...
Шаг | Описание | Команда | Ключи | |
---|---|---|---|---|
1 | Перейти в конфигурирование контент- провайдера. | esr (config)# content-provider | ||
2 | Задать IP-адрес edm-сервера. | esr (config-content-provider)# host address <A.B.C.D | WORD | X:X:X:X::X> | <IP-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. WORD(1-31) – DNS-имя сервера. | |
3 | Задать порт для подключения к edm-серверу. | esr (config-content-provider)# host port <PORT> | <PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. | |
4 | Задать тип и раздел внешнего устройства для создания крипто-хранилища. | esr (config-content-provider)# storage-path <DEVICE> | <DEVICE> – лейбл и имя раздела на внешнем носителе информации в формате usb://Partion_name:/ mmc://Partion_name:/. На внешнем носителе должна быть создана файловая система в формате exFAT. | |
5 | Установить время перезагрузки устройства после получения сертификата. | esr (config-content-provider)# reboot immediately | [time <HH:MM:SS> | <WEEK_DAY>] | Перезагрузить устройство после получения сертификата. time <HH:MM:SS> – время, в которое ESR перезагрузится <Часы:минуты:секунды>. <WEEK_DAY> - день недели, принимает значения: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday. | |
6 | Включить контент провайдер. | enable | ||
7 | Установить интервал обращения к edm-серверу в часах. | esr (config-content-provider)# upgrade interval <1-240> | ||
8 | Установить описание (не обязательно). | esr (config-content-provider)# description < LINE > | LINE (1-255) String describing server | |
9 | Задать текстовое имя устройства, которое передаётся на сервер EDM-Issue (не обязательно). | esr (config-content-provider)# system-name < WORD > | <WORD> – имя, задаётся строкой до 255 символов. | |
10 | Задать текстовое описание, которое передаётся на сервер EDM-Issue (не обязательно). | esr (config-content-provider)# location < WORD > | <WORD> – описание, задаётся строкой до 255 символов. | |
11 | Создать списки IP-адресов, которые будут использоваться при фильтрации. | esr (config)# object-group network <WORD>esr (config-object-group-network)# ip prefix <ADDR/LEN> | <WORD> – имя сервера, задаётся строкой до 32 символов. <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. | |
10 | На интерфейсе включить service-ips. | esr (config)# interface gigabitethernet 1/0/Xesr (config-if-gi)# service-ips enable | ||
11 | Создать политику безопасности IPS/IDS. | esr (config)# security ips policy WORD(1-31) | WORD(1-31) | |
12 | Задать профиль IP-адресов, которые будет защищать IPS/IDS. | esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов. | |
13 | Войти в раздел конфигурирования вендора. | esr (config-ips-policy)# vendor kaspersky | ||
14 | Подключить необходимую категорию. | esr (config-ips-vendor)# category WORD(1-64) | Phishing URL Data Feed – потоки данных Phishing URL Malicious URL Data Feed – потоки данных Malicious URL Botnet C&C URL Data Feed – потоки данных Botnet C&C URL Malicious Hash Data Feed – потоки данных Malicious Hashes Mobile Malicious Hash Data Feed – потоки данных мобильных Malicious Hashes IP Reputation Data Feed – потоки данных IP-адресов Mobile Botnet Data Feed – потоки данных о мобильных Botnet Ransomware URL Data Feed – поток данных Ransomware URL Botnet C&C URL Exact Data Feed – поток данных Botnet C&C URL Exact Phishing URL Exact Data Feed – поток данных Phishing URL Exact Malicious URL Exact Data Feed – поток данных Malicious URL Exact Iot URL Data Feed – поток данных IoT URL | категории доступные по текущей подписке можно посмотреть в контекстной подсказке или командой: show security ips content-provider rules-info |
15 | Задать тип правил. | esr (config-ips-vendor-category)# rules action <ACTION> | <ACTION> - drop | reject | alert | pass – действия, которые будут применяться к пакетам.
| |
16 | Задать количество скачиваемых правил. | esr (config-ips-vendor-category)# rulesrules { all | count <COUNT> | percent <PERCENT> | recomended }count <number> |
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой: show security ips content-provider rules-info | |
17 | Включить категорию. | enable | ||
18 | Перейти в режим конфигурирования IPS/IDS. | esr (config)# security ips | ||
19 | Назначить политику безопасности IPS/IDS. | esr(config-ips)# policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов. | |
20 | Использовать все ресурсы ESR для IPS/IDS (не обязательно). | esr(config-ips)# perfomance max | ||
21 | Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ] | <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты. | |
22 | Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging update-interval <INTERVAL> | <INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах. | |
23 | Активировать IPS/IDS. | esr(config- ips )# enable |
...
Блок кода |
---|
security ips policy policy0 protect network-group objectgroup0 vendor kaspersky category MaliciousURLsDF rules action alert rules all enable exit category MobileBotnetCAndCDF rules action alert rules countrecomended 1000 enable exit category BotnetCAndCURLsDF rules action alert rules countpercent 100050 enable exit category IPReputationDF rules action alert rules recomended enable exit category IoTURLsDF rules action alert rules percent 15 enable exit category MaliciousHashDF rules action alert rules count 1 enable exit category MobileMaliciousHashDF rules action alert rules count 1 enable exit category PSMSTrojanDF rules action alert rules count 1 enable exit category PhishingURLsDF rules action alert rules count 1000 enable exit category RansomwareURLsDF rules action alert rules count 1000 enable exit exit exit |
...