Geavanceerde opties
In Geavanceerde instellingen > Beveiliging > Netwerktoegangsbeveiliging > Netwerkaanvalbeveiliging > Geavanceerde opties kunt u de detectie van verschillende typen aanvallen en exploits die uw computer kunnen beschadigen, in- of uitschakelen.
In sommige gevallen ontvangt u geen meldingen van bedreigingen over geblokkeerde communicatie. Raadpleeg het gedeelte Regels of uitzonderingen registreren en maken van logbestand voor instructies om alle geblokkeerde communicatie in het logbestand van de firewall weer te geven. |
De beschikbaarheid van bepaalde opties in dit venster kan variëren en is afhankelijk van het type of de versie van uw ESET-product en module voor de Firewall, maar ook van de versie van uw besturingssysteem. |
Inbreukdetectie
- Protocol SMB: detecteert en blokkeert diverse beveiligingsproblemen met het SMB-protocol, namelijk:
- Detectie van verificatie aanval via rogue-servervraag: beschermt tegen aanvallen waarbij tijdens verificatie een rogue-aanvraag wordt uitgevoerd om uw aanmeldingsgegevens te achterhalen.
- Detectie van IDS-omzeiling tijdens openen van named pipe: detectie van bekende omzeilingstechnieken die worden gebruikt voor het openen van MSRPC named pipes in het SMB-protocol.
- CVE-detecties (Common Vulnerabilities and Exposures): geïmplementeerde detectiemethoden van verschillende aanvallen, formulieren, beveiligingslekken en exploits via het SMB-protocol. Zie de CVE-website op cve.mitre.org om gedetailleerde informatie te zoeken over CVE-identificaties (CVE's).
- Protocol RPC: detecteert en blokkeert diverse CVE's in het RPC-systeem die zijn ontwikkeld voor de Distributed Computing Environment (DCE).
- Protocol RDP: detecteert en blokkeert diverse CVE's in het RDP-protocol (zie hierboven).
- Detectie van ARP Poisoning-aanval: detectie van ARP Poisoning-aanvallen geactiveerd door man-in-the-middle aanvallen of detectie van sniffing aan de netwerkswitch. ARP (Address Resolution Protocol) wordt door de netwerktoepassingen of -apparaten gebruikt om het Ethernet-adres te bepalen.
- Detectie van UDP Port Scanning-aanval: detecteert aanvallen van poortscanningsoftware; toepassingen die een host onderzoeken op geopende poorten door clientverzoeken te sturen naar een reeks poortadressen met als doel het vinden van actieve poorten om deze kwetsbaarheden vervolgens te misbruiken. Zie de woordenlijst voor meer informatie over dit type aanval.
- Onveilig adres blokkeren na detectie van aanval: IP-adressen die zijn gedetecteerd als aanvalsbron worden toegevoegd aan de zwarte lijst om verbindingen gedurende een bepaalde periode te voorkomen. U kunt de Bewaarperiode op de zwarte lijst definiëren. Hiermee stelt u in hoe lang het adres wordt geblokkeerd na detectie van de aanval.
- Melding weergeven na detectie van aanval: hiermee schakelt u de melding in het Windows-systeemvak rechts onder in het scherm in.
- Ook meldingen weergeven bij inkomende aanvallen tegen beveiligingslekken: hiermee wordt u gewaarschuwd als er aanvallen tegen beveiligingslekken worden gedetecteerd of als een bedreiging een poging onderneemt het systeem op deze manier binnen te komen.
Controle van pakket
- Inkomende verbinding naar admin-shares toestaan in het SMB-protocol: de administratieve shares (admin-shares) zijn de standaardnetwerkshares die hardeschijfpartities (C$, D$, ...) en de systeemmap (ADMIN$) in het systeem delen. Als u verbindingen met admin-shares uitschakelt, worden tal van beveiligingsrisico's uitgesloten. De Conficker-worm voert bijvoorbeeld woordenboekaanvallen uit om verbinding te kunnen maken met admin-shares.
- Oude (niet-ondersteunde) SMB-dialecten weigeren: SMB-sessies weigeren waarbij een oud SMB-dialect wordt gebruikt dat niet door IDS wordt ondersteund. Moderne Windows-besturingssystemen bieden ondersteuning voor oude SMB-dialecten vanwege achterwaartse compatibiliteit met oudere besturingssystemen zoals Windows 95. De aanvaller kan zo een oud dialect in een SMB-sessie gebruiken om inspectie van het verkeer te omzeilen. Weiger oude SMB-dialecten (of gebruik SMB-communicatie in zijn algemeen) als uw computer geen bestanden hoeft te delen met computers waarop een oudere versie van Windows is geïnstalleerd.
- SMB-beveiliging zonder beveiligingsextensies weigeren: er kan uitgebreide beveiliging tijdens de onderhandeling over de SMB-sessie worden gebruikt om een veiliger verificatiemechanisme te kunnen bieden dan verificatie via LAN Manager Challenge/Response (LM). Het LM-schema wordt over het algemeen als te zwak beoordeeld en is ongeschikt om te gebruiken.
- Openen van uitvoerbare bestanden op een server buiten de vertrouwde zone in het SMB-protocol weigeren: de verbinding wordt verbroken als u probeert een uitvoerbaar bestand (.exe, .dll, ...) uit te voeren vanuit een gedeelde map op de server die niet binnen de vertrouwde zone in de firewall valt. Het kopiëren van uitvoerbare bestanden van vertrouwde bronnen kan legitiem zijn, maar deze detectie is bedoeld om het risico te verkleinen dat er een ongewenst bestand wordt geopend op een schadelijke server (bijvoorbeeld door te klikken op een hyperlink naar een gedeeld, schadelijk, uitvoerbaar bestand).
- NTLM-verificatie in het SMB-protocol voor verbinding maken met een server in de vertrouwde zone weigeren: protocollen die gebruikmaken van NTLM-verificatieschema's (beide versies) kunnen gevoelig zijn voor een aanval waarbij onbedoeld aanmeldingsgegevens worden doorgestuurd (bekend als een SMB Relay-aanval bij het SMB-protocol). Het weigeren van NTLM-verificatie bij een server buiten de vertrouwde zone verkleint het risico dat aanmeldingsgegevens onbedoeld worden doorgestuurd naar een schadelijke server buiten de vertrouwde zone. Op soortgelijke wijze kunt u NTLM-verificatie weigeren bij servers binnen de vertrouwde zone.
- Communicatie met de Security Account Manager-service toestaan: zie [MS-SAMR] voor meer informatie over deze service.
- Communicatie met de Local Security Authority-service toestaan: zie [MS-LSAD] en [MS-LSAT] voor meer informatie over deze service.
- Communicatie met de Remote Registry-service toestaan: zie [MS-RRP] voor meer informatie over deze service.
- Communicatie met de Servicebesturingsbeheer-service toestaan: zie [MS-SCMR] voor meer informatie over deze service.
- Communicatie met de Server-service toestaan: zie [MS-SRVS] voor meer informatie over deze service.
- Communicatie met de andere services toestaan: MSRPC is de Microsoft-implementatie van het DCE RPC-mechanisme. MSRPC kan bovendien voor transportdoeleinden (ncacn_np transport) named pipes gebruiken in het SMB-protocol (bestandsdeling in netwerken). MSRPC-services maken verbindingen mogelijk, zodat Windows-systemen op afstand kunnen worden beheerd. Er zijn in de praktijk diverse beveiligingslekken ontdekt en misbruikt in het Windows MSRPC-systeem (Conficker-worm, Sasser-worm,…). Schakel communicatie met MSRPC-services uit die u niet nodig hebt, zodat u talloze beveiligingsrisico's kunt uitsluiten (zoals het op afstand uitvoeren van code of DoS-aanvallen).