Проверка регистрации событий с помощью тестового сетевого пакета

02 февраля 2024

ID 153700

Для проверки регистрации событий в Kaspersky Industrial CyberSecurity for Networks вы можете использовать тестовый сетевой пакет. При обнаружении такого пакета в трафике программа регистрирует тестовые события по следующим технологиям:

  • Контроль технологического процесса. Событие регистрируется независимо от наличия правил контроля процесса и тегов.
  • Контроль целостности сети. Событие регистрируется независимо от наличия правил контроля взаимодействий. При этом должно быть включено применение технологии Контроль целостности сети.
  • Обнаружение вторжений. Событие регистрируется независимо от наличия правил обнаружения вторжений. При этом должно быть включено применение метода обнаружения вторжений по правилам.
  • Контроль активов. Событие регистрируется независимо от наличия устройств в таблице устройств, известных программе. При этом должно быть включено применение метода обнаружения активности устройств.

Для регистрации используются системные типы событий, которым присвоены следующие коды:

  • 4000000001 – для события по технологии Контроль технологического процесса;
  • 4000000002 – для события по технологии Контроль целостности сети;
  • 4000000003 – для события по технологии Обнаружение вторжений;
  • 4000000004 – для события по технологии Контроль активов.

Вы можете просмотреть тестовые события в таблице зарегистрированных событий.

Для проверки функции аудита Kaspersky Industrial CyberSecurity for Networks сохраняет информацию о регистрации тестовых событий в журнале аудита. По каждому зарегистрированному событию создается запись аудита, в которой указана технология регистрации тестового события.

Тестовый сетевой пакет представляет собой пакет протокола UDP с определенными значениями параметров. Параметры заданы таким образом, чтобы исключить вероятность получения такого пакета в обычном трафике промышленной сети.

В параметрах тестового сетевого пакета должны быть заданы следующие данные:

  • Заголовок Ethernet II:
    • MAC-адрес отправителя: 00:00:00:00:00:00.
    • MAC-адрес получателя: ff:ff:ff:ff:ff:ff.
    • EtherType: 0x0800 (IPv4).
  • Заголовок IP:
    • IP-адрес отправителя: 127.0.20.20.
    • IP-адрес получателя: 127.0.20.20.
    • ID: 20.
    • TTL: 20.
    • Protocol type: 17 (UDP).
    • Флаги: 0x00.
  • Заголовок UDP:
    • Порт отправителя: 20.
    • Порт получателя: 20.
  • Содержимое пакета:
    • Длина содержимого пакета, байт: 20.
    • Содержимое пакета: "KICS4Net Sentinel 20".

Для формирования и отправки тестового сетевого пакета вы можете использовать программу генерации сетевых пакетов, например Scapy. Отправку тестового сетевого пакета нужно выполнить с узла, трафик которого контролируется Kaspersky Industrial CyberSecurity for Networks.

Пример:

Чтобы отправить тестовый сетевой пакет с помощью программы Scapy в операционной системе Linux®:

  1. В консоли операционной системы компьютера введите команду запуска интерактивного режима работы Scapy:

    sudo scapy

  2. Введите команду отправки тестового сетевого пакета:

    sendp(
    Ether(src='00:00:00:00:00:00', dst='ff:ff:ff:ff:ff:ff')/
    IP(src='127.0.20.20', dst='127.0.20.20', id=20, ttl=20)/
    UDP(sport=20, dport=20)/
    "KICS4Net Sentinel 20",
    iface="<имя интерфейса>"
    )

    где <имя интерфейса> – имя сетевого интерфейса, подключенного к промышленной сети (например, eth0).

После обнаружения пакета в трафике программа Kaspersky Industrial CyberSecurity for Networks зарегистрирует тестовые события.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!