Temas Relacionados
Solucionar Problemas del Servicio Intrusion Prevention
El Servicio Intrusion Prevention (IPS) está basado en firmas de ataques de red. Debe mantener su base de datos de firmas actualizada para asegurar su red contra nuevas amenazas. Debido a la necesidad constante de firmas nuevas para detectar amenazas emergentes, ocasionalmente podría ver resultados que son falsos negativos o falsos positivos.
Un falso positivo es una aplicación legítima que es clasificada como una amenaza por el IPS. Para informar sobre un falso positivo, consulte Informar un Falso Positivo de IPS.
Un falso negativo es una intrusión verdadera que no es correctamente identificada por el IPS. Si identifica un ataque que no fue detenido por el IPS, consulte las siguientes secciones para obtener los procedimientos de solución de problemas.
Registros del IPS
Puede examinar los registros del IPS para saber qué ataque fue identificado cuando el IPS realizó una acción:
Denegar 1-Trusted 0-External tcp 10.0.1.2 198.51.100.2 55531 80 msg="ProxyDeny: HTTP Header IPS match" proxy_act="HTTP-Client.1" signature_id="1055396" severity="5" signature_name="WEB Cross-site Scripting -9" signature_cat="Web Attack" host="intext.nav-links.com" path="/util/intexteval.pl?action=startup" (HTTP-proxy-00)
En este ejemplo, la identificación de la firma es 1055396.
Prueba del IPS
Puede usar la herramienta de prueba EICAR para confirmar que el IPS está habilitado para la política correcta y que puede detectar malware. Para obtener esta herramienta, vaya a Eicar.org.
Inspeccionar sus Políticas
El IPS puede ser habilitado en cualquier política. Puede dar un vistazo a IPS en la sección Políticas en la configuración de Intrusion Prevention. También puede inspeccionar cualquier política individual para confirmar si el IPS está habilitado.
Las intrusiones dentro de una solicitud HTTPS no pueden ser detectadas a menos que la política para HTTPS sea una política de proxy, y que la política de proxy HTTPS tenga habilitada la inspección de contenidos.
Verificar su Lista de Excepciones del IPS
Si ha configurado una excepción del IPS para el bypass de resultados de falsos positivos para un ataque, en algunos casos también se permitirán los ejemplos legítimos de ese ataque. Para obtener información sobre cómo examinar y configurar sus excepciones, consulte Configurar Excepciones del IPS.
Actualizar las Firmas del IPS
Para que continúe siendo efectivo, el IPS debe ser actualizado continuamente con firmas nuevas para identificar los nuevos ataques que podrían afectar su red. El dispositivo Firebox debe ser capaz de conectarse a services.watchguard.com. Si su configuración del servidor de actualizaciones de firmas es correcta y la conexión no está funcionando, asegúrese de que su dispositivo pueda determinar nombres de DNS.
Para obtener más información acerca de la configuración DNS, consulte Agregar Direcciones de Servidor WINS y DNS.