Настройка фильтрации трафика промышленных протоколов

Вы можете настроить правила для блокировки и фильтрации трафика, проходящего на уровне промышленных протоколов, с помощью приложения Kaspersky IoT Secure Gateway Network Protector через параметры конфигурации Kaspersky IoT Secure Gateway 1000. Фильтрация трафика промышленных протоколов осуществляется с помощью правил анализа содержимого сетевых пакетов и включает следующие проверки:

фильтрация команд в протоколах MQTT и Modbus;
проверка на аномалии трафика на уровне протоколов MQTT и Modbus.

Для работы приложения Kaspersky IoT Secure Gateway Network Protector вам нужно сначала настроить его конфигурацию. Если вы запустите приложение без настроенных параметров конфигурации, Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния.

Чтобы настроить правила фильтрации трафика промышленных протоколов:

С помощью утилиты Kaspersky Update Utility скачайте файлы со списками поддерживаемых правил анализа содержимого сетевых пакетов:
- Файл industrial_commands.rules содержит список поддерживаемых правил фильтрации команд на уровне промышленных протоколов.
- Файл industrial_anomalies.rules содержит список поддерживаемых правил обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов.
Весь диапазон идентификаторов (sid) 9XXXXXXX используется для служебных нужд. Не используйте эти идентификаторы для пользовательских правил. При использовании служебных идентификаторов из этого диапазона для пользовательских правил Kaspersky IoT Secure Gateway 1000 может перейти в режим аварийной поддержки.

Подробную информацию по работе с утилитой вы можете узнать в документации по Kaspersky Update Utility.
Выберите из файлов те правила, которые вы хотите применить для фильтрации трафика промышленных протоколов.
Некоторые правила, содержащиеся в файлах industrial_commands.rules и industrial_anomalies.rules, могут блокировать бизнес-сценарии. Перед использованием правил из этих файлов мы рекомендуем их сначала проанализировать и отобрать только необходимые. В качестве примера вы можете использовать правило, описанное в шаге 7 этой инструкции.
Закодируйте список правил фильтрации команд и список правил обнаружения аномалий как две отдельные строки в кодировке Base64.
Остановите приложение Kaspersky IoT Secure Gateway Network Protector, если оно запущено.
Пока приложение Kaspersky IoT Secure Gateway Network Protector остановлено, транзитный трафик на устройстве будет заблокирован для обеспечения безопасности подключенных устройств.
В меню в левой части экрана веб-интерфейса выберите раздел Параметры → Конфигурация.
В поле конфигурации в блоке kaspersky.kisg.netprotector добавьте объект "APP_CONFIGURATION": {}.
Внутри объекта APP_CONFIGURATION укажите следующие параметры, чтобы включить и настроить фильтрацию трафика промышленных протоколов:
- Добавьте параметр "industrial_commands_rules": "" и укажите для него список правил в кодировке Base64 для фильтрации команд на уровне промышленных протоколов.
- Добавьте параметр "industrial_anomaly_rules": "" и укажите для него список правил в кодировке Base64 для обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов.
В результате конфигурация параметров внутри блока kaspersky.kisg.netprotector будет выглядеть следующим образом:

"APP_CONFIGURATION": {

"industrial_commands_rules": "<правила в кодировке Base64>",

"industrial_anomaly_rules": "<правила в кодировке Base64>"

}

Для работы приложения Kaspersky IoT Secure Gateway Network Protector требуется указать значение хотя бы одного параметра конфигурации, иначе Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим после запуска приложения, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния. Вы можете выключить только один из параметров, указав пустые кавычки "" в качестве значения этого параметра.

Пример настройки правил
Например, вы можете настроить правила фильтрации трафика в приложении Kaspersky IoT Secure Gateway Network Protector для реагирования на SYN-сканирование портов.

Параметры конфигурации в блоке kaspersky.kisg.netprotector в этом случае выглядят следующим образом:

"APP_CONFIGURATION": {

"industrial_commands_rules": "",

"industrial_anomaly_rules": "YWxlcnQgaXAgYW55IGFueSAtPiBhbnkgYW55IChtc2c6IlBPU1NCTCBTQ0FOIE5NQVAgS05PV04gRlJBR00gKHR5cGUgLWYpIjsgZnJhZ2JpdHM6TStEOyB0aHJlc2hvbGQ6dHlwZSBsaW1pdCwgdHJhY2sgYnlfc3JjLCBjb3VudCAyMCwgc2Vjb25kcyAxMjAwOyBjbGFzc3R5cGU6YXR0ZW1wdGVkLXJlY29uOyBzaWQ6MTAwMDAxNDsgcHJpb3JpdHk6MjsgcmV2OjY7KQ0KYWxlcnQgaXAgYW55IGFueSAtPiBhbnkgYW55IChtc2c6IlBPU1NCTCBTQ0FOIE5NQVAgRlJBR00gKHR5cGUgLWYpIjsgZnJhZ2JpdHM6TTsgdGhyZXNob2xkOnR5cGUgdGhyZXNob2xkLCB0cmFjayBieV9zcmMsIGNvdW50IDIwLCBzZWNvbmRzIDEyMDA7IGNsYXNzdHlwZTphdHRlbXB0ZWQtcmVjb247IHNpZDoxMDAwMDE1OyBwcmlvcml0eToyOyByZXY6MTspDQo="

}

В этом примере:
- Значение параметра industrial_commands_rules пустое, этот параметр выключен.
- В значении параметра industrial_anomaly_rules указаны следующие правила в кодировке Base64 для сканирования состояния портов: открыты или закрыты:
  alert ip any any -> any any (msg:"POSSBL SCAN NMAP KNOWN FRAGM (type -f)"; fragbits:M+D; threshold:type limit, track by_src, count 20, seconds 1200; classtype:attempted-recon; sid:1000014; priority:2; rev:6;)
  
  alert ip any any -> any any (msg:"POSSBL SCAN NMAP FRAGM (type -f)"; fragbits:M; threshold:type threshold, track by_src, count 20, seconds 1200; classtype:attempted-recon; sid:1000015; priority:2; rev:1;)
После того, как вы добавите объект APP_CONFIGURATION и его параметры, вы не сможете его удалить, так как он является обязательным для работы приложения.
Нажмите на кнопку Сохранить, чтобы применить параметры конфигурации.
Запустите приложение Kaspersky IoT Secure Gateway Network Protector.

Сетевой трафик, проходящий на уровне промышленных протоколов, будет фильтроваться с использованием указанных правил. В случае срабатывания правила сетевой трафик, соответствующий этому правилу, будет заблокирован, а IP-адрес, от которого идет трафик, будет добавлен в список запрещенных IP-адресов. Информация о блокировке IP-адреса передается в сетевой экран Kaspersky IoT Secure Gateway 1000. Событие о блокировке трафика будет записано в журнал событий аудита.

Если вы хотите отключить использование конкретных правил, указанных в параметрах "industrial_commands_rules" и "industrial_anomaly_rules", вы можете добавить в объект APP_CONFIGURATION параметры "disable_commands_rules": [] и "disable_anomaly_rules": [] соответственно и указать для них следующие значения:

Список номеров sid из набора правил "industrial_commands_rules" для параметра "disable_commands_rules": [], чтобы отключить конкретные правила фильтрации команд на уровне промышленных протоколов. Каждый номер sid должен быть указан в двойных кавычках, например: "disable_commands_rules": ["123", "456"].
Список номеров sid из набора правил "industrial_anomaly_rules" для параметра "disable_anomaly_rules": [], чтобы отключить конкретные правила обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов. Каждый номер sid должен быть указан в двойных кавычках, например: "disable_anomaly_rules": ["123", "456"].

В некоторых случаях, когда приложение Kaspersky IoT Secure Gateway Network Protector не может обработать поступающий на устройство трафик, оно может аварийно завершить работу, и система перейдет в режим аварийной поддержки. Это может произойти в ходе обработки некоторых специфических типов сетевых пакетов, отправляемых по протоколам SIP, SMB, SMTP, DNS, HTTP или HTTP2. Протокол SIP участвует в установке соединения со стороны внешних IP-адресов, если модем используется в качестве основного канала связи и в нем установлена SIM-карта, к IP-адресу которой можно получить доступ напрямую из интернета.
Если такое произойдет, вам необходимо применить патч для отключения обработки неподдерживаемого трафика, чтобы восстановить работоспособность приложения и системы.

В начало