Napredne opcije filtriranja
Odeljak o zaštiti od napada sa mreže vam omogućava da konfigurišete napredne opcije filtriranja za otkrivanje nekoliko tipova napada i ranjivosti koji mogu da upotrebe na štetu računara.
U nekim slučajevima nećete primiti obaveštenje o pretnji prilikom blokiranja komunikacije. Pogledajte odeljak Evidentiranje i kreiranje pravila ili izuzetaka iz evidencije da biste pronašli uputstva za prikazivanje blokirane komunikacije u evidenciji zaštitnog zida. |
Dostupnost određenih opcija u okviru stavki Napredno podešavanje (F5) > Mrežna zaštita > Zaštita od napada sa mreže može da se razlikuje u zavisnosti od tipa i verzije proizvoda za krajnje tačke preduzeća ESET i modula zaštitnog zida, kao i verzije operativnog sistema. Neke od njih su dostupne samo za ESET Endpoint Security. |
Otkrivanje upada
•Protokol SMB – Otkriva i blokira razne bezbednosne probleme u SMB protokolu i podrazumeva:
•Otkrivanje napada potvrde identiteta piratskog servera – Štiti od napada koji koriste piratske tehnike u toku potvrde identiteta da bi došli do korisničkih akreditiva.
•Otkrivanje IDS odstupanja tokom otvaranja navedenog prolaza – Otkrivanje poznatih tehnika odstupanja koje se koriste za otvaranje MSRPC navedenih prolaza u SMB protokolu.
•Otkrivanje uobičajenih ranjivih tačaka i izloženosti napadima (CVE) – Primenjene metode otkrivanja različitih napada, obrazaca, bezbednosnih propusta i zloupotrebe putem SMB protokola. Pogledajte CVE veb lokaciju na adresi cve.mitre.org da biste pretražili i pronašli detaljnije informacije o CVE identifikatorima.
•Protokol RPC – Otkriva i blokira razne CVE napade u sistemu poziva za daljinsku proceduru razvijene za distribuirano računarsko okruženje (DCE).
•Protokol RDP – Otkriva i blokira razne CVE napade u RDP protokolu (pogledajte gore).
•Blokiranje nebezbednih adresa nakon otkrivanja napada – IP adrese koje su otkrivene kao izvor napada dodaju se na crnu listu da bi se sprečilo povezivanje na određeni vremenski period.
•Prikaži obaveštenje nakon otkrivanja napada – Uključuje obaveštenja sistemske palete u donjem desnom uglu ekrana.
•Prikaži obaveštenja i za dolazne napade na bezbednosne propuste – Upozorava vas ako se otkrije napad na bezbednosne propuste ili ako pretnja pokuša na taj način da uđe u sistem.
Provera paketa
•Dozvoli dolazne veze sa administratorskim deljenim resursima u SMB protokolu – Administratorski deljeni resursi su podrazumevana deljenja na mreži koja dele particije čvrstog diska (C$, D$...) u sistemu zajedno sa sistemskom fasciklom (ADMIN$). Deaktiviranje veze sa administratorskim deljenjima može da umanji brojne bezbednosne rizike. Na primer, ako crv Conficker izvrši napad na rečnik da bi se povezao sa deljenjima administratora.
•Zabrani stari (nepodržan) SMB dijalekat – Onemogućava SMB sesiju koja koristi stari SMB dijalekat koji IDS ne podržava. Moderni Windows operativni sistemi podržavaju stare SMB dijalekte zbog kompatibilnosti sa starim verzijama operativnih sistema kao što je Windows 95. Napadač može da koristi stari dijalekat u SMB sesiji da bi izbegao proveru saobraćaja. Zabranite stare SMB dijalekte ako računar ne mora da deli datoteke (ili koristi SMB komunikaciju uopšte) sa računarom koji ima staru verziju operativnog sistema Windows.
•Zabrani SMB sesije bez proširene bezbednosti – Proširena bezbednost može da se koristi prilikom SMB sesije da bi se osigurao bezbedniji mehanizam provere identiteta od potvrde identiteta LAN menadžera za pitanje i odgovor. Šema LAN menadžera se smatra slabom i ne preporučuje se za korišćenje.
•Dozvoli komunikaciju sa uslugom upravljanja bezbednosnim nalozima – Više informacija o ovoj usluzi potražite u članku [MS-SAMR].
•Dozvoli komunikaciju sa uslugom lokalnog bezbednosnog autoriteta – Više informacija o ovoj usluzi potražite u člancima [MS-LSAD] i [MS-LSAT].
•Dozvoli komunikaciju sa uslugom daljinskog registra – Više informacija o ovoj usluzi potražite u članku [MS-RRP].
•Dozvoli komunikaciju sa uslugom kontrole upravljanja uslugama – Više informacija o ovoj usluzi potražite u članku [MS-SCMR].
•Dozvoli komunikaciju sa uslugom servera – Više informacija o ovoj usluzi potražite u članku [MS-SRVS].
•Dozvoli komunikaciju sa ostalim uslugama – MSRPC je Microsoft implementacija DCE RPC mehanizma. MSRPC može da koristi imenovane prolaze do SMB protokola (deljenje datoteka na mreži) za prenos (ncacn_np transport). MSRPC usluge obezbeđuju interfejse za daljinsko pristupanje Windows sistemima i upravljanje njima. Nekoliko bezbednosnih ranjivosti je otkriveno i iskorišćeno na novi način u Windows MSRPC sistemu (crv Conficker, crv Sasser…). Deaktivirajte komunikaciju sa MSRPC uslugama koje vam nisu potrebne da biste umanjili brojne bezbednosne rizike (kao što je daljinsko izvršavanje koda ili napadi na usluge).