Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Показывает прошедший трафик через IPS/IDS и действия, которые применялись к трафику, а также число срабатываний правил IPS/IDS.

Настройка

...

ELM (Eltex Licence Manager) —  это система, выполняющая функцию распространения лицензий на конечные продукты компании «Элтекс».

Алгоритм базовой настройки

...

1

...

Перейти в конфигурирование менеджера лицензирования.

...

2

...

Задать IP-адрес elm-сервера.

...

<IP-ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

WORD(1-31) – DNS-имя сервера.

...

3

...

Задать порт для подключения к elm-серверу.

...

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

...

Включить менеджер лицензирования.

...

Установить описание (не обязательно).

...

LINE (1-255) String describing server

...

Scroll Pagebreak
Пример настройки

Задать параметры licence-manager — это адрес сервера ELTEX. Между сервером licence-manager и маршрутизатором должна быть сетевая доступность.

Блок кода
licence-manager
  host address elm.eltex-co.ru
  host port 8098
  enable
exit

Для проверки работоспособности ELM используются команда проверки наличия лицензии и команда проверки информации о менеджере лицензирования:

show licence:

Блок кода
esr# show licence
Feature                            Source     State         Value                              Valid from             Expiries               
--------------------------------   --------   -----------   --------------------------------   --------------------   --------------------   
ESR-SECURITY-WF-KASPERSKY          ELM        Active        true                               --                     --                     
IPS                                ELM        Active        true                               --                     -- 

show licence-manager status:

Блок кода
esr# show licence-manager status
ELM server type:                root
Last request status:            success
Last request to licence server: 2024-08-12 04:01:00
Next request to licence server: 2024-08-12 04:57:07              

Существует команда, которая позволяет принудительно отправить запрос на сервер ELM для получения актуальной информации о лицензии, не дожидаясь таймеров:

update licence-manager licence:

Блок кода
esr# show licence
No features found!
esr# update licence-manager licence
2024-08-12T04:01:00+00:00 %LICENCE-W-EVENT: Licence recieved from Eltex Licence Manager server
esr# show licence
Feature                            Source     State         Value                              Valid from             Expiries               
--------------------------------   --------   -----------   --------------------------------   --------------------   --------------------   
ESR-SECURITY-WF-KASPERSKY          ELM        Active        true                               --                     --                     
IPS                                ELM        Active        true                               --                     -- 

Настройка сервиса контентной фильтрации

...

Работа сервиса контентной фильтрации основана на системе предотвращения вторжений (IPS) и настраивается как пользовательские правила IPS.

Алгоритм базовой настройки

Шаг

Описание

Команда

Ключи

1Определить IP-адрес DNS-сервера, используемого для разрешения DNS-имен.

esr(config)# domain name-server <IP>

<IP> – IP-адрес используемого DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
2Включить разрешение DNS-имен на устройстве.

esr(config)# domain lookup enable


3

Создать политику безопасности IPS/IDS.

esr(config)# security ips policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

4

Задать описание политики (не обязательно).

esr(config-ips-policy)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

5

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr (config)# object-group network <WORD>

esr (config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ]

<WORD> – имя сервера, задаётся строкой до 32 символов.

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

<ID> – номер юнита, принимает значения [1..2].

6

Задать профиль IP-адресов, которые будет защищать IPS/IDS.

esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.

7

Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно).

esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>

<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.

8Создать профиль категорий контентной фильтрации.

esr(config)# object-group content-filter <NAME>

<NAME> – имя профиля контентной фильтрации, задается строкой до 31 символа.

9

Задать описание профиля категорий контентной фильтрации (не обязательно).

esr(config-object-group-content-filter)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

10Задать поставщика категорий контентной фильтрации.

esr(config-object-group-content-filter)# vendor <CONTENT-FILTER-VENDOR>

<CONTENT-FILTER-VENDOR> – название поставщика категорий контентной фильтрации. В текущей версии ПО в качестве поставщика категорий контентной фильтрации может выступать только Лаборатория Касперского.
11Задать необходимые категории контентной фильтрации.

esr(config-object-group-cf-kaspersky)# category <CATEGORY>

<CATEGORY> – имя категории. Описание доступных категорий приведено в справочнике команд.

12

Перейти в режим конфигурирования IPS/IDS.

esr(config)# security ips


13

Назначить политику безопасности IPS/IDS.

esr(config-ips)# policy <NAME>

<NAME> – имя политики безопасности, задаётся строкой до 32 символов.

14

Использовать все ресурсы ESR для IPS/IDS (не обязательно).

esr(config-ips)# perfomance max

По умолчанию для IPS/IDS отдается половина доступных ядер процессора.

15

Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).

esr(config-ips)# logging remote-server  { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:

  • TCP – передача данных осуществляется по протоколу TCP;
  • UDP – передача данных осуществляется по протоколу UDP;

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.

16Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно).esr(config-ips)# logging update-interval  <INTERVAL><INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
17Настроить параметры кэширования сервиса контентной фильтрацииesr(config-ips)# content-filter
18

Установить количество хранящихся в кэше записей

esr(config-ips-content-filter)# uri cache-size <NUMBER><NUMBER> – количество записей, хранящихся в кэше, принимает значения [1..32768].
19Установить среднее время, в течение которого запись URI будет действительной в кэшеesr(config-ips-content-filter)# uri reachable-interval <DAYS><DAYS> – количество дней, в течение которых запись будет действительной, принимает значения [1..365].
20

Активировать IPS/IDS.

esr(config-ips )# enable


21

Активировать IPS/IDS на интерфейсе.

esr(config-if-gi)# service-ips enable


22

Задать имя и перейти в режим конфигурирования набора пользовательских правил.

esr(config)# security ips-category user-defined <WORD>

<WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов.

23

Задать описание набора пользовательских правил (не обязательно).

esr(config-ips-category)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

24

Создать правило и перейти в режим конфигурирования правила.

esr(config-ips-category)# rule <ORDER>

<ORDER> – номер правила, принимает значения [1..512].

25

Задать описание правила (не обязательно).

esr(config-ips-category-rule)# description <DESCRIPTION>

<DESCRIPTION> – описание задаётся строкой до 255 символов.

26

Указать действие данного правила.

esr(config-ips-category-rule)# action { alert | reject | pass | drop }

  • alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
  • reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Сервис IPS/IDS генерирует сообщение;
  • pass – прохождение трафика разрешается;
  • drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
27

Установить в качестве IP-протокола протокол HTTP.

esr(config-ips-category-rule)# protocol { http | tls }

  • http – анализируется HTTP трафик.
  • tls – анализируется трафик, защищенный TLS-шифрованием.
28

Установить IP-адреса отправителя, для которых должно срабатывать правило.

esr(config-ips-category-rule)# source-address
{ip <ADDR> | ip-prefix <ADDR/LEN> |  object-group <OBJ_GR_NAME> | policy-object-group  { protect | external } | any }

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ADDR/LEN> – IP-подсеть отправителя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].

<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.

  • protect – устанавливает в качестве адресов отправителя protect-адреса, определенные в политике IPS/IDS;
  • external – устанавливает в качестве адресов отправителя external-адреса. определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

29

Установить номера TCP-портов отправителя, для которых должно срабатывать правило.


esr(config-ips-category-rule)# source-port {any | <PORT> | object-group <OBJ-GR-NAME> }

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

30

Установить IP-адреса получателя, для которых должно срабатывать правило.

esr(config-ips-category-rule)# destination-address
{ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> |
policy-object-group { protect | external } | any }

<<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<ADDR/LEN> – IP-подсеть получателя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].

< OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса получателя, задаётся строкой до 31 символа.

  • protect – устанавливает в качестве адресов получателя protect-адреса, определенные в политике IPS/IDS;
  • external – устанавливает в качестве адресов получателя external-адреса, определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.


Установить номера TCP-портов получателя, для которых должно срабатывать правило.

Обычно для протокола http используется значение TCP-порт 80.

В случаях когда когда используются web-сервера на нестандартных портах надо пописывать эти порты тоже.

esr(config-ips-category-rule)# destination-port  {any | <PORT> | object-group <OBJ-GR-NAME> }

<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.


Установить направление потока трафика, для которого должно срабатывать правило.

esr(config-ips-category-rule)# direction { one-way | round-trip }

  • one-way – трафик передаётся в одну сторону.
  • round-trip – трафик передаётся в обе стороны.

Определить сообщение которое IPS/IDS будет записывать в лог, при срабатывании этого правила.

esr(config-ips-category-rule)# meta log-message <MESSAGE>

<MESSAGE> –  текстовое сообщение, задаётся строкой до 129 символов.


Назначить профиль категорий контентной фильтрации.

esr(config-ips-category-rule)# ip { http | tls } content-filter <NAME>

  • http – анализируется HTTP трафик.
  • tls – анализируется трафик, защищенный TLS-шифрованием.

<NAME> – имя профиля контентной фильтрации задаётся строкой до 31 символа.

any – правило будет срабатывать для HTTP/HTTPS-сайтов любой категории.


Активировать правило.

esr(config-ips-category-rule)# enable


...

Примечание

При использовании сервиса «Антиспам» для защиты почтового сервера произвести ряд дополнительных настроек, не связанных непосредственно с конфигурацией маршрутизатора ESR.

1) Изменить MX-запись для используемого домена таким образом, чтобы она ссылалась не на защищаемый почтовый сервер, а на IP-адрес ESR с настроенным сервисом «Антиспам».

2) Настроить на почтовом сервере использование SMTP Proxy, где в качестве Proxy выступит ESR с настроенным сервисом «Антиспам».

Scroll Pagebreak
Алгоритм базовой настройки

ШагОписаниеКомандаКлючи
1Настроить сетевое имя маршрутизатора.esr(config)# hostname <NAME><NAME> – до 64 символов.
2Назначить имя домена для маршрутизатора.esr(config)# domain name <NAME><NAME> – до 255 символов.
3Назначить IP-адрес DNS-сервера, используемого для разрешения DNS-имен.esr(config)# domain name-server <IP><IP> – в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения от 0 до 255.
4Включить разрешение имен DNS.esr(config)# domain lookup enable
5Создать профиль сервиса «Антиспам».esr(config)# security antispam profile <NAME><NAME> – до 31 символа.
6Задать описание профиля сервиса «Антиспам» (не обязательно).esr(config-antispam-profile)# description <DESCRIPTION><DESCRIPTION> – до 255 символов.
7Задать тип маркировки электронных писем, которые сервис «Антиспам» отнес к категории «Спам».esr(config-antispam-profile)# mark-type <MARK-TYPE>

<MARK-TYPE> – тип маркировки писем, отнесенных к категории «Спам». Возможные значения:

  • header – добавить X-Spam заголовок к заголовкам электронного письма;
  • subject – добавить тег [SPAM] перед темой электронного письма.
8Создать профиль почтовых доменов и адресов почтовых ящиков (не обязательно).esr(config)# object-group email <NAME><NAME> – до 31 символа.
9Задать описание профиля почтовых доменов и адресов почтовых ящиков (не обязательно).esr(config-object-group-email)# description <DESCRIPTION><DESCRIPTION> – до 255 символов.
10Внести в профиль почтовый домен или адрес почтового ящика (необязательно).esr(config-object-group-email)# email <NAME><NAME> – до 63 символов.
11Создать правило в профиле сервиса «Антиспам» (не обязательно).esr(config-antispam-profile)# rule <ORDER><ORDER> – номер правила, принимает значения от 1 до 100.
12Задать описание правила профиля сервиса «Антиспам» (не обязательно).esr(config-antispam-profile)# description <DESCRIPTION><DESCRIPTION> – до 255 символов.
13Установить профиль IP-адресов отправителя, для которых должно срабатывать правило (не обязательно).esr(config-antispam-profile-rule)# sender ip <NAME><NAME> – до 31 символа.
14Установить профиль почтовых доменов и адресов почтовых ящиков, для которых должно срабатывать правило (не обязательно).esr(config-antispam-profile-rule)# sender email <NAME><NAME> – до 31 символа.
15Указать действие для правила.esr(config-antispam-profile-rule)# action <ACTION>

<ACTION> – назначаемое действие. Принимает значение reject – дальнейшая доставка письма запрещена, отправителю письма высылается ответ об ошибке.

16Включить правило в профиле сервиса «Антиспам» (не обязательно).esr(config-antispam-profile-rule)# enable
17Создать почтовый домен.esr(config)# mailserver domain <DOMAIN-NAME><DOMAIN-NAME> – до 31 символа.
18Задать описание почтового домена (не обязательно).esr(config-mailserver-domain)# description <DESCRIPTION><DESCRIPTION> – до 255 символов.
19Задать имя обслуживаемого домена электронной почты.esr(config-mailserver-domain)# mail domain <NAME><NAME> – до 63 символов.
20Задать IP-адрес почтового сервера, для которого сервис «Антиспам» на ESR выступает в качестве SMTP Proxy.esr(config-mailserver-domain)# mail server ip <ADDR><ADDR> – в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения от 0 до 255.
21Задать профиль сервиса «Антиспам», настройки которого будут применены к текущему почтовому домену.esr(config-mailserver-domain)# profile antispam <NAME><NAME> – до 63 символов.
22Включить почтовый домен.esr(config-mailserver-domain)# enable
23Перейти в конфигурирование почтового сервера.esr(config)# mailserver
24Задать имя почтового домена.esr(config-mailserver)# domain <NAME><NAME> – до 63 символов.
25Указать сертификаты и ключи для работы протокола TLS (не обязательно).esr(config-mailserver)# tls keyfile <TYPE> <NAME>

<TYPE> – тип файла сертификата или ключа. Возможные значения:

  • ca – сертификат удостоверяющего центра;
  • private-key – приватный ключ сервера;
  • cert – публичный сертификат сервера;
  • dh – ключ Диффи-Хеллмана.

<NAME> – имя файла сертификата, задаётся строкой до 31 символа. 

26Включить поддержку TLS на почтовом сервере (необязательно). При включении TLS обязательно наличие в конфигурации прописанного сертификата удостоверяющего центра, приватного ключа сервера и публичного сертификата сервера.esr(config-mailserver)# tls enable
27Задать максимальный размер заголовков письма в КБ (не обязательно).esr(config-mailserver)# headers max-size <SIZE><SIZE> – максимальный размер заголовков письма в КБ, принимает значения от 50 до 200.
28Задать максимальный размер письма в КБ (не обязательно).esr(config-mailserver)# mail max-size <SIZE><SIZE> – максимальный размер письма в КБ, принимает значения от 5120 до 51200.
29Включить обязательное требование SMTP-команды HELO или EHLO при установлении SMTP-сессии (не обязательно).esr(config-mailserver)# smtp helo-required
30Разрешить SMTP команду VRFY на почтовом сервере во время SMTP-сессии (не обязательно).esr(config-mailserver)# smtp vrfy-enable
31Включить почтовый сервер.esr(config-mailserver)# enable

Scroll Pagebreak
Пример настройки

Задача:

Настроить на ESR сервис «Антиспам» для работы в качестве SMTP Proxy для анализа электронной почты, адресованной почтовому серверу, расположенному в сети предприятия и обслуживающему домен eltex-co.ru.

...