Geavanceerde filteropties

In het gedeelte Netwerkaanvalbeveiliging kunt u geavanceerde filteropties configureren om verschillende soorten aanvallen en beveiligingsproblemen te detecteren die uw computer kwetsbaar maken.


note

In sommige gevallen ontvangt u geen meldingen van bedreigingen over geblokkeerde communicatie. Raadpleeg het gedeelte Regels of uitzonderingen registreren en maken van logbestand voor instructies om alle geblokkeerde communicatie in het logbestand van de firewall weer te geven.


important

De beschikbaarheid van bepaalde opties in Geavanceerde instellingen (F5) > Netwerkbeveiliging > Netwerkaanvalbeveiliging kan variëren en is afhankelijk van het type of de versie van uw ESET-eindpuntproduct en firewall-module en de versie van uw besturingssysteem. Sommige modules zijn mogelijk alleen beschikbaar voor ESET Endpoint Security.

icon_section Inbreukdetectie

Protocol SMB: detecteert en blokkeert diverse beveiligingsproblemen met het SMB-protocol, namelijk:

Detectie van verificatie aanval via rogue-servervraag: beschermt tegen aanvallen waarbij tijdens verificatie een rogue-aanvraag wordt uitgevoerd om uw aanmeldingsgegevens te achterhalen.

Detectie van IDS-omzeiling tijdens openen van named pipe: detectie van bekende omzeilingstechnieken die worden gebruikt voor het openen van MSRPC named pipes in het SMB-protocol.

CVE-detecties (Common Vulnerabilities and Exposures): geïmplementeerde detectiemethoden van verschillende aanvallen, formulieren, beveiligingslekken en exploits via het SMB-protocol. Zie de CVE-website op cve.mitre.org om gedetailleerde informatie te zoeken over CVE-identificaties (CVE's).

Protocol RPC: detecteert en blokkeert diverse CVE's in het RPC-systeem die zijn ontwikkeld voor de Distributed Computing Environment (DCE).

Protocol RDP: detecteert en blokkeert diverse CVE's in het RDP-protocol (zie hierboven).

Onveilig adres blokkeren na detectie van aanval: IP-adressen die zijn gedetecteerd als aanvalsbron worden toegevoegd aan de zwarte lijst om verbindingen gedurende een bepaalde periode te voorkomen.

Melding weergeven na detectie van aanval: hiermee schakelt u de melding in het systeemvak rechts onder in het scherm in.

Ook meldingen weergeven bij inkomende aanvallen tegen beveiligingslekken: hiermee wordt u gewaarschuwd als er aanvallen tegen beveiligingslekken worden gedetecteerd of als een bedreiging een poging onderneemt het systeem op deze manier binnen te komen.

icon_section Controle van pakket

Inkomende verbinding naar admin-shares toestaan in het SMB-protocol: de administratieve shares (admin-shares) zijn de standaardnetwerkshares die hardeschijfpartities (C$, D$, ...) en de systeemmap (ADMIN$) in het systeem delen. Als u verbindingen met admin-shares uitschakelt, worden tal van beveiligingsrisico's uitgesloten. De Conficker-worm voert bijvoorbeeld woordenboekaanvallen uit om verbinding te kunnen maken met admin-shares.

Oude (niet-ondersteunde) SMB-dialecten weigeren: SMB-sessies weigeren waarbij een oud SMB-dialect wordt gebruikt dat niet door IDS wordt ondersteund. Moderne Windows-besturingssystemen bieden ondersteuning voor oude SMB-dialecten vanwege achterwaartse compatibiliteit met oudere besturingssystemen zoals Windows 95. De aanvaller kan zo een oud dialect in een SMB-sessie gebruiken om inspectie van het verkeer te omzeilen. Weiger oude SMB-dialecten (of gebruik SMB-communicatie in zijn algemeen) als uw computer geen bestanden hoeft te delen met computers waarop een oudere versie van Windows is geïnstalleerd.

SMB-beveiliging zonder beveiligingsextensies weigeren: er kan uitgebreide beveiliging tijdens de onderhandeling over de SMB-sessie worden gebruikt om een veiliger verificatiemechanisme te kunnen bieden dan verificatie via LAN Manager Challenge/Response (LM). Het LM-schema wordt over het algemeen als te zwak beoordeeld en is ongeschikt om te gebruiken.

Communicatie met de Security Account Manager-service toestaan: zie [MS-SAMR] voor meer informatie over deze service.

Communicatie met de Local Security Authority-service toestaan: zie [MS-LSAD] en [MS-LSAT] voor meer informatie over deze service.

Communicatie met de Remote Registry-service toestaan: zie [MS-RRP] voor meer informatie over deze service.

Communicatie met de Services Control Manager-service toestaan: zie [MS-SCMR] voor meer informatie over deze service.

Communicatie met de Server-service toestaan: zie [MS-SRVS] voor meer informatie over deze service.

Communicatie met de andere services toestaan: MSRPC is de Microsoft-implementatie van het DCE RPC-mechanisme. MSRPC kan bovendien voor transportdoeleinden (ncacn_np transport) named pipes gebruiken in het SMB-protocol (bestandsdeling in netwerken). MSRPC-services maken verbindingen mogelijk, zodat Windows-systemen op afstand kunnen worden beheerd. Er zijn in de praktijk diverse beveiligingslekken ontdekt en misbruikt in het Windows MSRPC-systeem (Conficker-worm, Sasser-worm,…). Schakel communicatie met MSRPC-services uit die u niet nodig hebt, zodat u talloze beveiligingsrisico's kunt uitsluiten (zoals het op afstand uitvoeren van code of DoS-aanvallen).