| Примечание |
|---|
| Данный функционал активируется только при наличии лицензии. |
| Оглавление | ||
|---|---|---|
|
Общие команды IPS/IDS
...
Данной командой определяется категория правил IPS/IDS определённого вендора, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данной категории.
Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.
...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
...
Данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS.
Использование отрицательной формы команды (no) удаляет назначенное действие.
...
<COUNT> – число правил. Минимальное значение 1, максимальное значение завист зависит от категории правил.
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
...
Данной командой определяется вендор правил IPS/IDS, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данного вендора.
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
...
<TRANSPORT> – протокол передачи данных, по умолчанию - – UDP, принимает значения:
- TCP – передача данных осуществляется по протоколу TCP;
- UDP – передача данных осуществляется по протоколу UDP;
...
<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv4- ipv4-адрес интерфейса с которого отправляются пакеты;
<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv6- ipv6-адрес интерфейса с которого отправляются пакеты;
...
<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах ;.
Значение по умолчанию
10 минут
...
| Блок кода |
|---|
esr(config-ips)# policy OFFICE |
service-ips
...
Данная команда используется для включение сервиса IPS/IDS на сетевом интерфейсе.
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
service-ips { inline | monitor }
[no] service-ips enable
Параметры
inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;
monitor – режим работы сервиса IPS/IDS, когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т.е. сервис работает в режиме IDS.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-if-gi)# service-ips enableinline |
Настройка автообновления правил IPS/IDS, распространяемых по коммерческой лицензии
...
host address { <ADDR> | <IPV6-ADDR> | <HOSTNAME> }Параметры
<ADDR> – IP-адрес устройствасервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес устройствасервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<HOSTNAME> – DNS-имя устройствасервера, задаётся строкой до 255 символов;.
Необходимый уровень привилегий
...
host port <PORT>
no host port
Параметры
<PORT> – номер TCP-порта, принимает значения [1..65535];
...
| Примечание |
|---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или или выводе команд show интерфейса командной строки EDM-Issuehttps://docs.eltex-co.ru/x/MAFtCw |
Синтаксис
location <WORD>
no location
Параметры
<WORD> – описание, задаётся строкой до 255 символов.
...
reboot { immediately | time <TIME> } Параметры
immediately – перезагружаться сразу после получения лицензии;
...
Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
Использование отрицательной формы команды (no) останавливает сохранение правил.
...
storage-path { usb://<USB-NAME>:/<PATH> | mmc://<MMC-NAME>:/<PATH> }no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
...
Данной командой задаётся текстовое имя устройства, которое передаётся на сервер EDM-Issue.
Использование отрицательной формы команды (no) присваивает этому имени значение по умолчанию.
| Примечание |
|---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или или выводе команд show интерфейса командной строки EDM-Issuehttps://docs.eltex-co.ru/x/MAFtCw |
Синтаксис
system-name <WORD>
no system-name
Параметры
<WORD> – имя, задаётся строкой до 255 символов.
...
По умолчанию значение system-name совпадает с hostname.
Необходимый уровень привилегий
...
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
...
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
...
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длинной от 8 до 255 символов.
...
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config,
- каталог на сервере содержащий файлы правил и/или файл классификатора правил.
...
no user-server { <WORD> | all }Параметры
<WORD> имя сервера задается строкой от 1 до 64 символа.
...
destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }no destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }no destination-port
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535;
...
direction { one-way | round-trip }no direction
Параметры
- one-way – трафик передаётся в одну сторону;
- round-trip – трафик передаётся в обе стороны.
...
ip dscp <DSCP>
[no] ip dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
...
ip ftp command <COMMAND>
[no] ip ftp command
Параметры
<COMMAND> – может принимать следующие значения:
...
ip ftp-data command <COMMAND>
[no] ip ftp-data command
Параметры
<COMMAND> – может принимать следующие значения:
...
ip http <COMMAND>
[no] ip http
Параметры
<COMMAND> – может принимать следующие значения:
...
[no] ip http content-filter
Параметры
<NAME> – Имя имя профиля контентной фильтрации, задаётся строкой до 31 символа.
...
Данной командой устанавливаются значения метода доступа по протоколу httpHTTP, для которых должно срабатывать правило.
...
ip http method <COMMAND>
[no] ip http method
Параметры
<COMMAND> – может принимать следующие значения:
...
ip icmp code <CODE>
[no] ip icmp code
Параметры
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
...
[no] ip icmp code comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
ip icmp id <ID>
[no] ip icmp id
Параметры
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
...
ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
...
ip icmp type <TYPE>
[no] ip icmp type
Параметры
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
...
[no] ip icmp type comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
ip protocol-id <ID>
[no] ip protocol-id
Параметры
<ID> – идентификационный номер IP-протокола [1..255].
...
[no] ip tcp acknowledgment-number
Параметры
<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
...
ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
...
ip tcp window-size <SIZE>
[no] ip tcp window-size
Параметры
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
...
Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
...
[no] ip ttl comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
[no] meta classification-type
Параметры
- not-suspicious – не подозрительный трафик;
- unknown – неизвестный трафик;
- bad-unknown – потенциально плохой трафик;
- attempted-recon – попытка утечки информации;
- successful-recon-limited – утечка информации;
- successful-recon-largescale – масштабная утечка информации;
- attempted-dos – попытка отказа в обслуживании;
- successful-dos – отказ в обслуживании;
- attempted-user – попытка получения привилегий пользователя;
- unsuccessful-user – безуспешная попытка получения привилегий пользователя;
- successful-user – успешная попытка получения привилегий пользователя;
- attempted-admin – попытка получения привилегий администратора;
- successful-admin – успешная попытка получения привилегий администратора;
- rpc-portmap-decode – декодирование запроса RPC;
- shellcode-detect – обнаружен исполняемый код;
- string-detect – обнаружена подозрительная строка;
- suspicious-filename-detect – было обнаружено подозрительное имя файла;
- suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
- system-call-detect – обнаружен системный вызов;
- tcp-connection – обнаружено TCP-соединение;
- trojan-activity – был обнаружен сетевой троян;
- unusual-client-port-connection – клиент использовал необычный порт;
- network-scan – обнаружение сетевого сканирования;
- denial-of-service – обнаружение атаки отказа в обслуживании;
- non-standard-protocol – обнаружение нестандартного протокола или события;
- protocol-command-decode – обнаружена попытка шифрования;
- web-application-activity – доступ к потенциально уязвимому веб-приложению;
- web-application-attack – атака на веб-приложение;
- misc-activity – прочая активность;
- misc-attack – прочие атаки;
- icmp-event – общее событие ICMP;
- inappropriate-content – обнаружено неприемлемое содержание;
- policy-violation – потенциальное нарушение корпоративной конфиденциальности;
- default-login-attempt – попытка входа с помощью стандартного логина/пароля.
...
meta log-message <MESSAGE>
[no] mera log-message
Параметры
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
...
[no] payload content <CONTENT>
Параметры
<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.
...
payload data-size <SIZE>
[no] payload data-size
Параметры
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535]
...
[no] payload data-size comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
...
[no] payload content depth
Параметры
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
...
[no] payload content offset
Параметры
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
...
protocol { any | ip | icmp | http | tcp | udp }[no] protocol
Параметры
- any – правило будет срабатывать для любых протоколов;
- ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
- icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
- http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
- tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
- udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
- ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
- ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data;.
...
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..512].
...
[no] security ips-category user-defined <CATEGORY_NAME>
Параметры
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
| Примечание |
|---|
В текущей версии использование символа «_» (нижнее подчёркивание) в <CATEGORY_NAME> не допустимонедопустимо. |
Необходимый уровень привилегий
...
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }no source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].;
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.;
destination-address policy-object-group protect устанавливает в качестве адресов отправителя, protect адреса определенные в политике IPS/IDS.
destination-address policy-object-group external устанавливает в качестве адресов отправителя, external адреса определенные в политике IPS/IDS.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
...
source-port { any | <PORT> | object-group <OBJ-GR-NAME> }no source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].
...
threshold count <COUNT>
[no] threshold count
Параметры
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535]
...
Данной командой устанавливается интервал времени, для которого считается пороговое значение . пакетов, при котором сработает правило. Команда используется только совместно с командой threshold count.
...
threshold second <SECOND>
[no] threshold second
Параметры
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
...
Синтаксис
threshold track { by-_src | by-_dst }[no] threshold track
Параметры
- by-_src – считать пороговое значение для пакетов с одинаковым IP- IP отправителя;
- by-_dst – считать пороговое значение для пакетов с одинаковым IP- IP получателя.
Необходимый уровень привилегий
...
threshold type { treshhold | limit | both }[no] threshold type
Параметры
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течении течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени;.
Необходимый уровень привилегий
...
[no] rule-advanced <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4294967295].
...
Данная команда описывает правило обработки трафика в формате SNORT 2.X / Suricata 4.X.
Использование отрицательной формы команды (no) отменяет назначение.
...
rule-text <LINE>
[no] rule-text
Параметры
<LINE> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил символ '' требуется заменить на символ 'в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-ips-category-rule-advanced)# rule-text "'alert tcp any any -> $HOME_NET any (msg: '"ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet'"; flow: established, to_server; content:'"_auth'"; depth: 20; fast_pattern; content: !'"|02 00 00 00|'"; within: 4; content: '"_ctrl'"; content: '"_ser'"; content: '"_tim'"; content: '"_exp'"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )"' |
| Scroll Pagebreak |
|---|