Online-Help van ESET

Zoeken Nederlands
Selecteer het onderwerp

Geavanceerde filteropties

Met de gedeelten voor firewall- en netwerkaanvalbeveiliging kunt u geavanceerde filteropties configureren om verschillende soorten aanvallen en beveiligingsproblemen te detecteren die uw computer kwetsbaar maken.


note

In sommige gevallen ontvangt u geen meldingen van bedreigingen over geblokkeerde communicatie. Raadpleeg het gedeelte Regels of uitzonderingen registreren en maken van logbestand voor instructies om alle geblokkeerde communicatie in het logbestand van de firewall weer te geven.


important

De beschikbaarheid van bepaalde opties in Geavanceerde instellingen (F5) > Netwerkbeveiliging > Firewall en Geavanceerde instellingen (F5) > Netwerkbeveiliging > Netwerkaanvalbeveiliging kan variëren en is afhankelijk van het type of de versie van uw firewall-module en de versie van uw besturingssysteem.

icon_section Toegestane services

Instellingen in deze groep zijn bedoeld om de configuratie van de toegang tot services van deze computer vanuit de vertrouwde zone te vereenvoudigen. Met veel instellingen schakelt u vooraf gedefinieerde firewallregels in/uit.

  • Delen van bestanden en printers toestaan in de vertrouwde zone: hiermee kunt u externe computers in de vertrouwde zone toegang geven tot uw gedeelde bestanden en printers.
  • UPNP voor systeemservices toestaan in de vertrouwde zone: hiermee worden inkomende en uitgaande aanvragen van UPnP-protocollen voor systeemservices toegestaan. UPnP (Universal Plug and Play, ook bekend als Microsoft Network Discovery) wordt gebruikt in Windows Vista en latere besturingssystemen.
  • Inkomende RPC-communicatie toestaan in de vertrouwde zone: hiermee worden TCP-verbindingen vanuit de vertrouwde zone mogelijk, waardoor toegang mogelijk is naar de MS RPC Portmapper- en RPC/DCOM-services.
  • Extern bureaublad toestaan in de vertrouwde zone: maakt verbindingen mogelijk via het Microsoft Remote Desktop Protocol (RDP) en geeft computers in de Vertrouwde zone toegang tot uw computer met een programma dat gebruikmaakt van RDP (bijvoorbeeld Verbinding met extern bureaublad). Zie ook hoe u RDP-verbindingen buiten de Vertrouwde zone kunt toestaan.
  • Logboekregistratie in multicast-groepen via IGMP inschakelen: hiermee worden inkomende/uitgaande IGMP- en inkomende UDP-multicaststreams mogelijk, bijvoorbeeld videostreams die worden gegenereerd door toepassingen die gebruikmaken van het IGMP-protocol (Internet Group Management Protocol).
  • Communicatie voor verbindingen met brug inschakelen: selecteer deze optie om te voorkomen dat verbindingen met een brug worden verbroken. Netwerken met een brug verbinden een virtuele machine met een netwerk via de Ethernet-adapter van de hostcomputer. Als u netwerken met een brug gebruikt, heeft de virtuele machine toegang tot andere apparaten in het netwerk en vice versa, alsof het om een fysieke computer in het netwerk gaat.
  • Automatische Web Services Discovery (WSD) voor systeemservices in de vertrouwde zone toestaan: hiermee worden inkomende Web Services Discovery-aanvragen van vertrouwde zones via de firewall mogelijk. WSD is het protocol dat wordt gebruikt om services in een a lokaal netwerk te ontdekken.
  • Omzetten van multicast-adres in de vertrouwde zone toestaan (LLMNR): LLMNR (Link-local Multicast Name Resolution) is een op DNS-pakketten gebaseerd protocol waarmee zowel IPv4- als IPv6-hosts naamomzettingen kunnen uitvoeren voor hosts op dezelfde lokale verbinding, zonder dat daarvoor een DNS-server of DNS-client hoeft te worden geconfigureerd. Met deze optie worden inkomende multicast-DNS-verzoeken van de vertrouwde zone via de firewall mogelijk.
  • Windows thuis groep-ondersteuning: hiermee schakelt u ondersteuning in voor thuisgroepen van Windows 7 en latere besturingssystemen. Binnen een thuis groep kunnen bestanden en printers worden gedeeld op een thuisnetwerk. Voor het configureren van een Thuis groep gaat u naar Start > Configuratiescherm > Netwerk en internet > Thuisgroep.

icon_section Inbreukdetectie

  • Protocol SMB: detecteert en blokkeert diverse beveiligingsproblemen met het SMB-protocol, namelijk:
  • Detectie van verificatie aanval via rogue-servervraag: beschermt tegen aanvallen waarbij tijdens verificatie een rogue-aanvraag wordt uitgevoerd om uw aanmeldingsgegevens te achterhalen.
  • Detectie van IDS-omzeiling tijdens openen van named pipe: detectie van bekende omzeilingstechnieken die worden gebruikt voor het openen van MSRPC named pipes in het SMB-protocol.
  • CVE-detecties (Common Vulnerabilities and Exposures): geïmplementeerde detectiemethoden van verschillende aanvallen, formulieren, beveiligingslekken en exploits via het SMB-protocol. Zie de CVE-website op cve.mitre.org om gedetailleerde informatie te zoeken over CVE-identificaties (CVE's).
  • Protocol RPC: detecteert en blokkeert diverse CVE's in het RPC-systeem die zijn ontwikkeld voor de Distributed Computing Environment (DCE).
  • Protocol RDP: detecteert en blokkeert diverse CVE's in het RDP-protocol (zie hierboven).
  • Detectie van ARP Poisoning-aanval: detectie van ARP Poisoning-aanvallen geactiveerd door man-in-the-middle aanvallen of detectie van sniffing aan de netwerkswitch. ARP (Address Resolution Protocol) wordt door de netwerktoepassingen of -apparaten gebruikt om het Ethernet-adres te bepalen.
  • Detectie van UDP Port Scanning-aanval: detecteert aanvallen van poortscanningsoftware; toepassingen die een host onderzoeken op geopende poorten door clientverzoeken te sturen naar een reeks poortadressen met als doel het vinden van actieve poorten om deze kwetsbaarheden vervolgens te misbruiken. Zie de woordenlijst voor meer informatie over dit type aanval.
  • Onveilig adres blokkeren na detectie van aanval: IP-adressen die zijn gedetecteerd als aanvalsbron worden toegevoegd aan de zwarte lijst om verbindingen gedurende een bepaalde periode te voorkomen.
  • Melding weergeven na detectie van aanval: hiermee schakelt u de melding in het systeemvak rechts onder in het scherm in.
  • Ook meldingen weergeven bij inkomende aanvallen tegen beveiligingslekken: hiermee wordt u gewaarschuwd als er aanvallen tegen beveiligingslekken worden gedetecteerd of als een bedreiging een poging onderneemt het systeem op deze manier binnen te komen.

icon_section Controle van pakket

  • Inkomende verbinding naar admin-shares toestaan in het SMB-protocol: de administratieve shares (admin-shares) zijn de standaardnetwerkshares die hardeschijfpartities (C$, D$, ...) en de systeemmap (ADMIN$) in het systeem delen. Als u verbindingen met admin-shares uitschakelt, worden tal van beveiligingsrisico's uitgesloten. De Conficker-worm voert bijvoorbeeld woordenboekaanvallen uit om verbinding te kunnen maken met admin-shares.
  • Oude (niet-ondersteunde) SMB-dialecten weigeren: SMB-sessies weigeren waarbij een oud SMB-dialect wordt gebruikt dat niet door IDS wordt ondersteund. Moderne Windows-besturingssystemen bieden ondersteuning voor oude SMB-dialecten vanwege achterwaartse compatibiliteit met oudere besturingssystemen zoals Windows 95. De aanvaller kan zo een oud dialect in een SMB-sessie gebruiken om inspectie van het verkeer te omzeilen. Weiger oude SMB-dialecten (of gebruik SMB-communicatie in zijn algemeen) als uw computer geen bestanden hoeft te delen met computers waarop een oudere versie van Windows is geïnstalleerd.
  • SMB-beveiliging zonder beveiligingsextensies weigeren: er kan uitgebreide beveiliging tijdens de onderhandeling over de SMB-sessie worden gebruikt om een veiliger verificatiemechanisme te kunnen bieden dan verificatie via LAN Manager Challenge/Response (LM). Het LM-schema wordt over het algemeen als te zwak beoordeeld en is ongeschikt om te gebruiken.
  • Openen van uitvoerbare bestanden op een server buiten de vertrouwde zone in het SMB-protocol weigeren: de verbinding wordt verbroken als u probeert een uitvoerbaar bestand (.exe, .dll, ...) uit te voeren vanuit een gedeelde map op de server die niet binnen de vertrouwde zone in de firewall valt. Het kopiëren van uitvoerbare bestanden van vertrouwde bronnen kan legitiem zijn, maar deze detectie is bedoeld om het risico te verkleinen dat er een ongewenst bestand wordt geopend op een schadelijke server (bijvoorbeeld door te klikken op een hyperlink naar een gedeeld, schadelijk, uitvoerbaar bestand).
  • NTLM-verificatie in het SMB-protocol voor verbinding maken met een server in de vertrouwde zone weigeren: protocollen die gebruikmaken van NTLM-verificatieschema's (beide versies) kunnen gevoelig zijn voor een aanval waarbij onbedoeld aanmeldingsgegevens worden doorgestuurd (bekend als een SMB Relay-aanval bij het SMB-protocol). Het weigeren van NTLM-verificatie bij een server buiten de vertrouwde zone verkleint het risico dat aanmeldingsgegevens onbedoeld worden doorgestuurd naar een schadelijke server buiten de vertrouwde zone. Op soortgelijke wijze kunt u NTLM-verificatie weigeren bij servers binnen de vertrouwde zone.
  • Communicatie met de Security Account Manager-service toestaan: zie [MS-SAMR] voor meer informatie over deze service.
  • Communicatie met de Local Security Authority-service toestaan: zie [MS-LSAD] en [MS-LSAT] voor meer informatie over deze service.
  • Communicatie met de Remote Registry-service toestaan: zie [MS-RRP] voor meer informatie over deze service.
  • Communicatie met de Servicebesturingsbeheer-service toestaan: zie [MS-SCMR] voor meer informatie over deze service.
  • Communicatie met de Server-service toestaan: zie [MS-SRVS] voor meer informatie over deze service.
  • Communicatie met de andere services toestaan: MSRPC is de Microsoft-implementatie van het DCE RPC-mechanisme. MSRPC kan bovendien voor transportdoeleinden (ncacn_np transport) named pipes gebruiken in het SMB-protocol (bestandsdeling in netwerken). MSRPC-services maken verbindingen mogelijk, zodat Windows-systemen op afstand kunnen worden beheerd. Er zijn in de praktijk diverse beveiligingslekken ontdekt en misbruikt in het Windows MSRPC-systeem (Conficker-worm, Sasser-worm,…). Schakel communicatie met MSRPC-services uit die u niet nodig hebt, zodat u talloze beveiligingsrisico's kunt uitsluiten (zoals het op afstand uitvoeren van code of DoS-aanvallen).