Настройка фильтрации трафика промышленных протоколов через Web Console

Вы можете настроить правила для блокировки и фильтрации трафика, проходящего на уровне промышленных протоколов, с помощью приложения Kaspersky IoT Secure Gateway Network Protector. Фильтрация трафика промышленных протоколов осуществляется с помощью правил анализа содержимого сетевых пакетов и включает следующие проверки:

• фильтрация команд в протоколах MQTT и Modbus;
• проверка на аномалии трафика на уровне протоколов MQTT и Modbus.

Для работы приложения Kaspersky IoT Secure Gateway Network Protector вам нужно сначала настроить его конфигурацию. Если вы запустите приложение без настроенных параметров конфигурации, Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния.

Чтобы настроить правила фильтрации трафика промышленных протоколов:

1. С помощью утилиты Kaspersky Update Utility скачайте файлы со списками поддерживаемых правил анализа содержимого сетевых пакетов:
   • Файл industrial_commands.rules содержит список поддерживаемых правил фильтрации команд на уровне промышленных протоколов.
   • Файл industrial_anomalies.rules содержит список поддерживаемых правил обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов.

   Идентификатор (sid) 90000001 используется для служебных нужд и не может быть присвоен ни одному правилу.

   Подробную информацию по работе с утилитой вы можете узнать в документации по Kaspersky Update Utility.

2. Если необходимо, выберите из файлов те правила, которые вы хотите применить для фильтрации трафика промышленных протоколов.
3. Закодируйте список правил фильтрации команд и список правил обнаружения аномалий как две отдельные строки в Base64.
4. В главном окне Web Console выберите Устройства → Управляемые устройства.
5. Нажмите на имя устройства с Kaspersky IoT Secure Gateway 1000. Если имя устройства отсутствует в списке, добавьте его в группу Управляемые устройства.
6. В открывшемся окне свойств устройства выберите вкладку Программы.
7. Нажмите Kaspersky IoT Secure Gateway.

   Откроется окно, содержащее информацию о Kaspersky IoT Secure Gateway 1000.

8. Выберите вкладку Параметры программы.
9. Выберите раздел Параметры приложений → Приложения.

   Отобразится таблица установленных приложений.

10. Остановите приложение Kaspersky IoT Secure Gateway Network Protector, если оно запущено.

    Пока приложение Kaspersky IoT Secure Gateway Network Protector остановлено, транзитный трафик на устройстве будет заблокирован для обеспечения безопасности подключенных устройств.

11. Нажмите на название приложения Kaspersky IoT Secure Gateway Network Protector.

    Справа откроется панель Kaspersky IoT Secure Gateway Network Protector application management.

12. Укажите правила фильтрации трафика промышленных протоколов:
    • В поле Rules for filtering commands in industrial protocols укажите правила фильтрации команд на уровне промышленных протоколов в кодировке Base64.
    • В поле Rules for searching anomalies in industrial protocols укажите правила обнаружения аномалий в трафике, проходящем на уровне промышленных протоколов в кодировке Base64.

    Вы можете указать правила только в одном из этих полей или в обоих полях.

    Для работы приложения Kaspersky IoT Secure Gateway Network Protector требуется указать значение хотя бы одного параметра конфигурации, иначе Kaspersky IoT Secure Gateway 1000 перейдет в аварийный режим после запуска приложения, так как приложение не может получить правила фильтрации трафика для обеспечения безопасного состояния.

13. Нажмите на кнопку Сохранить в нижней части панели, чтобы сохранить изменения.
14. Запустите приложение Kaspersky IoT Secure Gateway Network Protector.

Сетевой трафик, проходящий на уровне промышленных протоколов, будет фильтроваться с использованием указанных правил. В случае срабатывания правила сетевой трафик, соответствующий этому правилу, будет заблокирован, а IP-адрес, от которого идет трафик, будет добавлен в список запрещенных IP-адресов. Информация о блокировке IP-адреса передается в сетевой экран Kaspersky IoT Secure Gateway 1000. Событие о блокировке трафика будет записано в журнал событий аудита.