Opciones avanzadas de filtrado

La sección de protección contra ataques de red le permite configurar opciones avanzadas de filtrado para detectar varios tipos de ataques y vulnerabilidades que pueden llevarse a cabo contra su ordenador.

Detección de intrusiones

•Protocolo SMB: detecta y bloquea los problemas de seguridad del protocolo SMB que se indican a continuación:

•Detección de autenticación de ataque por desafío malicioso al servidor: esta opción le protege frente a un ataque que utilice un desafío malicioso durante la autenticación para obtener las credenciales del usuario.

•Detección de evasión del sistema de detección de intrusos durante apertura de acceso con nombre: detección de técnicas de evasión conocidas usadas para aperturas de acceso con nombre MSRPC en el protocolo SMB.

•Detección de CVE (Common Vulnerabilities and Exposures, vulnerabilidades y exposiciones comunes): métodos de detección implementados de diversos ataques, formularios, vulnerabilidades de seguridad y exploits a través del protocolo SMB. Consulte el sitio web de CVE en cve.mitre.org para obtener más información sobre los identificadores de CVE (CVE).

•Protocolo RPC: detecta y bloquea varios identificadores de CVE en el sistema de llamadas de procedimiento remoto desarrollado para el Entorno de computación distribuida (DCE).

•Protocolo RDP: detecta y bloquea varios identificadores de CVE en el protocolo RDP (consulte la información previa).

•Bloquear la dirección no segura una vez detectado el ataque: las direcciones IP que se han detectado como fuentes de ataques se agregan a la lista negra para evitar la conexión durante un determinado periodo de tiempo.

•Mostrar notificación tras la detección de un ataque: activa la notificación de la bandeja del sistema en la esquina inferior derecha de la pantalla.

•Mostrar notificaciones al recibir ataques que aprovechen de fallos de seguridad: le avisa si se detectan ataques contra vulnerabilidades de seguridad o si una amenaza intenta acceder al sistema a través de este método.

Comprobación de paquetes

•Permitir una conexión entrante para intercambio de admin en el protocolo de SMB: los recursos compartidos administrativos (recursos compartidos del administrador) son los recursos compartidos de red predeterminados que comparten particiones del disco duro (C$, D$, etc.) en el sistema con la carpeta del sistema (ADMIN$). La desactivación de la conexión a los recursos compartidos del administrador debería mitigar muchos riesgos de seguridad. Por ejemplo, el gusano Conficker realiza ataques por diccionario para conectarse a recursos compartidos del administrador.

•Denegar dialectos SMB anteriores (no compatibles): permite denegar sesiones de SMB que utilicen un dialecto SMB antiguo e incompatible con IDS. Los sistemas operativos Windows modernos son compatibles con dialectos SMB antiguos gracias a la compatibilidad con versiones anteriores de sistemas operativos antiguos como Windows 95. El atacante puede utilizar un dialecto antiguo en una sesión de SMB para evadir la inspección de tráfico. Deniegue dialectos SMB antiguos si su ordenador no necesita compartir archivos (o utilice la comunicación SMB en general) con un ordenador con una versión antigua de Windows.

•Denegar la seguridad de SMB sin extensiones de seguridad: la seguridad ampliada se puede utilizar durante la negociación de la sesión de SMB para proporcionar un mecanismo de autenticación más seguro que la autenticación de desafío o respuesta de LAN Manager (LM). El esquema de LM se considera débil, por lo que no se recomienda su uso.

•Permitir la comunicación con el servicio Security Account Manager: para obtener más información sobre este servicio, consulte [MS-SAMR].

•Permitir la comunicación con el servicio Local Security Authority: para obtener más información sobre este servicio, consulte [MS-LSAD] y [MS-LSAT].

•Permitir la comunicación con el servicio Remote Registry: para obtener más información sobre este servicio, consulte [MS-RRP].

•Permitir la comunicación con el servicio Services Control Manager: para obtener más información sobre este servicio, consulte [MS-SCMR].

•Permitir la comunicación con el Server Service: para obtener más información sobre este servicio, consulte [MS-SRVS].

•Permitir la comunicación con los otros servicios – MSRPC es la implementación de Microsoft del mecanismo DCE RPC. Además, MSRPC puede utilizar aperturas de acceso con nombre en el protocolo SMB (intercambio de archivos en la red) para el transporte (transporte ncacn_np). Los servicios de MSRPC proporcionan interfaces para acceder a sistemas Windows y administrarlos de forma remota. Se han detectado y aprovechado varias vulnerabilidades de seguridad en estado salvaje en el sistema MSRPC de Windows (gusano Conficker, gusano Sasser…). Desactive la comunicación con los servicios de MSRPC que no necesite proporcionar para mitigar muchos riesgos de seguridad (como la ejecución de código remoto o los ataques por fallo del servicio).

•Verificar el estado de conexión TCP: comprueba si todos los paquetes TCP pertenecen a una conexión existente. Si un paquete no existe en una conexión, este se eliminará.

•Mantener las conexiones TCP inactivas: para funcionar, algunas aplicaciones necesitan que la conexión TCP que establecen se mantenga, aunque esté inactiva. Active esta opción para evitar que finalicen las conexiones TCP inactivas.

•Detección de sobrecarga del protocolo TCP: el principio de este método implica exponer el ordenador/servidor a varias solicitudes. Consulte también DoS (ataques por denegación de servicio).

•Verificación de mensajes para el protocolo ICMP: impide los ataques que explotan los puntos débiles del protocolo ICMP y podrían hacer que el ordenador deje de responder. Consulte también DoS (ataques por denegación de servicio).

•Detección de canales ocultos del protocolo ICMP: comprueba si se utiliza el protocolo ICMP para la transferencia de datos. Muchas técnicas maliciosas utilizan el protocolo ICMP para burlar el cortafuegos.

Consulte el siguiente artículo de la base de conocimiento de ESET para ver una versión actualizada de esta página de ayuda.