Le module Protection contre les menaces réseaux vous permet d'analyser le trafic réseau entrant à la recherche d'actions typiques des attaques réseau.
Cette fonctionnalité n'est pas prise en charge dans le conteneur KESL.
L'application analyse le trafic entrant pour les ports TCP dont l'application Kaspersky Endpoint Security obtient le numéro dans les bases de l'application à jour.
Pour vérifier le trafic réseau, la tâche de protection contre les menaces réseaux accepte les connexions sur tous les ports dont les numéros lui sont communiqués par les bases de données de l'application. Lors du contrôle du réseau, un port peut sembler ouvert sur l'appareil, même si aucune application du système ne l'écoute. Il est recommandé de fermer les ports non utilisés à l'aide d'un pare-feu.
Les connexions actuelles pour les ports TCP interceptés sont réinitialisées lorsque la protection contre les menaces réseau est activée.
Si la protection contre les menaces réseau est activée, lorsqu'une tentative d'attaque réseau sur un appareil protégé est détectée, l'application bloque l'activité réseau de l'appareil attaquant et génère un événement Attaque réseau détectée. L'événement contient des informations sur l'appareil attaquant.
Par défaut, le trafic réseau provenant de l'appareil attaquant est bloqué pendant une heure. Une fois le délai de blocage expiré, l'application débloque l'appareil.
La protection contre les menaces réseau est activée par défaut si les paramètres de protection contre les menaces réseau sur l'appareil sont définis via une stratégie. Si votre appareil utilise des paramètres configurés localement, la protection contre les menaces réseau est désactivée par défaut.
Vous pouvez activer et désactiver la protection contre les menaces réseau, ainsi que configurer les paramètres de protection :
À l’aide des commandes de gestion des appareils verrouillés dans la ligne de commande, vous pouvez afficher une liste des appareils verrouillés et déverrouiller manuellement ces appareils. Kaspersky Security Center ne dispose pas d'outils de surveillance et d'administration des appareils bloqués, à l'exclusion des événements Attaque réseau détectée.
Kaspersky Endpoint Security ajoute à la liste de la table mangle des utilitaires iptables et ip6tables une chaîne d'autorisation spéciale de règles kesl_bypass qui vous permet d'exclure le trafic de l'analyse réalisée par l'application. Si des règles d'exclusion de trafic sont configurées dans la chaîne, elles affectent le fonctionnement de la tâche Protection contre les menaces réseaux. Par exemple, pour exclure le trafic http sortant, vous devez ajouter la commande suivante : iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT.