IDS i napredne mogućnosti

U odjeljku IDS i napredne mogućnosti možete konfigurirati pristup servisima koji se na računalu izvršavaju iz pouzdane zone te aktivirati/deaktivirati otkrivanje raznih vrsta mogućih napada na vaše računalo.

icon_details_hoverNAPOMENA

U nekim slučajevima nećete primiti obavijest o prijetnjama u vezi s blokiranim komunikacijama. Upute za prikaz svih blokiranih komunikacija u dnevniku osobnog firewalla potražite u odjeljku Zapisivanje i stvaranje pravila ili izuzetaka iz dnevnika.

MONITOR_ORANGE VAŽNO

Dostupnost pojedinih mogućnosti u ovom prozoru može se razlikovati, ovisno o vrsti proizvoda tvrtke ESET, modula osobnog firewalla i verziji vašeg operacijskog sustava.

icon_section Dopušteni servisi

Postavke iz ove grupe namijenjene su za lakše konfiguriranje pristupa servisima tog računala iz pouzdane zone. Mnogi od njih aktiviraju/deaktiviraju unaprijed definirana pravila firewalla.

Dopusti zajedničko korištenje datoteka i pisača u pouzdanoj zoni – Udaljenim računalima u pouzdanoj zoni dopušta pristup zajedničkim datotekama i pisačima.
Dopusti UPNP za sistemske servise u pouzdanoj zoni – Dopušta dolazne i odlazne zahtjeve UPnP protokola za sistemske servise. UPnP (Universal Plug and Play, poznat i kao Microsoft Network Discovery) koristi se u sustavu Windows Vista i novijim operacijskim sustavima.
Dopusti dolaznu RPC komunikaciju u pouzdanoj zoni – Aktivira se TCP povezivanje iz pouzdane zone čime se dopušta pristup servisima MS RPC Portmapper i RPC/DCOM.
Dopusti udaljeni pristup radnoj površini u pouzdanoj zoni – Aktivira se povezivanje putem protokola Microsoft Remote Desktop Protocol (RDP) te se dopušta računalima u pouzdanoj zoni da pristupaju vašem računalu pomoću programa koji koristi RDP (kao što je Remote Desktop Connection).
Aktiviraj prijavu na višeodredišne grupe putem IGMP-a – Dopušta se dolazni/odlazni IGMP i UDP višeodredišni streaming, primjerice video streaming koji su generirali programi koji koriste protokol IGMP (Internet Group Management Protocol).
Održavaj neaktivne TCP veze – Da bi mogle funkcionirati, nekim je aplikacijama potrebno održavanje uspostavljene TCP veze, čak i ako je ona neaktivna. Odaberite tu mogućnost da biste izbjegli prekidanje neaktivnih TCP veza.
Dopusti komunikaciju za premošćene veze – Tu mogućnost odaberite da biste izbjegli prekid premošćenih veza.
Dopusti odgovor na ARP zahtjeve izvan pouzdane zone – Ovu mogućnost odaberite ako želite da sustav odgovara na ARP zahtjeve IP adresama koje nisu iz pouzdane zone. ARP (Address Resolution Protocol – protokol za razrješavanje adrese) koriste mrežne aplikacije za utvrđivanje Ethernet adrese.
Dopusti Metro aplikacije (samo za Windows 8) – Komunikacija aplikacija iz Windows trgovine koje se izvršavaju u okruženju Metro dopuštena je u skladu s manifestom Metro aplikacije. Ta će mogućnost poništiti sva pravila i iznimke za Metro aplikacije, bez obzira na to jeste li u postavkama ESET osobnog firewalla odabrali interaktivni način ili način rada na temelju pravila.
Dopusti dolaznu vezu za zajedničke mreže u SMB protokolu – Zajedničke mreže odnose se ovdje na standardne zajedničke mreže koje dijele particije tvrdog diska (C$, D$, ...) u sustavu zajedno s mapom sustava (ADMIN$). Deaktiviranje veze sa zajedničkim mrežama trebalo bi smanjiti mnoge sigurnosne rizike. Primjerice, crv Conficker vrši napade "dictionary attack" kako bi uspostavio vezu sa zajedničkim mrežama.
Dopusti automatsko otkrivanje web servisa (WSD) za sistemske servise u pouzdanoj zoni – Propušta kroz firewall dolazne zahtjeve iz pouzdanih zona za otkrivanje web servisa. WSD je protokol koji se koristi za pronalaženje servisa na lokalnoj mreži.
Dopusti višeodredišnu adresnu razlučivost u pouzdanoj zoni (LLMNR) – LLMNR (Link-Local Multicast Name Resolution) je protokol koji se temelji na DNS paketu koji dopušta glavnim računalima IPv4 i IPv6 rješavanje naziva za glavna računala na istoj lokalnoj vezi bez konfiguriranja DNS servera ili DNS klijenta. Ova mogućnost propušta kroz firewall dolazne višeodredišne DNS zahtjeve iz pouzdane zone.
Podrška za Windows HomeGroup – Aktivira se HomeGroup podrška za Windows 7 i novije operacijske sustave. HomeGroup može zajednički koristiti datoteke i pisače u matičnoj mreži. Da biste konfigurirali Homegroup, prijeđite na Start > Upravljačka ploča > Mreža i internet > HomeGroup.

icon_section Dolazna RPC komunikacija preko SMB-a

MSRPC je Microsoftova implementacija mehanizma DCE RPC. Osim toga, MSRPC može za prijenos (ncacn_np transport) koristiti cijevi s imenom koje su prenesene u protokol SMB (zajedničko korištenje mrežnih datoteka). MSRPC servisi nude sučelja za udaljeno pristupanje i upravljanje prozorima. Tijekom posljednjih godina u sustavu Windows MSRPC otkriveno je i iskorišteno "in the wild" nekoliko sigurnosnih slabosti (crv Conficker, crv Sasser...). Deaktivirajte komunikaciju koja koristi MSRPC servise i koja vam nije potrebna kako biste umanjili mnoge sigurnosne rizike (kao što je udaljeno izvršavanje koda ili napad uskraćivanjem usluge). Za aktivaciju ili deaktivaciju pristupa pojedinačnim servisima dostupne su sljedeće mogućnosti:

Dopusti komunikaciju sa servisom sigurnosnog upravitelja računa – Više informacija o servisu potražite pod [MS-SAMR].
Dopusti komunikaciju sa servisom lokalne sigurnosne autorizacije – Više informacija o servisu potražite pod [MS-LSAD] i [MS-LSAT].
Dopusti komunikaciju sa servisom udaljenog registra – Više informacija o servisu potražite pod [MS-RRP].
Dopusti komunikaciju sa servisom upravitelja za kontrolu servisa – Više informacija o servisu potražite pod [MS-SCMR].
Dopusti komunikaciju sa servisom servera – Više informacija o servisu potražite pod [MS-SRVS].
Dopusti komunikaciju s drugim servisima – Drugi MSRPC servisi.

icon_section Otkrivanje upada

Protokol SMB – Otkriva i blokira razne sigurnosne probleme u SMB protokolu, odnosno:
Otkrivanje napada lažnim izazovom za autorizaciju servera – Ta mogućnost štiti od napada koji koriste lažni izazov tijekom autorizacije radi dohvaćanja korisničkih podataka.
Otkrivanje izbjegavanja IDS-a tijekom otvaranja cijevi s imenom – Otkrivanje poznatih tehnika izbjegavanja za otvaranje MSRPCS cijevi s imenom u SMB protokolu.
Otkrivanje CVE (Common Vulnerabilities and Exposures) – Primijenjene metode otkrivanja raznih napada, oblika, sigurnosnih rupa i manevara preko SMB protokola. Pogledajte CVE web stranicu na adresi cve.mitre.org i potražite detaljnije informacije o CVE identifikatorima (CVE-ovi).
Protokol DCE/RPC – Otkriva i blokira razne CVE-ove u sustavu daljinskog poziva postupka koji je razvijen za Distribuirano računalno okruženje (DCE).
Protokol RDP – Otkriva i blokira razine CVE-ove u RDP protokolu (pogledajte iznad).
Otkrivanje napada onečišćenjem ARP-a – Otkrivanje napada onečišćenjem ARP-a koji je uzrokovao napad tipa "man-in-the-middle" ili otkrivanje prisluškivanja na mrežnom preklopniku. ARP (Address Resolution Protocol – protokol za razrješavanje adrese) koriste mrežne aplikacije ili uređaji za utvrđivanje Ethernet adrese.
Otkrivanje napada onečišćenjem DNS-a – Otkrivanje onečišćenja DNS-a – primanje lažnog odgovora na DNS zahtjev (koji je poslao napadač) koji vas može preusmjeriti na lažne i zlonamjerne web stranice. DNS-ovi (Domain name systems) distribuirani su sustavi baza podataka koje prevode nazive domena razumljive ljudima u brojčane IP adrese i obrnuto te omogućuju korisnicima da se referiraju na web stranice koristeći samo njihove nazive domene. Više o toj vrsti napada pročitajte u rječniku.
Otkrivanje napada skeniranjem TCP/UDP porta – Otkrivaju se napadi koje vrši softver/aplikacija koja skenira portove i koja je osmišljena da traži otvorene portove na glavnom računalu slanjem klijentskih zahtjeva određenom rasponu adresa portova s ciljem pronalaženja aktivnih portova te iskorištavanja slabosti servisa. Više o toj vrsti napada pročitajte u rječniku.
Blokiraj nesigurne adrese nakon otkrivanja napada – IP adrese koje su prepoznate kao izvori napada dodaju se popisu spam adresa radi sprečavanja povezivanja na određeno razdoblje.
Prikaži obavijest nakon otkrivanja napada – Uključuje obavijest na programskoj traci koja se nalazi u donjem desnom kutu zaslona.
Prikaži obavijest i za nadolazeće napade na sigurnosne rupe – Prikazuje upozorenja u slučaju otkrivanja napada na sigurnosne rupe ili pokušaja prodiranja prijetnje u sustav.

icon_section Provjera paketa

Zabrani stare (nepodržane) SMB dijalekte – Odbija se SMB sesija sa starim SMB dijalektom koji IDS ne podržava. Suvremeni operacijski sustavi Windows podržavaju stare SMB dijalekte zahvaljujući unazadnoj kompatibilnosti sa starim operacijskim sustavima kao što je Windows 95. Napadač može koristiti stari dijalekt u SMB sesiji kako bi izbjegao provjeru prometa. Zabranite stare SMB dijalekte ako računalo ne treba zajednički koristiti datoteke (ili SMB komunikaciju općenito) s računalom koje koristi staru verziju sustava Windows.
Zabrani SMB sesije bez povećane sigurnosti – Povećana sigurnost može se koristiti tijekom pregovaranja SMB sesije kako bi se osigurao mehanizam autorizacije koji je sigurniji od autorizacije izazovom/odgovorom LAN upravitelja (LM). LM shema smatra se slabom i ne preporučuje se za upotrebu.
Zabrani otvaranje izvršnih datoteka na serveru izvan pouzdane zone u SMB protokolu – Odbija se veza kad pokušavate pokrenuti izvršnu datoteku (.exe, .dll...) iz zajedničke mape na serveru koji ne pripada pouzdanoj zoni u osobnom firewallu. Napominjemo da kopiranje izvršnih datoteka iz pouzdanih izvora može biti legitimno. Međutim, ovo bi otkrivanje trebalo umanjiti rizik neželjenog otvaranja datoteke na zlonamjernom serveru (primjerice, klikom hiperveze na zajedničku zlonamjernu izvršnu datoteku).
Zabrani NTLM autorizaciju u SMB protokolu za povezivanje servera u/izvan pouzdane zone – Protokoli koji koriste NTLM sheme autorizacije (obje verzije) podliježu napadu prosljeđivanjem podataka (poznatom i kao "SMB Relay" kada se radi o SMB protokolu). Zabrana NTLM autorizacije pri povezivanju sa serverom izvan pouzdane zone trebala bi umanjiti rizik da će zlonamjerni server izvan poudane zone proslijediti podatke. Na sličan se način može zabraniti i NTLM autorizacija pri povezivanju sa serverima u pouzdanoj zoni.
Provjeri status TCP veze – Provjerava pripadaju li svi TCP paketi postojećoj vezi. Ako paket ne postoji u vezi, on će se ispustiti.
Otkrivanje preopterećenosti TCP protokola – Ova metoda uključuje izlaganje računala/servera višestrukim zahtjevima – pogledajte i odjeljak DoS (Denial of Service).
Provjera poruka ICMP protokola – Sprečava napade koji koriste slabosti ICMP protokola i koji mogu dovesti do toga da računalo više neće reagirati – pogledajte i DoS (Denial of service attacks).
Otkrivanje prikrivenih podataka unutar ICMP protokola – Provjerava koristi li se ICMP protokol za prijenos podataka. Mnoge zlonamjerne tehnike koriste ICMP protokol za zaobilaženje osobnog firewalla.

Pogledajte ovaj članak iz ESET-ove baze znanja za ažuriranu verziju ove stranice pomoći.