Επιλογές φιλτραρίσματος για προχωρημένους

Οι ενότητες Τείχος προστασίας και Προστασία από επιθέσεις δικτύου σάς επιτρέπουν να ορίσετε σύνθετες επιλογές φιλτραρίσματος για να εντοπίζονται διάφοροι τύποι επιθέσεων και τρωτών σημείων που μπορούν να προκύψουν στον υπολογιστή σας.

Επιτρεπτές υπηρεσίες

Οι ρυθμίσεις σε αυτήν τη μονάδα έχουν στόχο να απλοποιήσουν τη διαμόρφωση της πρόσβασης στις υπηρεσίες αυτού του υπολογιστή από τη Ζώνη αξιοπιστίας. Πολλές από αυτές ενεργοποιούν ή απενεργοποιούν προκαθορισμένους κανόνες του τείχος προστασίας.

•Να επιτρέπεται η κοινή χρήση αρχείων και εκτυπωτών στη ζώνη αξιόπιστων τοποθεσιών – Επιτρέπει σε απομακρυσμένους υπολογιστές στη ζώνη αξιοπιστίας να αποκτήσουν πρόσβαση στα αρχεία και τους εκτυπωτές κοινής χρήσης.

•Να επιτρέπεται η δυνατότητα UPNP για υπηρεσίες συστήματος στη ζώνη αξιόπιστων τοποθεσιών – Επιτρέπει εισερχόμενα και εξερχόμενα αιτήματα πρωτοκόλλων UPnP για υπηρεσίες συστήματος. Το UPnP (Η δυνατότητα Τοποθέτησης και Άμεσης Λειτουργίας (UPnP) γενικής χρήσης είναι επίσης γνωστή ως Microsoft Network Discovery) χρησιμοποιείται σε λειτουργικά συστήματα Windows Vista και νεότερα.

•Να επιτρέπεται η εισερχόμενη επικοινωνία RPC στη ζώνη αξιόπιστων τοποθεσιών – Ενεργοποιεί συνδέσεις TCP από τη Ζώνη αξιοπιστίας, επιτρέποντας πρόσβαση στο MS RPC Portmapper και σε υπηρεσίες RPC/DCOM.

•Να επιτρέπεται η σύνδεση απομακρυσμένης επιφάνειας εργασίας στη ζώνη αξιόπιστων τοποθεσιών – Ενεργοποιεί συνδέσεις μέσω Πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας της Microsoft (RDP) και επιτρέπει σε υπολογιστές της Ζώνης αξιοπιστίας να αποκτήσουν πρόσβαση στον υπολογιστή σας χρησιμοποιώντας ένα πρόγραμμα που χρησιμοποιεί RDP (για παράδειγμα, Σύνδεση απομακρυσμένης επιφάνειας εργασίας).

•Ενεργοποίηση σύνδεσης σε ομάδες πολλαπλών προορισμών (multicast) μέσω IGMP – Επιτρέπει εισερχόμενες/εξερχόμενες ροές IGMP και εισερχόμενες ροές UDP πολλαπλών διαύλων, για παράδειγμα ροές βίντεο που δημιουργούνται από εφαρμογές που χρησιμοποιούν το πρωτόκολλο IGMP (Πρωτόκολλο ομαδικής διαχείρισης Internet).

•Να επιτρέπεται η επικοινωνία για γεφυρωμένες συνδέσεις – Εάν ενεργοποιηθεί, επιτρέπεται η επικοινωνία για γεφυρωμένες συνδέσεις.

•Να επιτρέπονται εφαρμογές Metro – Επιτρέπεται η επικοινωνία των εφαρμογών Windows Store που εκτελούνται στο περιβάλλον Metro, σύμφωνα με τη διακήρυξη της εφαρμογής Metro. Η επιλογή αυτή θα υπερισχύει όλων των κανόνων και των εξαιρέσεων για εφαρμογές Metro, ανεξάρτητα αν έχετε επιλέξει Αλληλεπιδραστική λειτουργία ή Λειτουργία βασισμένη σε πολιτική στις ρυθμίσεις Τείχος προστασίας του ESET.

•Να επιτρέπεται αυτόματος εντοπισμός υπηρεσιών ιστού (WSD - Web Services Discovery) για υπηρεσίες συστήματος στη ζώνη αξιοπιστίας – Επιτρέπει εισερχόμενα αιτήματα Web Services Discovery από Ζώνες αξιοπιστίας μέσω του τείχος προστασίας. Το WSD είναι το πρωτόκολλο που χρησιμοποιείται για τον εντοπισμό υπηρεσιών σε ένα τοπικό δίκτυο.

•Να επιτρέπεται ανάλυση διευθύνσεων πολλαπλών προορισμών (multicast) στη ζώνη αξιοπιστίας (LLMNR) – Το LLMNR (Link-local Multicast Name Resolution ή Επίλυση ονόματος πολλαπλής διανομής τοπικής σύνδεσης) είναι ένα πακέτο DNS που βασίζεται σε πρωτόκολλο και επιτρέπει σε κεντρικούς υπολογιστές IPv4 και IPv6 να εκτελούν επίλυση ονόματος για κεντρικούς υπολογιστές στην ίδια τοπική σύνδεση χωρίς να απαιτείται διακομιστής DNS ή διαμόρφωση προγράμματος-πελάτη DNS. Αυτή η επιλογή επιτρέπει εισερχόμενα αιτήματα DNS πολλαπλών διαύλων από τη Ζώνη αξιοπιστίας μέσω τείχος προστασίας.

•Υποστήριξη Windows HomeGroup – Ενεργοποιεί την υποστήριξη HomeGroup για Windows 7 και νεότερα λειτουργικά συστήματα. Το HomeGroup επιτρέπει κοινή χρήση αρχείων και εκτυπωτών σε οικιακό δίκτυο. Για να διαμορφώσετε ένα Homegroup, μεταβείτε στο στοιχείο Έναρξη > Πίνακας ελέγχου > Δίκτυο και Internet > HomeGroup.

Ανίχνευση εισβολής

•Πρωτόκολλο SMB – Ανιχνεύει και αποκλείει διάφορα προβλήματα ασφαλείας στο πρωτόκολλο SMB, συγκεκριμένα:

•Ανίχνευση επιθετικής πρόκλησης του πρωτοκόλλου ελέγχου ταυτότητας – Προστατεύει από επίθεση που χρησιμοποιεί επιθετική πρόκληση κατά τον έλεγχο ταυτότητας για να υποκλέψει τα διαπιστευτήρια του χρήστη.

•Ανίχνευση εισβολής στο IDS κατά το άνοιγμα ενός επώνυμου διαύλου – Ανίχνευση γνωστών τεχνικών εισβολής που χρησιμοποιούνται για να ανοίξουν τους επώνυμους διαύλους MSRPCS στο πρωτόκολλο SMB.

•Ανίχνευση CVE (Συνήθεις ευπάθειες και κενά ασφαλείας – Common Vulnerabilities and Exposures) – Υλοποιημένες μέθοδοι ανίχνευσης διαφόρων επιθέσεων, μορφών και ευπαθειών ασφαλείας και προσβολών στο πρωτόκολλο SMB. Ανατρέξτε στον ιστότοπο CVE στη διεύθυνση cve.mitre.org για αναζήτηση και λήψη πιο λεπτομερών πληροφοριών για τα αναγνωριστικά CVE.

•Πρωτόκολλο DCE/RPC – Ανιχνεύει και αποκλείει διάφορα κενά ασφαλείας CVE στο σύστημα απομακρυσμένης κλήσης διαδικασίας που αναπτύχθηκε για το Περιβάλλον κατανεμημένων υπολογιστών (DCE).

•Πρωτόκολλο RDP – Ανιχνεύει και αποκλείει διάφορα κενά ασφαλείας CVE στο πρωτόκολλο RDP (βλ. παραπάνω).

•Ανίχνευση επίθεσης προσβολής ARP – Ανιχνεύει επιθέσεις προσβολής ARP που προκαλούνται από προσβολή μεσάζοντα ή εντοπίζει μη εξουσιοδοτημένες παρακολουθήσεις στο διακόπτη του δικτύου. Το ARP (Πρωτόκολλο ανάλυσης διευθύνσεων) χρησιμοποιείται από την εφαρμογή ή τη συσκευή δικτύου για να προσδιορίσει τη διεύθυνση Ethernet.

•Να επιτρέπεται η απόκριση σε αιτήματα ARP έξω από τη Ζώνη αξιόπιστων τοποθεσιών – Κάντε αυτή την επιλογή αν θέλετε το σύστημα να αποκρίνεται σε αιτήματα ARP με διευθύνσεις IP που δεν βρίσκονται στη Ζώνη αξιοπιστίας. Το ARP (Πρωτόκολλο ανάλυσης διευθύνσεων) χρησιμοποιείται από την εφαρμογή δικτύου για να προσδιορίσει τη διεύθυνση Ethernet.

•Ανίχνευση επίθεσης προσβολής DNS – Ανίχνευση προσβολής DNS – αποστολή πλαστής απάντησης σε αίτημα DNS (αποστέλλεται από τον εισβολέα), το οποίο μπορεί να σας κατευθύνει σε πλαστούς ή κακόβουλους ιστότοπους. Τα DNS (Συστήματα ονόματος τομέα) είναι διανεμημένα συστήματα βάσης δεδομένων που μεταφράζουν ονόματα τομέα φιλικά προς τον άνθρωπο και αριθμητικές διευθύνσεις IP και επιτρέπουν στους χρήστες να αναφέρονται σε έναν ιστότοπο χρησιμοποιώντας απλώς το όνομα τομέα του. Διαβάστε περισσότερα για αυτό τον τύπο εισβολής στο γλωσσάρι.

•Ανίχνευση επίθεσης σάρωσης θύρας UDP – Ανιχνεύει επιθέσεις λογισμικού – εφαρμογής σάρωσης θυρών που είναι σχεδιασμένο/η να εξετάζει έναν κεντρικό υπολογιστή για ανοιχτές θύρες στέλνοντας αιτήματα προγράμματος-πελάτη σε διάφορες διευθύνσεις θυρών, με στόχο να εντοπίσει ενεργές θύρες και να εκμεταλλευτεί τα κενά ασφαλείας της υπηρεσίας. Διαβάστε περισσότερα για αυτό τον τύπο εισβολής στο γλωσσάρι.

•Αποκλεισμός μη ασφαλούς διεύθυνσης μετά την ανίχνευση της επίθεσης – Οι διευθύνσεις IP που έχουν ανιχνευτεί ως πηγές επιθέσεων προστίθενται στη Λίστα αποκλεισμένων διευθύνσεων για να αποτρέπεται η σύνδεση για ένα ορισμένο χρονικό διάστημα.

•Εμφάνιση ειδοποίησης μετά την ανίχνευση της επίθεσης – Ενεργοποιεί τις ειδοποιήσεις δίσκου συστήματος στην κάτω δεξιά γωνία της οθόνης.

•Εμφάνιση ειδοποιήσεων και για εισερχόμενες επιθέσεις σε κενά ασφαλείας – Σας ειδοποιεί εάν ανιχνευτούν επιθέσεις σε κενά ασφαλείας ή εάν κάποια απειλή επιχειρήσει να εισβάλει στο σύστημα με αυτό τον τρόπο.

Επιθεώρηση πακέτου

•Να επιτρέπεται εισερχόμενη σύνδεση με κοινόχρηστα στοιχεία διαχείρισης σε πρωτόκολλο SMB – Τα κοινόχρηστα αρχεία διαχείρισης είναι τα προεπιλεγμένα κοινόχρηστα αρχεία δικτύου που έχουν κοινόχρηστα διαμερίσματα σκληρού δίσκου (C$, D$ κ.λπ.) στο σύστημα μαζί με το φάκελο συστήματος (ADMIN$). Η απενεργοποίηση της σύνδεσης με τα κοινόχρηστα αρχεία διαχείρισης θα πρέπει περιορίσει πολλούς κινδύνους ασφαλείας. Για παράδειγμα, το Conficker worm εκτελεί επιθέσεις σε λεξικά για να συνδεθεί με κοινόχρηστα αρχεία διαχείρισης.

•Να μην επιτρέπονται παλαιές (μη υποστηριζόμενες) διάλεκτοι SMB – Να μην επιτρέπονται περίοδοι λειτουργίας SMB που χρησιμοποιούν παλιά διάλεκτο SMB η οποία δεν υποστηρίζεται από το IDS. Τα σύγχρονα λειτουργικά συστήματα των Windows υποστηρίζουν παλιές διαλέκτους SMB λόγω της συμβατότητάς τους με παλαιότερες εκδόσεις λειτουργικών συστημάτων όπως τα Windows 95. Ο εισβολέας μπορεί να χρησιμοποιήσει μια παλιά διάλεκτο σε περίοδο λειτουργίας SMB για να αποφύγει την επιθεώρηση κυκλοφορίας. Μην επιτρέπετε παλιές διαλέκτους SMB αν ο υπολογιστής σας δεν χρειάζεται να κάνει κοινή χρήση αρχείων (ή να χρησιμοποιεί επικοινωνία SMB γενικότερα) με έναν υπολογιστή με παλιά έκδοση των Windows.

•Να μην επιτρέπονται περίοδοι λειτουργίας SMB χωρίς εκτενή ασφάλεια – Η εκτεταμένη ασφάλεια μπορεί να χρησιμοποιηθεί κατά τη διάρκεια της διαπραγμάτευσης της περιόδου λειτουργίας SMB για την παροχή πιο ασφαλούς μηχανισμού ελέγχου ταυτότητας από αυτόν που παρέχει ο έλεγχος ταυτότητας της Διαχείρισης προκλήσεων/αποκρίσεων LAN (LM). Το σχήμα LM θεωρείται αδύναμο και η χρήση του δεν συνιστάται.

•Να μην επιτρέπεται το άνοιγμα εκτελέσιμων αρχείων σε διακομιστή εκτός της ζώνης αξιοπιστίας στο πρωτόκολλο SMB – Κλείνει τη σύνδεση όταν προσπαθείτε να ανοίξετε ένα εκτελέσιμο αρχείο (.exe, .dll, ...) από έναν κοινόχρηστο φάκελο στον διακομιστή που δεν ανήκει στη ζώνη αξιοπιστίας στο τείχος προστασίας. Σημειώστε ότι η αντιγραφή εκτελέσιμων αρχείων από αξιόπιστες πηγές μπορεί να είναι νόμιμη, ωστόσο αυτή η ανίχνευση θα πρέπει να μειώνει τους κινδύνους από το ανεπιθύμητο άνοιγμα ενός αρχείου σε κακόβουλο διακομιστή (για παράδειγμα, ενός αρχείου που ανοίγει κάνοντας κλικ σε ένα σύνδεσμο προς ένα κοινόχρηστο κακόβουλο εκτελέσιμο αρχείο).

•Να μην επιτρέπεται έλεγχος ταυτότητας NTLM στο πρωτόκολλο SMB για σύνδεση με διακομιστή εντός/εκτός της ζώνης αξιοπιστίας – Τα πρωτόκολλα που χρησιμοποιούν σχήματα ελέγχου ταυτότητας NTLM (και στις δύο εκδόσεις) εκτίθενται σε μια επίθεση προώθησης διαπιστευτηρίων (γνωστή ως επίθεση μεταβίβασης SMB στην περίπτωση πρωτοκόλλου SMB). Όταν δεν επιτρέπεται ο έλεγχος ταυτότητας NTLM με έναν διακομιστή εκτός της ζώνης αξιοπιστίας, αυτό θα πρέπει να μειώσει τους κινδύνους από προώθηση διαπιστευτηρίων από κάποιον κακόβουλο διακομιστή εκτός της ζώνης αξιοπιστίας. Παρομοίως, μπορείτε να μην επιτρέψετε έλεγχο ταυτότητας NTLM σε διακομιστές εντός της Ζώνης αξιοπιστίας.

•Να επιτρέπεται επικοινωνία με την υπηρεσία Διαχείρισης λογαριασμών ασφαλείας – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-SAMR].

•Να επιτρέπεται επικοινωνία με την υπηρεσία Τοπικής αρχής ασφαλείας – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στις σελίδες [MS-LSAD] και [MS-LSAT].

•Να επιτρέπεται επικοινωνία με την υπηρεσία Απομακρυσμένου μητρώου – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-RRP].

•Να επιτρέπεται επικοινωνία με την υπηρεσία Διαχείρισης ελέγχου υπηρεσιών – Για περισσότερες πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-SCMR].

•Να επιτρέπεται επικοινωνία με την υπηρεσία διακομιστή – Για πληροφορίες σχετικά με αυτή την υπηρεσία, ανατρέξτε στη σελίδα [MS-SRVS].

•Να επιτρέπεται επικοινωνία με τις άλλες υπηρεσίες – Το MSRPC είναι η υλοποίηση της Microsoft του μηχανισμού DCE RPC. Επιπλέον, το MSRPC μπορεί να χρησιμοποιεί επώνυμους διαύλους στο πρωτόκολλο SMB (κοινή χρήση αρχείων δικτύου) για μεταφορά (ncacn_np transport). Οι υπηρεσίες MSRPC παρέχουν διασυνδέσεις για την απομακρυσμένη πρόσβαση και διαχείριση συστημάτων Windows. Έχουν ανακαλυφθεί πολλά κενά ασφαλείας τα οποία έγιναν αντικείμενο κατάχρησης στο σύστημα Windows MSRPC (Conficker worm, Sasser worm κ.λπ.). Απενεργοποιήστε την επικοινωνία με υπηρεσίες MSRPC που δεν χρειάζεται να παρέχετε για να ελαχιστοποιηθούν πολλοί κίνδυνοι ασφάλειας (όπως η απομακρυσμένη εκτέλεση κώδικα ή οι επιθέσεις αποτυχίας υπηρεσιών).

•Έλεγχος κατάστασης σύνδεσης TCP – Ελέγχει για να δει αν όλα τα πακέτα TCP ανήκουν σε μια υπάρχουσα σύνδεση. Αν ένα πακέτο δεν υπάρχει σε μια σύνδεση θα διακοπεί.

•Διατήρηση ανενεργών συνδέσεων TCP – Ορισμένες εφαρμογές, για να λειτουργήσουν, απαιτούν η σύνδεση TCP που δημιουργούν να διατηρείται ακόμα κι αν είναι ανενεργή η σύνδεση TCP. Κάντε αυτή την επιλογή για να αποφεύγετε τον τερματισμό ανενεργών συνδέσεων TCP.

•Ανίχνευση υπερφόρτωσης πρωτοκόλλου TCP – Η αρχή λειτουργίας αυτής της μεθόδου περιλαμβάνει την έκθεση του υπολογιστή/διακομιστή σε πολλά αιτήματα – δείτε επίσης την ενότητα DoS (Επιθέσεις άρνησης υπηρεσιών).

•Έλεγχος μηνυμάτων πρωτοκόλλου ICMP – Αποτρέπει επιθέσεις οι οποίες εκμεταλλεύονται τις αδυναμίες του πρωτοκόλλου ICMP και οι οποίες μπορεί να έχουν ως αποτέλεσμα την αδυναμία απόκρισης του υπολογιστή - δείτε επίσης την ενότητα DoS (Επιθέσεις άρνησης υπηρεσιών).

•Ανίχνευση κεκαλυμμένων δεδομένων στο πρωτόκολλο ICMP – Ελέγχει αν το πρωτόκολλο ICMP χρησιμοποιείται για μεταφορά δεδομένων. Πολλές κακόβουλες τεχνικές χρησιμοποιούν το πρωτόκολλο ICMP για να παρακάμψουν το τείχος προστασίας.

Ανατρέξτε σε αυτό το άρθρο της Γνωσιακής βάσης της ESET για μια ενημερωμένη έκδοση αυτής της σελίδας βοήθειας.