Статья 7. Особенности управления, механизмы защиты и установка продукта

Приветствуем вас в заключительной статье о Secret Net LSP!

В этом материале мы поговорим об установке продукта на рабочие станции пользователей, настройке механизмов защиты, особенностях локального и удаленного управления и взаимодействии с Secret Net Studio.

Для настройки и эксплуатации защитных подсистем SN LSP применяются специализированные CLI-утилиты, с помощью которых выполняются основные операции в режиме командной строки. Данные утилиты расположены в двух каталогах: /opt/secretnet/bin и /opt/secretnet/sbin.

Перечень утилит с их кратким описанием представлен в таблице ниже:

Для контроля и управления правами доступа пользователей и групп к объектам файловой системы (файлам и каталогам) в SN LSP используется механизм разграничения доступа и защиты ресурсов. При установке Secret Net LSP на рабочую станцию права доступа UNIX для всех объектов файловой системы изначально устанавливаются в соответствии с правами, определенными в ОС.

При этом созданные администратором списки POSIX ACL имеют приоритет над UNIX-правами доступа, т. е. при принятии решения подсистемой разграничения доступа о разрешении или запрещении доступа субъекта к объекту при однозначном определении прав доступа POSIX ACL (для данной пары субъект—объект) UNIX-права игнорируются.

В случае возникновения конфликтов прав доступа для пар субъект1—объект и субъект2—объект приоритет имеет запрещающее правило.

Для управления правами доступа в SN LSP используется CLI-утилита, в которую входят:

• DAC (chmod, chown, chgrp, chfn);
• ACL (setfacl, getfacl).

Они расположены в /opt/secretnet/bin/.

С помощью утилиты можно:

• получать информацию о правах доступа объектов файловой системы посредством чтения ACL из xattrs файловой системы;
• изменять правила разграничения доступа (метки в xattrs файловой системы);
• совместно с подсистемой аудита выполнять регистрацию действий по изменению правил разграничения доступа.

Для разграничения и контроля прав доступа к устройствам предназначена утилита sndevctl, расположенная в каталоге /opt/secretnet/bin.

С её помощью можно:

• просматривать список подключенных шин и устройств;
• просматривать и устанавливать правила для шин и устройств;
• добавлять и удалять устройства или модели;
• импортировать устройства и модели из csv-файла;
• устанавливать параметры для шин и устройств;
• проверять и утверждать аппаратную конфигурацию

Примеры использования утилиты:

• #sudo /opt/secretnet/bin/ sndevctl -l для просмотра списка шин и устройств;
• #sudo /opt/secretnet/bin/ sndevctl -r для просмотра правил для шин и устройств

Предоставление доступа к устройствам осуществляется на основе матрицы доступа, описывающей права доступа пользователей и групп к зарегистрированным в системе устройствам. Данная матрица формируется администратором с помощью правил.

ВСЕ правила разграничения доступа к устройствам для групп, пользователей или группы устанавливаются с помощью параметров user, group и default соответственно и могут принимать значения:

• none: нет доступа;
• read: только чтение;
• write: чтение и запись;
• delete: удаление всех установленных прав на устройства

Например, с помощью следующей команды для устройства 1 установятся права доступа для пользователя user1 — запись, для группы test — чтение, для группы ВСЕ (т. е. для всех остальных) — нет доступа:
#sudo /opt/secretnet/bin/sndevctl --set --dev-id=1 --user=user1:write --group=test:read --default=none
Если пользователь входит в несколько групп, для каждой из таких групп вычисляются эффективные права доступа к устройству: производится логическое умножение прав доступа к устройству для групп, членом которых является пользователь. При этом запрещающие права имеют приоритет над разрешающими.
Правила контроля подключения определяют контроль за состоянием подключения устройств.

Они устанавливаются с помощью назначения параметру dc следующих состояний:

• not-control — подключение не контролируется;
• enabled — подключение разрешено;
• disabled — подключение запрещено;
• fixed — устройство подключено постоянно;
• lock — блокировать станцию при изменении состояния устройства.

Например, команда ниже позволяет запретить подключение к USB-шине. С помощью флага set выбирается шина «bus-id», через «=» указывается её идентификатор «usb» и при помощи параметра «dc» устанавливается запрет «disabled» на подключение:
#sudo /opt/secretnet/bin/sndevctl -set -bus-id=usb -dc=disabled
Состояние «fixed» позволяет контролировать подключение устройства к компьютеру в момент запуска и на протяжении сеанса работы, осуществляя контроль аппаратной конфигурации. При отключении такого устройства: в журнале будет зафиксировано событие Alert, в сеансе пользователя появится окно тревоги, система будет ожидать от администратора утверждения изменений конфигурации, в СБ SNS (при наличии) отправится сообщение о событии НСД.
Состояние «lock» включает режим автоматического блокирования компьютера при изменении состояния устройств. Возможность разблокировки есть только у администратора.

Наследование правил разграничения доступа и контроля подключений устанавливается с помощью параметров inh-acl и inh-dc соответственно и может принимать значения:

• enabled — наследовать правила от родительского объекта;
• disabled — наследование отключено;
• enabled-child — включить наследование для всех дочерних объектов и устройств.

Например, для отключения наследования правил контроля подключений для сканеров и цифровых фотоаппаратов необходимо выполнить команду:
#sudo /opt/secretnet/bin/sndevctl -set -class-id=usb_image -inh-dc=disabled
Права доступа к устройству и режимы контроля подключения могут наследоваться от шины, класса, модели устройства. Порядок наследования: шина, класс, модель, экземпляр.

Для включения регистрации событий, связанных с доступом к устройствам, используется команда:
#sudo /opt/secretnet/bin/snpolctl -p devices -c devices_control, verbose, 1 — 1 — для регистрации неуспешных попыток доступа, 2 — для регистрации всех попыток доступа.

После выполнения администратором настроек в подсистеме пользователи смогут подключать только те устройства и выполнять только те операции, которые определены для всей системы в правах доступа.

Для выполнения процедур, связанных с контролем целостности объектов файловой системы предназначена утилита snaidectl, расположенная в каталоге /opt/secretnet/bin.

С её помощью можно:

• вручную запускать проверку целостности защищаемых ресурсов;
• проводить переинициализацию базы данных контроля целостности (КЦ);
• просматривать текущие объекты КЦ;
• восстанавливать объекты КЦ из эталонных значений;
• включать, отключать, настраивать контроль целостности для файлов;
• просматривать и настраивать расписание КЦ;
• включать КЦ для файлов в реальном времени.

При настройке контроля целостности для файлов имеется возможность с помощью флагов выбрать один из доступных шаблонов настроек КЦ или задать опции вручную.

Присутствуют следующие шаблоны:

• NORMAL: обнаруживать и протоколировать любый изменения файла;
• NORMALBACK: обнаруживать, протоколировать и отменять любые изменения файла (восстанавливать файл из резервной копии);
• NORMALLOCK: если файл изменен, запротоколировать событие и заблокировать систему;
• NORMALBACKLOCK: восстановить измененный файл и заблокировать систему

Опции полноты, т. е. свойства объекта, которые можно поставить на контроль:

• контрольная сумма (c);
• размер (s);
• владелец (пользователь и группа) (o);
• права доступа (p);
• время модификации (m)

Опции действий, т. е. действия, предпринимаемые при нарушении КЦ доступные для выбора:

• восстановить объект (b);
• заблокировать станцию (l)

Ниже приведены примеры команд, позволяющие включить для файлов КЦ:
#sudo /opt/secretnet/bin/snaidectl -s ‘/путь/к/файлу1’=NORMAL: ‘/путь/к/файлу2’=NORMAL – включить КЦ для файла1 и файла 2 с флагом NORMAL (обнаруживать и протоколировать любые изменения файла)
#sudo /opt/secretnet/bin/snaidectl -s ‘/путь/к/файлу1’=[csopmbl] – включить КЦ для файла1 с восстановлением изменений файла и блокировкой системы при его изменении

Другие примеры команд по управлению механизмом КЦ:
#sudo /opt/secretnet/bin/snaidectl -c – выполнить проверку целостности файлов
#sudo /opt/secretnet/bin/snaidectl -v – отобразить расписание КЦ
#sudo /opt/secretnet/bin/snaidectl -a '* */4 * * *’ – добавить в расписание проверку КЦ каждые 4 часа (время задается в формате crontab, т. е. ‘минуты * часы * день месяца * месяц в году * день недели’)
Так же в SN LSP возможен выбор алгоритма расчета контрольных сумм для объектов КЦ (MD5, GOST R 34.11-2012, SHA-512), который осуществляется через утилиту управления snpolctl.

Механизм замкнутой программной среды (ЗПС) в SN LSP позволяет ограничить запуск программ на рабочих станциях пользователей. Разрешение запуска программ осуществляется путем создания разрешающих правил, формирования белых списков и исключений. В отношении ресурсов в правилах ЗПС осуществляется контроль целостности.

Формирование правил может производиться как вручную, так и с помощью «мягкого» режима ЗПС, в ходе которого собираются и записываются в журнал данные о запускаемых пользователем программах, файлах, библиотеках и сценариях (скриптах). Впоследствии, на основе собранной в журналах информации, могут быть сформированы правила. Настройка регистрации событий ЗПС осуществляется через утилиту snpolctl.
Для настройки самого механизма замкнутой программной среды используется утилита snaecctl, расположенная в каталоге /opt/secretnet/bin.

По умолчанию в SN LSP механизм замкнутой программной среды выключен, для его включения используется команда:
#sudo /opt/secretnet/bin/snpolctl -p aec -c aec,state,1
В рамках утилиты snaecctl используются следующие команды: view, add, rm, update, reload, enable, disable, rename, export, confirm, log.


С помощью данных команд осуществляется управление замкнутой программной средой, а именно:

• просмотр, создание, редактирование и удаление правил ЗПС, белых списков и исключений;
• включение и отключение правил;
• подтверждение включения жесткого режима ЗПС;
• экспорт ресурсов в файл

С помощью команды «view» осуществляется просмотр правил, исключений ресурсов, белого списка пользователей и групп.

Примеры использования:
#sudo /opt/secretnet/bin/snaecctl view для просмотра списка всех правил
#sudo /opt/secretnet/bin/snaecctl view –name=NAME для просмотра правила с именем NAME
#sudo /opt/secretnet/bin/snaecctl view –u test_user для просмотра списка правил для пользователя test_user
С помощью команды «add» добавляются новые правила, пользователи, группы, ресурсы в правила, пользователи и группы в белый список, ресурсы в список исключений.

Примеры использования:
#sudo /opt/secretnet/bin/snaecctl add -u test_user добавление пользователя test_user в белый список
#sudo /opt/secretnet/bin/snaecctl add –n test_rule -D добавление нового правила с именем test_rule в выключенном режиме
#sudo /opt/secretnet/bin/snaecctl add –n test_rule -r /usr/sbin/ -R добавление ресурсов в правило test_rule рекурсивно из /usr/sbin/
С помощью команды «rm» производится удаление правил, пользователей, и групп, ресурсов из правил, пользователей и групп из белого списка, ресурсов из списка исключений.

Примеры использования:
#sudo /opt/secretnet/bin/snaecctl rm –n test_rule удаление правила с именем test_rule
#sudo /opt/secretnet/bin/snaecctl rm –n test_rule -u test_user удаление пользователя test_user из правила test_rule
#sudo /opt/secretnet/bin/snaecctl rm –A удалить все пользовательские правила
С помощью команды «update» производится замена пользователей, групп, ресурсов в правиле и изменение режима правила. При этом ресурсы, добавленные в правило ранее, удаляются.

Пример использования:
#sudo /opt/secretnet/bin/snaecctl update –n test_rule -r /usr/bin/ -R обновление списка ресурсов в правиле test_rule на /usr/bin/ рекурсивно
С помощью команды «reload» производится перерасчет контрольных сумм для ресурсов.

Примеры использования:
#sudo /opt/secretnet/bin/snaecctl reload перерасчёт контрольных сумм всех ресурсов и загрузка правил в ядро
#sudo /opt/secretnet/bin/snaecctl reload -n test_rule перерасчёт контрольных сумм ресурсов в правиле test_rule
С помощью команд «enable», «disable» и «rename» осуществляется включение, выключение и переименование правил.

Примеры использования:
#sudo /opt/secretnet/bin/snaecctl disable -n test_rule выключение правила test_rule
#sudo /opt/secretnet/bin/snaecctl rename -n test_rule -N renamed_test_rule переименование правила test_rule в renamed_test_rule
С помощью команды «export» осуществляется экспорт ресурсов из правил в JSON-файл.

Пример использования:
#sudo /opt/secretnet/bin/snaecctl export -n test_rule -f resource_file экспорт ресурсов правила test_rule в файл resource_file
С помощью команды «confirm» осуществляется подтверждение включения жёсткого режима ЗПС (без подтверждения после следующей перезагрузки будет включен мягкий режим ЗПС).
С помощью команды «log» в SN LSP существует возможность создавать новые правила или добавлять ресурсы в существующие на основе анализа журналов аудита. События журнала могут фильтроваться по имени пользователя, группе, исполняемому файлу и времени.

Пример использования:
#sudo /opt/secretnet/bin/snaecctl log -u test_user -n test_rule добавление в правило test_rule всех ресурсов, запущенных пользователем test_user
#sudo /opt/secretnet/bin/snaecctl log -u test_user -n test_rule -I 27-10-2023 -F 27-10-2023T23:59:59\ добавление в правило test_rule ресурсов, запущенных пользователем test_user 27 октября 2023 года

По умолчанию в SN LSP механизм персонального межсетевого экрана выключен, для его включения используется команда:
#sudo /opt/secretnet/bin/snpolctl -p firewall -c firewall,state,1
Для выполнения настройки ПМЭ используется утилита fw-localcfg. Данная утилита используется для добавления, удаления, обновления, отображения, экспорта и импорта правил SN LSP Firewall. В рамках утилиты используются команды: add, delete, modify, show, export и import.

При создании правил существуют обязательные параметры:

• action: действие, которое должно быть выполнено над пакетом (pass – пропустить, drop – отбросить, allow – пропустить на следующий уровень);
• protocol: имя протокола (tcp, udp, icmp, ip, http, ftp, tls, smb, dns, dcerpc, ssh, smtp, imap, modbus, dnp3, enip, nfs, ikev2, krb5, ntp, dhcp, rfb, snmp, tftp, sip, egp, hmp, xns-idp, rvd, http2, rdp, any);
• msg: сообщение, которое описывает правило

Так же могут быть использованы дополнительные параметры, они представлены в таблице ниже:

Журнал событий в Secret Net LSP включает в себя системный журнал и журнал аудита. В системном журнале содержатся сведения обо всех событиях, зарегистрированных подсистемами, входящими в состав СЗИ (например, блокировка компьютера, событие входа пользователя в систему, нарушения КЦ).

В журнале аудита содержатся сведения, необходимые администратору для контроля действий субъектов (пользователей и процессов) и действий с защищаемыми объектами (например, открытие сетевого соединения, запрет запуска программы, срабатывание правил ПМЭ). Для работы с журналами в Secret Net LSP используется утилита snjrnl, расположенная в каталоге /opt/secretnet/bin.

С помощью данной утилиты можно:

• просматривать записи системного журнала и журнала аудита;
• удалять записи из базы данных журналов;
• экспортировать и импортировать записи журналов в файл;
• сортировать события

Фильтрация просматриваемых записей журнала возможна по дате и времени, по приоритету, пользователю, группе аудита, приложению, объекту, результату (ошибка, успешно), по содержанию определенного текста.

Опции при использовании команды представлены в таблице ниже:

На этом мы завершаем нашу серию статей о Secret Net LSP. Мы наглядно изучили основные возможности данного продукта и узнали, как выглядит процесс его настройки.

В ближайшем будущем ожидается изменение названия продукта с SN LSP на Secret Net Studio для Linux. Также продукт ждёт добавление ряда новых функций:

• обновление подсистемы контроля устройств
• добавление сигнатурного антивируса, функционала HIPS и СОВ
• добавление системы управления на базе Linux
• а так же возвращение графического интерфейса для управления механизмами безопасности

Все эти нововведения, без сомнения, сделают Secret Net LSP ещё более удобным и функциональным.

Авторы статьи: Николай Быстров, Влада Нестеренко
Системные инженеры TS Solution