Обнаружение устройств
Обнаружение устройств в ARMA FW выполняется с помощью сервиса «ARPwatch», отслеживающего появление в сети новых устройств, подмену IP/MAC-адресов и обнаруживающего атаки на сетевом уровне – «ARP-spoofing».
Общие настройки
Для настройки сервиса необходимо выполнить следующие действия:
Перейти в подраздел настроек обнаружения устройств («Сеть» - «Обнаружение устройств» - «Общие настройки»).
Установить флажок в чек-боксе «Включить», указать значения из списка в поле параметра «Прослушиваемые интерфейсы» и нажать кнопку «Сохранить» (см. Рисунок – Настройка сервиса «ARPwatch»).
Перейти в подраздел обнаруженных хостов («Сеть» - «Обнаружение устройств» - «Хосты») и нажать кнопку «
».
Рисунок – Настройка сервиса «ARPwatch»
Информация о запуске сервиса будет отображена в журнале syslog («Система» - «Журналы» - «Syslog») (см. Рисунок – Сообщения от сервиса «ARPwatch» в журнале syslog).
Список устройств
Информация об обнаруженных устройствах отображается в подразделе обнаруженных хостов («Сеть» - «Обнаружение устройств» - «Хосты») (см. Рисунок – Список обнаруженных устройств).
Рисунок – Список обнаруженных устройств
После выключения сервиса «ARPwatch» дополнительно будут отображаться следующие кнопки:
«
»;
«Пометить все как зарегистрированные»;
«Очистить все записи».
Дополнительно записи об обнаружении устройств отображаются в журнале syslog («Система» - «Журналы» - «Syslog») и в журнале событий безопасности («Система» - «Журналы» - «Журнал событий безопасности») (см. Рисунок – Сообщения от сервиса «ARPwatch» в журнале syslog и Рисунок – Сообщения от сервиса «ARPwatch» в журнале событий безопасности).
Рисунок – Сообщения от сервиса «ARPwatch» в журнале syslog
Рисунок – Сообщения от сервиса «ARPwatch» в журнале событий безопасности
Блокирование устройства по MAC-адресу
ARMA FW позволяет выполнять блокирование устройств добавлением их MAC-адресов в чёрный список либо исключением из белого списка.
Примечание
Настройки вышеуказанных списков обладают повышенным приоритетом над правилами L2 («Создание правил L2»).
Для обеспечения работы настроенных списков необходимо убедиться, что включён модуль «ipfw» во вкладке «Правила L2» подраздела правил МЭ («Межсетевой экран» - «Правила» - «[Общие]»).
Манипуляции с MAC-адресами устройств возможны с помощью следующих кнопок:
«
» – добавить в белый список;
«
» – удалить из белого списка;
«
» – добавить в чёрный список;
«
» – удалить из чёрного списка.
Для внесения/удаления MAC-адреса устройства в чёрный или белый список необходимо перейти в подраздел обнаруженных хостов («Сеть» - «Обнаружение устройств» - «Хосты») (см. Рисунок – Список обнаруженных устройств), нажать соответствующую кнопку, затем нажать кнопку «Применить изменения» (см. Рисунок – Блокирование устройств по MAC-адресу).
Рисунок – Блокирование устройств по MAC-адресу
Строки, соответствующие устройствам, подлежащим блокировке, будут отображаться красным цветом.
После добавления MAC-адреса устройства в белый список для какого-либо интерфейса, иные MAC-адреса обнаруженных устройств, не внесённые в белый список на этом же интерфейсе, будут автоматически заблокированы.
Устройство с MAC-адресом «00:50:56:BD:49:F7» будет заблокировано, так как не добавлено в белый список, а устройство с MAC-адресом «00:50:56:BD:63:30» будет заблокировано, так как добавлено в чёрный список (см. Рисунок – Блокирование устройств по MAC-адресу).
MAC-адреса устройств, обнаруженных в сети какого-либо определённого интерфейса, не могут быть добавлены в белый и чёрный списки одновременно.