• Keine Ergebnisse gefunden

Eindringversuche erkennen

Im Dokument ESET Smart Security Premium (Seite 155-159)

• SMB-Protokoll – Erkennt und blockiert verschiedene Sicherheitsprobleme im SMB-Protokoll:

oAngriffe über manipulierte Authentifizierungs-Challenge erkennen - Schützt Sie vor einem Angriff mit einer manipulierten Authentifizierungs-Challenge zum Abschöpfen von Anmeldedaten.

oIDS-Umgehungsversuche beim Öffnen von Named Pipes erkennen – Erkennung bekannter Umgehungsversuche beim Öffnen von MSRPCS-Named Pipes im SMB-Protokoll.

oCVE-Erkennungsmethoden („Common Vulnerabilities and Exposures“, übliche

Schwachstellen und Gefahren) – Bereitgestellte Erkennungsmethoden für verschiedene Angriffe, Formulare, Sicherheitslücken und Exploits über das SMB-Protokoll. Weitere Informationen zu CVE-Identifizierungen finden Sie auf der CVE-Website auf cve.mitre.org.

• RPC-Protokoll - Erkennt und blockiert verschiedene CVEs im RPC-System, die für die Umgebung für verteilte Datenverarbeitung (DCE) entwickelt wurden.

• RDP-Protokoll – Erkennt und blockiert verschiedene CVEs im RDP-Protokoll (siehe oben).

• ARPARP Poisoning-Angriffe erkennen – Erkennung von ARP Poisoning-Angriffen in Form von Man-in-the-Middle-Angriffen oder Sniffing am Netzwerk-Switch. ARP (Address Resolution Protocol) wird von Netzwerkanwendungen und -geräten zur Bestimmung der Ethernet-Adresse verwendet.

• Antwort auf ARP-Anforderungen von außerhalb der vertrauenswürdigen Zone

zulassen - Aktivieren Sie diese Option, um Systemantworten auf ARP-Anfragen von PCs außerhalb der vertrauenswürdigen Zone zuzulassen. ARP (Address Resolution Protocol) wird von

Netzwerkanwendungen zur Bestimmung der Ethernet-Adresse verwendet.

• DNSDNS Poisoning-Angriffe erkennen – Erkennung von DNS Poisoning – gefälschte

Antworten auf DNS-Anfragen (vom Angreifer), die auf gefälschte und infizierte Webseiten verweisen können. DNS (Domain Name Systems) sind verteilte Datenbanksysteme, die zwischen von

Menschen lesbaren Domänennamen und numerischen IP-Adressen übersetzen und die Angabe einer Webseite lediglich durch den Domänennamen erlauben. Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.

• TCP/UDP Portscan-Angriffe erkennen – Erkennung von Angriffen durch Portscanning-Software – Diese Anwendungen suchen nach offenen Ports, indem sie Anfragen an eine Vielzahl von Port-Adressen schicken. Dabei wird nach aktiven Ports und ausnutzbaren Sicherheitslücken gesucht.

Weitere Informationen zu diesem Angriffstyp finden Sie im Glossar.

• Unsichere Adresse nach erkanntem Angriff blockieren - Fügt IP-Adressen, die als

Angriffsquellen identifiziert wurden, zur Negativliste hinzu, um die Verbindung für einen bestimmten Zeitraum zu unterbinden.

• Hinweis bei erkanntem Angriff anzeigen - Aktiviert die Hinweise im Infobereich der Taskleiste rechts unten auf dem Bildschirm.

• Benachrichtigung auch bei eingehenden Angriffen auf Sicherheitslücken anzeigen -Zeigt eine Benachrichtigung an, wenn Angriffe auf Sicherheitslücken erkannt werden oder eine Bedrohung versucht, auf diese Weise in das System zu gelangen.

Paketprüfung

• Eingehende Verbindungen zu administrativen Freigaben per SMB-Protokoll zulassen – Administrative Freigaben (admin shares) sind Standard-Netzwerkfreigaben für

Festplattenpartitionen (C$, D$, ...) im System zusammen mit dem Systemordner (ADMIN$). Die Deaktivierung von Verbindungen zu den administrativen Freigaben unterbindet zahlreiche

Sicherheitsrisiken. Der Conficker-Wurm verwendet beispielsweise Wörterbuchangriffe, um sich mit administrativen Freigaben zu verbinden.

• Alte (nicht unterstützte) SMB-Dialekte blockieren – Verhindert SMB-Sitzungen mit alten SMB-Dialekten, die nicht von IDS unterstützt werden. Moderne Windows-Systeme unterstützen alte SMB-Dialekte aus Kompatibilitätsgründen mit alten Systemen wie z. B. Windows 95. Ein Angreifer kann einen alten Dialekt in einer SMB-Sitzung verwenden, um die Datenprüfung zu umgehen.

Blockieren Sie alte SMB-Dialekte, wenn Ihr Computer keine Dateien mit alten Windows-Versionen teilen (oder SMB-Kommunikation allgemein verwenden) muss.

• SMB-Sitzungen ohne erweiterte Sicherheitsfunktionen blockieren – Erweiterte Sicherheit kann in SMB-Sitzungen verwendet werden, um einen sichereren Authentifizierungsmechanismus im Vergleich zur LAN Manager Challenge/Response (LM)-Methode zu erhalten. Die LM-Methode gilt als schwach und sollte daher nicht verwendet werden.

• Öffnen von ausführbaren Dateien auf Server außerhalb der vertrauenswürdigen Zone per SMB-Protokoll blockieren – Blockiert Verbindungen, wenn Sie versuchen, eine ausführbare Datei (.exe, .dll, usw.) aus einem freigegebenen Ordner auf einem Server auszuführen, der in der Firewall nicht der vertrauenswürdigen Zone zugeordnet ist. Das Kopieren ausführbarer Dateien aus vertrauenswürdigen Quellen kann zwar rechtmäßig sein, diese Prüfung soll jedoch vor Risiken schützen, die durch unerwünschtes Ausführen von Dateien auf infizierten Servern (beispielsweise durch Öffnen einer Datei mit Schadsoftware nach dem Klicken auf einen Hyperlink) entstehen.

• NTLM-Authentifizierung bei Server innerhalb/außerhalb der vertrauenswürdigen Zone per SMB-Protokoll blockieren – Protokolle mit NTLM-Authentifizierungsmechanismen (beide Versionen) können durch die Übertragung von Anmeldeinformationen angegriffen werden (bekannt als SMB Relay-Angriff im Fall des SMB-Protokolls). Durch das Blockieren von NTLM-Authentifizierung für Server außerhalb der vertrauenswürdigen Zone verhindern Sie, dass Anmeldeinformationen durch diese Server weitergeleitet werden. Die NTLM-Authentifizierung kann ebenfalls für Server innerhalb der vertrauenswürdigen Zone blockiert werden.

• Verbindungen zur Sicherheitskontenverwaltung (SAM) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

• Verbindungen zur Local Security Authority (LSASS) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-LSAD] und [MS-LSAT].

• Verbindungen zum Dienst „Remoteregistrierung“ zulassen – Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

• Verbindungen zum Service Control Manager (SCM) zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

• Verbindungen zum Serverdienst zulassen - Weitere Informationen zu diesem Dienst finden Sie unter [MS-SAMR].

• Verbindungen zu anderen Diensten zulassen – Sonstige MSRPC-Dienste.

MSRPC ist die Microsoft-Implementierung des DCE RPC-Mechanismus. MSRPC kann außerdem Named Pipes aus dem SMB-Protokoll für den Transport verwenden (ncacn_np transport).

MSRPC-Services bieten Schnittstellen für den Fernzugriff und die Verwaltung von Windows-Systemen. Es wurden zahlreiche Schwachstellen im Microsoft MSRPC-System entdeckt und ausgenutzt (Beispiel: Conficker-Wurm, Sasser-Wurm usw). Deaktivieren Sie die

Kommunikation mit nicht benötigten MSRPC-Diensten, um zahlreiche Sicherheitsrisiken auszuschließen (z. B. Remote Code Execution oder Service Failure-Angriffe).

• TCP-Verbindungsstatus prüfen – Überprüft, ob alle TCP-Pakete zu einer vorhandenen Verbindung gehören. Wenn ein Paket zu keiner Verbindung gehört, wird es verworfen.

• Inaktive TCP-Verbindungen aufrechterhalten – Zur ordnungsgemäßen Funktion einiger Anwendungen müssen hergestellte TCP-Verbindungen auch dann aufrechterhalten bleiben, wenn die TCP-Verbindung möglicherweise inaktiv ist. Aktivieren Sie diese Option, um zu vermeiden, dass inaktive TCP-Verbindungen beendet werden.

• denial of Service-Angriff auf TCP-Ebene erkennen – Bei dieser Methode wird der

Computer/Server mehreren Anfragen ausgesetzt. Siehe auch Abschnitt DoS (Denial of Service-Angriffe).

• ICMP-Nachrichten scannen – Verhindert Angriffe, die Schwachstellen des ICMP-Protokolls ausnutzen, um die Reaktionsfähigkeit des Computers zu beeinträchtigen – siehe auch ICMP-Angriff.

• Im ICMP-Protokoll verborgene Daten (Covert Channel) entdecken – Prüft, ob Daten über ICMP übermittelt werden. Viele Schadcode-Methoden nutzen das ICMP-Protokoll, um die Firewall zu umgehen.

IDS regeln

Es kann vorkommen, dass der Netzwerkangriffsschutz (IDS) die Kommunikation zwischen Routern oder anderen internen Netzwerkgeräten als potenziellen Angriff meldet. Sie können als sicher bekannte Adressen zu den IDS-Ausschlüssen hinzufügen, um den IDS zu umgehen.

Illustrierte Anweisungen

Die folgenden Artikel in der ESET-Knowledgebase sind möglicherweise nur auf Englisch verfügbar:

• IP-Adresse aus IDS in ESET Smart Security Premium ausschließen

Spalten

• Ereignis - Art des Ereignisses.

• Anwendung - Wählen Sie den Pfad einer Anwendung aus, indem Sie auf ... klicken (zum Beispiel C:\Program Files\Firefox\Firefox.exe), um eine Ausnahme zu erstellen. Geben Sie NICHT den Namen der Anwendung ein.

• Remote-IP- Eine Liste von Remote-IPv4- oder IPv6-Adressen, Adressbereichen oder Subnetzen. Mehrere Adressen müssen durch ein Komma voneinander getrennt sein.

• Blockieren - Jeder Systemprozess hat ein eigenes Standardverhalten und eine eigene

zugewiesene Aktion (Blockieren oder Zulassen). Wenn Sie das Standardverhalten von ESET Smart Security Premium umgehen möchten, können Sie im Dropdown-Menü auswählen, ob die

Anwendung blockiert oder zugelassen werden soll.

• Benachrichtigen - Wählen Sie aus, ob Sie Desktopbenachrichtigungen auf Ihrem Computer erhalten möchten. Wählen Sie zwischen den Werten Standard, Ja oder Nein.

• Log - Logging von Ereignissen in den ESET Smart Security Premium-Log-Dateien. Wählen Sie zwischen den Werten Standard, Ja oder Nein.

Im Dokument ESET Smart Security Premium (Seite 155-159)
Jetzt herunterladen "ESET Smart Security Pr..."

Outline

ÄHNLICHE DOKUMENTE