Speciális szűrési beállítások
A Hálózati támadások elleni védelem szakasz speciális szűrőbeállítások konfigurálhatók a számítógépre leselkedő támadások és biztonsági rések észleléséhez.
Értesítések és naplózás Egyes esetekben nem kap kártevőkkel kapcsolatos értesítést a letiltott kommunikációkról. A Naplózás és szabályok vagy kivételek létrehozása naplóból című részből megtudhatja, hogy miként tekintheti meg az összes tiltott kommunikációt a tűzfal naplójában. |
A különböző beállítások elérhetősége ezen a súgóoldalon Az ESET-végponttermék és a tűzfalmodul típusától vagy verziójától, valamint az operációs rendszer verziójától függ, hogy a További beállítások (F5) > Hálózati védelem > Hálózati támadások elleni védelem lapon milyen beállítások állnak rendelkezésre. Előfordulhat, hogy néhányuk csak az ESET Endpoint Security szolgáltatáshoz áll rendelkezésre. |
Behatolásfelismerés
•SMB protokoll – Számos biztonsági problémát észlel és blokkol az SMB protokollban, nevezetesen az alábbiakat:
•Engedélyezetlen szerverekről érkező hitelesítéses támadás észlelése – Védelmet nyújt a felhasználói hitelesítő adatok megszerzése érdekében a hitelesítés során alkalmazott szerverkérdéses támadásokkal szemben.
•IDS elkerülésének észlelése a folyamatok közötti kommunikáció megnyitásakor – Az MSRPC nevesített csövek megnyitásához használt ismert elkerülési technikák felismerése az SMB protokollban.
•Gyakori biztonsági rések és kitettségek felismerése – Az SMB protokollon keresztüli különféle támadások, férgek, biztonsági rések és kitettségek használt felismerési módszerei. A gyakori biztonsági rések és kitettségek (CVE-k) azonosítóiról a cve.mitre.org szervezet webhelyén talál részletesebb információkat.
•RPC protokoll – Észleli és letiltja a különféle gyakori biztonsági réseket és kitettségeket az elosztott számítógépes környezethez (DCE) kifejlesztett távoli eljáráshívási rendszerben.
•RDP protokoll – Észleli és letiltja a gyakori biztonsági réseket és kitettségeket az RDP protokollban (lásd fent).
•Nem biztonságos címek letiltása a támadások felismerése után – A támadások forrásaként felismert IP-címeket a program felveszi a tiltólistára, így bizonyos időszakra megakadályozza a kapcsolatot.
•Értesítés megjelenítése támadás felismerése után – A jelölőnégyzet bejelölésével kikapcsolhatja a képernyő jobb alsó sarkában, a tálcán megjelenő értesítéseket.
•Értesítések megjelenítése a biztonsági réseket kihasználó támadások esetén is – Riasztást jelenít meg a biztonsági rések elleni támadások észlelésekor, illetve ha egy kártevő ily módon kísérel meg belépni a rendszerbe.
Csomagellenőrzés
•Rendszergazdai megosztások bejövő kapcsolatainak engedélyezése az SMB protokollban – A rendszergazdai megosztások azok az alapértelmezett hálózati megosztások, amelyek megosztják a merevlemez-partíciókat (C$, D$...) a rendszerben a rendszermappákkal (ADMIN$). A rendszergazdai megosztásokkal fennálló kapcsolat letiltása számos biztonsági kockázatot csökkent. A Conficker féreg például szótáras támadásokkal próbál meg a rendszergazdai megosztásokhoz kapcsolódni.
•Régi (nem támogatott) SMB-dialektusok tiltása – Letiltja az IDS által nem támogatott régi SMB-dialektust használó SMB-munkameneteket. A modern Windows operációs rendszerek a korábbi operációs rendszerekkel (például Windows 95) való visszamenőleges kompatibilitásnak köszönhetően támogatják az SMB-dialektusokat. A támadó használhat régi dialektust az SMB-munkamenetben annak érdekében, hogy elkerülje a forgalom vizsgálatát. Tiltsa le a régi SMB-dialektusokat, ha számítógépének nem kell fájlokat megosztania (vagy általában használjon SMB-kommunikációt) a Windows korábbi verzióját futtató számítógéppel.
•Biztonsági bővítmények nélküli SMB-munkamenetek tiltása – A kibővített biztonságot az SMB-munkamenet használata során lehet egyeztetni a LAN Manager kérdés-válasz hitelesítésénél biztonságosabb hitelesítési módszerek biztosítása céljából. A LAN Manager séma gyengének számít, és a használata nem javasolt.
•A Biztonsági fiókkezelő szolgáltatással (SAM) való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SAMR].
•A Helyi biztonsági szervezet (LSA) szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-LSAD] és [MS-LSAT].
•A Távoli beállításjegyzék szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-RRP].
•A Szolgáltatásvezérlő szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SCMR].
•A Kiszolgáló szolgáltatással való kommunikáció engedélyezése – A szolgáltatásról további információt itt talál: [MS-SRVS].
•Más szolgáltatásokkal való kommunikáció engedélyezése – Az MSRPC az elosztott számítógépes környezet (DCE) távoli eljáráshívási (RPC) mechanizmus megvalósítása a Microsoft által. Az MSRPC használhat továbbá az átvitelhez az SMB (hálózati fájlmegosztási) protokollba továbbított nevesített csöveket (ncacn_np transport). Az MSRPC szolgáltatások a Windows rendszerek távoli hozzáféréséhez és kezeléséhez szükséges felületeket biztosítanak. Mostanáig számos biztonsági rést fedeztek fel és használtak ki a Windows MSRPC rendszerében (Conficker féreg, Sasser féreg stb.). Tiltsa le a kommunikációt azokkal az MSRPC szolgáltatásokkal, amelyekre nincs szüksége, így csökkentheti a biztonsági kockázatokat (ilyen például a kódok távoli futtatása vagy a szolgáltatáshibát okozó támadások).
•TCP-kapcsolat állapotának ellenőrzése – A jelölőnégyzet bejelölése esetén a program ellenőrzi, hogy minden TCP-csomag létező kapcsolathoz tartozik-e, és amelyik nem, azt elveti.
•Inaktív TCP-kapcsolatok fenntartása – Néhány alkalmazás működéséhez szükséges az általuk létrehozott TCP-kapcsolatok fenntartása, még ha esetleg inaktívak is. A jelölőnégyzet bejelölésével elkerülheti az inaktív TCP-kapcsolatok megszakítását.
•TCP-protokolltúlterhelés felismerése – A módszer lényege, hogy a támadók nagyszámú kéréssel árasztják el a számítógépeket vagy szervereket (lásd még: DoS, szolgáltatásmegtagadási támadások).
•ICMP-protokollüzenet ellenőrzése – Az ilyen típusú támadások az ICMP protokoll gyenge pontjait használják ki (lásd még: DoS, szolgáltatásmegtagadási támadások).
•Fedett adatok felismerése az ICMP-csomagokban – A jelölőnégyzet bejelölése esetén a program ellenőrzi, hogy az ICMP protokollt nem adatátvitelre használják-e. Számos kártékony technika az ICMP protokollt használja a tűzfal kikerülésére.
A súgóoldal frissített verzióját ebben az ESET-tudásbáziscikkben tekintheti meg.