Настройка Защиты от сетевого сканирования

Сетевое сканирование – способ обнаружения уязвимых узлов в сети путем обращения к разным портам разных хостов. Этот способ может применяться специалистами по безопасности в качестве инструмента для поиска уязвимых мест IT-инфраструктуры, а также злоумышленниками на подготовительном этапе атаки для получения информации о целевом хосте. Например, для проникновения злоумышленники могут воспользоваться уязвимостями в доступных извне сетевых службах или в операционной системе устройства.

Защита от сетевого сканирования не зависит от профилей безопасности и включается глобально для всего транзитного пользовательского трафика.

Защита от сетевого сканирования применяется до проверки трафика на соответствие правилам фильтрации.

Kaspersky NGFW обрабатывает трафик, генерирует и отправляет пользовательские события в соответствии с настроенным параметрам.

Параметры настраиваются независимо для двух типов атак:

• TCP Port Scan.
• UDP Port Scan.

Чтобы включить Защиту от сетевого сканирования:

1. В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисы → NGFW.
2. Перейдите на вкладку Объекты и выберите Профили безопасности → IDPS.
3. Перейдите на вкладку Защита от сетевого сканирования и включите переключатель Статус.
4. Выберите действие, которое будет применяться к сессиям в случае обнаружения сетевого сканирования:
   • Разрешать – не анализировать трафик на возможные атаки с использованием сканирования сети. Весь трафик разрешается без проверки на сетевое сканирование.
   • Блокировать – при обнаружении атаки с использованием сканирования сети сессия создана не будет.
5. При необходимости включите запись событий безопасности в журнал. Если запись в журнал включена, при срабатывании действия при обнаружении сетевого сканирования событие записывается в журнал событий безопасности IDPS в SIEM-системе.
6. При необходимости включите переключатель Ограничитель частоты событий и укажите частоту отправки событий в секундах. Если переключатель выключен, то событие безопасности отправляется в SIEM-систему при каждом алерте, полученном от механизма безопасности IDPS. Если переключатель включен, в SIEM-систему отправляется одно событие безопасности на первый алерт, произошедший в указанный промежуток времени. По умолчанию установлено значение 1 (1 секунда).
7. При необходимости включите захват пакетов.
8. Примените изменения к политике OSMP, нажав на кнопку Применить и отправить.

Защита от сетевого сканирования будет включена для всего трафика.

В начало