El componente Protección contra amenazas de red (también llamado Sistema de detección de intrusiones) supervisa el tráfico de red entrante en busca de actividad característica de ataques de red. Cuando Kaspersky Endpoint Security detecta un ataque de red contra el equipo del usuario, bloquea la conexión al equipo agresor. Las distintas clases de ataques de red sobre las que se tiene registro, así como las maneras de combatirlos, se describen en las bases de datos de Kaspersky Endpoint Security. La lista de ataques de red que detecta el componente Protección contra amenazas de red se actualiza durante las actualizaciones de las bases de datos y los módulos de la aplicación.
Configuración del componente Protección contra amenazas de red
Parámetro |
Descripción |
---|---|
Tratar los análisis de puertos e inundaciones de red como ataques |
Ataques de saturación de solicitudes, con los cuales se busca afectar los recursos de red (por ejemplo, los servidores web) de una organización. En esta clase de ataque, se realiza una gran cantidad de solicitudes con el fin de sobrecargar el ancho de banda disponible para los recursos de red. La sobrecarga impide el acceso a los recursos de la organización. Ataques de escaneo de puertos, en los cuales se realiza un sondeo de los puertos UDP, los puertos TCP y los servicios de red del equipo. El escaneo de puertos permite determinar qué tan vulnerable es un equipo; suele estar seguido por algún tipo de ataque más peligroso. Esto también revela el sistema operativo del equipo, lo que permite elegir el ataque de red más apropiado. Si activa esta casilla, Kaspersky Endpoint Security buscará indicios de estas clases de ataques en el tráfico de red. Si se detecta un ataque, la aplicación notifica al usuario y envía el evento correspondiente a Kaspersky Security Center. La aplicación proporciona información sobre el equipo atacante, que es necesaria para tomar acciones de respuesta ante amenazas de forma oportuna. Si alguna de sus aplicaciones autorizadas realiza operaciones que son típicas de estas clases de ataques, puede deshabilitar las funciones de detección pertinentes. Con ello evitará las falsas alarmas. |
Bloquear dispositivos atacantes durante N min |
Si la opción está habilitada, el componente Protección contra amenazas de red agrega el equipo atacante a la lista de elementos bloqueados. Esto significa que, cuando se detecte el primer intento de ataque, el componente Protección contra amenazas de red bloqueará la conexión al equipo agresor por el tiempo especificado. Este bloqueo protege automáticamente el equipo del usuario contra futuros posibles ataques de red de la misma dirección. El tiempo mínimo que un equipo atacante debe pasar en la lista de bloqueo es de un minuto. El tiempo máximo es de 999 minutos. Puede acceder a la lista de equipos bloqueados a través de la ventana del Monitor de red. La lista de equipos bloqueados se vacía cada vez que Kaspersky Endpoint Security se reinicia o cuando se modifica la configuración de Protección contra amenazas de red. |
Exclusiones |
La lista contiene las direcciones IP de las que la Protección contra amenazas de red no bloquea los ataques de red. Puede agregar una dirección IP con el puerto y el protocolo especificados. La aplicación no registra ningún dato sobre los ataques de red provenientes de las direcciones IP de la lista de exclusiones. |
Protección contra suplantaciones de MAC |
Ataques de suplantación de MAC, que consisten en cambiar la dirección MAC de un dispositivo (tarjeta) de red. Al realizar este cambio, un atacante puede redirigir los datos destinados a un dispositivo a otro dispositivo diferente y, de ese modo, obtener acceso a la información. Kaspersky Endpoint Security le permite saber si se detecta uno de estos ataques y bloquearlo. |