Betriebssystem-Firewall konfigurieren. Wenn das System über eigene oder (firwalld-) Netzwerkregeln mit Drop-Richtlinien verfügt, müssen Sie für eine ordnungsgemäße Ausführung der Anwendung eine Erlaubnisregel hinzufügen, um eingehende lokale Verbindungen des Geräts (loopback) zu erlauben.
Beispielbefehl für iptables:
iptables -A INPUT -i lo -j ACCEPT
Kompatibilität der REDIRECT-Regel (z. B. Umleitung von Port 443 auf 8443) mit den Abfangregeln des Schutzes vor Netzwerkbedrohungen gewährleisten. Dafür müssen Sie:
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 443 -m mark ! --mark 0x400/0x400 -j REDIRECT --to-ports 8443
iptables -t nat -A OUTPUT -p tcp --dport 443 -m mark --mark 0x400/0x400 -m addrtype ! --src-type LOCAL -j DNAT --to-destination :8443
Richtlinie zur Überprüfung von Zertifikaten konfigurieren. Standardmäßig entschlüsselt und untersucht die Komponente zum Schutz vor Web-Bedrohungen den Netzwerkverkehr, der über verschlüsselte Verbindungen übertragen wird. Darüber hinaus kann die Komponente das Internet verwenden, um fehlende Ketten, die zur Überprüfung des Zertifikats erforderlich sind, zu überprüfen und herunterzuladen. Wenn das Gerät keinen direkten Internetzugang besitzt, müssen Sie eine lokale Methode (ohne Verwendung des Internets) zur Überprüfung der Zertifikate durch die Anwendung auswählen oder einen Proxyserver für den Internetzugang verwenden.
Sie können in den Einstellungen der Untersuchung des Netzwerkverkehrs eine lokale Methode zur Überprüfung von Zertifikaten auswählen:
In der Richtlinie mithilfe der Web Console oder der Verwaltungskonsole: Geben Sie für den Parameter Richtlinie zur Überprüfung von Zertifikaten den Wert Lokale Überprüfung an.
Lokal auf dem Gerät mithilfe des folgenden Befehls:
Die Anwendung überpüft Zertifikate ohne das Internet zu verwenden.
Sie können die Verwendung eines Proxyservers aktivieren und dessen Einstellungen in einer Richtlinie mithilfe der Web Console, der Verwaltungskonsole oder lokal über die Befehlszeile konfigurieren.
Die Liste der von der Anwendung kontrollierten Netzwerkports begrenzen. Standardmäßig überwacht die Anwendung nur ausgewählte Netzwerkports. Wenn das Gerät eine SMB-Verbindung verwendet, stellen Sie sicher, dass der Standardwert verwendet wird:
In der Richtlinie der Web Console oder der Verwaltungskonsole ist in den Parametern zur Untersuchung des Netzwerkverkehrs die Variante Nur ausgewählte Netzwerkports überwachen ausgewählt.
Auf dem lokalen Gerät hat der Parameter MonitorNetworkPort der Untersuchung des Netzwerkverkehrs den Wert Selected.
Wenn Sie die Anwendung zusammen mit dem Balancer HAProxy verwenden, wird es empfohlen, die folgenden Maßnahmen auszuführen:
Öffnen Sie die Konfigurationsdatei "/var/opt/kaspersky/kesl/common/kesl.ini", erstellen Sie den Abschnitt [Environment] und fügen Sie ihm den Parameter TcpSynInterceptDisabled=1 hinzu.
Starten Sie die Anwendung neu:
systemctl restart kesl
Die gemeinsame Ausführung der Komponenten des Schutzes vor Web-Bedrohungen, des Schutzes vor Netzwerkbedrohungen und der Kubernetes-Containerisierung erfordert eine zusätzliche, fein abgestimmte und arbeitsintensive Konfiguration der Betriebssystem-Firewall. Die gemeinsame Ausführung von Kubernetes mit Cillium CNI ist nicht möglich.