고급 필터링 옵션
네트워크 공격 보호 섹션을 통해 고급 필터링 옵션을 구성하여 컴퓨터에 대해 실행할 수 있는 여러 가지 유형의 공격과 취약성을 탐지할 수 있습니다.
차단된 통신에 대한 위협 알림을 수신하지 못하는 경우도 있습니다. 방화벽 로그에서 차단된 모든 통신을 보는 방법과 관련된 지침을 확인하려면 로그에서 규칙 또는 예외 로깅 및 생성 섹션을 참조하십시오. |
고급 설정(F5) > 네트워크 보호 > 네트워크 공격 보호의 특정 옵션 사용 가능 여부는 ESET 엔드포인트 제품 및 방화벽 모듈의 유형 또는 버전과 운영 체제 버전에 따라 달라질 수 있습니다. 이중 일부 옵션은 ESET Endpoint Security에서만 사용할 수 있습니다. |
침입 검출
•프로토콜 SMB - SMB 프로토콜에서 다양한 보안 문제를 검출하고 차단합니다.
•Rogue 서버 인증 시도 공격 검출 - 사용자 자격 증명을 얻기 위해 인증 시 Rogue 인증을 사용하는 공격으로부터 보호합니다.
•명명된 파이프를 여는 동안 IDS 우회 검색 - SMB 프로토콜에서 MSRPCS 명명된 파이프를 여는 데 사용되는 알려진 우회 기술을 검색합니다.
•CVE(일반적인 취약성 및 노출) 검출 - 다양한 공격, 양식, 보안 헛점 및 SMB 프로토콜을 통한 익스플로이트에 대해 구현된 검출 방법입니다. CVE 식별자에 대한 자세한 내용을 검색하고 보려면 CVE 웹 사이트(cve.mitre.org)를 참조하십시오.
•프로토콜 RPC - DCE(Distributed Computing Environment)용으로 개발된 원격 프로시저 호출 시스템에서 다양한 CVE를 검출하고 차단합니다.
•프로토콜 RDP - RDP 프로토콜에서 다양한 CVE를 검출하고 차단합니다(위 참조).
•공격 검출 후 안전하지 않은 주소 차단 - 공격의 근원지로 검출된 IP 주소는 특정 기간 동안 연결하지 못하도록 차단 목록에 추가됩니다.
•공격 감지 후 알림 표시 - 화면 오른쪽 아래의 시스템 트레이 알림을 켭니다.
•보안 허점을 통해 들어오는 공격도 알림 표시 - 보안 허점을 통한 공격이 감지되었거나 이러한 방식으로 위협이 시스템에 침투하려는 경우 경고합니다.
패킷 검사
•SMB 프로토콜에서 관리자 공유에 대해 들어오는 연결 허용 - 관리 공유는 시스템의 하드 드라이브 파티션(C$, D$ 등)을 시스템 폴더(ADMIN$)와 공유하는 기본 네트워크 공유입니다. 관리 공유에 대한 연결을 비활성화하면 많은 보안 위험이 줄어듭니다. 예를 들어 Conficker 웜은 관리 공유에 연결하기 위해 사전 공격을 수행합니다.
•이전(지원되지 않는) SMB 언어 거부 - IDS에서 지원하지 않는 이전 SMB 언어를 사용하는 SMB 세션을 거부합니다. 최신 Windows 운영 체제는 Windows 95와 같은 이전 운영 체제와의 호환성 문제 때문에 이전 SMB 언어를 지원합니다. 공격자는 트래픽 조사를 회피하기 위해 SMB 세션에 이전 언어를 사용할 수 있습니다. 컴퓨터가 이전 버전의 Windows를 사용하는 컴퓨터와 파일을 공유(또는 일반적으로 SMB 통신을 사용)할 필요가 없으면 이전 SMB 언어를 거부하십시오.
•확장된 보안이 없는 SMB 세션 거부 - LM(LAN Manager) Challenge/Response 인증보다 안전한 인증 메커니즘을 제공하기 위해 SMB 세션 협상 중에 확장된 보안이 사용될 수 있습니다. LM 체계는 약한 것으로 간주되므로 사용하지 않는 것이 좋습니다.
•Security Account Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SAMR]을 참조하십시오.
•Local Security Authority 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-LSAD] 및 [MS-LSAT]를 참조하십시오.
•Remote Registry 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-RRP]를 참조하십시오.
•Service Control Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SCMR]을 참조하십시오.
•Server 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SRVS]를 참조하십시오.
•기타 서비스와의 통신 허용 - MSRPC는 Microsoft에서 구현한 DCE RPC 메커니즘입니다. 더욱이 MSRPC에서는 전송(ncacn_np 전송)용 SMB(네트워크 파일 공유) 프로토콜로 이동되는 명명된 파이프를 사용할 수 있습니다. MSRPC 서비스는 Windows 시스템을 원격으로 접근 및 관리하기 위한 인터페이스를 제공합니다. Windows MSRPC 시스템에서는 몇 가지 보안 취약점(Conficker 웜, Sasser 웜 등)이 검색되고 악용되었습니다. 많은 보안 위험(예: 원격 코드 실행 또는 서비스 실패 공격)을 줄이려면 제공할 필요가 없는 MSRPC 서비스와의 통신 기능은 비활성화하십시오.