Geavanceerde filteropties

Met de gedeelten voor firewall- en netwerkaanvalbeveiliging kunt u geavanceerde filteropties configureren om verschillende soorten aanvallen en beveiligingsproblemen te detecteren die uw computer kwetsbaar maken.

Toegestane services

Instellingen in deze groep zijn bedoeld om de configuratie van de toegang tot services van deze computer vanuit de vertrouwde zone te vereenvoudigen. Met veel instellingen schakelt u vooraf gedefinieerde firewallregels in/uit.

•Delen van bestanden en printers toestaan in de vertrouwde zone: hiermee kunt u externe computers in de vertrouwde zone toegang geven tot uw gedeelde bestanden en printers.

•UPNP voor systeemservices toestaan in de vertrouwde zone: hiermee worden inkomende en uitgaande aanvragen van UPnP-protocollen voor systeemservices toegestaan. UPnP (Universal Plug and Play, ook bekend als Microsoft Network Discovery) wordt gebruikt in Windows Vista en latere besturingssystemen.

•Inkomende RPC-communicatie toestaan in de vertrouwde zone: hiermee worden TCP-verbindingen vanuit de vertrouwde zone mogelijk, waardoor toegang mogelijk is naar de MS RPC Portmapper- en RPC/DCOM-services.

•Extern bureaublad toestaan in de vertrouwde zone: hiermee worden verbindingen mogelijk via Microsoft Remote Desktop Protocol (RDP) en kunnen computers in de vertrouwde zone met een programma dat gebruikmaakt van RDP (bijvoorbeeld Remote Desktop Connection) toegang krijgen tot uw computer.

•Logboekregistratie in multicast-groepen via IGMP inschakelen: hiermee worden inkomende/uitgaande IGMP- en inkomende UDP-multicaststreams mogelijk, bijvoorbeeld videostreams die worden gegenereerd door toepassingen die gebruikmaken van het IGMP-protocol (Internet Group Management Protocol).

•Communicatie voor verbindingen met brug inschakelen: indien ingeschakeld, is communicatie voor verbindingen met een brug toegestaan.

•Metro-toepassingen toestaan: communicatie van Windows Store-toepassingen die in de Metro-omgeving worden uitgevoerd, wordt toegestaan volgens het Metro-toepassingsmanifest. Met deze optie worden alle regels en uitzonderingen voor Metro-toepassingen genegeerd, ongeacht het feit of u de Interactieve modus of Op beleid gebaseerde modus hebt geselecteerd in de instellingen van de ESET Firewall.

•Automatische Web Services Discovery (WSD) voor systeemservices in de vertrouwde zone toestaan: hiermee worden inkomende Web Services Discovery-aanvragen van vertrouwde zones via de firewall mogelijk. WSD is het protocol dat wordt gebruikt om services in een a lokaal netwerk te ontdekken.

•Omzetten van multicast-adres in de vertrouwde zone toestaan (LLMNR): LLMNR (Link-local Multicast Name Resolution) is een op DNS-pakketten gebaseerd protocol waarmee zowel IPv4- als IPv6-hosts naamomzettingen kunnen uitvoeren voor hosts op dezelfde lokale verbinding, zonder dat daarvoor een DNS-server of DNS-client hoeft te worden geconfigureerd. Met deze optie worden inkomende multicast-DNS-verzoeken van de vertrouwde zone via de firewall mogelijk.

•Windows HomeGroup-ondersteuning: hiermee schakelt u ondersteuning in voor thuisgroepen van Windows 7 en latere besturingssystemen. Binnen een thuisgroep kunnen bestanden en printers worden gedeeld op een thuisnetwerk. Voor het configureren van een Thuisgroep gaat u naar Start > Configuratiescherm > Netwerk en internet > Thuisgroep.

Inbreukdetectie

•Protocol SMB: detecteert en blokkeert diverse beveiligingsproblemen met het SMB-protocol, namelijk:

•Detectie van verificatie aanval via rogue-servervraag: beschermt tegen aanvallen waarbij tijdens verificatie een rogue-aanvraag wordt uitgevoerd om uw aanmeldingsgegevens te achterhalen.

•Detectie van IDS-omzeiling tijdens openen van named pipe: detectie van bekende omzeilingstechnieken die worden gebruikt voor het openen van MSRPC named pipes in het SMB-protocol.

•CVE-detecties (Common Vulnerabilities and Exposures): geïmplementeerde detectiemethoden van verschillende aanvallen, formulieren, beveiligingslekken en exploits via het SMB-protocol. Zie de CVE-website op cve.mitre.org om gedetailleerde informatie te zoeken over CVE-identificaties (CVE's).

•Protocol RPC: detecteert en blokkeert diverse CVE's in het RPC-systeem die zijn ontwikkeld voor de Distributed Computing Environment (DCE).

•Protocol RDP: detecteert en blokkeert diverse CVE's in het RDP-protocol (zie hierboven).

•Detectie van ARP Poisoning-aanval: detectie van ARP Poisoning-aanvallen geactiveerd door man-in-the-middle aanvallen of detectie van sniffing aan de netwerkswitch. ARP (Address Resolution Protocol) wordt door de netwerktoepassingen of -apparaten gebruikt om het Ethernet-adres te bepalen.

•Beantwoorden van ARP-aanvragen van buiten de vertrouwde zone toestaan: selecteer deze optie als u wilt dat het systeem reageert op ARP-aanvragen met IP-adressen van buiten de vertrouwde zone. ARP (Address Resolution Protocol) wordt door de netwerktoepassing gebruikt om het Ethernet-adres te bepalen.

•Detectie van DNS Poisoning-aanval: detectie van DNS Poisoning; ontvangst van een vervalst antwoord op een DNS-verzoek (dat door een aanvaller is verzonden) waardoor u naar vervalste en schadelijke websites wordt geleid. DNS (Domain Name Systems) zijn gedistribueerde databasesystemen die gebruikersvriendelijke domeinnamen omzetten in numerieke IP-adressen en andersom, zodat gebruikers eenvoudig naar de domeinnaam van een website kunnen verwijzen. Zie de woordenlijst voor meer informatie over dit type aanval.

•Detectie van UDP Port Scanning-aanval: detecteert aanvallen van poortscanningsoftware; toepassingen die een host onderzoeken op geopende poorten door clientverzoeken te sturen naar een reeks poortadressen met als doel het vinden van actieve poorten om deze kwetsbaarheden vervolgens te misbruiken. Zie de woordenlijst voor meer informatie over dit type aanval.

•Onveilig adres blokkeren na detectie van aanval: IP-adressen die zijn gedetecteerd als aanvalsbron worden toegevoegd aan de zwarte lijst om verbindingen gedurende een bepaalde periode te voorkomen.

•Melding weergeven na detectie van aanval: hiermee schakelt u de melding in het systeemvak rechts onder in het scherm in.

•Ook meldingen weergeven bij inkomende aanvallen tegen beveiligingslekken: hiermee wordt u gewaarschuwd als er aanvallen tegen beveiligingslekken worden gedetecteerd of als een bedreiging een poging onderneemt het systeem op deze manier binnen te komen.

Controle van pakket

•Inkomende verbinding naar admin-shares toestaan in het SMB-protocol: de administratieve shares (admin-shares) zijn de standaardnetwerkshares die hardeschijfpartities (C$, D$, ...) en de systeemmap (ADMIN$) in het systeem delen. Als u verbindingen met admin-shares uitschakelt, worden tal van beveiligingsrisico's uitgesloten. De Conficker-worm voert bijvoorbeeld woordenboekaanvallen uit om verbinding te kunnen maken met admin-shares.

•Oude (niet-ondersteunde) SMB-dialecten weigeren: SMB-sessies weigeren waarbij een oud SMB-dialect wordt gebruikt dat niet door IDS wordt ondersteund. Moderne Windows-besturingssystemen bieden ondersteuning voor oude SMB-dialecten vanwege achterwaartse compatibiliteit met oudere besturingssystemen zoals Windows 95. De aanvaller kan zo een oud dialect in een SMB-sessie gebruiken om inspectie van het verkeer te omzeilen. Weiger oude SMB-dialecten (of gebruik SMB-communicatie in zijn algemeen) als uw computer geen bestanden hoeft te delen met computers waarop een oudere versie van Windows is geïnstalleerd.

•SMB-beveiliging zonder beveiligingsextensies weigeren: er kan uitgebreide beveiliging tijdens de onderhandeling over de SMB-sessie worden gebruikt om een veiliger verificatiemechanisme te kunnen bieden dan verificatie via LAN Manager Challenge/Response (LM). Het LM-schema wordt over het algemeen als te zwak beoordeeld en is ongeschikt om te gebruiken.

•Openen van uitvoerbare bestanden op een server buiten de vertrouwde zone in het SMB-protocol weigeren: de verbinding wordt verbroken als u probeert een uitvoerbaar bestand (.exe, .dll, ...) uit te voeren vanuit een gedeelde map op de server die niet binnen de vertrouwde zone in de firewall valt. Het kopiëren van uitvoerbare bestanden van vertrouwde bronnen kan legitiem zijn, maar deze detectie is bedoeld om het risico te verkleinen dat er een ongewenst bestand wordt geopend op een schadelijke server (bijvoorbeeld door te klikken op een hyperlink naar een gedeeld, schadelijk, uitvoerbaar bestand).

•NTLM-verificatie in het SMB-protocol voor verbinding maken met een server in de vertrouwde zone weigeren: protocollen die gebruikmaken van NTLM-verificatieschema's (beide versies) kunnen gevoelig zijn voor een aanval waarbij onbedoeld aanmeldingsgegevens worden doorgestuurd (bekend als een SMB Relay-aanval bij het SMB-protocol). Het weigeren van NTLM-verificatie bij een server buiten de vertrouwde zone verkleint het risico dat aanmeldingsgegevens onbedoeld worden doorgestuurd naar een schadelijke server buiten de vertrouwde zone. Op soortgelijke wijze kunt u NTLM-verificatie weigeren bij servers binnen de vertrouwde zone.

•Communicatie met de Security Account Manager-service toestaan: zie [MS-SAMR] voor meer informatie over deze service.

•Communicatie met de Local Security Authority-service toestaan: zie [MS-LSAD] en [MS-LSAT] voor meer informatie over deze service.

•Communicatie met de Remote Registry-service toestaan: zie [MS-RRP] voor meer informatie over deze service.

•Communicatie met de Services Control Manager-service toestaan: zie [MS-SCMR] voor meer informatie over deze service.

•Communicatie met de Server-service toestaan: zie [MS-SRVS] voor meer informatie over deze service.

•Communicatie met de andere services toestaan: MSRPC is de Microsoft-implementatie van het DCE RPC-mechanisme. MSRPC kan bovendien voor transportdoeleinden (ncacn_np transport) named pipes gebruiken in het SMB-protocol (bestandsdeling in netwerken). MSRPC-services maken verbindingen mogelijk, zodat Windows-systemen op afstand kunnen worden beheerd. Er zijn in de praktijk diverse beveiligingslekken ontdekt en misbruikt in het Windows MSRPC-systeem (Conficker-worm, Sasser-worm,…). Schakel communicatie met MSRPC-services uit die u niet nodig hebt, zodat u talloze beveiligingsrisico's kunt uitsluiten (zoals het op afstand uitvoeren van code of DoS-aanvallen).

•TCP-verbindingsstatus controleren: hiermee controleert u of alle TCP-pakketten bij een bestaande verbinding horen. Als een pakket niet bestaat in een verbinding, dan zal deze worden verwijderd.

•Inactieve TCP-verbindingen onderhouden: sommige toepassingen werken alleen als de TCP-verbinding die ze tot stand brengen behouden blijft, zelfs als de TCP-verbinding inactief is. Selecteer deze optie om te voorkomen dat inactieve TCP-verbindingen worden beëindigd.

•Detectie van overbelasting TCP-protocol: het principe van deze methode is erop gebaseerd een groot aantal aanvragen te verzenden naar de computer/server, te vergelijken met DoS (Denial of Service-aanvallen).

•Controle van ICMP-protocolbericht: voorkomt aanvallen die zwakke plekken van het ICMP-protocol misbruiken, waardoor de computer mogelijk niet meer reageert. Zie ook DoS (Denial of Service-aanvallen).

•Detectie van verborgen gegevens in ICMP-protocol: hiermee wordt gecontroleerd of het ICMP-protocol wordt gebruikt voor gegevensoverdracht. Vele schadelijke technieken gebruiken het ICMP-protocol om de firewall te omzeilen.

Raadpleeg dit artikel in de ESET-kennisbank voor een bijgewerkte versie van deze Help-pagina.