Alors que la tâche Protection contre les menaces réseaux est en cours, l'application analyse le trafic réseau entrant à la recherche de toute activité typique d'une attaque réseau. L'application analyse le trafic entrant pour les ports TCP dont Kaspersky Endpoint Security obtient le numéro dans les bases de l'application à jour. Lorsque la tâche est lancée, les connexions en cours pour les ports TCP interceptés seront abandonnées.
Pour vérifier le trafic réseau, la tâche de protection contre les menaces réseaux accepte les connexions sur tous les ports dont les numéros lui sont communiqués par les bases de données de l'application. Lors du contrôle du réseau, un port peut sembler ouvert sur l'appareil, même si aucune application du système ne l'écoute. Il est recommandé de fermer les ports non utilisés à l'aide d'un pare-feu.
Lors de la détection d'une tentative d'attaque réseau ciblant votre périphérique, l'application bloque l'activité réseau du périphérique attaquant et enregistre un événement à ce sujet dans le journal. L'application bloque le trafic réseau de l'appareil attaquant pendant une heure ; vous pouvez modifier la durée du blocage dans les paramètres de la tâche. Vous pouvez afficher la liste des appareils bloqués par la tâche Protection contre les menaces réseau à l'aide de la commande --get-blocked-hosts et débloquer manuellement ces appareils à l'aide de la commande --allow-hosts.
Kaspersky Endpoint Security ajoute à la liste de la table mangle des utilitaires iptables et ip6tables une chaîne d'autorisation spéciale de règles kesl_bypass qui vous permet d'exclure le trafic de l'analyse réalisée par l'application. Si des règles d'exclusion de trafic sont configurées dans la chaîne, elles affectent le fonctionnement de la tâche Protection contre les menaces réseaux. Par exemple, pour exclure le trafic http sortant, vous devez ajouter la commande suivante : iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT.
Le tableau décrit toutes les valeurs disponibles et les valeurs par défaut pour tous les paramètres que vous pouvez définir pour la tâche Protection contre les menaces réseaux.
Paramètres de la tâche de protection contre les menaces réseaux
Paramètre |
Description |
Valeurs |
|---|---|---|
|
Actions à entreprendre en cas de détection d'une activité réseau caractéristique des attaques réseau. La modification de ce paramètre de |
|
|
Blocage de l'activité réseau à partir des périphériques attaquants. |
|
|
Spécifie la durée de blocage des attaques contre les périphériques (en minutes). |
1–32768 Valeur par défaut : 60. |
|
Utilisation d'une liste d'adresses IP dont l'activité réseau ne sera pas bloquée en cas de détection d'une attaque réseau. L'application enregistrera dans le journal uniquement les informations sur les activités malveillante de ces périphériques. Vous pouvez ajouter des adresses IP à la liste d'exclusion à l'aide du paramètre |
|
|
Spécifie une adresse IP dont l'activité réseau ne sera pas bloquée par l'application. |
La valeur par défaut n'est pas définie. |