Erweiterte Filteroptionen

Im Abschnitt „Netzwerkangriffsschutz“ können Sie erweiterte Filteroptionen konfigurieren, um verschiedene Arten von Angriffen und mögliche Schwachstellen auf Ihrem Computer zu erkennen.

note

Benachrichtigungen und Logging

In bestimmten Fällen erhalten Sie keinen Hinweis zum gesperrten Datenverkehr. Im Abschnitt Erstellen von Logs und Erstellen von Regeln oder Ausnahmen anhand des Logs finden Sie Anweisungen dazu, wie Sie den gesamten blockierten Datenverkehr im Firewall-Log anzeigen.

important

Verfügbarkeit bestimmter Optionen in dieser Hilfeseite

Die Verfügbarkeit bestimmter Optionen in den erweiterten Einstellungen (F5) > Netzwerkschutz > Netzwerkangriffsschutz hängt von der Art und Version Ihres ESET-Endpunktprodukts und Ihres Firewall-Moduls sowie von der Version Ihres Betriebssystems ab. Manche Optionen sind nur für ESET Endpoint Security verfügbar.

icon_section Eindringversuche erkennen

SMB-Protokoll - Erkennt und blockiert verschiedene Sicherheitsprobleme im SMB-Protokoll:

Angriffe über manipulierte Authentifizierungs-Challenge erkennen - Schützt Sie vor einem Angriff mit einer manipulierten Authentifizierungs-Challenge zum Abschöpfen von Anmeldedaten.

IDS-Umgehungsversuche beim Öffnen von Named Pipes erkennen– Erkennung bekannter Umgehungsversuche für MSRPC-Named Pipes im SMB-Protokoll.

CVE-Erkennungsmethoden („Common Vulnerabilities and Exposures“, übliche Schwachstellen und Gefahren) – Bereitgestellte Erkennungsmethoden für verschiedene Angriffe, Formulare, Sicherheitslücken und Exploits über das SMB-Protokoll. Weitere Informationen zu CVE-Identifizierungen finden Sie auf der CVE-Website auf cve.mitre.org.

RPC-Protokoll - Erkennt und blockiert verschiedene CVEs im RPC-System, die für die Umgebung für verteilte Datenverarbeitung (DCE) entwickelt wurden.

RDP-Protokoll– Erkennt und blockiert verschiedene CVEs im RDP-Protokoll (siehe weiter oben).

Unsichere Adresse nach erkanntem Angriff blockieren - Fügt IP-Adressen, die als Angriffsquellen identifiziert wurden, zur Negativliste hinzu, um die Verbindung für einen bestimmten Zeitraum zu unterbinden.

Hinweis bei erkanntem Angriff anzeigen - Aktiviert die Hinweise im Infobereich der Taskleiste rechts unten auf dem Bildschirm.

Benachrichtigung auch bei eingehenden Angriffen auf Sicherheitslücken anzeigen - Zeigt eine Benachrichtigung an, wenn Angriffe auf Sicherheitslücken erkannt werden oder eine Bedrohung versucht, auf diese Weise in das System zu gelangen.

icon_section Paketprüfung

Eingehende Verbindungen zu administrativen Freigaben per SMB-Protokoll zulassen - Administrative Freigaben (admin shares) sind Standard-Netzwerkfreigaben für Festplattenpartitionen (C$, D$, ...) im System zusammen mit dem Systemordner (ADMIN$). Die Deaktivierung von Verbindungen zu den administrativen Freigaben unterbindet zahlreiche Sicherheitsrisiken. Der Conficker-Wurm verwendet beispielsweise Wörterbuchangriffe, um sich mit administrativen Freigaben zu verbinden.

Alte (nicht unterstützte) SMB-Dialekte blockieren - SMB-Sitzungen mit alten SMB-Dialekten verhindern, die nicht von IDS unterstützt werden. Moderne Windows-Systeme unterstützen alte SMB-Dialekte aus Kompatibilitätsgründen mit alten Systemen wie z. B. Windows 95. Ein Angreifer kann einen alten Dialekt in einer SMB-Sitzung verwenden, um die Datenprüfung zu umgehen. Blockieren Sie alte SMB-Dialekte, wenn Ihr Computer keine Dateien mit alten Windows-Versionen teilen (oder SMB-Kommunikation allgemein verwenden) muss.

SMB-Sitzungen ohne erweiterte Sicherheitsfunktionen blockieren - Erweiterte Sicherheit kann in SMB-Sitzungen verwendet werden, um einen sichereren Authentifizierungsmechanismus im Vergleich zur LAN Manager Challenge/Response (LM)-Methode zu erhalten. Die LM-Methode gilt als schwach und sollte daher nicht verwendet werden.

Verbindungen zur Sicherheitskontenverwaltung (SAM) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

Verbindungen zur Local Security Authority (LSASS) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-LSAD] und [MS-LSAT].

Verbindungen zum Dienst „Remoteregistrierung“ zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

Verbindungen zum Service Control Manager (SCM) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

Verbindungen zum Serverdienst zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

Verbindungen zu anderen Diensten zulassen – MSRPC ist die Microsoft-Implementierung des DCE RPC-Mechanismus. MSRPC kann außerdem Named Pipes aus dem SMB-Protokoll für den Transport verwenden (ncacn_np transport). MSRPC-Services bieten Schnittstellen für den Fernzugriff und die Verwaltung von Windows-Systemen. Es wurden zahlreiche Schwachstellen im Microsoft MSRPC-System entdeckt und ausgenutzt (Conficker-Wurm, Sasser-Wurm usw). Deaktivieren Sie die Kommunikation mit nicht benötigten MSRPC-Diensten, um zahlreiche Sicherheitsrisiken auszuschließen (z. B. Remote Code Execution oder Service Failure-Angriffe).

TCP-Verbindungsstatus prüfen– Überprüft, ob alle TCP-Pakete zu einer vorhandenen Verbindung gehören. Wenn ein Paket zu keiner Verbindung gehört, wird es verworfen.

Inaktive TCP-Verbindungen aufrechterhalten - Zur ordnungsgemäßen Funktion einiger Anwendungen ist es erforderlich, dass die hergestellte TCP-Verbindung auch dann aufrechterhalten bleibt, wenn sie möglicherweise inaktiv ist. Aktivieren Sie diese Option, um zu vermeiden, dass inaktive TCP-Verbindungen beendet werden.

Denial of Service-Angriff auf TCP-Ebene erkennen – Bei dieser Methode wird der Computer/Server mehreren Anfragen ausgesetzt. Siehe auch Abschnitt DoS (Denial of Service-Angriffe).

ICMP-Nachrichten prüfen - Verhindert Angriffe, die Schwachstellen des ICMP-Protokolls ausnutzen, was zu Problemen mit dem Systemreaktionsverhalten des Computers führen kann - siehe auch DoS (Denial of Service-Angriffe).

Im ICMP-Protokoll verborgene Daten (covert channel) entdecken– Prüft, ob über ICMP Daten übermittelt werden. Viele Schadcode-Methoden nutzen das ICMP-Protokoll, um die Firewall zu umgehen.

Eine aktualisierte Version dieser Hilfeseite finden Sie in diesem ESET-Knowledgebase-Artikel.