Home article search

IDS a rozšírené nastavenia v ESET Smart Security a ESET Endpoint Security

Riešenie

V časti IDS a pokročilé nastavenia môžete nastaviť pokročilé možnosti filtrovania obsahu a detekcie rôznych druhov útokov a zraniteľností, ktoré môžu byť namierené na váš počítač.

Poznámka: V určitých prípadoch neobdržíte výstražnú notifikáciu o zablokovanej komunikácii. Môžete si prezrieť záznam z personálneho firewallu, aby ste uvideli všetky blokované prichádzajúce a odchádzajúce pokusy o komunikáciu v sekcii Nástroje Protokoly (z roletového menu Protokoly zvoľte Personálny firewall).

Dôležité: Dostupnosť určitých možností v tomto okne môže závisieť od typu verzie vášho bezpečnostného produktu ESET a modulu personálneho firewallu, ako aj verzie vášho operačného systému.

IDS a rozšírené nastavenia v ESS
Obr. 1-1

Povolené služby

  • Umožniť zdieľanie súborov a tlačiarní v dôveryhodnej zóne – Zabezpečuje že vzdialené počítače, ktoré sú zaradené do dôveryhodnej zóny budú môcť pristupovať k vašim zdieľaným súborom a tlačiarňam.
  • Umožniť UPNP v dôveryhodnej zóne – Povoľuje odchádzajúce a prichádzajúce požiadavky protokolu UPnP pre systémové služby v dôveryhodnej zóne. UPnP (Universal Plug and Play alebo Microsoft Network Discovery) sa používa od verzie operačného systému Windows Vista.
  • Povoliť prichádzajúcu RPC komunikáciu v dôveryhodnej zóne – Povoľuje TCP komunikáciu z dôveryhodnej zóny používanú na prístup k službám MS RPC Portmapper a RPC/DCOM.
  • Povoliť vzdialenú plochu v dôveryhodnej zóne – Počítačom v dôveryhodnej zóne je povolené pripojenie prostredníctvom funkcie Pripojenie vzdialenej pracovnej plochy (Remote Desktop Connection).
  • Povoliť prihlasovanie do multicastových skupín IGMP – Umožňuje komunikáciu pomocou protokolov IGMP a UDP, napríklad video streamu vytvoreného určitým programom cez protokol IGMP (Internet Group Management Protocol).
  • Povoliť dlhotrvajúcu neaktivitu pri TCP spojeniach – Určité typy aplikácií/pripojení vyžadujú pre svoje správne fungovanie stále TCP spojenie bez ohľadu na aktivitu, ktorá v ňom prebieha. Aktivovanie tejto voľby zabezpečí, že dlhšie neaktívne TCP spojenia nebudú prerušené.
  • Povoliť komunikáciu nepatriacu danému počítaču – most – V prípade komunikácie typu most (bridge), táto nie je firewallom blokovaná.
  • Povoliť ARP odpoveď mimo dôveryhodnú sieť – Povoľte túto možnosť ak chcete aby systém odpovedal na požiadavky protokolu ARP prichádzajúce z IP adries mimo dôveryhodnej zóny.
  • Povoliť všetkú komunikáciu v rámci počítača – Ak je táto možnosť zakázaná, budete vyzvaní buď povoliť alebo zakázať lokálne spojenia. Platí iba pre Interaktívny režim.
  • Povoliť Metro aplikácie (len Windows 8) – Spojenia aplikácií z obchodu Windows Store, ktoré sú spustené v prostredí Metro, sú povolené/blokované na základe Metro manifestu (whitelistu). Táto voľba prepíše všetky pravidlá a výnimky pre Metro aplikácie bez ohľadu na to, či ste vybrali Interaktívny režim alebo Administrátorský režim v personálnom firewalle ESET.
  • Povoliť prichádzajúce spojenie k správcovským zdieľaným položkám cez SMB protokol – Správcovské zdieľané položky (admin shares) sú zdieľané položky partícií (C$, D$, ...) a systémového súboru (ADMIN$). Zakázaním prístupu k správcovským zdieľaným položkám výrazne obmedzuje bezpečnostné riziká. Napríklad, červ Conficker vykonáva slovníkové (dictionary) útoky v snahe získať prístup k týmto položkám

Služby pre Vista/Windows 7

  • Pridať IPv6 adresy na lokálnej sieti do dôveryhodnej zóny (fe80::/64) – Pridá link-local adresu (IP adresu, ktorá slúži na komunikáciu v lokálnej sieti) z lokálnej siete, ktorá bude považovaná za dôveryhodnú zónu. Adresa link-local pre IPv6 sa prideľuje s predponou fe80::/64.
  • Povoliť automatické zisťovanie siete (WSD) v dôveryhodnej zóne pre systémové služby – Povoľuje prichádzajúce a odchádzajúce požiadavky protokolu WSD z dôveryhodnej zóny cez firewall. WSD (Web Service Discovery) je protokol používaný na zisťovanie služieb v lokálnej sieti.
  • Povoliť multicastový preklad adries v dôveryhodnej sieti (LLMNR) – Táto možnosť povoľuje prichádzajúce/odchádzajúce DNS požiadavky z/do dôveryhodnej zóny cez firewall. LLMNR (Link-local Multicast Name Resolution) je protokol založený na DNS paketoch povoľujúci IPv4 či IPv6 hostiteľov. Vykonáva preklad názvov hostiteľov na rovnakom lokálnom segmente a nepotrebuje pri tom DNS server, či konfiguráciu DNS klienta.
  • Podpora pre domácu skupinu vo Windows 7 – Zapne podporu pre HomeGroup v operačnom systéme Windows 7. Pomocou HomeGroup je možné zdieľať súbory a tlačiarne v rámci domácej siete. Nastavenia je možné nájsť v ponuke Štart > Ovládací panel > Sieť a Internet > HomeGroup.

Prichádzajúca RPC komunikácia cez SMB

V tejto časti môžete zakázať spojenia, ktoré používajú SMB protokol (sieťové zdieľanie súborov) medzi službami Microsoft RPC a vašim počítačom. Odporúčame vypnúť tieto možnosti, ak tieto služby nepoužívate – pre zabránenie bezpečnostným rizikám. Služba MSRPC (Microsoft RPC) umožňuje rozhraniam vzdialený prístup a vzdialené ovládanie systému Windows. V posledných rokoch bolo objavených mnoho zraniteľných miest v službe MSRPC ( červ Conficker, červ Sasser…) preto zakázaním služieb MSRPC, ktoré nepotrebujete by malo obmedziť množstvo bezpečnostných ohrození (ako napríklad vzdialené spúšťanie kódu cez sieť alebo zlyhávanie služieb kvôli útokom).

  • Povoliť komunikáciu so službou Security Account Manager – Umožňuje komunikáciu s podsystémom SAM (Security Account Manager). SAM je chránená služba, ktorá spravuje používateľské účty a používateľov systému Windows, ukladá heslá používateľov v hash formáte. Niektoré vzdialené útoky cez SMB dokážu obísť lokálny autentifikačný systém.
  • Povoliť komunikáciu so službou Local Security Authority – Umožňuje komunikáciu s podsystémom LSA (Local Security Authority) – s procesom, ktorý v systéme Windows (lsass.exe) zodpovedá za presadzovanie bezpečnostných politík.
  • Povoliť komunikáciu so službou Remote Registry – Povoľuje komunikáciu s rozhraním (winreg) umožňujúcim zápis do registrov systému z lokálneho alebo vzdialeného zariadenia.
  • Povoliť komunikáciu so službou Správca riadenia služieb – Povoľuje komunikáciu s rozhraním (svcctl) umožňujúcim ovládanie služieb systému Windows pomocou podsystému SCM (Service Control Manager), ktorý spúšťa, ukončuje a inak spravuje služby systému Windows.
  • Povoliť komunikáciu so službou Server – Povoľuje komunikáciu s rozhraním (srvsvc) umožňujúcim ovládať službu lanmanserver (nazývanú tiež služba Server), ktorá umožňuje zdielanie súborov, tlačiarní a pomenovaných kanálov (named-pipe) po sieti pre tento počítač.
  • Povoliť komunikáciu s ostatnými službami – Povoľuje komunikáciu s ostatnými rozhraniami Microsoft RPC (ako napríklad služba Spooler používaná pri tlačiarňach alebo služba Scheduler).

Detekcia útokov

  • Detekcia červa CodeRed – Detekcia útoku červa CodeRed. Tento červ využíva zraniteľnosti a metódy pretečenia zásobníka, aby sa rozšíril – v indexovacom softvéri distribuovaného pomocou IIS (Internet Information Server).
  • Detekcia červa SqlSlammer – Detekcia útoku červa SqlSlammer. Červ vie spôsobiť na niektorých internetových hostiteľoch zastavenie služby (DoS) a spomaľuje internetové pripojenie.
  • Detekcia útokov RPC/DCOM – Útok pri ktorom je zneužívaná bezpečnostná diera v systéme Microsoft RPC DCOM bude detegovaný a blokovaný.
  • Detekcia červa Sasser – Detekcia útoku červa Sasser. Ďalší červ využívajúci metódu pretečenia zásobníka, ktorý má vplyv na počítače, na ktorých beží zraniteľná (neaktuálna) verzia operačného systému Windows XP/2000. Nabúrava systém pomocou portu, ktorý používa služba Windows LSASS.
  • Detekcia červa Conficker – Detekcia útoku červa Conficker, ktorý napadá operačný systém Windows a bezpečnostné diery v jeho softvéroch. Využívajú sa metódy ako napr. Dictionary attack alebo Brute force na prelomenie hesla používateľa Administrátor.
  • Detekcia útoku ARP Poisoning – Detekcia útoku ARP poisoning spôsobeného útokom man in the middle a detekcia sniffingu na switchi siete.
  • Detekcia útoku DNS Poisoning – Detekcia útoku DNS Poisoning chráni váš počítač pred prijímaním falošných dát DNS, ktoré by vás mohli presmerovať na falošné a nebezpečné stránky. DNS (Domain name systems) sú distribuované databázové systémy, ktoré umožňujú preklad človeku zrozumiteľnej doménovej adresy na číselnú IP adresu čím umožňujú prístup na web stránku pomocou domény. Viac o tomto type útoku sa môžete dočítať v slovníku pojmov.
  • Detekcia útoku TCP/UDP Port Scanning – Deteguje útok softvéru určeného na skenovanie portov - aplikácia je navrhnutá na skúšanie otvorenosti portov hosťujúceho zariadenia posielaním požiadaviek na určitý rozsah adries portov za účelom nájdenia povoleného portu a testovania zraniteľnosti systému. Viac o tomto type útoku sa môžete dočítať v slovníku pojmov.
  • Detekcia útoku SMB Relay – Typ útoku pri ktorom útočník vstúpi do komunikácie dvoch počítačov. Viac o tomto type útoku sa môžete dočítať v slovníku pojmov.
  • Blokovať nebezpečnú adresu po detekcii útoku – Ak je zistený útok z určitej adresy, všetka komunikácia z nej bude na určitý čas blokovaná
  • Zobraziť notifikáciu po detekcii útoku – Zobrazí notifikáciu ak je zistený útok, aby bol používateľ včas varovaný.

Poznámka: Horeuvedené algoritmy detekcie červov (napr. Sasser) nemusia byť dostupné pre všetkých používateľov. Tieto boli v nových bezpečnostných produktoch ESET, či nových moduloch personálneho firewallu nahradené pomocou detekčných techník CVE.

Protokol SMB

  • Detekcia útoku škodlivého servera challenge autenetifikáciou – Táto funkcionalita vás chráni pred útokom prebiehajúcim pri prihlasovaní sa a odosielaní prihlasovacích údajov na server.
  • Detekcia úniku IDS počas otvárania named pipe – Detekcia únikových techník pri otváraní pomenovaných kanálov MSRPCS v protokole SMB.
  • Detekcia CVE (Common Vulnerabilities and Exposures) – Implementované metódy detekcie rôznych útokov, foriem, bezpečnostných dier a exploitov cez protokol SMB. Navštívte prosím nasledujúcu CVE stránku na cve.mitre.org pre vyhľadanie a získanie detailnejších informácií ohľadne identifikátorov CVE (tzv. CVEs).

Protokol RDP – CVE v RDP protokole (viď popis vyššie v tejto kapitole).

Protokol DCE/RPC – CVE v RCP protokole.

Kontrola paketov

  • Zakázať staré (nepodporované) SMB dialekty – Zakáže SMB reláciu so starým dialektom SMB, ktorý nepovoľuje IDS. Najnovšie operačné systémy Windows podporujú staré dialekty SMB vďaka spätnej kompatibilite so staršími operačnými systémami ako napríklad Windows 95. Útočník môže dojednať starší dialekt SMB s úmyslom vyhnúť sa kontrole packetov. Zakážte staré SMB dialekty ak váš počítač nepotrebuje zdieľať súbory so staršími verziami operačného systému Windows.
  • Zakázať zabezpečenie SMB bez bezpečnostných rozšírení – Bezpečnostné rozšírenia môžu byť dohadované počas dohadovania relácie SMB - mechanizmu bezpečnostnej autentifikácie LAN Manager Challenge/Response (LM). Schéma LM je považovaná za slabú a neodporúča sa ju používať.
  • Zakázať otvorenie spustiteľného súboru na serveri mimo Dôveryhodnú zónu cez SMB protokol – Zabraňuje komunikácii v prípade, že sa používateľ snaží spustiť spustiteľný súbor (.exe, .dll) zo súboru na serveri, ktorý nie je v dôveryhodnej zóne personálneho firewallu. Kopírovanie spustiteľného súboru zo zdrojov v dôveryhodnej zóne je legitímne. Táto funkcionalita by mala obmedziť nebezpečenstvo otvorenia spustiteľného súboru zo škodlivých serverov.
  • Zakázať NTLM autentifikáciu cez SMB protokol pri pripojení na server v/mimo Dôveryhodnú zónu Protokoly používajúce autentifikačnú schému NTLM (jej obe verzie) sú ohrozené útokmi preposielajúcimi prihlasovacie údaje (SMB relay v prípade protokolu SMB). Zakázaním autentifikácie NTLM so servermi mimo dôveryhodnej zóny sa obmedzí nebezpečenstvo preposielania prihlasovacích údajov škodlivým softvérom mimo dôveryhodnej zóny. Môžete zakázať aj autentifikáciu NTLM so servermi v dôveryhodnej zóne.
  • Kontrolovať stav TCP spojení – Kontrola, či všetky TCP pakety patria do nejakého existujúceho spojenia. Ak tam daný paket nepatrí, zahodí sa.
  • Detekcia zahltenia protokolu TCP – Útok spočívajúci vo vyvolaní nadmerného množstva požiadaviek na konkrétny počítač/server – známy ako DoS útok (Denial of service).
  • Overovanie prichádzajúcich TCP a UDP paketov (validácia checksum) – Kontroluje, či je kontrolný súčet v TCP a UDP paketoch správne vyrátaný. Táto možnosť sa odporúča zapnúť v prípade testovacích účelov.
  • Overovanie odchádzajúcich TCP a UDP paketov (validácia checksum) – Kontroluje súčet odchádzajúcich TCP/UDP paketov.
  • Kontrola správ v protokole ICMP – Útoky spočívajúce v zneužívaní slabín ICMP protokolu. Viac o tomto type útoku sa môžete dočítať v slovníku pojmov.
  • Detekcia skrytých dát v ICMP protokole – Kontrola, či ICMP protokol nie je zneužitý na prenášanie dát. Prenášanie dát cez ICMP je jedna zo známych techník na obchádzanie firewallu.

Hľadanie závad

  • Zapisovať všetky zablokované spojenia do protokolu – Informácia o všetkých odoprených spojeniach sa zapíše do protokolu.
  • Zapisovať zablokované prichádzajúce červy do protokolu – Pri detekcií prichádzajúceho červa bude zapísaná informácia o útoku do protokolu.
  • Vytvárať rozšírený PCAP protokol – Vytvára protokol zo všetkej komunikácie pre potreby hľadania závada a riešenia problémov. O vytváraní protokolu užívateľa informuje notifikácia. Protokol sa ukladá do adresára
    C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ vo Vista a novších verziách of Windows
    alebo do adresára C:\Documents and Settings\All Users\... na starších verziách systému Windows.


Bol tento návod užitočný?