Настройка фильтрации трафика промышленных протоколов через Web Console

Вы можете настроить правила для блокировки и фильтрации трафика, проходящего на уровне промышленных протоколов, с помощью приложения Kaspersky IoT Secure Gateway Network Protector. Фильтрация трафика промышленных протоколов осуществляется с помощью правил анализа содержимого сетевых пакетов и включает следующие проверки:

• фильтрация команд в протоколах MQTT и Modbus;
• проверка на аномалии трафика на уровне протоколов MQTT и Modbus.

Для работы приложения Kaspersky IoT Secure Gateway Network Protector вам нужно сначала настроить его конфигурацию. Если вы запустите приложение без настроенных параметров конфигурации, Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния.

Чтобы настроить правила фильтрации трафика промышленных протоколов:

1. С помощью утилиты Kaspersky Update Utility скачайте файлы со списками поддерживаемых правил анализа содержимого сетевых пакетов:
   • Файл industrial_commands.rules содержит список поддерживаемых правил фильтрации команд на уровне промышленных протоколов.
   • Файл industrial_anomalies.rules содержит список поддерживаемых правил обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов.

   Весь диапазон идентификаторов (sid) 9XXXXXXX используется для служебных нужд. Не используйте эти идентификаторы для пользовательских правил. При использовании служебных идентификаторов из этого диапазона для пользовательских правил Kaspersky IoT Secure Gateway 1000 может перейти в режим аварийной поддержки.

   Подробную информацию по работе с утилитой вы можете узнать в документации по Kaspersky Update Utility.

2. Выберите из файлов те правила, которые вы хотите применить для фильтрации трафика промышленных протоколов.

   Некоторые правила, содержащиеся в файлах industrial_commands.rules и industrial_anomalies.rules, могут блокировать бизнес-сценарии. Перед использованием правил из этих файлов мы рекомендуем их сначала проанализировать и отобрать только необходимые. В качестве примера вы можете использовать правило, описанное в шаге 11 этой инструкции.

3. В главном окне Web Console выберите Устройства → Управляемые устройства.
4. Нажмите на имя устройства с Kaspersky IoT Secure Gateway 1000. Если имя устройства отсутствует в списке, добавьте его в группу Управляемые устройства.
5. В открывшемся окне свойств устройства выберите вкладку Программы.
6. Нажмите Kaspersky IoT Secure Gateway.

   Откроется окно, содержащее информацию о Kaspersky IoT Secure Gateway 1000.

7. Выберите вкладку Параметры программы.
8. Выберите раздел Параметры приложений → Приложения.

   Отобразится таблица установленных приложений.

9. Остановите приложение Kaspersky IoT Secure Gateway Network Protector, если оно запущено.

   Пока приложение Kaspersky IoT Secure Gateway Network Protector остановлено, транзитный трафик на устройстве будет заблокирован для обеспечения безопасности подключенных устройств.

10. Нажмите на название приложения Kaspersky IoT Secure Gateway Network Protector.

    Справа откроется панель Kaspersky IoT Secure Gateway Network Protector application management.

11. Укажите правила фильтрации трафика промышленных протоколов:
    • В поле Rules for filtering commands in industrial protocols укажите правила фильтрации команд на уровне промышленных протоколов из файла industrial_commands.rules.
    • В поле Rules for searching anomalies in industrial protocols укажите правила обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов из файла industrial_anomalies.rules.

    Вы можете указать правила только в одном из этих полей или в обоих полях. Для работы приложения Kaspersky IoT Secure Gateway Network Protector требуется указать значение хотя бы одного параметра конфигурации, иначе Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим после запуска приложения, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния.

    Пример настройки правил

    Например, вы можете настроить правила фильтрации трафика в приложении Kaspersky IoT Secure Gateway Network Protector для реагирования на SYN-сканирование портов.

    Для этого вам нужно настроить параметры приложения Kaspersky IoT Secure Gateway Network Protector следующим образом:

    • Выключите параметр Rules for filtering commands in industrial protocols, оставив его значение пустым.
    • В параметре Rules for searching anomalies in industrial protocols укажите следующие правила:

      alert ip any any -> any any (msg:"POSSBL SCAN NMAP KNOWN FRAGM (type -f)"; fragbits:M+D; threshold:type limit, track by_src, count 20, seconds 1200; classtype:attempted-recon; sid:1000014; priority:2; rev:6;)

      alert ip any any -> any any (msg:"POSSBL SCAN NMAP FRAGM (type -f)"; fragbits:M; threshold:type threshold, track by_src, count 20, seconds 1200; classtype:attempted-recon; sid:1000015; priority:2; rev:1;)

12. Нажмите на кнопку Сохранить в нижней части панели, чтобы сохранить изменения.
13. Запустите приложение Kaspersky IoT Secure Gateway Network Protector.

Сетевой трафик, проходящий на уровне промышленных протоколов, будет фильтроваться с использованием указанных правил. В случае срабатывания правила сетевой трафик, соответствующий этому правилу, будет заблокирован, а IP-адрес, от которого идет трафик, будет добавлен в список запрещенных IP-адресов. Информация о блокировке IP-адреса передается в сетевой экран Kaspersky IoT Secure Gateway 1000. Событие о блокировке трафика будет записано в журнал событий аудита.

В начало