Aufgabe zum Schutz vor Netzwerkbedrohungen (Network_Threat_Protection, ID:17)

Während der Ausführung der Aufgabe zum Schutz vor Netzwerkbedrohungen untersucht die App den eingehenden Netzwerkdatenverkehr auf Aktivitäten, die für Netzwerkangriffe typisch sind. Die App untersucht den eingehenden Datenverkehr für TCP-Ports, deren Nummern Kaspersky Endpoint Security aus den aktuellen App-Datenbanken erhält. Wenn die Aufgabe gestartet wird, werden aktuelle Verbindungen für abgefangene TCP-Ports zurückgesetzt.

Zur Untersuchung des Netzwerkverkehrs akzeptiert die Aufgabe zum Schutz vor Netzwerkbedrohungen Verbindungen von allen Ports, deren Nummern sie aus den Datenbanken der App erhält. Bei der Untersuchung des Netzwerkes können auf Geräten geöffnete Ports auftauchen, die von keiner Anwendung auf diesem System verwendet werden. Es wird empfohlen, nicht verwendetet Ports mittels Firewall zu schließen.

Wird ein versuchter Netzwerkangriff auf Ihr Gerät erkannt, blockiert die App die Netzwerkaktivität des angreifenden Geräts und protokolliert ein entsprechendes Ereignis. Die App blockiert den vom angreifenden Gerät ausgehenden Netzwerkverkehr für eine Stunde, wobei Sie die Dauer der Blockade in den Aufgabeneinstellungen ändern können. Sie können die Liste der Geräte, die von der Aufgabe "Schutz vor Netzwerkbedrohungen" blockiert wurden mithilfe des Befehls --get-blocked-hosts anzeigen und diese Geräte mit dem Befehl --allow-hosts manuell entsperren.

Kaspersky Endpoint Security fügt zur Liste der Tabelle mangle der Tools iptables und ip6tables eine spezielle Erlaubniskette der Regeln kesl_bypass hinzu, die es erlaubt, den Datenverkehr von der Untersuchung durch die App auszuschließen. Wenn in der Kette Ausschlussregeln für den Datenverkehr konfiguriert sind, wirken sich diese auf die Aufgabe "Schutz vor Netzwerkbedrohungen" aus. Um beispielsweise ausgehenden HTTP-Verkehr auszuschließen, müssen Sie den folgenden Befehl hinzufügen: iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT.

Die Tabelle beschreibt alle verfügbaren Werte und Standardwerte aller Einstellungen, die Sie für die Aufgabe zum Schutz vor Netzwerkbedrohungen angeben können.

Einstellungen der Aufgabe zum Schutz vor Netzwerkbedrohungen

Einstellung

Beschreibung

Werte

ActionOnDetect

Zu ergreifende Maßnahmen, wenn eine Netzwerkaktivität erkannt wird, die auf Netzwerkangriffe hinweist.

Wenn Sie diese Einstellung von Block auf Notify ändern, wird die Liste der blockierten Geräte gelöscht.

Notify – Netzwerkaktivität zulassen und Informationen über erkannte Netzwerkaktivitäten protokollieren. Wenn dieser Wert angegeben wird, wird der Wert des Parameters BlockAttackingHosts ignoriert.

Block (Standardwert) – Netzwerkaktivität blockieren und Informationen darüber protokollieren.

BlockAttackingHosts

Blockieren der Netzwerkaktivität von angreifenden Geräten.

Yes (Standardwert) – Netzwerkaktivität angreifender Geräte blockieren.

No – Netzwerkaktivität angreifender Geräte nicht blockieren. Wenn dieser Wert angegeben und der Parameter ActionOnDetect auf Block gesetzt ist, blockiert die App die Netzwerkaktivität des angreifenden Geräts, fügt das Gerät aber nicht zur Liste der blockierten Geräte hinzu.

BlockDurationMinutes

Legt fest, wie lange angreifende Geräte blockiert werden (in Minuten).

1 – 32768

Standardwert: 60.

UseExcludeIPs

Verwendung einer Liste von IP-Adressen, deren Netzwerkaktivität nicht blockiert wird, wenn ein Netzwerkangriff erkannt wird. Die App protokolliert nur Informationen zu gefährlichen Aktivitäten von diesen Geräten.

Sie können IP-Adressen mithilfe des Parameters ExcludeIPs.item_# zur Liste mit Ausschlüsse hinzufügen. Standardmäßig ist die Liste leer.

Yes – Liste mit Ausschlüssen für IP-Adressen wird verwendet.

No (Standardwert) – Liste mit Ausschlüssen für IP-Adressen wird nicht verwendet.

ExcludeIPs.item_#

Gibt eine IP-Adresse an, deren Netzwerkaktivität nicht durch die App blockiert wird.

d.d.d.d – IPv4-Adresse, wobei d eine Dezimalzahl von 0 bis 255 ist.

d.d.d.d/p – Subnetz von IPv4-Adressen, wobei p eine Zahl von 0 bis 32 ist.

x:x:x:x:x:x:x:x – IPv6-Adresse, wobei x eine hexadezimale Zahl von 0 bis ffff ist.

x:x:x:x::0/p – Subnetz von IPv6-Adressen, wobei p eine Zahl von 0 bis 64 ist.

Der Standardwert ist nicht angegeben.

Nach oben