“”/
актуальные новости и полезные материалы в telegram канале
 
Вход
1 февраля 2024


Статья 5. Обзор подключаемых функциональных компонентов Secret Net Studio (Часть 3)

Цикл «Знакомство с SNS и SN LSP»
Завершающая статья по решению Secret Net Studio 8.10 посвящена обзору следующих механизмов защиты:

  • Межсетевой экран
  • Авторизация сетевых соединений
  • Обнаружение и предотвращение вторжений
  • Антивирус
  • Доверенная среда
  • Безопасная среда
Сетевая защита
В компонент сетевой защиты входят подсистемы межсетевого экранирования и авторизации сетевых соединений.

Персональный межсетевой экран
Для фильтрации трафика на сетевом, транспортном и прикладном уровнях формируются следующие правила:
  • Правила доступа
    регулируют доступ пользователей к сетевым сервисам защищаемых компьютеров
  • Прикладные правила
    регулируют доступ пользователей к общим папкам и именованным каналам на данном компьютере
  • Системные правила
    контролируют соединения с компьютером по протоколам семейства TCP/IP
Имеется возможность настройки доступа к защищаемым компьютерам по сетевым протоколам IPv4, IPv6 и Novell IPX, а также по протоколам с устаревшим форматам Ethernet-кадра (LLC, IPX).

Порядок обработки пакетов зависит от направления трафика:
Для настройки межсетевого экрана необходимо выбрать защищаемый компьютер и в разделе «Политики» перейти к группе параметров «Персональный межсетевой экран».
Правило с самым высоким приоритетом располагается в начале таблицы. Изменять приоритет правил можно с помощью кнопок «Вниз» и «Вверх».

С правилами можно осуществлять следующие действия:
  • Создание правил
  • Изменение их параметров
  • Удаление ненужных правил
  • Определение приоритета
Создание правил
Правила доступа
Для каждого правила отображаются данные:
  • Субъект — имя учетной записи (группы учетных записей), для которых действует правило
  • Сетевой сервис — наименование сетевого сервиса, для которого действует правило
  • Тип доступа — доступ разрешен/запрещен
  • Направление — направление трафика, для которого действует правило
  • Удаленный адрес — имя/IP-адрес компьютера, для которого действует правило. Символ «*» означает, что правило действует для всех удаленных компьютеров
  • Приложение — путь к приложению, для которого действует правило. Символ «*» означает, что правило действует для всех приложений
На первом этапе создания правила необходимо выбрать сетевой сервис, а также указать тип доступа.
Затем нужно выбрать остальные данные. Некоторые поля будут настроены в соответствии с ранее выбранными сетевыми сервисами. Если для исходящего сетевого соединения требуется использовать защищенный канал передачи данных (механизм защиты сетевого взаимодействия рассматривается в пункте «Авторизация сетевых соединений»), то следует выбрать параметр «Требовать защищенное сетевое соединение». В этом случае соединение по незащищенному каналу не устанавливается (работает только при наличии лицензии на механизм авторизации сетевых соединений).
Далее необходимо выбрать субъект доступа, для которого будет действовать данное правило.
Если требуется фиксировать события в случае срабатывания правил — необходимо поставить отметку в пункте «Включить аудит». В случае включения звуковой сигнализации на защищаемом компьютере будет подаваться сигнал о срабатывании правила. Доступна настройка автоматического запуска исполняемых файлов во время срабатывания правила с выбором пользовательской сессии:
  • Системной – выполнение команды с правами системы.
  • Консольной — выполнение команды от имени пользователя в его сессии.
  • Всех сессиях пользователя — выполнение команды во всех пользовательских сессиях.
Имеется возможность выбрать пользователей, под которыми будет запускаться процесс и для которых действует правило. Сделать это можно на следующем шаге — «Допустимые субъекты безопасности процесса».

На заключительном этапе следует указать дополнительные параметры правила, а также задать расписание его работы.
Для настройки системных правил в разделе «Правила доступа» нужно нажать на кнопку-ссылку «Показать специализированные правила доступа».
В параметрах правила запрещается или разрешается доступ к защищаемому объекту, указывается тип и номер протокола, маска фильтра, а также удаленные и локальные адреса. С помощью кнопки «Редактировать» можно указать только определенные адаптеры, на которых будет действовать правило.
Прикладные правила
На первом этапе создания прикладного правила необходимо выбрать прикладной сервис. Правило может контролировать доступ к сетевой папке (Папки общего доступа) или к именованному каналу.
  • Тип доступа
  • Имя общей папки/Именованный канал
  • Субъект доступа
  • Способы сигнализации о срабатывании правила
  • Удаленные адреса
  • Расписание работы правила
На завершающем этапе необходимо настроить правила прохождения IP-пакетов на транспортном уровне по протоколу SMB.
При использовании этой функции в списке правил доступа отобразится правило, разрешающее использование SMB для учетной записи (группы), указанной в прикладном правиле.
Управление работой правил
Параметры всех созданных правил могут быть изменены. Для этого в таблице правил необходимо выбрать нужное и нажать кнопку «Редактировать». Если требуется приостановить работу правила — его можно отключить. Созданные правила можно удалять.

Помимо добавления сетевых сервисов из списка шаблонов можно создавать свои в разделе «Правила доступа».
Для создания сетевого сервиса требуется указать тип протокола, направление трафика, имя сервиса и номера портов для него. При необходимости можно использовать защищенное соединение.

Для осуществления фильтрации команд сетевых протоколов, параметров команд, а также для управления доступом к ресурсам, содержащим отдельные типы мобильного кода, применяются правила фильтрации сетевого потока. Управлять ими можно с помощью утилит командной строки ScAuthSrvConfig. exe (в сетевом режиме работы Secret Net Studio) или ScLocalSrvConfig. exe (в автономном режиме работы).
Настройка ICMP-защиты
Предусмотрена защита протокола ICMP. По умолчанию этот режим управления пакетами выключен.
Типы пакетов протокола представлены в виде таблицы. Управлять пакетами можно с помощью столбцов «Получение» и «Отправка». Доступна функция блокировки всех типов пакетов протокола ICMP за исключением разрешенных в таблице.
Контроль состояния соединений (SPI — Stateful Packet Inspection)
Контроль состояния соединений выполняет проверку проходящего трафика. По умолчанию данный параметр отключен. В рамках SPI можно вести таблицу состояний устанавливаемых соединений, проверять передаваемый трафик на соответствие таблице и блокировать пакеты, не соответствующие текущему состоянию соединения.
Режим обучения
При включенном режиме обучения разрешается весь сетевой трафик. Данный режим используется на этапе ввода системы защиты в эксплуатацию. В нем создаются базовый набор правил доступа.
Для каждого пакета проверяется наличие правила фильтрации (правила с реакцией «по умолчанию» не проверяются).

Если правила нет, оно добавляется как разрешающее для каждого из приложений. При этом однотипные правила заменяются одним правилом, включающим в себя все объединенные.

Режиму обучения можно задать временные интервалы, а также требуется указать следующие параметры:
  • Направление трафика;
  • Максимальное количество генерируемых правил;
  • Максимальное количество генерируемых правил для каждого приложения.
Если требуется, чтобы созданные правила действовали для конкретных приложений — следует отметить поле «Сохранить информацию о процессе».

Так же можно сохранять информацию об адресах, портах локальных и удаленных хостов.
Авторизация сетевых соединений
Настройка механизма авторизации сетевых соединений осуществляется для каждого защищаемого компьютера отдельно в Центре управления. В локальном центре управления редактирование параметров авторизации сетевых соединений недоступно, однако можно посмотреть настройки непосредственно на защищаемом компьютере.

Для настройки авторизации сетевых соединений в разделе «Политики» для каждого компьютера необходимо выбрать элемент «Авторизация сетевых соединений».
Если требуется разрешить защиту сетевых соединений, настроенных для группы everyone, необходимо отметить поле «Включить защиту соединений».

Механизм защиты сетевого взаимодействия, базирующийся на стандартах протоколов семейства IPsec также реализован между авторизованными абонентами.


В Secret Net Studio 8.10 используются протоколы:
  • AH (Authentication Header) — аутентичность и целостность передаваемых данных каждого IP-пакета.
  • ESP (Encapsulating Security Payload) — кодирование и контроль целостности передаваемых данных (Не допускается одновременное использование протоколов AH и ESP).
  • ISAKMP — обмен ключей и согласование параметров соединения.
Защита и целостность передаваемых данных обеспечивается следующими средствами:
  • режим добавления служебной информации в пакеты;
  • режим шифрования и контроля целостности;
  • режим защиты от replay-атак.
Для включения режима добавления служебной информации к пакетам необходимо отметить поле «Подпись» и выбрать один из уровней анализа:
  • Только маркировка — служебная информация формируется на основе первого сетевого пакета из серии, остальные пакеты получают метку принадлежности к аутентифицированной серии.
  • Заголовки пакетов — служебная информация формируется на основе заголовков пакетов.
  • Пакет целиком — служебная информация формируется для каждого пакета полностью.
Для включения режима кодирования данных необходимо отметить поле «Шифрование». Также можно включить контроль целостности закодированных пакетов. Реализована защита от replay-атак, предотвращающая пассивный захват данных.

Далее можно выбрать сценарий для определения пользователя SMB-соединения.
Обрабатывать трафик можно от учетной записи компьютера или пользователя — инициатора соединения. При этом для остальных пользователей можно либо разрешить, либо блокировать данное соединение.

Сетевая защита Secret Net Studio позволяет идентифицировать компьютер не только по имени хоста, но и по его IP-адресу. При этом можно осуществлять настройку параметров получения IP-адресов компьютера.
Имеется возможность настроить получение клиентами IP-адресов данного компьютера автоматически с сервера безопасности. Так же клиенты могут обращаться к службам DNS, WINS и NetBIOS. Если требуется явно задать адреса, то необходимо отметить поле «Использовать адреса из списка».

После применения настроек следует включить механизм авторизации сетевых соединений для каждого компьютера.
! Изменения в сетевой защите
Осуществлен переход с LWF (NDIS-фильтры) на WFP (Windows Filtering Platform), что значительно расширяет возможности обработки сетевого трафика.
Антивирус
Настройка антивирусной защиты осуществляется в Центре управления с применением групповых и локальных политик. Информация об активности механизма регистрируется в журнале Secret Net Studio.

Параметры работы антивируса можно разделить по группам:
  • Профили сканирования — наборы заранее заданных параметров сканирования
  • Расписание сканирования — время и периодичность проведения проверок в соответствии с профилем сканирования

  • Исключения — перечень файлов и папок, которые нужно исключить из проверки.

Профили режимов сканирования:
  • Постоянная защита — обнаружение компьютерных вирусов сигнатурными и эвристическими методами при попытках получения доступа к исполняемым файлам, файлам документов, изображений, архивов, скриптов и другим типам потенциально опасных файлов.
  • Сканирование подключаемых носителей — автоматическая проверка подключаемых к компьютеру съемных носителей. Работает совместно с профилем «Постоянная защита».
  • Контекстное сканирование — проверка, запускаемая пользователем из контекстного меню проводника Windows.
  • Полное сканирование — проверка, запускаемая из Центра управления или по расписанию. Проверяются запущенные процессы, параметры автозапуска, загрузочные сектора.
  • Быстрое сканирование — проверка, запускаемая из Центра управления, пользователем на защищаемом компьютере или по расписанию. Выполняется проверка уязвимых мест системы — файлов, папок, процессов, съемных носителей.
  • Почтовый антивирус — проверка вложений сообщений электронной почты на наличие вредоносных программ. Реализована поддержка с Microsoft Outlook версий 2013−2019 и 365.
Каждый профиль имеет общие настройки:
  • Эвристика — в настройках определяется уровень эвристики при сканировании
    • Углубленная эвристика — высокая вероятность обнаружения вирусов и ложных срабатываний, низкая скорость сканирования.
    • Обычный режим — низкая вероятность обнаружения вирусов и ложных срабатываний.
    • Выключена — проверяются только сигнатуры.
  • Действия при обнаружении зараженных файлов
    • Лечить зараженные файлы — будет произведена попытка лечения файла при обнаружении.
    • Удалять зараженные файлы — файлы будут удалены.
    • Удаляемые файлы поместить в карантин — файлы остаются на прежнем месте, их атрибут меняется на «скрытый» и к имени файла добавляется «.quarantine». При необходимости файлы из карантина можно установить с помощью sns. av_cli.exe.
  • Файлы
    • Пропускать файлы более — определяет размер файлов, пропускаемых при сканировании.
    • Максимальное время проверки файла — время проверки каждого файла ограничено заданным параметром.
    • При проверке архивов в настраиваемых параметрах можно определить размер пропускаемых при сканировании файлов, задать время проверки и указать максимальную вложенность.
    • Возможна настройка параметров сканирования для файлов с разными расширениями. В параметрах проверки можно выбирать файлы только с указанными расширениями или исключать их из проверки.
После указания параметров необходимо настроить аудит событий, связанных с работой антивируса. В разделе «Регистрация событий» можно указать один из трех уровней регистрации:
  • Расширенный — регистрируются все события.
  • Оптимальный — регистрируются все важные и некоторые информационные события.
  • Низкий — регистрируются только важные события.
Обнаружение и предотвращение вторжений
Настройка механизма обнаружения и предотвращения вторжений осуществляется в Центре управления. СОВ включает в себя:
  • Детекторы сетевых атак — блокируют внешние атаки, фильтруя входящий трафик. Функционируют на канальном, сетевом и транспортном уровнях.
  • Сигнатурный анализ — контролируют входящий и исходящий сетевой трафик на наличие элементов, зарегистрированных в базе решающих правил или базе опасных веб-ресурсов.
  • Блокировку телеметрии Windows — блокирует сбор данных о системе средствами ОС Windows.
  • Контроль сетевых адаптеров — осуществляет контроль включения неразборчивого режима.
Информация об активности механизма регистрируется в журнале Secret Net Studio.

Настройку можно выполнять с помощью групповых политик каждого компьютера, выбрав элемент «Обнаружение вторжений».

Для использования детекторов сетевых атак сначала требуется настроить их общие параметры, затем включить нужные детекторы и настроить каждый из них по отдельности.
  • Для общих параметров необходимо отметить пункт «Включить детекторы атак» и настроить:
    • Блокировку атакующего хоста при обнаружении атак — функция активируется по умолчанию для всех детекторов. IP-адрес атакующего хоста будет заблокирован.
    • Время блокировки — длительность блокировки хоста
    • Использовать черный список IP-адресов — функция активируется по умолчанию для всех детекторов. Будут заблокированы вредоносные IP-адреса из базы опасных веб-ресурсов Kaspersky.
    • Белый список IP-адресов — введенные адреса не блокируются детекторами атак. Если белый список сформирован групповыми политиками, в локальных политиках его редактировать запрещено.
  • Далее следует включить необходимые детекторы
    • Сканирование портов — детектирование сканирования портов;
    • ARP-spoofing — детектирование атака типа «Man in the middle», применяемых в сетях с использованием протокола ARP;
    • SYN-FLOOD — детектирование атак типа «Отказ в обслуживании», заключающихся в отправке большого количества SYN-запросов;
    • Аномальный трафик — детектирование аномального трафика;
    • DDoS;
    • DoS.
И настроить параметры их работы, задав нужные значения:
Если планируется включать DoS детектор, то для него требуется настроить список сетевых сервисов.
С помощью кнопки-ссылки «сетевые сервисы» необходимо открыть список шаблонов и добавить в существующий набор свой шаблон, указав область адресации, протокол и порт. Управлять существующими сетевыми сервисами можно с помощью кнопки «Редактировать». Здесь можно изменять, удалять, добавлять и перемещать сетевые сервисы.
Для настройки сигнатурных анализаторов нужно перейти к соответствующему разделу, включить сигнатурные анализаторы.
И настроить параметры:
  • Анализатор HTTP — может работать на одном из трех уровней. В зависимости от уровня могут проверяться все типы сигнатур, основные или критические важные сигнатуры.
  • Контроль входящего трафика — входящий трафик будет контролироваться на наличие сигнатур, зарегистрированных в базе решающих правил.
  • Контроль исходящего трафика — исходящий трафик будет контролироваться на наличие сигнатур, зарегистрированных в базе решающих правил.
  • Список портов — порты, которые необходимо проверять с помощью анализатора HTTP-трафика.
  • Блокировать фишинговые URL-адреса — блокировка URL-адресов фишинговых сайтов, находящихся в базе опасных веб-ресурсов Kaspersky.
  • Блокировать ботнет сети — блокировка ботнет URL-адресов, находящихся в базе опасных веб-ресурсов Kaspersky.
  • Белый список IP-адресов — эти адреса не будут блокироваться сигнатурными анализаторами.
В состав механизма обнаружения вторжений также входит:
  • Блокировка телеметрии Windows — позволяет заблокировать сбор данных о системе средствами ОС Windows.
  • Контроль сетевых адаптеров — позволяет запретить работу сетевых адаптеров в неразборчивом режиме (в таком режиме сетевые адаптеры принимают все пакеты). При разрешении режима доступна функция изменения алгоритма обнаружения атак для исключения ложных срабатываний детекторов.
Базы антивируса и СОВ необходимо обновлять. В Secret Net Studio доступно автоматическое обновление баз, а также обновление вручную с помощью утилиты обновления.

! Изменения в версии Secret Net Studio 8.10


В механизм добавлена база опасных веб-ресурсов от компании «Код Безопасности», которая может использоваться как отдельно, так и совместно с базой от компании «Лаборатория Касперского».

Доверенная среда
Данный механизм предназначен для защиты системы от внешних нарушителей. Он контролирует работу ОС и системы защиты Secret Net Studio с помощью:
  • Контроля целостности файлов (до загрузки ОС компьютера);
  • Контроля запуска и функционирования модулей Secret Net Studio (на протяжении сеанса работы пользователя);
  • Блокировку от записи страниц памяти, в которых размещаются модулей Secret Net Studio (на протяжении сеанса работы пользователя);
  • Обнаружение и предотвращение компьютерных атак. Если атаку невозможно предотвратить — механизм аварийно завершает работу ОС.
При использовании данного механизма защиты загрузка ОС компьютера возможна только с использованием загрузочного носителя, инициализируемого средствами Secret Net Studio.

События, связанные с работой механизма, регистрируются в журнале Доверенной среды.

Для функционирования механизма необходимо:
  • Зарегистрировать лицензию на механизм в Secret Net Studio
  • Подготовить загрузочный носитель доверенной среды
  • Включить механизм
Загрузочный носитель содержит:
  • ОС доверенной среды — ОС на базе Linux, взаимодействующая с памятью, файловой системой и ОС компьютера;
  • Гипервизор доверенной среды — осуществляет загрузку ОС доверенной среды и выполняет функции безопасности механизма;
  • Загрузчик доверенной среды (MBR или UEFI) — считывает ОС доверенной среды и гипервизор, размещает их в оперативной памяти компьютера.
Настройка доверенной среды осуществляется локально в административном режиме. ОС имеет текстовый интерфейс
Доступны следующие операции:
  • Выбор режима работы доверенной среды
    Мягкий режим (по умолчанию) — обнаружение и предотвращение компьютерных атак, регистрация событий в журнал Доверенной среды.

    Жесткий режим — помимо функций мягкого режима добавляется остановка работы ОС компьютера при невозможности предотвращения атаки.

    Изменить параметры можно с помощью команды «TE mode: change»
  • Настройка контроля целостности
    Функция контроля целостности в доверенной среде обеспечивает:
    • блокировку модификации кода драйверов Secret Net Studio в памяти;
    • защиту от несанкционированной остановки драйверов Secret Net Studio;
    • защиту от несанкционированного терминирования ключевых процессов Secret Net Studio.

    Список объектов контроля целостности, созданный по умолчанию, можно редактировать:
    • Изменять путь к объекту КЦ – «Windows objects: change» → «[View/Edit]»;
    • Ставить на контроль/снимать с контроля выбранный объект КЦ – «Windows objects: change» → «[Switch on/off]»
    • Добавлять объекты в список «Windows objects: change» → «[Add]»
    • Исключать объекты из списка «Windows objects: change» → «[Delete]»
  • Настройка обнаружения компьютерных атак
    Доверенная среда обеспечивает обнаружение компьютерных атак:
    • сброс SMEP;
    • выполнение команд в стеке;
    • эксплуатация уязвимости EternalBlue;
    • запись данных в защищаемую область памяти.

    При их обнаружении механизм выполняет предотвращение или завершение работы ОС компьютера.

    Включить функцию обнаружения атак можно с помощью команды «Anti-Exploit (experimental)»
  • Работа с журналом событий
    В механизме регистрируются следующие типы событий:
    • попытка несанкционированной остановки служб Secret Net Studio;
    • попытка выгрузки драйверов Secret Net Studio;
    • нарушение целостности объектов КЦ;
    • попытка модификации кода драйверов Secret Net Studio;
    • ошибка при входе в административный режим доверенной среды.
Журнал событий хранится на системном диске. В нем можно хранить не более 4096 записей.

При работе с журналом администратору доступны операции:
  • Просмотр журнала и подробной информации о каждом событии — «TElog: view»
  • Очистка журнала — «TElog: clear»
  • Экспорт журнала в файл на загрузочный носитель доверенной среды — «TElog: export»
  • Смена пароля администратора доверенной среды — «Admin password: change»"
  • Снятие блокировки компьютера

Отключение доверенной среды выполняется на защищаемом компьютере с помощью Локального центра управления
Безопасная среда
Данный механизм анализирует работу неизвестного ПО в изолированной среде. После определения уровня доверия, программа может добавляться в списки доверенного или запрещенного ПО.

Для включения механизма в Центре управления на выбранном компьютере необходимо перейти на вкладку «Состояние», выбрать плитку «Безопасная среда» и включить работу механизма.
Далее на клиентском компьютере нужно открыть отдельную программу «Безопасная среда» и перейти в панель сессии. Через кнопку «Запустить» можно выбрать необходимую программное обеспечение для его тестирования.
В открывшемся окне требуется указать параметры сессии, в каком контейнере будет запускаться приложение и по каким правилам будет проверяться программа.
После этого происходит запуск программы в безопасной среде. Сессия становится активной.
Если программа достигает необходимого уровня доверия, то она попадает в белый список. В обратном случае безопасная среда принудительно завершает работу программы, добавляет ее в черный список и выводит оповещение на экран. Если работа программы завершается раньше анализа безопасной среды, то в этом случае сохранится контекст анализа программы, которое продолжится при следующем ее запуске в том же контейнере.

Анализировать ПО можно с помощью набора как заданных правил, так и созданных пользователем. Работа с ними осуществляется на панели «Правила». Для создания набора правил Безопасной среды необходимо выбрать одну из категорий, а также тип правила и указать название объекта, к которому будет применяться правило.
Для каждого из действий можно указать виды реакций на действие.

  • Разрешить — действие для объекта будет осуществляться не в изолированной среде.
  • Запретить — действие для объекта, указанного в названии объекта в правиле, будет запрещено.
  • Уничтожить — действие для объекта, указанного в названии объекта в правиле, будет запрещено, а ПО, запущенное в Безопасной среде, будет удалено.
  • Виртуализовать — действие для объекта, указанного в названии объекта в правиле, будет осуществляться в изолированной среде.
В программе содержатся собственные журналы событий, которыми управляет администратор. Для каждой сессии создается отдельный журнал, в котором регистрируются действия с включенным параметром аудита в правилах. Доступны команды очистки и экспорта журнала.
Мы рассмотрели работу всех механизмов, которые используются в Secret Net Studio. Таким образом, данное средство защиты информации обеспечивает комплексную защиту рабочих станций и серверов от несанкционированного доступа.

Следующие статьи цикла будут посвящены обзору защитных механизмов Secret Net LSP. В них мы рассмотрим и более детально разберем подсистемы, входящие в состав продукта.