Проверка регистрации событий с помощью тестового сетевого пакета
Для проверки регистрации событий в Kaspersky Industrial CyberSecurity for Networks вы можете использовать тестовый сетевой пакет. При обнаружении такого пакета в трафике программа регистрирует тестовые события по следующим технологиям:
Контроль технологического процесса. Событие регистрируется независимо от наличия правил контроля процесса и тегов.
Контроль целостности сети. Событие регистрируется независимо от наличия правил контроля сети. При этом должно быть включено применение технологии Контроль целостности сети.
Обнаружение вторжений. Событие регистрируется независимо от наличия правил обнаружения вторжений. При этом должно быть включено применение метода обнаружения вторжений по правилам.
Контроль устройств. Событие регистрируется независимо от наличия устройств в таблице устройств, известных программе. При этом должно быть включено применение метода обнаружения активности устройств.
Для проверки функции аудита Kaspersky Industrial CyberSecurity for Networks сохраняет информацию о регистрации тестовых событий в журнале аудита. По каждому зарегистрированному событию создается запись аудита, в которой указана технология регистрации тестового события.
Тестовый сетевой пакет представляет собой пакет протокола UDP с определенными значениями параметров. Параметры заданы таким образом, чтобы исключить вероятность получения такого пакета в обычном трафике промышленной сети.
В параметрах тестового сетевого пакета должны быть заданы следующие данные:
Заголовок Ethernet II:
MAC-адрес отправителя: 00:00:00:00:00:00.
MAC-адрес получателя: ff:ff:ff:ff:ff:ff.
EtherType: 0x0800 (IPv4).
Заголовок IP:
IP-адрес отправителя: 127.0.20.20.
IP-адрес получателя: 127.0.20.20.
ID: 20.
TTL: 20.
Protocol type: 17 (UDP).
Флаги: 0x00.
Заголовок UDP:
Порт отправителя: 20.
Порт получателя: 20.
Содержимое пакета:
Длина содержимого пакета, байт: 20.
Содержимое пакета: "KICS4Net Sentinel 20".
Для формирования и отправки тестового сетевого пакета вы можете использовать программу генерации сетевых пакетов, например Scapy. Отправку тестового сетевого пакета нужно выполнить с узла, трафик которого контролируется Kaspersky Industrial CyberSecurity for Networks.
Пример:
Чтобы отправить тестовый сетевой пакет с помощью программы Scapy в операционной системе Linux®, выполните следующие действия:
В консоли операционной системы компьютера введите команду запуска интерактивного режима работы Scapy:
sudo scapy
Введите команду отправки тестового сетевого пакета: