ESET-ova online pomoć

Traži Hrvatski
Odaberite temu

Napredne opcije

U opciji Napredno podešavanje > Zaštite > Zaštita pristupa mreži > Zaštita od mrežnog napada > Napredne opcije možete aktivirati ili deaktivirati detekciju nekoliko vrsta napada i izrabljivanja koje mogu oštetiti vaše računalo.


note

U nekim slučajevima nećete primiti obavijest o prijetnjama u vezi s blokiranim komunikacijama. Pogledajte odjeljak Vođenje dnevnika i stvaranje pravila ili iznimki iz dnevnika za upute o prikazu svih blokiranih komunikacija u dnevniku firewalla.


important

Dostupnost pojedinih opcija u ovom prozoru može se razlikovati, ovisno o vrsti programa tvrtke ESET, modula firewalla i verziji vašeg operacijskog sustava.

icon_section Otkrivanje upada

  • Protokol SMB – Otkriva i blokira razne sigurnosne probleme u SMB protokolu, odnosno:
  • Otkrivanje napada lažnim izazovom za autentikaciju servera – Ova opcija štiti od napada koji koriste lažni izazov tijekom autorizacije radi dohvaćanja korisničkih podataka.
  • Otkrivanje izbjegavanja IDS-a tijekom otvaranja kanala s imenom – Otkrivanje poznatih tehnika izbjegavanja za otvaranje MSRPCS cijevi s imenom u SMB protokolu.
  • Otkrivanje CVE (Common Vulnerabilities and Exposures) – Primijenjene metode otkrivanja raznih napada, oblika, sigurnosnih rupa i manevara preko SMB protokola. Pogledajte CVE web stranicu na adresi cve.mitre.org i potražite detaljnije informacije o CVE identifikatorima (CVE-ovi).
  • RPC protokol – Otkriva i blokira razne CVE-ove u udaljenom sustavu poziva razvijenom za Distribuirano računalno okruženje (DCE).
  • Protokol RDP – Otkriva i blokira razine CVE-ove u RDP protokolu (pogledajte iznad).
  • Otkrivanje napada onečišćenjem ARP-a – Otkrivanje napada onečišćenjem ARP-a koji je uzrokovao napad tipa „man in the middle” ili otkrivanje prisluškivanja na mrežnom preklopniku. ARP (Address Resolution Protocol – protokol za razrješavanje adrese) koriste mrežne aplikacije ili uređaji za utvrđivanje Ethernet adrese.
  • Otkrivanje napada skeniranjem TCP/UDP porta – Otkrivaju se napadi koje vrši softver/aplikacija koja skenira portove i koja je osmišljena da traži otvorene portove na hostu slanjem klijentskih zahtjeva određenom rasponu adresa portova s ciljem pronalaženja aktivnih portova te iskorištavanja slabosti servisa. Više o toj vrsti napada pročitajte u rječniku.
  • Blokiraj nesigurne adrese nakon otkrivanja napada – IP adrese koje su prepoznate kao izvori napada dodaju se popisu spam adresa radi sprečavanja povezivanja na određeno razdoblje. Možete definirati razdoblje zadržavanja na crnoj listi, čime se postavlja vrijeme trajanja blokade adrese nakon otkrivanja napada.
  • Prikaži obavijest nakon otkrivanja napada – uključuje obavijest na području obavijesti sustava Windows koji se nalazi u donjem desnom kutu zaslona.
  • Prikaži obavijest i za nadolazeće napade na sigurnosne rupe – Prikazuje upozorenja u slučaju otkrivanja napada na sigurnosne rupe ili pokušaja prodiranja prijetnje u sustav.

icon_section Provjera paketa

  • Dopusti dolaznu vezu za zajedničke mreže u SMB protokolu – Zajedničke mreže odnose se ovdje na standardne zajedničke mreže koje dijele particije tvrdog diska (C$, D$, ...) u sustavu zajedno s mapom sustava (ADMIN$). Deaktiviranje veze sa zajedničkim mrežama trebalo bi smanjiti mnoge sigurnosne rizike. Primjerice, crv Conficker vrši napade "dictionary attack" kako bi uspostavio vezu sa zajedničkim mrežama.
  • Zabrani stare (nepodržane) SMB dijalekte – Odbija se SMB sesija sa starim SMB dijalektom koji IDS ne podržava. Suvremeni operacijski sustavi Windows podržavaju stare SMB dijalekte zahvaljujući unazadnoj kompatibilnosti sa starim operacijskim sustavima kao što je Windows 95. Napadač može koristiti stari dijalekt u SMB sesiji kako bi izbjegao provjeru prometa. Zabranite stare SMB dijalekte ako računalo ne treba zajednički koristiti datoteke (ili SMB komunikaciju općenito) s računalom koje koristi staru verziju sustava Windows.
  • Zabrani SMB sesije bez povećane sigurnosti – Povećana sigurnost može se koristiti tijekom pregovaranja SMB sesije kako bi se osigurao mehanizam autentikacije koji je sigurniji od autentikacije izazovom/odgovorom LAN upravitelja (LM). LM shema smatra se slabom i ne preporučuje se za upotrebu.
  • Odbij otvaranje izvršnih datoteka na serveru izvan pouzdane zone u SMB protokolu – Ukida vezu kad pokušavate otvoriti izvršnu datoteku (.exe, .dll, ...) iz dijeljene mape na serveru koji ne pripada pouzdanoj zoni u firewallu. Napominjemo da kopiranje izvršnih datoteka iz pouzdanih izvora može biti legitimno. Međutim, ovo bi otkrivanje trebalo umanjiti rizik neželjenog otvaranja datoteke na zlonamjernom serveru (primjerice, klikom hiperveze na zajedničku zlonamjernu izvršnu datoteku).
  • Zabrani NTLM autorizaciju u SMB protokolu za povezivanje servera u/izvan pouzdane zone – Protokoli koji koriste NTLM sheme autentikacije (obje verzije) podliježu napadu prosljeđivanjem korisničkih podataka (poznatom i kao „SMB Relay” kada se radi o SMB protokolu). Zabrana NTLM autorizacije pri povezivanju sa serverom izvan pouzdane zone trebala bi umanjiti rizik da će zlonamjerni server izvan poudane zone proslijediti podatke. Na sličan se način može zabraniti i NTLM autorizacija pri povezivanju sa serverima u pouzdanoj zoni.
  • Dopusti komunikaciju sa servisom Security Account Manager – Više informacija o ovom servisu pogledajte ovdje [MS-SAMR].
  • Dopusti komunikaciju sa servisom Local Security Authority – Više informacija o ovom servisu pogledajte ovdje [MS-LSAD] i ovdje [MS-LSAT].
  • Dopusti komunikaciju sa servisom Remote Registry – Više informacija o ovom servisu pogledajte ovdje [MS-RRP].
  • Dopusti komunikaciju sa servisom Service Control Manager – Više informacija o ovom servisu pogledajte ovdje [MS-SCMR].
  • Dopusti komunikaciju sa servisom Server – Više informacija o ovom servisu pogledajte ovdje [MS-SRVS].
  • Dopusti komunikaciju s drugim servisima – Drugi MSRPC servisi. MSRPC je Microsoftova implementacija mehanizma DCE RPC. Osim toga, MSRPC može za prijenos (ncacn_np transport) koristiti cijevi s nazivom koje su prenesene u protokol SMB (zajedničko korištenje mrežnih datoteka). MSRPC servisi nude sučelja za udaljeno pristupanje i upravljanje prozorima. Otkriveno je i iskorišteno "in the wild" nekoliko sigurnosnih slabosti u sustavu Windows MSRPC (Na primjer: crv Conficker, crv Sasser...). Deaktivirajte komunikaciju s MSRPC servisima koja vam nije potrebna kako biste umanjili mnoge sigurnosne rizike (kao što je udaljeno izvršavanje koda ili napad uskraćivanjem usluge).