Просмотр состояния защиты

08 февраля 2024

ID 7485

Во время работы задачи Защита от сетевых угроз программа проверяет входящий сетевой трафик на действия, характерные для сетевых атак. Программа проверяет входящий трафик для TCP‑портов, номера которых Kaspersky Industrial CyberSecurity for Linux Nodes получает из актуальных баз программы.

Для проверки сетевого трафика задача Защита от сетевых угроз принимает подключения по всем портам, номера которых получает из баз программы. При проверке сети это может выглядеть как открытый порт на устройстве, даже если никакое приложение в системе его не прослушивает. Неиспользуемые порты рекомендуется закрывать средствами сетевого экрана.

При обнаружении попытки сетевой атаки, нацеленной на ваш компьютер, программа записывает в журнал соответствующее событие, а также может блокировать сетевую активность со стороны атакующего компьютера.

Программа Kaspersky Industrial CyberSecurity for Linux Nodes добавляет в список таблицы mangle утилит iptables и ip6tables специальную разрешающую цепочку правил kics_bypass, которая позволяет исключать трафик из проверки программой. Если в цепочке настроены правила исключения трафика, они влияют на работу задачи Защита от сетевых угроз.

В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Защита от сетевых угроз.

Параметры задачи Защита от сетевых угроз

Параметр	Описание	Значения
`ActionOnDetect`	Действия, выполняемые при обнаружении сетевой активности, характерной для сетевых атак.	`Notify` (значение по умолчанию) – разрешить сетевую активность, записать в журнал информацию об обнаруженной сетевой активности. `Block` – заблокировать сетевую активность и записать в журнал информацию об этом.
`BlockAttackingHosts`	Включает или выключает блокировку сетевой активности со стороны атакующих компьютеров.	`Yes` (значение по умолчанию) – запретить сетевую активность со стороны атакующего компьютера. `No` – разрешить сетевую активность со стороны атакующего компьютера.
`BlockDurationMinutes`	Продолжительность блокировки атакующих компьютеров (в минутах).	`1` – `32768` Значение по умолчанию: `60`.
`UseExcludeIPs`	Включает или выключает использование списка IP-адресов, сетевую активность которых не требуется блокировать при обнаружении сетевой атаки. Программа записывает в журнал данные о вредоносной активности со стороны этих компьютеров. Вы можете добавить IP-адреса в список исключений с помощью параметра `ExcludeIPs.item_#`. По умолчанию список пуст.	`Yes` – использовать список исключений IP-адресов. `No` (значение по умолчанию) – не использовать список исключений IP-адресов.
`ExcludeIPs.item_#`	IP-адреса, сетевая активность которых не блокируется программой.	d.d.d.d – адреса IPv4, где d – десятичное число от 0 до 255. d.d.d.d/p – подсеть адресов IPv4, где p – число от 0 до 32. x:x:x:x:x:x:x:x – адреса IPv6, где x – шестнадцатеричное число от 0 до ffff. x:x:x:x::0/p – подсеть адресов IPv6, где p – число от 0 до 64. Значение по умолчанию не задано.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!