IDS a rozšířená nastavení

V této sekci můžete konfigurovat pokročilé filtrování a nastavit, které typy útoků a zranitelností chcete detekovat.

icon_details_hoverPoznámka:

V některých případech neobdržíte oznámení o hrozbě týkající se blokované komunikace.  Informace o tom, jak zobrazit veškerou zablokovanou komunikaci naleznete v kapitole Protokolování a vytváření pravidel nebo výjimek z protokolu.

MONITOR_ORANGE DŮLEŽITÉ:

Dostupnost konfigurace a jednotlivých možností závisí na typu a verzi produktu ESET, zda je vybaven Personálním firewallem a stejně tak na verzi operačního systému.

icon_section Povolené služby

Nastavení v této části souvisí s umožněním přístupu k počítači z důvěryhodné zóny. Některé z nich aktivují/deaktivují předdefinovaná pravidla.

Povolit sdílení souborů a tiskáren v Důvěryhodné zóně – zajišťuje, že vzdálené počítače zařazené do důvěryhodné zóny budou moci přistupovat ke sdíleným souborům a tiskárnám.
Povolit UPNP v Důvěryhodné zóně pro systémové služby – povolí UPnP (Universal Plug and Play), který používají síťová zařízení pro automatickou konfiguraci v síti. UPnP (Universal Plug and Play známý jako Microsoft Network Discovery) používá Windows Vista a novější operační systémy.
Povolit příchozí RPC komunikaci v Důvěryhodné zóně – povolí komunikaci prostřednictvím systému Microsoft RPC DCOM, která je navazována v rámci důvěryhodné zóny.
Povolit vzdálenou plochu v Důvěryhodné zóně – počítačům v důvěryhodné zóně je povoleno připojení prostřednictvím funkce Připojení ke vzdálené ploše (Remote Desktop Connection).
Povolit přihlašování do multicastových skupin prostřednictvím IGMP – povolí příchozí/odchozí IGMP a UDP multicastové streamy, například video stream generovaný aplikací, která využívá IGMP protokol (Internet Group Management Protocol).
Zachovat neaktivní TCP připojení – určité typy aplikací vyžadují pro své správné fungování stále TCP spojení bez ohledu na aktivitu, která v něm probíhá. Aktivací této volby zajistíte, že delší neaktivní TCP spojení nebudou přerušena.
Povolit komunikaci nepatřící danému počítači most – po zapnutí této možnosti nebude firewall blokovat komunikaci typu most (bridge).
Povolit ARP odpověď mimo Důvěryhodnou síť – systém bude odpovídat na ARP žádosti také z IP adres mimo důvěryhodnou síť. Protokol ARP (Address Resolution Protocol) se používá při získávání a přiřazování IP adres zařízením v síti.
Povolit Metro aplikace (pouze pro Windows 8.x) – povolí komunikaci běžících aplikací v prostředí Metro stažených z Windows Store na základě Metro manifestu (whitelistu). Tato možnost je nadřazená všem pravidlům a výjimkám pro Metro aplikace, které jste nastavili v Interaktivním nebo Administrátorském režimu Personálního firewallu ESET.
Povolit příchozí spojení k správcovským sdíleným položkám prostřednictvím SMB protokol – administrativní sdílení jsou standardní síťová sdílení, které sdílí celé diskové oddíly (C$, D$, ...) stejně jako systémové složky (ADMIN$). Zakázáním připojení k administrátorským sdíleným položkám snížíte bezpečnostní riziko. Například červ Conficker provádí slovníkový útok pro získání přístupu k administrátorským sdíleným položkám.
Povolit automatické zjišťování sítě (WSD) v Důvěryhodné zóně – povolí příchozí WSD komunikaci z důvěryhodných zón ve firewallu. WSD je protokol pro zjišťování služeb v lokální síti.
Povolit překlad multicastových adres v Důvěryhodné síti (LLMNR) – LLMNR (Link-local Multicast Name Resolution) je protokol založený na DNS paketech umožňující překlad názvů IPv4 či IPv6 hostitelů ve stejném lokálním segmentu bez nutnosti dotazovat se DNS serveru nebo konfigurace DNS klienta. Zaškrtnutím této možnosti povolíte ve firewallu příchozí/odchozí multicastové DNS žádosti z/do důvěryhodné zóny.
Podpora pro domácí skupinu ve Windows 7 – zapne podporu pro HomeGroup (domácí skupinu) v operačním systému Windows 7. Pomocí HomeGroup můžete sdílet soubory a tiskárny v rámci domácí sítě. Pro konfiguraci klikněte na Start > Ovládací panely > Síť a Internet > HomeGroup.

icon_section Příchozí RPC komunikace prostřednictvím SMB

MSRPC je implementace DCE RPC mechanismu ve Windows. Kromě toho MSRPC může používat pojmenované roury pro SMB (síťové sdílení souborů) protokol. Služba MSRPC (Microsoft RPC) poskytuje přístup k rozhraní pro vzdálený přístup a ovládání systému Windows. Například Conficker nebo Sasser zneužívá zranitelnosti v tomto systému. Zakázáním komunikace s MSRPC službami, které nepotřebujete, minimalizuje bezpečnostní riziko (jako například vzdálené spouštění kódu po sítí nebo pád služeb kvůli útoku). K dispozici jsou následující možnosti pro povolení nebo zakázání konkrétních služeb:

Povolit komunikaci se službou Security Account Manager – pro více informací o této službě přejděte na databázi znalostí společnosti Microsoft, [MS-SAMR].
Povolit komunikaci se službou Local Security Authority – pro více informací o této službě přejděte na databázi znalostí společnosti Microsoft, [MS-LSAD] a [MS-LSAT].
Povolit komunikaci se službou Vzdálený registr – pro více informací o této službě přejděte na databázi znalostí společnosti Microsoft, [MS-RRP].
Povolit komunikaci se službou Správce řízení služeb – pro více informací o této službě přejděte na databázi znalostí společnosti Microsoft, [MS-SCMR].
Povolit komunikaci se službou Server – pro více informací o této službě přejděte na databázi znalostí společnosti Microsoft, [MS-SRVS].
Povolit komunikaci s ostatními službami – ostatní MSRPC služby.

icon_section Detekce útoků

Protokol SMB – k dispozici jsou možnosti pro blokování mnoha zranitelností v SMB protokolu:
Detekce útoku škodlivého serveru challenge autentifikací – tato možnost chrání před útoky, které zneužívají challenge autentifikaci pro získání uživatelských údajů.
Detekce úniku IDS během otevírání pojmenované roury – detekce známých technik používaných pro navázání MSRPCS pojmenovaných rour v SMB protokolu.
Detekce CVE (Common Vulnerabilities and Exposures) – detekce známých útoků, zranitelností a bezpečnostních děr pro zabránění útoku pomocí SMB protokolu. Pro více informací přejděte na webové stránky CVE na cve.mitre.org.
Protokol RPC –  detekce a blokování CVE v systémové službě vzdálené volání procedur určené pro Distributed Computing Environment (DCE).
Protocol RDP –  detekce a blokování CVE v RDP protokolu (viz výše).
Detekce útoku ARP Poisoning – zabraňuje tzv. man in the middle útokům a odhaluje sniffing síťových switchů, tedy stav, kdy útočník předává ostatním zařízením v síti falešné informace.
Detekce útoku DNS Poisoning – zabraňuje útokům, které oklamou DNS server tím, že jsou mu podsunuty klamné informace, které DNS server považuje za autentické. Více o tomto typu útoku se můžete dočíst ve slovníku pojmů.
Detekce útoku skenování TCP/UDP portů – zabraňuje útokům software, který se pokouší zjistit otevřené porty v počítači, které lze zneužít k napadení počítače. Více o tomto typu útoku se můžete dočíst ve slovníku pojmů.
Blokovat nebezpečnou adresu po detekci útoku – pokud je zjištěn útok z určité adresy, veškerá komunikace z ní bude blokována.
Zobrazit upozornění po detekci útoku – po detekci útoku se zobrazí upozornění v pravém dolním rohu obrazovky.
Zobrazit upozornění při pokusu o zneužití bezpečnostních děr – upozorní, pokud bude zjištěn pokus o zneužití bezpečností díry případně bude zaznamenán pokus o její využití zranitelnosti k přístupu do systému.

icon_section Kontrola paketů

Zakázat staré (nepodporované) SMB dialekty – zakáže SMB relaci se starým dialektem SMB, který nepodporuje IDS. Nejnovější operační systémy Windows podporují staré dialekty SMB z důvodu zpětné kompatibility s předchozími verzemi, například Windows 95. Útočník může využít starší dialekt SMB záměrně, aby se vyhnul kontrole paketů. Zakažte staré SMB dialekty, pokud nepotřebujete sdílet soubory se staršími verzemi operačního systému Windows.
Zakázat zabezpečení SMB bez bezpečnostních rozšíření – bezpečnostní rozšíření mohou být využita během navazování SMB relace pro zajištění bezpečnostní autentifikace pomocí mechanismu LAN Manager Challenge/Response (LM). Schéma LM je považované za slabé a nedoporučuje se jej používat.
Zakázat otevření spustitelného souboru na serveru mimo Důvěryhodnou zónu pomocí SMB protokolu – zabraňuje komunikaci v případe, že se snažíte otevřít spustitelný soubor (.exe, .dll) ze sdílené složky na serveru, který nepatří do důvěryhodné zóny v Personálním firewallu. Kopírování spustitelných souborů ze zdrojů v důvěryhodné zóně je legitimní. Tato funkce by měla minimalizovat nebezpečí otevření nežádoucího souboru na škodlivém serveru, například když omylem kliknete na odkaz vedoucí na spustitelný soubor umístěný na škodlivém serveru.
Zakázat NTLM autentifikaci pomocí SMB protokolu při připojení na server v/mimo Důvěryhodnou zónu – protokoly využívající autentifikační schéma NTLM (obě verze) jsou ohrožené útoky přeposílajícími přihlašovací údaje (známé jako SMB relay). Zakázáním autentifikace NTLM se servery mimo důvěryhodnou zónu omezíte nebezpečí přeposílání přihlašovacích údajů škodlivým serverem mimo důvěryhodnou zónu. Můžete také zakázat NTLM autentifikaci se servery v důvěryhodné zóně.
Kontrolovat stav TCP spojení – kontroluje, zda všechny TCP pakety patří do některého z existujících spojení. Pokud paket nepatří do existujícího spojení, zahodí se.
Detekce zahlcení protokolu TCP – zabraňuje útoku, který spočívá ve vyvolání nadměrného množství požadavků na konkrétní počítač/server, též známý jako DOS útok (Denial of Service).
Kontrola zpráv v protokolu ICMP – zabraňuje útokům, které zneužívají slabiny ICMP protokolu. Více o tomto typu útoku se můžete dočíst ve slovníku pojmů.
Detekce skrytých dat v protokolu ICMP – kontroluje, zda ICMP protokol není zneužit pro přenášení dat. Přenášení dat pomocí ICMP protokolu je jedna ze známých technik pro obcházení firewallu.

Nejnovější verzi této kapitoly naleznete v ESET Databázi znalostí.