Impostazioni protezione e stealth

Le impostazioni stealth non sono disponibili per il firewall Mac.
Impostazioni protezione e stealth
Opzione
Descrizione
Attiva rilevamento scansione porte
Controlla tutti i pacchetti in entrata bloccati dalla regola di sicurezza. Se una regola blocca vari pacchetti su porte diverse in un breve periodo,
Symantec Endpoint Protection
crea una voce di registro protezione.
Il rilevamento di scansioni delle porte non blocca alcun pacchetto. È possibile creare una politica di sicurezza per bloccare il traffico quando viene verificata una scansione delle porte.
Attivare rilevamento minacce Denial of service
Il rilevamento di attacchi Denial of Service è un tipo di rilevazione delle intrusioni. Quando il rilevamento è abilitato, il client blocca il traffico se rileva uno schema da definizioni note, indipendente dal numero di porta o dal tipo di protocollo Internet.
Attiva protezione contro la contraffazione dell'indirizzo MAC
Consente il traffico in entrata e in uscita solo se a quell'host specifico è stata effettuata una richiesta per i seguenti protocolli:
  • ARP (Address Resolution Protocol)
  • NDP (Neighbor Discovery Protocol)
Blocca tutto il traffico inatteso di questo tipo e lo registra nel registro di protezione.
Gli indirizzi MAC (Media Access Control) sono indirizzi hardware che identificano computer, server e router. Alcuni hacker utilizzano la contraffazione dell'indirizzo MAC per cercare di dirottare una sessione di comunicazione fra due computer. Quando il computer A vuole comunicare con il computer B, il computer A può inviare un pacchetto al computer B.
La protezione contro la contraffazione dell'indirizzo MAC protegge un computer dalla reimpostazione della tabella degli indirizzi MAC da parte di un altro computer. Se ad esempio un computer invia un messaggio di RICHIESTA ARP, il client autorizza il messaggio corrispondente di RISPOSTA ARP entro 10 secondi. Il client rifiuta tutti i messaggi di RISPOSTA ARP indesiderati.
Questa opzione è disattivata per impostazione predefinita.
Blocca automaticamente l’IP dell’autore di un attacco
Blocca automaticamente l'indirizzo IP di un intruso noto per un numero di secondi configurabile.
Attiva modalità stealth di esplorazione Web
Rileva il traffico HTTP proveniente da un browser Web su qualsiasi porta. Rimuove il nome e il numero di versione del browser, il sistema operativo e la pagina Web di riferimento. Impedisce ai siti Web di rilevare i sistemi operativi e i browser utilizzati dal computer. Non rileva il traffico HTTPS (SSL).
La modalità stealth di esplorazione Web può causare un funzionamento non corretto di alcuni siti Web. In alcuni server Web viene creata una pagina Web basata sulle informazioni relative al browser Web. Poiché questa opzione determina l'eliminazione delle informazioni sul browser, alcune pagine Web potrebbero non essere visualizzate correttamente o non essere visualizzate affatto. La modalità di esplorazione Web stealth rimuove la firma del browser, denominata HTTP_USER_AGENT, dall'intestazione della richiesta HTTP e la sostituisce con una firma generica.
Questa opzione è disattivata per impostazione predefinita.
Attiva nuova sequenza TCP
Impedisce la contraffazione (o spoofing) degli indirizzi IP da parte di intrusi.
Gli hacker si servono dello spoofing di indirizzi IP per attaccare una sessione di comunicazione fra due computer, ad esempio tra il computer A e il computer B. Un hacker può inviare un pacchetto di dati che induce il computer A ad interrompere la comunicazione. L'hacker può quindi fingersi il computer A in modo da comunicare con il computer B e attaccarlo. Per proteggere il computer, i numeri della sequenza TCP vengono riordinati casualmente tramite la nuova sequenza TCP.
il mascheramento dell'impronta del sistema operativo funziona in modo più efficiente quando è attivata la nuova sequenza TCP.
la nuova sequenza TCP modifica il numero della sequenza TCP quando viene eseguito il servizio del client. Il numero di sequenza varia a seconda che il servizio sia in esecuzione o meno. Di conseguenza, le connessioni di rete vengono terminate quando si interrompe o si avvia il servizio firewall. I pacchetti TCP/IP utilizzano una sequenza di numeri di sessione per comunicare con altri computer. Quando il client non è in esecuzione, il computer client utilizza lo schema numerico di Windows. Quando il client è in esecuzione ed è attivata la nuova sequenza TCP, il client utilizza uno schema numerico diverso. Se il servizio del client si interrompe improvvisamente, viene ripristinato lo schema numerico di Windows e vengono eliminati i pacchetti del traffico. È inoltre possibile che la nuova sequenza TCP non sia compatibile con alcune schede NIC. Ciò determina il blocco di tutto il traffico in entrata e in uscita da parte del client.
Questa opzione è disattivata per impostazione predefinita.
Attiva mascheramento dell'impronta del sistema operativo
Impedisce la rilevazione del sistema operativo di un computer client da parte di un programma. Il client modifica la durata TTL e il valore di identificazione dei pacchetti TCP/IP per impedire l'identificazione di un sistema operativo da parte di un programma.
il mascheramento dell'impronta del sistema operativo funziona in modo più efficiente quando è attivata la nuova sequenza TCP.
È possibile che la nuova sequenza TCP non sia compatibile con alcune schede NIC. Ciò determina il blocco di tutto il traffico in entrata e in uscita da parte del client.
Questa opzione è disattivata per impostazione predefinita.