ESR-series Documentation 1.20.0
Дерево страниц

Сравнение версий

Старая версия 11

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 12

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Шаг

Описание

Команда

Ключи

1

Создать политику безопасности IPS/IDS.

esr(config)# security ips policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

2

Задать описание политики (не обязательно).

esr(config-ips-policy)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

3

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

4

Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно).

esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.

5

Перейти в режим конфигурирования IPS/IDS.

esr(config)# security ips


6

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

7

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max

По умолчанию для IPS/IDS отдается половина доступных ядер процессора.

8

Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP.

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.

9Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
10Заблокировать передачу трафика при начальной загрузке , до запуска сервиса IPS/IDS и загрузки хотябы хотя бы одного настроенного или существующего правила (не обязательно).esr(config-ips)# fail-close enable

11Установить размер виртуальных очередей  (не обязательно).esr(config-ips)# queue-limit <QUEUE-LIMIT>

<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096]

Размер очереди по умолчанию 1024

12Активировать сервис IPS.esr(config-ips)# enable

13

Активировать IPS/IDS на интерфейсе.

esr(config-if-gi)# service-ips { inline | monitor }

inline – этот режим устанавливается, когда ESR с сервисом IPS/IDS ставится в разрыв сети.

monitor – этот режим устанавливается, когда ESR с сервисом IPS/IDS мониторит зеркалируемый трафик.

...

Шаг

Описание

Команда

Ключи

1Задать имя внешнего хранилища скачиваемых правил (не обязательно).

esr(config-ips)# storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.

Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.

2

Перейти в режим конфигурирования автообновлений.

esr(config-ips)# auto-upgrade


3

Задать имя и перейти в режим конфигурирования пользовательского сервера обновлений.

esr(config-ips-auto-upgrade)# user-server <WORD>

<WORD> – имя сервера, задаётся строкой до 32 символов.

4

Задать описание пользовательского сервера обновлений (не обязательно).

esr(config-ips-upgrade-user-server)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

5

Задать URL.

esr(config-ips-upgrade-user-server)# url <URL>

<URL> – текстовое поле, содержащее URL-ссылку длинной от 8 до 255 символов.

В качестве URL-ссылки может быть указан:

  • файл правил с расширение .rule;
  • файл классификатора правил с именем classification.config;
  • каталог на сервере содержащий файлы правил и/или файл классификатора правил.

6

Задать частоту проверки обновлений (не обязательно).

esr(config-ips-upgrade-user-server)# upgrade interval <HOURS>

<HOURS> – интервал обновлений в часах, от 1 до 240.

Значение по умолчанию: 24 часа.

7Активизировать пользовательский сервер обновлений.esr(config-ips-upgrade-user-server)# enable

...

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

  • ESR-1X – 25 МБ;
  • ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил

...

ШагОписаниеКомандаКлючи

1

Перейти в конфигурирование контент- провайдера.

esr (config)# content-provider

2

Задать IP-адрес edm-сервера.

esr (config-content-provider)# host address <A.B.C.D | WORD | X:X:X:X::X>

<IP-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

WORD(1-31) – DNS-имя сервера.

3

Задать порт для подключения к edm-серверу.

esr (config-content-provider)# host port <PORT> 

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

4

Задать тип и раздел внешнего устройства для создания крипто-хранилища.

esr (config-content-provider)# storage-path <DEVICE>

<DEVICE> – лейбл и имя раздела на внешнем носителе информации в формате usb://Partion_name:/

mmc://Partion_name:/.

На внешнем носителе должна быть создана файловая система в формате exFAT.

5

Установить время перезагрузки устройства после получения сертификата.

esr (config-content-provider)# reboot immediately | [time <HH:MM:SS> | <WEEK_DAY>]

Перезагрузить устройство после получения сертификата.

time <HH:MM:SS> – время, в которое ESR перезагрузится <Часы:минуты:секунды>.

<WEEK_DAY> - день недели, принимает значения: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.

6

Включить контент провайдер.

enable

7

Установить интервал обращения к edm-серверу в часах.

esr (config-content-provider)# upgrade interval <1-240>

8

Установить описание (не обязательно).

esr (config-content-provider)# description < LINE >

LINE (1-255) String describing server

9Задать текстовое имя устройства, которое передаётся на сервер EDM-Issue (не обязательно).esr (config-content-provider)# system-name < WORD ><WORD> – имя, задаётся строкой до 255 символов.
10Задать текстовое описание, которое передаётся на сервер EDM-Issue (не обязательно).esr (config-content-provider)# location < WORD ><WORD> – описание, задаётся строкой до 255 символов.

11

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr (config)# object-group network <WORD>esr (config-object-group-network)# ip prefix <ADDR/LEN>

<WORD> – имя сервера, задаётся строкой до 32 символов.

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

10

На интерфейсе включить service-ips.

esr (config)# interface gigabitethernet 1/0/Xesr (config-if-gi)# service-ips enable

11

Создать политику безопасности IPS/IDS.

esr (config)# security ips policy WORD(1-31)

WORD(1-31)

12

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

13

Войти в раздел конфигурирования вендора.

esr (config-ips-policy)# vendor kaspersky

14

Подключить необходимую категорию.

esr (config-ips-vendor)# category WORD(1-64)

категории Категории, доступные по текущей подписке, можно посмотреть в контекстной подсказке или командой:

show security ips content-provider rules-info

15

Задать тип правил.

esr (config-ips-vendor-category)# rules action <ACTION>

<ACTION> - drop | reject | alert | pass – действия, которые будут применяться к пакетам.

  • alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;

  • reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Сервис IPS/IDS генерирует сообщение;

  • pass – прохождение трафика разрешается;

  • drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

16

Задать количество скачиваемых правил.

esr (config-ips-vendor-category)# rules { all | count <COUNT> | percent <PERCENT> | recomended }
  • all – данной командой указывается, что система IPS/IDS будет работать с полным набором правил данной категории;
  • count <COUNT> – данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS:
    • <COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
  • percent <PERCENT> – данной командой указывается процентное соотношение от общего числа правил данной категории, с которым будет работать система IPS/IDS:

    • <PERCENT> – процент от общего числа правил.

  • recomended – данной командой указывается, что система IPS/IDS будет использовать рекомендованное количество правил в данной категории. Рекомендованное количество составляет 42% от общего числа правил.

Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:

show security ips content-provider rules-info

17

Включить категорию.

enable

18

Перейти в режим конфигурирования IPS/IDS.

esr (config)# security ips

19

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

20

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max


21

Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP.

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.

22Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.

23

Активировать IPS/IDS.

esr(config- ips )# enable


...