고급 옵션
고급 설정 > 보호 > 네트워크 접근 보호 > 네트워크 공격 보호(IDS) > 고급 옵션에서 컴퓨터를 손상시킬 수 있는 여러 유형의 공격 및 악용 탐지를 활성화하거나 비활성화할 수 있습니다.
차단된 통신에 대한 위협 알림을 수신하지 못하는 경우도 있습니다. 방화벽 로그에서 차단된 모든 통신을 보는 방법과 관련된 지침을 확인하려면 로그에서 규칙 또는 예외 로깅 및 생성 섹션을 참조하십시오. |
이 창에서 특정 옵션의 사용 가능 여부는 ESET 제품 및 방화벽 모듈의 유형이나 버전 그리고 운영 체제 버전에 따라 다를 수 있습니다. |
침입 검출
침입 탐지에서는 악의적인 활동에 대한 장치 네트워크 통신을 모니터링합니다.
•프로토콜 SMB - SMB 프로토콜에서 다양한 보안 문제를 검출하고 차단합니다.
•프로토콜 RPC - DCE(Distributed Computing Environment)용으로 개발된 원격 프로시저 호출 시스템에서 다양한 CVE를 검출하고 차단합니다.
•프로토콜 RDP - RDP 프로토콜에서 다양한 CVE를 검출하고 차단합니다(위 참조).
•ARP 악성 공격 탐지 – 메시지 가로채기 공격으로 트리거되는 ARP 악성 공격이나 네트워크 스위치의 스니핑을 탐지합니다. ARP (주소 해석 프로토콜)은 네트워크 애플리케이션이나 장치가 이더넷 주소를 확인하는 데 사용됩니다.
•TCP/UDP 포트 검사 공격 검출 - 활성 포트를 찾고 서비스 취약점을 악용하려는 목적으로 다양한 포트 주소에 클라이언트 요청을 보내 열린 포트에 대한 호스트를 조사하도록 고안된 애플리케이션인 포트 검사 소프트웨어의 공격을 검출합니다. 이러한 공격 유형에 대한 자세한 내용은 용어집을 참조하십시오.
•공격 검출 후 안전하지 않은 주소 차단 - 공격의 근원지로 검출된 IP 주소는 특정 기간 동안 연결하지 못하도록 차단 목록에 추가됩니다. 공격 탐지 후 주소가 차단되는 기간을 설정하는 차단 목록 보존 기간을 정의할 수 있습니다.
•공격 탐지에 대해 알림 – 화면 오른쪽 하단에 있는 Windows 알림 영역의 알림을 켭니다.
•보안 허점을 통해 들어오는 공격도 알림 표시 - 보안 허점을 통한 공격이 감지되었거나 이러한 방식으로 위협이 시스템에 침투하려는 경우 경고합니다.
패킷 검사
네트워크를 통해 전송되는 데이터를 필터링하는 패킷 분석의 유형입니다.
•SMB 프로토콜에서 관리자 공유에 대해 들어오는 연결 허용 - 관리 공유는 시스템의 하드 드라이브 파티션(C$, D$ 등)을 시스템 폴더(ADMIN$)와 공유하는 기본 네트워크 공유입니다. 관리 공유에 대한 연결을 비활성화하면 많은 보안 위험이 줄어듭니다. 예를 들어 Conficker 웜은 관리 공유에 연결하기 위해 사전 공격을 수행합니다.
•이전(지원되지 않는) SMB 언어 거부 - IDS에서 지원하지 않는 이전 SMB 언어를 사용하는 SMB 세션을 거부합니다. 최신 Windows 운영 체제는 Windows 95와 같은 이전 운영 체제와의 호환성 문제 때문에 이전 SMB 언어를 지원합니다. 공격자는 트래픽 조사를 회피하기 위해 SMB 세션에 이전 언어를 사용할 수 있습니다. 컴퓨터가 이전 버전의 Windows를 사용하는 컴퓨터와 파일을 공유(또는 일반적으로 SMB 통신을 사용)할 필요가 없으면 이전 SMB 언어를 거부하십시오.
•확장된 보안이 없는 SMB 세션 거부 - LM(LAN Manager) Challenge/Response 인증보다 안전한 인증 메커니즘을 제공하기 위해 SMB 세션 협상 중에 확장된 보안이 사용될 수 있습니다. LM 체계는 약한 것으로 간주되므로 사용하지 않는 것이 좋습니다.
•신뢰 영역 외부에 있는 서버에 대해 SMB 프로토콜에서 실행 파일 열기 거부 - 방화벽의 신뢰 영역에 속해 있지 않은 서버의 공유 폴더에서 실행 파일(.exe, .dll, ...)을 열려고 하면 연결이 끊어집니다. 신뢰할 수 있는 소스에서 실행 파일을 복사하는 것은 합법적일 수 있습니다. 신뢰할 수 있는 소스의 실행 파일을 복사하는 것은 적법할 수 있지만, 이 검출에서는 악의적인 서버에 있는 파일을 원치 않는 방식으로 열 때(예: 공유 악성 실행 파일의 하이퍼링크를 클릭하여 파일이 열림) 발생하는 위험을 완화해야 합니다.
•신뢰 영역에서 서버 연결 시 SMB 프로토콜의 NTLM 인증 거부 - NTLM(두 버전 모두 해당) 인증 체계를 사용하는 프로토콜은 자격 증명 전달 공격(SMB 프로토콜의 경우 SMB 릴레이 공격으로 알려져 있음)을 받기 쉽습니다. 신뢰 영역 외부에 있는 서버의 NTLM 인증을 거부하면 신뢰 영역 밖에 있는 악의적인 서버에서 자격 증명을 전달하여 발생하는 위험이 줄어듭니다. 마찬가지로 신뢰 영역의 서버를 통한 NTLM 인증을 거부할 수 있습니다.
•Security Account Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SAMR]을 참조하십시오.
•Local Security Authority 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-LSAD] 및 [MS-LSAT]를 참조하십시오.
•Remote Registry 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-RRP]를 참조하십시오.
•Service Control Manager 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SCMR]을 참조하십시오.
•Server 서비스와의 통신 허용 - 이 서비스에 대한 자세한 내용은 [MS-SRVS]를 참조하십시오.
•기타 서비스와의 통신 허용 - MSRPC는 Microsoft에서 구현한 DCE RPC 메커니즘입니다. 더욱이 MSRPC에서는 전송(ncacn_np 전송)용 SMB(네트워크 파일 공유) 프로토콜로 이동되는 명명된 파이프를 사용할 수 있습니다. MSRPC 서비스는 Windows 시스템을 원격으로 접근 및 관리하기 위한 인터페이스를 제공합니다. Windows MSRPC 시스템에서는 몇 가지 보안 취약점(Conficker 웜, Sasser 웜 등)이 검색되고 악용되었습니다. 많은 보안 위험(예: 원격 코드 실행 또는 서비스 실패 공격)을 줄이려면 제공할 필요가 없는 MSRPC 서비스와의 통신 기능은 비활성화하십시오.