Netwerkaanvalbeveiliging

URL van huidige artikel kopiëren Delen via e-mail

Dit artikel (PDF) Volledige documentatie (PDF)

Netwerkaanvalbeveiliging (IDS) inschakelen

Hier kunt u de toegang configureren tot bepaalde services die op uw computer worden uitgevoerd vanuit de Vertrouwde zone, en kunt u detectie inschakelen/uitschakelen van diverse typen aanvallen en exploits die uw computer mogelijk schade toebrengen.

Botnetbeveiliging inschakelen

Detecteert en blokkeert communicatie met schadelijke servers op basis van kenmerkende patronen wanneer de computer wordt geïnfecteerd en er een bot probeert te communiceren. Meer informatie over botnetbeveiliging vindt u in de ESET-woordenlijst.

IDS-regels

U kunt uitzonderingen op Intrusion Detection System (IDS) als netwerkbeveiligingsregels beschouwen. Klik op Bewerken om IDS-regels te definiëren.

Als er in uw omgeving een snel netwerk (10GbE en hoger) actief is, lees dan het KB-artikel voor informatie over netwerksnelheidsprestaties en ESET Server Security.

Beveiliging tegen brute-force aanvallen

ESET Server Security inspecteert de inhoud van het netwerkverkeer en blokkeert de pogingen om wachtwoorden te raden.

Geavanceerde opties

Configureer de geavanceerde filteropties om de verschillende soorten aanvallen en beveiligingsproblemen te detecteren die op uw computer kunnen worden misbruikt.

Indringingsdetectie

Protocol SMB: detecteert en blokkeert diverse beveiligingsproblemen met het SMB-protocol
Protocol RPC: detecteert en blokkeert diverse CVE's in het RPC-systeem die zijn ontwikkeld voor de Distributed Computing Environment (DCE).
Protocol RDP: detecteert en blokkeert diverse CVE's in het RDP-protocol (zie hierboven).
Onveilig adres blokkeren na detectie van aanval: IP-adressen die zijn gedetecteerd als aanvalsbron worden toegevoegd aan de zwarte lijst om verbindingen gedurende een bepaalde periode te voorkomen. U kunt de retentieperiode voor de zwarte lijst definiëren om te bepalen hoe lang het adres wordt geblokkeerd na detectie van een aanval.
Melding geven bij detectie van aanval: hiermee schakelt u het systeemvak van Windows rechtsonder in het scherm in.
Melding geven bij inkomende aanvallen op beveiligingsproblemen: hiermee wordt u gewaarschuwd als er aanvallen tegen beveiligingsproblemen worden gedetecteerd of als er pogingen van een bedreiging zijn om het systeem binnen te komen.

Pakketcontrole

Inkomende verbinding naar admin-shares toestaan in het SMB-protocol: de admin-shares (beheershares) zijn de standaardnetwerkshares van gedeelde hardeschijfpartities (C$, D$, ...) in het systeem, samen met de systeemmap (ADMIN$). Als u de verbinding naar admin-shares uitschakelt, wordt het beveiligingsrisico mogelijk kleiner. De Conficker-worm bijvoorbeeld voert woordenboekaanvallen uit om verbinding met admin-shares te maken.
SMB-sessies weigeren waarbij een oud SMB-dialect wordt gebruikt dat niet door IDS wordt ondersteund. Moderne Windows-besturingssystemen bieden ondersteuning voor oude SMB-dialecten vanwege achterwaartse compatibiliteit met oudere besturingssystemen zoals Windows 95. De aanvaller kan zo een oud dialect in een SMB-sessie gebruiken om inspectie van het verkeer te omzeilen. Weiger oude SMB-dialecten (of gebruik SMB-communicatie in zijn algemeen) als uw computer geen bestanden hoeft te delen met computers waarop een oudere versie van Windows is geïnstalleerd.
SMB-beveiliging zonder beveiligingsextensies weigeren: er kan uitgebreide beveiliging tijdens de onderhandeling over de SMB-sessie worden gebruikt om een veiliger verificatiemechanisme te kunnen bieden dan verificatie via LAN Manager Challenge/Response (LM). Het LM-schema wordt over het algemeen als te zwak beoordeeld en is ongeschikt om te gebruiken.
Communicatie met de Security Account Manager-service toestaan: zie [MS-SAMR] voor meer informatie over deze service.
Communicatie met de Local Security Authority-service toestaan: zie [MS-LSAD] en [MS-LSAT] voor meer informatie over deze service.
Communicatie met de Remote Registry-service toestaan: zie [MS-RRP] voor meer informatie over deze service.
Communicatie met de Services Control Manager-service toestaan: zie [MS-SCMR] voor meer informatie over deze service.
Communicatie met de Server-service toestaan: zie [MS-SRVS] voor meer informatie over deze service.
Communicatie met de andere services toestaan: overige MSRPC-services.

˄˅