Проверка регистрации событий с помощью тестового сетевого пакета

Для проверки регистрации событий в Kaspersky Industrial CyberSecurity for Networks вы можете использовать тестовый сетевой пакет. При обнаружении такого пакета в трафике программа регистрирует тестовые события по следующим технологиям:

• Контроль технологического процесса. Событие регистрируется независимо от наличия правил контроля процесса и тегов.
• Контроль целостности сети. Событие регистрируется независимо от наличия правил контроля взаимодействий. При этом должно быть включено применение технологии Контроль целостности сети.
• Обнаружение вторжений. Событие регистрируется независимо от наличия правил обнаружения вторжений. При этом должно быть включено применение метода обнаружения вторжений по правилам.
• Контроль активов. Событие регистрируется независимо от наличия устройств в таблице устройств, известных программе. При этом должно быть включено применение метода обнаружения активности устройств.

Для регистрации используются системные типы событий, которым присвоены следующие коды:

• 4000000001 – для события по технологии Контроль технологического процесса;
• 4000000002 – для события по технологии Контроль целостности сети;
• 4000000003 – для события по технологии Обнаружение вторжений;
• 4000000004 – для события по технологии Контроль активов.

Вы можете просмотреть тестовые события в таблице зарегистрированных событий.

Для проверки функции аудита Kaspersky Industrial CyberSecurity for Networks сохраняет информацию о регистрации тестовых событий в журнале аудита. По каждому зарегистрированному событию создается запись аудита, в которой указана технология регистрации тестового события.

Тестовый сетевой пакет представляет собой пакет протокола UDP с определенными значениями параметров. Параметры заданы таким образом, чтобы исключить вероятность получения такого пакета в обычном трафике промышленной сети.

В параметрах тестового сетевого пакета должны быть заданы следующие данные:

• Заголовок Ethernet II:
  • MAC-адрес отправителя: 00:00:00:00:00:00.
  • MAC-адрес получателя: ff:ff:ff:ff:ff:ff.
  • EtherType: 0x0800 (IPv4).
• Заголовок IP:
  • IP-адрес отправителя: 127.0.20.20.
  • IP-адрес получателя: 127.0.20.20.
  • ID: 20.
  • TTL: 20.
  • Protocol type: 17 (UDP).
  • Флаги: 0x00.
• Заголовок UDP:
  • Порт отправителя: 20.
  • Порт получателя: 20.
• Содержимое пакета:
  • Длина содержимого пакета, байт: 20.
  • Содержимое пакета: "KICS4Net Sentinel 20".

Для формирования и отправки тестового сетевого пакета вы можете использовать программу генерации сетевых пакетов, например Scapy. Отправку тестового сетевого пакета нужно выполнить с узла, трафик которого контролируется Kaspersky Industrial CyberSecurity for Networks.

Пример: Чтобы отправить тестовый сетевой пакет с помощью программы Scapy в операционной системе Linux: В консоли операционной системы компьютера введите команду запуска интерактивного режима работы Scapy: sudo scapy Введите команду отправки тестового сетевого пакета: sendp( Ether(src='00:00:00:00:00:00', dst='ff:ff:ff:ff:ff:ff')/ IP(src='127.0.20.20', dst='127.0.20.20', id=20, ttl=20)/ UDP(sport=20, dport=20)/ "KICS4Net Sentinel 20", iface="<имя интерфейса>" ) где <имя интерфейса> – имя сетевого интерфейса, подключенного к промышленной сети (например, eth0). После обнаружения пакета в трафике программа Kaspersky Industrial CyberSecurity for Networks зарегистрирует тестовые события.

В начало