Настройка фильтрации трафика промышленных протоколов

Вы можете настроить правила для блокировки и фильтрации трафика, проходящего на уровне промышленных протоколов, с помощью приложения Kaspersky IoT Secure Gateway Network Protector через параметры конфигурации Kaspersky IoT Secure Gateway 1000. Фильтрация трафика промышленных протоколов осуществляется с помощью правил анализа содержимого сетевых пакетов и включает следующие проверки:

• фильтрация команд в протоколах MQTT и Modbus;
• проверка на аномалии трафика на уровне протоколов MQTT и Modbus.

Для работы приложения Kaspersky IoT Secure Gateway Network Protector вам нужно сначала настроить его конфигурацию. Если вы запустите приложение без настроенных параметров конфигурации, Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния.

Чтобы настроить правила фильтрации трафика промышленных протоколов:

1. С помощью утилиты Kaspersky Update Utility скачайте файлы со списками поддерживаемых правил анализа содержимого сетевых пакетов:
   • Файл industrial_commands.rules содержит список поддерживаемых правил фильтрации команд на уровне промышленных протоколов.
   • Файл industrial_anomalies.rules содержит список поддерживаемых правил обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов.

   Идентификатор (sid) 90000001 используется для служебных нужд и не может быть присвоен ни одному правилу.

   Подробную информацию по работе с утилитой вы можете узнать в документации по Kaspersky Update Utility.

2. Если необходимо, выберите из файлов те правила, которые вы хотите применить для фильтрации трафика промышленных протоколов.
3. Закодируйте список правил фильтрации команд и список правил обнаружения аномалий как две отдельные строки в кодировке Base64.
4. Остановите приложение Kaspersky IoT Secure Gateway Network Protector, если оно запущено.

   Пока приложение Kaspersky IoT Secure Gateway Network Protector остановлено, транзитный трафик на устройстве будет заблокирован для обеспечения безопасности подключенных устройств.

5. В меню в левой части экрана веб-интерфейса выберите раздел Параметры → Конфигурация.
6. В поле конфигурации в блоке kaspersky.kisg.netprotector добавьте объект "APP_CONFIGURATION": {}.
7. Внутри объекта APP_CONFIGURATION укажите следующие параметры, чтобы включить и настроить фильтрацию трафика промышленных протоколов:
   • Добавьте параметр "industrial_commands_rules": "" и укажите для него список правил в кодировке Base64 для фильтрации команд на уровне промышленных протоколов.
   • Добавьте параметр "industrial_anomaly_rules": "" и укажите для него список правил в кодировке Base64 для обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов.

   В результате конфигурация параметров внутри блока kaspersky.kisg.netprotector будет выглядеть следующим образом:

   "APP_CONFIGURATION": {

   "industrial_commands_rules": "<правила в кодировке Base64>",

   "industrial_anomaly_rules": "<правила в кодировке Base64>"

   }

   Для работы приложения Kaspersky IoT Secure Gateway Network Protector требуется указать значение хотя бы одного параметра конфигурации, иначе Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим после запуска приложения, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния. Вы можете выключить только один из параметров, указав пустые кавычки "" в качестве значения этого параметра.

   После того, как вы добавите объект APP_CONFIGURATION и его параметры, вы не сможете его удалить, так как он является обязательным для работы приложения.

8. Нажмите на кнопку Сохранить, чтобы применить параметры конфигурации.
9. Запустите приложение Kaspersky IoT Secure Gateway Network Protector.

Сетевой трафик, проходящий на уровне промышленных протоколов, будет фильтроваться с использованием указанных правил. В случае срабатывания правила сетевой трафик, соответствующий этому правилу, будет заблокирован, а IP-адрес, от которого идет трафик, будет добавлен в список запрещенных IP-адресов. Информация о блокировке IP-адреса передается в сетевой экран Kaspersky IoT Secure Gateway 1000. Событие о блокировке трафика будет записано в журнал событий аудита.