Компонент Защита от сетевых угроз позволяет проверять входящий сетевой трафик на действия, характерные для сетевых атак.
Эта функциональность не поддерживается в KESL-контейнере.
Приложение проверяет входящий трафик для TCP‑портов, номера которых приложение Kaspersky Endpoint Security получает из актуальных баз приложения.
Для проверки сетевого трафика задача Защита от сетевых угроз принимает подключения по всем портам, номера которых получает из баз приложения. При проверке сети это может выглядеть как открытый порт на устройстве, даже если никакое приложение в системе его не прослушивает. Неиспользуемые порты рекомендуется закрывать средствами сетевого экрана.
Текущие соединения для перехватываемых TCP-портов сбрасываются при включении Защиты от сетевых угроз.
Если Защита от сетевых угроз включена, при обнаружении попытки сетевой атаки на защищаемое устройство приложение блокирует сетевую активность со стороны атакующего устройства и создает событие Обнаружена сетевая атака. Событие содержит информацию об атакующем устройстве.
По умолчанию сетевой трафик со стороны атакующего устройства блокируется на один час. По истечении времени блокировки приложение разблокирует устройство.
Защита от сетевых угроз включена по умолчанию, если параметры защиты от сетевых угроз на устройстве заданы через политику. Если на устройстве применяются локально настроенные параметры, по умолчанию защита от сетевых угроз выключена.
Вы можете включать и выключать Защиту от сетевых угроз, а также настраивать параметры защиты:
С помощью команд управления заблокированными устройствами в командной строке вы можете посмотреть список заблокированных устройств и вручную разблокировать эти устройства. В Kaspersky Security Center нет инструментов мониторинга и управления заблокированными устройствами, кроме событий Обнаружена сетевая атака.
Приложение Kaspersky Endpoint Security добавляет в список таблицы mangle утилит iptables и ip6tables специальную разрешающую цепочку правил kesl_bypass, которая позволяет исключать трафик из проверки приложением. Если в цепочке настроены правила исключения трафика, они влияют на работу задачи Защита от сетевых угроз. Например, для исключения исходящего http-трафика вам нужно добавить следующую команду: iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT.