Рекомендации для Защиты от веб-угроз и ‎Защиты от сетевых угроз

Чтобы снизить влияние компонентов Защита от веб-угроз и ‎Защита от сетевых угроз на работу прикладных приложений, рекомендуется выполнить следующие действия.

• Настроить межсетевой экран операционной системы. Если в системе настроены свои (или firewalld) сетевые правила с Drop политиками, то для корректной работы приложения вам нужно добавить разрешающее правило для разрешения входящих соединений локального устройства (loopback).

  Пример команды для iptables:

  iptables -A INPUT -i lo -j ACCEPT

• Чтобы обеспечить совместимость правила REDIRECT (например, перенаправление с 443 порта на 8443) с правилами перехвата компонента Защита от сетевых угроз:
  1. Удалить правило:

     iptables -t nat -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443

  2. Добавить вместо него следующие правила:

     iptables -t nat -A PREROUTING -p tcp -m tcp --dport 443 -m mark ! --mark 0x400/0x400 -j REDIRECT --to-ports 8443

     iptables -t nat -A OUTPUT -p tcp --dport 443 -m mark --mark 0x400/0x400 -m addrtype ! --src-type LOCAL -j DNAT --to-destination :8443

• Настроить политику проверки сертификатов. Компонент Защита от веб-угроз по умолчанию расшифровывает и проверяет сетевой трафик, передаваемый по защищенным соединениям. При этом компонент может использовать интернет для проверки и загрузки недостающих цепочек, необходимых для проверки сертификата. Если устройство не имеет прямого выхода в интернет, вам нужно выбрать локальный способ проверки сертификатов приложением (без использования интернета) или использовать прокси-сервер для доступа в интернет.

  Вы можете выбрать локальный способ проверки сертификатов в параметрах проверки сетевого трафика:

  • В политике с помощью Web Console или Консоли администрирования: установите для параметра Политика проверки сертификатов значение Локальная проверка.
  • Локально на устройстве с помощью команды:

    kesl-control --get-net-settings CertificateVerificationPolicy=LocalCheck

  Приложение не будет использовать интернет для проверки сертификатов.

  Вы можете включить использование прокси-сервера и настроить его параметры в политике с помощью Web Console, Консоли администрирования или локально с помощью командной строки.

• Ограничить список контролируемых приложением сетевых портов. По умолчанию приложение контролирует только выбранные сетевые порты. Если устройство использует подключение по протоколу SMB, убедитесь, что используется значение по умолчанию:
  • В политике в Web Console или в Консоли администрирования: в параметрах проверки сетевого трафика выбран вариант Контролировать только выбранные сетевые порты.
  • Локально на устройстве: параметр проверки сетевого трафика MonitorNetworkPort имеет значение Selected.

При использовании приложения совместно с балансировщиком HAProxy рекомендуется выполнить следующие действия:

1. Открыть конфигурационный файл /var/opt/kaspersky/kesl/common/kesl.ini, создать секцию [Environment] и добавить в нее параметр TcpSynInterceptDisabled=1.
2. Перезапустить приложение:

   systemctl restart kesl

Совместная работа компонентов Защита от веб-угроз и ‎Защита от сетевых угроз и контейнеризации Kubernetes требует дополнительной тонкой и трудоемкой настройки межсетевого экрана операционной системы. Совместная работа невозможна при использовании Kubernetes c Cillium CNI.

В начало