Tâche de protection contre les menaces réseaux (Network_Threat_Protection, ID:17)

Alors que la tâche Protection contre les menaces réseaux est en cours, l'application analyse le trafic réseau entrant à la recherche de toute activité typique d'une attaque réseau. L'application analyse le trafic entrant pour les ports TCP dont Kaspersky Endpoint Security obtient le numéro dans les bases de l'application à jour. Lorsque la tâche est lancée, les connexions en cours pour les ports TCP interceptés seront abandonnées.

Pour vérifier le trafic réseau, la tâche de protection contre les menaces réseaux accepte les connexions sur tous les ports dont les numéros lui sont communiqués par les bases de données de l'application. Lors du contrôle du réseau, un port peut sembler ouvert sur l'appareil, même si aucune application du système ne l'écoute. Il est recommandé de fermer les ports non utilisés à l'aide d'un pare-feu.

Lors de la détection d'une tentative d'attaque réseau ciblant votre périphérique, l'application bloque l'activité réseau du périphérique attaquant et enregistre un événement à ce sujet dans le journal. L'application bloque le trafic réseau de l'appareil attaquant pendant une heure ; vous pouvez modifier la durée du blocage dans les paramètres de la tâche. Vous pouvez afficher la liste des appareils bloqués par la tâche Protection contre les menaces réseau à l'aide de la commande --get-blocked-hosts et débloquer manuellement ces appareils à l'aide de la commande --allow-hosts.

Kaspersky Endpoint Security ajoute à la liste de la table mangle des utilitaires iptables et ip6tables une chaîne d'autorisation spéciale de règles kesl_bypass qui vous permet d'exclure le trafic de l'analyse réalisée par l'application. Si des règles d'exclusion de trafic sont configurées dans la chaîne, elles affectent le fonctionnement de la tâche Protection contre les menaces réseaux. Par exemple, pour exclure le trafic http sortant, vous devez ajouter la commande suivante : iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT.

Le tableau décrit toutes les valeurs disponibles et les valeurs par défaut pour tous les paramètres que vous pouvez définir pour la tâche Protection contre les menaces réseaux.

Paramètres de la tâche de protection contre les menaces réseaux

Paramètre

Description

Valeurs

ActionOnDetect

Actions à entreprendre en cas de détection d'une activité réseau caractéristique des attaques réseau.

La modification de ce paramètre de Block à Notify efface la liste des appareils bloqués.

Notify : autorise l'activité réseau, consigne dans le journal les informations sur l'activité réseau détectée. Si cette valeur est spécifiée, la valeur du paramètre BlockAttackingHosts est ignorée.

Block (valeur par défaut) : bloque l'activité réseau et consigne dans le journal les informations la concernant.

BlockAttackingHosts

Blocage de l'activité réseau à partir des périphériques attaquants.

Yes (valeur par défaut) : bloquer l’activité réseau de l’appareil attaquant.

No – ne pas bloquer l’activité réseau de l'appareil attaquant. Si cette valeur est spécifiée et que le paramètre ActionOnDetect est défini sur Block, l'application bloque l'activité réseau de l'appareil attaquant, mais n'ajoute pas l'appareil à la liste des appareils bloqués.

BlockDurationMinutes

Spécifie la durée de blocage des attaques contre les périphériques (en minutes).

1–32768

Valeur par défaut : 60.

UseExcludeIPs

Utilisation d'une liste d'adresses IP dont l'activité réseau ne sera pas bloquée en cas de détection d'une attaque réseau. L'application enregistrera dans le journal uniquement les informations sur les activités malveillante de ces périphériques.

Vous pouvez ajouter des adresses IP à la liste d'exclusion à l'aide du paramètre ExcludeIPs.item_#. Par défaut, la liste est vide.

Yes : utilise une liste d'exclusion d'adresses IP.

No : (valeur par défaut) : n'utilise pas de liste d'exclusion d'adresses IP.

ExcludeIPs.item_#

Spécifie une adresse IP dont l'activité réseau ne sera pas bloquée par l'application.

d.d.d.d : adresse IPv4 où d est un nombre décimal compris entre 0 et 255.

d.d.d.d/p : sous-réseau d'adresses IPv4, où p est un nombre compris entre 0 et 32.

x:x:x:x:x:x:x:x : adresses IPv6, où x est un nombre hexadécimal compris entre 0 et ffff.

x:x:x:x::0/p : sous-réseau d'adresses IPv6 où p est un nombre compris entre 0 et 64.

La valeur par défaut n'est pas définie.

Haut de page