Розширені параметри фільтрації
У розділі "Захист мережі від атак" можна налаштувати додаткові параметри фільтрації для виявлення деяких типів атак і вразливостей, які можуть бути використані проти вашого комп’ютера.
|
Сповіщення й ведення журналу У деяких випадках сповіщення про заблоковані зв’язки не відображатимуться. Зверніться до розділу Ведення журналу й створення правил або виключень на основі журналу, щоб дізнатися, як переглянути всі заблоковані зв’язки в журналі брандмауера. |
|
Доступність певних параметрів на цій сторінці довідки Доступність певних параметрів у розділі "Додаткові параметри" (F5) > Захист мережі > Захист мережі від атак може різнитися залежно від типу або версії вашого продукту ESET Endpoint і модуля брандмауера, а також від версії операційної системи. Деякі з них можуть бути доступні тільки для ESET Endpoint Security. |
Виявлення вторгнення
•Протокол SMB: виявляє та блокує різноманітні проблеми, пов’язані з безпекою протоколу SMB, а саме:
•Виявлення виклику автентифікації неправомірним сервером: захищає від атак, які під час автентифікації використовують неправомірний виклик із метою отримання облікових даних користувача.
•Виявлення обходу IDS під час відкриття іменованого каналу: виявлення відомих методів обходу, які використовуються для відкриття іменованих каналів MSRPC в протоколі SMB.
•Виявлення CVE (Common Vulnerabilities and Exposures – поширені слабкі місця й помилки): упроваджені методи виявлення різноманітних атак, форм, слабких місць у системі безпеки та проникнень через протокол SMB. Відвідайте веб-сайт CVE за адресою cve.mitre.org, який надає можливості пошуку й отримання докладнішої інформації про ідентифікатори CVE.
•Протокол RPC: виявлення й блокування різноманітних слабких місць і помилок у системі віддаленого виклику процедур для середовища розподілених розрахунків (Distributed Computing Environment, DCE).
•Протокол RDP: виявлення й блокування різноманітних слабких місць у протоколі RDP (див. вище).
•Блокувати небезпечну адресу після виявлення атаки: додавання до чорного списку IP-адрес, визначених як джерело атаки, що запобігає з’єднанню з ними протягом певного періоду часу.
•Відображати сповіщення після виявлення атаки: вмикає відображення сповіщень у системному треї в нижньому правому куті екрана.
•Також відображати сповіщення про атаки, спрямовані на слабкі місця в системі безпеки: сповіщає про виявлені атаки, спрямовані на слабкі місця в системі безпеки, або про спроби проникнення загрози в систему в такий спосіб.
Перевірка пакетів
•Дозволити вхідні запити спільних адміністративних ресурсів у протоколі SMB – адміністративними спільними ресурсами називаються мережеві спільні ресурси, які використовують розділи на жорсткому диску в системі (C$, D$ тощо) разом із системною папкою (ADMIN$). Заборонивши підключення до адміністративних спільних ресурсів, можна усунути багато загроз для безпеки. Наприклад, черв’як Conficker для підключення до адміністративних спільних ресурсів здійснює атаки за словником.
•Відхилити застарілі (непідтримувані) діалекти SMB: відхилення сеансів SMB, що використовують застарілі діалекти SMB, не підтримувані IDS. Сучасні операційні системи Windows підтримують застарілі діалекти SMB з метою забезпечення сумісності з попередніми версіями (наприклад, Windows 95). Зловмисник може використовувати застарілий діалект під час сеансу SMB, щоб уникнути перевірки трафіку. Активуйте відхилення застарілих діалектів SMB, якщо ваш пристрій не використовується для обміну файлами (або комунікації SMB загалом) із комп’ютером під керуванням старих версій Windows.
•Відхилити SMB без розширення функції безпеки: розширена функція безпеки може використовуватися під час сеансу SMB з метою забезпечення надійнішого механізму автентифікації, ніж метод "запит–відповідь" для автентифікації диспетчера локальної мережі. Цей метод вважається слабким, і використовувати його не рекомендується.
•Дозволити виклики диспетчера облікових записів: докладніше про цю службу див. у розділі [MS-SAMR].
•Дозволити виклики локального центру безпеки: докладніше про цю службу див. у розділах [MS-LSAD] і [MS-LSAT].
•Дозволити виклики віддаленого реєстру: докладніше про цю службу див. у розділі [MS-RRP].
•Дозволити виклики диспетчера керування службами: докладніше про цю службу див. у розділі [MS-SCMR].
•Дозволити виклики служби сервера: докладніше про цю службу див. у розділі [MS-SRVS].
•Дозволити виклики інших служб. MSRPC — це реалізація механізму DCE RPC від компанії Microsoft. Окрім того, MSRPC може використовувати іменовані канали, виконувані за протоколом SMB (обмін файлами в мережі), для транспортування даних (ncacn_np transport). Служби MSRPC дають змогу отримувати віддалений доступ до систем Windows і керувати ними. У системі Windows MSRPC було виявлено кілька вразливих місць, які використовувалися "дикими вірусами" (черв’яки Conficker, Sasser тощо). Заборонивши комунікацію з непотрібними службами MSRPC, можна усунути багато ризиків для безпеки (віддалене виконання коду, відмова в обслуговуванні тощо).
•Перевіряти стан підключення TCP: перевіряє, чи всі пакети TCP належать установленому підключенню. Якщо певний пакет не існує для підключення, його буде опущено.
•Підтримувати неактивні TCP-підключення: для роботи деяких програм потрібно, щоб підключення TCP, яке вони встановлюють, підтримувалося, навіть якщо це підключення TCP неактивне. Виберіть цей параметр, щоб уникнути переривання неактивних підключень TCP.
•Виявлення перевантаження протоколу TCP: принцип цієї атаки полягає в надсиланні на комп’ютер / сервер безлічі запитів. Див. також DoS-атаки (відмова в обслуговуванні).
•Перевірка повідомлень протоколу ICMP: запобігання атакам, які використовують недоліки протоколу ICMP й можуть призвести до зависання комп’ютера (також див. розділ DoS-атаки (відмова в обслуговуванні).
•Виявлення прихованих даних у протоколі ICMP: система перевіряє, чи використовується для передачі даних протокол ICMP. Багато способів скоєння зловмисних дій передбачає використання протоколу ICMP для подолання захисту брандмауером.
Оновлену версію сторінки довідки див. у цій статті бази знань ESET.