Opzioni avanzate
In Configurazione avanzata > Protezioni > Protezione accesso alla rete > Protezione attacchi di rete (IDS) > Opzioni avanzate è possibile abilitare o disabilitare il rilevamento di diversi tipi di attacchi ed exploit che potrebbero danneggiare il computer.
In alcuni casi, l'utente non riceverà una notifica della minaccia relativa alle comunicazioni bloccate. Consultare il paragrafo Registrazione e creazione di regole o eccezioni a partire dal rapporto per leggere le istruzioni per la visualizzazione di tutte le comunicazioni bloccate nel rapporto del firewall. |
La disponibilità di specifiche opzioni in questa finestra può variare in base al tipo o alla versione del prodotto ESET e del modulo del Firewall in uso, nonché alla versione del sistema operativo dell'utente. |
Rilevamento intrusioni
- Protocollo SMB: rileva e blocca vari problemi di sicurezza nel protocollo SMB, tra cui:
- È stata rilevata l'autenticazione dell'attacco Rogue server challenge: protegge da un attacco che utilizza un rogue challenge durante l'autenticazione allo scopo di ottenere le credenziali dell'utente.
- Elusione di IDS durante il rilevamento dell'apertura di un pipe con nome: rilevamento di tecniche di evasione note per l'apertura di pipe con nome MSRPC nel protocollo SMB.
- Rilevamenti CVE (vulnerabilità ed esposizioni comuni): metodi di rilevamento implementati di vari attacchi, moduli, buchi di sicurezza ed exploit sul protocollo SMB. Consultare il sito Web CVE all'indirizzo cve.mitre.org per ricercare e ottenere ulteriori informazioni sugli identificatori CVE.
- Protocollo RPC: rileva e blocca vari CVE nel sistema di chiamata di procedura remota sviluppato per il Distributed Computing Environment (DCE).
- Protocollo RDP: rileva e blocca vari CVE nel protocollo RDP (vedere sezione precedente).
- Rilevamento attacco ARP poisoning: rilevamento degli attacchi ARP poisoning attivati da attacchi "man in the middle" o dal rilevamento di sniffing durante la commutazione della rete. L'ARP (Address Resolution Protocol) viene utilizzato dall'applicazione o dispositivo di rete per la determinazione dell'indirizzo Ethernet.
- Rilevamento attacco TCP/UDP Port Scanning: rileva gli attacchi del software port scanning: applicazione ideata per sondare un host di porte aperte inviando richieste client a una gamma di indirizzi di porte, con l'obiettivo di ricercare porte attive e di sfruttare la vulnerabilità del servizio. Per ulteriori informazioni su questo tipo di attacco, consultare il glossario.
- Blocca indirizzo non sicuro dopo il rilevamento di un attacco: gli indirizzi IP che sono stati rilevati come fonti di attacchi vengono aggiunti alla Blacklist allo scopo di prevenire la connessione per un determinato periodo di tempo. È possibile definire il Periodo di conservazione della blacklist che consente di impostare il periodo di tempo durante il quale l’indirizzo verrà bloccato in seguito al rilevamento dell’attacco.
- Invia una notifica sul rilevamento di un attacco: attiva la notifica nell’area delle notifiche di Windows nell’angolo in basso a destra della schermata.
- Visualizza notifiche anche per gli attacchi in ingresso contro problemi di sicurezza: avvisa l'utente in caso di rilevamento di attacchi contro buchi di sicurezza o di tentativo di accesso illecito nel sistema da parte di una minaccia.
Ispezione pacchetto
- Consenti la connessione in entrata ad admin shares nel protocollo SMB: Le condivisioni amministrative (admin shares) rappresentano le condivisioni di rete predefinite delle partizioni dell'hard disk (C$, D$,...) nel sistema insieme alla cartella di sistema (ADMIN$). La disattivazione della connessione ad admin shares dovrebbe ridurre numerosi rischi di protezione. Ad esempio, il worm Conficker esegue attacchi con dizionari allo scopo di connettersi alle condivisioni amministrative.
- Nega vecchi dialetti SMB (non supportati): nega sessioni SMB che utilizzano un vecchio dialetto SMB non supportato dall'IDS. I moderni sistemi operativi Windows supportano vecchi dialetti SMB in virtù della compatibilità retroattiva con vecchi sistemi operativi, come ad esempio Windows 95. L'autore di un attacco può utilizzare un vecchio dialetto in una sessione SMB allo scopo di eludere l'ispezione del traffico. Nega i vecchi dialetti SMB se il computer in uso non necessita di file di condivisione (o utilizzare la comunicazione SMB in generale) con un computer su cui è installata una vecchia versione di Windows.
- Nega le sessioni SMB in assenza di estensioni di protezione: l'estensione della protezione può essere utilizzata durante la negoziazione della sessione SMB allo scopo di fornire un meccanismo di autenticazione più sicuro rispetto all'autenticazione LAN Manager Challenge/Response (LM). Poiché lo schema LM è considerato debole, se ne sconsiglia l'utilizzo.
- Nega l'apertura di file eseguibili su un server esterno rispetto all'area attendibile nel protocollo SMB: interrompe la connessione durante il tentativo dell'utente di aprire un file eseguibile (.exe, .dll e così via) da una cartella condivisa sul server non appartenente all'area attendibile nel firewall. Si tenga presente che la copia di file eseguibili da fonti attendibili può essere legittima. Tuttavia, questo rilevamento dovrebbe ridurre i rischi derivanti dall'apertura indesiderata di un file su un server dannoso (ad esempio, un file aperto facendo clic su un collegamento ipertestuale a un file eseguibile dannoso condiviso).
- Nega autenticazione NTLM nel protocollo SMB per la connessione a un server all'interno/esterno dell'Area attendibile: i protocolli che utilizzano gli schemi di autenticazione NTLM (entrambe le versioni) sono soggetti a un attacco basato sull'inoltro di credenziali (noto con il nome di attacco SMB Relay nel caso del protocollo SMB). Negare l'autenticazione NTLM con un server esterno all'Area affidabile dovrebbe ridurre i rischi derivanti dall'inoltro delle credenziali da parte di un server dannoso all'esterno dell'Area affidabile. Allo stesso modo, è possibile negare l'autenticazione NTLM con i server nell'area attendibile.
- Consenti la comunicazione con il servizio Security Account Manager: per ulteriori informazioni su questo servizio, consultare [MS-SAMR].
- Consenti la comunicazione con il servizio Local Security Authority: per ulteriori informazioni su questo servizio, consultare [MS-LSAD] e [MS-LSAT].
- Consenti comunicazione con il servizio Remote Registry: per ulteriori informazioni su questo servizio, consultare [MS-RRP].
- Consenti la comunicazione con il servizio Service Control Manager: per ulteriori informazioni su questo servizio, consultare [MS-SCMR].
- Consenti la comunicazione con il servizio Server: per ulteriori informazioni su questo servizio, consultare [MS-SRVS].
- Consenti comunicazione con gli altri servizi: altri servizi MSRPC. MSRPC è l'implementazione Microsoft del meccanismo DCE RPC. Inoltre, MSRPC utilizza pipe con nome riportati nel protocollo SMB (condivisione file di rete) per il trasporto (trasporto ncacn_np). I servizi MSRPC offrono interfacce di accesso e di gestione remoti per i sistemi Windows. Nel sistema MSRPC di Windows Sono state scoperte e utilizzate "in the wild" numerose vulnerabilità di sicurezza (worm Conficker, worm Sasser, ecc.). Disattivare la comunicazione con i servizi MSRPC che non è necessario fornire per ridurre numerosi rischi di sicurezza (come ad esempio attacchi dovuti all'esecuzione remota di codice o a errori di servizi).