Die Komponente „Schutz vor Netzwerkbedrohungen“ (IDS, Intrusion Detection System) überwacht den eingehenden Netzwerkverkehr auf Aktivität, die für Netzwerkangriffe typisch ist. Wenn Kaspersky Endpoint Security einen Netzwerkangriff auf den Computer erkennt, sperrt das Programm die Netzwerkverbindung mit dem angreifenden Computer.
Beschreibungen der derzeit bekannten Arten von Netzwerkangriffen und entsprechende Abwehrmethoden sind in den Datenbanken von Kaspersky Endpoint Security enthalten. Die Liste der Netzwerkangriffe, die von der Komponente „Schutz vor Netzwerkbedrohungen“ erkannt werden, wird beim Update der Datenbanken und Programm-Module aktualisiert.
Einstellungen für die Komponente „Schutz vor Netzwerkbedrohungen“
Einstellung |
Beschreibung |
---|---|
Portscannen und Netzwerk-Flooding-Angriffe erkennen |
Network Flooding ist ein Angriff auf die Netzwerkressourcen einer Organisation (z. B. auf einen Webserver). Bei diesem Angriff wird eine große Anzahl von Anforderungen gesendet, was die Bandbreite der Netzwerkressourcen überlastet. In einem solchen Fall können Benutzer nicht auf die Netzwerkressourcen der Organisation zugreifen. Beim Angriff Port Scanning werden die UDP-Ports, TCP-Ports und Netzwerkdienste des Computers gescannt. Bei diesem Angriff können Angreifer ermitteln, wie anfällig der Computer für Angriffe ist, bevor sie gefährlichere Arten von Netzwerkangriffen starten. Mithilfe von Port Scanning können Angreifer außerdem das Betriebssystem des Computers identifizieren und die entsprechenden Netzwerkangriffe für dieses Betriebssystem auswählen. Wenn dieses Kontrollkästchen aktiviert ist, überwacht Kaspersky Endpoint Security den Netzwerkverkehr, um diese Angriffe zu erkennen. Wenn ein Angriff erkannt wird, filtert und blockiert das Programm den mit dem Angriff verbundenen Datenverkehr. Auf diese Weise reduziert das Programm die Auslastung der angegriffenen Ressource, wenn ein Network-Flooding-Angriff auf den Computer gestartet wird. Wenn ein Port-Scanning-Angriff auf den Computer gestartet wird, verhindert Kaspersky Endpoint Security Datenlecks auf dem Computer. Sie können die Erkennung dieser Angriffstypen deaktivieren, falls einige Ihrer zulässigen Programme Vorgänge ausführen, die für diese Angriffstypen typisch sind. Auf diese Weise können Fehlalarme vermieden werden. |
Angreifenden Computer zur Sperrliste hinzufügen für N Minuten |
Ist dieses Kontrollkästchen aktiviert, so fügt die Komponente „Schutz vor Netzwerkbedrohungen“ den angreifenden Computer zur Sperrliste hinzu. Das bedeutet, dass die Komponente „Schutz vor Netzwerkbedrohungen“ die Netzwerkverbindung mit dem angreifenden Computer nach dem ersten Netzwerkangriffsversuch für die angegebene Zeitspanne blockiert. Diese Sperre schützt den Computer des Benutzers automatisch vor möglichen zukünftigen Netzwerkangriffen von derselben Adresse aus. Die Sperrliste können Sie im Fenster Netzwerkmonitor ansehen. Kaspersky Endpoint Security löscht die Sperrliste, wenn das Programm neu gestartet wird und wenn die Einstellungen für den „Schutz vor Netzwerkbedrohungen“ geändert werden. |
Ausnahmen |
Die Liste enthält IP-Adressen, von denen die Komponente „Schutz vor Netzwerkbedrohungen“ keine Netzwerkangriffe blockiert. Informationen über Netzwerkangriffe von den IP-Adressen, die zur Ausnahmeliste gehören, werden von Kaspersky Endpoint Security nicht in den Bericht aufgenommen. |
Schutz vor MAC-Spoofing |
Bei einem Angriff vom Typ MAC-Spoofing wird die MAC-Adresse eines Netzwerkgeräts (einer Netzwerkkarte) verändert. Dann kann der Angreifer die Daten, die an das Gerät gesendet werden, auf ein anderes Gerät umleiten und auf diese Daten zugreifen. Kaspersky Endpoint Security kann Mac-Spoofing-Angriffe blockieren und solche Angriffe melden |