...
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Указать local в качестве метода аутентификации. | esr(config)# aaa authentication login { default | <NAME> } <METHOD 1> | <NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации:
|
2 | Указать enable в качестве способа аутентификации повышения привилегий пользователей. | esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] | <NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации:
|
3 | Указать способ перебора методов аутентификации в случае отказа (не обязательно). | esr(config)# aaa authentication mode <MODE> | <MODE> – способы перебора методов:
Значение по умолчанию: chain. |
4 | Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (не обязательно). | esr(config)# aaa authentication attempts max-fail <COUNT> <TIME> | <COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535]; <TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535]. Значение по умолчанию: |
5 | Включить запрос на смену пароля по умолчанию для пользователя admin (не обязательно). | esr(config)# security passwords default-expired | |
6 | Включить режим запрета на использование ранее установленных паролей локальных пользователей (не обязательно). | esr(config)# security passwords history <COUNT> | <COUNT> – количество паролей сохраняемых в памяти маршрутизатора. Принимает значение в диапазоне [1..15]. Значение по умолчанию: 0 |
7 | Установить время действия пароля локального пользователя (не обязательно). | esr(config)# security passwords lifetime <TIME> | <TIME> – интервал времени действия пароля в днях. Принимает значение в диапазоне [1..365]. По умолчанию: Время действия пароля локального пользователя неограниченно. |
8 | Установить ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля (не обязательно). | esr(config)# security passwords min-length <NUM> | <NUM> – минимальное количество символов в пароле. Принимает значение в диапазоне [8..128]. Значение по умолчанию: 0 |
9 | Установить ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля (не обязательно). | esr(config)# security passwords max-length <NUM> | <NUM> – максимальное количество символов в пароле. Принимает значение в диапазоне [8..128]. Значение по умолчанию: не ограничено. |
10 | Установить минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя и ENABLE-пароле (не обязательно). | esr(config)# security passwords symbol-types <COUNT> | <COUNT> – минимальное количество типов символов в пароле. Принимает значение в диапазоне [1..4]. Значение по умолчанию: 1 |
11 | Установить минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле (не обязательно). | esr(config)# security passwords lower-case <COUNT> | <COUNT> – минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0 |
12 | Установить минимальное количество прописных (заглавных) букв в пароле локального пользователя и ENABLE-пароле (не обязательно). | esr(config)# security passwords upper-case <COUNT> | <COUNT> – минимальное количество прописных (заглавных) букв в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0 |
13 | Установить минимальное количество цифр в пароле локального пользователя и ENABLE-пароле (не обязательно). | esr(config)# security passwords numeric-count <COUNT> | <COUNT> – минимальное количество цифр в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0 |
14 | Установить минимальное количество специальных символов в пароле локального пользователя и ENABLE-пароле (не обязательно). | esr(config)# security passwords special-case <COUNT> | <COUNT> – минимальное количество специальных символов в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0 |
15 | Добавить пользователя в локальную базу и перейти в режим настройки параметров пользователя. | esr(config)# username <NAME> | <NAME> – имя пользователя, задаётся строкой до 31 символа. |
16 | Установить пароль пользователя. | esr(config-user)# password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } | <CLEAR-TEXT> – пароль, задаётся строкой [8 .. 32] символов, принимает значения [0-9a-fA-F]; <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов. |
17 | Установить уровень привилегий пользователя. | esr(config-user)# privilege <PRIV> | <PRIV> – необходимый уровень привилегий. Принимает значение [1..15]. |
18 | Перейти в режим конфигурирования соответствующего терминала. | esr(config)# line console или esr(config)# line telnet или esr(config)# line ssh | |
19 | Активировать список аутентификации входа пользователей в систему. | esr(config-line-ssh)# login authentication <NAME> | <NAME> – имя списка, задаётся строкой до 31 символа. |
20 | Активировать список аутентификации повышения привилегий пользователей. | esr(config-line-ssh)# enable authentication <NAME> | <NAME> – имя списка, задаётся строкой до 31 символа. |
21 | Задать интервал, по истечении которого будет разрываться бездействующая сессия. | esr(config-line-ssh)# exec-timeout <SEC> | <SEC> – период времени в минутах, принимает значения [1..65535]. |
...
Команда | Описание |
---|---|
ip firewall screen dos-defense icmp-threshold | Данная команда включает защиту от ICMP flood-атак. При включенной защите ограничивается количество ICMP-пакетов всех типов в секунду для одного адреса назначения. Атака приводит к перегрузке хоста и выводу его из строя из-за необходимости обрабатывать каждый запрос и отвечать на него. |
firewall screen dos-defense land | Данная команда включает защиту от land-атак. При включенной защите блокируются пакеты с одинаковыми source и destination IP-адресами, и флагом SYN в заголовке TCP. Атака приводит к перегрузке хоста и выводу его из строя из-за необходимости обрабатывать каждый TCP SYN пакет и попыток хоста установить TCP сессию с самим собой. |
ip firewall screen dos-defense limit-session-destination | Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение числа пакетов, передаваемых за секунду на один адреса назначения, которое смягчает DoS-атаки. |
ip firewall screen dos-defense limit-session-source | Когда таблица IP-сессий хоста переполняется, он больше не в состоянии организовывать новые сессии и отбрасывает запросы (такое может происходить при различных DoS-атаках: SYN flood, UDP flood, ICMP flood, и т.д.). Команда включает ограничение числа пакетов, передаваемых за секунду с одного адреса источника, которое смягчает DoS-атаки. |
ip firewall screen dos-defense syn-flood | Данная команда включает защиту от SYN flood-атак. При включенной защите ограничивается количество TCP-пакетов с установленным флагом SYN в секунду для одного адреса назначения. Атака приводит к перегрузке хоста и выводу его из строя из-за необходимости обрабатывать каждый TCP SYN пакет и попыток установить TCP-сессии. |
ip firewall screen dos-defense udp-threshold | Данная команда включает защиту от UDP flood-атак. При включенной защите ограничивается количество UDP пакетов в секунду для одного адреса назначения. Атака приводит к перегрузке хоста и выводу его из строя из-за массивного UDP-трафика. |
ip firewall screen dos-defense winnuke | Данная команда включает защиту от winnuke-атак. При включенной защите блокируются TCP-пакеты с установленным флагом URG и 139 портом назначения. Атака приводит к выходу из строя старых версий Windows (до 95 версии). |
ip firewall screen spy-blocking fin-no-ack | Данная команда включает блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK. Такие пакеты являются нестандартными и по ответу можно определить операционную систему жертвы. |
ip firewall screen spy-blocking icmp-type destination-unreachable | Данная команда включает блокировку всех ICMP-пакетов 3 типа (destination-unreachable), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
ip firewall screen spy-blocking icmp-type echo-request | Данная команда включает блокировку всех ICMP-пакетов 8 типа (echo-request), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
ip firewall screen spy-blocking icmp-type reserved | Данная команда включает блокировку всех ICMP-пакетов 2 и 7 типов (reserved), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
ip firewall screen spy-blocking icmp-type source-quench | Данная команда включает блокировку всех ICMP-пакетов 4 типа (source quench), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
ip firewall screen spy-blocking icmp-type time-exceeded | Данная команда включает блокировку всех ICMP-пакетов 11 типа (time exceeded), включая пакеты, сгенерированные самим маршрутизатором. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
ip firewall screen spy-blocking ip-sweep | Данная команда включает защиту от IP sweep-атак. При включенной защите, если в течение заданного в параметрах интервала приходит более 10 ICMP-запросов от одного источника, первые 10 запросов пропускаются маршрутизатором, а 11 и последующие отбрасываются на оставшееся время интервала. Защита не дает злоумышленнику узнать о топологии сети и доступности хостов. |
ip firewall screen spy-blocking port-scan | Данная команда включает защиту от port scan-атак. Если в течение первого заданного интервала времени (<threshold>) на один источник приходит более 10 TCP-пакетов с флагом SYN на разные TCP-порты, или более 10 UDP-пакетов, на разные UDP-порты, то такое поведение фиксируется как port scan атака и все последующие пакеты такого рода от источника блокируются на второй заданный интервал времени (<TIME>). Злоумышленник не сможет быстро просканировать открытые порты на устройстве. |
ip firewall screen spy-blocking spoofing | Данная команда включает защиту от ip spoofing-атак. При включенной защите маршрутизатор проверяет пакеты на соответствие адреса источника и записей в таблице маршрутизации и в случае несоответствия пакет отбрасывается. Например, если пакет с адресом источника 10.0.0.1/24 приходит на интерфейс Gi1/0/1, а в таблице маршрутизации данная подсеть располагается за интерфейсом Gi1/0/2, то считается, что адрес источника был подменен. Защищает от вторжений в сеть с подмененными source IP-адресами. |
ip firewall screen spy-blocking syn-fin | Данная команда включает блокировку TCP-пакетов с установленными флагами SYN и FIN. Такие пакеты являются нестандартными и по ответу можно определить операционную систему жертвы. |
ip firewall screen spy-blocking tcp-all-flag | Данная команда включает блокировку TCP-пакетов со всеми флагами или с набором флагов: FIN, PSH, URG. Обеспечивается защита от атаки XMAS. |
ip firewall screen spy-blocking tcp-no-flag | Данная команда включает блокировку TCP-пакетов с нулевым полем flags. Такие пакеты являются нестандартными и по ответу можно определить операционную систему жертвы. |
ip firewall screen suspicious-packets icmp-fragment | Данная команда включает блокировку фрагментированных ICMP-пакетов. ICMP-пакеты обычно небольшого размера и необходимости в их фрагментировании нет. |
ip firewall screen suspicious-packets ip-fragment | Данная команда включает блокировку фрагментированных пакетов. |
ip firewall screen suspicious-packets large-icmp | Данная команда включает блокировку ICMP-пакетов длиной более 1024 байт. |
ip firewall screen suspicious-packets syn-fragment | Данная команда включает блокировку фрагментированных TCP-пакетов с флагом SYN. TCP пакеты с SYN флагом обычно небольшого размера и необходимости в их фрагментировании нет. Защита предотвращает накопление фрагментированных пакетов в буфере. |
ip firewall screen suspicious-packets udp-fragment | Данная команда включает блокировку фрагментированных UDP-пакетов. |
ip firewall screen suspicious-packets unknown-protocols | Данная команда включает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более. |
...
Блок кода |
---|
esr(config)# security zone LAN esr(config-zone)# exit esr(config)# security zone WAN esr(config-zone)# exit esr(config)# security zone-pair LAN WAN esr(config-zone-pair)# rule 100 esr(config-zone-pair-rule)# action permit esr(config-zone-pair-rule)# enable esr(config-zone-pair-rule)# ex esr(config-zone-pair)# exit esr(config)# security zone-pair WAN LAN esr(config-zone-pair)# rule 100 esr(config-zone-pair-rule)# action permit esr(config-zone-pair-rule)# enable esr(config-zone-pair-rule)# exit esr(config-zone-pair)# exit esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# security-zone LAN esr(config-if-gi)# ip address 192.168.0.1/24 esr(config-if-gi)# exit esr(config)# interface gigabitethernet 1/0/2 esr(config-if-gi)# security-zone WAN esr(config-if-gi)# ip address 10.0.0.1/24 esr(config-if-gi)# exit |
Scroll Pagebreak |
---|
Настроим защиту от land, syn-flood, ICMP flood-атак:
...
Настроим логирование обнаруженных атак:
Блок кода |
---|
esr(config)# iplogging firewall logging screen dos-defense land esr(config)# iplogging firewall logging screen dos-defense syn-flood esr(config)# iplogging firewall logging screen dos-defense icmp-threshold |
...
Блок кода |
---|
esr(config)# snmp-server
esr(config)# snmp-server host 192.168.0.10
esr(config)# snmp-server enable traps screen land
esr(config)# snmp-server enable traps screen syn-flood
esr(config)# snmp-server enable traps screen icmp-threshold |
Посмотреть статистику по зафиксированным сетевым атакам можно командой:
...
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Создать зоны безопасности. | esr(config)# security zone <zone-name1> esr(config)# security zone <zone-name2> | <zone-name> – до 12 символов. |
2 | Задать описание зоны безопасности. | esr(config-zone)# description <description> | <description> – до 255 символов. |
3 | Указать экземпляр VRF, в котором будет работать данная зона безопасности (не обязательно). | esr(config- zone)# ip vrf forwarding <VRF> | <VRF> – имя VRF, задается строкой до 31 символа. |
4 | Включить счетчики сессий для NAT и Firewall (не обязательно, снижает производительность). | esr(config)# ip firewall sessions counters | |
5 | Отключить фильтрацию пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения (не обязательно, снижает производительность). | esr(config)# ip firewall sessions allow-unknown | |
6 | Выбрать режим работы межсетевого экрана (не обязательно) Работа межсетевого экрана по списку приложений возможна только в режиме stateless | esr(config)# ip firewall mode <MODE> | <MODE> – режим работы межсетевого экрана, может принимать значения: stateful, stateless. Значение по умолчанию: stateful |
7 | Определить время жизни сессии для неподдерживаемых протоколов (не обязательно). | esr(config)# ip firewall sessions generic-timeout <TIME> | <TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600]. По умолчанию: 60 секунд. |
8 | Определить время жизни ICMP-сессии, по истечении которого она считается устаревшей (не обязательно). | esr(config)# ip firewall sessions icmp-timeout <TIME> | <TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд. |
9 | Определить время жизни ICMPv6-сессии, по истечении которого она считается устаревшей (не обязательно). | esr(config)# ip firewall sessions icmpv6-timeout <TIME> | <TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд. |
10 | Определить размер таблицы сессий ожидающих обработки (не обязательно). | esr(config)# ip firewall sessions max-expect <COUNT> | <COUNT> – размер таблицы, принимает значения [1..8553600]. По умолчанию: 256. |
11 | Определить размер таблицы отслеживаемых сессий (не обязательно). | esr(config)# ip firewall sessions max-tracking <COUNT> | <COUNT> – размер таблицы, принимает значения [1..8553600]. |
12 | Определить время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей (не обязательно). | esr(config)# ip firewall sessions tcp-connect-timeout <TIME> | <TIME> – время жизни TCP-сессии в состоянии "соединение устанавливается", принимает значения в секундах [1..8553600]. По умолчанию: 60 секунд. |
13 | Определить время жизни TCP-сессии в состоянии "соединение закрывается", по истечении которого она считается устаревшей (не обязательно). | esr(config)# ip firewall sessions tcp-disconnect-timeout <TIME> | <TIME> – время жизни TCP-сессии в состоянии "соединение закрывается", принимает значения в секундах [1..8553600]. |
14 | Определить время жизни TCP-сессии в состоянии "соединение установлено", по истечении которого она считается устаревшей (не обязательно). | esr(config)# ip firewall sessions tcp-established-timeout <TIME> | <TIME> – время жизни TCP-сессии в состоянии "соединение установлено", принимает значения в секундах [1..8553600]. По умолчанию: 120 секунд. |
15 | Определить время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий (не обязательно). | esr(config)# ip firewall sessions tcp-latecome-timeout <TIME> | <TIME> – время ожидания, принимает значения в секундах [1..8553600]. По умолчанию: 120 секунд. |
16 | Включить функцию отслеживания сессий уровня приложений для отдельных протоколов (не обязательно). | esr(config)# ip firewall sessions tracking | <PROTOCOL> – протокол уровня приложений [ftp, h323, pptp, netbios-ns, tftp], сессии которого должны отслеживаться. <OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060. Вместо имени отдельного протокола можно использовать ключ "all", который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов. По умолчанию – отключено для всех протоколов. |
17 | Определить время жизни UDP-сессии в состоянии "соединение подтверждено", по истечении которого она считается устаревшей (не обязательно). | esr(config)# ip firewall sessions udp-assured-timeout <TIME> | <TIME> – время жизни UDP-сессии в состоянии "соединение подтверждено", принимает значения в секундах [1..8553600]. По умолчанию: 180 секунд. |
18 | Определить время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей. | esr(config)# ip firewall sessions udp-wait-timeout <TIME> | <TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600]. По умолчанию: 30 секунд. |
19 | Создать списки IP-адресов, которые будут использоваться при фильтрации. | esr(config)# object-group network <obj-group-name> | <obj-group-name> – до 31 символа. |
20 | Задать описание списка IP-адресов (не обязательно). | esr(config-object-group-network)# description <description> | <description> – описание профиля, задается строкой до 255 символов. |
21 | Внести необходимые IPv4/IPv6-адреса в список. | esr(config-object-group-network)# ip prefix <ADDR/LEN> | <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. |
esr(config-object-group-network)# ip address-range | <FROM-ADDR> – начальный IP-адрес диапазона адресов; <TO-ADDR> – конечный IP-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IP-адрес. Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. | ||
esr(config-object-group-network)# ipv6 prefix <IPV6-ADDR/LEN> | <IPV6-ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128]. | ||
esr(config-object-group-network)# ipv6 address-range | <FROM-ADDR> – начальный IPv6-адрес диапазона адресов; <TO-ADDR> – конечный IPv6-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IPv6-адрес. Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. | ||
22 | Создать списки сервисов, которые будут использоваться при фильтрации. | esr(config)# object-group service <obj-group-name> | <obj-group-name> – имя профиля сервисов, задается строкой до 31 символа. |
23 | Задать описание списка сервисов (не обязательно). | esr(config-object-group-service)# description <description> | <description> – описание профиля, задается строкой до 255 символов. |
24 | Внести необходимые сервисы (tcp/udp-порты) в список. | esr(config-object-group-service)# port-range <port> | <port> – принимает значение [1..65535]. Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-». |
25 | Создать списки приложений, которые будут использоваться в механизме DPI. | esr(config)# object-group application <NAME> | <NAME> – имя профиля приложений, задается строкой до 31 символа. |
26 | Задать описание списка приложений (не обязательно). | esr(config-object-group-application)# description <description> | <description> – описание профиля, задается строкой до 255 символов. |
27 | Внести необходимые приложения в списки. | esr(config-object-group-application)# application < APPLICATION > | < APPLICATION > – указывает приложение подпадающее под действие данного профиля |
28 | Включить интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо). | esr(config-if-gi)# security-zone <zone-name> | <zone-name> – до 12 символов. |
Отключить функции Firewall на сетевом интерфейсе (физические, логические, E1/Multilink и подключаемые), сервере удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) (если необходимо) | esr(config-if-gi)# ip firewall disable | ||
29 | Создать набор правил межзонового взаимодействия. | esr(config)# security zone-pair <src-zone-name1> <dst-zone-name2> | <src-zone-name> – до 12 символов. <dst-zone-name> – до 12 символов. |
30 | Создать правило межзонового взаимодействия. | esr(config-zone-pair)# rule <rule-number> | <rule-number> – 1..10000. |
31 | Задать описание правила (не обязательно). | esr(config-zone-rule)# description <description> | <description> – до 255 символов. |
32 | Указать действие данного правила. | esr(config-zone-rule)# action <action> [ log ] | <action> – permit/deny/reject/netflow-sample/sflow-sample log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу. |
33 | Установить имя или номер IP-протокола, для которого должно срабатывать правило (не обязательно). | esr(config-zone-rule)# match [not] protocol <protocol-type> | <protocol-type> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов. |
esr(config-zone-rule)# match [not] protocol-id <protocol-id> | <protocol-id> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF]. | ||
34 | Установить профиль IP-адресов отправителя, для которых должно срабатывать правило (не обязательно). | esr(config-zone-rule)# match [not] source-address <OBJ-GROUP-NETWORK-NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя. |
35 | Установить профиль IP-адресов получателя, для которых должно срабатывать правило (не обязательно). | esr(config-zone-rule)# match [not] destination-address <OBJ-GROUP-NETWORK-NAME> | |
36 | Установить MAC-адрес отправителя, для которого должно срабатывать правило (не обязательно). | esr(config-zone-rule)# match [not] source-mac <mac-addr> | <mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
37 | Установить MAC-адрес получателя, для которого должно срабатывать правило (не обязательно). | esr(config-zone-rule)# match [not] destination-mac <mac-addr> | |
38 | Установить профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило (если указан протокол). | esr(config-zone-rule)# match [not] source-port <PORT-SET-NAME> | <PORT-SET-NAME> – задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя/получателя. |
39 | Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол). | esr(config-zone-rule)# match [not] destination-port <PORT-SET-NAME> | |
40 | Установить тип и код сообщений протокола ICMP, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (не обязательно). | esr(config-zone-rule)# match [not] icmp <ICMP_TYPE> <ICMP_CODE> | <ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255]; <ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP. |
41 | Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя. | esr(config-zone-rule)# match [not] destination-nat | |
42 | Установить максимальную скорость прохождения пакетов (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any). | esr(config-zone-pair-rule)# rate-limit pps <rate-pps> | <rate-pps> – максимальное количество пакетов, которое может быть передано. Принимает значения [1..10000]. |
43 | Установить фильтрацию только для фрагментированных IP-пакетов (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any). | esr(config-zone-pair-rule)# match [not] fragment | |
44 | Установить фильтрацию для IP-пакетов, содержащих ip-option (не обязательно, доступно только для zone-pair any self и zone-pair <zone-name> any). | esr(config-zone-pair-rule)# match [not] ip-option | |
45 | Включить правило межзонового взаимодействия. | esr(config-zone-rule)# enable | |
46 | Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (не обязательно, доступно только на ESR-1000/1200/1500/1511/1700 | esr(config-bridge)# ports firewall enable |
Scroll Pagebreak |
---|
...
Якорь | ||||
---|---|---|---|---|
|
...
Блок кода |
---|
esr(config)# interface gi1/0/2 esr(config-if-gi)# ip address 192.168.12.2/24 esr(config-if-gi)# security-zone LAN esr(config-if-gi)# exit esr(config)# interface gi1/0/3 esr(config-if-gi)# ip address 192.168.23.2/24 esr(config-if-gi)# security-zone WAN esr(config-if-gi)# exit |
Scroll Pagebreak |
---|
...
Блок кода |
---|
esr(config)# security zone-pair WAN LAN esr(config-zone-pair)# rule 1 esr(config-zone-pair-rule)# action permit esr(config-zone-pair-rule)# match protocol icmp esr(config-zone-pair-rule)# match destination-address LAN_GATEWAY esr(config-zone-pair-rule)# match source-address WAN_GATEWAY esr(config-zone-pair-rule)# enable esr(config-zone-pair-rule)# exit esr(config-zone-pair)# exit |
Scroll Pagebreak |
---|
...
Блок кода |
---|
esr# show ip firewall sessions |
Scroll Pagebreak |
---|
Настройка списков доступа (ACL)
...
Блок кода |
---|
esr# configure esr(config)# ip access-list extended white esr(config-acl)# rule 1 esr(config-acl-rule)# action permit esr(config-acl-rule)# match source-address 192.168.20.0 255.255.255.0 esr(config-acl-rule)# enable esr(config-acl-rule)# exit esr(config-acl)# exit |
Scroll Pagebreak |
---|
Применим список доступа на интерфейс Gi1/0/19 для входящего трафика:
...
Якорь | ||||
---|---|---|---|---|
|
Примечание |
---|
Данный функционал активируется только при наличии лицензии. |
IPS/IDS (Intrusion Prevention System / Intrusion Detection System) – система предотвращения вторжений – программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
...
Шаг | Описание | Команда | Ключи | |||
---|---|---|---|---|---|---|
1 | Создать политику безопасности IPS/IDS. | esr(config)# security ips policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов | |||
2 | Задать описание политики (не обязательно). | esr(config-ips-policy)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. | |||
3 | Задать профиль IP-адресов, которые будет защищать IPS/IDS. | esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов. | |||
4 | Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно). | esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов. | |||
5 | Перейти в режим конфигурирования IPS/IDS. | esr(config)# security ips | ||||
6 | Назначить политику безопасности IPS/IDS. | esr(config-ips)# policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов | |||
7 | Использовать все ресурсы ESR для IPS/IDS (не обязательно). | esr(config-ips)# perfomance max | По умолчанию для IPS/IDS отдается половина доступных ядер процессора. | |||
8 | Задать внешний носитель для записи логов в формате EVE (параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging storage-path <DEVICE_NAME> | <DEVICE_NAME> имя USB или MMC накопителя. | 9 | remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ] | <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv4-адрес интерфейса с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv6-адрес интерфейса с которого отправляются пакеты; |
9 | Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging update-interval <INTERVAL> | <INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах | |||
10 | Активировать IPS/IDS. | esr(config-ips )# enable | ||||
10 | Активировать IPS/IDS на интерфейсе. | esr(config-if-gi)# service-ips enable |
...
Предупреждение |
---|
Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти. Размер этой области зависит от модели ESR:
Для всех остальных моделей – 100 Мб. Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory. |
Scroll Pagebreak |
---|
Рекомендуемые открытые источники обновления правил
...
Пример настройки IPS/IDS с авто обновлением автообновлением правил
Задача:
Организовать защиту локальной сети с авто обновлением правил из открытых источников.
...
Блок кода |
---|
esr(config)# object-group network LAN esr(config-object-group-network)# ip prefix 192.168.1.0/24 esr(config-object-group-network)# exit |
Scroll Pagebreak |
---|
...
Блок кода |
---|
esr(config)# security ips esr(config-ips)# logging storageremote-patch usb://DATAserver 192.168.10.1 esr(config-ips)# logging update-interval 15 esr(config-ips)# policy OFFICE esr(config-ips)# enable |
...
Блок кода |
---|
esr(config-ips)# perfomance max |
Настроим авто обновление
Scroll Pagebreak |
---|
Настроим автообновление правил с сайтов EmergingThreats.net, etnetera.cz и Abuse.ch:
Блок кода |
---|
esr(config-ips)# auto-upgrade esr(config-auto-upgrade)# user-server ET-Open esr(config-ips-upgrade-user-server)# description «emerging"emerging threats open rules»rules" esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules esr(config-ips-upgrade-user-server)# exit esr(config-auto-upgrade)# user-server Aggressive esr(config-ips-upgrade-user-server)# description «Etnetera"Etnetera aggressive IP blacklist»blacklist" esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# exit esr(config-auto-upgrade)# user-server SSL-BlackList esr(config-ips-upgrade-user-server)# description «Abuse"Abuse.ch SSL Blacklist»Blacklist" esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslblacklist.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# exit esr(config-auto-upgrade)# user-server C2-Botnet esr(config-ips-upgrade-user-server)# description «Abuse"Abuse.ch Botnet C2 IP Blacklist»Blacklist" esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklist.rules esr(config-ips-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# exit |
...
Блок кода |
---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# description «Big"Big ICMP DoS»DoS" |
Мы будем отбрасывать пакеты:
Блок кода |
---|
esr(config-ips-category-rule)# action drop |
Scroll Pagebreak |
---|
Настроим сообщение об атаке:
Блок кода |
---|
esr(config-ips-category-rule)# meta log-message «Big"Big ICMP DoS»DoS" esr(config-ips-category-rule)# meta classification-type successful-dos |
...
Блок кода |
---|
esr(config-ips-category-rule)# source-address any |
Scroll Pagebreak |
---|
...
Правило будет срабатывать, если нагрузка на сервер будет превышать 3Мб3 Мб/с, при этом сообщение об атаке будет генерироваться не чаше одного раза в минуту:
...
Блок кода |
---|
esr(config)# security ips-category user-defined ADV |
Scroll Pagebreak |
---|
Создадим расширенное правило:
Блок кода |
---|
esr(config-ips-category)# rule-advanced 1 esr(config-ips-category-rule-advanced)# description «Slow"Slow Loris rule 1»1" esr(config-ips-category-rule-advanced)# rule-text "alert tcp any any -> any 80 (msg:'Possible Slowloris Attack Detected'; flow:to_server,established; content:'X-a|3a|'; distance:0; pcre:'/\d\d\d\d/'; distance:0; content:'|0d 0a|'; sid:10000001;)" |
Создадим ещё одно расширенное правило, работающее по схожему алгоритму, чтобы определить, какое из правил будет эффективнее:
Блок кода |
---|
esr(config-ips-category)# rule-advanced 2 esr(config-ips-category-rule-advanced)# description «Slow"Slow Loris rule 2»2" esr(config-ips-category-rule-advanced)# rule-text «alert"alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:'SlowLoris.py DoS attempt'; flow:established,to_server,no_stream; content:'X-a:'; dsize:<15; detection_filter:track by_dst, count 3, seconds 30; classtype:denial-of-service; sid: 10000002; rev:1; )" |
Якорь | ||||
---|---|---|---|---|
|
EDM (Eltex Distribution Manager) — сервис распространения лицензируемого контента на устройства по коммерческой подписке.
...
Шаг | Описание | Команда | Ключи | ||
---|---|---|---|---|---|
1 | Перейти в конфигурирование контент провайдера. | esr (config)# content-provider | |||
2 | Задать IP-адрес edm-сервера. | esr (config-content-provider)# host address <A.B.C.D | WORD | X:X:X:X::X> | <IP-ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. WORD(1-31) - DNS имя сервера. | ||
3 | Задать порт для подключения к edm-серверу. | esr (config-content-provider)# host port <PORT> | <PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. | ||
4 | Задать тип и раздел внешнего устройства для создания крипто хранилища. | esr (config-content-provider)# storage-device path <DEVICE> | <DEVICE> – лейбл и имя раздела на внешнем носители информации в формате usb://Partion_name:/ mmc://Partion_name:/ На внешнем носителе должна быть создана файловая система в формате exFAT | ||
5 | Установить время перезагрузки устройства после получения сертификата. | esr (config-content-provider)# reboot immediately | [time <HH:MM:SS>] | Перезагрузить устройство после получения сертификата. time <HH:MM:SS> - время, в которое ESR перезагрузится <Часы:минуты:секунды>. | ||
6 | Включить контент провайдер. | enable | |||
7 | Установить интервал обращения к edm-серверу в часах. | esr (config-content-provider)# upgrade interval <1-240> | |||
8 | Установить описание (не обязательно). | esr (config-content-provider)# description edm< LINE > | LINE (1-255) String describing server | ||
9 | Задать текстовое имя устройства, которое передаётся на сервер EDM-Issue (не обязательно). | esr (config-content-provider)# system-name < WORD > | <WORD> – имя, задаётся строкой до 255 символов. | ||
10 | Задать текстовое описание, которое передаётся на сервер EDM-Issue (не обязательно). | esr (config-content-provider)# location < WORD > | <WORD> – описание, задаётся строкой до 255 символов. | ||
11 | Создать списки IP-адресов, которые будут использоваться при фильтрации. | esr (config)# object-group network <WORD>esr (config-object-group-network)# ip prefix <ADDR/LEN> | <WORD> – имя сервера, задаётся строкой до 32 символов. <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. | ||
10 | На интерфейсе включить service-ips. | esr (config)# interface gigabitethernet 1/0/Xesr (config-if-gi)# service-ips enable | |||
11 | Создать политику безопасности IPS/IDS. | esr (config)# security ips policy WORD(1-31) | WORD(1-31) | ||
12 | Задать профиль IP-адресов, которые будет защищать IPS/IDS. | esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов. | ||
13 | Войти в раздел конфигурирования вендора. | esr (config-ips-policy)# vendor kaspersky | |||
14 | Подключить необходимую категорию. | esr (config-ips-vendor)# category WORD(1-64) | Phishing URL Data Feed – потоки данных Phishing URL Malicious URL Data Feed – потоки данных Malicious URL Botnet C&C URL Data Feed – потоки данных Botnet C&C URL Malicious Hash Data Feed – потоки данных Malicious Hashes Mobile Malicious Hash Data Feed – потоки данных мобильных Malicious Hashes IP Reputation Data Feed – потоки данных IP-адресов Mobile Botnet Data Feed – потоки данных о мобильных Botnet Ransomware URL Data Feed – поток данных Ransomware URL Botnet C&C URL Exact Data Feed – поток данных Botnet C&C URL Exact Phishing URL Exact Data Feed – поток данных Phishing URL Exact Malicious URL Exact Data Feed – поток данных Malicious URL Exact Iot URL Data Feed – поток данных IoT URL | ||
15 | Задать тип правил. | esr (config-ips-vendor-category)# rules action <ACTION> | <ACTION> - drop | reject | alert | pass - действия, которые будут применяться к пакетам.
| ||
16 | Задать количество скачиваемых правил. | esr (config-ips-vendor-category)# rules count <number> | <number> | ||
17 | Включить категорию. | enable | |||
18 | Перейти в режим конфигурирования IPS/IDS. | esr (config)# security ips | |||
19 | Назначить политику безопасности IPS/IDS. | esr(config-ips)# policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов. | ||
20 | Использовать все ресурсы ESR для IPS/IDS (не обязательно). | esr(config-ips)# perfomance max | |||
21 | Задать USB-диск, для записи логов параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging storage-path <DEVICE_NAME> | <DEVICE> - лейбл и имя раздела на внешнем носители информации в формате usb://Partion_name:/ mmc://Partion_name:/ | 22remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ] | <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv4-адрес интерфейса с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv6-адрес интерфейса с которого отправляются пакеты; |
22 | Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging update-interval <INTERVAL> | <INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах | ||
23 | Активировать IPS/IDS. | esr(config- ips )# enable |
...
Блок кода |
---|
content-provider host address edm.eltex-co.ru host port 8098 upgrade interval 1 storage-devicepath mmc://TEST:/ reboot immediately enable exit |
...
Блок кода |
---|
interface gigabitethernet 1/0/1 service-ips enable exit |
Scroll Pagebreak |
---|
Настроить политику безопасности:
...
Настройка сервиса контентной фильтрации
Примечание |
---|
Данный функционал активируется только при наличии лицензии. |
Сервис контентной фильтрации предназначен для ограничения доступа к HTTP-сайтам на основании их содержимого. Для каждого сайта определяется принадлежность его к той или иной категории. В качестве базы категорий сайтов используется база Лаборатории Касперского. Для определения категории сайтов ESR отправляет HTTPS-запросы на сервер Лаборатории Касперского по адресу https://ksn-vt.kaspersky-labs.com.
...
Шаг | Описание | Команда | Ключи | |||
---|---|---|---|---|---|---|
1 | Определить IP-адрес DNS-сервера, используемого для разрешения DNS-имен. | esr(config)# domain name-server <IP> | <IP> – IP-адрес используемого DNS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. | |||
2 | Включить разрешение DNS-имен на устройстве | esr(config)# domain lookup enable | ||||
3 | Создать политику безопасности IPS/IDS. | esr(config)# security ips policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов. | |||
4 | Задать описание политики (не обязательно). | esr(config-ips-policy)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. | |||
5 | Создать списки IP-адресов, которые будут использоваться при фильтрации. | esr (config)# object-group network <WORD> esr (config-object-group-network)# ip prefix <ADDR/LEN> | <WORD> – имя сервера, задаётся строкой до 32 символов. <ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. | |||
6 | Задать профиль IP-адресов, которые будет защищать IPS/IDS. | esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов. | |||
7 | Задать профиль IP-адресов, внешних для IPS/IDS (не обязательно). | esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME> | <OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов. | |||
8 | Создать профиль категорий контентной фильтрации | esr(config)# object-group content-filter <NAME> | <NAME> – имя профиля контентной фильтрации, задается строкой до 31 символа. | |||
9 | Задать описание профиля категорий контентной фильтрации (не обязательно). | esr(config-object-group-content-filter)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. | |||
10 | Задать поставщика категорий контентной фильтрации. | esr(config-object-group-content-filter)# vendor <CONTENT-FILTER-VENDOR> | <CONTENT-FILTER-VENDOR> – название поставщика категорий контентной фильтрации. В текущей версии ПО в качестве поставщика категорий контентной фильтрации может выступать только Лаборатория Касперского. | |||
11 | Задать необходимые категории контентной фильтрации | esr(config-object-group-cf-kaspersky)# category <CATEGORY> | <CATEGORY> – имя категории. Описание доступных категорий приведено в справочнике команд. | |||
12 | Перейти в режим конфигурирования IPS/IDS. | esr(config)# security ips | ||||
13 | Назначить политику безопасности IPS/IDS. | esr(config-ips)# policy <NAME> | <NAME> – имя политики безопасности, задаётся строкой до 32 символов. | |||
14 | Использовать все ресурсы ESR для IPS/IDS (не обязательно). | esr(config-ips)# perfomance max | По умолчанию для IPS/IDS отдается половина доступных ядер процессора. | |||
15 | Задать внешний носитель для записи логов параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging storage-path <DEVICE_NAME> | <DEVICE_NAME> – имя USB- или MMC-накопителя. | 16 | remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ] | <ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию - UDP, принимает значения:
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv4-адрес интерфейса с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию - ipv6-адрес интерфейса с которого отправляются пакеты; |
16 | Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (не обязательно). | esr(config-ips)# logging update-interval <INTERVAL> | <INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах | |||
17 | Активировать IPS/IDS. | esr(config-ips )# enable | ||||
1718 | Активировать IPS/IDS на интерфейсе. | esr(config-if-gi)# service-ips enable | ||||
1819 | Задать имя и перейти в режим конфигурирования набора пользовательских правил. | esr(config)# security ips-category user-defined <WORD> | <WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов. | |||
1920 | Задать описание набора пользовательских правил (не обязательно). | esr(config-ips-category)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. | |||
2021 | Создать правило и перейти в режим конфигурирования правила. | esr(config-ips-category)# rule <ORDER> | <ORDER> – номер правила, принимает значения [1..512]. | |||
2122 | Задать описание правила (не обязательно). | esr(config-ips-category-rule)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. | |||
2223 | Указать действие данного правила. | esr(config-ips-category-rule)# action { alert | reject | pass | drop } |
| |||
2324 | Установить в качестве IP-протокола, протокол HTTP. | esr(config-ips-category-rule)# protocol http | ||||
2425 | Установить IP-адреса отправителя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# source-address | <ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть отправителя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. <OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя. | |||
2526 | Установить номера TCP-портов отправителя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# source-port {any | <PORT> | object-group <OBJ-GR-NAME> } | <PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя. | |||
2627 | Установить IP-адреса получателя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# destination-address | <<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть получателя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. < OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса получателя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя. | |||
2728 | Установить номера TCP-портов получателя, для которых должно срабатывать правило. Обычно для протокола http используется значение TCP-порт 80. В случаях когда когда используются web-сервера на нестандартных портах надо пописывать эти порты тоже. | esr(config-ips-category-rule)# destination-port {any | <PORT> | object-group <OBJ-GR-NAME> } | <PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя. | |||
2829 | Установить направление потока трафика, для которого должно срабатывать правило. | esr(config-ips-category-rule)# direction { one-way | round-trip } |
| |||
2930 | Определить сообщение которое IPS/IDS будет записывать в лог, при срабатывании этого правила. | esr(config-ips-category-rule)# meta log-message <MESSAGE> | <MESSAGE> – текстовое сообщение, задаётся строкой до 129 символов. | |||
3031 | Назначить профиль категорий контентной фильтрации | esr(config-ips-category-rule)# ip http content-filter <NAME> | <NAME> – имя профиля контентной фильтрации задаётся строкой до 31 символа. any – правило будет срабатывать для http-сайтов любой категории. 31 | |||
32 | Активировать правило. | esr(config-ips-category-rule)# enable |
...
Блок кода |
---|
esr(config)# security ips
esr(config-ips)# logging storage-path usb://DATA
esr(config-ips)# policy OFFICE
esr(config-ips)# enable |
...
Блок кода |
---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# description «Content"Content-Filter Block»Block" |
Scroll Pagebreak |
---|
...
Блок кода |
---|
esr(config-ips-category-rule)# meta log-message «Corporate"Corporate policy violation»violation" |
Укажем тип протокола для правила:
...
Настройка сервиса "Антиспам"
Примечание |
---|
Данный функционал активируется только при наличии лицензии. |
Почтовый антиспам, или спам-фильтр — это программа для определения и фильтрации нежелательных электронных сообщений, которые могут поступать через корпоративные почтовые серверы и публичные сервисы электронной почты (спам, почтовый фишинг и т.п.).
...
Блок кода |
---|
esr@eltex:~$ dig +noall +answer eltex-co.ru MX eltex-co.ru. 3548 IN MX 10 mail-gate.eltex-co.ru. esr@eltex:~$ dig +noall +answer mail-gate.eltex-co.ru A mail-gate.eltex-co.ru. 3453 IN A 95.171.220.11 |
Scroll Pagebreak |
---|
Настроим сетевые интерфейсы:
...
Блок кода |
---|
esr(config)# mailserver domain MainDomain esr(config-mailserver-domain)# mail domain eltex-co.ru esr(config-mailserver-domain)# description "Mail domain eltex-co.ru" esr(config-mailserver-domain)# mail server ip 192.168.1.10 esr(config-mailserver-domain)# profile antispam SimpleProfile esr(config-mailserver-domain)# enable esr(config-mailserver-domain)# exit |
Scroll Pagebreak |
---|
Добавим в конфигурацию почтового сервера созданный нами домен и пропишем настройки для работы TLS:
...