WHS2011 ESETから「ポートスキャニング攻撃が検出されました」の警告が表示された場合の対処法


先日投稿した記事「WHS2011 共有フォルダにアクセスできない~ESET Smart Securityと名前解決(LLMNR)について」の直後、ESET Smart Security(以後ESET)から「ポートスキャニング攻撃が検出されました」という警告メッセージが表示されました。
警告メッセージを回避すべくESETの設定画面を見直し回避する事はできましたが、その方法が正しい方法なのか、それとも他設定があるのか気になったのでCanon IT ソリューションズに質問してみました。
今回は、Canon IT ソリューションズからの回答を踏まえたクライアントPCにインストールしたESETから「ポートスキャニング攻撃が検出されました」の警告が表示された場合の対処法をメモ。
2013.07.27 Windows 8でも同現象を確認しました。

現象

今回の現象はWHS2011と同一ネットワークに接続しているWindows 7 64bitをインストールしたクライアントPC 2台で確認できました。
Windows 8や8.1 PreviewのクライアントPCはほぼ標準設定にしておりますが、まだ遭遇していません。
Windows 8でも確認しました。
  1. クライアントPCのESETの[詳細設定]画面を開く
  2. [IDSと詳細オプション]→[信頼ゾーンにおけるマルチキャストアドレスの解決を許可(LLMNR)]にチェックする
    image
  3. 設定を適用し、少し時間をおいたところで画面右下に「ポートスキャニング攻撃が検出されました」の警告が表示される
    ログファイル(XML)を取得し確認してみると下記のように記録されています。
    ソースのプロトコルおよびポート番号を確認するとUDP5355番と記録されているので、LLMNRであることがすぐにわかります。
    image
  4. 少し放置した後のログを確認すると、40~60分間隔で検出し続けました。
    image

対処法

Canon IT ソリューションズから回答をいただいた内容には対処法が2つ書かれていました。
私が見つけたのは後者の対処法でしたので、質問して正解だと考えています。
方法1 [アクティブな保護(IDS)から除外するアドレス]を利用する
  1. ESETの[詳細設定]画面を開く
  2. [パーソナルファイアウォール]→[フィルタリングモード]を[例外付きの自動モード(ユーザー定義ルール)]に変更
    image
  3. [パーソナルファイアウォール]→[ルールとゾーン]→[ルールとゾーンの設定]の[設定(E)…]をクリック
    image
  4. [ゾーン]タブ→[アクティブな保護(IDS)から除外するアドレス]にWHS2011のIPアドレスを入力
    私はWHS2011を固定IPアドレスを割り当てていますので、単一IPv4アドレスを選択し、入力してみました。
    image
  5. 設定を適用
  6. Windowsを再起動
方法2 [UDPポートスキャン攻撃を検出]を利用する
Canon IT ソリューションズより、方法2は方法1で改善されない場合の対処法です、とのこと。
  1. ESETの[詳細設定]画面を開く
  2. [パーソナルファイアウォール]→[IDSと詳細オプション]→[侵入検出]を開く
  3. [UDPポートスキャニング攻撃を検出]のチェックを外す
    image
  4. 設定を適用
  5. Windowsを再起動

方法1の設定を施してから2日経過しました。
ファイアウォールのログを追ってみましたが、設定適用後から「ポートスキャニング攻撃が検出されました」の警告は表示されていません。
ESET ファミリー セキュリティ
スポンサーリンク

スポンサーリンク