Задача Защита от сетевых угроз (Network_Threat_Protection, ID:17)

Во время работы задачи Защита от сетевых угроз приложение проверяет входящий сетевой трафик на действия, характерные для сетевых атак. Приложение проверяет входящий трафик для TCP‑портов, номера которых Kaspersky Endpoint Security получает из актуальных баз приложения. При запуске задачи текущие соединения для перехватываемых TCP-портов будут сброшены.

Для проверки сетевого трафика задача Защита от сетевых угроз принимает подключения по всем портам, номера которых получает из баз приложения. При проверке сети это может выглядеть как открытый порт на устройстве, даже если никакое приложение в системе его не прослушивает. Неиспользуемые порты рекомендуется закрывать средствами сетевого экрана.

При обнаружении попытки сетевой атаки, нацеленной на ваше устройство, приложение блокирует сетевую активность со стороны атакующего устройства и записывает в журнал соответствующее событие. Приложение блокирует сетевой трафик со стороны атакующего устройства на один час, вы можете изменить продолжительность блокировки в параметрах задачи. Вы можете просматривать список устройств, заблокированных задачей Защита от сетевых угроз, с помощью команды --get-blocked-hosts и вручную разблокировать эти устройства с помощью команды --allow-hosts.

Приложение Kaspersky Endpoint Security добавляет в список таблицы mangle утилит iptables и ip6tables специальную разрешающую цепочку правил kesl_bypass, которая позволяет исключать трафик из проверки приложением. Если в цепочке настроены правила исключения трафика, они влияют на работу задачи Защита от сетевых угроз. Например, для исключения исходящего http-трафика вам нужно добавить следующую команду: iptables -t mangle -I kesl_bypass -m tcp -p tcp --dport http -j ACCEPT.

В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Защита от сетевых угроз.

Параметры задачи Защита от сетевых угроз

Параметр

Описание

Значения

ActionOnDetect

Действия, выполняемые при обнаружении сетевой активности, характерной для сетевых атак.

При изменении значения этого параметра с Block на Notify список заблокированных устройств очищается.

Notify – разрешить сетевую активность, записать в журнал информацию об обнаруженной сетевой активности. Если указано это значение, значение параметра BlockAttackingHosts не учитывается.

Block (значение по умолчанию) – заблокировать сетевую активность и записать в журнал информацию об этом.

BlockAttackingHosts

Блокировка сетевой активности со стороны атакующих устройств.

Yes (значение по умолчанию) – заблокировать сетевую активность атакующего устройства.

No – не блокировать сетевую активность атакующего устройства. Если указано это значение, а для параметра ActionOnDetect указано значение Block, приложение блокирует сетевую активность со стороны атакующего устройства, но не вносит это устройство в список заблокированных устройств.

BlockDurationMinutes

Продолжительность блокировки атакующих устройств (в минутах).

1 – 32768

Значение по умолчанию: 60.

UseExcludeIPs

Использование списка IP-адресов, сетевую активность которых не требуется блокировать при обнаружении сетевой атаки. Приложение записывает в журнал данные о вредоносной активности со стороны этих устройств.

Вы можете добавить IP-адреса в список исключений с помощью параметра ExcludeIPs.item_#. По умолчанию список пуст.

Yes – использовать список исключений IP-адресов.

No (значение по умолчанию) – не использовать список исключений IP-адресов.

ExcludeIPs.item_#

IP-адреса, сетевая активность которых не блокируется приложением.

d.d.d.d – адреса IPv4, где d – десятичное число от 0 до 255.

d.d.d.d/p – подсеть адресов IPv4, где p – число от 0 до 32.

x:x:x:x:x:x:x:x – адреса IPv6, где x – шестнадцатеричное число от 0 до ffff.

x:x:x:x::0/p – подсеть адресов IPv6, где p – число от 0 до 64.

Значение по умолчанию не задано.

В начало