Меню

Дополнительные настройки и ids



Дополнительные настройки и ids

Этот раздел предназначен для настройки дополнительных параметров фильтрации, таких как обнаружение различных типов атак, которые могут быть предприняты против компьютера.

Разрешенные службы

Разрешить общий доступ к файлам и принтерам в доверенной зоне

Позволяет открыть доступ к файлам и принтерам общего доступа с удаленных компьютеров, расположенных в доверенной зоне.

Разрешить UPNP в доверенной зоне

Позволяет использовать технологию UpnP (Universal Plug and Play) для автоматической настройки сетевых устройств.

Разрешить входящие запросы RPC в доверенной зоне

Разрешает устанавливать подключения с использованием системы Microsoft RPC DCOM в пределах доверенной зоны.

Разрешить удаленный рабочий стол в доверенной зоне

Позволяет открыть доступ к компьютеру с использованием клиента подключения к удаленному рабочему столу (Remote Desktop Connection) с компьютеров, расположенных в доверенной зоне.

Разрешить потоковую передачу из Интернета по протоколу IGMP

Разрешает, в частности, потоковую передачу видеоданных, создаваемых программами с использованием IGMP-протокола.

Поддерживать неактивные TCP-соединения

Для работы некоторых приложений требуется поддерживать установленные ими TCP-соединения, даже если соединение неактивно. Установите этот флажок, чтобы запретить обрыв неактивных TCP-соединения.

Разрешить обмен данными для соединений типа «мост»

Установите этот флажок, чтобы запретить обрыв соединений типа «мост».

Обнаружение вторжения

Обнаружение червя CodeRed

Обнаруживает червя CodeRed.

Обнаружение червя SqlSlammer

Обнаруживает атаки червя SqlSlammer.

Обнаружение атаки RPC/DCOM

Если этот флажок установлен, будут блокироваться атаки, использующие уязвимость Microsoft RPC DCOM.

Обнаружение червя Sasser

Обнаруживает червя Sasser.

Обнаружение атаки типа ARP Poisoning («подмена записей ARP»)

Злоумышленник отправляет подключенному к сети устройству неверную информацию. После этого он получает возможность сопоставить любой IP-адрес любому MAC-адресу и нарушить работу сети множеством различных способов.

Обнаружение атаки DNS Poisoning («подмена записей DNS»)

Посредством атаки DNS Poisoning хакер может убедить любой компьютер в том, что подложные данные являются истинными. Дополнительную информацию об этом типе атаки см. в глоссарии.

Обнаружение атаки сканирования TCP-портов

Сканирование портов является процедурой поиска открытых портов, ожидающих сетевые соединения. Дополнительную информацию об этом типе атаки см. в глоссарии.

Обнаружение атаки сканирования UDP-портов

Сканирование портов является процедурой поиска открытых портов, ожидающих сетевые соединения.

Обнаружение атаки SMBRelay

Это тип атаки, в которой удаленная машина может перехватить обмен данными между двумя компьютерами. Дополнительную информацию об этом типе атаки см. в глоссарии.

Обнаружение атаки «TCP-десинхронизация»

Дополнительную информацию об этом типе атаки см. в глоссарии.

Обнаружение атаки «Обратная TCP-десинхронизация»

Атаки, использующие десинхронизацию соединения. Такие атаки направлены против клиентских компьютеров.

Обнаружение атаки по протоколу ICMP

Атаки с использованием уязвимостей протокола ICMP. Дополнительную информацию об этом типе атаки см. в глоссарии.

Обнаружение перегрузки TCP-протокола

Этот метод основан на отправке компьютеру или серверу многочисленных запросов (см. также DoS, или атаки типа «Отказ в обслуживании»).

Блокировать опасный адрес после обнаружения атаки

Разрывает соединение с IP-адресом, с которого производятся атаки.

Решение проблем

Регистрировать все заблокированные соединения

Все отклоненные соединения регистрируются в журнале.

Регистрировать заблокированные атаки червей

Все попытки червей проникнуть в систему регистрируются в журнале.

Источник

ESET CONNECT

Единая точка входа для ресурсов ESET

Войти через социальные сети

Решение проблем, связанных с настройкой файервола в ESET Smart Security , Файервол, ESET Smart Security

При наличии каких-либо проблем с настройкой соединений и других, связанных с файерволом, проще всего сначала переключиться в Интерактивный режим в разделе Персональный файервол -> Режим фильтрации. После настройки всех необходимых соединений и/или решения имеющихся проблем режим файервола можно вернуть в исходный или изменить на другой более удобный (кроме Автоматического).
Также стоит не забыть снять галочку с Дополнительные настройки -> Игровой режим -> Включить игровой режим.
(Почти все рассматриваемые настройки находятся в разделе Дополнительные настройки (клавиша F5) -> Сеть -> Персональный файервол)

Описание наиболее распространенных проблем.

1. Блокирование подключений какой-либо программы.
Решение.
В разделе Персональный файервол -> Режим фильтрации переключиться в Интерактивный режим, сохранить изменения -> Запустить проблемную программу -> Проделать в программе необходимые для подключения действия -> В появившемся окне с запросом на соединение поставить галочку «Запомнить действие (создать правило)» и нажать кнопку «Разрешить».
Либо не меняя режим фильтрации: Правила и зоны -> Редактор зон и правил, нажать кнопку «Настройки. » -> На вкладке «Правила» нажать кнопку «Создать» -> В появившемся диалоговом окне вручную ввести все необходимые данные и нажать кнопку «ОК».

Читайте также:  Настройка карты nvidia для максимальной производительности

2. Создание правила для программ вида «Запретить все, кроме. »
Решение.
В появившемся запросе на соединение нажать «Показать параметры». Для необходимых IP-адресов выбрать «Пользовательское правило», в появившемся окне нажать «ОК».
А далее при запросе с ненужного IP-адреса выбрать поставить галочку «Запомнить действие (создать правило)» и нажать кнопку «Запретить».

3. Блокирование общего доступа к файлам и принтерам в доверенной зоне.
Решение.
Дополнительные настройки и IDS -> включить галочку «Разрешить общий доступ к файлам и принтерам в доверенной зоне».

4. Блокирование IPTV.
Решение.
Правила и зоны -> Редактор зон и правил, нажать кнопку «Настройки. » -> На вкладке «Правила» нажать кнопку «Создать» -> В появившемся диалоговом окне:
— В поле «Имя» напишите IGMP
— В поле «Направление» выберите «Любое»
— В поле «Действие» выберите «Разрешить»
— В поле «Протокол» нажмите кнопку «Выбрать протокол. » и выберите из списка протокол IGMP (Не перепутайте с ICMP).
После проделанных операций нажмите кнопку «ОК», на вопрос о неточности правила отвечаем «Да».
Далее запускаем программу для просмотра IPTV, в появившемся окне с запросом на соединение поставить галочку «Запомнить действие (создать правило)» и нажать кнопку «Разрешить».

5. Блокирование роутера, домашних групп/сетей и т.п.
Решение.
1) Правила и зоны -> Доверенная зона -> Выбрать свою зону(сеть) и выставить «Разрешить общий доступ».
2) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку «Блокировать исходящие запросы NETBIOS».
3) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку «Блокировать входящие запросы NETBIOS».
4) Если не помогает, Правила и зоны -> Редактор зон и правил -> вкладка Зоны -> Выбрать «Адреса исключены из активной защиты (IDS)» и нажать кнопку «Изменить» -> В появившемся окне на вкладке «Настройка зоны» добавить необходимые IP-адреса.
5) Если вдруг не помогает, выбрать раздел «Дополнительные настройки и IDS».
5.1) Снять галочку «Блокировать небезопасные адреса после обнаружения атаки».
5.2) Если не помогает, снять галочки с «Обнаружение атаки путем подделки записей кэша ARP», «Обнаружение атаки путем подделки записей кэша DNS».
5.3) Если не помогает, снять галочки с «Обнаружение атаки сканирования портов TCP» и «Обнаружение атаки сканирования портов UDP».
5.4) Если не помогает, снять галочку c «Обнаружены скрытые данные в протоколе ICMP».

6. Блокирование запросов из подсети.
Решение.
Правила и зоны -> Редактор зон и правил -> вкладка Зоны -> Выбрать нужную зону и нажать кнопку «Изменить» -> Вкладка Аутентификация зоны -> В появившемся окне поставить галочку «Добавление адресов и подсетей этой зоны в доверенную зону».

7. Создание блокировки адреса/адресов.
Решение.
Правила и зоны -> Редактор зон и правил, нажать кнопку «Настройки. » -> На вкладке «Правила» нажать кнопку «Создать» -> В появившемся диалоговом окне:
7.1) На вкладке «Общие»:
— «Имя» — любое
— В поле «Направление» выберите «Любое»
— В поле «Действие» выберите «Запретить»
— «Протокол» — TCP & UDP.
7.2) Переключиться на вкладку «Удаленный» -> Нажать кнопку «Добавить адрес IPv4/IPv6» -> В появившемся диалоговом окне задать или «Отдельный адрес», или «Диапазон адресов», или «Подсеть».
7.3) Нажать кнопку «ОК».

8. Создание блокировки адреса/адресов для заданной программы.
Решение.
Правила и зоны -> Редактор зон и правил, нажать кнопку «Настройки. » -> На вкладке «Правила» нажать кнопку «Создать» -> В появившемся диалоговом окне:
8.1) На вкладке «Общие»:
— «Имя» — «Запретить соединение для [имя программы.exe]»
— В поле «Направление» выберите «Любое»
— В поле «Действие» выберите «Запретить»
— «Протокол» — TCP & UDP.
8.2) Переключиться на вкладку «Локальный» -> Нажать кнопку «Обзор» -> Задать путь к нужной программе.
8.3) Переключиться на вкладку «Удаленный» -> Нажать кнопку «Добавить адрес IPv4/IPv6» -> В появившемся диалоговом окне задать или «Отдельный адрес», или «Диапазон адресов», или «Подсеть».
8.4) Нажать кнопку «ОК».

9. Обнаружение атаки путем подделки записей кэша DNS, атаки ICMP (и ряд других атак).
Решение.
9.1) Сделать системные логи (например, http://forum.esetnod32.ru/forum9/topic2687/ и/или http://forum.esetnod32.ru/forum9/topic54/) . Выложить логи в соответствующем топике. Если после проверки специалиста на форуме угроз не обнаружено, перейти к шагу 9.2.
9.2) Убедиться, что удаленные адреса, с которых идет атака, являются доверенными. Если адрес является доверенным либо в журнале файеровола показывается, что атака идет с адреса маршрутизатора (роутера), то если возможно, отключить сам маршрутизатор (роутер), и если атаки больше не происходят, включив маршрутизатор (роутер), по очереди пробовать пункты 5.4, 5.5.1, 5.5.2.
Если же атаки продолжаются и после отключения маршрутизатора либо адреса, с которых идут атаки, являются недоверенными (неизвестными), то в случае отсутствия каких-либо иных проблем отключить галочку «Дополнительные настройки и IDS» -> «Показывать уведомление при обнаружении атаки».

Читайте также:  Россельторг настройка эцп инструкция

10. Блокировка синхронизации с сервером времени.
Решение.
Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку «Блокировать входящие запросы SSDP (UPNP) для svchost.exe».

Если проблема не решается
имеет смысл в разделе «Дополнительные настройки и IDS» -> «Решение проблем» выставить галочку «Регистрировать все заблокированные соединения», проделать еще раз указанные выше действия, в основном окне выбрать Служебные программы -> Файлы журнала -> Персональный файервол -> В контекстном меню выбрать «Экспорт», выбрать файл для сохранения журнала и прислать его на форум с описанием проблемы.

Источник

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Что такое технология DPI?

Как установить все устройства для этичного хакинга в Kali Linux

Типы шифрования в России и за рубежом

Информационная безопасность при удалённой работе

Эволюция систем IPS/IDS: прошлое, настоящее и будущее

«Охота в интернете», или самые распространенные виды онлайн-мошенничества

Самое интересное про IPSec и VPN

Avaya 1616-I BLK C2

Еженедельный дайджест

Что такое IPS, IDS, UTM?

Если вы только думаете о том, чтобы заняться информационной безопасностью, вам не помешает знать эти аббревиатуры. Мы также поговорим о том что это, каковы их задачи и в чем их отличия.

Отличия IPS от IDS

IPS – Intrusion Prevention System, а IDS – Intrusion Detection System. То есть, первый помогает предотвращать вторжения, а второй помогает их обнаруживать. Но что интересно – они используют ну очень похожие технологии.

При всей похожести названий и технологий, это два абсолютно разных инструмента, которые используются в очень разных местах, разными людьми и выполняют очень разные задачи. /

Когда мы говорим про IPS/, то первое что приходит на ум – функционал фаервола, или межсетевого экрана – в нем всегда есть определенное количество правил: десятки, сотни, тысячи и иже с ними – в зависимости от требований. Большинство этих правил – разрешающие, т.е разрешить такой-то трафик туда-то, а в конце правила – все остальное запретить. Как вы наверное догадались, такой функционал реализуется с помощью ACL (листов контроля доступа).То есть, если трафик или его источник неизвестен – МСЭ его просто дропнет и все.

IPS в свою очередь повторяет историю про определенное количество правил – только эти правила в основном запрещающие: заблокировать такую-то проблему безопасности и т.д. Так что когда появляется пакет, IPS рассматривает свои правила свеху вниз, пытаясь найти причины дропнуть этот пакет. В конце каждого списка правил стоит скрытое «пропускать все остальное, что не попадает под критерии выше». Таким образом, в отсутствие повода или известной сигнатуры атаки, IPS просто пропустит трафик.

То есть МСЭ и IPS – устройства контроля. Они обычно находятся на периметре сети и следят\пропускают только то, что соответствует политикам безопасности. И самой логичной причиной использования IPS является наличие огромного количества известных атак в сети Интернет – и каждое IPS устройство обладает набором сигнатур (типичных признаков атак), которые должны непрерывно обновляться, чтобы вас не могли взломать с помощью новомодного, но уже известного производителям ИБ средства.

Читайте также:  Realtek pci gbe family controller настройка

Что такое UTM?

Очевидная мысль о том, что неплохо было бы оба этих устройства поместить в одну железку, породили нечто, называемое UTM – Unified Threat Management, где IPS уже встроен в МСЭ. Более того, сейчас в одно устройство очень часто помещается гигантское количество функций для обеспечения безопасности – IPS/IDS, защита DNS, защита от угроз нулевого дня (с облачной песочницей), возможность осуществления URL фильтрации и многое другое. В случае Cisco и их МСЭ ASA/FirePOWER, к примеру, если вы купите просто железку, без подписок – вы получите только функционал stateful firewall-а и возможность смотреть в приложения, то есть распаковывать пакет до 7 уровня. А дополнительные возможности, вроде описанных выше – становятся доступными только после покупки подписок.

Опять же, какой бы сладкой не казалась мысль об унифицированной чудо-коробке, которая защитит вас от хакеров, нужно признать, что такой дизайн подходит далеко не всем.Очень часто из-за высокой нагрузки или специфической задачи данные решения требуется разносить по отдельным устройствам. Опять же – если у вас на периметре будет стоять только одно UTM – устройство, то это будет самым слабым местом вашей сети, так что всегда нужно думать о резервировании подобных вещей.

Что такое IDS?

Если IPS – это определенно средство контроля, то IDS это средство для повышения видимости в вашей сети. IDS мониторит трафик в различных точках вашей сети и дает понимание того, насколько хорошо обстоят дела с точки зрения защищенности. Можно сравнить IDS с анализатором протоколов (всем известный Wireshark) – только в этом случае анализ направлен на оценку состояния безопасности.

В руках аналитика по ИБ в не очень большой и серьезной организации, IDS обычно служит как бы окном в сеть и может показать следующие вещи:

  • Нарушения политик безопасности – например системы или пользователи, которые запускают приложения, запрещенные политиками компании
  • Признаки заражения систем вирусами или троянами, которые начинают пытаться захватить полный или частичный контроль для дальнейшего заражения и атак
  • Работающее шпионское ПО или кейлоггеры, «сливающие» информацию без уведомления пользователя
  • Некорректно работающие фаерволы или их политики, некорректные настройки и т.д – все, что может повлиять на производительность и целостность сети
  • Работающие сканеры портов, «левые» службы DNS и DHCP, внезапные средства для подключения к удаленному рабочему столу и пр.

Итак: IDS и IPS смогут замечать и предотвращать как автоматизированные вторжения, так и преднамеренные – но вместе они дают вам большую ценность, а именно – большую видимость и

Что же купить?

Если вы небольшая организация, мы бы посоветовали смотреть в сторону наборов «все-в-одном», а именно UTM решений. Опять же, многие вендоры сейчас выпускают гибридные продукты, которые совмещают в себе видимость IDS с возможностями контроля IPS. /

На всякий случай – IPS это не то, что один раз настроил и забыл. IPS систему нужно постоянно тюнинговать, чтобы она была заточена под именно вашу организацию и сеть. Если же этого не сделать, то возможно большое количество ложно-положительных и ложно-отрицательных срабатываний – то есть или пострадают какие-нибудь ваши сервисы, или вы пропустите много атак.

А если говорить про IDS, то важна не «крутость» и объем собираемых данных, а вид и удобство пользования системой конечным пользователем (скорость навигации через предоставленную IDS ценную информацию быстро и легко) – будь то системный администратор или аналитик.

Мы написали эту статью исключительно с целью общего понимания что такое IDS, IPS и UTM – конечно, есть огромное количество разнообразных типов этих систем и механизмов работы, но мы решили рассказать для начала очень кратко – чтобы дальше можно было уже глубже погружаться в подобные материи. И не забывайте, что существует огромное количество бесплатных IPS/IDS решений – каждый при должном желании и старании может попробовать скачать, установить и настроить подобное решение для более глубого понимания механизмов работы.

Было полезно?

Почему?

😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.

Источник

Adblock
detector