Opzioni di filtraggio avanzate
La sezione Protezione attacchi di rete consente di configurare opzioni di filtraggio avanzate ai fini del rilevamento di vari tipi di attacchi e vulnerabilità che possono interessare un computer.
in alcuni casi, l'utente non riceverà una notifica della minaccia relativa alle comunicazioni bloccate. Consultare il paragrafo Registrazione e creazione di regole o eccezioni a partire dal rapporto per leggere le istruzioni per la visualizzazione di tutte le comunicazioni bloccate nel rapporto del firewall. |
La disponibilità di particolari opzioni in Configurazione avanzata (F5) > Protezione di rete > Protezione attacchi di rete potrebbe dipendere dal tipo o dalla versione del prodotto ESET Endpoint e dal modulo firewall, nonché dalla versione del sistema operativo in uso. Alcuni di essi potrebbero essere disponibili solo per ESET Endpoint Security. |
Rilevamento intrusioni
•Protocollo SMB: rileva e blocca vari problemi di sicurezza nel protocollo SMB, tra cui:
•È stata rilevata l'autenticazione dell'attacco Rogue server challenge: protegge da un attacco che utilizza un rogue challenge durante l'autenticazione allo scopo di ottenere le credenziali dell'utente.
•Elusione di IDS durante il rilevamento dell'apertura di un pipe con nome: rilevamento di tecniche di evasione note per l'apertura di pipe con nome MSRPC nel protocollo SMB.
•Rilevamenti CVE (vulnerabilità ed esposizioni comuni): metodi di rilevamento implementati di vari attacchi, moduli, buchi di sicurezza ed exploit sul protocollo SMB. Consultare il sito Web CVE all'indirizzo cve.mitre.org per ricercare e ottenere ulteriori informazioni sugli identificatori CVE.
•Protocollo RPC: rileva e blocca vari CVE nel sistema di chiamata di procedura remota sviluppato per il Distributed Computing Environment (DCE).
•Protocollo RDP: rileva e blocca vari CVE nel protocollo RDP (vedere sezione precedente).
•Blocca indirizzo non sicuro dopo il rilevamento di un attacco: gli indirizzi IP che sono stati rilevati come fonti di attacchi vengono aggiunti alla Blacklist allo scopo di prevenire la connessione per un determinato periodo di tempo.
•Visualizza notifica dopo il rilevamento attacco: attiva la notifica sulla barra delle applicazioni nell'angolo in basso a destra della schermata.
•Visualizza notifiche anche per gli attacchi in ingresso contro problemi di sicurezza: avvisa l'utente in caso di rilevamento di attacchi contro buchi di sicurezza o di tentativo di accesso illecito nel sistema da parte di una minaccia.
Ispezione pacchetto
•Consenti la connessione in entrata ad admin shares nel protocollo SMB: Le condivisioni amministrative (admin shares) rappresentano le condivisioni di rete predefinite delle partizioni dell'hard disk (C$, D$,...) nel sistema insieme alla cartella di sistema (ADMIN$). La disattivazione della connessione ad admin shares dovrebbe ridurre numerosi rischi di protezione. Ad esempio, il worm Conficker esegue attacchi con dizionari allo scopo di connettersi alle condivisioni amministrative.
•Nega vecchi dialetti SMB (non supportati): nega sessioni SMB che utilizzano un vecchio dialetto SMB non supportato dall'IDS. I moderni sistemi operativi Windows supportano vecchi dialetti SMB in virtù della compatibilità retroattiva con vecchi sistemi operativi, come ad esempio Windows 95. L'autore di un attacco può utilizzare un vecchio dialetto in una sessione SMB allo scopo di eludere l'ispezione del traffico. Nega i vecchi dialetti SMB se il computer in uso non necessita di file di condivisione (o utilizzare la comunicazione SMB in generale) con un computer su cui è installata una vecchia versione di Windows.
•Nega le sessioni SMB in assenza di estensioni di protezione: l'estensione della protezione può essere utilizzata durante la negoziazione della sessione SMB allo scopo di fornire un meccanismo di autenticazione più sicuro rispetto all'autenticazione LAN Manager Challenge/Response (LM). Poiché lo schema LM è considerato debole, se ne sconsiglia l'utilizzo.
•Consenti la comunicazione con il servizio Security Account Manager: per ulteriori informazioni su questo servizio, consultare [MS-SAMR].
•Consenti la comunicazione con il servizio Local Security Authority: per ulteriori informazioni su questo servizio, consultare [MS-LSAD] e [MS-LSAT].
•Consenti comunicazione con il servizio Remote Registry: per ulteriori informazioni su questo servizio, consultare [MS-RRP].
•Consenti la comunicazione con il servizio Service Control Manager: per ulteriori informazioni su questo servizio, consultare [MS-SCMR].
•Consenti la comunicazione con il servizio Server: per ulteriori informazioni su questo servizio, consultare [MS-SRVS].
•Consenti comunicazione con gli altri servizi – MSRPC è l'implementazione Microsoft del meccanismo DCE RPC. Inoltre, MSRPC utilizza pipe con nome riportati nel protocollo SMB (condivisione file di rete) per il trasporto (trasporto ncacn_np). I servizi MSRPC offrono interfacce di accesso e di gestione remoti per i sistemi Windows. Nel sistema MSRPC di Windows Sono state scoperte e utilizzate "in the wild" numerose vulnerabilità di sicurezza (worm Conficker, worm Sasser, ecc.). Disattivare la comunicazione con i servizi MSRPC che non è necessario fornire per ridurre numerosi rischi di sicurezza (come ad esempio attacchi dovuti all'esecuzione remota di codice o a errori di servizi).