Options avancées de filtrage

La section Protection contre les attaques réseau vous permet de configurer des options de filtrage avancées pour détecter plusieurs types d’attaques et de vulnérabilités pouvant être perpétrés contre votre ordinateur.


note

Dans certains cas, vous ne recevrez pas de notification de menace sur les communications bloquées. Voir la section Journalisation et création de règles ou d'exceptions à partir du journal pour des instructions sur la consultation de toutes les communications bloquées dans le journal de pare-feu.


important

La disponibilité d’options particulières dans Configuration avancée (F5) > Protection du réseau > Protection contre les attaques réseau peut varier en fonction du type ou de la version de votre produit de terminal ESET et du module pare-feu, ainsi que la version de votre système d'exploitation. Certains d'entre eux peuvent être disponibles uniquement pour ESET Endpoint Security.

icon_section Détection d'intrusion

Protocole SMB - Détecte et bloque les divers problèmes de sécurité dans le protocole SMB, à savoir :

Détection d'attaque par détection de serveurs non autorisés - Cette option protège l'ordinateur contre une attaque qui utilise un serveur non autorisé pendant l'authentification afin d'obtenir les identifiants de l'utilisateur.

Détection d'évasion IDS pendant l'ouverture d'un canal nommé - Détection de techniques d'évasion connues pour ouvrir les canaux nommés MSRPC dans le protocole SMB.

Détection CVE (Common Vulnerabilities and Exposures) - Méthodes de détection mises en œuvre de diverses attaques, formes, trous de sécurité et exploits sur le protocole SMB. Voir le site Web CVE cve.mitre.org pour plus de détails sur les identificateurs CVE (CVE).

Protocole RPC - Détecte et bloque divers CVE dans le système d'appel de la procédure distante développé pour le Distributed Computing Environment (DCE).

Protocole RDP - Détecte et bloque divers CVE dans le protocole RDP (voir ci-haut).

Bloquer l'adresse dangereuse après la détection d'une attaque - Les adresses IP ayant été détectées comme des sources d'attaque sont ajoutées à la liste noire pour éviter toute connexion pendant un certain temps.

Afficher une notification à la détection d'une attaque - Active la notification dans la barre d'état système, dans le coin inférieur droit de l'écran.

Afficher également des notifications à la détection d'une attaque sur des failles de sécurité - Vous averti lorsque des attaques sur des failles de sécurité sont détectées ou si une menace tente d'entrer dans le système en utilisant des failles de sécurité.

icon_section Inspection des paquets

Autoriser les connexions entrantes sur les partages admin dans le protocole SMB - Les partages d'administration constituent les partages réseau par défaut qui partagent par défaut les partitions du disque dur (C$, D$, ...) du système, et du dossier de fichiers (ADMIN$). Désactiver la connexion aux partages d'administration devrait réduire bon nombre de risques pour la sécurité. Par exemple, le ver Conficker utilise les attaques par dictionnaire pour se connecter aux partages d'administration.

Refuser les anciens dialectes SMB (non pris en charge) - Refuser des sessions SMB utilisant un ancien dialecte SMB, non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation comme Windows 95. L'attaquant peut utiliser un ancien dialecte dans une session SMB pour éviter l'inspection. Refusez les anciens dialectes SMB si votre ordinateur n'a pas à partager de fichiers (ou utiliser la communication SMB en général) avec un ordinateur utilisant une version antérieure de Windows.

Refuser les sessions SMB sans sécurité étendue - La sécurité étendue peut être utilisée pendant la négociation de session SMB afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par question/réponse du gestionnaire du réseau local (LM). Le schéma LM est jugé faible et son utilisation n'est pas recommandée.

Autoriser les communications avec le service Security Account Manager - Pour de plus amples renseignements sur ces services, voir [MS-SAMR].

Autoriser les communications avec le service Local Security Authority - Pour de plus amples renseignements sur ces services, voir [MS-LSAD] et [MS-LSAT].

Autoriser les communications avec le service Remote Registry - Pour de plus amples renseignements sur ces services, voir [MS-RRP].

Autoriser les communications avec le service Service Control Manager - Pour de plus amples renseignements sur ces services, voir [MS-SCMR].

Autoriser les communications avec le service Server - Pour de plus amples renseignements sur ces services, voir [MS-SRVS].

Autoriser les communications avec les autres services –.MSRPC est la version Microsoft du mécanisme DCE RPC. MSRPC peut également utiliser des canaux nommés intégrés dans le protocole SMB (partage de fichiers réseau) pour le transport (ncacn_np transport). Les services MSRPC fournissent les interfaces permettant d'accéder à distance à vos systèmes Windows et de les gérer. Plusieurs vulnérabilités connexes à la sécurité ont été découvertes dans le système MSRPC de Windows puis utilisées à mauvais escient (vers Conficker, Sasser, etc.). Désactiver la communication avec les services MSRPC dont vous n'avez pas besoin peut permettre de réduire bon nombre de risques pour la sécurité (comme l'exécution de code à distance ou des attaques par déni de service).