Opzioni di filtraggio avanzate

La sezione Protezione attacchi di rete consente di configurare opzioni di filtraggio avanzate ai fini del rilevamento di vari tipi di attacchi e vulnerabilità che possono interessare un computer.

Rilevamento intrusioni

•Protocollo SMB: rileva e blocca vari problemi di sicurezza nel protocollo SMB, tra cui:

•È stata rilevata l'autenticazione dell'attacco Rogue server challenge: protegge da un attacco che utilizza un rogue challenge durante l'autenticazione allo scopo di ottenere le credenziali dell'utente.

•Elusione di IDS durante il rilevamento dell'apertura di un pipe con nome: rilevamento di tecniche di evasione note per l'apertura di pipe con nome MSRPC nel protocollo SMB.

•Rilevamenti CVE (vulnerabilità ed esposizioni comuni): metodi di rilevamento implementati di vari attacchi, moduli, buchi di sicurezza ed exploit sul protocollo SMB. Consultare il sito Web CVE all'indirizzo cve.mitre.org per ricercare e ottenere ulteriori informazioni sugli identificatori CVE.

•Protocollo RPC: rileva e blocca vari CVE nel sistema di chiamata di procedura remota sviluppato per il Distributed Computing Environment (DCE).

•Protocollo RDP: rileva e blocca vari CVE nel protocollo RDP (vedere sezione precedente).

•Blocca indirizzo non sicuro dopo il rilevamento di un attacco: gli indirizzi IP che sono stati rilevati come fonti di attacchi vengono aggiunti alla Blacklist allo scopo di prevenire la connessione per un determinato periodo di tempo.

•Visualizza notifica dopo il rilevamento attacco: attiva la notifica sulla barra delle applicazioni nell'angolo in basso a destra della schermata.

•Visualizza notifiche anche per gli attacchi in ingresso contro problemi di sicurezza: avvisa l'utente in caso di rilevamento di attacchi contro buchi di sicurezza o di tentativo di accesso illecito nel sistema da parte di una minaccia.

Ispezione pacchetto

•Consenti la connessione in entrata ad admin shares nel protocollo SMB - Le condivisioni amministrative (admin shares) rappresentano le condivisioni di rete predefinite delle partizioni dell'hard disk (C$, D$,...) nel sistema insieme alla cartella di sistema (ADMIN$). La disattivazione della connessione ad admin shares dovrebbe ridurre numerosi rischi di protezione. Ad esempio, il worm Conficker esegue attacchi con dizionari allo scopo di connettersi alle condivisioni amministrative.

•Nega vecchi dialetti SMB (non supportati): nega sessioni SMB che utilizzano un vecchio dialetto SMB non supportato dall'IDS. I moderni sistemi operativi Windows supportano vecchi dialetti SMB in virtù della compatibilità retroattiva con vecchi sistemi operativi, come ad esempio Windows 95. L'autore di un attacco può utilizzare un vecchio dialetto in una sessione SMB allo scopo di eludere l'ispezione del traffico. Nega i vecchi dialetti SMB se il computer in uso non necessita di file di condivisione (o utilizzare la comunicazione SMB in generale) con un computer su cui è installata una vecchia versione di Windows.

•Nega le sessioni SMB in assenza di estensioni di protezione: l'estensione della protezione può essere utilizzata durante la negoziazione della sessione SMB allo scopo di fornire un meccanismo di autenticazione più sicuro rispetto all'autenticazione LAN Manager Challenge/Response (LM). Poiché lo schema LM è considerato debole, se ne sconsiglia l'utilizzo.

•Consenti la comunicazione con il servizio Security Account Manager: per ulteriori informazioni su questo servizio, consultare [MS-SAMR].

•Consenti la comunicazione con il servizio Local Security Authority: per ulteriori informazioni su questo servizio, consultare [MS-LSAD] e [MS-LSAT].

•Consenti comunicazione con il servizio Remote Registry: per ulteriori informazioni su questo servizio, consultare [MS-RRP].

•Consenti la comunicazione con il servizio Service Control Manager: per ulteriori informazioni su questo servizio, consultare [MS-SCMR].

•Consenti la comunicazione con il servizio Server: per ulteriori informazioni su questo servizio, consultare [MS-SRVS].

•Consenti comunicazione con gli altri servizi – MSRPC è l'implementazione Microsoft del meccanismo DCE RPC. Inoltre, MSRPC utilizza pipe con nome riportati nel protocollo SMB (condivisione file di rete) per il trasporto (trasporto ncacn_np). I servizi MSRPC offrono interfacce di accesso e di gestione remoti per i sistemi Windows. Nel sistema MSRPC di Windows Sono state scoperte e utilizzate "in the wild" numerose vulnerabilità di sicurezza (worm Conficker, worm Sasser, ecc.). Disattivare la comunicazione con i servizi MSRPC che non è necessario fornire per ridurre numerosi rischi di sicurezza (come ad esempio attacchi dovuti all'esecuzione remota di codice o a errori di servizi).

•Controlla stato di connessione TCP: verifica se tutti i pacchetti TCP appartengono a una connessione esistente. Se un pacchetto non è presente in una connessione, verrà rilasciato.

•Mantenere le connessioni TCP inattive: per funzionare, alcune applicazioni richiedono il mantenimento della connessione TCP stabilita, anche se tale connessione potrebbe risultare inattiva. Per evitare l'interruzione delle connessioni TCP inattive, selezionare questa opzione.

•Rilevamento attacco TCP protocol overload: il principio di questo metodo consiste nell'esporre il computer/server a richieste multiple, vedere anche DoS (attacchi Denial of Service).

•Controllo messaggio protocollo ICMP: previene gli attacchi che sfruttano i punti deboli del protocollo ICMP che potrebbero causare una mancanza di risposte del computer - consultare anche DoS (attacchi Denial of Service).

•Individuazione di dati nascosti all'interno del protocollo ICMP: verifica se il protocollo ICMP viene utilizzato per il trasferimento dei dati. Numerose tecniche dannose utilizzano il protocollo ICMP per aggirare il firewall.

Per una versione aggiornata di questa pagina della Guida, consultare questo articolo della Knowledge Base ESET.