การป้องกันการโจมตีเครือข่าย (IDS)
เป็นส่วนขยายของไฟร์วอลที่ช่วยเพิ่มประสิทธิภาพการตรวจหาช่องโหว่ในเครือข่าย ซึ่งจะช่วยป้องกันการแพร่กระจายมัลแวร์และการโจมตีทางเครือข่าย สามารถตั้งค่าได้โดย
1.จากหน้าแรกของโปรแกรม คลิก การตั้งค่า > การป้องกันเครือข่าย เมื่อเข้าสู่หน้าต่าง การป้องกันเครือข่าย ให้คลิก สัญลักษณ์เฟือง ที่หัวข้อ การป้องกันการโจมตีเครือข่าย (IDS) เพื่อเข้าสู่การตั้งค่า
2. จากนั้นจะเข้าสู่หน้าต่าง การตั้งค่าขั้นสูง หัวข้อ การป้องกันการโจมตีเครือข่าย ที่ด้านขวาจะพบหัวข้อย่อย คือ
- เปิดใช้งานการป้องกันการโจมตีเครือข่าย (IDS) ตั้งค่าเปิดปิดการป้องกันการโจมตีเครือข่าย
- เปิดใช้งานการป้องกันบอทเน็ต ตรวจจับและบล็อกการเชื่อมต่อ ในกรณีที่คอมพิวเตอร์ติดไวรัสและบอทเน็ตพยายามโจมตี
- กฎ IDS บางกรณี IDS อาจเข้าใจการสื่อสารระหว่างเครือข่ายภายในว่าเป็นการโจมตี สามารถเพิ่มกฎเพื่อยกเว้นการทำงานด้วยการ คลิก แก้ไข เมื่อปรากฎหน้าต่าง กฎ IDS ให้คลิกปุ่มเพิ่ม
3. หลังจากนั้นจะพบหน้าต่าง เพิ่มข้อยกเว้น IDS จะประกอบด้วยตัวเลือกการตั้งค่า ดังนี้
- การตรวจหา เลือกประเภทการยกเว้นการตรวจหา
- ชื่อภัยคุกคาม ตั้งชื่อการคุกคาม
- ทิศทาง เลือกว่าต้องการยกเว้นการตรวจจับ IDS กับข้อมูลฝั่งเข้า, ออก, หรือทั้งสองด้าน
- แอปพลิเคชัน เลือกพาธของไฟล์โปรแกรมที่ต้องการยกเว้น โดยคลิกที่เครื่องหมาย ... ในช่องว่าง แล้วเข้าไปที่โฟลเดอร์ที่เก็บไฟล์โปรแกรม เลือกไฟล์โปรแกรมที่ต้องการ แล้วคลิก Open
- ที่อยู่ IP ระยะไกล กรอกหมายเลข IP address ที่ต้องการเพิ่มข้อยกเว้น สามารถเพิ่มโดยใช้หมายเลข IPv4 หรือ IPv6
- โปรไฟล์ นำการตั้งค่า IDS ไปใช้กับโปรไฟล์ที่กำหนด
- ปิดกั้น ตั้งค่าปิดกั้นการทำงานหรืออนุญาต
- แจ้งเตือน ตั้งค่าเปิดปิดการแจ้งเตือน
- บันทึก ตั้งค่าการบันทึกไปยังไฟล์ log
หลังจากตั้งค่าตามต้องการแล้วคลิก ตกลง ที่หน้าต่าง เพิ่มข้อยกเว้น IDS และคลิกตกลงที่หน้าต่าง กฎ IDS อีกครั้ง
4. หัวข้อตัวเลือกขั้นสูง ในหัวข้อย่อย การตรวจหาการบุกรุก จะมีการปรับตั้งค่าในแต่ละหัวข้อ คือ
- โปรโตคอล SMB ป้องกันการโจมตีที่ใช้การหลอกลวงระหว่างการตรวจสอบสิทธิ์เพื่อให้ได้ข้อมูลการเข้าสู่ระบบของผู้ใช้
- โปรโตคอล RPC ตรวจหาและปิดกั้น CVE ต่างๆในโปรโตคอล RPC
- โปรโตคอล RDP ตรวจหาและปิดกั้น CVE ต่างๆในโปรโตคอล RDP
- การตรวจหาการโจมตี ARP Poisoning การตรวจหาการโจมตีชนิด ARP Poisoning ที่เรียกใช้การโจมตีแบบคนกลางในการสื่อสาร
- การตรวจหาการโจมตีโดยการสแกนพอร์ต TCP ตรวจหาการโจมตีซอฟต์แวร์การสแกนพอร์ตโปรโตคอล TCP
- การตรวจหาการโจมตีโดยการสแกนพอร์ต UDP ตรวจหาการโจมตีซอฟต์แวร์การสแกนพอร์ตโปรโตคอล UDP
- ปิดกั้นที่อยู่ที่ไม่ปลอดภัยหลังการตรวจหาการโจมตี IP Address ของผู้ที่ทำการโจมตีจะถูกเพิ่มไปยังบัญชีดำเพื่อป้องกันการเชื่อมต่อ
- แสดงการแจ้งเตือนหลังจากตรวจพบการโจมตี แสดงการแจ้งเตือนที่หน้าจอเมื่อตรวจพบการโจมตี
- แสดงการแจ้งเตือนยังใช้เพื่อแจ้งเมื่อมีการโจมตีจุดอ่อนด้านการรักษาความปลอดภัย แจ้งเตือนเมื่อตรวจพบการโจมตีจุดอ่อนด้านการรักษาความปลอดภัย
5. หัวข้อตัวเลือกขั้นสูง ในหัวข้อย่อย การตรวจสอบแพ็คเก็ต จะมีการปรับตั้งค่าในแต่ละหัวข้อ คือ
- อนุญาตการเชื่อมต่อขาเข้าไปยังการใช้การดูแลระบบร่วมกันในโปรโตคอล SMB ลดความเสี่ยงทางด้านความปลอดภัยในการแชร์ระบบร่วมกัน เช่น แชร์ไฟล์
- ปฏิเสธ SMB dialect (ที่ไม่มีการสนับสนุน) รายการเก่า ปฏิเสธเซสชัน SMB ที่ใช้ SMB dialect แบบเก่า เพื่อเพิ่มความปลอดภัยหากคอมพิวเตอร์ไม่ได้แชร์ไฟล์ร่วมกับคอมพิวเตอร์ที่ใช้ Windows เวอร์ชันเก่า
- ปฏิเสธการรักษาความปลอดภัย SMB โดยไม่มีการขยายการรักษาความปลอดภัย เพิ่มความปลอดภัยในการสื่อสารผ่านโปรโตคอล SMB
- ปฏิเสธการเปิดไฟล์ที่เรียกใช้ได้ในเซิร์ฟเวอร์ที่อยู่นอกโซนที่เชื่อถือในโปรโตคอล SMB ยกเลิกการเชื่อมต่อหากมีการพยายามเรียกใช้ไฟล์ประมวลผลที่อยู่ในโฟลเดอร์ที่ถูกแชร์บนเซิร์ฟเวอร์และไม่ได้อยู่ในโซนที่เชื่อถือในไฟร์วอล
- ปฏิเสธการตรวจสอบสิทธิ์ NTLM ในโปรโตคอล SMB สำหรับการเชื่อมต่อเซิร์ฟเวอร์ใน/นอกโซนที่เชื่อถือ การปฏิเสธการตรวจสอบสิทธิ์ NTLM ที่มีเซิร์ฟเวอร์อยู่ภายนอกโซนที่เชื่อถือจะช่วยลดความเสี่ยงจากการส่งต่อข้อมูลการเข้าสู่ระบบโดยเซิร์ฟเวอร์ที่เป็นอันตรายที่อยู่ภายนอกโซนที่เชื่อถือ ขณะเดียวกัน สามารถปฏิเสธการตรวจสอบสิทธิ์ NTLM ที่มีเซิร์ฟเวอร์ในโซนที่เชื่อถือได้
- อนุญาตการสื่อสารกับบริการ Security Account Manager เปิดปิดการสื่อสารกับ service security account manager ของ windows
- อนุญาตการสื่อสารกับบริการ Local Security Authority เปิดปิดการสื่อสารกับ service local security authority ของ windows
- อนุญาตการสื่อสารกับบริการรีจิสตรีระยะไกล เปิดปิดการสื่อสารกับ service remote registry ของ windows
- อนุญาตการสื่อสารกับบริการ Services Control Manager เปิดปิดการสื่อสารกับ Services Control Manager ของ windows
- อนุญาตการสื่อสารกับบริการเซิร์ฟเวอร์ เปิดปิดการสื่อสารกับ Server Service Remote Protocol ของ windows
- อนุญาตการสื่อสารกับบริการอื่น เปิดปิดการสื่อสารกับ service อื่นของ windows เช่น การตรวจสอบสถานะการเชื่อมต่อของแพ็คเก็ต tcp การตรวจสอบการทำงานของแพ็คเก็ตโปรโตคอล icmp และอื่นๆ
6. เมื่อตั้งค่าเสร็จแล้ว คลิก ตกลง เพื่อบันทึกการตั้งค่า
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น