Anpassen der Ausnahmen aus dem Schutz vor Netzwerkbedrohungen

In der Richtlinie können Sie die Regeln der Ausnahme aus dem Schutz vor Netzwerkbedrohungen anpassen, gemäß denen Kaspersky Security den Datenverkehr von bestimmten IP-Adressen von der Untersuchung ausschließt oder bestimmte Aktionen bei der Verarbeitung dieses Datenverkehrs ausführt. Sie können sowohl für den Datenverkehr von bestimmten IP-Adressen als auch für den Datenverkehr von allen IP-Adressen im IP-Subnetz Ausnahmeregeln festlegen. Beim Erstellen eines Gültigkeitsbereichs für Regeln wird die Zugehörigkeit des Datenverkehrs zum virtuellen lokalen Netzwerk (VLAN) berücksichtigt.

Wenn die Gruppe der Ports des virtuellen Switch im Modus Virtual Switch Tagging (VST) ausgeführt wird, so wird bei der Anwendung der Ausnahmeregeln für den Datenverkehr der virtuellen Maschinen, die zu dieser Gruppe der Ports gehören, die Zugehörigkeit des Datenverkehrs zum virtuellen lokalen Netzwerk (VLAN) nicht berücksichtigt.

Um eine Ausnahmeregel aus dem Schutz vor Netzwerkbedrohungen anzupassen, gehen Sie wie folgt vor:

1. Öffnen Sie in der Verwaltungskonsole von Kaspersky Security Center die Eigenschaften der Richtlinie in deren Gültigkeitsbereich sich die gewünschten virtuellen Maschinen befinden:
   1. Wählen Sie in der Konsolenstruktur den Ordner oder die Administrationsgruppe, in der die Richtlinie erstellt wurde.
   2. Wählen Sie im Arbeitsbereich die Registerkarte Richtlinien.
   3. Wählen Sie in der Richtlinienliste eine Richtlinie und öffnen Sie durch Doppelklick auf die Richtlinie das Fenster Eigenschaften: <Name der Richtlinie>.
2. Im Eigenschaftenfenster der Richtlinie im Abschnitt Schutz vor Netzwerkbedrohungen wählen Sie den Unterabschnitt Schutz-Ausnahmen aus.
3. Klicken Sie auf Hinzufügen oder drücken Sie die Taste EINFÜGEN und geben Sie in der Spalte Gültigkeitsbereich den Gültigkeitsbereich der Ausnahmeregel an.
   

   Der Gültigkeitsbereich der Ausnahmeregel für den Schutz vor Netzwerkbedrohungen beschreibt den Datenverkehr, den Kaspersky Security von der Untersuchung ausschließt oder bei dessen Verarbeitung besondere Aktionen verwendet werden.

   Die Spalte kann einen der folgenden Werte enthalten:

   • <Quelle des Datenverkehrs> novlan: Die Ausnahmeregel wird auf den Datenverkehr von den angegebenen IP-Adressen angewendet, der nicht mit einem Tag für die Zugehörigkeit zu einem virtuellen lokalen Netzwerk gekennzeichnet ist.
   • <Quelle des Datenverkehrs> vlan <ID>: Die Ausnahmeregel wird auf den Datenverkehr von der angegebenen Quelle angewendet, der mit einem Tag für die Zugehörigkeit zu einem virtuellen lokalen Netzwerk mit angegebener ID gekennzeichnet ist.
   • <Quelle des Datenverkehrs> vlan 4095: Die Ausnahmeregel wird auf den Datenverkehr von der angegebenen Quelle angewendet, der mit einem Tag für die Zugehörigkeit zu einem virtuellen lokalen Netzwerk mit einer ID zwischen 1 und 4095 gekennzeichnet ist.
   • <Quelle des Datenverkehrs> vlan *: Die Ausnahmeregel wird auf den Datenverkehr von der angegebenen Quelle angewendet, unabhängig vom Vorhandensein eines Tags für die Zugehörigkeit zu einem virtuellen lokalen Netzwerk.

   wobei gilt:

   <Quelle des Datenverkehrs>: IP-Adresse eines Netzwerkgeräts oder Subnetzes im IPv4- oder IPv6-Format, zum Beispiel: 192.168.0.1, 192.168.0.0/16, fd00::1, fd00::/64

   <ID>: VLAN-ID, kann einen Wert zwischen 1 und 4094 annehmen.

4. Wählen Sie in der Spalte Regel eine Ausnahmeregel aus.
   

   Die Dropdown-Liste erlaubt, die Regel auszuwählen, die Kaspersky Security bei der Verarbeitung des Datenverkehres von den IP-Adressen verwendet, die in den Gültigkeitsbereich der Ausnahmeregel fallen:

   • Standard. Bei der Verarbeitung des Datenverkehrs von den IP-Adressen, die in den Gültigkeitsbereich fallen, wendet Kaspersky Security die Aktion an, die in den Einstellungen der Intrusion Prevention und/oder in den Einstellungen der Untersuchung von Webadressen konfiguriert ist. Diese Variante erlaubt, die Ausnahmen für IP-Subnetze flexibel anzupassen: beispielsweise können Sie eine Ausnahmeregel für den Datenverkehr des IP-Subnetzes insgesamt angeben, aber dabei festlegen, diese für den Datenverkehr von einzelnen IP-Adressen aus diesem IP-Subnetz nicht zu verwenden.
   • Nicht untersuchen. Kaspersky Security schließt den Datenverkehr von IP-Adressen, die in den Gültigkeitsbereich der Regel fallen, von der Untersuchung aus. Kaspersky Security erkennt im Datenverkehr dieser IP-Adressen keine Netzwerkangriffe und verdächtige Netzwerkaktivität. Kaspersky Security prüft ferner Webadressen, auf die der Zugriff von den angegebenen IP-Adressen erfolgt, nicht.
   • Nicht blockieren. Kaspersky Security schließt den Datenverkehr von IP-Adressen, die in den Gültigkeitsbereich der Regel fallen, von der Blockierung aus. Wenn im Datenverkehr dieser IP-Adressen eine Aktivität erkannt wird, die charakteristisch für Netzwerkangriffe und/oder verdächtige Netzwerkaktivität ist, blockiert Kaspersky Security den Datenverkehr von diesen IP-Adressen unabhängig von den eingestellten Aktionen beim Erkennen einer Bedrohung nicht. Diese Ausnahmeregel kann angewendet werden, wenn in den Einstellungen der Intrusion Prevention die Aktion Verbindung unterbrechen und Datenverkehr von der IP-Adresse des Absenders blockieren angegeben ist.

     Wenn der Datenverkehr der IP-Adressen, die in den Gültigkeitsbereich der Regel fallen, früher blockiert war, wird die Blockierung von Kaspersky Security nach der Ausnahme von der Blockierung aufgehoben.

   • Ignorieren. Kaspersky Security erkennt Netzwerkangriffe und/oder verdächtige Netzwerkaktivität im Datenverkehr von den IP-Adressen, die in den Gültigkeitsbereich der Regel fallen, führt jedoch keine Aktionen in Bezug auf den Datenverkehr von diesen IP-Adressen aus. Unabhängig von den festgelegten Einstellungen zur Untersuchung von Webadressen blockiert Kaspersky Security nicht den Zugriff auf gefährliche und unerwünschte Webadressen, auf die von diesen IP-Adressen aus zugegriffen wird. Diese Ausnahmeregel kann angewendet werden, wenn in den Einstellungen der Intrusion Prevention die Aktion Verbindung unterbrechen oder Verbindung unterbrechen und Datenverkehr von der IP-Adresse des Absenders blockieren angegeben ist.
5. Ändern Sie bei Bedarf die Position der erstellten Ausnahmeregel in der Liste mithilfe der Pfeile oberhalb der Liste. Die Priorität der Regel wird durch ihre Position in der Liste bestimmt. Wenn Sie für ein und denselben Gültigkeitsbereich mehrere Regeln festgelegt haben, wird in erster Linie die Regel verwendet, die höher in der Liste gelegen ist.
6. Klicken Sie im Fenster Eigenschaften: <Name der Richtlinie> auf OK.

Nach oben