Schutz vor Netzwerkbedrohungen

Die Komponente "Schutz vor Netzwerkbedrohungen" untersucht den eingehenden Netzwerkdatenverkehr auf Aktivitäten, die für Netzwerkangriffe typisch sind.

Diese Funktionalität wird im KESL-Container nicht unterstützt.

Die App untersucht den eingehenden Datenverkehr für TCP-Ports, deren Nummern Kaspersky Endpoint Security aus den aktuellen App-Datenbanken erhält.

Zur Untersuchung des Netzwerkverkehrs akzeptiert die Aufgabe zum Schutz vor Netzwerkbedrohungen Verbindungen von allen Ports, deren Nummern sie aus den Datenbanken der App erhält. Bei der Untersuchung des Netzwerkes können auf Geräten geöffnete Ports auftauchen, die von keiner Anwendung auf diesem System verwendet werden. Es wird empfohlen, nicht verwendetet Ports mittels Firewall zu schließen.

Aktuelle Verbindungen für abgefangene TCP-Ports werden zurückgesetzt, wenn der Schutz vor Netzwerkbedrohungen aktiviert ist.

Wenn der Schutz vor Netzwerkbedrohungen aktiviert ist und ein versuchter Netzwerkangriff auf ein geschütztes Gerät erkannt wird, blockiert die App die Netzwerkaktivität des angreifenden Geräts und generiert das Ereignis Netzwerkangriff erkannt. Das Ereignis enthält Informationen über das angreifende Gerät.

Standardmäßig wird der Netzwerkverkehr des angreifenden Geräts für eine Stunde blockiert. Nach Ablauf der Sperrzeit entsperrt die App das Gerät.

Der Schutz vor Netzwerkbedrohungen ist standardmäßig aktiviert, wenn die Einstellungen für den Schutz vor Netzwerkbedrohungen auf dem Gerät durch eine Richtlinie festgelegt werden. Wenn auf das Gerät lokal konfigurierte Einstellungen angewendet werden, ist der Schutz vor Netzwerkbedrohungen standardmäßig deaktiviert.

Sie können den Schutz vor Netzwerkbedrohungen ein- und ausschalten und auch Schutzeinstellungen konfigurieren:

• Wählen Sie die Aktion aus, welche die App ausführen soll, wenn sie eine für Netzwerkangriffe typische Netzwerkaktivität erkennt.
• Aktivieren und deaktivieren Sie das Blockieren der Netzwerkaktivität, wenn ein versuchter Netzwerkangriff erkannt wird.
• Legen Sie die Dauer der Blockierung des angreifenden Geräts fest.
• Konfigurieren Sie eine Liste von IP-Adressen, deren Netzwerkaktivität nicht durch die App blockiert wird.

Mithilfe der Befehle zur Verwaltung blockierter Geräte in der Befehlszeile können Sie die Liste der blockierten Geräte anzeigen und diese Geräte manuell entsperren. Kaspersky Security Center verfügt über keine Tools zur Überwachung und Verwaltung blockierter Geräte, mit Ausnahme der Ereignisse Netzwerkangriff erkannt.

Kaspersky Endpoint Security fügt zur Liste der Tabelle mangle der Tools iptables und ip6tables eine spezielle Erlaubniskette der Regeln kesl_bypass hinzu, die es erlaubt, den Datenverkehr von der Untersuchung durch die App auszuschließen. Wenn in der Kette Ausschlussregeln für den Datenverkehr konfiguriert sind, wirken sich diese auf die Aufgabe "Schutz vor Netzwerkbedrohungen" aus. Um beispielsweise ausgehenden HTTP-Verkehr auszuschließen, müssen Sie den folgenden Befehl hinzufügen: iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT.