Die Komponente "Schutz vor Netzwerkbedrohungen" (auch "Intrusion Detection System" genannt) überwacht den eingehenden Netzwerkverkehr auf Aktivitäten, die für Netzwerkangriffe charakteristisch sind. Wenn Kaspersky Endpoint Security einen Netzwerkangriff auf den Computer erkennt, sperrt das Programm die Netzwerkverbindung mit dem angreifenden Computer. Beschreibungen der derzeit bekannten Arten von Netzwerkangriffen und entsprechende Abwehrmethoden sind in den Datenbanken von Kaspersky Endpoint Security enthalten. Die Liste der Netzwerkangriffe, die von der Komponente „Schutz vor Netzwerkbedrohungen“ erkannt werden, wird beim Update der Datenbanken und Programm-Module aktualisiert.
Einstellungen für die Komponente „Schutz vor Netzwerkbedrohungen“
Einstellung |
Beschreibung |
---|---|
Portscannen und Netzwerk-Flooding als Angriffe betrachten |
Network Flooding ist ein Angriff auf die Netzwerkressourcen einer Organisation (z. B. auf einen Webserver). Bei diesem Angriff wird eine große Anzahl von Anforderungen gesendet, was die Bandbreite der Netzwerkressourcen überlastet. In einem solchen Fall können Benutzer nicht auf die Netzwerkressourcen der Organisation zugreifen. Beim Angriff Port Scanning werden die UDP-Ports, TCP-Ports und Netzwerkdienste des Computers gescannt. Bei diesem Angriff können Angreifer ermitteln, wie anfällig der Computer für Angriffe ist, bevor sie gefährlichere Arten von Netzwerkangriffen starten. Mithilfe von Port Scanning können Angreifer außerdem das Betriebssystem des Computers identifizieren und die entsprechenden Netzwerkangriffe für dieses Betriebssystem auswählen. Wenn dieses Kontrollkästchen aktiviert ist, überwacht Kaspersky Endpoint Security den Netzwerkverkehr, um diese Angriffe zu erkennen. Wenn ein Angriff erkannt wird, benachrichtigt das Programm den Benutzer und sendet ein entsprechendes Ereignis an Kaspersky Security Center. Das Programm stellt Informationen über den angreifenden Computer bereit, die für eine rechtzeitige Reaktion auf Bedrohungen erforderlich sind. Sie können die Erkennung dieser Angriffstypen deaktivieren, falls einige Ihrer zulässigen Programme Vorgänge ausführen, die für diese Angriffstypen typisch sind. Auf diese Weise können Fehlalarme vermieden werden. |
Angreifende Geräte sperren für n Min |
Ist diese Option aktiviert, so fügt die Komponente „Schutz vor Netzwerkbedrohungen“ den angreifenden Computer zur Sperrliste hinzu. Das bedeutet, dass die Komponente „Schutz vor Netzwerkbedrohungen“ die Netzwerkverbindung mit dem angreifenden Computer nach dem ersten Netzwerkangriffsversuch für die angegebene Zeitspanne blockiert. Diese Sperre schützt den Computer des Benutzers automatisch vor möglichen zukünftigen Netzwerkangriffen von derselben Adresse aus. Die minimale Zeit, für die ein angreifender Computer auf die Blockliste gesetzt werden kann, ist eine Minute. Die maximale Dauer beträgt 999 Minuten. Die Sperrliste können Sie im Fenster Netzwerkmonitor ansehen. Kaspersky Endpoint Security löscht die Sperrliste, wenn das Programm neu gestartet wird und wenn die Einstellungen für den „Schutz vor Netzwerkbedrohungen“ geändert werden. |
Ausnahmen |
Die Liste enthält IP-Adressen, von denen die Komponente „Schutz vor Netzwerkbedrohungen“ keine Netzwerkangriffe blockiert. Sie können eine IP-Adresse mit angegebenem Port und Protokoll hinzufügen. Informationen über Netzwerkangriffe von den IP-Adressen, die zur Ausnahmeliste gehören, werden vom Programm nicht in den Bericht aufgenommen. |
MAC-Spoofing-Schutz |
Bei einem Angriff vom Typ MAC-Spoofing wird die MAC-Adresse eines Netzwerkgeräts (einer Netzwerkkarte) verändert. Dann kann der Angreifer die Daten, die an das Gerät gesendet werden, auf ein anderes Gerät umleiten und auf diese Daten zugreifen. Kaspersky Endpoint Security kann Mac-Spoofing-Angriffe blockieren und solche Angriffe melden |