ข้ามไปยังเนื้อหาหลัก

การป้องกันการโจมตีเครือข่าย (IDS)

Auttapon Kingsawad
  • ปรับปรุงเมื่อ

การป้องกันการโจมตีเครือข่าย (IDS)

เป็นส่วนขยายของไฟร์วอลที่ช่วยเพิ่มประสิทธิภาพการตรวจหาช่องโหว่ในเครือข่าย ซึ่งจะช่วยป้องกันการแพร่กระจายมัลแวร์และการโจมตีทางเครือข่าย สามารถตั้งค่าได้โดย

1.จากหน้าแรกของโปรแกรม คลิก การตั้งค่า > การป้องกันเครือข่าย เมื่อเข้าสู่หน้าต่าง การป้องกันเครือข่าย ให้คลิก        สัญลักษณ์เฟือง ที่หัวข้อ การป้องกันการโจมตีเครือข่าย (IDS) เพื่อเข้าสู่การตั้งค่า

1.png

 

1.1.png

2. จากนั้นจะเข้าสู่หน้าต่าง การตั้งค่าขั้นสูง หัวข้อ การป้องกันการโจมตีเครือข่าย ที่ด้านขวาจะพบหัวข้อย่อย คือ

     - เปิดใช้งานการป้องกันการโจมตีเครือข่าย (IDS) ตั้งค่าเปิดปิดการป้องกันการโจมตีเครือข่าย                           

     - เปิดใช้งานการป้องกันบอทเน็ต ตรวจจับและบล็อคการเชื่อมต่อ ในกรณีที่คอมพิวเตอร์ติดไวรัสและบอทเน็ตพยายามโจมตี                                                                                                               

2.png

     - กฎ IDS บางกรณี IDS อาจเข้าใจการสื่อสารระหว่างเครือข่ายภายในว่าเป็นการโจมตี สามารถเพิ่มกฎเพื่อยกเว้นการทำงานด้วยการ คลิก แก้ไข เมื่อปรากฎหน้าต่าง กฎ IDS ให้คลิกปุ่มเพิ่ม

 

2.1.png

 

3. หลังจากนั้นจะพบหน้าต่าง เพิ่มข้อยกเว้น IDS จะประกอบด้วยตัวเลือกการตั้งค่า ดังนี้

    - การตรวจหา เลือกประเภทการยกเว้นการตรวจหา                                                                             

    - ชื่อภัยคุกคาม ตั้งชื่อการคุกคาม                                                                                         

    - ทิศทาง เลือกว่าต้องการยกเว้นการตรวจจับ IDS กับข้อมูลฝั่งเข้า, ออก, หรือทั้งสองด้าน

 

3.png

      - แอพพลิเคชัน เลือกพาธของไฟล์โปรแกรมที่ต้องการยกเว้น โดยคลิกที่เครื่องหมาย ... ในช่องว่าง แล้วเข้าไปที่โฟลเดอร์ที่เก็บไฟล์โปรแกรม เลือกไฟล์โปรแกรมที่ต้องการ แล้วคลิก Open

 

3.1.png

 

3.2.png

 

    - ที่อยู่ IP ระยะไกล กรอกหมายเลข IP address ที่ต้องการเพิ่มข้อยกเว้น สามารถเพิ่มโดยใช้หมายเลข IPv4 หรือ IPv6                                                                                                                 

   - โปรไฟล์ นำการตั้งค่า IDS ไปใช้กับโปรไฟล์ที่กำหนด                                                         

   - ปิดกั้น ตั้งค่าปิดกั้นการทำงานหรืออนุญาต                                                                    

   - แจ้งเตือน ตั้งค่าเปิดปิดการแจ้งเตือน                                                                               

   - บันทึก ตั้งค่าการบันทึกไปยังไฟล์ log           

                                                              

3.3.png

 

หลังจากตั้งค่าตามต้องการแล้วคลิก ตกลง ที่หน้าต่าง เพิ่มข้อยกเว้น IDS และคลิกตกลงที่หน้าต่าง กฎ IDS อีกครั้ง

 

3.4.png

 

3.5.png

 

4. หัวข้อตัวเลือกขั้นสูง ในหัวข้อย่อย การตรวจหาการบุกรุก จะมีการปรับตั้งค่าในแต่ละหัวข้อ คือ

    - โปรโตคอล SMB ป้องกันการโจมตีที่ใช้การหลอกลวงระหว่างการตรวจสอบสิทธิ์เพื่อให้ได้ข้อมูลการเข้าสู่ระบบของผู้ใช้                                                                                                                    

    - โปรโตคอล RPC ตรวจหาและปิดกั้น CVE ต่างๆในโปรโตคอล RPC                                                 

    - โปรโตคอล RDP ตรวจหาและปิดกั้น CVE ต่างๆในโปรโตคอล RDP                                                          

    - การตรวจหาการโจมตี ARP Poisoning การตรวจหาการโจมตีชนิด ARP Poisoning ที่เรียกใช้การโจมตีแบบคนกลางในการสื่อสาร                                                                                                

    - การตรวจหาการโจมตีโดยการสแกนพอร์ต TCP ตรวจหาการโจมตีซอฟต์แวร์การสแกนพอร์ตโปรโตคอล TCP                                                                                                                         

    - การตรวจหาการโจมตีโดยการสแกนพอร์ต UDP ตรวจหาการโจมตีซอฟต์แวร์การสแกนพอร์ตโปรโตคอล UDP                                                                                                                 

    - ปิดกั้นที่อยู่ที่ไม่ปลอดภัยหลังการตรวจหาการโจมตี IP Address ของผู้ที่ทำการโจมตีจะถูกเพิ่มไปยังบัญชีดำเพื่อป้องกันการเชื่อมต่อ                                                                                                 

    - แสดงการแจ้งเตือนหลังจากตรวจพบการโจมตี แสดงการแจ้งเตือนที่หน้าจอเมื่อตรวจพบการโจมตี                     

    - แสดงการแจ้งเตือนยังใช้เพื่อแจ้งเมื่อมีการโจมตีจุดอ่อนด้านการรักษาความปลอดภัย แจ้งเตือนเมื่อตรวจพบการโจมตีจุดอ่อนด้านการรักษาความปลอดภัย

 

4.png

 

5. หัวข้อตัวเลือกขั้นสูง ในหัวข้อย่อย การตรวจสอบแพ็คเก็ต จะมีการปรับตั้งค่าในแต่ละหัวข้อ คือ

     - อนุญาตการเชื่อมต่อขาเข้าไปยังการใช้การดูแลระบบร่วมกันในโปรโตคอล SMB ลดความเสี่ยงทางด้านความปลอดภัยในการแชร์ระบบร่วมกัน เช่น แชร์ไฟล์                                                                   

    - ปฏิเสธ SMB dialect (ที่ไม่มีการสนับสนุน) รายการเก่า ปฏิเสธเซสชัน SMB ที่ใช้ SMB dialect แบบเก่า เพื่อเพิ่มความปลอดภัยหากคอมพิวเตอร์ไม่ได้แชร์ไฟล์ร่วมกับคอมพิวเตอร์ที่ใช้ Windows เวอร์ชันเก่า                  

    - ปฏิเสธการรักษาความปลอดภัย SMB โดยไม่มีการขยายการรักษาความปลอดภัย เพิ่มความปลอดภัยในการสื่อสารผ่านโปรโตคอล SMB                                                                                                  

    - ปฏิเสธการเปิดไฟล์ที่เรียกใช้ได้ในเซิร์ฟเวอร์ที่อยู่นอกโซนที่เชื่อถือในโปรโตคอล SMB ยกเลิกการเชื่อมต่อหากมีการพยายามเรียกใช้ไฟล์ประมวลผลที่อยู่ในโฟลเดอร์ที่ถูกแชร์บนเซอร์เวอร์และไม่ได้อยู่ในโซนที่เชื่อถือในไฟร์วอล                                                                                                       

    - ปฏิเสธการตรวจสอบสิทธิ์ NTLM ในโปรโตคอล SMB สำหรับการเชื่อมต่อเซิร์ฟเวอร์ใน/นอกโซนที่เชื่อถือ การปฏิเสธการตรวจสอบสิทธิ์ NTLM ที่มีเซิร์ฟเวอร์อยู่ภายนอกโซนที่เชื่อถือจะช่วยลดความเสี่ยงจากการส่งต่อข้อมูลการเข้าสู่ระบบโดยเซิร์ฟเวอร์ที่เป็นอันตรายที่อยู่ภายนอกโซนที่เชื่อถือ ขณะเดียวกัน สามารถปฏิเสธการตรวจสอบสิทธิ์ NTLM ที่มีเซิร์ฟเวอร์ในโซนที่เชื่อถือได้

                          

5.png

 

    - อนุญาตการสื่อสารกับบริการ Security Account Manager เปิดปิดการสื่อสารกับ service security account manager ของ windows                                                                               

    - อนุญาตการสื่อสารกับบริการ Local Security Authority เปิดปิดการสื่อสารกับ service local security authority ของ windows                                                                                 

    - อนุญาตการสื่อสารกับบริการรีจิสตรีระยะไกล เปิดปิดการสื่อสารกับ service remote registry ของ windows                                                                                                                   

    - อนุญาตการสื่อสารกับบริการ Services Control Manager เปิดปิดการสื่อสารกับ Services Control Manager ของ windows                                                                                                   

    - อนุญาตการสื่อสารกับบริการเซิร์ฟเวอร์ เปิดปิดการสื่อสารกับ Server Service Remote Protocol ของ windows                                                                                                                   

    - อนุญาตการสื่อสารกับบริการอื่น เปิดปิดการสื่อสารกับ service อื่นของ windows เช่น การตรวจสอบสถานะการเชื่อมต่อของแพ็คเก็ต tcp การตรวจสอบการทำงานของแพ็คเก็ตโปรโตคอล icmp และอื่นๆ

 

5.1.png

6. เมื่อตั้งค่าเสร็จแล้ว คลิก ตกลง เพื่อบันทึกการตั้งค่า

 

6.png

 

 

 

 

 

 

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น