詳細フィルタリングオプション

ネットワーク攻撃保護セクションでは、詳細フィルタリングオプションを設定し、コンピューターに対して実行される可能性があるさまざまな種類の攻撃および脆弱性を検出できます。

note

通知とログ

ブロックされた通信についての脅威の通知を受け取らないことがあります。ファイアウォールログでブロックされたすべての通信を表示する手順については、「ロギングとログからのルールまたは例外の作成」を参照してください。

important

このヘルプページで使用可能な特定のオプション

詳細設定(F5) > ネットワーク保護 > ネットワーク攻撃保護で使用可能な特定のオプションは、ESETエンドポイント製品とファイアウォールモジュールのタイプまたはバージョン、およびオペレーティングシステムのバージョンによって異なる場合があります。一部のオプションは、ESET Endpoint Securityでのみ使用できます。

icon_section 侵入検出

[プロトコル SMB]- SMBプロトコルのさまざまなセキュリティの問題を検出してブロックします。

不正サーバーチャレンジ攻撃認証を検出 - 認証の際にユーザー認証を取得しようとして不正なチャレンジを使用する攻撃から保護します。

名前付きパイプを開くときのIDS回避を検出 - SMBプロトコルでMSRPC名前付きパイプを開くために使用される既知の回避方法を検出します。

CVE検出 (Common Vulnerabilities and Exposures) - SMBプロトコルでのさまざまな攻撃、フォーム、セキュリティホール、悪用に関する実装済みの検出方法です。CVE識別子(CVEs)に関する詳細については、cve.mitre.orgのCVE Webサイトを参照してください。

プロトコルRPC - 分散コンピューティング環境(DCE)のために開発されたリモートプロシージャコールシステムでのCVEを検出してブロックします。

プロトコルRDP - RDPプロトコルでさまざまなCVEを検出してブロックします(前記を参照)。

攻撃を検出したら安全ではないアドレスを遮断 - 攻撃の元であると検出されたIPアドレスは、一定の時間、接続を遮断するためにブラックリストに追加されます。

攻撃の検出後に通知を表示 - 画面の右下にあるシステムトレイ通知が無効になります。

セキュリティホールに対する受信攻撃の通知も表示 - セキュリティホールに対する攻撃が検出された場合や、脅威によってこの方法でシステムに侵入する試みが行われた場合に通知します。

icon_section パケットのチェック

SMBプロトコルでの管理用共有への内向き接続を許可 - 管理用共有は、既定のネットワーク共有で、システム内のハードドライブのパーティション(C$D$、...)をシステムフォルダ(ADMIN$)と共有します。管理用要求への接続を無効にすると、多くのセキュリティリスクが低下します。たとえば、Confickerワームは管理用共有に接続するためにディクショナリアタックを行います。

古い(サポート対象外) SMBダイアレクトを遮断 - IDSによってサポートされていない古いSMBダイアレクトを使用するSMBセッションを遮断します。最近のWindowsオペレーティングシステムは、Windows 95などの古いオペレーティングシステムとの後方互換性を確保するために、古いSMBダイアレクトをサポートしています。攻撃者は、SMBセッションで古いダイアレクトで使用することにより、トラフィック検査を逃れることができます。お使いのコンピュータで古いバージョンのWindowsを搭載したコンピュータとファイルを共有する必要がない場合は(または通常のSMB通信を使用)、古いSMBダイアレクトを遮断してください。

拡張セキュリティのないSMBセキュリティを遮断 - SMBセッションネゴシエーションの際、LAN Managerチャレンジ/レスポンス(LM)認証よりも安全な認証メカニズムを提供するために、拡張セキュリティを使用できます。LMスキームは、脆弱であると考えられ、使用は推奨されません。

セキュリティアカウントマネージャー(SAM)サービスとの通信を許可 - このサービスの詳細については、[MS-SAMR]を参照してください。

ローカルセキュリティ機関(LSA)サービスとの通信を許可 - このサービスの詳細については、[MS-LSAD][MS-LSAT]を参照してください。

リモートレジストリサービスとの通信を許可 - このサービスの詳細については、[MS-RRP]を参照してください。

サービスコントロールマネージャサービスとの通信を許可 - このサービスの詳細については、[MS-SCMR]を参照してください。

サーバーサービスとの通信を許可 - このサービスの詳細については、[MS-SRVS]を参照してください。

他のサービスとの通信を許可 - MSRPCは、MicrosoftによるDCE RPCメカニズムの実装です。また、MSRPCでは、転送(ncacn_np転送)のためにSMB(ネットワークファイル共有)プロトコルで名前付きパイプを使用できます。MSRPCサービスには、Windowsシステムをリモートからアクセスして管理するためのインタフェースが用意されています。Windows MSRPCシステムに関しては、いくつかのセキュリティ上の脆弱性が発見、悪用されてきました(Confickerワーム、Sasserワームなど)。多くのセキュリティリスク(リモートコード実行、サービス拒否攻撃など)低下させるために、提供する必要がないMSRPCサービスとの通信は無効にしてください。

TCP接続状態のチェック - すべてのTCPパケットが既存の接続に属しているかどうかを調べます。接続に属さないパケットがある場合、パケットは削除されます。

アクティブでないTCP接続を維持 - 一部のアプリケーションを機能させるためには、アプリケーションで確立されたTCP接続を、TCP接続が無効な場合でも保持する必要があります。無効なTCP接続を切断しないようにするには、このオプションを選択します。

TCPプロトコルオーバーロードを検出 - この方法の原則では、コンピュータまたはサーバを複数の要求に公開することが含まれます。「DoS(サービス拒否攻撃)」も参照してください。

ICMPプロトコルメッセージチェック - ICMPプロトコルの脆弱性を利用する攻撃を防止します。これにより、コンピュータが応答しなくなる可能性があります。DoS(サービス妨害攻撃)を参照してください。

秘密データを埋め込んだICMPプロトコルを検出 - ICMPプロトコルがデータ転送に使用されていないかどうかを調べます。多くの悪質な技法が、ICMPプロトコルを使用してファイアウォールをバイパスします。

IDSと詳細オプションに関する最新のヘルプは、ESETナレッジベース(英語)の記事を参照してください。