История страницы

...

esr(config-ips-category-rule)# ip tcp window-size 50

ip tls content-filter

Данной командой назначается профиль категорий контентной фильтрации. Текущее правило будет срабатывать для https-сайтов, которые относятся к категориям заданным в этом профиле.

Сам профиль контентной фильтрации должен быть предварительно создан.

Данная команда применима только для значения protocol tls.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip tls content-filter <NAME>

[no] ip tls content-filter

Параметры

<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.

any – правило будет срабатывать для http-сайтов любой категории.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip tls content-filter Black-List

ip ttl

Данной командой устанавливается значение времени жизни IP-пакета, трафик которого будет обрабатываться в данном правиле.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip ttl <TTL>

[no] ip ttl

Параметры

<TTL> – время жизни IP-пакета, принимает значения [1..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip ttl 8

...

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

ip ttl comparison-operator { greater-than | less-than }

[no] ip ttl comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip ttl 5
esr(config-ips-category-rule)# ip ttl comparison-operator less-than

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }

[no] meta classification-type

Параметры

• not-suspicious – неподозрительный трафик;
• unknown – неизвестный трафик;
• bad-unknown – потенциально плохой трафик;
• attempted-recon – попытка утечки информации;
• successful-recon-limited – утечка информации;
• successful-recon-largescale – масштабная утечка информации;
• attempted-dos – попытка отказа в обслуживании;
• successful-dos – отказ в обслуживании;
• attempted-user – попытка получения привилегий пользователя;
• unsuccessful-user – безуспешная попытка получения привилегий пользователя;
• successful-user – успешная попытка получения привилегий пользователя;
• attempted-admin – попытка получения привилегий администратора;
• successful-admin – успешная попытка получения привилегий администратора;
• rpc-portmap-decode – декодирование запроса RPC;
• shellcode-detect – обнаружен исполняемый код;
• string-detect – обнаружена подозрительная строка;
• suspicious-filename-detect – было обнаружено подозрительное имя файла;
• suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
• system-call-detect – обнаружен системный вызов;
• tcp-connection – обнаружено TCP-соединение;
• trojan-activity – был обнаружен сетевой троян;
• unusual-client-port-connection – клиент использовал необычный порт;
• network-scan – обнаружение сетевого сканирования;
• denial-of-service – обнаружение атаки отказа в обслуживании;
• non-standard-protocol – обнаружение нестандартного протокола или события;
• protocol-command-decode – обнаружена попытка шифрования;
• web-application-activity – доступ к потенциально уязвимому веб-приложению;
• web-application-attack – атака на веб-приложение;
• misc-activity – прочая активность;
• misc-attack – прочие атаки;
• icmp-event – общее событие ICMP;
• inappropriate-content – обнаружено неприемлемое содержание;
• policy-violation – потенциальное нарушение корпоративной конфиденциальности;
• default-login-attempt – попытка входа с помощью стандартного логина/пароля.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# meta classification-type misc-attack

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

meta log-message <MESSAGE>

[no] mera log-message

Параметры

<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack"

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload content <CONTENT>

[no] payload content <CONTENT>

Параметры

<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "virus"

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload data-size <SIZE>

[no] payload data-size

Параметры

<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload data-size 1024

...

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

payload data-size comparison-operator { greater-than | less-than }

[no] payload data-size comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload data-size 1024
esr(config-ips-category-rule)# payload data-size comparison-operator less-than

...

Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.

Синтаксис

payload depth <DEPTH>

[no] payload content depth

Параметры

<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "abc"
esr(config-ips-category-rule)# payload depth 3

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload no-case

[no] payload content no-case

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "virus"
esr(config-ips-category-rule)# payload no-case

...

Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.

Синтаксис

payload offset <OFFSET>

[no] payload content offset

Параметры

<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "abc"
esr(config-ips-category-rule)# payload depth 6
esr(config-ips-category-rule)# payload offset 3

...

Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

protocol { any | ip | icmp | http | tcp | tls | udp }

[no] protocol

Параметры

• any – правило будет срабатывать для любых протоколов;
• ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
• icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
• http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
• tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
• tls – правило сработает для протокола https. В правиле можно настроить дополнительную фильтрацию командами ip tls;
• udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
• ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
• ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# protocol udp

...

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис

[no] rule <ORDER>

Параметры

<ORDER> – номер правила, принимает значения [1..512].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY

Пример

esr(config-ips-category)# rule 10
esr(config-ips-category-rule)#

...

Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.

Синтаксис

[no] security ips-category user-defined <CATEGORY_NAME>

Параметры

<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security ips-category user-defined PROTOCOL
esr(config-ips-category)#

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }

no source-address

Параметры

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

source-port { any | <PORT> | object-group <OBJ-GR-NAME> }

no source-port

Параметры

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535];

...

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# source-port 22

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold count <COUNT>

[no] threshold count 

Параметры

<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold count 1024

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold second <SECOND>

[no] threshold second

Параметры

<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold second 1

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold track { by_src | by_dst }

[no] threshold track

Параметры

• by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
• by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold track by-src

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold type { treshhold | limit | both }

[no] threshold type

Параметры

• threshold – выдавать сообщение каждый раз по достижении порога;
• limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
• both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold count 1024
esr(config-ips-category-rule)# threshold second 1
esr(config-ips-category-rule)# threshold track by-src
esr(config-ips-category-rule)# threshold type treshold

...

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис

[no] rule-advanced <ORDER>

Параметры

<ORDER> – номер правила, принимает значения [1..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE-ADVANCED

Пример

esr(config-ips-category)# rule-advanced 10
esr(config-ips-category-rule-advanced)#

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

rule-text <LINE>

[no] rule-text

Параметры

<LINE> – текстовое сообщение в формате SNORT 2.X/Suricata 4.X, задаётся строкой до 1024 символов.

При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE-ADVANCED

Пример

esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> $HOME_NET any (msg: "ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet"; flow: established, to_server; content:"_auth"; depth: 20; fast_pattern; content: !"|02 00 00 00|"; within: 4; content: "_ctrl"; content: "_ser"; content: "_tim"; content: "_exp"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )'

...