Napredne opcije filtriranja

Odjeljak Zaštita od mrežnog napada omogućuje konfiguraciju naprednih opcija filtriranja radi otkrivanja nekoliko vrsta napada i ranjivosti koje mogu ciljati na vaše računalo.


note

U nekim slučajevima nećete primiti obavijest o prijetnjama u vezi s blokiranim komunikacijama. Pogledajte odjeljak Vođenje dnevnika i stvaranje pravila ili iznimki iz dnevnika za upute o prikazu svih blokiranih komunikacija u dnevniku firewalla.


important

Dostupnost određenih opcija u odjeljku Napredno podešavanje (F5) > Mrežna zaštita > Zaštita od mrežnog napada može se razlikovati ovisno o vrsti ili verziji ESET-ova sigurnosnog programa i modula firewalla, kao i o verziji operacijskog sustava. Neke od njih mogu biti dostupne samo za program ESET Endpoint Security.

icon_section Otkrivanje upada

Protokol SMB – Otkriva i blokira razne sigurnosne probleme u SMB protokolu, odnosno:

Otkrivanje napada lažnim izazovom za autentikaciju servera – Ova opcija štiti od napada koji koriste lažni izazov tijekom autorizacije radi dohvaćanja korisničkih podataka.

Otkrivanje izbjegavanja IDS-a tijekom otvaranja kanala s imenom – Otkrivanje poznatih tehnika izbjegavanja za otvaranje MSRPCS cijevi s imenom u SMB protokolu.

Otkrivanje CVE (Common Vulnerabilities and Exposures) – Primijenjene metode otkrivanja raznih napada, oblika, sigurnosnih rupa i manevara preko SMB protokola. Pogledajte CVE web stranicu na adresi cve.mitre.org i potražite detaljnije informacije o CVE identifikatorima (CVE-ovi).

RPC protokol – Otkriva i blokira razne CVE-ove u udaljenom sustavu poziva razvijenom za Distribuirano računalno okruženje (DCE).

Protokol RDP – Otkriva i blokira razine CVE-ove u RDP protokolu (pogledajte iznad).

Blokiraj nesigurne adrese nakon otkrivanja napada – IP adrese koje su prepoznate kao izvori napada dodaju se popisu spam adresa radi sprečavanja povezivanja na određeno razdoblje.

Prikaži obavijest nakon otkrivanja napada – Uključuje obavijest na programskoj traci koja se nalazi u donjem desnom kutu zaslona.

Prikaži obavijest i za nadolazeće napade na sigurnosne rupe – Prikazuje upozorenja u slučaju otkrivanja napada na sigurnosne rupe ili pokušaja prodiranja prijetnje u sustav.

icon_section Provjera paketa

Dopusti dolaznu vezu za zajedničke mreže u SMB protokolu – Zajedničke mreže odnose se ovdje na standardne zajedničke mreže koje dijele particije tvrdog diska (C$, D$, ...) u sustavu zajedno s mapom sustava (ADMIN$). Deaktiviranje veze sa zajedničkim mrežama trebalo bi smanjiti mnoge sigurnosne rizike. Primjerice, crv Conficker vrši napade "dictionary attack" kako bi uspostavio vezu sa zajedničkim mrežama.

Zabrani stare (nepodržane) SMB dijalekte – Odbija se SMB sesija sa starim SMB dijalektom koji IDS ne podržava. Suvremeni operacijski sustavi Windows podržavaju stare SMB dijalekte zahvaljujući unazadnoj kompatibilnosti sa starim operacijskim sustavima kao što je Windows 95. Napadač može koristiti stari dijalekt u SMB sesiji kako bi izbjegao provjeru prometa. Zabranite stare SMB dijalekte ako računalo ne treba zajednički koristiti datoteke (ili SMB komunikaciju općenito) s računalom koje koristi staru verziju sustava Windows.

Zabrani SMB sesije bez povećane sigurnosti – Povećana sigurnost može se koristiti tijekom pregovaranja SMB sesije kako bi se osigurao mehanizam autentikacije koji je sigurniji od autentikacije izazovom/odgovorom LAN upravitelja (LM). LM shema smatra se slabom i ne preporučuje se za upotrebu.

Dopusti komunikaciju sa servisom Security Account Manager – Više informacija o ovom servisu pogledajte ovdje [MS-SAMR].

Dopusti komunikaciju sa servisom Local Security Authority – Više informacija o ovom servisu pogledajte ovdje [MS-LSAD] i ovdje [MS-LSAT].

Dopusti komunikaciju sa servisom Remote Registry – Više informacija o ovom servisu pogledajte ovdje [MS-RRP].

Dopusti komunikaciju sa servisom Service Control Manager – Više informacija o ovom servisu pogledajte ovdje [MS-SCMR].

Dopusti komunikaciju sa servisom Server – Više informacija o ovom servisu pogledajte ovdje [MS-SRVS].

Dopusti komunikaciju s drugim servisima – MSRPC je Microsoftova implementacija mehanizma DCE RPC. Osim toga, MSRPC može za prijenos (ncacn_np transport) koristiti cijevi s nazivom koje su prenesene u protokol SMB (zajedničko korištenje mrežnih datoteka). MSRPC servisi nude sučelja za udaljeno pristupanje i upravljanje prozorima. Otkriveno je i iskorišteno "in the wild" nekoliko sigurnosnih slabosti u sustavu Windows MSRPC (crv Conficker, crv Sasser...). Deaktivirajte komunikaciju s MSRPC servisima koja vam nije potrebna kako biste umanjili mnoge sigurnosne rizike (kao što je udaljeno izvršavanje koda ili napad uskraćivanjem usluge).