Het onderdeel Network Threat Protection scant inkomend netwerkverkeer op activiteit die kenmerkend is voor netwerkaanvallen. Wanneer Kaspersky Endpoint Security een poging tot netwerkaanval op de computer van een gebruiker detecteert, blokkeert het de netwerkverbinding met de aanvallende computer. Beschrijvingen van momenteel bekende soorten netwerkaanvallen en methoden om ze te bestrijden, worden via de databases van Kaspersky Endpoint Security geleverd. De lijst met netwerkaanvallen die worden gedetecteerd door het onderdeel Network Threat Protection wordt bijgewerkt wanneer de databases en de modules van het programma worden bijgewerkt.
Instellingen van het onderdeel Network Threat Protection
Parameter |
Beschrijving |
|---|---|
Behandel poortscans en flooding als aanvallen |
Network Flooding is een aanval op netwerkbronnen van een organisatie (zoals webservers). Deze aanval bestaat uit het verzenden van een groot aantal verzoeken om de bandbreedte van netwerkbronnen te overbelasten. Wanneer dit gebeurt, hebben gebruikers geen toegang meer tot de netwerkbronnen van de organisatie. Een Port Scanning-aanval bestaat uit het scannen van de UDP-poorten, TCP-poorten en netwerkservices op de computer. Met deze aanval kan de aanvaller de mate van kwetsbaarheid van de computer bepalen voordat hij gevaarlijkere netwerkaanvallen uitvoert. Met Port Scanning kan de aanvaller ook het besturingssysteem op de computer identificeren en de juiste netwerkaanvallen voor dit besturingssysteem kiezen. Als dit selectievakje is ingeschakeld, bewaakt Kaspersky Endpoint Security netwerkverkeer om deze aanvallen te detecteren. Als er een aanval wordt gedetecteerd, waarschuwt het programma de gebruiker en stuurt de desbetreffende gebeurtenis naar Kaspersky Security Center. Het programma geeft informatie over de aanvallende computer, die nodig is voor tijdige acties als reactie op bedreigingen. U kunt de detectie van dit soort aanvallen uitschakelen voor het geval dat sommige van uw toegestane programma's bewerkingen uitvoeren die typisch zijn voor dit soort aanvallen. Dit helpt om vals alarm te voorkomen. |
Voeg een aanvallende computer toe aan de lijst met geblokkeerde computers gedurende N min |
Als het selectievakje is ingeschakeld, voegt Network Threat Protection de aanvallende computer toe aan de lijst met geblokkeerde computers. Dit betekent dat de netwerkverbinding met de aanvallende computer na de eerste netwerkaanval een bepaalde tijd wordt geblokkeerd door het onderdeel Network Threat Protection. Deze blokkering beschermt de gebruiker automatisch tegen mogelijke nieuwe netwerkaanvallen vanaf hetzelfde adres. De minimale tijd die een aanvallende computer in de blokkeerlijst moet doorbrengen, is één minuut. De maximale tijd is 32 768 minuten. U kunt de blokkeerlijst bekijken in het venster van het Netwerkmonitor-tool. Kaspersky Endpoint Security wist de blokkeerlijst wanneer het programma opnieuw wordt opgestart en wanneer de instellingen voor Network Threat Protection worden gewijzigd. |
Uitzonderingen |
De lijst bevat IP-adressen die Network Threat Protection niet blokkeert als er netwerkaanvallen vanaf die IP-adressen plaatsvinden. Het programma registreert geen informatie over netwerkaanvallen vanaf de IP-adressen die op de lijst met uitzonderingen staan. |
MAC spoofing-bescherming |
Bij een MAC-spoofing-aanval wordt het MAC-adres van een netwerkapparaat (netwerkkaart) gewijzigd. Als gevolg hiervan kan een aanvaller gegevens die naar een apparaat zijn verzonden, omleiden naar een ander apparaat en toegang krijgen tot deze gegevens. Via Kaspersky Endpoint Security kunt u MAC-adresvervalsing blokkeren en meldingen over deze aanvallen ontvangen. |