Функциональность системы обнаружения и предотвращения вторжений (СОВ) в ARMA Стена реализуется посредством ПО с открытым исходным кодом «Suricata» и использованием метода захвата пакетов «NetMap» для повышения производительности и минимизации загрузки ЦП.
Система обнаружения и предотвращения вторжений в ARMA Стена позволяет решать следующие задачи:
обнаружение и предотвращение использования эксплойтов и уязвимостей сетевых приложений;
обнаружение и предотвращение эксплуатации уязвимостей в поддерживаемых протоколах;
обнаружение и предотвращение сетевого сканирования;
обнаружение и фильтрация трафика от скомпрометированных хостов;
обнаружение и фильтрация трафика от хостов, заражённых троянским ПО и сетевыми червями;
обнаружение и предотвращение DOS-атак.
Для перехода в раздел «СОВ» необходимо выполнить следующие действия:
В списке источников открыть карточку необходимого источника «NGFW».
Применение и сохранение конфигурации СОВ (IDS/IPS)
После завершения настройки всех необходимых параметров в подразделах раздела «СОВ» необходимо сохранить внесённые изменения. Для этого следует нажать кнопку «Сохранить», расположенную в правом верхнем углу заголовка раздела «СОВ».
После нажатия кнопки откроется окно подтверждения «Сохранить изменения конфигурации». Для продолжения и применения настроек необходимо подтвердить действие, нажав кнопку «Сохранить» в данном окне (см. Рисунок – Применение и сохранение настроек).
Только после успешного подтверждения все изменения будут сохранены и активированы в текущей конфигурации системы ARMA Стена.
Если доступ к веб-интерфейсу осуществляется через сетевой интерфейс, на котором Suricata включена в режиме IPS, сохранение конфигурации СОВ приводит к кратковременному разрыву активных сетевых сессий на этом интерфейсе. В результате текущая сессия пользователя в веб-интерфейсе может быть прервана, и в браузере отобразится сообщение об ошибке. При этом все внесённые настройки сохраняются корректно. Для отображения обновлённой конфигурации необходимо обновить страницу вручную.
Настройка СОВ осуществляется в подразделе «Настройки» меню «СОВ». Данный раздел включает следующие блоки:
общие настройки;
настройки логирования;
источники обновлений правил;
настройки NetMap;
создание дампов трафика.
Примечание
При работе Suricata в режиме IPS с использованием драйвера netmap перезагрузка конфигурации приводит к кратковременному разрыву активных сетевых сессий на интерфейсах, где включён IPS-режим.
Это обусловлено архитектурными особенностями IPS: Suricata располагается непосредственно на пути прохождения трафика на таких интерфейсах, обеспечивая его прямую обработку и пересылку. В ходе перезагрузки конфигурации сетевые интерфейсы с активированным IPS временно отключаются, передача трафика приостанавливается, а состояние активных соединений (connection tracking) сбрасывается. В результате TCP- и UDP-сессии, проходящие через эти интерфейсы, могут быть прерваны.
В режиме IDS (TAB) Suricata анализирует лишь копию трафика и не участвует в его пересылке. Следовательно, перезагрузка конфигурации не оказывает влияния на стабильность сетевых соединений на интерфейсах, работающих в этом режиме.
В системах, где на отдельных интерфейсах включён IPS-режим, рекомендуется избегать частых перезагрузок Suricata. Обновление конфигурации следует выполнять в периоды минимальной сетевой нагрузки с целью минимизации воздействия на пользовательские сессии и критически важные сервисы, трафик которых проходит через указанные интерфейсы.
Обновление правил СОВ не приводит к перезапуску службы Suricata, однако инициирует внутреннюю перезагрузку правил в рамках работающего процесса. В момент перезагрузки правил возможна кратковременная несогласованность между текущим состоянием фильтрации и новым набором правил, что может повлиять на корректность обработки активных сессий. Рекомендуется учитывать этот фактор при планировании обновлений правил в высоконагруженных или критически важных сегментах сети.
Режим захвата - выбрать режим захвата сетевого трафика для Suricata. Возможно указать следующие режимы:
NetMap - высокопроизводительный фреймворк для захвата и обработки сетевых пакетов, который минимизирует задержки и потери данных, обеспечивая максимальную эффективность на высокоскоростных сетях. Установлен по умолчанию.
af-packet - режим перехвата трафика в Suricata, который требует наличия нескольких сетевых интерфейсов и работает в режиме шлюза. Настройка данного режима недоступна через веб-интерфейс. Конфигурация режима осуществляется исключительно с использованием командной строки (CLI).
Путь к файлам с правилами - указать новый каталог, используемый по умолчанию для хранения правил Suricata. По умолчанию используется каталог «/config/files/configuration/suricata/rule-files/». Максимальная длина — «255» символов. Не допускается использование символов «"» и «'».
Файлы с правилами - выпадающий список, позволяющий выбрать файлы с правилами, которые будут использоваться системой Suricata для анализа сетевого трафика и выявления потенциальных угроз. Список отображает только те файлы с расширением «.rules», которые находятся непосредственно в каталоге, заданном в поле «Путь к файлам с правилами». Возможно установить значение «*.rules», при котором Suricata загружает все файлы с расширением «.rules» из каталога по умолчанию: «/config/files/configuration/suricata/rule-files/». Файлы, расположенные в подкаталогах указанного пути, не учитываются.
Примечание
При изменении каталога в поле «Путь к файлам с правилами» все ранее выбранные файлы, которые отсутствуют в новом указанном каталоге, будут выделены красным цветом. При этом отображается предупреждение о том, что данные файлы не будут использоваться системой Suricata (после её перезапуска), поскольку они не находятся в текущем каталоге.
В случае необходимости использования файла с правилами, находящегося в директории, отличной от текущей, возможно применить один из следующих методов:
Перенести требуемый файл в текущий каталог, указанный в поле «Путь к файлам с правилами».
Задать полный путь к файлу посредством командной строки (CLI). Например:
admin@ngfwos# set suricata rule-files file-name /config/files/configuration/rule-files/test.rules
Во втором случае система выделит имя файла красным цветом, сигнализируя о его нахождении вне текущего каталога, однако Suricata будет корректно использовать данный файл для анализа сетевого трафика, так как указан полный путь к ресурсу (см. Рисунок – Файлы с правилами).
Политика обработки ошибок прикладного уровня - выбрать политику обработки ошибок, возникающих на уровне приложений в Suricata. Возможно выбрать следующие политики:
Отбросить пакет (drop-packet) - отбрасывает только текущий пакет, вызвавший ошибку.
Отбросить поток (drop-flow) - отключает проверку для всего потока (flow), включая пакеты, полезную нагрузку и протоколы прикладного уровня. Отбрасывает текущий пакет и все последующие пакеты в этом потоке. Применяется в ситуациях, требующих обеспечения высокого уровня защиты и оперативного блокирования потенциально вредоносного трафика.
Отклонить (reject) - аналогично drop-flow, но также отправляет TCP-сброс (RST) или ICMP-сообщение об ошибке для завершения соединения. Уведомляет участников соединения о блокировке.
В обход (bypass) - обходит (игнорирует) весь поток, отключая дальнейшую проверку. Используется для минимизации влияния ошибок на производительность, но может снижать безопасность.
Пропустить пакет (pass-packet) - отключает детектирование для текущего пакета, но продолжает обновление потока и анализ прикладного уровня (в зависимости от того, какая политика была активирована). Позволяет изолировать ошибку, не затрагивая остальной трафик.
Пропустить пакет (pass-flow) - отключает проверку полезной нагрузки и пакетов, но продолжает выполнять сборку потока (stream reassembly), анализ прикладного уровня (app-layer parsing) и логирование.
Не применять (ignore) - игнорировать ошибку в приложении и продолжать обработку данных. Значение используется по умолчанию.
Уровень журналирования системных событий - выбор уровня ведения журнала. Возможно выбрать следующие значения:
«Ошибка (error)» - уровень ошибок, которые могут оказать влияние на работу системы;
«Предупреждение (warning)» - уровень предупреждений о потенциальных проблемах;
«Уведомление (notice)» - уровень для общих уведомлений о важных событиях;
«Инфо (info)» - уровень для информационных сообщений;
«Производительность (perf)» - уровень для сообщений и событий, связанных с производительностью и работой системы Suricata;
«Конфигурирование (config)» - уровень конфигурации Suricata;
«Отладка (debug)» - уровень для отладочной информации.
По умолчанию используется уровень «Уведомление (notice)».
Syslog - включить логирование системных событий работы Suricata в глобальный журнал системы ARMA Стена. По умолчанию логирование включено.
Логирование срабатываний правил (syslog) - включить логирование событий и предупреждений IDS/IPS в глобальный журнал системы ARMA Стена. По умолчанию запись событий и предупреждений IDS/IPS в глобальный журнал включена.
В разделе «Настройки NetMap» осуществляется конфигурация параметров захвата сетевого трафика с использованием высокопроизводительного метода NetMap в системе Suricata. Доступны настройки драйвера, режимов работы (IDS/IPS), политик исключений, проверки контрольных сумм и параметров параллельной обработки (см. Рисунок – Настройки NetMap):
Настройки ресурсоемкости драйвера NetMap - позволяет задать параметры драйвера сетевой карты при использовании технологии NetMap. Определяет баланс между производительностью и потреблением аппаратных ресурсов. Возможно выбрать следующие значения:
экономичные - подходит для сетей с низкой нагрузкой или ограниченными ресурсами оборудования. Минимизирует использование оперативной памяти и CPU:
if_num = 100 - количество интерфейсов, которые могут быть обработаны одновременно;
buf_num = 163840 - общее количество буферов для хранения пакетов;
if_size = 1024 -размер кольцевого буфера (ring buffer) для каждого интерфейса.
средние (по умолчанию)- оптимальное решение для большинства сценариев, особенно при использовании сетей средней пропускной способности (до 10 Гбит/с):
if_num = 500 - увеличенное количество интерфейсов для обработки большего числа потоков данных;
buf_num = 491520 - увеличение объёма буферов для временного хранения пакетов;
if_size = 2048 -увеличенный размер кольцевого буфера для каждого интерфейса, снижая вероятность потери пакетов.
высокие - рекомендовано для использования в высокоскоростных сетях со скоростью передачи данных 10 Гбит/с и выше, где требуется максимальная пропускная способность и минимальные потери данных:
if_num = 1000 - максимальное количество интерфейсов, которые могут быть обработаны одновременно;
buf_num = 983040 - увеличение объёма буферов для минимизации потерь пакетов при высокой нагрузке;
if_size = 4096 -максимальный размер кольцевого буфера, обеспечивающий минимальные задержки и максимальную пропускную способность.
Режим работы - позволяет выбрать режим захвата трафика по умолчанию для сетевых интерфейсов, на которых режим не задан в явном виде, но активирована служба Suricata. Возможно выбрать следующие режимы:
IDS - пассивный режим анализа трафика. Обнаруженные инциденты регистрируются без вмешательства в поток данных.
IPS - активный режим. Система может блокировать или модифицировать трафик в реальном времени для предотвращения атак.
Политика исключений - глобальная конфигурация действий с пакетами и потоками, возникающими в процессе работы Suricata (нехватка памяти, неподдерживаемый протокол, разрыв соединения и т.д.). Может быть переопределена локальными настройками политики. Параметр доступен для редактирования только после выбора режима работы NetMap. Возможно выбрать следующие политики:
Авто (auto);
Отбросить пакет (drop-packet);
Отбросить поток (drop-flow);
Отклонить (reject);
В обход (bypass);
Пропустить пакет (pass-packet);
Пропустить пакет (pass-flow);
Не применять (ignore).
По умолчанию для режима NetMap «IDS» применяется политика исключений «Не применять (ignore)», а для режима NetMap «IPS» — «Авто (auto)».
Проверка контрольных сумм - определяет необходимость проверки контрольных сумм TCP/IP-пакетов при обработке трафика. Возможно указать следующие значения:
Включена - включает проверку контрольных сумм (надёжность, но ниже производительность). Проверка контрольных сумм TCP-пакетов оказывает значительное влияние на производительность системы;
Выключена - отключает проверку (высокая производительность, но возможны ошибки);
Авто - автоматический выбор, основанный на конфигурации системы и аппаратного обеспечения. Используется по умолчанию.
Потоки - указать количество потоков, используемых Suricata для обработки трафика. Возможно выбрать значение «auto» или «Число». По умолчанию используется значение «auto». При выборе значения «Число», появится дополнительное поле «Число потоков». В это поле возможно ввести количество потоков в диапазоне от «1» до «9999». Рекомендуется устанавливать значение, равное числу RSS-очередей на интерфейсе. Несоответствие указанного числа фактическому может привести к нестабильной работе Suricata.
Таблица «NetMap» содержит список сетевых интерфейсов, на которых активирован захват пакетов с использованием NetMap, а также указан режим захвата для каждого из интерфейсов.
Для включения захват пакетов с помощью NetMap на определённом интерфейсе необходимо выполнить следующие действия:
Нажать кнопку «+ Добавить» на панели инструментов таблицы «NetMap».
В открывшемся окне «Добавить Netmap» указать следующие параметры:
Интерфейс - выбрать из выпадающего списка необходимый сетевой интерфейс системы ARMA Стена, на котором будет осуществляться фильтрация трафика с помощью Suricata.
Режим работы - укажите режим работы Suricata для данного интерфейса.
Примечание
Если поле «Режим работы» оставлено незаполненным, система автоматически применит режим, заданный по умолчанию в общих настройках СОВ.
Необходимо явно указывать режим захвата трафика либо глобально (в общих настройках), либо для каждого конкретного интерфейса, на котором активирована Suricata.
После добавления интерфейс отобразится в таблице «NetMap» с указанием назначенного режима работы. Захват трафика начнётся немедленно при условии, что служба СОВ активна.
Для применения настроек NetMap необходимо нажать кнопку «Сохранить» в верхнем правом углу заголовка раздела «IPS/IDS», а затем подтвердите действие в открывшемся окне «Сохранить изменения конфигурации», нажав кнопку «Сохранить».
Создание дампа трафика в Suricata необходимо для анализа инцидентов, отладки правил и расследования угроз. Трафик записывается в файл формата pcap.
Для включения записи дампов трафика в файл формата pcap необходимо перевести переключатель «Статус» в активное состояние и нажать кнопку «Сохранить» (см. Рисунок – Включение записи дампов трафика в файл).
Дамп сетевого трафика будет записываться в файл «log.pcap», который создаётся при включении функции записи в каталоге /var/log/suricata/.
Блок настроек «Максимальный размер дампа (Мб)» предназначен для ограничения объёма записываемых дампов трафика с целью предотвращения переполнения накопителей данных. Блок включает следующие параметры:
Единица измерения - позволяет задать единицу измерения размера одного файла pcap. Возможно выбрать следующие значения:
байты;
килобайты;
мегабайты - используется по умолчанию;
гигабайты.
Размер - определяет максимальный объём одного файла pcap в указанной единице измерения. Возможно указать следующие значения в зависимости от единицы измерения:
от «0» до «18446744073709553664» - в байтах;
от «0» до «18014398509481986» - в килобайтах;
от «0» до «17592186044416» - в мегабайтах;
от «0» до «17179869184» - в гигабайтах.
По умолчанию размер одного файла pcap установлен равным 1000 мегабайтах.
Количество - указывает максимальное количество файлов pcap, которые могут быть созданы для одного потока. Возможно указать значение в диапазоне от «1» до «4294967295». По умолчанию используется значение «2000».
Для сохранения внесённых изменений необходимо нажать кнопку «Сохранить», расположенную в верхнем правом углу заголовка раздела «IPS/IDS» (см. Рисунок – Включение записи дампов трафика в файл).
Примечание
Блок настроек «Максимальный размер дампа (Мб)» применяются на каждый отдельный поток. Таким образом, ограничение объёма для восьми потоков с 2000 файлами с размером 1000 мегабайт каждый составит 16 терабайт.
Для обеспечения корректной работы СОВ необходимо выполнить следующие минимальные настройки Suricata:
указать интерфейс, на котором будет включён захват пакетов;
определить режим захвата, который будет применяться по умолчанию для всех интерфейсов системы ARMA Стена;
указать файл с правилами Suricata.
Для включения СОВ после выполнения минимальных настроек Suricata, необходимо перевести переключатель «Статус СОВ» в активное состояние и нажать кнопку «Сохранить» (см. Рисунок – Включение СОВ).
Для создание пользовательского правила СОВ необходимо перейти в раздел «Управление» меню «СОВ» и нажать кнопку «Добавить правило». В появившейся форме требуется заполнить следующие поля:
Путь к файлу - указывается полное имя файла, в который будет сохранено правило. По умолчанию предлагается размещение в каталоге /config/files/configuration/suricata/rule-files/. Изменение пути не рекомендуется, поскольку при обновлении программного обеспечения файлы, находящиеся вне директории config, будут утеряны. Если указанный файл отсутствует в целевом каталоге, он будет создан автоматически при сохранении правила. При наличии файла с таким именем новое правило добавляется в конец существующего содержимого.
Примечание
Файл, содержащий пользовательские правила, должен быть прописан в настройках Suricata в параметре «Файлы с правилами» раздела «Настройки» меню «СОВ». В случае отсутствия этой конфигурации, несмотря на успешное сохранение правил в системе, они не будут применяться при анализе сетевого трафика.
SID - уникальный идентификатор правила. Для оптимизации процесса рекомендуется оставить данное поле незаполненным, что позволит системе автоматически назначить свободный SID. В случае ручного ввода SID необходимо обеспечить его уникальность в пределах текущего файла правил. Несоблюдение данного требования приведет к возникновению ошибки при сохранении: «Error: Rules added with some conflicts. DUPLICATED_SIDS: [1]» — правило не будет добавлено. Также следует избегать использования SID, которые уже применяются в других файлах правил, поскольку это может привести к некорректной работе системы. При загрузке правил Suricata игнорирует дублирующиеся SID, что может привести к тому, что правило будет сохранено, но не будет участвовать в фильтрации трафика.
Сигнатура - текст правила, соответствующий синтаксису Suricata. Требуется строгое соблюдение формата. Любое отклонение от синтаксиса (например, пропущенная точка с запятой, неверная последовательность опций или некорректные ссылки на переменные) приводит к ошибке валидации, и правило не будет сохранено.
При активированной службе СОВ после сохранения правила выполняется перезагрузка правил Suricata без полного перезапуска службы. Новое правило становится доступным для анализа трафика немедленно.
Примечание
Cуществует вероятность неполного применения правил системы Suricata к процессу активной фильтрации сетевого трафика в момент перезапуска правил.
Если служба СОВ отключена, правило сохраняется в файловой системе, но применяется только после включения службы.
Переменные в правилах СОВ
В системе ARMA Стена предусмотрена возможность использования переменных при работе с правилами СОВ, на основе Suricata. Эта функциональность позволяет гибко задавать диапазоны IP-адресов, на которые распространяются правила, исключая необходимость вручную указывать адреса в каждом правиле. Это способствует повышению эффективности фильтрации сетевого трафика и оптимизации процесса управления безопасностью.
Переменные используются в правилах Suricata для указания источников, назначений и зон анализа (например, внутренние сети, внешние хосты). Это обеспечивает масштабируемость конфигурации и снижает нагрузку на систему за счёт ограничения области действия правил только релевантными сетевыми сегментами.
На текущий момент в ARMA Стена поддерживаются две основные переменные:
HOME_NET - определяет доверенную внутреннюю сеть организации. Правила, ссылающиеся на HOME_NET, будут применяться только к трафику, проходящему через указанные подсети. Допустимые значения: IPv4-адреса и сети в формате CIDR, перечисленные через запятую; допускается использование специальных символов. Для задания значений переменных разрешены: цифры (0–9), буквы латинского алфавита (a–z, A–Z), специальные символы «/», «$», «!», «,», «.». Значение по умолчанию «192.168.0.0/16,10.0.0.0/8,172.16.0.0/12».
EXTERNAL_NET - задаёт внешние сети, находящиеся за пределами доверенной зоны. Для задания значений переменных разрешены: цифры (0–9), буквы латинского алфавита (a–z, A–Z), специальные символы «/», «$», «!», «,», «.». Значение по умолчанию «!$HOME_NET» - все IP-адреса, кроме тех, что входят в HOME_NET.
Для изменения значений переменных необходимо перейти в раздел «Настройки» меню «СОВ», где в блоке «Переменные» следует указать требуемые параметры (см. Рисунок – Переменные группы адресов). После ввода значений конфигурация сохраняется нажатием кнопки «Сохранить», расположенной в правом верхнем углу заголовка раздела «СОВ».
Для обеспечения высокой степени защиты сети система ARMA Стена поддерживает обновление правил Suricata. Обновления правил могут осуществляться из локальных и внешних источников, что обеспечивает гибкость настройки в зависимости от условий эксплуатации — как в изолированных сетях, так и в средах с выходом во внешние сети.
Перейти в подраздел «Настройки» раздела «IPS/IDS».
В таблице «Источники обновлений правил» нажать кнопку «+ Добавить» в панели инструментов.
В открывшемся боковом окне «Источник обновлений правил» выбрать создаваемую сущность «Локальный» и указать следующие параметры:
Наименование - пользовательское имя создаваемого локального источника обновлений правил. Значение не может содержать двойные («"») или одинарные («'») кавычки и знак вопроса («?»). Максимальная длина — «256» символов.
Путь - полный путь к файлу обновления с правилами Suricata, который расположен в системе ARMA Стена. Максимальная длина — «2000» символов.
Для переноса файла обновления в систему ARMA Стена возможно использовать программное обеспечение, поддерживающее передачу файлов по протоколам SFTP или SCP (например, WinSCP для операционной системы Windows), либо воспользоваться командой «scp» через интерфейс командной строки. Возможны также альтернативные способы передачи данных.
Команда выполнит копирование файла обновления правил СОВ «user.rules» в каталог «/config/files/configuration/suricata/rule-files/» на системе ARMA Стена, доступной по IP-адресу 172.16.20.105.
Перейти в подраздел «Настройки» раздела «IPS/IDS».
В таблице «Источники обновлений правил» нажать кнопку «+ Добавить» в панели инструментов.
В открывшемся боковом окне «Источник обновлений правил» выбрать создаваемую сущность «Внешний» и указать следующие параметры:
Наименование - пользовательское имя создаваемого источника обновлений правил. Значение не может содержать двойные («"») или одинарные («'») кавычки и знак вопроса («?»). Максимальная длина — «256» символов.
URL - URL-адрес внешнего источника обновлений правил. Значение не может содержать двойные («"») или одинарные («'») кавычки и знак вопроса («?»). По умолчанию поле содержит URL-адрес сервера обновлений правил Suricata компании ООО «ИнфоВотч АРМА» - «https://update.iwarma.ru/ngfw/ids_ips». Максимальная длина — «2000» символов.
Логин - имя УЗ, имеющей доступ к внешнему источнику обновлений правил. Значение не может содержать двойные («"») или одинарные («'») кавычки и знак вопроса («?»). Максимальная длина — «256» символов.
Пароль - пароль УЗ. Значение не может содержать двойные («"») или одинарные («'») кавычки и знак вопроса («?»). Максимальная длина — «256» символов.
Для модификации источника обновлений правил следует осуществить выбор соответствующей записи в таблице «Источники обновлений правил» посредством нажатия ЛКМ. В открывшемся окне необходимо произвести требуемые изменения. Поле «Наименование» не подлежит редактированию. По завершении процесса модификации следует нажать кнопку «Сохранить».
Для удаления источника обновлений правил необходимо выбрать одну или несколько соответствующих записей в таблице «Источники обновлений правил», установив флажок в чек-боксе слева от наименования источника, и нажать кнопку «Удалить»* на панели инструментов. В открывшемся окне, подтвердить удаление нажатием кнопки «Удалить».
В разделе «IPS/IDS» перейти в подраздел «Управление».
В поле «Тип источника» выбрать тип источника обновления внешний или локальный.
В поле «Источник обновления» выбрать из списка ранее настроенный источник, соответствующий указанному типу. При выборе значения «все» обновление будет выполнено со всех доступных источников данного типа.
Верхняя область окна, показанного на рисунке, отображает статус службы СОВ, количество загруженных правил, а так же наличие ошибок и пропущенных правил. Эти данные автоматически обновятся после обновления правил.
Функционал контроля протоколов в системе ARMA Стена основан на сигнатурном методе обнаружения и обеспечивает интеллектуальное распознавание сетевых протоколов в реальном времени. Обнаружение и классификация трафика осуществляются с использованием правил системы Suricata, что позволяет эффективно выявлять несанкционированное использование протоколов, а также потенциально вредоносную активность, связанную с ними.
Примечание
Для работы правил фильтрации протоколов необходимо настроить и активировать службу «СОВ» (см. Включение СОВ).
Все правила контроля протоколов сохраняются в файл /config/files/configuration/protocols/rule-files/protocols.rules.
При добавлении новых правил, внесении изменений в существующие или при включении/отключении парсеров протоколов применение обновлённой конфигурации к процессу фильтрации трафика выполняется после нажатия кнопки «Сохранить» на панели инструментов раздела «СОВ» (см. Рисунок – Применение и сохранение настроек). Данное действие инициирует перезагрузку правил службы СОВ без полного перезапуска движка Suricata.
Примечание
В момент перезагрузки правил существует вероятность неполного применения обновлённых правил к активному сетевому трафику.
Служба СОВ включает набор парсеров, отвечающих за анализ (декодирование) сетевых протоколов или форматов данных с целью извлечения структурированной информации. Эта информация используется механизмами обнаружения (на основе правил Suricata) для выявления аномалий и угроз.
Анализ трафика в Suricata реализован по многоуровневой архитектуре, соответствующей стеку сетевых протоколов:
Парсеры канального уровня (L2 / Decode Layer) - обрабатывают заголовки канального уровня (Ethernet, 802.1Q VLAN, PPP, SLL и др.), извлекая MAC-адреса, теги.
Сетевые парсеры (L3 / IP Layer) - анализируют заголовки IPv4, IPv6, ICMP, ICMPv6, GRE и обеспечивают дефрагментацию IP-пакетов.
Парсеры прикладного уровня (App-Layer) - выполняют глубокий анализ (DPI) протоколов прикладного уровня (HTTP, TLS, DNS, SSH, Modbus, DNP3 и др.), реконструируют сессии и предоставляют структурированные метаданные для механизмов обнаружения.
Совместная работа этих уровней под управлением единого движка правил обеспечивает сквозную видимость трафика и эффективное обнаружение угроз на всех уровнях сетевого стека.
Парсеры канального и сетевого уровней всегда включены и не подлежат отключению.
Правила, относящиеся к отключённым протоколам, не применяются к анализу трафика. В журналах службы СОВ фиксируется сообщение о невозможности применения таких правил из-за отсутствия соответствующего парсера.
Система ARMA Стена поддерживает следующие парсеры протоколов:
ADS - включён по умолчанию;
Alpha.Link - отключён по умолчанию;
AoE (ADS over EtherCAT) - включён;
Bittorrent-DHT - включён по умолчанию;
DCERPC - включён по умолчанию;
DHCP - включён по умолчанию;
DNP3 - включён по умолчанию;
DNS - включён по умолчанию;
ENIP/CIP - включён по умолчанию;
EtherCAT - включён;
Fanuc FOCAS - включён по умолчанию;
FTP - включён;
GOOSE - включён;
HTTP - включён по умолчанию;
HTTP2 - включён по умолчанию;
IEC 60870-5-104 (IEC-104) - включён по умолчанию;
IKE - включён по умолчанию;
IMAP - включён по умолчанию;
KRB5 - включён по умолчанию;
KRUG - включён;
Modbus - отключён по умолчанию;
MQTT - включён по умолчанию;
NFS - включён по умолчанию;
NTP - включён по умолчанию;
OPC DA (только L3/IP Layer) - включён;
OPC UA - включён по умолчанию;
PgSQL - включён по умолчанию;
QUIC - включён по умолчанию;
RDP - включён по умолчанию;
RFB - включён по умолчанию;
SIP - включён по умолчанию;
SMB - включён по умолчанию;
SMTP - включён по умолчанию;
SNMP - включён по умолчанию;
SSH - включён по умолчанию;
Telnet - включён по умолчанию;
TFTP - включён по умолчанию;
TLS/SSL - включён по умолчанию;
TPKT (S7COMM, S7COMM Plus, MMS) - включён по умолчанию;
UMAS - включён;
UNET 2 - отключён по умолчанию.
На текущий момент в веб-интерфейсе доступны функции включения/отключения парсеров и создания шаблонов правил только для следующих протоколов:
«Alpha.Link»;
«Ethernet IP / CIP»;
«Modbus»;
«OPC UA»;
«TPKT (S7COMM, S7COMM Plus, MMS)»;
«GOOSE»;
«UMAS»;
«Fanuc FOCAS».
Поддержка остальных протоколов реализована исключительно через CLI-интерфейс. В последующих версиях системы планируется расширение функционала веб-интерфейса за счёт добавления шаблонов и управления для дополнительных парсеров.
Для определённых парсеров протоколов в системе ARMA Стена по умолчанию заданы порты назначения (dst-port) и порты источника (src-port), используемые Suricata для идентификации трафика соответствующего протокола.
Изменение списка портов выполняется следующим образом:
В разделе «Контроль протоколов» нажать кнопку «Настроить», расположенную под названием требуемого протокола.
В открывшемся боковом окне:
отредактировать существующий порт по умолчанию;
при необходимости добавить новый порт, нажав кнопку «Добавить» в соответствующем разделе:
«dst-порты протокола <Имя протокола>» — для портов назначения;
«src-порты протокола <Имя протокола>» — для портов источника (если поддерживается).
Нажать кнопку «Добавить» на панели инструментов таблицы «Контроль протоколов.
В открывшемся окне «Добавление правила» заполнить следующие общие параметры:
Статус - определяет активность правила. При значении «Включено» правило участвует в фильтрации трафика. По умолчанию правило создаётся с состоянием «Выключено».
Наименование - уникальное имя правила, используемое для идентификации в таблице. Максимальная длина — «255» символов.
Группа - название группы, к которой относится правило. Позволяет организовать правила в логические группы. Допускается выбор из существующего списка или ввод нового имени. Максимальная длина — «255» символов.
Тип протокола - выбор протокола из доступного списка.
Действие - действие, применяемое к пакету при срабатывании правила. Доступны следующие значения:
«Предупредить (Alert)» – генерация оповещения без блокировки пакета (значение по умолчанию);
«Отклонить (Reject)» – блокировка пакета с отправкой уведомления источнику;
«Отбросить (Drop)» – блокировка пакета без уведомления источника;
«Разрешить (Pass)» – пропуск пакета без ограничений.
Адреса отправителя - указываются IPv4-адреса или подсети. Если поле не заполнено, правило применяется ко всем адресам источника.
Порты отправителя - указывается один или несколько портов в диапазоне от «1» до «65535».
Направление - определяет направление трафика, к которому применяется правило:
Прямое - трафик от источника к получателю;
Прямое и обратное - трафик в обоих направлениях (источник ↔ получатель).
Адреса получателя - указываются IPv4-адреса или подсети.
Порты получателя - указывается один или несколько портов в диапазоне от «1» до «65535».
Для протоколов используются следующие порты получателя по умолчанию:
«Ethernet IP / CIP» - 2222, 44818;
«Modbus», UMAS. - 502;
«OPC UA» - 4840, 48020;
«S7 Communication», «S7 Communication Plus», «MMS» - 102;
«Fanuc FOCAS» - 8193.
Примечание
При конфигурировании правила порты получателя и отправителя должны находиться в пределах диапазонов, определённых в настройках протокола по умолчанию:
dst-порты (порты получателя) — должны соответствовать значениям, указанным в списке портов назначения для выбранного протокола;
src-порты (порты отправителя) — должны соответствовать значениям, указанным в списке портов источника (если таковые определены).
Если поля «Порты отправителя» и «Порты получателя» не заполнены, анализ трафика выполняется на всех портах, указанных в настройках протокола по умолчанию (dst-port и src-port). Указание портов за пределами этих диапазонов может привести к игнорированию трафика и, как следствие, к несрабатыванию правила.
Фильтрация на основе протокола - позволяет задать специфичные для выбранного протокола параметры фильтрации.
Сетевой уровень - позволяет задать сетевой уровень фильтрации:
уровень приложения;
уровень IP.
Примечание
Поле доступно только при выборе протокола «Alpha.Link».
Счетчик - позволяет задать числа для декодирования пакетов. Принимает значения целых чисел в диапазоне от «0» до «255».
Примечание
Поле доступно только при выборе протокола «Alpha.Link».
Сообщение - текстовое описание события, которое будет записано в журнал при срабатывании правила. Максимальная длина — «512» символов.
Рисунок – Создание правил СОВ на основе шаблонов протоколов
На текущий момент в веб-интерфейсе доступны шаблоны для настройки правил фильтрации следующих протоколов:
«Alpha.Link»;
«Ethernet IP / CIP»;
«Modbus»;
«OPC UA»;
«S7 Communication»;
«S7 Communication Plus»;
«MMS»;
«GOOSE»;
«UMAS»;
«Fanuc FOCAS».
Поддержка других протоколов реализована исключительно через CLI-интерфейс. В последующих версиях системы планируется расширение функционала веб-интерфейса за счёт добавления шаблонов для других протоколов.
Для создания пользовательского правила на основе шаблона протокола «Alpha.Link» необходимо в поле «Тип протокола» выбрать значение «Alpha.Link», а в поле «Фильтрация на основе протокола» - установить параметр «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся параметры «Команда», «Тип команды».
В поле параметра «Команда» возможен выбор следующих значений:
«CMD_LIST_NODES»;
«RES_LIST_NODES»;
«CMD_GET_PROPS»;
«RES_GET_PROPS»;
«CMD_SET_PROP»;
«RES_SET_PROP»;
«CMD_GET_PROP»;
«RES_GET_PROP»;
«CMD_CREATE_NODE»;
«RES_CREATE_NODE»;
«CMD_DELETE_NODE»;
«RES_DELETE_NODE»;
«CMD_RENAME_NODE»;
«RES_RENAME_NODE»;
«CMD_DELETE_PROP»;
«RES_DELETE_PROP»;
«CMD_SET_PROPS»;
«RES_SET_PROPS»;
«CMD_CREATE_NODE_EX»;
«RES_CREATE_NODE_EX»;
«CMD_COPY_NODE»;
«RES_COPY_NODE»;
«CMD_LOCK_NODE»;
«RES_LOCK_NODE»;
«CMD_UNLOCK_NODE»;
«RES_UNLOCK_NODE»;
«CMD_LOCK_BRANCH»;
«RES_LOCK_BRANCH»;
«CMD_UNLOCK_BRANCH»;
«RES_UNLOCK_BRANCH»;
«CMD_GET_PROP_DESCRIPTIONS»;
«RES_GET_PROP_DESCRIPTIONS»;
«CMD_ON_CHANGE_CONFIG»;
«CMD_ON_LOCK»;
«CMD_SET_USER_INFO»;
«CMD_GET_LOCKINGS»;
«RES_GET_LOCKINGS»;
«CMD_BACKUP»;
«RES_BACKUP»;
«CMD_FIND_NODE»;
«RES_FIND_NODE»;
«CMD_GET_CONFIG_TREE»;
«RES_GET_CONFIG_TREE»;
«CMD_GET_SERVER_PARAM»;
«RES_GET_SERVER_PARAM»;
«CMD_CREATE_NODES»;
«RES_CREATE_NODES»;
«CMD_CREATE_NODES_BY_ID»;
«RES_CREATE_NODES_BY_ID»;
«CMD_GET_FREE_ID»;
«RES_GET_FREE_ID»;
«CMD_GET_ID_BY_NAME»;
«RES_GET_ID_BY_NAME»;
«CMD_CREATE_NODE_BY_ID»;
«RES_CREATE_NODE_BY_ID»;
«CMD_GET_CONFIG_ID»;
«RES_GET_CONFIG_ID»;
«CMD_SET_CONFIG_ID»;
«RES_SET_CONFIG_ID»;
«CMD_GET_CONFIG_NODE_STREAM»;
«RES_GET_CONFIG_NODE_STREAM»;
«CMD_SEND_DATA_STREAM»;
«RES_SEND_DATA_STREAM»;
«CMD_DATA_STREAM_CONTROL»;
«RES_DATA_STREAM_CONTROL»;
«CMD_AUTHORIZE_WITH_PASSWORD»;
«RES_AUTHORIZE_WITH_PASSWORD»;
«CMD_SET_MASTER_PASSWORD»;
«RES_SET_MASTER_PASSWORD»;
«CMD_KICKED_FROM_SERVER»;
«CMD_CREATE_OR_UPDATE_NODES»;
«RES_CREATE_OR_UPDATE_NODES»;
«CMD_GET_BACKUP»;
«RES_GET_BACKUP»;
«CMD_SET_BACKUP»;
«RES_SET_BACKUP»;
«CMD_GET_EXTOBJECTS»;
«RES_GET_EXTOBJECTS»;
«CMD_SET_EXTOBJECTS»;
«RES_SET_EXTOBJECTS»;
«CMD_GET_SNAPSHOT»;
«RES_GET_SNAPSHOT»;
«CMD_UPLOAD_SNAPSHOT»;
«RES_UPLOAD_SNAPSHOT»;
«Настроенное пользователем».
При выборе команд, за исключением «Настроенное пользователем», дополнительно появится параметр «Тип команды».
Перечень доступных к выбору значений в полях параметров «Команда» и «Тип команды» приведён в таблице (см. Таблица «Доступные типы команд»).
В зависимости от выбранного типа команды могут появляться следующие дополнительные параметры:
«COMPUTER_NAME», «DST_FULL_NAME», «ERROR», «FULL_NAME», «LOCAL_IP», «NAME», «NODE_FULL_NAME», «NODE_NAME», «NEW_NAME», «PARAM», «PATH», «REMOTE_IP», «USER_NAME», «VERSION» - поля параметров принимают данные в шестнадцатеричном формате, где символ занимает два байта, например, «4400 6500 6D00 6F00 2E00 5300 6500 7400»;
«CONFIG_ID» - поле параметра принимает значение GUID;
«CUR_PASS_CIPHER», «NEW_PASS_CIPHER» - поля параметров принимают числа в шестнадцатеричной системе счисления, где символ занимает один байт, например, «44 65 6D 6F 2E 53 65 74»;
«DAY» - поле параметра принимает число от «0» до «31» или диапазон чисел при установке флажка напротив параметра;
«DOW» - номер дня в неделе, поле параметра принимает число от «1» до «7» или диапазон чисел при установке флажка напротив параметра;
«DST» - поле параметра принимает число от «-1» до «1» или диапазон чисел при установке флажка напротив параметра;
«HOUR» - час, поле параметра принимает число от «0» до «23» или диапазон чисел при установке флажка напротив параметра;
«ACTION», «ID», «LOCK_ID», «NODE_ID», «NUM», «OPERATION», «PARENT_ID», «PROP_ID», «QUALITY», «STREAM_ID», «TYPE», «VER» - возможно указать число от «-9223372036854775808» до «9223372036854775807» или диапазон чисел при установке флажка напротив параметра;
«IS_LAST_PART»;
«IS_MY_CHANGE»;
«TERMINATE»;
«Все, кроме указанного значения»;
«MIN» - минута, поле параметра принимает число от «0» до «59» или диапазон чисел при установке флажка напротив параметра;
«MONTH» - месяц, поле параметра принимает число от «1» до «12» или диапазон чисел при установке флажка напротив параметра;
«PROP_VALUE» - в зависимости от выбранного значения параметра «Тип PROP_VALUE», поле параметра принимает числа в десятичной системе счисления в различных диапазонах или числа в шестнадцатеричной системе счисления, где символ занимает один байт, например, «44 65 6D 6F 2E 53 65 74» либо два байта, например, «4400 6500 6D00 6F00 2E00 5300 6500 7400», а также принимает значения GUID;
«SEC» - секунда, поле параметра принимает число от «0» до «59» или диапазон чисел при установке флажка напротив параметра;
«VALUE» - в зависимости от выбранного значения параметра «Тип VALUE», поле параметра принимает числа в десятичной системе счисления в различных диапазонах или числа в шестнадцатеричной системе счисления, где символ занимает один байт, например, «44 65 6D 6F 2E 53 65 74», либо два байта, например, «4400 6500 6D00 6F00 2E00 5300 6500 7400», а также принимает значения GUID;
«YEAR» - год, поле параметра принимает число от «0» до «9223372036854775807» или диапазон чисел при установке флажка напротив параметра;
Для создания пользовательского правила на основе шаблона протокола «Ethernet IP / CIP» необходимо в поле «Тип протокола» выбрать значение «Ethernet IP / CIP», а в поле «Фильтрация на основе протокола» - установить параметр «Указать дополнительные параметры».
После этого становится доступным поле «Совпадение по», в котором можно выбрать один из следующих вариантов:
«Протокол ENIP» - правило применяется к трафику, содержащему заголовки протокола Ethernet/IP (ENIP), используемого для инкапсуляции CIP-команд в IP-пакеты;
«Протокол CIP» - правило применяется к трафику, содержащему данные протокола Common Industrial Protocol (CIP), используемого для обмена информацией между промышленными устройствами;
«Протокол ENIP, Протокол CIP» - правило срабатывает при наличии как ENIP-заголовков, так и CIP-данных в пакете. Условие считается выполненным при совпадении по обоим уровням протокола.
Параметры при выборе «Протокол ENIP»
Команда ENIP — указывает тип команды в заголовке ENIP. Каждая команда соответствует определённому типу запроса или ответа (например, List Identity, Send RR Data, Register Session и др.). Допустимые значения — целые числа в диапазоне от «1» до «65535».
Пример: Значение 111 соответствует команде Send RR Data (0x006F), использующейся для обмена запросами и ответами между клиентом и сервером.
Параметры при выборе «Протокол CIP»
Сервис — определяет тип операции в CIP-запросе или ответе. Значение указывается как числовой код сервиса в диапазоне от «0» до «127».
Примеры: 78 - Get Attribute Single (0x4E) — чтение значения атрибута объекта.
Указание сервиса позволяет фильтровать конкретные типы операций, например, блокировать попытки записи данных.
Использовать класс — активация параметра позволяет задать фильтрацию по классу CIP-объекта. Фильтрация по классам доступно только для сервисов: «3» - Get Attribute List (0x03), «4» - Set Attribute List (0x04), «14» - Get Attribute Single (0x0E), «16» - Set Attribute Single (0x10).
Класс — числовое значение в диапазоне от «1» до «65535», определяющее тип объекта (например, «4» - Assembly (0x04), «6» - Connection Manager (0x06)).
При активации вложенного параметра «Использовать атрибут» становится доступным:
Атрибут — числовое значение от «0» до «65535», указывающее конкретный атрибут внутри класса. Например, атрибут «3» в классе Assembly может содержать данные конфигурации.
Часть адреса — определяет тип адресной информации, используемой в CIP-маршруте. Допустимые значения:
Отсутствует — маршрут не содержит дополнительных адресных сегментов;
ANSI сегмент — маршрут включает сегмент, совместимый с ANSI/ISA-88. Указывается в поле «ANSI сегмент» в виде строки длиной до «50» символов;
Порт — маршрут включает сетевой порт. При выборе данного значения доступны следующие параметры:
Порт — конкретный порт в диапазоне от «0» до «65535». При активации чекбокса «Все, кроме указанного порта» правило применяется ко всем портам, кроме указанного (инверсия условия);
Диапазон — позволяет задать интервал портов:
Начальный порт — минимальное значение порта в диапазоне от «0» до «65535»;
Конечный порт — максимальное значение порта в диапазоне от «0» до «65535».
Для создания пользовательского правила на основе шаблона протокола «Modbus» необходимо в поле «Тип протокола» выбрать значение «Modbus», а в поле «Фильтрация на основе протокола» - установить параметр «Указать дополнительные параметры».
После этого становится доступным поле «Совпадение по», в котором можно выбрать один из следующих вариантов:
«Функции»;
«Данные».
Параметры при выборе совпадения по «Функции»
При выборе опции «Функции» появится параметр «Код функции» — указывает код или категорию функции, по которым будет происходить фильтрация.
В поле параметра «Код функции» возможен выбор следующих значений:
«01:Read Coils»;
«02:Read Discrete Inputs»;
«03:Read Holding Register»;
«04:Read Input Register»;
«05:Write Single Coil»;
«07:Read Exception Status»;
«08:Diagnostic»;
«0B:Get Com event counter»;
«0C:Get Com Event Log»;
«0F:Write Multiple Coils»;
«10:Write Multiple Registers»;
«11:Report Server ID»;
«14:Read File record»;
«15:Write File record»;
«16:Mask Write Register»;
«17:Read/Write Multiple Registers»;
«18:Read FIFO queue».
Параметры при выборе совпадения по «Данные»
При выборе опции «Данные» появятся параметры «Идентификатор устройства», «Код функции», «Отсчёт адреса», «Адрес» и «Значение», доступные для указания значения или диапазона значений:
Для создания пользовательского правила на основе шаблона протокола «OPC UA» необходимо в поле «Тип протокола» выбрать значение «OPC UA», а в поле «Фильтрация на основе протокола» - установить параметр «Указать дополнительные параметры».
После этого становится доступным поле «Тип сообщения», в котором можно выбрать один из следующих вариантов:
«HELLO» - маркер начала передачи данных между клиентом и сервером;
«ACKNOWLEDGE» - ответ на сообщение типа HELLO;
«OPEN» - открытие канала передачи данных с предложенным методом шифрования данных;
«MESSAGE» - передаваемое сообщение;
«CLOSE» - конец сессии.
Параметры при выборе «OPEN»
При выборе типа сообщения «OPEN» появится параметр «Политика безопасности», в котором доступны следующие политики безопасности:
«NONE»;
«BASIC128RSA15»;
«BASIC256»;
«BASIC256SHA256»;
«AES128_SHA256_RSAOAEP»;
«PUBSUB_AES128_CTR»;
«PUBSUB_AES256_CTR».
Параметры при выборе «MESSAGE»
При выборе типа сообщения «MESSAGE» появится параметр «Тип запроса», в котором доступны типы запросов:
«FINDSERVERS» - запрос известных серверов;
«FINDSERVERSONNETWORK» - запрос известных работающих серверов;
«GETENDPOINTS» - запрос на поддерживаемые сервером конечные точки;
«REGISTERSERVER» - запрос на регистрацию сервера;
«REGISTERSERVER2» - запрос на регистрацию сервера с дополнительной информацией для FINDSERVERSONNETWORK;
«CREATESESSION» - запрос на создание сессии;
«ACTIVATESESSION» - запрос на создание сессии (передача идентификационных данных клиента);
«CLOSESESSION» - запрос на завершение сессии;
«CANCEL» - запрос отмены невыполненных запросов на обслуживание;
«ADDNODES» - запрос на добавление узла как дочерний в адресное пространство;
«ADDREFERENCES» - запрос на добавление ссылки на узел;
«DELETENODES» - запрос на удаление узла из адресного пространства;
«DELETEREFERENCES» - запрос на удаление ссылки узла;
«BROWSE» - запрос на просмотр узлов;
«BROWSENEXT» - запрос на продолжение просмотра результата запроса BROWSE, если результат этого запроса превышает максимальное значение;
«TRANSLATEBROWSEPATHSTONODEIDS» - запрос на преобразование пути узла в идентификатор узла;
«REGISTERNODES» - запрос на регистрацию узла, например, узла, информация о котором пользователю известна;
«UNREGISTERNODES» - запрос на отмену регистрации узла;
«QUERYFIRST» - запрос просмотр данных из определённого экземпляра;
«QUERYNEXT» - запрос на продолжение просмотра результата запроса QUERYFIRST, если результат этого запроса превышает максимальное значение;
«READ» - запрос на чтение данных;
«HISTORYREAD» - запрос на просмотр значений или событий узлов;
«WRITE» - запрос на изменение узла;
«HISTORYUPDATE» - запрос на обновление значений или событий узлов;
«CALLMETHOD» - запрос на получение результатов вызова удалённой процедуры;
«CALL» - запрос на вызов удалённой процедуры;
«MONITOREDITEMCREATE» - запрос на начало подписки на событие;
«CREATEMONITOREDITEMS» - запрос на подписку на событие;
«MONITOREDITEMMODIFY» - запрос на изменение параметров подписки на события;
«MODIFYMONITOREDITEMS» - запрос на изменение подписки;
«SETMONITORINGMODE» - запрос на установку режима подписки;
«SETTRIGGERING» - запрос на создание связи между событием и узлом;
«DELETEMONITOREDITEMS» - запрос на завершение подписки;
«CREATESUBSCRIPTION» - запрос на создание подписки на событие;
«MODIFYSUBSCRIPTION» - запрос на изменение подписки на событие;
«SETPUBLISHINGMODE» - запрос на включение отправки уведомлений по подпискам на событие;
«PUBLISH» - запрос на подтверждение получения уведомлений по подпискам на события;
«REPUBLISH» - запрос на повторную отправку уведомлений по подпискам на события;
«TRANSFERSUBSCRIPTIONS» - запрос на передачу подписки на событие из одной сессии в другую;
«DELETESUBSCRIPTIONS» - запрос на удаление подписки на событие.
При выборе типа запросов «BROWSE» и «READ» появятся параметры:
«Идентификатор пространства имен»;
«Тип идентификатора узла».
При выборе типа запросов «WRITE» появятся параметры:
«Идентификатор пространства имен»;
«Тип идентификатора узла»;
«Тип значений».
При выборе типа запроса «CALL» появятся параметры:
При создании пользовательского правила на основе шаблона промышленного протокола S7 Communication необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения», в котором доступно четыре типа сообщений:
«JOBREQUEST» - пакет с запросом на выполнение функции;
«ACK» - пакет с результатом выполнения операции;
«ACKDATA» - пакет с ответом на запрос;
«USERDATA» - пакет с данными пользователя.
При выборе типа сообщения «JOBREQUEST» появится параметр «Функция», в котором доступны следующие функции:
«CPUSERVICE» - сервисы ЦП;
«SETUPCOMM» - запрос на подключение к ПЛК;
«READVAR» - запрос на чтение;
«WRITEVAR» - запрос на запись;
«REQUESTDOWNLOAD» - запрос на загрузку прошивки;
«DOWNLOADBLOCK» - загрузка прошивки на ПЛК;
«DOWNLOADEND» - запрос на завершение загрузки прошивки на ПЛК;
«STARTUPLOAD» - запрос на выгрузку прошивки;
«UPLOAD» - выгрузка прошивки с ПЛК;
«ENDUPLOAD» - окончание выгрузки прошивки с ПЛК;
«PLCCONTROL» - управление ПЛК;
«PLCSTOP» - остановка ПЛК;
«Любой».
При выборе функции «READVAR» или «WRITEVAR» появится параметр «Тип области», в котором доступны типы области чтения, указанные в таблице (см. Таблица «Типы области»).
Поле параметра «Количество данных» принимает значения от «0» до «65535».
Поле параметра «Смещение данных» принимает целочисленное значение в шестнадцатеричной системе счисления в формате «0х000000».
При выборе функции «WRITEVAR» и любого значения в поле параметра «Тип области», кроме значения «Любой», появятся дополнительные параметры:
«Тип передаваемого значения»;
«Количество передаваемых данных»;
«Список значений данных».
В поле параметра «Тип передаваемого значения» доступны следующие типы значений:
«NULL» - не выбрано;
«BIT» - значение в битах;
«BYTE» - значение в байтах;
«INT» - целочисленное значение;
«REAL» - вещественное;
«STR» - строковое значение.
Поле параметра «Список значений данных» принимает список значений в шестнадцатеричной системе счисления.
При выборе функций «REQUESTDOWNLOAD», «DOWNLOADBLOCK», «STARTUPLOAD» появится параметр «Тип блока», в котором доступны следующие типы блока скачивания:
«OB» - организационный блок, хранит главные программы;
«DB» - блок данных, хранит необходимые для ПЛК программ данные;
«SDB» - блок данных системы, хранит необходимые для ПЛК программ данные;
«FC» - функция, функции без состояния - не имеют собственной памяти, могут быть запущены из других программ;
«SFC» - системная функция, функции без состояния - не имеют собственной памяти, могут быть вызваны из других программ;
«FB» - блок функции, функции с состоянием, обычно имеют ассоциированный SDB;
«SFB» - блок системной функции, функции с состоянием, обычно имеют ассоциированный SDB;
«Любой».
При выборе в поле параметра «Тип блока» любого значения, кроме значения «Любой», появятся параметры «Номер блока» и «Целевая файловая система». Параметры «Номер блока» принимает значения от «0» до «99999».
В поле параметра «Целевая файловая система» доступны две опции:
«P» - пассивная, блок требует активации после скачивания;
«A» - активная, блок будет активизирован после скачивания.
При выборе функции «PLCCONTROL» появится параметр «Функция», в котором доступны следующие функции управления ПЛК:
«Любой»;
«INSE» - активация скачанного блока, параметром выступает имя блока;
«DELE» - удаление блока, параметром выступает имя блока;
«PPROGRAM» - запуск программы, параметром выступает имя программы;
«GARB» - сжатие памяти;
«MODU» - копирование RAM в ROM, параметр содержит идентификаторы файловой системы A/E/P;
При создании пользовательского правила на основе шаблона промышленного протокола S7 Communication Plus необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся следующие параметры:
«Тип сообщения»;
«Тип»;
«Функция».
Параметр «Тип сообщения» содержит выпадающий список со значениями:
«REQUEST» - запрос на выполнение операции;
«RESPONSE» - ответ на запрос;
«NOTIFY» - асинхронное уведомление;
«RESPONSE2» - расширенный ответ.
Параметр «Тип» - содержит выпадающий список со значениями:
«CONNECT» - установка соединения;
«DATA» - передача данных;
«DATAW1_5» - передача данных протокола версии 1.5;
«KEEPALIVE» - проверка активности соединения;
«EXT_KEEPALIVE» - расширенный «KEEPALIVE».
Параметр «Функция» - содержит выпадающий список со значениями:
«Отсутствует»;
«EXPLORE» - поиск и перечесление доступных объектов;
«CREATEOBJECT» - создание нового объекта;
«DELETEOBJECT» - удаление объекта;
«SETVARIABLE» - запись значения одной переменной;
«GETLINK» - получение ссылки на объект;
«SETMULTIVAR» - запись значений нескольких переменных;
«GETMULTIVAR» - чтение значений нескольких переменных;
«BEGINSEQUENCE» - начало группы операций;
«ENDSEQUENCE» - завершение группы операций;
«INVOKE» - вызов метода объекта;
«GETVARSUBSTR» - чтение части переменной.
При выборе опций «EXPLORE», «CREATEOBJECT», «DELETEOBJECT», «GETLINK», «SETMULTIVAR», «GETMULTIVAR», и «GETVARSUBSTR» появятся параметры для указания значений функции.
При создании пользовательского правила на основе шаблона промышленного протокола MMS необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения», в котором доступны следующие типы сообщений:
«CANCEL_REQUEST»;
«CANCEL_RESPONSE»;
«CANCEL_ERROR»;
«CONFIRMED_REQUEST»;
«CONFIRMED_RESPONSE»;
«CONFIRMED_ERROR»;
«UNCONFIRMED»;
«REJECT»;
«INITIATE_REQUEST»;
«INITIATE_RESPONSE»;
«INITIATE_ERROR»;
«CONCLUDE_REQUEST»;
«CONCLUDE_RESPONSE»;
«CONCLUDE_ERROR».
При выборе типа сообщения «CONFIRMED_REQUEST» появится параметр «Тип службы», в котором доступны следующие типы используемых служб:
Перечень доступных к выбору значений в поле параметра «Тип службы» приведён в таблице (см. Таблица «Доступные типы служб»).
При выборе типа службы «ADDITIONALSERVICE» появится параметр «Дополнительный тип сервиса», в котором доступны следующие типы дополнительного сервиса, представленные в таблице (см. Таблица «Типы дополнительного сервиса»).
При создании пользовательского правила на основе шаблона промышленного протокола GOOSE необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся следующие параметры, значения которых должны содержать не более 150 символов:
«APPID» - уникальный идентификатор приложения. Принимает значения от «0» до «65535» или диапазон значений при установке флажка напротив параметра.
«Dataset» - ссылка на набор данных.
«GoCBRef» - полная ссылка на блок управления GOOSE.
«GoID» - идентификатор GOOSE-сообщения.
«Дельта секунд» - разница времени в секундах между моментом формирования GOOSE-сообщения и некоторым базовым временем.
«Дельта наносекунд» - разница времени в наносекундах между моментом формирования GOOSE-сообщения и базовым временем.
«Предустановленная дата и время» - базовое системное время, относительно которого вычисляются «Дельта секунд» и «Дельта наносекунд».
«Предустановленные наносекунды» - фиксированные начальные базового системного времени, к которым потом прибавляются дельты.
Примечание
Для включения записи событий срабатывания правил СОВ по протоколу GOOSE необходимо включить соответствующий параметр журналирования через интерфейс командной строки. Это осуществляется посредством выполнения следующей команды в конфигурационном режиме (см. раздел «Команды настройки Suricata» руководства по настройке ARMA Стена в CLI):
При создании пользовательского правила на основе шаблона промышленного протокола UMAS необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появятся параметры «Функция», «Информация о проекте» и «Тип сообщения».
В поле параметра «Функция» доступны следующие функции:
«INIT_COMM» - инициализация UMAS сессии;
«READ_ID» - запрос ПЛК ID;
«READ_PROJECT_INFO» - чтение информации о проекте;
«READ_PLC_INFO» - чтение внутренней информации ПЛК;
«READ_CARD_INFO» - чтение информации о внутренней SD карты ПЛК;
«REPEAT» - отправить информацию обратно ПЛК. Используется для синхронизации;
«TAKE_PLC_RESERVATION» - назначить ПЛК владельца;
«RELEASE_PLC_RESERVATION» - снять владельца ПЛК;
«KEEP_ALIVE» - поддержка активного соединения;
«READ_MEMORY_BLOCK» - чтение блока памяти с ПЛК;
«READ_VARIABLES» - чтение системных битов, системных слов и переменных;
«WRITE_VARIABLES» - запись системных битов, системных слов и переменных;
«READ_COILS_REGISTERS» - чтение coils и регистров с ПЛК;
«WRITE_COILS_REGISTERS» - запись катушек и регистров в ПЛК;
«INITIALIZE_UPLOAD» - инициализация загрузки (копирования с инженерного ПК на ПЛК);
«UPLOAD_BLOCK» - загрузка блока данных с инженерного ПК на ПЛК;
«END_STRATEGY_UPLOAD» - завершение загрузки (копирования с инженерного ПК на ПЛК);
«INITIALIZE_DOWNLOAD» - инициализация скачивания (копирования с ПЛК на инженерный ПК);
«DOWNLOAD_BLOCK» - скачивание блока данных с ПЛК на инженерный ПК;
«END_STRATEGY_DOWNLOAD» - конец скачивания (копирования с ПЛК на инженерный ПК);
При создании пользовательского правила на основе шаблона протокола Fanuc FOCAS необходимо задать параметры протокола, выбрав в поле параметра «Фильтровать на основе протокола» значение «Указать дополнительные параметры».
При выборе опции «Указать дополнительные параметры» появится параметр «Тип сообщения».
В поле параметра «Тип сообщения» возможно выбрать следующие значения:
«Отсутствует»;
«Запрос»;
«Ответ»;
«Команда».
В поле параметра «Тип сообщения» при выборе значения «Запрос» дополнительно появятся следующие параметры:
«Тип запроса»;
«Добавить команду»;
«Значение ARG1»;
«Значение ARG2»;
«Значение ARG3»;
«Значение ARG4»;
«Значение ARG5».
В полях параметров «Значение ARG1», «Значение ARG2», «Значение ARG3», «Значение ARG4», «Значение ARG5» возможно указать число от «0» до «4294967295» либо указать диапазон чисел при установке флажка напротив параметра.
В поле параметра «Тип запроса» возможно выбрать следующие значения:
«Любой»;
«Загрузить программу»;
«Настроенное пользователем».
При выборе в поле параметра «Тип запроса» значения «Загрузить программу» дополнительно появятся следующие параметры:
«Тип загружаемой программы»;
«Путь к программе».
В полях параметров «Тип загружаемой программы», «Значение запроса», «Значение команды», «Тип скачиваемой программы», «Значение ответа», «Начальное значение диагностических данных», «Конечное значение диагностических данных», «Осевое значение диагностических данных», «Начало чтения регистра», «Конец чтения регистра», «Тип памяти чтения регистра», «Тип данных чтения регистра» возможно указать число от «0» до «4294967295» либо указать диапазон чисел при установке флажка напротив параметра.
Примечание
Рекомендуется использовать значения, соответствующие указанным в библиотеках Fanuc FOCAS.
В поле параметра «Тип запроса» при выборе значения «Настроенное пользователем» дополнительно появится параметр «Значение запроса».
При установке флажка для параметра «Добавить команду» дополнительно появятся следующие параметры:
«Тип команды»;
«Путь до удаляемых файлов».
В поле параметра «Тип команды» возможно выбрать следующие значения:
«Отсутствует»;
«Диагностические данные»;
«Список программ или файлов»;
«Удалить файл, папку или программу»;
«Чтение регистра»;
«Настроенное пользователем».
В поле параметра «Тип команды» при выборе значения «Диагностические данные» дополнительно появятся следующие параметры:
«Начальное значение диагностических данных»;
«Конечное значение диагностических данных»;
«Осевое значение диагностических данных».
В поле параметра «Тип команды» при выборе значения «Список программ или файлов» дополнительно появится параметр «Путь до читаемого каталога».
В поле параметра «Тип команды» при выборе значения «Удалить файл, папку или программу» дополнительно появится параметр «Путь до удаляемых файлов».
В поле параметра «Тип команды» при выборе значения «Чтение регистра» дополнительно появятся следующие параметры:
«Начало чтения регистра»;
«Конец чтения регистра»;
«Тип памяти чтения регистра»;
«Тип данных чтения регистра».
В поле параметра «Тип команды» при выборе значения «Настроенное пользователем» дополнительно появится параметр «Значение команды».
В поле параметра «Тип сообщения» при выборе значения «Ответ» дополнительно появится параметр «Тип ответа».
В поле параметра «Тип ответа» возможно выбрать следующие значения:
«Любой»;
«Скачать программу»;
«Настроенное пользователем».
В поле параметра «Тип ответа» при выборе значения «Скачать программу» дополнительно появятся следующие параметры:
«Тип скачиваемой программы»;
«Путь к программе».
В поле параметра «Тип ответа» при выборе значения «Настроенное пользователем» дополнительно появится параметр «Значение ответа».
В поле параметра «Тип сообщения» при выборе значения «Команда» дополнительно появятся следующие параметры:
Блок фильтрации предоставляет возможность сортировки и фильтрации данных в таблице подраздела «Контроль протоколов» по всем столбцам в списке (см. Рисунок – Панель поиск и фильтрации). Он включает в себя следующие поля:
Фильтрация по полю «Группа» позволяет осуществлять отбор данных на основе группы. В данном поле представлен раскрывающийся список с наименованиями групп, к которым относятся правила.
Фильтрация по полю «Состояние» позволяет отфильтровать список по статусу правила: «Включен», «Выключен».
Фильтрация по полю «Тип протокола» позволяет отфильтровать список по типу протокола. Поле содержит выпадающий список и предоставляет выбор из протоколов, которые доступны на текущий момент.
Фильтрация по полю «Действие» позволяет отфильтровать список по действию, которое задано в правиле. Поле содержит выпадающий список и предоставляет выбор из следующих вариантов значений: «Предупредить (Alert)», «Отклонить (Reject)», «Отбросить (Drop)», «Разрешить (Pass)».
Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».
Сквозной поиск по таблице подраздела «Контроль протоколов» осуществляется с помощью ввода искомого значения или его фрагмента в поле «Поиск», расположенное в левом углу заголовка таблицы.
ADS - включён по умолчанию;
Настроить», расположенную под названием требуемого протокола.
