Suodatuksen lisäasetukset
Verkkohyökkäyssuojaus-osioissa voit määrittää suodatuksen lisäasetukset, jotka auttavat tunnistamaan useita erilaisia tietokonettasi vastaan tehtäviä hyökkäyksiä ja haavoittuvuuksia.
Joissakin tapauksissa estetystä tietoliikenteestä ei lähetetä uhkailmoitusta. Ohjeet siitä, kuinka näet kaiken estetyn tietoliikenteen palomuurin lokissa, voit lukea osiossa Kirjautuminen ja sääntöjen tai poikkeusten luominen lokista. |
Tiettyjen lisäasetusten – (F5) > Verkon suojaus > Verkkohyökkäyssuojaus – saatavuus saattaa vaihdella ESETin päätelaitetuotteen palomuurimoduulin tyypin tai version mukaan sekä käyttöjärjestelmäversion mukaan. Osa niistä voi olla käytettävissä vain ESET Endpoint Security -ratkaisussa. |
Tietomurtojen tunnistus
- Protokolla SMB – Havaitsee ja estää erilaisia tietoturvaongelmia SMB-protokollassa, kuten:
- Palvelintodennuksen poikkeamahaastehyökkäyksen tunnistus – Suojaa hyökkäyksiltä, jotka käyttävät todennuksen aikana poikkeamahaastetta saadakseen käyttäjän tunnistetiedot haltuunsa.
- IDS-väistön tunnistus nimetyn putken avaamisen yhteydessä – Nimettyjen MSRPC-putkien avaamisessa tunnettujen väistötekniikoiden tunnistus SMB-protokollassa.
- CVE-tunnistukset (yleiset heikkoudet ja alttiudet) – Erilaisten SMB-protokollaan kohdistuvien hyökkäysten, muotojen, tietoturva-aukkojen ja heikkouksien tunnistusmenetelmiä. Voit hakea lisätietoja CVE-tunnistimista CVE-sivustosta osoitteessa cve.mitre.org.
- DCE/RPC-protokolla – Havaitsee ja estää erilaisia etäproseduurien kutsujärjestelmän CVE:itä, jotka on kehitetty DCE (Distributed Computing Environment) -ympäristöön.
- RDP-protokolla – Havaitsee ja estää erilaisia CVE:itä RDP-protokollassa (lisätietoja on edellä).
- Estä epäluotettavat osoitteet hyökkäyksen tunnistuksen jälkeen – Hyökkäysten lähteiksi havaitut IP-osoitteet lisätään estoluetteloon, jolla estetään yhteydet tietyksi ajaksi.
- Näytä ilmoitus, kun hyökkäys havaitaan – Ottaa käyttöön näytön oikean alareunan ilmaisinalueen ilmoituksen.
- Näytä ilmoitukset myös saapuvista hyökkäyksistä tietoturva-aukkoja vastaan – Hälyttää, jos havaitaan hyökkäyksiä tietoturva-aukkoja vastaan tai jos uhataan yrittää päästä tietokoneeseen tällä tavalla.
Pakettitarkistus
- Salli saapuva yhteys järjestelmänvalvojan jakamiin resursseihin SMB-protokollassa - Järjestelmänvalvojan resurssit ovat oletusarvoisia verkkojakoja, jotka jakavat järjestelmän kiintolevyosiot (C$, D$, ...) järjestelmäkansion (ADMIN$) kanssa. Järjestelmänvalvojan resurssien poistamisen käytöstä pitäisi vähentää monia tietoturvariskejä. Esimerkiksi Conficker-mato suorittaa sanakirjahyökkäyksiä järjestelmänvalvojan resursseihin yhdistämiseksi.
- Estä vanhat SMB-kielet (joita ei tueta) – Estä SMB-istunnot, jotka käyttävät vanhaa, IDS:n tukematonta SMB-kieltä. Nykyaikaiset Windows-käyttöjärjestelmät tukevat vanhoja SMB-kieliä ylläpitääkseen yhteensopivuutta vanhoihin käyttöjärjestelmiin, kuten Windows 95. Hyökkääjä voi käyttää vanhaa kieltä SMB-istunnossa välttääkseen liikenteen tarkistuksen. Estä vanhat SMB-kielet, jos tietokoneesi ei tarvitse jakaa tiedostoja (SMB-tietoliikennettä yleisesti) sellaisen tietokoneen kanssa, jossa on vanha Windows.
- Estä SMB-istunnot, joissa ei käytetä laajennettua suojausta – Laajennettua suojausta voidaan käyttää SMB-istunnon neuvottelun aikana, jotta saavutetaan turvallisempi todennusmekanismi kuin LAN Manager Challenge/Response (LM) -todennus. LM-mallia pidetään heikkona eikä sen käyttöä suositella.
- Salli tietoliikenne Security Account Manager -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa[MS-SAMR].
- Salli tietoliikenne Local Security Authority -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-LSAD] ja[MS-LSAT].
- Salli tietoliikenne Remote Registry -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-RRP].
- Salli tietoliikenne Service Control Manager -palvelun kanssa – Lisätietoja tästä palvelusta on osiossa [MS-SCMR].
- Salli tietoliikenne Palvelin-palvelusta – Lisätietoja tästä palvelusta on osiossa[MS-SRVS].
- Salli tietoliikenne muiden palveluiden kanssa – Muut MSRPC-palvelut. MSRPC on Microsoftin toteutus DCE RPC -mekanismista. Lisäksi MSRPC voi käyttää SMB (network file sharing) -protokollan nimettyjä putkia kuljetukseen (ncacn_np transport). MSRPC-palvelut tarjoavat liittymiä Windows-järjestelmän etäkäyttöön ja -hallintaan. Windows MSRPC -järjestelmästä on löydetty ja hyödynnetty useita suojausaukkoja (Conficker-mato, Sasser-mato…). Estämällä tietoliikenteen tarpeettomiin MSRPC-palveluihin voit välttää useita tietoturvariskejä (kuten etäkoodin suorittamisen tai palveluvirhehyökkäykset).