ESR-series Documentation 1.20.0
Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 4

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Значение по умолчанию

IPS/IDS-сервис не активирован.

Необходимый уровень привилегий

...

Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.

Синтаксис
show security ips user-server [<WORD>]
Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

...

update security ips user-server rules <WORD>
Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

...

no category { <CATEGORY> | all }
Параметры

<CATEGORY> – категория правил. 

...

no external network-group
Параметры

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

...

protect network-group <OBJ-GROUP-NETWORK-NAME>
no protect network-group
Параметры

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

...

  • all – данной командой указывается, что система IPS/IDS будет работать с полным набором правил данной категории;
  • count <COUNT> – данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS;:
    • <COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
  • percent <PERCENT> – данной командой указывается процентное соотношение от общего числа правил данной категории, с которым будет работать система IPS/IDS;:

    • <PERCENT> – процент от общего числа правил.

  • recomended – данной командой указывается, что система IPS/IDS будет использовать рекомендованное количество правил в данной категории. Рекомендованное количество составляет 42% от общего числа правил.

...

[no] security ips policy <POLICY_NAME>
Параметры

<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.

...

vendor <VENDOR>
no vendor <CATEGORY>
Параметры

<VENDOR> – вендор правил

...

logging ips severity <SEVERITY>
no logging ips severity
Параметры

<SEVERITY> – уровень важности сообщения, принимает значения (в порядке убывания важности):

...

logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]
no logging remote-server
Параметры

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

no logging update-interval
Параметры

<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.

...

policy <POLICY_NAME>
no policy
Параметры

<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.

...

service-ips { inline | monitor }
[no] service-ips

Параметры

inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;

...

host address { <ADDR> | <IPV6-ADDR> | <HOSTNAME> }
Параметры

<ADDR> – IP-адрес сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

host port <PORT> 
no host port
Параметры

<PORT> – номер TCP-порта, принимает значения [1..65535].

...

location <WORD>
no location
Параметры

<WORD> – описание, задаётся строкой до 255 символов.

...

reboot { immediately | time <TIME> }
Параметры

immediately – перезагружаться сразу после получения лицензии;

...

Для использования с системой IPS/IDS  IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.

...

storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }
no storage-device
Параметры

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

...

Примечание

Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue.

...

system-name <WORD>
no system-name
Параметры

<WORD> – имя, задаётся строкой до 255 символов.

...

upgrade interval <HOURS>
no upgrade interval
Параметры

<HOURS> – интервал обновлений в часах, от 1 до 240.

...

Для использования с системой IPS/IDS  IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.

...

storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }
no storage-device
Параметры

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc;.

Необходимый уровень привилегий config-ips-upgrade-user-server

...

upgrade interval <HOURS>
no upgrade interval
Параметры

<HOURS> – интервал обновлений в часах, от 1 до 240.

...

Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.

Синтаксис
url <URL>
no url
Параметры

<URL> – текстовое поле, содержащее URL-ссылку длинной длиной от 8 до 255 символов.

В качестве URL-ссылки может быть указан:

  • файл правил с расширение .rule,
  • файл классификатора правил с именем classification.config,
  • каталог на сервере, содержащий файлы правил и/или файл классификатора правил.

...

Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила, полученные с этого сервера.

...

no user-server { <WORD> | all }
Параметры

<WORD> имя сервера, задается строкой от 1 до 64 символа.

...

destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no destination-address
Параметры

<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

destination-address policy-object-group protect устанавливает в качестве адресов назначения protect-адреса, определенные в политике IPS/IDS;

destination-address policy-object-group external устанавливает в качестве адресов назначения external-адреса, определенные в политике IPS/IDS;

...

destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no destination-port
Параметры

<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535];

<OBJ_GR_NAME> – имя профиля TCP/UDP-портов получателя, задаётся строкой до 31 символа.

...

direction { one-way | round-trip }
no direction
Параметры
  • one-way – трафик передаётся в одну сторону;
  • round-trip – трафик передаётся в обе стороны.

...

ip dscp <DSCP>
[no] ip dscp
Параметры

<DSCP> – значение кода DSCP, принимает значения [0..63].

...

ip ftp command <COMMAND>
[no] ip ftp command
Параметры

<COMMAND> – может принимать следующие значения:

...

ip ftp-data command <COMMAND>
[no] ip ftp-data command
Параметры

<COMMAND> – может принимать следующие значения:

...

ip http <COMMAND>
[no] ip http
Параметры

<COMMAND> – может принимать следующие значения:

...

[no] ip http content-filter
Параметры

<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.

...

ip http method <COMMAND>
[no] ip http method
Параметры

<COMMAND> – может принимать следующие значения:

...

ip icmp code <CODE>
[no] ip icmp code
Параметры

<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].

...

[no] ip icmp code comparison-operator
Параметры
  • greater-than – больше чем;
  • less-than – меньше чем.

...

ip icmp id <ID>
[no] ip icmp id
Параметры

<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].

...

ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
Параметры

<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].

...

ip icmp type <TYPE>
[no] ip icmp type
Параметры

<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].

...

[no] ip icmp type comparison-operator
Параметры
  • greater-than – больше чем;
  • less-than – меньше чем.

...

ip protocol-id <ID>
[no] ip protocol-id
Параметры

<ID> – идентификационный номер IP-протокола [1..255].

...

[no] ip tcp acknowledgment-number
Параметры

<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].

...

ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
Параметры

<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].

...

ip tcp window-size <SIZE>
[no] ip tcp window-size
Параметры

<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].

...

Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры

<TTL> – время жизни IP-пакета, принимает значения [1..255].

...

[no] ip ttl comparison-operator
Параметры
  • greater-than – больше чем;
  • less-than – меньше чем.

...

[no] meta classification-type
Параметры
  • not-suspicious – не подозрительный еподозрительный трафик;
  • unknown – неизвестный трафик;
  • bad-unknown – потенциально плохой трафик;
  • attempted-recon – попытка утечки информации;
  • successful-recon-limited – утечка информации;
  • successful-recon-largescale – масштабная утечка информации;
  • attempted-dos – попытка отказа в обслуживании;
  • successful-dos – отказ в обслуживании;
  • attempted-user – попытка получения привилегий пользователя;
  • unsuccessful-user – безуспешная попытка получения привилегий пользователя;
  • successful-user – успешная попытка получения привилегий пользователя;
  • attempted-admin – попытка получения привилегий администратора;
  • successful-admin – успешная попытка получения привилегий администратора;
  • rpc-portmap-decode – декодирование запроса RPC;
  • shellcode-detect – обнаружен исполняемый код;
  • string-detect – обнаружена подозрительная строка;
  • suspicious-filename-detect – было обнаружено подозрительное имя файла;
  • suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
  • system-call-detect – обнаружен системный вызов;
  • tcp-connection – обнаружено TCP-соединение;
  • trojan-activity – был обнаружен сетевой троян;
  • unusual-client-port-connection – клиент использовал необычный порт;
  • network-scan – обнаружение сетевого сканирования;
  • denial-of-service – обнаружение атаки отказа в обслуживании;
  • non-standard-protocol – обнаружение нестандартного протокола или события;
  • protocol-command-decode – обнаружена попытка шифрования;
  • web-application-activity – доступ к потенциально уязвимому веб-приложению;
  • web-application-attack – атака на веб-приложение;
  • misc-activity – прочая активность;
  • misc-attack – прочие атаки;
  • icmp-event – общее событие ICMP;
  • inappropriate-content – обнаружено неприемлемое содержание;
  • policy-violation – потенциальное нарушение корпоративной конфиденциальности;
  • default-login-attempt – попытка входа с помощью стандартного логина/пароля.

...

meta log-message <MESSAGE>
[no] mera log-message
Параметры

<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.

...

[no] payload content <CONTENT>
Параметры

<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.

...

payload data-size <SIZE>
[no] payload data-size
Параметры

<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

...

[no] payload data-size comparison-operator
Параметры
  • greater-than – больше чем;
  • less-than – меньше чем.

...

payload depth

Данная команда указывает, сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.

...

[no] payload content depth
Параметры

<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].

...

[no] payload content offset
Параметры

<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].

...

protocol { any | ip | icmp | http | tcp | udp }
[no] protocol
Параметры
  • any – правило будет срабатывать для любых протоколов;
  • ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
  • icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
  • http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
  • tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
  • udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
  • ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
  • ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data;.
Необходимый уровень привилегий

...

Синтаксис
[no] rule <ORDER>
Параметры

<ORDER> – номер правила, принимает значения [1..512].

...

[no] security ips-category user-defined <CATEGORY_NAME>
Параметры

<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.

Примечание

В текущей версии использование символа «_» (нижнее подчёркивание) в  в <CATEGORY_NAME>  NAME> недопустимо.

Необходимый уровень привилегий

...

source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no source-address
Параметры

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

destination-address policy-object-group protect устанавливает в качестве адресов отправителя , protect-адреса, определенные в политике IPS/IDS.

destination-address policy-object-group external устанавливает в качестве адресов отправителя , external-адреса, определенные в политике IPS/IDS.

...

source-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no source-port
Параметры

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP-портов отправителя, задаётся строкой до 31 символа.

...

threshold count <COUNT>
[no] threshold count
Параметры

<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

...

threshold second <SECOND>
[no] threshold second
Параметры

<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].

...

threshold track { by_src | by_dst }
[no] threshold track
Параметры
  • by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
  • by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.

...

threshold type { treshhold | limit | both }
[no] threshold type
Параметры
  • threshold – выдавать сообщение каждый раз по достижении порога;
  • limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
  • both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.

...

[no] rule-advanced <ORDER>
Параметры

<ORDER> – номер правила, принимает значения [1..4294967295].

...

rule-text <LINE>
[no] rule-text
Параметры

<LINE> – текстовое сообщение в формате SNORT 2.X/Suricata 4.X, задаётся строкой до 1024 символов.

...