si tiene un software que requiere modificación de sus hosts).

Otros parámetros, lo activamos.  Luego solicite que nos avise con Alertar al usuario.

Los parámetros son archivos de destino. Escriba en un archivo, luego cierre nuestro archivo Hosts en cuestión y luego valide. Listo.

Luego crearemos una regla que prohíba la modificación y eliminación del archivo. Y casi idéntico al archivo Host.

Luego creamos un archivo autorun.inf en cada root de los discos duros.

Se nos notifica que el acceso ha sucedido, que se ha bloqueado, ¡e incluso sabemos a través de qué programa!

Listo.