Options de filtrage avancées

Les sections Pare-feu et Protection contre les attaques réseau permettent de configurer des options de filtrage avancées pour détecter plusieurs types d’attaques et de vulnérabilités pouvant être perpétrés contre votre ordinateur.

Services autorisés

Les paramètres de ce groupe ont pour but de simplifier la configuration de l'accès aux services de cet ordinateur à partir de la zone Fiable. La plupart d'entre eux activent ou désactivent les règles du pare-feu prédéfinies.

•Autoriser le partage de fichiers et d'imprimantes dans la zone de confiance – Permet à des ordinateurs distants situés dans la zone Fiable d'accéder à vos fichiers et imprimantes partagés.

•Autoriser UPNP pour les services système dans la zone Fiable – Autorise les requêtes entrantes et sortantes des protocoles UPnP pour les services système. UPnP (Universal Plug and Play, aussi désigné par Microsoft Network Discovery) est utilisé dans Windows Vista et systèmes d'exploitation ultérieurs.

•Autoriser les communications RPC entrantes dans la zone Fiable – Autorise les connexions TCP dans la zone Fiable en permettant l'accès aux services MS RPC Portmapper et RPC/DCOM.

•Autoriser le bureau à distance dans la zone Fiable – Autorise les connexions via le protocole Microsoft Remote Desktop Protocol (RDP) et permet aux ordinateurs dans la zone Fiable d'accéder à votre ordinateur à l'aide d'un programme exploitant RDP (par exemple, Connexion au bureau à distance).

•Autoriser la connexion aux groupes de multidiffusion via IGMP – Autorise les flux de multidiffusion entrants et sortants IGMP et entrants UDP, par exemple les flux vidéo générés par des applications utilisant le protocole IGMP (Internet Group Management Protocol).

•Autoriser la communication pour les connexions de pont – Lorsque cette option est activée, les communications pour les connexions reliées par des ponts sont autorisées.

•Autoriser les applications Metro (Windows 8 uniquement) – La communication des applications Windows Store qui s'exécutent dans l'environnement Metro est autorisée, conformément au manifeste des applications Metro. Cette option ignorera toutes les règles et exceptions pour les applications Metro que vous ayez sélectionné le mode interactif ou basé sur des règles dans le pare-feu d'ESET.

•Autoriser Web Services Discovery (WSD) pour les services système dans la zone Fiable – Autorise les requêtes Web Services Discovery entrantes et sortantes depuis les zones Fiables via le pare-feu. Le protocole WSD est utilisé pour localiser les services au sein d'un réseau local.

•Autoriser la résolution d'adresses de multidiffusion dans la zone Fiable (LLMNR) – La résolution LLMNR (Link-local Multicast Name Resolution) est un protocole DNS basé sur les paquets qui permet aux hôtes IPv4 et IPv6 de résoudre le nom des hôtes d'un même lien local sans avoir à faire appel à la configuration d'un serveur ou d'un client DNS. Cette option autorise les requêtes DNS de multidiffusion entrantes depuis la zone Fiable via le pare-feu.

•Compatibilité groupe de travail Windows – Active la prise en charge des groupes de travail pour Windows 7 et systèmes d'exploitation ultérieurs. Un groupe de travail permet de partager les fichiers et les imprimantes d'un réseau domestique. Pour le configurer, sélectionnez Démarrer > Panneau de configuration > Réseau et Internet > Groupement résidentiel.

Détection d'intrusion

•Protocole SMB – Détecte et bloque divers problèmes de sécurité dans le protocole SMB, notamment :

•Détection d'authentification par falsification de challenge – Protège contre une attaque utilisant un challenge falsifié durant l'authentification, dans le but d'obtenir les identifiants de l'utilisateur.

•Évasion IDS pendant la détection d'ouverture d'un canal nommé – Détection de techniques d'évasion connues et utilisées pour l'ouverture de canaux nommés MSRPC dans le protocole SMB.

•Détections CVE (Common Vulnerabilities and Exposures) – Méthodes de détection mises en œuvre de diverses attaques, formes, trous de sécurité et exploits sur le protocole SMB. Reportez-vous au site Web CVE cve.mitre.org pour plus de détails sur les identificateurs CVE (CVE).

•Protocole RPC – Détecte et bloque divers CVE dans le système d'appel des procédures à distance développé pour l'environnement Distributed Computing Environment (DCE).

•Protocole RDP – Détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).

•Détection d'attaque par empoisonnement ARP – Détection d'attaque par empoisonnement ARP déclenchée par des attaques man-in-the-middle ou détection de sniffing au niveau du commutateur réseau. Le protocole ARP (Address Resolution Protocol) est utilisé par une application ou un périphérique réseau pour déterminer l'adresse Ethernet.

•Autoriser une réponse aux requêtes ARP provenant d'une source hors de la zone Fiable – Sélectionnez cette option si vous souhaitez que le système réponde aux requêtes ARP provenant d'adresses IP hors de la zone Fiable. Le protocole ARP (Address Resolution Protocol) est utilisé par l'application réseau pour déterminer l'adresse Ethernet.

•Détection d'attaque par empoisonnement DNS – Détection d'empoisonnement DNS, c'est-à-dire réception de réponses erronées (envoyées par un pirate) aux requêtes DNS, qui peuvent orienter vers des sites Web frauduleux ou malveillants. Les DNS (Domain name systems) sont des systèmes de bases de données distribuées qui effectuent une traduction des adresses IP numériques en noms de domaines compréhensibles par l'utilisateur, afin de permettre à celui-ci de faire référence à un site Web en utilisant simplement son nom de domaine. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.

•Détection d'attaque par analyse de ports TCP/UDP – Détecte les attaques des applications d'analyse de ports, conçues pour sonder les ports ouverts d'un ordinateur hôte en envoyant des requêtes client vers une plage d'adresses de ports dans le but de découvrir des ports actifs et d'exploiter la vulnérabilité du service. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.

•Bloquer l'adresse non sûre après une détection d'attaque – Les adresses IP qui ont été identifiées comme sources d'attaques sont ajoutées à la liste noire pour prévenir toute connexion pendant une certaine période.

•Afficher une notification après la détection d'une attaque – Active les notifications qui apparaissent dans la barre d'état système, dans l'angle inférieur droit de l'écran.

•Afficher également des notifications pour les attaques entrantes contre les trous de sécurité – Vous avertit si des attaques contre des trous de sécurité sont détectées ou si une menace tente d'accéder au système de cette manière.

Vérification des paquets

•Autoriser les connexions entrantes aux partages administratifs du protocole SMB : les partages administratifs sont les partages réseau par défaut qui partagent les partitions de disque dur (C$, D$, ...) au sein du système, ainsi que le répertoire système (ADMIN$). Désactiver la connexion aux partages administratifs peut limiter de nombreux risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se connecter aux partages administratifs.

•Refuser les dialectes SMB anciens (non pris en charge) – Refuse des sessions SMB qui utilisent un ancien dialecte SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95. Le pirate peut utiliser un ancien dialecte dans une session SMB dans le but d'échapper à l'inspection du trafic. Refusez les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou utiliser des communications SMB en général) avec un ordinateur équipé d'une ancienne version de Windows.

•Refuser les sessions SMB sans sécurité étendue – La sécurité étendue peut être utilisée au cours de la négociation de session SMB, afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par challenge/réponse du gestionnaire LAN (LM). Le schéma LM est considéré comme faible et son utilisation n'est pas recommandée.

•Refuser l'ouverture de fichiers exécutables sur un serveur hors de la zone Fiable dans le protocole SMB – Refuse la connexion lorsque vous tentez d'ouvrir un fichier exécutable (.exe, .dll, etc.) à partir d'un dossier partagé du serveur qui n'appartient pas à la zone Fiable dans le pare-feu. Veuillez noter que la copie de fichiers exécutables depuis des sources fiables peut être légitime. Toutefois, cette détection devrait limiter les risques issus de l'ouverture involontaire d'un fichier sur un serveur malveillant (par exemple en cas de clic d'un utilisateur sur un lien hypertexte menant à un fichier exécutable partagé malveillant).

•Refuser l'authentification NTLM dans le protocole SMB pour la connexion d'un serveur à l'intérieur ou à l'extérieur de la zone Fiable – Les protocoles qui utilisent les schémas d'authentification NTLM (toutes versions) sont sujets à des attaques par transfert d'identifiants (connues sous le nom d'attaques par relai SMB dans le cas du protocole SMB). Refuser l'authentification NTLM avec un serveur hors de la zone Fiable devrait limiter les risques de transfert d'identifiants par un serveur malveillant hors de la zone Fiable. De la même façon, vous pouvez refuser l'authentification NTLM avec des serveurs dans la zone Fiable.

•Autoriser la communication avec le service Security Account Manager : pour plus d'informations sur ce service, voir [MS-SAMR].

•Autoriser la communication avec le service Local Security Authority : pour plus d'informations sur ce service, voir [MS-LSAD] et [MS-LSAT].

•Autoriser la communication avec le service Remote Registry : pour plus d'informations sur ce service, voir [MS-RRP].

•Autoriser la communication avec le service Service Control Manager : pour plus d'informations sur ce service, voir [MS-SCMR].

•Autoriser la communication avec le service Server : pour plus d'informations sur ce service, voir [MS-SRVS].

•Autoriser la communication avec les autres services – Le protocole MSRPC est l'implémentation par Microsoft du mécanisme DCE RPC. De plus, MSRPC peut utiliser des canaux nommés transportés (ncacn_np transport) par le protocole SMB (partage de fichiers en réseau). Les services MSRPC fournissent des interfaces d'accès et de gestion à distance pour les systèmes Windows. Plusieurs vulnérabilités ont été découvertes et exploitées librement dans le système Windows MSRPC (vers Conficker et Sasser, …). Désactivez la communication avec les services MSRPC que vous ne devez pas fournir, afin de limiter de nombreux risques de sécurité (tels que l'exécution de code à distance ou les attaques par déni de service).

•Vérifier l'état de la connexion TCP – Vérifie si tous les paquets TCP appartiennent à une connexion existante. Si un paquet n'existe pas dans une connexion, il est ignoré.

•Maintenir les connexions TCP inactives – Pour fonctionner, certaines applications exigent que la connexion TCP qu'elles établissent soit maintenue, même si elle peut être inactive. Sélectionnez cette option pour éviter de mettre fin à des connexions TCP inactives.

•Détection de surcharge du protocole TCP – Le principe de cette méthode consiste à soumettre l'ordinateur/serveur à plusieurs demandes. Voir également Attaques par déni de service (DoS).

•Vérification des messages par protocole ICMP – Empêche les attaques qui exploitent les faiblesses du protocole ICMP, ce qui peut provoquer une absence de réponse de l'ordinateur. Voir également Attaques par déni de service (DoS).

•Détection de données cachées dans le protocole ICMP – Vérifie si le protocole ICMP n'est pas utilisé pour le transfert de données. De nombreuses techniques malveillantes utilisent le protocole ICMP pour contourner le pare-feu.

Consultez cet article de la base de données ESET pour une version mise à jour de cette page d'aide.