...
| Оглавление | ||
|---|---|---|
|
Общие команды IPS/IDS
clear content-filter cache
Данной командой выполняется очистка кэшированных ответов от Kaspersky-lab.
Синтаксис
clear content-filter cache [ url <URL> ]Параметры
<URL> – URL, который необходимо удалить из кэша, задаётся строкой от 4 до 255 символов.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# clear content-filter cache url eltex-co.ru |
clear security ips counters
Данной командой выполняется сброс счетчиков работы правил сервиса IPS/IDS.
Синтаксис
clear security ips counters
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# clear security ips counters esr# 15: 2023-09-11T12:21:00.000+07:00 %IPS-I-INFO: Counters have been cleared completely ! |
...
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPS-CATEGORY
CONFIG-IPS-CATEGORY-RULE
...
CONFIG-IPS-UPGRADE-USER-SERVER
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist" |
...
Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
...
IPS/IDS-сервис не активирован.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
CONFIG-IPS-CATEGORY-RULE
...
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
| Блок кода |
|---|
esr(config-ips)# enable |
...
Данной командой выполняется просмотр записей контентной фильтрации, расположенных в кэше.
Синтаксис
show content-filter cache [url <URL> | vendor <NAME>]
Параметры
url <URL> – просмотр записей, отфильтрованных по URL. <URL> – текстовое поле, содержащее URL-ссылку длиной от 4 до 255 символов.
...
Kaspersky-Lab – в текущей версии ПО в качестве поставщика категорий контентной фильтрации может выступать только Лаборатория Касперского.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show content-filter cache
URI Vendor Categories Time to live
(d,h:m:s)
-------------------------------- ---------------- -------------------------- ------------
rutube.ru kaspersky-lab downloadable-content, 06,23:28:32
hobbies-recreation,
media-content
ya.ru kaspersky-lab it-services, searchers 06,23:29:04
vtb.ru kaspersky-lab finance, human-life, 06,23:46:01
online-banks, payments,
transactions
sber.ru kaspersky-lab online-banks, payments 06,23:54:49
youtube.com kaspersky-lab downloadable-content, 06,23:54:57
media-content |
...
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS, распространяемых по коммерческой лицензии.
Синтаксис
show security ips content-provider
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips content-provider Server: content-provider Last MD5 of received files: 93633ab9a73248ea50d58c25b1ac806c Next update: 2020-10-06 12:27:40 |
...
Данной командой выполняется просмотр информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии. При отсутствии действующей лицензии список будет пуст.
Синтаксис
show security ips content-provider rules-info
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips content-provider rules-info
Vendor : kaspersky
Category : IoTURLsDF
Count of rules : 8000
Description : Kasperksy Lab IoTURLsDF feed
IoTURLsDF URL feed - a set of URLs with context covering malware that infects IoT (Internet of Things) devices
Category : MaliciousHashDF
Count of rules : 1
Description : Kasperksy Lab MaliciousHashDF feed
Malicious Hash feed - a set of hashes of malicious objects
Category : PhishingURLsDF
Count of rules : 11167
Description : Kasperksy Lab PhishingURLsDF feed
Phishing URL feed - a set of URLs with context that cover phishing websites and web pages |
...
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters ---------------------------------------------- IPS general counters ---------------------------------------------- Packets decoded by ips engine: 83971 Invalid packets decoded by ips engine: 0 Packets accepted by ips engine: 83977 Packets blocked by ips engine: 0 Packets replaced by ips engine: 0 Alerts generated: 8 ---------------------------------------------- IPS Decoder engine ---------------------------------------------- Packets decoded by ips engine: 83971 Bytes decoded by ips engine: 125677543 Invalid packets decoded by ips engine: 0 IPv4 packets decoded by ips engine: 83971 IPv6 packets decoded by ips engine: 0 TCP packets decoded by ips engine: 75 UDP packets decoded by ips engine: 83891 SCTP packets decoded by ips engine: 0 ICMPv4 packets decoded by ips engine: 5 ICMPv6 packets decoded by ips engine: 0 PPP packets decoded by ips engine: 0 PPPoE packets decoded by ips engine: 0 GRE packets decoded by ips engine: 0 Teredo packets decoded by ips engine: 0 Average packets size decoded by ips engine: 1496 Maximum packets size decoded by ips engine: 1500 ---------------------------------------------- IPS Application Layer ---------------------------------------------- HTTP Flow decoded by ips engine: 0 FTP Flow decoded by ips engine: 0 FTP-DATA Flow decoded by ips engine: 0 SMTP Flow decoded by ips engine: 0 TLS Flow decoded by ips engine: 0 SSH Flow decoded by ips engine: 0 IMAP Flow decoded by ips engine: 0 SMB Flow decoded by ips engine: 0 DCE/RPC flow over TCP decoded by ips engine: 0 DCE/RPC flow over UDP decoded by ips engine: 0 DNS flow over TCP decoded by ips engine: 0 DNS flow over UDP decoded by ips engine: 0 ENIP flow over TCP decoded by ips engine: 0 ENIP flow over UDP decoded by ips engine: 0 ---------------------------------------------- IPS Flow engine ---------------------------------------------- TCP Flow decoded by ips engine: 1 UDP Flow decoded by ips engine: 1 ICMPv4 Flow decoded by ips engine: 1 ICMPv6 Flow decoded by ips engine: 0 Failed TCP Flow decoded by ips engine: 0 Failed UDP Flow decoded by ips engine: 1 ---------------------------------------------- IPS TCP engine ---------------------------------------------- TCP sessions decoded by ips engine: 1 TCP SYN packets decoded by ips engine: 1 TCP SYN-ACK packets decoded by ips engine: 0 TCP RST packets decoded by ips engine: 0 TCP packets with invalid checksum: 0 TCP packets with wrong thread: 0 Packets with TCP header length too small: 0 TCP packets with invalid options: 0 |
...
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на уровне приложений.
Синтаксис
show security ips counters application-layer
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters application-layer ---------------------------------------------- IPS Application Layer ---------------------------------------------- HTTP Flow decoded by ips engine: 0 FTP Flow decoded by ips engine: 0 FTP-DATA Flow decoded by ips engine: 0 SMTP Flow decoded by ips engine: 0 TLS Flow decoded by ips engine: 0 SSH Flow decoded by ips engine: 0 IMAP Flow decoded by ips engine: 0 SMB Flow decoded by ips engine: 0 DCE/RPC flow over TCP decoded by ips engine: 0 DCE/RPC flow over UDP decoded by ips engine: 0 DNS flow over TCP decoded by ips engine: 0 DNS flow over UDP decoded by ips engine: 0 ENIP flow over TCP decoded by ips engine: 0 ENIP flow over UDP decoded by ips engine: 0 |
...
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS декодера.
Синтаксис
show security ips counters decoder
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters decoder ---------------------------------------------- IPS Decoder engine ---------------------------------------------- Packets decoded by ips engine: 83971 Bytes decoded by ips engine: 125677543 Invalid packets decoded by ips engine: 0 IPv4 packets decoded by ips engine: 83971 IPv6 packets decoded by ips engine: 0 TCP packets decoded by ips engine: 75 UDP packets decoded by ips engine: 83891 SCTP packets decoded by ips engine: 0 ICMPv4 packets decoded by ips engine: 5 ICMPv6 packets decoded by ips engine: 0 PPP packets decoded by ips engine: 0 PPPoE packets decoded by ips engine: 0 GRE packets decoded by ips engine: 0 Teredo packets decoded by ips engine: 0 Average packets size decoded by ips engine: 1496 Maximum packets size decoded by ips engine: 1500 |
...
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на потоках.
Синтаксис
show security ips counters flow
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters flow ---------------------------------------------- IPS Flow engine ---------------------------------------------- TCP Flow decoded by ips engine: 1 UDP Flow decoded by ips engine: 1 ICMPv4 Flow decoded by ips engine: 1 ICMPv6 Flow decoded by ips engine: 0 Failed TCP Flow decoded by ips engine: 0 Failed UDP Flow decoded by ips engine: 1 ---------------------------------------------- |
...
Данной командой выполняется просмотр глобальных счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters general
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters general ---------------------------------------------- IPS general counters ---------------------------------------------- Packets decoded by ips engine: 83971 Invalid packets decoded by ips engine: 0 Packets accepted by ips engine: 83977 Packets blocked by ips engine: 0 Packets replaced by ips engine: 0 Alerts generated: 8 ---------------------------------------------- |
...
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS для TCP-сессий.
Синтаксис
show security ips counters tcp
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters tcp ---------------------------------------------- IPS TCP engine ---------------------------------------------- TCP sessions decoded by ips engine: 1 TCP SYN packets decoded by ips engine: 1 TCP SYN-ACK packets decoded by ips engine: 0 TCP RST packets decoded by ips engine: 0 TCP packets with invalid checksum: 0 TCP packets with wrong thread: 0 Packets with TCP header length too small: 0 TCP packets with invalid options: 0 |
...
Данной командой выполняется просмотр числа правил, используемых в текущий момент системой IPS/IDS.
Синтаксис
show security ips status [detailed]
Параметры
detailed – показывает расширенную информацию об используемых правилах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips status Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 esr# show security ips status detailed Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 Rules processed: 21727 IP-only inspecting: 1 Payload inspecting: 3980 Application layer inspecting: 18951 Decoder event: 0 |
...
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.
Синтаксис
show security ips user-server [<WORD>]
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# sh security ips user-server Server name Files MD5 Next update -------------------------------- -------------------------------- -------------------------------- content-provider 93633ab9a73248ea50d58c25b1ac806c 2020-10-06 12:27:40 TH 919f51bdf44052bfc0953362aef11c0d 2020-10-06 12:36:40 Traffic-ID e5e2f6472a397227c0d96f5df430a207 2020-10-06 12:36:40 Aggressive cfc3547b50f3f9fec366ba5a1e51cd1f 2020-10-06 12:36:40 JA3-Fingerprint 439aa6e57c66826b92337672937d505b 2020-10-05 16:51:40 C2-Botnet 39e118bd3884b3dc1df4ca3a03c05df1 2020-10-05 16:51:40 SSL-BlackList 1d9c969f25791b9ee8c8c0ab8449d849 2020-10-05 16:51:40 ET-Open d53d92248a1f7cdc040d669a76cf27bc 2020-10-06 12:36:40 |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# update security ips content-provider rules |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# update security ips content-provider rules-info |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips user-server rules <WORD>
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# update security ips user-server rules ET-Open |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.
Синтаксис
category <CATEGORY>
no category { <CATEGORY> | all }Параметры
<CATEGORY> – категория правил.
...
| Блок кода |
|---|
show security ips content-provider rules-info |
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR
Пример
| Блок кода |
|---|
esr(config-ips-policy-vendor)# category MobileBotnetCAndCDF |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
external network-group <OBJ-GROUP-NETWORK-NAME>
no external network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# external network-group WAN |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
protect network-group <OBJ-GROUP-NETWORK-NAME>
no protect network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# protect network-group LAN |
...
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules { all | count <COUNT> | percent <PERCENT> | recomended }...
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
| Блок кода |
|---|
esr(config-ips-vendor-category)# rules percent 25 |
...
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules action { alert | reject | pass | drop }...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
| Блок кода |
|---|
esr(config-ips-vendor-category)# rules action drop |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.
Синтаксис
[no] security ips policy <POLICY_NAME>
Параметры
<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips policy OFFICE |
...
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
Синтаксис
vendor <VENDOR>
no vendor <CATEGORY>
Параметры
<VENDOR> – вендор правил.
...
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# vendor kaspersky |
...
Использование отрицательной формы команды (no) разрешает прохождение трафика при отсутствии загруженных правил IPS/IDS.
Синтаксис
[no] fail-close enable
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# fail-close enable |
...
Данной командой устанавливается уровень важности сообщения для логирования событий IPS/IDS.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
logging ips severity <SEVERITY>
no logging ips severity
Параметры
<SEVERITY> – уровень важности сообщения, принимает значения (в порядке убывания важности):
...
Значение по умолчанию
info
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# logging ips severity error |
...
Использование отрицательной формы команды (no) останавливает отправку статистики.
Синтаксис
logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> } ]no logging remote-server
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# logging remote-server 192.168.0.101 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
logging update-interval <INTERVAL>
no logging update-interval
Параметры
<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
Значение по умолчанию
10 минут.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# logging update-interval 10 |
...
Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.
Синтаксис
[no] performance max
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# perfomance max |
...
Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.
Синтаксис
policy <POLICY_NAME>
no policy
Параметры
<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# policy OFFICE |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
queue-limit <QUEUE-LIMIT>
no queue-limit
Параметры
<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096].
Значение по умолчанию
1024
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# queue-limit 2048 |
...
Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.
Синтаксис
security ips
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips |
...
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
service-ips { inline | monitor }
[no] service-ips
Параметры
inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;
monitor – режим работы сервиса IPS/IDS, когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т. е. сервис работает в режиме IDS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
...
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
Пример
| Блок кода |
|---|
esr(config-if-gi)# service-ips inline |
...
Данной командой осуществляется переход в режим конфигурирования параметров кэширования записей контентной фильтрации.
Синтаксис
content-filter
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# content-filter |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] uri cache-size <NUMBER>
Параметры
<NUMBER> – значение размера кэша контент-фильтра в количестве записей. Принимает значение в диапазоне [1; 32768]. Значение по умолчанию – 32768.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CONTENT-FILTER
Пример
| Блок кода |
|---|
esr(config-ips-content-filter)# uri cache-size 940 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] uri reachable-interval <DAYS>
Параметры
<DAYS> – количество дней, в течение которых запись URI всё ещё действительна. Принимает значения [1; 365]. Значение по умолчанию – 7.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CONTENT-FILTER
Пример
| Блок кода |
|---|
esr(config-ips-content-filter)# uri reachable-interval 30 |
...
Данной командой осуществляется переход в режим конфигурирования источника обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
content-provider
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# content-provider |
...
Данной командой задаётся адрес сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host address { <ADDR> | <IPV6-ADDR> | <WORD> }Параметры
<ADDR> – IP-адрес сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
<WORD> – DNS-имя сервера, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# host address edm.eltex-co.ru |
...
Использование отрицательной формы команды (no) удаляет номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host port <PORT>
no host port
Параметры
<PORT> – номер TCP-порта, принимает значения [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# host port 8098 |
...
| Примечание |
|---|
Данный параметр можно увидеть в разделе Информация об устройстве web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue. |
Синтаксис
location <WORD>
no location
Параметры
<WORD> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# location "Server room in Novokuznetsk office" |
...
При наличии функциональной лицензии IPS/IDS перезагрузки не происходит.
Синтаксис
reboot { immediately | time <TIME> } Параметры
immediately – перезагружаться сразу после получения лицензии;
...
<TIME> – время перезагрузки в формате HH:MM:SS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# reboot time 05:00:00 |
...
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
...
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# storage-device usb://DATA/IPS |
...
| Примечание |
|---|
Данный параметр можно увидеть в разделе Информация об устройстве web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue. |
Синтаксис
system-name <WORD>
no system-name
Параметры
<WORD> – имя, задаётся строкой до 253 символа.
...
По умолчанию значение system-name совпадает с hostname.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# system-name main-office |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# upgrade interval 36 |
...
Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.
Синтаксис
auto-upgrade
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# auto-upgrade |
...
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
...
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# storage-device usb://DATA/ |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
| Блок кода |
|---|
esr(config-ips-upgrade-user-server)# upgrade interval 36 |
...
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длиной от 8 до 255 символов.
...
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config,
- каталог на сервере, содержащий файлы правил и/или файл классификатора правил.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
| Блок кода |
|---|
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/ |
...
Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила, полученные с этого сервера.
Синтаксис
user-server <WORD>
no user-server { <WORD> | all }Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-AUTO-UPGRADE
Пример
| Блок кода |
|---|
esr(config-ips-auto-upgrade)# user-server ET-Open |
...
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { alert | reject | pass | drop }no action
Параметры
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# action reject |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }no destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# destination-address ip 10.10.10.1 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }no destination-port
| Scroll Pagebreak |
|---|
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535];
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# destination-port 22 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
direction { one-way | round-trip }no direction
Параметры
- one-way – трафик передаётся в одну сторону;
- round-trip – трафик передаётся в обе стороны.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# direction one-way |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip dscp <DSCP>
[no] ip dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip dscp 8 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp command <COMMAND>
[no] ip ftp command
Параметры
<COMMAND> – может принимать следующие значения:
- <retr> – скачать файл;
- <stor> – залить файл;
- <mkd> – создать директорию;
- <rmd> – удалить директорию;
- <appe> – добавить в конец файла (с созданием);
- <dele> – удалить файл.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# protocol ftp esr(config-ips-category-rule)# ip ftp command allo |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp-data command <COMMAND>
[no] ip ftp-data command
Параметры
<COMMAND> – может принимать следующие значения:
- <retr> – скачать файл;
- <stor> – залить файл;
- <appe> – добавить в конец файла (с созданием).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# protocol ftp-data esr(config-ips-category-rule)# ip ftp-data command stor |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http <COMMAND>
[no] ip http
Параметры
<COMMAND> – может принимать следующие значения:
...
Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X/Suricata 4.X.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "HTTP/1.0" esr(config-ips-category-rule)# ip http protocol |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http content-filter <NAME>
[no] ip http content-filter
Параметры
<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.
any – правило будет срабатывать для http-сайтов любой категории.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip http content-filter Black-List |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http method <COMMAND>
[no] ip http method
Параметры
<COMMAND> – может принимать следующие значения:
- <GET> – запрашивает представление ресурса. Запросы с использованием этого метода могут только извлекать данные;
- <HEAD> – запрашивает ресурс так же, как и метод GET, но без тела ответа;
- <POST> – используется для отправки сущностей к определённому ресурсу;
- <PUT> – заменяет все текущие представления ресурса данными запроса;
- <DELETE> – удаляет указанный ресурс;
- <CONNECT> – устанавливает «туннель» к серверу, определённому по ресурсу;
- <OPTIONS> – используется для описания параметров соединения с ресурсом;
- <TRACE> – выполняет вызов возвращаемого тестового сообщения с ресурса;
- <PATCH> – используется для частичного изменения ресурса.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip http method get |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp code <CODE>
[no] ip icmp code
Параметры
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp code 5 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp code comparison-operator { greater-than | less-than }[no] ip icmp code comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp code 5 esr(config-ips-category-rule)# ip icmp code comparison-operator less-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp id <ID>
[no] ip icmp id
Параметры
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp id 65000 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp sequence-id 8388608 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp type <TYPE>
[no] ip icmp type
Параметры
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp type 12 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp type comparison-operator { greater-than | less-than }[no] ip icmp type comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp type 14 esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip protocol-id <ID>
[no] ip protocol-id
Параметры
<ID> – идентификационный номер IP-протокола [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip protocol-id 250 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp acknowledgment-number <ACK-NUM>
[no] ip tcp acknowledgment-number
Параметры
<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp acknowledgment-number 32 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp sequence-id 2542 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp window-size <SIZE>
[no] ip tcp window-size
Параметры
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp window-size 50 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tls content-filter <NAME>
[no] ip tls content-filter
Параметры
<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.
any – правило будет срабатывать для http-сайтов любой категории.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tls content-filter Black-List |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip ttl 8 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip ttl comparison-operator { greater-than | less-than }[no] ip ttl comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip ttl 5 esr(config-ips-category-rule)# ip ttl comparison-operator less-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }[no] meta classification-type
Параметры
- not-suspicious – неподозрительный трафик;
- unknown – неизвестный трафик;
- bad-unknown – потенциально плохой трафик;
- attempted-recon – попытка утечки информации;
- successful-recon-limited – утечка информации;
- successful-recon-largescale – масштабная утечка информации;
- attempted-dos – попытка отказа в обслуживании;
- successful-dos – отказ в обслуживании;
- attempted-user – попытка получения привилегий пользователя;
- unsuccessful-user – безуспешная попытка получения привилегий пользователя;
- successful-user – успешная попытка получения привилегий пользователя;
- attempted-admin – попытка получения привилегий администратора;
- successful-admin – успешная попытка получения привилегий администратора;
- rpc-portmap-decode – декодирование запроса RPC;
- shellcode-detect – обнаружен исполняемый код;
- string-detect – обнаружена подозрительная строка;
- suspicious-filename-detect – было обнаружено подозрительное имя файла;
- suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
- system-call-detect – обнаружен системный вызов;
- tcp-connection – обнаружено TCP-соединение;
- trojan-activity – был обнаружен сетевой троян;
- unusual-client-port-connection – клиент использовал необычный порт;
- network-scan – обнаружение сетевого сканирования;
- denial-of-service – обнаружение атаки отказа в обслуживании;
- non-standard-protocol – обнаружение нестандартного протокола или события;
- protocol-command-decode – обнаружена попытка шифрования;
- web-application-activity – доступ к потенциально уязвимому веб-приложению;
- web-application-attack – атака на веб-приложение;
- misc-activity – прочая активность;
- misc-attack – прочие атаки;
- icmp-event – общее событие ICMP;
- inappropriate-content – обнаружено неприемлемое содержание;
- policy-violation – потенциальное нарушение корпоративной конфиденциальности;
- default-login-attempt – попытка входа с помощью стандартного логина/пароля.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# meta classification-type misc-attack |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta log-message <MESSAGE>
[no] mera log-message
Параметры
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack" |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload content <CONTENT>
[no] payload content <CONTENT>
Параметры
<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "virus" |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload data-size <SIZE>
[no] payload data-size
Параметры
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload data-size 1024 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
payload data-size comparison-operator { greater-than | less-than }[no] payload data-size comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload data-size 1024 esr(config-ips-category-rule)# payload data-size comparison-operator less-than |
...
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload depth <DEPTH>
[no] payload content depth
Параметры
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 3 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload no-case
[no] payload content no-case
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "virus" esr(config-ips-category-rule)# payload no-case |
...
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload offset <OFFSET>
[no] payload content offset
Параметры
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 6 esr(config-ips-category-rule)# payload offset 3 |
...
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
protocol { any | ip | icmp | http | tcp | tls | udp }[no] protocol
Параметры
- any – правило будет срабатывать для любых протоколов;
- ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
- icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
- http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
- tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
- tls – правило сработает для протокола https. В правиле можно настроить дополнительную фильтрацию командами ip tls;
- udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
- ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
- ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# protocol udp |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..512].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY
Пример
| Блок кода |
|---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.
Синтаксис
[no] security ips-category user-defined <CATEGORY_NAME>
Параметры
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
| Примечание |
|---|
В текущей версии использование символа «_» (нижнее подчёркивание) в <CATEGORY_NAME> недопустимо. |
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips-category user-defined PROTOCOL esr(config-ips-category)# |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }no source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
source-port { any | <PORT> | object-group <OBJ-GR-NAME> }no source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535];
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# source-port 22 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold count <COUNT>
[no] threshold count
Параметры
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 1024 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold second <SECOND>
[no] threshold second
Параметры
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold second 1 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold track { by_src | by_dst }[no] threshold track
Параметры
- by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
- by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold track by-src |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold type { treshhold | limit | both }[no] threshold type
Параметры
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 1024 esr(config-ips-category-rule)# threshold second 1 esr(config-ips-category-rule)# threshold track by-src esr(config-ips-category-rule)# threshold type treshold |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule-advanced <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
| Блок кода |
|---|
esr(config-ips-category)# rule-advanced 10 esr(config-ips-category-rule-advanced)# |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
rule-text <LINE>
[no] rule-text
| Scroll Pagebreak |
|---|
Параметры
<LINE> – текстовое сообщение в формате SNORT 2.X/Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
| Блок кода |
|---|
esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> $HOME_NET any (msg: "ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet"; flow: established, to_server; content:"_auth"; depth: 20; fast_pattern; content: !"|02 00 00 00|"; within: 4; content: "_ctrl"; content: "_ser"; content: "_tim"; content: "_exp"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )' |
...