Opciones avanzadas
En Configuración avanzada > Protecciones > Protección de acceso a la red > Protección contra ataques a la red > Opciones avanzadas, puede habilitar o deshabilitar la detección de varios tipos de ataques y vulnerabilidades que pueden dañar su equipo.
En algunos casos no recibirá una notificación de amenaza sobre las comunicaciones bloqueadas. Consulte la sección Registrar y crear reglas o excepciones desde el registro para obtener instrucciones para ver todas las comunicaciones bloqueadas en el registro del Firewall. |
La disponibilidad de las opciones determinadas en esta ventana pueden variar dependiendo del tipo o versión de su producto de ESET y el módulo de firewall, como así también de la versión de su sistema operativo. |
Detección de intrusiones
- Protocolo SMB – detecta y bloquea distintos problemas de seguridad en el protocolo SMB, a saber:
- Detección de autenticación de ataque de desafío del servidor ficticio – esta opción lo protege contra un ataque que utiliza un desafío ficticio durante la autenticación para obtener credenciales de usuario.
- Evasión de IDS durante la detección de abertura de tubería nombrada – detección de técnicas de evasión utilizadas para abrir tuberías denominadas MSRPC en el protocolo SMB.
- Detecciones de CVE (Exposiciones y vulnerabilidades comunes) – métodos de detección implementados de varios ataques, formas, agujeros de seguridad y explotaciones sobre el protocolo SMB. Consulte el Sitio Web de CVE en cve.mitre.org para buscar y obtener información más detallada sobre los identificadores de CVE (CVE).
- Protocolo RPC – detecta y bloquea distintos CVE en el sistema remoto de llamadas de procedimientos desarrollado para el Entorno de Computación Distribuida (DCE).
- Protocolo RDP – detecta y bloquea varios CVE en el protocolo RDP (consulte arriba).
- Bloquear la dirección no segura una vez detectado el ataque – las direcciones IP detectadas como fuentes de ataques se agregan a la Lista negra para prevenir la conexión durante un cierto periodo. Puede definir el período de retención de la lista negra, que establece el tiempo durante el cual se bloqueará la dirección después de la detección del ataque.
- Notificar sobre la detección de ataques – activa el área de notificación de Windows en la esquina inferior derecha de la pantalla.
- Mostrar notificaciones también para ataques entrantes frente a agujeros de seguridad – le proporciona alertas si se detectan ataques frente a agujeros de seguridad, o si una amenaza intenta ingresar al sistema de esta forma.
Inspección de paquetes
- Permitir una conexión entrante para intercambios admin. en el protocolo de SMB: los intercambios administrativos (intercambios admin.) son los intercambios de red predeterminados que intercambian particiones del disco duro (C$, D$, ...) en el sistema junto con la carpeta del sistema (ADMIN$). Deshabilitar la conexión a intercambios de admin. debería mitigar cualquier riesgo de seguridad. Por ejemplo, el gusano Conficker realiza ataques por diccionario para conectarse a intercambios de admin.
- Denegar dialectos SMB anteriores (no compatibles) – denegar sesiones SMB que usan un dialecto SMB anterior que no es compatible con IDS. Los sistemas operativos modernos de Windows son compatibles con los dialectos SMB anteriores debido a la retrocompatibilidad con sistemas operativos anteriores, como Windows 95. El atacante puede usar un dialecto anterior en una sesión SMB para evadir la inspección de tráfico. Denegar dialectos SMB anteriores si su equipo no necesita intercambiar archivos (o usar la comunicación SMB en general) con un equipo que posee una versión anterior de Windows.
- Denegar sesiones SMB sin extensiones de seguridad – se puede utilizar la seguridad extendida durante la negociación de la sesión SMB para proporcionar un mecanismo de autenticación más seguro que la autenticación Desafío/respuesta del administrador LAN (LM). El esquema LM es considerado débil y no se recomienda su uso.
- Permitir la comunicación con el servicio Security Account Manager – para obtener más información acerca de este servicio, consulte [MS-SAMR].
- Permitir la comunicación con el servicio Local Security Authority – para obtener más información acerca de este servicio, consulte [MS-LSAD] y [MS-LSAT].
- Permitir la comunicación con el servicio Remote Registry – para obtener más información acerca de este servicio, consulte [MS-RRP].
- Permitir la comunicación con el servicio Service Control Manager – para obtener más información acerca de este servicio, consulte [MS-SCMR].
- Permitir la comunicación con el servicio Server – para obtener más información acerca de este servicio, consulte [MS-SRVS].
- Permitir la comunicación con los otros servicios – otros servicios MSRPC. MSRPC es la implementación de Microsoft del mecanismo DCE RPC. Además, MSRPC puede usar tuberías denominadas dentro del protocolo SMB (compartir archivo de red) para su transporte (transporte ncacn-np). Los servicios MSRPC proporcionan interfaces para el acceso y administración de los sistemas de Windows de modo remoto. Se han descubierto y explotado varias vulnerabilidades de seguridad bajo condiciones normales de operación en el sistema MSRPC de Windows (gusano Conficker, gusano Sasser...). Deshabilite la comunicación con los servicios MSRPC que no necesite proporcionar para mitigar muchos riesgos de seguridad (como la ejecución remota de códigos o ataques por fallas del servicio).