TvrtkaPartneri
 

NORT - Baza znanja

Kontaktirajte podršku

NORT - Baza znanja

Kontaktirajte podršku

   
 
Pretraga Baze Znanja
Traži Opcije
Pitanja i odgovori
ESET programi za Windowse
Napredne opcije mrežne zaštite u ESET-ovim programima za Windowse (IDS)

 

Pitanje

  • Što se i kako podešava u Naprednim opcijama Mrežne zaštite  (pod Firewall i Zaštita od mrežnog napada)?

 

Detalji

Sekcija u naprednim podešavanjima "Mrežne zaštite" ("Firewall") omogućuje konfiguriranje naprednih opcija filtriranja ESET-ovog Firewalla kako bi bilo omogućeno otkrivanje raznih vrsta napada i ranjivosti koje mogu biti pokrenute protiv računala. U pojedinim slučajevima nećete dobiti obavijesti o blokiranim komunikacijama.

  • Ako želite vidjeli sve blokirane pokušaje ulaznih i izlaznih komunikacija, u AlatiViše alataDnevnici trebate otvoriti Dnevnik osobnog firewalla
    (u padajućem meniju uz Dnevnik trebate odabrati Osobni firewall).
     
  • Dostupnost pojedinih opcija u prozoru naprednih podešavanja IDS i napredne mogućnosti može varirati ovisno o vrsti i verziji ESET-ovog sigurnosnog programa i modula osobnog firewalla, kao i o verziji operacijskog sustava.

 

Ovaj članak odnosi se na:

  • ESET NOD32 Internet Security (verzije 10 i novije)
  • ESET Smart Security Premium (verzije 10 i novije)
  • ESET Smart Security (verzije 9 i 10)
     
  • ESET Endpoint Security (verzije 6.x i novije)

 

Odgovor

 

Kako biste pristupili podešavanju IDS u ESET Smart Security Premium, ESET NOD32 Internet Security ili ESET Smart Security, pritisnite funkcijsku tipku F5 na tipkovnici da otvorite prozor Napredno podešavanje:

  • kliknite na Mrežna zaštita,
    tamo odaberite Firewall,
    potom kliknite na Napredno, gdje možete urediti Dopušteni servisi.
     
  • kliknite na Mrežna zaštita,
    Kliknite na Zaštita od mrežnog napada,
    potom kliknite na Napredne opcije, gdje možete urediti Otkrivanje upada i Provjeru Paketa.

ESS IDS and advanced options

Slika 1-1

 

Kako biste pristupili podešavanju IDS u ESET Endpoint Security, pritisnite funkcijsku tipku F5 na tipkovnici, kliknite na Firewall, potom kliknite na Napredno gdje možete urediti Dopušteni servisi, Otkrivanje upada i Provjera Paketa.

ESS IDS and advanced options
Slika 1-2

 

 

Dopušteni servisi

  • Dopusti zajedničko korištenje datoteka i pisača u pouzdanoj zoni – Udaljenim računalima u pouzdanoj zoni omogućuje pristup zajedničkim datotekama i pisačima.
     
  • Dopusti UPNP za servise sustava u pouzdanoj zoni – Omogućeni su dolazni i odlazni zahtjevi UPnP protokola za sistemske servise. UPnP (Universal Plug and Play, poznat i kao Microsoft Network Discovery) koristi se u sustavu Windows Vista i novijim operacijskim sustavima.
     
  • Dopusti ulaznu RPC komunikaciju u pouzdanoj zoni – Aktivira se TCP povezivanje iz pouzdane zone tako što se omogućuje pristup servisima MS RPC Portmapper i RPC/DCOM. 
     
  • Dopusti udaljeni pristup radnoj površini u pouzdanoj zoni – Aktivira se povezivanje putem protokola Microsoft Remote Desktop Protocol (RDP) te se omogućuje računalima u pouzdanoj zoni da pristupaju vašem računalu pomoću programa koji koristi RDP (kao što je Remote Desktop Connection).
     
  • Omogući prijavu na višeodredišne grupe putem IGMP-a – Omogućuje se dolazni/odlazni IGMP i UDP višeodredišni streaming, primjerice video streaming koji su generirali programi koji koriste protokol IGMP (Internet Group Management Protocol).
     
  • Održavaj neaktivne TCP veze – Da bi mogle funkcionirati, nekim je aplikacijama potrebno održavanje uspostavljene TCP veze, čak i ako je ona neaktivna. Odaberite tu mogućnost da biste izbjegli prekidanje neaktivnih TCP veza.
     
  • Dopusti komunikaciju za premošćene veze – Odaberite tu mogućnost da biste izbjegli prekid premošćenih veza.
     
  • Dopusti odgovore na ARP zahtjeve izvan pouzdane zone – Ovu mogućnost odaberite ako želite da sustav odgovara na ARP zahtjeve IP adresama koje nisu iz pouzdane zone. ARP (Address Resolution Protocol – protokol za razrješavanje adrese) koriste mrežne aplikacije za utvrđivanje Ethernet adrese.
     
  • Dopusti sav promet unutar računala – Ako se ta mogućnost deaktivira, postavlja se upit o dopuštanju ili zabrani pokušaja komunikacije lokalnog računala. Da bi ta mogućnost funkcionirala, osobni firewall mora biti postavljen na interaktivni način.
     
  • Dopusti Metro aplikacije (samo za Windows 8) – Komunikacija aplikacija iz Windows trgovine koje se izvršavaju u okruženju Metro dopuštena je u skladu s manifestom Metro aplikacije. Ta će mogućnost poništiti sva pravila i iznimke za Metro aplikacije, bez obzira na to jeste li u ESET osobnom firewallu odabrali interaktivni način ili način rada na temelju pravila.
     
  • Dopusti dolaznu vezu za zajedničke mreže u SMB protokolu – Zajedničke mreže odnose se ovdje na standardne zajedničke mreže koje dijele particije tvrdog diska (C$, D$, ...) u sustavu zajedno s mapom sustava (ADMIN$). Deaktiviranje veze sa zajedničkim mrežama trebalo bi smanjiti mnoge sigurnosne rizike. Primjerice, crv Conficker vrši napade "dictionary attack" kako bi uspostavio vezu sa zajedničkim mrežama.

 

Vista/Windows 7 usluge

  • Dodaj IPv6 adrese iz lokalne mreže u pouzdanu zonu (fe80::/64) – Dodaje se adresa lokalne veze (IP adresa koja je namijenjena komunikaciji u lokalnoj mreži) iz vaše lokalne mreže koja će se smatrati pouzdanom zonom. Adrese lokalne veze za IPv6 potpisuju se prefiksom fe80::/64.
     
  • Dopusti automatsko otkrivanje web servisa (WSD) za servise sustava u pouzdanoj zoni – Propušta kroz firewall dolazne ili odlazne zahtjeve iz pouzdanih zona za otkrivanje web servisa. WSD je protokol koji se koristi za pronalaženje servisa na lokalnoj mreži.
     
  • Dopusti višeadresnu adresnu razlučivost u pouzdanoj zoni (LLMNR) – LLMNR (Link-Local Multicast Name Resolution) je protokol koji se temelji na DNS paketu koji dopušta glavnim računalima IPv4 i IPv6 rješavanje naziva za glavna računala na istoj lokalnoj vezi bez konfiguriranja DNS servera ili DNS klijenta. Ova mogućnost propušta kroz firewall dolazne/odlazne višeodredišne DNS zahtjeve iz/u pouzdanu zonu.
     
  • Podrška za Windows 7 HomeGroup – Aktivira se HomeGroup podrška za Windows 7 i novije operacijske sustave. HomeGroup može zajednički koristiti datoteke i pisače u matičnoj mreži. Da biste konfigurirali Homegroup, prijeđite na Start > Upravljačka ploča > Mreža i internet > HomeGroup.

 

Dolazna RPC komunikacija u pouzdanoj zoni

MSRPC je Microsoftova implementacija mehanizma DCE RPC. Osim toga, MSRPC može za prijenos (ncacn_np transport) koristiti cijevi s imenom koje su prenesene u protokol SMB (zajedničko korištenje mrežnih datoteka). MSRPC servisi nude sučelja za udaljeno pristupanje i upravljanje prozorima. Tijekom posljednjih godina u sustavu Windows MSRPC otkriveno je i iskorišteno "in the wild" nekoliko sigurnosnih slabosti (crv Conficker, crv Sasser...). Deaktivirajte komunikaciju koja koristi MSRPC servise i koja vam nije potrebna kako biste umanjili mnoge sigurnosne rizike (kao što je udaljeno izvršavanje koda ili napad uskraćivanjem usluge).

  • Dopusti komunikaciju sa servisom sigurnosnog upravitelja računa – Ovo sučelje (samr) koristi se za komunikaciju s podsustavom SAM (Security Account Manager – sigurnosni upravitelj računa). SAM je zaštićeni servis koji upravlja korisnicima i grupama u sustavu Windows.
     
  • Dopusti komunikaciju sa servisom lokalne sigurnosne autorizacije – Ovo sučelje (lsarpc) koristi se za komunikaciju s podsustavom LSA (Local Security Authority – lokalna sigurnosna autorizacija) – postupkom u sustavu Windows (lsass.exe) koji je odgovoran za provedbu sigurnosnih smjernica sustava.
     
  • Dopusti komunikaciju sa servisom udaljenog registra – Ovo sučelje (winreg) koristi se za lokalni ili udaljeni pristup registru. Time se omogućuje udaljenim korisnicima da mijenjaju postavke registra na ovom računalu.
     
  • Dopusti komunikaciju sa servisom upravitelja za kontrolu servisa – Ovo sučelje (svcctl) koristi se za upravljanje servisima sustava Windows putem SCM-a (Service Control Manager – upravitelj za kontrolu servisa), koji pokreće, zaustavlja i komunicira sa servisnim procesima sustava Windows. Udaljeni poziv napadača ovom servisu može izazvati razne probleme.
     
  • Dopusti komunikaciju sa servisom servera – Ovo sučelje (srvsvc) koristi se za upravljanje servisom lanmanservera (naziva se servis servera), koji za ovo računalo podržava zajedničko korištenje datoteka, pisača i cijevi s imenom putem mreže.
     
  • Dopusti komunikaciju s drugim servisima – Omogućuje se komunikacija sa svim ostalim Microsoft RPC sučeljima (kao što su servisi Usmjerivač ispisa ili Planer).

 

 

Otkrivanje upada

  • Otkrivanje crva CodeRed – Otkriva crv CodeRed. Crv CodeRed je crv koji za širenje koristi slabu točku izazvanu prekoračenjem kapaciteta međuspremnika. Crv koristi slabu točku u softveru za indeksiranje koji se distribuira s IIS-om (Internet Information Server).
     
  • Otkrivanje "ARP Poisoning" napada – Otkrivanje napada onečišćenjem ARP-a koji je uzrokovao napad tipa "man-in-the-middle" ili otkrivanje prisluškivanja na mrežnom preklopniku. ARP (Address Resolution Protocol – protokol za razrješavanje adrese) koriste mrežne aplikacije ili uređaji za utvrđivanje Ethernet adrese.
     
  • Otkrivanje "DNS Poisoning" napada – Otkrivanje onečišćenja DNS-a – primanje lažnog odgovora na DNS zahtjev (koji je poslao napadač) koji vas može preusmjeriti na lažne i zlonamjerne web stranice. DNS-ovi (Domain name systems) distribuirani su sustavi baza podataka koje prevode nazive domena razumljive ljudima u brojčane IP adrese i obrnuto te omogućuju korisnicima da se referiraju na web stranice koristeći samo njihove nazive domene. Više o toj vrsti napada pročitajte u našem malom rječniku.
     
  • Otkrivanje napada skeniranjem TCP/UDP porta – Otkrivaju se napadi koje vrši softver/aplikacija koja skenira portove i koja je osmišljena da traži otvorene portove na glavnom računalu slanjem klijentskih zahtjeva određenom rasponu adresa portova s ciljem pronalaženja aktivnih portova te iskorištavanja slabosti servisa.
    Više o toj vrsti napada pročitajte u našem malom rječniku.
     
  • Blokiraj nesigurne adrese nakon otkrivanja napada – IP adrese koje su prepoznate kao izvori napada dodaju se popisu blokiranih adresa radi sprječavanja povezivanja na određeno razdoblje.
     
  • Prikaži obavijest nakon otkrivanja napada – Uključuje obavijest na programskoj traci koja se nalazi u donjem desnom kutu zaslona.
     
  • Otkrivanje crva SqlSlammer – Otkriva napade crvom SqlSlammer. Crv SqlSlammer uzrokuje DoS na nekim internetskim glavnim računalima i usporava internetski promet općenito.
     
  • Otkrivanje RPC/DCOM napada – Ako se odabere, blokirat će se napadi koji iskorištavaju ranjivost sustava Microsoft RPC DCOM.
     
  • Otkrivanje crva Sasser – Otkriva crva Sasser. Još jedan crv koji utječe na računala s ranjivim verzijama sustava Windows XP/2000 i iskorištava sustav putem porta koji koristi servis Windows LSASS.
     
  • Otkrivanje "SMB Relay" napada – To je vrsta napada koja udaljenom napadaču omogućuje presretanje komunikacije između dva računala.
    Više o toj vrsti napada pročitajte u našem malom rječniku.
     
  • Otkrivanje crva Conficker – Otkrivanje crva Conficker čija je meta operacijski sustav Windows napadima Dictionary attack ili Brute force na administratorske lozinke.

Napomena:

Ranije spomenuti potvrdni okviri uz pojedine algoritme za otkrivanje crva (primjerice Sasser) možda neće biti dostupni za sve korisnike. Te su značajke u novijim verzijama ESET proizvoda ili modulima osobnog firewalla zamijenjene tehnikom CVE otkrivanja (pogledajte u nastavku).

 

Protokol SMB

  • Otkrivanje napada lažnim izazovom za autorizaciju servera – Ta mogućnost štiti od napada koji koriste lažni izazov tijekom autorizacije radi dohvaćanja korisničkih podataka.
     
  • Otkrivanje izbjegavanja IDS-a tijekom otvaranja cijevi s imenom – Otkrivanje poznatih tehnika izbjegavanja za otvaranje MSRPCS cijevi s imenom u SMB protokolu.
     
  • Otkrivanje CVE (Common Vulnerabilities and Exposures) – Primijenjene metode otkrivanja raznih napada, oblika, sigurnosnih rupa i manevara preko SMB protokola.
    Pogledajte CVE web stranicu na adresi cve.mitre.org i potražite detaljnije informacije o CVE identifikatorima (CVE-ovi).
     

Protokol RDP – CVE-ovi u RDP protokolu (pogledajte iznad).

Protokol DCE/RPC – CVE-ovi u sustavu udaljenog poziva postupka koji je razvijen za Distribuirano računalno okruženje (DCE).

 

 

Provjera paketa

  • Zabrani stare (nepodržane) SMB dijalekte – Odbija se SMB sesija s dogovorenim starim SMB dijalektom koji IDS ne podržava. Suvremeni operacijski sustavi Windows podržavaju stare SMB dijalekte zahvaljujući kompatibilnosti sa starim operacijskim sustavima kao što je Windows 95. Napadač može dogovoriti korištenje starog dijalekta u SMB sesiji kako bi izbjegao provjeru prometa. Zabranite stare SMB dijalekte ako računalo ne treba dijeliti datoteke (SMB komunikaciju općenito) s računalom koje koristi staru verziju sustava Windows.
     
  • Zabrani SMB zaštitu bez sigurnosnih ekstenzija – Povećana sigurnost može se dogovoriti tijekom pregovaranja SMB sesije kako bi se osigurao mehanizam autorizacije koji je sigurniji od autorizacije izazovom/odgovorom LAN upravitelja. LM shema smatra se slabom i ne preporučuje se za upotrebu.
     
  • Zabrani otvaranje izvršnih datoteka na serveru izvan pouzdane zone u SMB protokolu – Odbija se veza kad pokušavate pokrenuti izvršnu datoteku (.exe, .dll...) iz zajedničke mape na serveru koji ne pripada pouzdanoj zoni u osobnom firewallu. Napominjemo da kopiranje izvršnih datoteka iz pouzdanih izvora može biti legitimno. S druge strane, ovo otkrivanje trebalo bi umanjiti rizik neželjenog otvaranja datoteke na zlonamjernom serveru, koje je uzrokovao, primjerice, korisnik klikom veze na zajedničku zlonamjernu izvršnu datoteku.
     
  • Zabrani NTLM autorizaciju u SMB protokolu za povezivanje servera u pouzdanoj zoni / izvan pouzdane zone – Protokoli koji koriste NTLM sheme autorizacije (obje verzije) podliježu napadu prosljeđivanjem podataka (poznatom i kao "SMB relay" napad kada se radi o SMB protokolu). Zabrana NTLM autorizacije pri povezivanju sa serverom izvan pouzdane zone trebala bi umanjiti rizik da će zlonamjerni server izvan poudane zone proslijediti podatke. Na sličan se način može zabraniti i NTLM autorizacija pri povezivanju sa serverima u pouzdanoj zoni.
     
  • Provjeri status TCP veze – Provjerava pripadaju li svi TCP paketi postojećoj vezi. Ako paket ne postoji u vezi, on će se ispustiti.
     
  • Otkrivanje preopterećenosti TCP protokola  – Ova metoda uključuje izlaganje računala/servera višestrukim zahtjevima – pogledajte i odjeljak DoS (Denial of Service).
     
  • Provjera valjanosti dolaznih  / odlaznih TCP i UDP paketa (provjera valjanosti kontrolnog zbroja) – Aktivirajte ovu mogućnost samo za testiranje. Ta funkcija provjerava kontrolni zbroj dolaznih/odlaznih TCP/UDP paketa.
     
  • Provjera poruka ICMP protokola – Sprječava napade koji koriste slabosti ICMP protokola.
    Više o toj vrsti napada pročitajte u našem malom rječniku.
     
  • Otkrivanje prikrivenih podataka unutar ICMP protokola – Provjerava koristi li se ICMP protokol za prijenos podataka. Mnoge zlonamjerne tehnike koriste ICMP protokol za zaobilaženje osobnog firewalla.

 

 

Otkrivanje poteškoća

  • Zabilježi sve blokirane veze –Sve odbijene pokušaje povezivanja bilježi u dnevnik.
     
  • Zabilježi blokirane dolazne napade crva – Bilježi sve napade crva koji pokušavaju ući u sustav.
     
  • Aktiviraj napredno PCAP zapisivanje – Zapisuje se sva mrežna komunikacija za potrebe otklanjanja poteškoća. Pojavit će se upozorenje koje će korisnika obavijestiti o zapisivanju. Dnevnici se mogu pronaći na sljedećoj lokaciji:
    C:\ProgramData\ESET\ESET Security\Diagnostics\ u sustavu Vista i novijim verzijama sustava Windows ili C:\Documents and Settings\All Users\... u starijim verzijama sustava Windows.

 

 

Dodatne informacije i linkovi na povezane članke baze znanja
 

 

 

 

 

(posljednji puta revidirano 19.04.2018)
SOLN2906