ESET 온라인 도움말

검색 한국어
항목 선택

고급 옵션

고급 설정 > 보호 > 네트워크 접근 보호 > 네트워크 공격 보호(IDS) > 고급 옵션에서 컴퓨터를 손상시킬 수 있는 여러 유형의 공격 및 악용 탐지를 활성화하거나 비활성화할 수 있습니다.


note

차단된 통신에 대한 위협 알림을 수신하지 못하는 경우도 있습니다. 방화벽 로그에서 차단된 모든 통신을 보는 방법과 관련된 지침을 확인하려면 로그에서 규칙 또는 예외 로깅 및 생성 섹션을 참조하십시오.


important

이 창에서 특정 옵션의 사용 가능 여부는 ESET 제품 및 방화벽 모듈의 유형이나 버전 그리고 운영 체제 버전에 따라 다를 수 있습니다.

icon_section 침입 검출

  • 프로토콜 SMB - SMB 프로토콜에서 다양한 보안 문제를 검출하고 차단합니다.
  • Rogue 서버 인증 시도 공격 검출 - 사용자 자격 증명을 얻기 위해 인증 시 Rogue 인증을 사용하는 공격으로부터 보호합니다.
  • 명명된 파이프를 여는 동안 IDS 우회 검색 - SMB 프로토콜에서 MSRPCS 명명된 파이프를 여는 데 사용되는 알려진 우회 기술을 검색합니다.
  • CVE(일반적인 취약성 및 노출) 검출 - 다양한 공격, 양식, 보안 헛점 및 SMB 프로토콜을 통한 익스플로이트에 대해 구현된 검출 방법입니다. CVE 식별자에 대한 자세한 내용을 검색하고 보려면 CVE 웹 사이트(cve.mitre.org)를 참조하십시오.
  • 프로토콜 RPC - DCE(Distributed Computing Environment)용으로 개발된 원격 프로시저 호출 시스템에서 다양한 CVE를 검출하고 차단합니다.
  • 프로토콜 RDP - RDP 프로토콜에서 다양한 CVE를 검출하고 차단합니다(위 참조).
  • 공격 검출 후 안전하지 않은 주소 차단 - 공격의 근원지로 검출된 IP 주소는 특정 기간 동안 연결하지 못하도록 차단 목록에 추가됩니다. 공격 탐지 후 주소가 차단되는 기간을 설정하는 차단 목록 보존 기간을 정의할 수 있습니다.
  • 공격 탐지에 대해 알림 – 화면 오른쪽 하단에 있는 Windows 알림 영역의 알림을 켭니다.
  • 보안 허점을 통해 들어오는 공격도 알림 표시 - 보안 허점을 통한 공격이 감지되었거나 이러한 방식으로 위협이 시스템에 침투하려는 경우 경고합니다.

icon_section 패킷 검사

  • SMB 프로토콜에서 관리자 공유에 대해 들어오는 연결 허용 - 관리 공유는 시스템의 하드 드라이브 파티션(C$, D$ 등)을 시스템 폴더(ADMIN$)와 공유하는 기본 네트워크 공유입니다. 관리 공유에 대한 연결을 비활성화하면 많은 보안 위험이 줄어듭니다. 예를 들어 Conficker 웜은 관리 공유에 연결하기 위해 사전 공격을 수행합니다.
  • 이전(지원되지 않는) SMB 언어 거부 - IDS에서 지원하지 않는 이전 SMB 언어를 사용하는 SMB 세션을 거부합니다. 최신 Windows 운영 체제는 Windows 95와 같은 이전 운영 체제와의 호환성 문제 때문에 이전 SMB 언어를 지원합니다. 공격자는 트래픽 조사를 회피하기 위해 SMB 세션에 이전 언어를 사용할 수 있습니다. 컴퓨터가 이전 버전의 Windows를 사용하는 컴퓨터와 파일을 공유(또는 일반적으로 SMB 통신을 사용)할 필요가 없으면 이전 SMB 언어를 거부하십시오.
  • 확장된 보안이 없는 SMB 세션 거부 - LM(LAN Manager) Challenge/Response 인증보다 안전한 인증 메커니즘을 제공하기 위해 SMB 세션 협상 중에 확장된 보안이 사용될 수 있습니다. LM 체계는 약한 것으로 간주되므로 사용하지 않는 것이 좋습니다.
  • Security Account Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SAMR]을 참조하십시오.
  • Local Security Authority 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-LSAD][MS-LSAT]를 참조하십시오.
  • Remote Registry 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-RRP]를 참조하십시오.
  • Service Control Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SCMR]을 참조하십시오.
  • Server 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SRVS]를 참조하십시오.
  • 기타 서비스와의 통신 허용 - MSRPC는 Microsoft에서 구현한 DCE RPC 메커니즘입니다. 더욱이 MSRPC에서는 전송(ncacn_np 전송)용 SMB(네트워크 파일 공유) 프로토콜로 이동되는 명명된 파이프를 사용할 수 있습니다. MSRPC 서비스는 Windows 시스템을 원격으로 접근 및 관리하기 위한 인터페이스를 제공합니다. Windows MSRPC 시스템에서는 몇 가지 보안 취약점(Conficker 웜, Sasser 웜 등)이 검색되고 악용되었습니다. 많은 보안 위험(예: 원격 코드 실행 또는 서비스 실패 공격)을 줄이려면 제공할 필요가 없는 MSRPC 서비스와의 통신 기능은 비활성화하십시오.