История страницы

...

Общие команды IPS/IDS

clear security ips counters

Данной командой выполняется сброс счетчиков работы правил сервиса IPS/IDS.

Синтаксис

clear security ips counters

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# clear security ips counters
esr# 15: 2023-09-11T12:21:00.000+07:00 %IPS-I-INFO: Counters have been cleared completely !

description

Данной командой выполняется изменение описания.

Использование отрицательной формы команды (no) удаляет описание.

Синтаксис

description <DESCRIPTION>

...

<DESCRIPTION> – описание, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPS-CATEGORY

CONFIG-IPS-CATEGORY-RULE

...

CONFIG-IPS-UPGRADE-USER-SERVER

CONFIG-CONTENT-PROVIDER

Пример

esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"

...

Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.

Синтаксис

[no] enable

Параметры

Команда не содержит параметров.

Значение по умолчанию

IPS/IDS-сервис не активирован.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

CONFIG-IPS-CATEGORY-RULE

...

CONFIG-IPS-UPGRADE-USER-SERVER

Пример

esr(config-ips)# enable

...

Данной командой выполняется просмотр информации об обновлении правил IPS/IDS, распространяемых по коммерческой лицензии.

Синтаксис

show security ips content-provider

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips content-provider 
 Server: content-provider
 		Last MD5 of received files:        93633ab9a73248ea50d58c25b1ac806c
 		Next update: 06 October 2020 12:27:40

...

Данной командой выполняется просмотр информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии. При отсутствии действующей лицензии список будет пуст.

Синтаксис

show security ips content-provider rules-info

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips content-provider rules-info 
Vendor : kaspersky
    Category : IoTURLsDF
        Count of rules : 8000
        Description : Kasperksy Lab IoTURLsDF feed
		      IoTURLsDF URL feed - a set of URLs with context covering malware that infects IoT (Internet of Things) devices
    Category : MaliciousHashDF
        Count of rules : 1
        Description : Kasperksy Lab MaliciousHashDF feed
		      Malicious Hash feed - a set of hashes of malicious objects
    Category : PhishingURLsDF
        Count of rules : 11167
        Description : Kasperksy Lab PhishingURLsDF feed
		      Phishing URL feed - a set of URLs with context that cover phishing websites and web pages

...

Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.

Синтаксис

show security ips counters

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips counters
TCP flows processed : 34687
Alerts generated : 456
Blocked by ips engine : 78
Accepted by ips engine : 1356436

...

Данной командой выполняется просмотр числа правил, используемых в текущий момент системой IPS/IDS.

Синтаксис

show security ips status [detailed]

...

detailed – показывает расширенную информацию об используемых правилах.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips status

Rule files processed:         3
Rules successfully loaded:    21724
Rules failed:                 0


esr# show security ips status detailed 
Rule files processed:         3
Rules successfully loaded:    21724
Rules failed:                 0
Rules processed:              21727
IP-only inspecting:           1
Payload inspecting:           3980
Application layer inspecting: 18951
Decoder event:                0

...

Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.

Синтаксис

show security ips user-server [<WORD>]

Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# sh security ips user-server 
Server name                        Files MD5                          Next update                        
--------------------------------   --------------------------------   --------------------------------   
content-provider                   93633ab9a73248ea50d58c25b1ac806c   06 October 2020 12:27:40           
TH                                 919f51bdf44052bfc0953362aef11c0d   06 October 2020 12:36:40           
Traffic-ID                         e5e2f6472a397227c0d96f5df430a207   06 October 2020 12:36:40           
Aggressive                         cfc3547b50f3f9fec366ba5a1e51cd1f   06 October 2020 12:36:40           
JA3-Fingerprint                    439aa6e57c66826b92337672937d505b   05 October 2020 16:51:40           
C2-Botnet                          39e118bd3884b3dc1df4ca3a03c05df1   05 October 2020 16:51:40           
SSL-BlackList                      1d9c969f25791b9ee8c8c0ab8449d849   05 October 2020 16:51:40           
ET-Open                            d53d92248a1f7cdc040d669a76cf27bc   06 October 2020 12:36:40    

...

Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.

Синтаксис

update security ips content-provider rules

Необходимый уровень привилегий

15

Командный

...

режим

ROOT

Пример

esr# update security ips content-provider rules

...

Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.

Синтаксис

update security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# update security ips content-provider rules-info

...

Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.

Синтаксис

update security ips user-server rules <WORD>

Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# update security ips user-server rules ET-Open

...

Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.

Синтаксис

category <CATEGORY>

no category { <CATEGORY> | all }

Параметры

<CATEGORY> – категория правил. 

Список доступных категорий можно посмотреть в контекстной подсказке или командой:

show security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-VENDOR

Пример

esr(config-ips-vendor)# category MobileBotnetCAndCDF

...

Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.

Синтаксис

external network-group <OBJ-GROUP-NETWORK-NAME>

no external network-group

Параметры

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-POLICY

Пример

esr(config-ips-policy)# external network-group WAN

...

Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.

Синтаксис

protect network-group <OBJ-GROUP-NETWORK-NAME>

no protect network-group

Параметры

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-POLICY

Пример

esr(config-ips-policy)# protect network-group LAN

rules

...

Данной командой указывается количество правил, которое необходимо скачать для данной категории.

Использование отрицательной формы команды (no) удаляет назначенное действие.

Команда применима только для правил, распространяемых по коммерческой лицензии.

Синтаксис

rules action { alertall | rejectcount <COUNT> | passpercent <PERCENT> | droprecomended }

no rules actionall

Scroll Pagebreak

Параметры:

• alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
• reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
• pass – прохождение трафика разрешается;
• drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

• all – данной командой указывается, что система IPS/IDS будет работать с полным набором правил данной категории;
• count <COUNT> – данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS:
  • <COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
• percent <PERCENT> – данной командой указывается процентное соотношение от общего числа правил данной категории, с которым будет работать система IPS/IDS:

  • <PERCENT> – процент от общего числа правил.

• recomended – данной командой указывается, что система IPS/IDS будет использовать рекомендованное количество правил в данной категории. Рекомендованное количество составляет 42% от общего числа правил.

Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:

show security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-VENDOR-CATEGORY

Пример

esr(config-ips-vendor-category)# rules actionpercent drop25

rules

...

action

Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего правилам данной категории.

Использование отрицательной формы команды (no) удаляет назначенное действие.

Команда применима только для правил, распространяемых по коммерческой лицензии.

Синтаксис

rules count <COUNT>action { alert | reject | pass | drop }

no rules countaction

Параметры:

<COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.

Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:

...

• alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
• reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
• pass – прохождение трафика разрешается;
• drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-VENDOR-CATEGORY

Пример

esr(config-ips-vendor-category)# rules countaction 8000drop

security ips policy

Данной командой создается политика настроек сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования политики.

Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.

Синтаксис

[no] security ips policy <POLICY_NAME>

Параметры

<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security ips policy OFFICE

...

Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.

Синтаксис

vendor <VENDOR>

no vendor <CATEGORY>

Параметры

<VENDOR> – вендор правил. 

...

show security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-POLICY

Пример

esr(config-ips-policy)# vendor kaspersky

...

Данной командой устанавливается уровень важности сообщения для логирования событий IPS/IDS.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис

logging ips severity <SEVERITY>

no logging ips severity

Параметры

<SEVERITY> – уровень важности сообщения, принимает значения (в порядке убывания важности):

...

Значение по умолчанию

info

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# logging ips severity error

security ips

Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.

Синтаксис

security ips

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security ips

fail-close enable

При использовании данной команды передача трафика через интерфейс, на котором настроен сервис IPS/IDS, в момент начальной загрузки маршрутизатора, будет заблокирована до тех пор, пока сервис IPS/IDS не запустится и не применит хотя бы одно сконфигурированное или существующее правило.

Использование отрицательной формы команды (no) разрешает прохождение трафика при отсутствии загруженных правил IPS/IDS.

Синтаксис

[no] fail-close enable

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# fail-close enable

logging remote-server

Данной командой задаются параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).

Использование отрицательной формы команды (no) останавливает отправку статистики.

Синтаксис

logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

no logging remote-server

Параметры

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

• TCP – передача данных осуществляется по протоколу TCP;
• UDP – передача данных осуществляется по протоколу UDP;.

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog -пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog -пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты;.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# logging remote-server 192.168.0.101

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

logging update-interval <INTERVAL>

no logging update-interval

Параметры

<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.

Значение по умолчанию

10 минут.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# logging update-interval 10

security ips

...

queue-limit

Данной командой определяется предельное количество пакетов для виртуальной очереди одного потока сервиса IPS/IDS и перехода в режим его конфигурирования.

Синтаксис

security ips

. Больший размер очереди позволяет оптимизировать производительность при всплесках трафика, но слишком большая очередь может привести к снижению производительности.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

queue-limit <QUEUE-LIMIT>

no queue-limit

Параметры

<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096].

Значение по умолчанию

1024

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

...

...

performance max

Данная команда позволяет сервису IPS/IDS использовать все ресурсы устройства для достижения максимальной производительности. Рекомендуется применять, когда устройство используется исключительно в качестве IPS/IDS. Не рекомендуется применять, когда помимо IPS/IDS устройство выполняет другие функции (маршрутизация, BRAS и т. д.).

Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.

Синтаксис

[no] performance max

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# perfomance max

...

Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.

Синтаксис

policy <POLICY_NAME>

no policy

Параметры

<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# policy OFFICE

...

Данная команда используется для включение включения сервиса IPS/IDS на сетевом интерфейсе.

Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.

Синтаксис

service-ips { inline | monitor }
[no] service-ips 

Параметры

inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;

monitor – режим работы сервиса IPS/IDS, когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т. е. сервис работает в режиме IDS.

Необходимый уровень привилегий

15

Командный режим

CONFIG-GI

CONFIG-TE

CONFIG-SUBIF

...

CONFIG-PORT-CHANNEL

CONFIG-BRIDGE

Пример

esr(config-if-gi)# service-ips inline

...

Данной командой осуществляется переход в режим конфигурирования источника обновлений правил, распространяемых по коммерческой лицензии.

Синтаксис

content-provider

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# content-provider

...

Данной командой задаётся адрес сервера обновлений правил, распространяемых по коммерческой лицензии.

Синтаксис

host address { <ADDR> | <IPV6-ADDR> | <HOSTNAME><WORD> }

Параметры

<ADDR> – IP-адрес сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<HOSTNAMEWORD> – DNS-имя сервера, задаётся строкой до 255 символов31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# host address edm.eltex-co.ru

...

Использование отрицательной формы команды (no) удаляет номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.

Синтаксис

host port <PORT> 
no host port 

Параметры

<PORT> – номер TCP-порта, принимает значения [1..65535];.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# host port 8098

...

Синтаксис

location <WORD>
no location

Параметры

<WORD> – описание, задаётся строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# location "Server room in Novokuznetsk office"

...

При наличии функциональной лицензии IPS/IDS перезагрузки не происходит.

Синтаксис

reboot { immediately | time <TIME> } 

Параметры

immediately – перезагружаться сразу после получения лицензии;

...

<TIME> – время перезагрузки в формате HH:MM:SS.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# reboot time 05:00:00

...

Для использования с системой IPS/IDS  IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.

Использование отрицательной формы команды (no) останавливает сохранение правил.

Синтаксис

storage-path { usb://<USB-NAME>:/<PATH> | mmc://<MMC-NAME>:/<PATH> }

no storage-device

Параметры

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc;<PATH> – путь и имя файла на внешнем носителе.

Необходимый уровень привилегий config-ips-upgrade-user-server

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# storage-device usb://DATA/IPS

...

Синтаксис

system-name <WORD>
no system-name

Параметры

<WORD> – имя, задаётся строкой до 255 символов253 символа.

Значение по умолчанию

По умолчанию значение system-name совпадает с hostname.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# system-name main-office

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

upgrade interval <HOURS>

no upgrade interval

Параметры

<HOURS> – интервал обновлений в часах, от 1 до 240.

Значение по умолчанию

24

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# upgrade interval 36

...

Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.

Синтаксис

auto-upgrade

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# auto-upgrade

storage-path

Данной командой задается путь на внешнем носителе, по которому будут сохраняться правила IPS/IDS, загружаемые с пользовательских серверов обновлений.

Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.

Использование отрицательной формы команды (no) останавливает сохранение правил.

Синтаксис

storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }

no storage-device

Параметры

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.

Необходимый уровень привилегий config-ips-upgrade-user-server

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# storage-device usb://DATA/

upgrade interval

Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS и/или файла классификатора IPD/IDS для данного URL.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

upgrade interval <HOURS>

no upgrade interval

Параметры

<HOURS> – интервал обновлений в часах, от 1 до 240.

Значение по умолчанию

24

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-UPGRADE-USER-SERVER

Пример

esr(config-ips-upgrade-user-server)# upgrade interval 36

...

Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.

Синтаксис

url <URL>

no url

Параметры

<URL> – текстовое поле, содержащее URL-ссылку длинной длиной от 8 до 255 символов.

В качестве URL-ссылки может быть указан:

• файл правил с расширение .rule,
• файл классификатора правил с именем classification.config,
• каталог на сервере, содержащий файлы правил и/или файл классификатора правил.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-UPGRADE-USER-SERVER

Пример

esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/

...

Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила, полученные с этого сервера.

Синтаксис

user-server <WORD>

no user-server { <WORD> | all }

Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-AUTO-UPGRADE

Пример

esr(config-ips-auto-upgrade)# user-server ET-Open

...

Использование отрицательной формы команды (no) удаляет назначенное действие.

Синтаксис

action { alert | reject | pass | drop }

no action

Scroll Pagebreak

Параметры

...

• alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
• reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
• pass – прохождение трафика разрешается;
• drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# action reject

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }

no destination-address

Параметры

<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

destination-address policy-object-group protect – устанавливает в качестве адресов назначения protect-адреса, определенные в политике IPS/IDS;

destination-address policy-object-group external – устанавливает в качестве адресов назначения external-адреса, определенные в политике IPS/IDS;

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# destination-address ip 10.10.10.1

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }

no destination-port

Параметры

<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535];

<OBJ_GR_NAME> – имя профиля TCP/UDP-портов получателя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# destination-port 22

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

direction { one-way | round-trip }

no direction

Параметры

• one-way – трафик передаётся в одну сторону;
• round-trip – трафик передаётся в обе стороны.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# direction one-way

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip dscp <DSCP>

[no] ip dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения [0..63].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip dscp 8

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip ftp command <COMMAND>

[no] ip ftp command

Параметры

<COMMAND> – может принимать следующие значения:

• <retr> – скачать файл;
• <stor> – залить файл;
• <mkd> – создать директорию;
• <rmd> – удалить директорию;
• <appe> – добавить в конец файла (с созданием);
• <dele> – удалить файл.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# protocol ftp
esr(config-ips-category-rule)# ip ftp command allo

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip ftp-data command <COMMAND>

[no] ip ftp-data command

Параметры

<COMMAND> – может принимать следующие значения:

• <retr> – скачать файл;
• <stor> – залить файл;
• <appe> – добавить в конец файла (с созданием).

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# protocol ftp-data
esr(config-ips-category-rule)# ip ftp-data command stor

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip http <COMMAND>

[no] ip http

Параметры

<COMMAND> – может принимать следующие значения:

...

Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X/Suricata 4.X.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "HTTP/1.0"
esr(config-ips-category-rule)# ip http protocol

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip http content-filter <NAME>

[no] ip http content-filter

Параметры

<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.

any – правило будет срабатывать для http-сайтов любой категории.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip http content-filter Black-List

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip http method <COMMAND>

[no] ip http method

Параметры

<COMMAND> – может принимать следующие значения:

• <GET> – запрашивает представление ресурса. Запросы с использованием этого метода могут только извлекать данные;
• <HEAD> – запрашивает ресурс так же, как и метод GET, но без тела ответа;
• <POST> – используется для отправки сущностей к определённому ресурсу;
• <PUT> – заменяет все текущие представления ресурса данными запроса;
• <DELETE> – удаляет указанный ресурс;
• <CONNECT> – устанавливает «туннель» к серверу, определённому по ресурсу;
• <OPTIONS> – используется для описания параметров соединения с ресурсом;
• <TRACE> – выполняет вызов возвращаемого тестового сообщения с ресурса;
• <PATCH> – используется для частичного изменения ресурса.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip http method get

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp code <CODE>

[no] ip icmp code

Параметры

<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp code 5

...

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

ip icmp code comparison-operator { greater-than | less-than }

[no] ip icmp code comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp code 5
esr(config-ips-category-rule)# ip icmp code comparison-operator less-than

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp id <ID>

[no] ip icmp id

Параметры

<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp id 65000

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp sequence-id <SEQ-ID>

[no] ip icmp sequence-id

Параметры

<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp sequence-id 8388608

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp type <TYPE>

[no] ip icmp type

Параметры

<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp type 12

...

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

ip icmp type comparison-operator { greater-than | less-than }

[no] ip icmp type comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp type 14
esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip protocol-id <ID>

[no] ip protocol-id

Параметры

<ID> – идентификационный номер IP-протокола [1..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip protocol-id 250

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip tcp acknowledgment-number <ACK-NUM>

[no] ip tcp acknowledgment-number

Параметры

<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip tcp acknowledgment-number 32

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip tcp sequence-id <SEQ-ID>

[no] ip tcp sequence-id

Параметры

<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip tcp sequence-id 2542

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip tcp window-size <SIZE>

[no] ip tcp window-size

Параметры

<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip tcp window-size 50

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip ttl <TTL>

[no] ip ttl

Параметры

<TTL> – время жизни IP-пакета, принимает значения [1..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip ttl 8

...

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

ip ttl comparison-operator { greater-than | less-than }

[no] ip ttl comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip ttl 5
esr(config-ips-category-rule)# ip ttl comparison-operator less-than

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }

[no] meta classification-type

Параметры

• not-suspicious – не подозрительный еподозрительный трафик;
• unknown – неизвестный трафик;
• bad-unknown – потенциально плохой трафик;
• attempted-recon – попытка утечки информации;
• successful-recon-limited – утечка информации;
• successful-recon-largescale – масштабная утечка информации;
• attempted-dos – попытка отказа в обслуживании;
• successful-dos – отказ в обслуживании;
• attempted-user – попытка получения привилегий пользователя;
• unsuccessful-user – безуспешная попытка получения привилегий пользователя;
• successful-user – успешная попытка получения привилегий пользователя;
• attempted-admin – попытка получения привилегий администратора;
• successful-admin – успешная попытка получения привилегий администратора;
• rpc-portmap-decode – декодирование запроса RPC;
• shellcode-detect – обнаружен исполняемый код;
• string-detect – обнаружена подозрительная строка;
• suspicious-filename-detect – было обнаружено подозрительное имя файла;
• suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
• system-call-detect – обнаружен системный вызов;
• tcp-connection – обнаружено TCP-соединение;
• trojan-activity – был обнаружен сетевой троян;
• unusual-client-port-connection – клиент использовал необычный порт;
• network-scan – обнаружение сетевого сканирования;
• denial-of-service – обнаружение атаки отказа в обслуживании;
• non-standard-protocol – обнаружение нестандартного протокола или события;
• protocol-command-decode – обнаружена попытка шифрования;
• web-application-activity – доступ к потенциально уязвимому веб-приложению;
• web-application-attack – атака на веб-приложение;
• misc-activity – прочая активность;
• misc-attack – прочие атаки;
• icmp-event – общее событие ICMP;
• inappropriate-content – обнаружено неприемлемое содержание;
• policy-violation – потенциальное нарушение корпоративной конфиденциальности;
• default-login-attempt – попытка входа с помощью стандартного логина/пароля.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# meta classification-type misc-attack

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

meta log-message <MESSAGE>

[no] mera log-message

Параметры

<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack"

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload content <CONTENT>

[no] payload content <CONTENT>

Параметры

<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "virus"

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload data-size <SIZE>

[no] payload data-size

Параметры

<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload data-size 1024

...

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

payload data-size comparison-operator { greater-than | less-than }

[no] payload data-size comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload data-size 1024
esr(config-ips-category-rule)# payload data-size comparison-operator less-than

payload depth

Данная команда указывает, сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.

Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.

Синтаксис

payload depth <DEPTH>

[no] payload content depth

Параметры

<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "abc"
esr(config-ips-category-rule)# payload depth 3

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload no-case

[no] payload content no-case

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "virus"
esr(config-ips-category-rule)# payload no-case

...

Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.

Синтаксис

payload offset <OFFSET>

[no] payload content offset

Параметры

<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "abc"
esr(config-ips-category-rule)# payload depth 6
esr(config-ips-category-rule)# payload offset 3

...

Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

protocol { any | ip | icmp | http | tcp | udp }

[no] protocol

Параметры

• any – правило будет срабатывать для любых протоколов;
• ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
• icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
• http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
• tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
• udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
• ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
• ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data;.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# protocol udp

...

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис

[no] rule <ORDER>

Параметры

<ORDER> – номер правила, принимает значения [1..512].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY

Пример

esr(config-ips-category)# rule 10
esr(config-ips-category-rule)#

...

Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.

Синтаксис

[no] security ips-category user-defined <CATEGORY_NAME>

Параметры

<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security ips-category user-defined PROTOCOL
esr(config-ips-category)#

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }

no source-address

Параметры

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

destination-address policy-object-group protect – устанавливает в качестве адресов отправителя , protect-адреса, определенные в политике IPS/IDS.

destination-address policy-object-group external – устанавливает в качестве адресов отправителя , external-адреса, определенные в политике IPS/IDS.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

source-port { any | <PORT> | object-group <OBJ-GR-NAME> }

no source-port

Параметры

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].

<OBJ_GR_NAME> – имя профиля TCP/UDP-портов отправителя, задаётся строкой до 31 символа.

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# source-port 22

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold count <COUNT>

[no] threshold count 

Параметры

<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold count 1024

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold second <SECOND>

[no] threshold second

Параметры

<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold second 1

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold track { by_src | by_dst }

[no] threshold track

Параметры

• by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
• by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold track by-src

...

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold type { treshhold | limit | both }

[no] threshold type

Параметры

• threshold – выдавать сообщение каждый раз по достижении порога;
• limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
• both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold count 1024
esr(config-ips-category-rule)# threshold second 1
esr(config-ips-category-rule)# threshold track by-src
esr(config-ips-category-rule)# threshold type treshold

...

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис

[no] rule-advanced <ORDER>

Параметры

<ORDER> – номер правила, принимает значения [1..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE-ADVANCED

Пример

esr(config-ips-category)# rule-advanced 10
esr(config-ips-category-rule-advanced)#

Scroll Pagebreak

rule-text

Данная команда описывает правило обработки трафика в формате SNORT 2.X/Suricata 4.X.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

rule-text <LINE>

[no] rule-text

Параметры

<LINE> – текстовое сообщение в формате SNORT 2.X/Suricata 4.X, задаётся строкой до 1024 символов.

При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE-ADVANCED

Пример

esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> $HOME_NET any (msg: "ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet"; flow: established, to_server; content:"_auth"; depth: 20; fast_pattern; content: !"|02 00 00 00|"; within: 4; content: "_ctrl"; content: "_ser"; content: "_tim"; content: "_exp"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )'

...