Настройки сессионного модуля UH

Сессионный модуль предназначен для управления параметрами отслеживания сетевых соединений и проверки контрольных сумм сетевых пакетов.

При открытии раздела UH отображается пустая рабочая область. Справа расположена панель для задания параметров и создания первой конфигурации.

Область настройки параметров:

  • Название: Имя конфигурации UH.
  • Описание: Поле для описания.
  • Проверка суммы: Включение проверки контрольных сумм для выбранных протоколов: TCP, UDP, ICMP, ICMPv6.

  • Отслеживание соединений: Здесь задаются параметры сессионного отслеживания по различным протоколам (TCP, UDP, SCTP, ICMP, ICMPv6). Активный протокол выделяется зеленым цветом, неактивные — серым.

    • New – ожидание установления нового неподтверждённого соединения (по умолчанию 10 секунд).
    • Confirmed – время жизни подтверждённого соединения (по умолчанию 1800 секунд).
    • Time-wait – ожидание полного закрытия соединения (по умолчанию 20 секунд).
    • Catch-up – синхронизация состояний соединений при старте модуля.
    • Active-close – принудительное закрытие соединений при завершении работы модуля или наступлении заданных условий.
    • Валидация IP-фрагментации - проверка корректности фрагментированных IP-пакетов.

TLS и DTLS

Разделы TLS и DTLS предназначены для детальной настройки параметров анализа и обработки защищённого трафика (соответственно для потокового и датаграммного типов соединений). Эти разделы позволяют контролировать и идентифицировать сетевые соединения по признакам TLS- и DTLS-рукопожатий.

  • TLS - Используется для контроля защищённых потоковых соединений поверх TCP (например, веб-трафик).

  • DTLS - Используется для контроля защищённых датаграммных соединений поверх UDP (например, VoIP, видеоконференции и другие сервисы, чувствительные к задержкам).

  • Client Hello — анализируются параметры ClientHello, исходящие от клиента.
  • Server Hello — анализируются параметры ServerHello, исходящие от сервера.

Для активации анализа необходимо включить соответствующий переключатель.

  • JA3
    Фильтрация по JA3-хэшу. JA3-хэш — это отпечаток TLS-соединения, формируемый на основе параметров, согласуемых при его установлении.

  • JA4
    Фильтрация по JA4-хэшу. JA4-хэш — это расширенный отпечаток TLS-соединения, формируемый на основе параметров, согласуемых при его установлении, с учётом дополнительных характеристик протокольного обмена.

  • SNI (Server Name Indication)
    Фильтрация по имени хоста. Имя хоста объявляется клиентом при установлении TLS-соединения и используется для выбора целевого сервиса.

  • ALPN (Application-Layer Protocol Negotiation)
    Фильтрация по значениям расширения ALPN. ALPN используется при установлении TLS-соединения для согласования протокола HTTP (например, http/1.1, h2, h3).

  • Cipher List
    Фильтрация по наборам шифров. Наборы шифров объявляются в сообщении ClientHello, а выбранный набор подтверждается в сообщении ServerHello при установлении TLS-соединения.

  • Поле поиска (значок 🔍 в правом верхнем углу): Позволяет осуществлять быстрый поиск по списку указанных элементов.

  • Переключатели режима фильтрации:

    • Сбрасывать указанные — режим, при котором соединения, соответствующие элементам списка, будут блокироваться или отбрасываться.
    • Все кроме указанных — режим, при котором соединения, не соответствующие элементам списка, будут блокироваться или отбрасываться.

  • Список элементов: Представляет собой перечень заданных значений (например, идентификаторы, хэши, имена доменов и т.д.), используемых для фильтрации.

Оффендеры

Оффендеры предназначены для маркировки и временного отслеживания сетевых объектов (сессий, хостов, потоков), распознанных как нарушители или аномальные участники TLS/DTLS-трафика. Маркировка используется для последующей фильтрации, ограничения или анализа таких соединений.

Верхняя часть интерфейса содержит переключатель между двумя типами защищённых протоколов: TLS и DTLS.

  • Тип:

    • CONNMARK — Метка для соединений
    • DHMARK — Метка для IP-получателя
    • HMARK — Метка для IP-отправителя
    • SDHMARK — Метка для IP отправителя и получателя

  • ID
    Целочисленный идентификатор группы или правила, к которому привязывается маркер. По умолчанию: 1.

  • Value
    Значение метки, присваиваемое нарушителю. По умолчанию: 1.

  • Время жизни
    Время жизни метки после назначения. По истечении этого времени метка автоматически удаляется. Значение по умолчанию: 3600 сек (1 час).

Пример работы оффендеров

Сценарий: выявление вредоносных клиентов по признакам TLS/DTLS и их блокировка на уровне сетевого трафика.

1. Обнаружение подозрительного клиента

Модуль TLS зафиксировал соединение с аномальными признаками, указывающими на потенциально нежелательный или вредоносный трафик.

2. Назначение метки

В настройках Оффендеры задаются параметры метки, которые определяют, как именно будет помечен подозрительный IP-адрес:

Тип: HMARK
ID: 1
Value: 100
Время жизни: 3600

Это означает, что IP-отправителя будет отмечен меткой 100 на один час.

3. Блокировка по метке

Далее следует настроить правило блокировки для автоматической фильтрации нежелательного трафика. Для этого необходимо:

Перейти в нужный профиль → Правила → Создать новое правило

  • Совпадение: hmark

    • ID: 1

    • Status: valid

    • Value: 100

  • Действие: DROP

Нажать зелёную кнопку Добавить, а затем жёлтую кнопку Применить.

Переместите правило в начало списка, чтобы оно применялось в первую очередь. Таким образом, после первого подозрительного соединения все последующие попытки с этого IP будут блокироваться ещё до обработки TLS/DTLS.

Сетевые дампы

Для профиля сессионного модуля доступна функция сохранения и загрузки сетевых дампов. В верхней панели необходимо нажать Сетевые дампы.

Откроется область управления дампами:

В блоке Сетевые дампы отображаются активные настройки:

  • path — директория хранения дампов;
  • filename — шаблон имени файла;
  • age — время жизни файла (сек);
  • count — максимальное число файлов в ротации;
  • size — максимальный размер файла.

Скачать дамп

Для того чтобы скачать дамп, необходимо нажать на название файла в списке. Загрузка начнётся автоматически. Файл сохраняется в формате .pcap.

При скачивании автоматически создаётся снэпшот дампа. Найти и повторно скачать его можно в разделе Снэпшоты.

Срок хранения снэпшотов — 1 год.

Интерфейс настроенного сессионного модуля

После настройки конфигураций в разделе отображается рабочая область с активными сессионными профилями.

В центральной части экрана показан список настроенных UH-профилей. Ниже отображается статистика по TLS-отпечаткам JA3/JA4 за выбранный период, включая количество событий и время последнего срабатывания.

В правой части экрана расположена аналитическая панель с детализацией по источникам трафика и динамикой событий. Панель позволяет быстро определить наиболее активные IP-адреса, частоту запросов и характер нагрузки, связанной с конкретными TLS-отпечатками.