Aufgabe zum Schutz vor Netzwerkbedrohungen (Network_Threat_Protection, ID:17)

Während der Ausführung der Aufgabe zum Schutz vor Netzwerkbedrohungen untersucht die App den eingehenden Netzwerkdatenverkehr auf Aktivitäten, die für Netzwerkangriffe typisch sind. Die App untersucht den eingehenden Datenverkehr für TCP-Ports, deren Nummern Kaspersky Endpoint Security aus den aktuellen App-Datenbanken erhält. Wenn die Aufgabe gestartet wird, werden aktuelle Verbindungen für abgefangene TCP-Ports zurückgesetzt.

Zur Untersuchung des Netzwerkverkehrs akzeptiert die Aufgabe zum Schutz vor Netzwerkbedrohungen Verbindungen von allen Ports, deren Nummern sie aus den Datenbanken der App erhält. Bei der Untersuchung des Netzwerkes können auf Geräten geöffnete Ports auftauchen, die von keiner Anwendung auf diesem System verwendet werden. Es wird empfohlen, nicht verwendetet Ports mittels Firewall zu schließen.

Wird ein versuchter Netzwerkangriff auf Ihr Gerät erkannt, blockiert die App die Netzwerkaktivität des angreifenden Geräts und protokolliert ein entsprechendes Ereignis. Die App blockiert den Netzwerkverkehr des angreifenden Geräts für eine Stunde. Sie können die Dauer der Blockierung des Datenverkehrs in den Aufgabeneinstellungen ändern.

Kaspersky Endpoint Security fügt zur Liste der Tabelle mangle der Tools iptables und ip6tables eine spezielle Erlaubniskette der Regeln kesl_bypass hinzu, die es erlaubt, den Datenverkehr von der Untersuchung durch die App auszuschließen. Wenn in der Kette Ausschlussregeln für den Datenverkehr konfiguriert sind, wirken sich diese auf die Aufgabe "Schutz vor Netzwerkbedrohungen" aus.

Die Tabelle beschreibt alle verfügbaren Werte und Standardwerte aller Einstellungen, die Sie für die Aufgabe zum Schutz vor Netzwerkbedrohungen angeben können.

Einstellungen der Aufgabe zum Schutz vor Netzwerkbedrohungen

Einstellung	Beschreibung	Werte
`ActionOnDetect`	Zu ergreifende Maßnahmen, wenn eine Netzwerkaktivität erkannt wird, die auf Netzwerkangriffe hinweist.	`Notify` – Netzwerkaktivität zulassen, Informationen über erkannte Netzwerkaktivität protokollieren. `Block` (Standardwert) – Netzwerkaktivität blockieren und Informationen darüber protokollieren.
`BlockAttackingHosts`	Blockieren der Netzwerkaktivität von angreifenden Geräten.	`Yes` (Standardwert) – Netzwerkaktivität angreifender Geräte blockieren. `No` – Netzwerkaktivität angreifender Geräte nicht blockieren.
`BlockDurationMinutes`	Legt fest, wie lange angreifende Geräte blockiert werden (in Minuten).	1 – 32768 Standardwert: 60.
`UseExcludeIPs`	Verwendung einer Liste von IP-Adressen, deren Netzwerkaktivität nicht blockiert wird, wenn ein Netzwerkangriff erkannt wird. Die App protokolliert nur Informationen zu gefährlichen Aktivitäten von diesen Geräten. Sie können IP-Adressen mithilfe des Parameters `ExcludeIPs.item_#` zur Liste mit Ausschlüsse hinzufügen. Standardmäßig ist die Liste leer.	`Yes` – Liste mit Ausschlüssen für IP-Adressen wird verwendet. `No` (Standardwert) – Liste mit Ausschlüssen für IP-Adressen wird nicht verwendet.
`ExcludeIPs.item_#`	Gibt eine IP-Adresse an, deren Netzwerkaktivität nicht durch die App blockiert wird.	`d.d.d.d` – IPv4-Adresse, wobei d eine Dezimalzahl von 0 bis 255 ist. `d.d.d.d/p` – Subnetz von IPv4-Adressen, wobei p eine Zahl von 0 bis 32 ist. `x:x:x:x:x:x:x:x` – IPv6-Adresse, wobei x eine hexadezimale Zahl von 0 bis ffff ist. `x:x:x:x::0/p` – Subnetz von IPv6-Adressen, wobei p eine Zahl von 0 bis 64 ist. Der Standardwert ist nicht angegeben.

Nach oben