История страницы

...

Шаг	Описание	Команда	Ключи
1	Перейти в режим конфигурирования автообновлений.	esr(config-ips)# auto-upgrade
2	Задать имя и перейти в режим конфигурирования пользовательского сервера обновлений.	esr(config-ips-auto-upgrade)# user-server <WORD>	<WORD> – имя сервера, задаётся строкой до 32 символов.
3	Задать описание пользовательского сервера обновлений (не обязательно).	esr(config-ips-upgrade-user-server)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
4	Задать URL.	esr(config-ips-upgrade-user-server)# url <URL>	<URL> – текстовое поле, содержащее URL-ссылку длинной от 8 до 255 символов. В качестве URL-ссылки может быть указан: файл правил с расширение .rule; файл классификатора правил с именем classification.config; каталог на сервере содержащий файлы правил и/или файл классификатора правил.
5	Задать частоту проверки обновлений (не обязательно).	esr(config-ips-upgrade-user-server)# upgrade interval <HOURS>	<HOURS> – интервал обновлений в часах, от 1 до 240. Значение по умолчанию: 24 часа.
6	Активизировать пользовательский сервер обновлений	esr(config-ips-upgrade-user-server)# enable

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

ESR-1X – 25 МБ;
ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил.

...

https://sslbl.abuse.ch/	SSL Blacklist содержит списки «плохих» SSL-сертификатов, т.е. сертификатов, в отношении которых установлен факт их использования вредоносным ПО и ботнетами. В списках содержатся SHA1 отпечатки публичных ключей из SSL-сертификатов.
https://feodotracker.abuse.ch/	Feodo Tracker – список управляющих серверов для троянской программы Feodo. Feodo (также известный как Cridex или Bugat) используется злоумышленниками для кражи чувствительной информации в сфере электронного банкинга (данные по кредитным картам, логины/пароли) с компьютеров пользователей. В настоящее время существует четыре версии троянской программы (версии A, B, C и D), главным образом отличающиеся инфраструктурой управляющих серверов.
https://rules.emergingthreats.net/open/suricata-4.0/rules/botcc.rules	Данные правила описывают известные ботнеты и управляющие сервера. Источники: Shadowserver.org, Zeus Tracker, Palevo Tracker, Feodo Tracker, Ransomware Tracker.
https://rules.emergingthreats.net/open/suricata-4.0/rules/ciarmy.rules	Данные правила описывают вредоносные хосты по классификации проекта www.cinsarmy.com.
https://rules.emergingthreats.net/open/suricata-4.0/rules-4.0/compromised.rules	Данные правила описывают известные скомпрометированные и вредоносные хосты. Источники: Daniel Gerzo’s BruteForceBlocker, The OpenBL, Emerging Threats Sandnet, SidReporter Projects.
https://rules.emergingthreats.net/open/suricata-4.0/rules/drop.rules	Данные правила описывают спамерские хосты/сети по классификации проекта www.spamhaus.org.
https://rules.emergingthreats.net/open/suricata-4.0/rules/dshield.rules	Данные правила описывают вредоносные хосты по классификации проекта www.dshield.org.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-activex.rules	Данные правила содержат сигнатуры использования ActiveX-контента.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-attack_response.rules	Правила, детектирующие поведение хоста после успешно проведенных атак.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-chat.rules	Данные правила описывают признаки обращения к популярным чатам.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-current_events.rules	Временные правила, ожидающие возможного включения в постоянные списки правил.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dns.rules	Данные правила содержат сигнатуры уязвимостей в протоколе DNS, признаки использования DNS вредоносным ПО, некорректного использования протокола DNS.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-dos.rules	Данные правила содержат сигнатуры DOS-атак.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-exploit.rules	Данные правила содержат сигнатуры эксплойтов.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-ftp.rules	Данные правила содержат сигнатуры уязвимостей в протоколе FTP, признаки некорректного использования протокола FTP.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-games.rules	Данные правила описывают признаки обращения к популярным игровым сайтам: World of Warcraft, Starcraft и т.п.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp.rules	Данные правила содержат сигнатуры некорректного использования протокола ICMP.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-icmp_info.rules	Данные правила содержат сигнатуры информационных ICMP-сообщений.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-imap.rules	Данные правила содержат сигнатуры уязвимостей в протоколе IMAP, признаки некорректного использования протокола IMAP.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-inappropriate.rules	Данные правила описывают признаки обращения к нежелательным ресурсам.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-info.rules	Данные правила содержат сигнатуры различных уязвимостей.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-malware.rules	Данные правила содержат сигнатуры вредоносного ПО, использующего в своей работе протокол HTTP.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-misc.rules	Данные правила содержат сигнатуры различных уязвимостей.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-mobile_malware.rules	Данные правила содержат сигнатуры вредоносного ПО для мобильных платформ.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-netbios.rules	Данные правила содержат сигнатуры уязвимостей в протоколе NetBIOS, признаки некорректного использования протокола NetBIOS.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-p2p.rules	Данные правила описывают признаки обращения к P2P-сетям (Bittorrent, Gnutella, Limewire).
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-policy.rules	Данные правила описывают нежелательную сетевую активность (обращение к MySpace, Ebay).
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-poprules	Данные правила содержат сигнатуры уязвимостей в протоколе POP3, признаки некорректного использования протокола POP3.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-rpc.rules	Данные правила содержат сигнатуры уязвимостей в протоколе RPC, признаки некорректного использования протокола RPC.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scada.rules	Данные правила содержат сигнатуры уязвимостей для SCADA-систем.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-scan.rules	Данные правила описывают признаки активности, связанной с сетевым сканированием (Nessus, Nikto, portscanning).
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-shellcode.rules	Данные правила описывают признаки активности, связанной с попытками получить шелл-доступ в результате выполнения эксплойтов.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-smtp.rules	Данные правила содержат сигнатуры уязвимостей в протоколе SMTP, признаки некорректного использования протокола SMTP.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-sql.rules	Данные правила содержат сигнатуры уязвимостей для СУБД SQL.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-telnet.rules	Данные правила содержат сигнатуры уязвимостей для протокола TELNET, признаки некорректного использования протокола TELNET.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-tftp.rules	Данные правила содержат сигнатуры уязвимостей в протоколе TFTP, признаки некорректного использования протокола TFTP.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-trojan.rules	Данные правила содержат признаки сетевой активности троянских программ.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-user_agents.rules	Данные правила содержат признаки подозрительных и потенциально опасных HTTP-клиентов (идентифицируются по значениям в HTTP-заголовке User-Agent).
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-l.rules	Данные правила содержат сигнатуры уязвимостей в VoIP-протокола.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_client.rules	Данные правила содержат сигнатуры уязвимостей для веб-клиентов.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_server.rules	Данные правила содержат сигнатуры уязвимостей для веб-серверов.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-web_specific_apps.rules	Данные правила содержат сигнатуры эксплуатации уязвимостей веб-приложений.
https://rules.emergingthreats.net/open/suricata-4.0/rules/emerging-worm.rules	Данные правила описывают признаки активности сетевых червей.

...

Блок кода

esr(config-ips)# auto-upgrade
esr(config-auto-upgrade)# user-server ET-Open
esr(config-ips-upgrade-user-server)# description "emerging threats open rules"
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server Aggressive
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"
esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server SSL-BlackList
esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslblacklist.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server C2-Botnet
esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2 IP Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklist.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit

Алгоритм настройки базовых пользовательских правил

...

Блок кода

esr(config-ips-category-rule)# threshold count 23040
esr(config-ips-category-rule)# threshold second 60
esr(config-ips-category-rule)# threshold track by-dst
esr(config-ips-category-rule)# threshold type both

Активизируем правило:

Блок кода
esr(config-ips-category-rule)# enable

Алгоритм настройки расширенных пользовательских правил

...

Блок кода

esr(config-ips-category)# rule-advanced 1
esr(config-ips-category-rule-advanced)# description "Slow Loris rule 1"
esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> any 80 (msg:"Possible Slowloris Attack Detected"; flow:to_server,established; content:"X-a|3a|"; distance:0; pcre:"/\d\d\d\d/"; distance:0; content:"|0d 0a|"; sid:10000001;)'
esr(config-ips-category-rule-advanced)# enable
esr(config-ips-category-rule-advanced)# exit

Создадим ещё одно расширенное правило, работающее по схожему алгоритму, чтобы определить, какое из правил будет эффективнее:

Блок кода

esr(config-ips-category)# rule-advanced 2
esr(config-ips-category-rule-advanced)# description "Slow Loris rule 2"
esr(config-ips-category-rule-advanced)# rule-text 'alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SlowLoris.py DoS attempt"; flow:established,to_server,no_stream; content:"X-a:"; dsize:<15; detection_filter:track by_dst, count 3, seconds 30; classtype:denial-of-service; sid: 10000002; rev:1; )'
esr(config-ips-category-rule-advanced)#

Якорь
#EDM
#EDM
Настройка взаимодействия с Eltex Distribution Manager

...

Дерево страниц

Сравнение версий

Старая версия 5

Новая версия 6

Ключ

Алгоритм настройки базовых пользовательских правил

Алгоритм настройки расширенных пользовательских правил

Якорь
#EDM
#EDM
Настройка взаимодействия с Eltex Distribution Manager

Дерево страниц

История страницы

Сравнение версий

Старая версия 5

Новая версия 6

Ключ

Алгоритм настройки базовых пользовательских правил

Алгоритм настройки расширенных пользовательских правил

Якорь#EDM#EDMНастройка взаимодействия с Eltex Distribution Manager

Якорь
#EDM
#EDM
Настройка взаимодействия с Eltex Distribution Manager