Контроль приложений и доменов

Контроль приложений

Служба «Контроль приложений» предназначена для фильтрации и ограничения использования сетевых приложений в трафике, проходящем через систему ARMA Стена. На основе заданных политик служба обеспечивает блокировку приложений по категориям, включая мессенджеры, социальные сети, облачные сервисы и другие типы приложений.

Реализация функционала выполнена на базе системы Suricata, осуществляющей глубокий анализ сетевого трафика. Классификация приложений производится по сигнатурам и поведенческим шаблонам.

Фильтрация трафика с использованием службы «Контроль приложений» применяется исключительно к тем сетевым интерфейсам, которые включены в конфигурацию Suricata и для которых установлен режим захвата трафика IPS.

Примечание

Перед активацией службы «Контроль приложений» требуется выполнить предварительную настройку Suricata: указать интерфейсы, подлежащие мониторингу, и установить для них режим захвата трафика IPS.

При использовании режима IDS на каком-либо интерфейсе фильтрация трафика посредством службы «Контроль приложений» на данном интерфейсе не производится.

Для отображения полного перечня доступных категорий приложений используется команда:

admin@ngfwos:~$ show app-control categories

Для просмотра списка приложений, входящих в конкретную категорию, применяется команда:

admin@ngfwos:~$ show app-control applications <категория>

где <категория> - имя категории.

Перечень поддерживаемых категорий и соответствующих им приложений приведён в таблице (см. Таблица «Список приложений»):

Таблица «Список приложений»

Наименование

Категория

Приложение

Искусственный интеллект

ai

deepseek

Букмекерские конторы

betting

winline

Облачные ресурсы

cloud

digital-ocean

CRM-системы

crm

bitrix24

Критптобиржи и кошельки

crypto

mining

Файлообменники

filehosting
1337x.tw
4shared
Internxt-drive
adrive
bit-comet
bit-torrent
box-com
dropsend
e-donkey
falcobrowser
filecloud
fileden
filefactory
filepost
firestorage
flash-get
fotolub
gnutella
google-drive
hightail
jottacloud
media-fire
media-get
mega
my-files
one-drive
p-cloud
sendanywhere
sendspace
smartfile
soul-seek
source-forge
spider-oak
sync-com
transferbigfiles
transferxl
transfiles.ru
vuze
yandex-disk
yunpan
zona

Форумы и блоги

forums-and-blogs
geeksforgeeks
pikabu

Онлайнг-гемблинг

gambling
casino
stoloto

Игровые платформы

games
battle-net
ea
epic
fortnite
gameasy
gog
riot
rockstar
steam
ubi
xbox

Системы управления версиями

git
github
gitlab

Почтовые сервисы

mail
outlook
yandex-mail

Карты и навигация

maps
2-gis
google-maps

Маркетплейсы

marketplace
aliexpress
wildberries

Мессенджеры

messenger
amazon-chime
amo
bop-up-messenger
express-messenger
ice-chat
icq
imoim
rocket-chat
skype
tada-team
tamtam
tango
team-speak
telegram
viber
whatsapp
xchat
yandex-messenger
zulip

Музыкальные стриминговые сервисы

music

spotify

Новостные ресурсы

news
abcnews
new-york-post

Офисные приложения

office

google-docs

Прочие приложения

other
ads
anonymizer
anonymox
archive-org
astrology
avira-update
bootsnipp
botnets
c2c
codesandbox
croxyproxy
delivery-club
dodopizza
dr-web-update
edadeal
elma365
fasts-tunnel
free-proxy-list
freemybrowser
from-doc-to-pdf
ghostery
gismeteo
gosuslugi
hi-ru
howtogeek
ideone
jsbin
jsfiddle
kaspersky-update
kproxy
kraken
local-xpose
microsoft-store
miro
nalog
news
ngrok
npr
online-video-converter
packetriot
page-kite
pastebin
pdf-drive
phishing
polycom
portable-apps
raketu
smallpdf
softonic
speedify
star-force
stealthy-com
symantec-update
talk-me
tapin-radio
teletype
trend-micro-update
vexacion
vpn-proxy-site
w3schools
ways-online
word-press
yandex-taxi
yoomoney
zerotier

Протоколы связи

protocols
ip-6-to-4
quic
smb
smtp
syslog
tftp
xmpp

Удалённое управление

remote-control
1c-connect
aeroadmin
alpemix
ammyy-admin
anydesk
get-screen
jump-desktop
log-me-in
radmin
simple-help
sunlogin
teleconsole
ultra-viewer

Поисковые системы

search-engines
onion-search-engine
rambler

Социальные сети

social
camfrog
dating
discord
facebook
fandom
flickr
g-mail-chat
imgur
intranetus
mirapolis-virtual-room
my-own-conference
odnoklassniki
tik-tok
tumblr
vkontakte
whereby

Видеосвязь

vcs
clickmeeting
free-conference-call
go-meet-now
google-meet
mts-link
true-conf
video-grace
web-ex
yandex-telemost

Видеохостинги

video
adults-18
amediateka
ivi
megomult
msn-video
okko
real-player
rutube
twitch
y-2-mate
youtube

VPN

vpn
123-vpn
1clickvpn
beepass-vpn
best-vpn-ssh
browsec
continent-ap
cyber-ghost-vpn
dot-vpn
droid-vpn
fly-vpn
free-open-vpn
hide-my-ip
hola-vpn
hoxx
i-top-vpn
openvpnssh
systweak-vpn
tcp-vpn
thunder-vpn
touch-vpn
tuxler-vpn
u-vpn
ultra-vpn
vpn-book
vpn-city
vpn-jantIt
vpn-ki
vpn-professional
vpn-udp
wireguard
your-freedom-vpn

Сканеры уязвимостей

vuln-scanners
metasploit
nmap

Активация службы «Контроль приложений» выполняется в следующем порядке:

  1. Настроить и включить систему Suricata на сетевых интерфейсах, где требуется блокировка приложений.

  2. Указать приложения, подлежащие блокировке, с помощью одной из следующих команд в конфигурационном режиме:

    • для блокировки конкретного приложения из заданной категории:

      set app-control category <категория> app <приложение>

      где:

      • <категория> - имя категории приложений, представляющей логическую группу приложений, объединённых по функциональному или иному признаку;

      • <приложение> - имя приложения из указанной категории.

    • для блокировки всех приложений в заданной категории:

      set app-control category <категория> all

    Полный перечень доступных категорий и приложений приведён в таблице «Список приложений».

    Состав поддерживаемых приложений может быть расширен при обновлении системы Suricata с сервера компании ООО «ИнфоВотч АРМА».

  3. Включить службу «Контроль приложений» с помощью команды:

    set app-control enable

  4. Применить и сохранить конфигурацию с использованием команд commit и save соответственно.

После успешного применения конфигурации указанные приложения блокируются на всех интерфейсах системы ARMA Стена, где Suricat работает в режиме IPS.

Для отключения контроля приложений необходимо удалить команду активации службы:

delete app-control enable
commit
save

Удаление приложений из списка блокируемых выполняется с помощью одной из следующих команд:

  • удаление всех приложений из указанной категории:

    delete app-control category <категория>

    Команда удалить указанную категорию из списка блокировки.

  • удаление определённого приложения из указанной категории:

    delete app-control category <категория> app <приложение>

    Примечание

    В случае, если в категории приложений остаётся только одно приложение, использование команды для удаления конкретного приложения приведёт к возникновению системной ошибки, указывающей на невозможность удаления последнего элемента в данной категории. Для успешного удаления последнего приложения в категории необходимо применить команду для удаления всей категории из списка блокировки.

События срабатывания правил блокировки приложений записываются в глобальный журнал системы ARMA Стена, если включено логирование в системе Suricata.

Для включения логирования системы Suricata используется следующая команда в конфигурационном режиме:

set suricata outputs syslog enabled yes

Просмотр записей о срабатывании правил блокировки приложений осуществляется с помощью команды:

admin@ngfwos:~$ show logging idps

Данная команда предоставляет доступ к логам, связанным с системой Suricata, включая события, инициированные службой «Контроль приложений».

Контроль доменов

Служба «Контроль доменов» реализует блокировку трафика на основе доменных имён. Блокировка осуществляется через механизм межсетевого экрана (МЭ). Домены могут быть заданы индивидуально или в виде списка, загружаемого из текстового файла.

Блокировка отдельного домена

Для добавления одного домена в список блокируемых используется следующая команду в конфигурационном режиме:

set app-control domain address <url>

где <url> - доменное имя, подлежащее блокировке. Указывать протокол (http://, https://) не требуется.

Пример команды:

set app-control domain address vk.ru

Блокировка списка доменов

Для массовой блокировки доменов предусмотрен механизм загрузки списка из текстового файла. Файл должен соответствовать следующим требованиям:

  • каждый домен указывается в отдельной строке;

  • не допускается указывать протокол (http://, https://);

  • файл должен иметь расширение «*.txt».

Пример содержимого файла:

ya.ru
mail.ru
vk.ru

Файл должен быть предварительно скопирован в файловую систему устройства ARMA Стена в один из доступных пользователю каталогов.

Для применения списка доменов используется следующая команда в конфигурационном режиме:

set app-control domain text-file <file>

где <file> - полный путь к текстовому файлу с перечнем доменов.

Пример команды:

«set app-control domain text-file /config/domains-blocklist.txt»

Примечание

Путь к файлу должен быть корректным и указывать на существующий файл в файловой системе устройства. Поддерживается только формат обычного текстового файла (*.txt), без специальных кодировок.

Логирование событий

Для включения записи событий, связанных с блокировкой доменов, используется команда в конфигурационном режиме:

set app-control domain log

После активации параметра все события, связанные с блокировкой доменов, будут записываться в глобальный журнал системы.

Просмотр событий осуществляется с помощью команды в эксплуатационном режиме:

admin@ngfwos:~$ show logging firewall