Home article search

ESET Smart Security ve ESET Endpoint Security'de IDS ve gelişmiş seçenekler

Çözüm

IDS ve gelişmiş seçenekler bölümü bilgisayarınıza karşı yapılabilecek çeşitli saldırıları tespit etmek için size gelişmiş filtreleme seçenekleri sunar.

Not: Bazı durumlarda engellenen iletişim için masaüstünde bir bildirim görmeyeceksiniz. Engellenen bu bağlantıların kayıtlarını Araçlar>Günlük Dosyaları --> Kişisel Güvenlik Duvarı bölümünde bulabilirsiniz.

Önemli: Aşağıdaki pencerede bulunan çeşitli seçenekler, kullandığınız ESET güvenlik ürünün ve kişisel güvenlik duvarı modülünün sürümüne göre değiştiği gibi işletim sisteminize göre de farklılık gösterebilir.

ESS IDS and advanced options
Ekran 1-1
Görsele tıklayarak resmi yeni bir pencerede büyütebilirsiniz

İzin verilen hizmetler

  • Güvenilen bölgede dosya ve yazıcı paylaşımına izin ver – Güvenilen bölgede uzak bilgisayarların paylaşılan dosya ve yazıcılarına erişmesine izin verir.
  • Güvenilen bölgede UPNP'ye izin ver – Ağ aygıtlarının otomatik olarak yapılandırılmasına izin veren UPNP'yi (Evrensel Tak ve Kullan) etkinleştir.
  • Güvenilen bölgede RPC iletişimine izin ver – Güvenilen bölgede kurulan Microsoft RPC DCOM sistemi üzerinden bağlantıları etkinleştirir.
  • Güvenilen bölgede uzak masaüstüne izin ver – Güvenilen bölgedeki bilgisayarların bilgisayarınıza erişmesine (Uzak Masaüstü Bağlantısı programını kullanarak) izin vermek için bu seçeneği belirleyin.
  • IGMP ile multicast gruplarında oturum açmayı etkinleştir - IGMP (Internet Grup Yönetimi Protokolü) protokolünü kullanan programlarca oluşturulan (örneğin) video akışına izin verir
  • Etkin olmayan TCP bağlantılarını koru - Bazı uygulamaların çalışabilmesi için, TCP bağlantısı etkin olmasa da, kurdukları TCP bağlantısının korunmasını gerektirir. Etkin olmayan TCP bağlantılarının sonlandırılmasını önlemek için bu seçeneği etkinleştirin.
  • Köprülü bağlantılar için iletişimi etkinleştir - Köprülü bağlantıların sonlandırılmasını önlemek için bu seçeneği etkinleştirin.
  • Güvenilen bölge dışından ARP isteklerine cevap verilmesine izin ver - Sistemin Adres çözümleme protokolü isteklerini yanıtlamasını istiyorsanız bu seçeneği kullanın. Bu işlev, sonraki atlama yönlendiricisinin belirlenmesi gerektiğinde, yerel ağın yanı sıra IP adreslerine dayalı ağ geçitleri (yönlendiriciler) arasındaki çalışma trafiğindeki internet yönlendirilmesi için de kritik önem taşır.
  • Bilgisayardaki tüm trafiğe izin ver - Bu seçenek devre dışı bırakılırsa, yerel ana bilgisayar iletişim girişimlerine izin vermeniz veya bunları reddetmeniz istenir. Bu işlemin çalışması için Kişisel güvenlik duvarının Etkileşimli moda ayarlanması gerekir.
  • Metro uygulamarına izin ver (Windows 8 only) – Metro ortamında çalışan uygulamaların iletişimine Metro uygulama bildirimini açarak izin verir. Bu seçenek, Etkileşimli mod veya İlke tabanlı modu seçmiş olsanız bile  mevcut tüm kural ve dışlamaların üzerine yazılacaktır.

Vista/Windows 7 hizmetleri

  • Yerel ağdan Güvenilen bölgeye IPv6 adresleri ekle - Yerel ağ kesimi içindeki IPv6 protokolü üzerinden bağlanan tüm bilgisayarlar Güvenli bölge olarak kabul edilir.
  • Güvenilen bölgede Web Hizmetleri Dizinine (WSD) izin ver - Güvenlik duvarından belirli web dizinine/bağlantı dizinine izin verir. Web dizini, bağlantıların sınıflandırıldığı web sayfası bağlantılarının bir listesidir.
  • Güvenilen bölgede multicast adres çözümlemeye izin ver (LLMNR) - LLMNR, hem IPv4 hem de IPv6 ana bilgisayarlarının, bir DNS sunucusuna veya DNS istemci yapılandırmasına gerek duyulmadan ad çözümlemelerini gerçekleştirebilmelerini sağlayan, DNS paketi tabanlı bir protokoldür. Bu seçenek, bu protokolün güvenlik duvarından iletişimde kullanılmasına izin verir.
  • Windows 7 Ev Grubu desteği - Windows 7 İşletim Sistemi için Ev Grubu desteğini etkinleştirir. Ev Grubu, bir ev ağı üzerindeki dosya ve yazıcıların paylaşılabilmesini mümkün kılar. Yapılandırmak için Başlat > Denetim Masası > Ağ ve Internet > Ev Grubu öğelerine gidin.

SMB üzerindeki gelen RPC iletişimi

Bu alt başlık ile Microsoft RPC servisleri ve SMB protokolü arasındaki iletişimi kesebilirsiniz. Güvenlik risklerini önlemek için bu servisleri kullanmıyorsanız, bu seçenekleri kapalı konumda tutmanızı öneririz.

  • Allow communication with the Security Account Manager service – SAM, kullanıcılara ait parolaları hash formatında tutar. Bazı SMB üzerinden yapılan bazı uzak saldırılar yerel kimlik sistemini atlatabilir.
  • Allow communication with the Local Security Authority service (LSASS) – Sistemin güvenlik ilkesini sağlamaktan sorumlu bir Windows servisi
  • Allow communication with the Remote Registry service – Bu servis uzaktaki kullanıcıların bilgisayardaki kayıt defteri ayarlarını değiştirebilmesini sağlar.
  • Allow communication with the Service Control Manager service – Windows altındaki özel sistem işlemleri(services.exe) Windows service işlemleri ile etkileşime geçerek başlar ve durur. Bir saldırgan tarafından bu servisin uzaktan çağrılması çeşitli problemler doğmasına sebep olabilir.
  • Allow communication with the other services – Tüm diğer Microsoft RPC servisleri (Print Spooler veya Workstation service gibi).

Yetkisiz giriş algılama

  • CodeRed solucanı algılama - CodeRed solucanını algılar. CodeRed solucanı, yayılmak için arabellek saldırı sistem açığı yöntemini kullanan bir solucandır. Solucan IIS(Internet Information Server) öğesiyle dağıtılan dizine alınmış yazılımda bulunan sistem açığından yararlanır.
  • SqlSlammer solucanı algılama - SqlSlammer solucanı algılar. SqlSlammer solucanı bazı İnternet ana bilgisayarlarında hizmet reddine (DoS) yol açar ve genel İnternet trafiğini yavaşlatır.
  • RPC/DCOM saldırısı algılama - Bu seçenek belirlenirse, Microsoft RPC DCOM açığından faydalanan saldırılar engellenir.
  • Sasser solucanı algılama - Sasser solucanının algılanması. Sistem açığına sahip Windows XP/2000 sürümlerini çalıştıran bilgisayarları etkileyen solucan benzeri bir başka arabellek saldırısıdır ve Windows LSASS hizmeti tarafından kullanılan bağlantı noktası yoluyla sistemden faydalanır.
  • Conficker solucanı algılama – Windows işletim sistemi ve yazılımsal açıkları hedefleyen Conficker solucanın tespit edilmesini etkinleştirir. Bu solucan sözlük saldırısı veya deneme yanılma(brute force) yöntemiyle yönetici hesaplarını ele geçirmeye çalışır.

Not: The Aforementioned check boxes next to specific worm detection algorithms (such as Sasser) may not be available for all users. These features have been replaced by CVE detection in newer versions of ESET security products or Personal firewall modules.

  • ARP Zehirleme saldırısı algılama - Saldırgan, ağa bağlı bir aygıta yanlış bilgi gönderir. Bunun ardından saldırgan, herhangi bir IP adresini herhangi bir MAC adresiyle ilişkilendirme ve birden çok saldırı vektörüyle ağa saldırma yeteneği elde eder.
  • DNS Zehirleme saldırısı algılama - Bilgisayar korsanları, herhangi bir bilgisayarın DNS sunucusunu DNS zehirleme yöntemiyle kandırarak, sağladıkları sahte verilerin yasal ve gerçek olduğuna inanmasını sağlayabilir.
  • TCP Bağlantı Noktası Tarama saldırısı algılama - Bağlantı noktası tarama, güvenlik açıklarından yararlanabilecek bir ağ ana bilgisayarında açık bilgisayar bağlantı noktaları olup olmadığını denetler.
  • UDP Bağlantı Noktası Tarama saldırısı algılama - Bağlantı noktası tarama, güvenlik açıklarından yararlanabilecek bir ağ ana bilgisayarında açık bilgisayar bağlantı noktaları olup olmadığını denetler.
  • SMB Geçişi saldırısını algılama - Uzak bir tarafın iki bilgisayar arasındaki iletişimde araya girdiği bir saldırı türüdür
  • Saldırının algılamasından sonra güvenli olmayan adresi engelle - Saldırı kaynağı olarak algılanan IP adreslerine bağlantıyı durdurur.
  • Saldırının algılamasından sonra bildirim görüntüle - Ekranın sağ alt köşesinde algılanan saldırı ile ilgili bildirim görüntüler.

Paket denetleme

  • TCP bağlantı durumunu denetle - Tüm TCP paketlerinin var olan bir bağlantıya ait olduğunu kontrol edin. Paket bir bağlantıda mevcut değilse, kesilir.
  • TCP protokolü aşırı yük algılama - Bu yöntemin temelini, bilgisayarın/sunucunun birden çok isteğe maruz bırakılması oluşturur
  • Gelen TCP ve UDP paketlerinin doğrulanması (sağlama toplamı doğrulaması) - Yalnızca sınama amacıyla bu seçeneği etkinleştirin. İşlev gelen TCP/UDP paketlerinin sağlama toplamını doğrular.
  • Giden TCP ve UDP paketlerinin doğrulanması (sağlama toplamı doğrulaması) - Giden TCP/UDP paketlerinin sağlama toplamını doğrular.– Validates checksum of outgoing TCP/UDP packets.
  • ICMP protokol iletisi denetleme - ICMP protokolünün zayıflıklarından faydalanılarak yapılan saldırılardır.
  • ICMP protokolünde gizli veri algılama - ICMP protokolünün veri aktarımında kullanılmadığını kontrol eder. ICMP protokolünü kullanarak kişisel güvenlik duvarını aşmak için veri aktarımını kapsayan birçok kullanılabilir teknik vardır.

Sorun giderme

  • Engellenen tüm bağlantıları günlüğe kaydet - Reddedilen bağlantıların tümünü bir günlüğe kaydeder.
  • Engellenen gelen solucan saldırılarını günlüğe kaydet - Solucanların sisteme girme girişimlerinin tümünü günlüğe kaydeder.


Was this information helpful?