История страницы

...

Общие команды IPS/IDS

clear security ips counters

Данной командой выполняется сброс счетчиков работы правил сервиса IPS/IDS.

Синтаксис

clear security ips counters

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# clear security ips counters
esr# 15: 2023-09-11T12:21:00.000+07:00 %IPS-I-INFO: Counters have been cleared completely !

description

Данной командой выполняется изменение описания.

Использование отрицательной формы команды (no) удаляет описание.

Синтаксис

description <DESCRIPTION>

no description

Параметры

<DESCRIPTION> – описание, задаётся строкой до 255 символов.

Необходимый уровень привилегий

10

Командный режим

CONFIG-IPS-CATEGORY

CONFIG-IPS-CATEGORY-RULE

...

CONFIG-IPS-UPGRADE-USER-SERVER

CONFIG-CONTENT-PROVIDER

Пример

esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"

enable

Данной командой активируется сервис IPS/IDS и его правила.

Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.

Синтаксис

[no] enable

Параметры

Команда не содержит параметров.

Значение по умолчанию

IPS/IDS-сервис не активирован.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

CONFIG-IPS-CATEGORY-RULE

...

CONFIG-IPS-UPGRADE-USER-SERVER

Пример

esr(config-ips)# enable

show security ips content-provider

Данной командой выполняется просмотр информации об обновлении правил IPS/IDS, распространяемых по коммерческой лицензии.

Синтаксис

show security ips content-provider

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips content-provider 
 Server: content-provider
 		Last MD5 of received files:        93633ab9a73248ea50d58c25b1ac806c
 		Next update: 06 October 2020 12:27:40

show security ips content-provider rules-info

Данной командой выполняется просмотр информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии. При отсутствии действующей лицензии список будет пуст.

Синтаксис

show security ips content-provider rules-info

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips content-provider rules-info 
Vendor : kaspersky
    Category : IoTURLsDF
        Count of rules : 8000
        Description : Kasperksy Lab IoTURLsDF feed
		      IoTURLsDF URL feed - a set of URLs with context covering malware that infects IoT (Internet of Things) devices
    Category : MaliciousHashDF
        Count of rules : 1
        Description : Kasperksy Lab MaliciousHashDF feed
		      Malicious Hash feed - a set of hashes of malicious objects
    Category : PhishingURLsDF
        Count of rules : 11167
        Description : Kasperksy Lab PhishingURLsDF feed
		      Phishing URL feed - a set of URLs with context that cover phishing websites and web pages

show security ips counters

Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.

Синтаксис

show security ips counters

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips counters
----------------------------------------------
IPS general counters
----------------------------------------------
Packets decoded by ips engine:               83971
Invalid packets decoded by ips engine:       0
Packets accepted by ips engine:              83977
Packets blocked by ips engine:               0
Packets replaced by ips engine:              0
Alerts generated:                            8
----------------------------------------------
IPS Decoder engine
----------------------------------------------
Packets decoded by ips engine:               83971
Bytes decoded by ips engine:                 125677543
Invalid packets decoded by ips engine:       0
IPv4 packets decoded by ips engine:          83971
IPv6 packets decoded by ips engine:          0
TCP packets decoded by ips engine:           75
UDP packets decoded by ips engine:           83891
SCTP packets decoded by ips engine:          0
ICMPv4 packets decoded by ips engine:        5
ICMPv6 packets decoded by ips engine:        0
PPP packets decoded by ips engine:           0
PPPoE packets decoded by ips engine:         0
GRE packets decoded by ips engine:           0
Teredo packets decoded by ips engine:        0
Average packets size decoded by ips engine:  1496
Maximum packets size decoded by ips engine:  1500
----------------------------------------------
IPS Application Layer
----------------------------------------------
HTTP Flow decoded by ips engine:             0
FTP Flow decoded by ips engine:              0
FTP-DATA Flow decoded by ips engine:         0
SMTP Flow decoded by ips engine:             0
TLS Flow decoded by ips engine:              0
SSH Flow decoded by ips engine:              0
IMAP Flow decoded by ips engine:             0
SMB Flow decoded by ips engine:              0
DCE/RPC flow over TCP decoded by ips engine: 0
DCE/RPC flow over UDP decoded by ips engine: 0
DNS flow over TCP decoded by ips engine:     0
DNS flow over UDP decoded by ips engine:     0
ENIP flow over TCP decoded by ips engine:    0
ENIP flow over UDP decoded by ips engine:    0
----------------------------------------------
IPS Flow engine
----------------------------------------------
TCP Flow decoded by ips engine:              1
UDP Flow decoded by ips engine:              1
ICMPv4 Flow decoded by ips engine:           1
ICMPv6 Flow decoded by ips engine:           0
Failed TCP Flow decoded by ips engine:       0
Failed UDP Flow decoded by ips engine:       1
----------------------------------------------
IPS TCP engine
----------------------------------------------
TCP sessions decoded by ips engine:          1
TCP SYN packets decoded by ips engine:       1
TCP SYN-ACK packets decoded by ips engine:   0
TCP RST packets decoded by ips engine:       0
TCP packets with invalid checksum:           0
TCP packets with wrong thread:               0
Packets with TCP header length too small:    0
TCP packets with invalid options:            0

show security ips counters application-layer

Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на уровне приложений.

Синтаксис

show security ips counters application-layer

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips counters application-layer
----------------------------------------------
IPS Application Layer
----------------------------------------------
HTTP Flow decoded by ips engine:             0
FTP Flow decoded by ips engine:              0
FTP-DATA Flow decoded by ips engine:         0
SMTP Flow decoded by ips engine:             0
TLS Flow decoded by ips engine:              0
SSH Flow decoded by ips engine:              0
IMAP Flow decoded by ips engine:             0
SMB Flow decoded by ips engine:              0
DCE/RPC flow over TCP decoded by ips engine: 0
DCE/RPC flow over UDP decoded by ips engine: 0
DNS flow over TCP decoded by ips engine:     0
DNS flow over UDP decoded by ips engine:     0
ENIP flow over TCP decoded by ips engine:    0
ENIP flow over UDP decoded by ips engine:    0

show security ips counters decoder

Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS декодера.

Синтаксис

show security ips counters decoder

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips counters decoder
----------------------------------------------
IPS Decoder engine
----------------------------------------------
Packets decoded by ips engine:               83971
Bytes decoded by ips engine:                 125677543
Invalid packets decoded by ips engine:       0
IPv4 packets decoded by ips engine:          83971
IPv6 packets decoded by ips engine:          0
TCP packets decoded by ips engine:           75
UDP packets decoded by ips engine:           83891
SCTP packets decoded by ips engine:          0
ICMPv4 packets decoded by ips engine:        5
ICMPv6 packets decoded by ips engine:        0
PPP packets decoded by ips engine:           0
PPPoE packets decoded by ips engine:         0
GRE packets decoded by ips engine:           0
Teredo packets decoded by ips engine:        0
Average packets size decoded by ips engine:  1496
Maximum packets size decoded by ips engine:  1500

show security ips counters flow

Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на потоках.

Синтаксис

show security ips counters flow

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips counters flow
----------------------------------------------
IPS Flow engine
----------------------------------------------
TCP Flow decoded by ips engine:              1
UDP Flow decoded by ips engine:              1
ICMPv4 Flow decoded by ips engine:           1
ICMPv6 Flow decoded by ips engine:           0
Failed TCP Flow decoded by ips engine:       0
Failed UDP Flow decoded by ips engine:       1
----------------------------------------------

show security ips counters general

Данной командой выполняется просмотр глобальных счетчиков работы правил сервиса IPS/IDS.

Синтаксис

show security ips counters general

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips counters general
----------------------------------------------
IPS general counters
----------------------------------------------
Packets decoded by ips engine:               83971
Invalid packets decoded by ips engine:       0
Packets accepted by ips engine:              83977
Packets blocked by ips engine:               0
Packets replaced by ips engine:              0
Alerts generated:                            8
----------------------------------------------

show security ips counters tcp

Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS для TCP-сессий.

Синтаксис

show security ips counters tcp

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips counters tcp
----------------------------------------------
IPS TCP engine
----------------------------------------------
TCP sessions decoded by ips engine:          1
TCP SYN packets decoded by ips engine:       1
TCP SYN-ACK packets decoded by ips engine:   0
TCP RST packets decoded by ips engine:       0
TCP packets with invalid checksum:           0
TCP packets with wrong thread:               0
Packets with TCP header length too small:    0
TCP packets with invalid options:            0

show security ips status

Данной командой выполняется просмотр числа правил, используемых в текущий момент системой IPS/IDS.

Синтаксис

show security ips status [detailed]

Параметры

detailed – показывает расширенную информацию об используемых правилах.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show security ips status

Rule files processed:         3
Rules successfully loaded:    21724
Rules failed:                 0


esr# show security ips status detailed 
Rule files processed:         3
Rules successfully loaded:    21724
Rules failed:                 0
Rules processed:              21727
IP-only inspecting:           1
Payload inspecting:           3980
Application layer inspecting: 18951
Decoder event:                0

show security ips user-server

Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.

Синтаксис

show security ips user-server [<WORD>]

Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# sh security ips user-server 
Server name                        Files MD5                          Next update                        
--------------------------------   --------------------------------   --------------------------------   
content-provider                   93633ab9a73248ea50d58c25b1ac806c   06 October 2020 12:27:40           
TH                                 919f51bdf44052bfc0953362aef11c0d   06 October 2020 12:36:40           
Traffic-ID                         e5e2f6472a397227c0d96f5df430a207   06 October 2020 12:36:40           
Aggressive                         cfc3547b50f3f9fec366ba5a1e51cd1f   06 October 2020 12:36:40           
JA3-Fingerprint                    439aa6e57c66826b92337672937d505b   05 October 2020 16:51:40           
C2-Botnet                          39e118bd3884b3dc1df4ca3a03c05df1   05 October 2020 16:51:40           
SSL-BlackList                      1d9c969f25791b9ee8c8c0ab8449d849   05 October 2020 16:51:40           
ET-Open                            d53d92248a1f7cdc040d669a76cf27bc   06 October 2020 12:36:40    

update security ips content-provider rules

Данной командой инициируется принудительное обновление правил IPS/IDS, распространяемых по коммерческой лицензии.

Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.

Синтаксис

update security ips content-provider rules

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# update security ips content-provider rules

update security ips content-provider rules-info

Данной командой инициируется принудительный запрос информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии.

Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.

Синтаксис

update security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# update security ips content-provider rules-info

update security ips user-server rules

Данной командой инициируется принудительное обновление правил IPS/IDS с пользовательского сервера обновлений.

Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.

Синтаксис

update security ips user-server rules <WORD>

Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# update security ips user-server rules ET-Open

Настройка политики IPS/IDS

category

Данной командой определяется категория правил IPS/IDS определённого вендора, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данной категории.

Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.

Синтаксис

category <CATEGORY>

no category { <CATEGORY> | all }

Параметры

<CATEGORY> – категория правил. 

...

show security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-VENDOR

Пример

esr(config-ips-vendor)# category MobileBotnetCAndCDF

external network-group

Данной командой устанавливается профиль IP-адресов, которые сервис IPS/IDS будет считать ненадежными.

...

Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.

Синтаксис

external network-group <OBJ-GROUP-NETWORK-NAME>

no external network-group

Параметры

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-POLICY

Пример

esr(config-ips-policy)# external network-group WAN

protect network-group

Данной командой устанавливается профиль IP-адресов, которые будет защищать сервис IPS/IDS.

...

Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.

Синтаксис

protect network-group <OBJ-GROUP-NETWORK-NAME>

no protect network-group

Параметры

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-POLICY

Пример

esr(config-ips-policy)# protect network-group LAN

rules

Данной командой указывается количество правил, которое необходимо скачать для данной категории.

...

Команда применима только для правил, распространяемых по коммерческой лицензии.

Синтаксис

rules { all | count <COUNT> | percent <PERCENT> | recomended }

no rules all

Параметры:

• all – данной командой указывается, что система IPS/IDS будет работать с полным набором правил данной категории;
• count <COUNT> – данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS:
  • <COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
• percent <PERCENT> – данной командой указывается процентное соотношение от общего числа правил данной категории, с которым будет работать система IPS/IDS:

  • <PERCENT> – процент от общего числа правил.

• recomended – данной командой указывается, что система IPS/IDS будет использовать рекомендованное количество правил в данной категории. Рекомендованное количество составляет 42% от общего числа правил.

...

show security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-VENDOR-CATEGORY

Пример

esr(config-ips-vendor-category)# rules percent 25

rules action

Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего правилам данной категории.

...

Команда применима только для правил, распространяемых по коммерческой лицензии.

Синтаксис

rules action { alert | reject | pass | drop }

no rules action

Параметры:

• alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
• reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
• pass – прохождение трафика разрешается;
• drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-VENDOR-CATEGORY

Пример

esr(config-ips-vendor-category)# rules action drop

security ips policy

Данной командой создается политика настроек сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования политики.

Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.

Синтаксис

[no] security ips policy <POLICY_NAME>

Параметры

<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security ips policy OFFICE

vendor

Данной командой определяется вендор правил IPS/IDS, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данного вендора.

Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.

Синтаксис

vendor <VENDOR>

no vendor <CATEGORY>

Параметры

<VENDOR> – вендор правил. 

...

show security ips content-provider rules-info

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-POLICY

Пример

esr(config-ips-policy)# vendor kaspersky

Настройка IPS

logging ips severity

Данной командой устанавливается уровень важности сообщения для логирования событий IPS/IDS.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис

logging ips severity <SEVERITY>

no logging ips severity

Параметры

<SEVERITY> – уровень важности сообщения, принимает значения (в порядке убывания важности):

• emerg – в системе произошла критическая ошибка, система неработоспособна;
• alert – сигналы тревоги, необходимо немедленное вмешательство персонала;
• crit – критическое состояние системы, сообщение о событии;
• error – сообщения об ошибках;
• warning – предупреждения, неаварийные сообщения;
• notice – сообщения о важных системных событиях;
• info – информационные сообщения системы;
• debug – отладочные сообщения, предоставляют пользователю информацию для корректной настройки системы;
• none – отключает вывод syslog-сообщений. 

Значение по умолчанию

info

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# logging ips severity error

security ips

Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.

Синтаксис

security ips

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security ips

fail-close enable

При использовании данной команды передача трафика через интерфейс, на котором настроен сервис IPS/IDS, в момент начальной загрузки маршрутизатора, будет заблокирована до тех пор, пока сервис IPS/IDS не запустится и не применит хотя бы одно сконфигурированное или существующее правило.

Использование отрицательной формы команды (no) разрешает прохождение трафика при отсутствии загруженных правил IPS/IDS.

Синтаксис

[no] fail-close enable

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# fail-close enable

logging remote-server

Данной командой задаются параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).

Использование отрицательной формы команды (no) останавливает отправку статистики.

Синтаксис

logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]

no logging remote-server

Параметры

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# logging remote-server 192.168.0.101

logging update-interval

Данной командой устанавливается интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

logging update-interval <INTERVAL>

no logging update-interval

Параметры

<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.

Значение по умолчанию

10 минут.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# logging update-interval 10

queue-limit

Данной командой определяется предельное количество пакетов для виртуальной очереди одного потока сервиса IPS/IDS. Больший размер очереди позволяет оптимизировать производительность при всплесках трафика, но слишком большая очередь может привести к снижению производительности.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

queue-limit <QUEUE-LIMIT>

no queue-limit

Параметры

<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096].

Значение по умолчанию

1024

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# queue-limit 2048

performance max

Данная команда позволяет сервису IPS/IDS использовать все ресурсы устройства для достижения максимальной производительности. Рекомендуется применять, когда устройство используется исключительно в качестве IPS/IDS. Не рекомендуется применять, когда помимо IPS/IDS устройство выполняет другие функции (маршрутизация, BRAS и т. д.).

Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.

Синтаксис

[no] performance max

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# perfomance max

policy

Данной командой назначается созданная ранее политика настроек сервиса IPS/IDS.

Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.

Синтаксис

policy <POLICY_NAME>

no policy

Параметры

<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# policy OFFICE

service-ips

Данная команда используется для включения сервиса IPS/IDS на сетевом интерфейсе.

Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.

Синтаксис

service-ips { inline | monitor }
[no] service-ips 

Параметры

inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;

monitor – режим работы сервиса IPS/IDS, когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т. е. сервис работает в режиме IDS.

Необходимый уровень привилегий

15

Командный режим

CONFIG-GI

CONFIG-TE

CONFIG-SUBIF

...

CONFIG-PORT-CHANNEL

CONFIG-BRIDGE

Пример

esr(config-if-gi)# service-ips inline

Настройка автообновления правил IPS/IDS, распространяемых по коммерческой лицензии

content-provider

Данной командой осуществляется переход в режим конфигурирования источника обновлений правил, распространяемых по коммерческой лицензии.

Синтаксис

content-provider

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# content-provider

host address

Данной командой задаётся адрес сервера обновлений правил, распространяемых по коммерческой лицензии.

Синтаксис

host address { <ADDR> | <IPV6-ADDR> | <WORD> }

Параметры

<ADDR> – IP-адрес сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

<WORD> – DNS-имя сервера, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# host address edm.eltex-co.ru

host port

Данной командой задаётся номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.

Использование отрицательной формы команды (no) удаляет номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.

Синтаксис

host port <PORT> 
no host port 

Параметры

<PORT> – номер TCP-порта, принимает значения [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# host port 8098

location

Данной командой задаётся текстовое описание, которое передаётся на сервер EDM-Issue. 

...

Синтаксис

location <WORD>
no location

Параметры

<WORD> – описание, задаётся строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# location "Server room in Novokuznetsk office"

reboot

Данной командой задаётся время перезагрузки устройства при получении системной лицензии. Устройство перезагружается при первом подключении к серверу обновлений правил, распространяемых по коммерческой лицензии.

При наличии функциональной лицензии IPS/IDS перезагрузки не происходит.

Синтаксис

reboot { immediately | time <TIME> } 

Параметры

immediately – перезагружаться сразу после получения лицензии;

...

<TIME> – время перезагрузки в формате HH:MM:SS.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# reboot time 05:00:00

storage-path

Данной командой задается путь на внешнем носителе, по которому будут сохраняться правила IPS/IDS в шифрованном виде, распространяемые по коммерческой лицензии.

...

Использование отрицательной формы команды (no) останавливает сохранение правил.

Синтаксис

storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }

no storage-device

Параметры

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.

Необходимый уровень привилегий config-ips-upgrade-user-server

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# storage-device usb://DATA/IPS

system-name

Данной командой задаётся текстовое имя устройства, которое передаётся на сервер EDM-Issue.

...

Синтаксис

system-name <WORD>
no system-name

Параметры

<WORD> – имя, задаётся строкой до 253 символа.

Значение по умолчанию

По умолчанию значение system-name совпадает с hostname.

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# system-name main-office

upgrade interval

Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS, распространяемых по коммерческой лицензии.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

upgrade interval <HOURS>

no upgrade interval

Параметры

<HOURS> – интервал обновлений в часах, от 1 до 240.

Значение по умолчанию

24

Необходимый уровень привилегий

15

Командный режим

CONFIG-CONTENT-PROVIDER

Пример

esr(config-content-provider)# upgrade interval 36

Настройка автообновления правил IPS/IDS из внешних источников

auto-upgrade

Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.

Синтаксис

auto-upgrade

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# auto-upgrade

storage-path

Данной командой задается путь на внешнем носителе, по которому будут сохраняться правила IPS/IDS, загружаемые с пользовательских серверов обновлений.

...

Использование отрицательной формы команды (no) останавливает сохранение правил.

Синтаксис

storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }

no storage-device

Параметры

<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;

<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.

Необходимый уровень привилегий config-ips-upgrade-user-server

15

Командный режим

CONFIG-IPS

Пример

esr(config-ips)# storage-device usb://DATA/

upgrade interval

Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS и/или файла классификатора IPD/IDS для данного URL.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

upgrade interval <HOURS>

no upgrade interval

Параметры

<HOURS> – интервал обновлений в часах, от 1 до 240.

Значение по умолчанию

24

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-UPGRADE-USER-SERVER

Пример

esr(config-ips-upgrade-user-server)# upgrade interval 36

url

Команда используется для задания URL-ссылки.

Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.

Синтаксис

url <URL>

no url

Параметры

<URL> – текстовое поле, содержащее URL-ссылку длиной от 8 до 255 символов.

...

• файл правил с расширение .rule,
• файл классификатора правил с именем classification.config,
• каталог на сервере, содержащий файлы правил и/или файл классификатора правил.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-UPGRADE-USER-SERVER

Пример

esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/

user-server

Данной командой задаётся имя пользовательского сервера обновлений правил IPS/IDS и осуществляется переход в режим конфигурирования параметров пользовательского сервера обновлений.

Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила, полученные с этого сервера.

Синтаксис

user-server <WORD>

no user-server { <WORD> | all }

Параметры

<WORD> – имя сервера, задается строкой от 1 до 64 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-AUTO-UPGRADE

Пример

esr(config-ips-auto-upgrade)# user-server ET-Open

Настройка пользовательских правил IPS/IDS

action

Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.

Использование отрицательной формы команды (no) удаляет назначенное действие.

Синтаксис

action { alert | reject | pass | drop }

no action

Параметры

• alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
• reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
• pass – прохождение трафика разрешается;
• drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# action reject

destination-address

Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }

no destination-address

Параметры

<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# destination-address ip 10.10.10.1

destination-port

Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }

no destination-port

Параметры

<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535];

...

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# destination-port 22

direction

Данной командой устанавливается направление потока трафика, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

direction { one-way | round-trip }

no direction

Параметры

• one-way – трафик передаётся в одну сторону;
• round-trip – трафик передаётся в обе стороны.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# direction one-way

ip dscp

Данной командой устанавливается значение кода DSCP, трафик которого будет обрабатываться в данном правиле.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip dscp <DSCP>

[no] ip dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения [0..63].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip dscp 8

ip ftp command

Данной командой устанавливаются значения ключевых слов протокола FTP, для которых должно срабатывать правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip ftp command <COMMAND>

[no] ip ftp command

Параметры

<COMMAND> – может принимать следующие значения:

• <retr> – скачать файл;
• <stor> – залить файл;
• <mkd> – создать директорию;
• <rmd> – удалить директорию;
• <appe> – добавить в конец файла (с созданием);
• <dele> – удалить файл.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# protocol ftp
esr(config-ips-category-rule)# ip ftp command allo

ip ftp-data command

Данной командой устанавливаются значения ключевых слов протокола FTP-DATA, для которых должно срабатывать правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip ftp-data command <COMMAND>

[no] ip ftp-data command

Параметры

<COMMAND> – может принимать следующие значения:

• <retr> – скачать файл;
• <stor> – залить файл;
• <appe> – добавить в конец файла (с созданием).

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# protocol ftp-data
esr(config-ips-category-rule)# ip ftp-data command stor

ip http

Данной командой устанавливаются значения ключевых слов протокола HTTP, для которых должно срабатывать правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip http <COMMAND>

[no] ip http

Параметры

<COMMAND> – может принимать следующие значения:

...

Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X/Suricata 4.X.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "HTTP/1.0"
esr(config-ips-category-rule)# ip http protocol

ip http content-filter

Данной командой назначается профиль категорий контентной фильтрации. Текущее правило будет срабатывать для http-сайтов, которые относятся к категориям заданным в этом профиле.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip http content-filter <NAME>

[no] ip http content-filter

Параметры

<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.

any – правило будет срабатывать для http-сайтов любой категории.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip http content-filter Black-List

ip http method

Данной командой устанавливаются значения метода доступа по протоколу HTTP, для которых должно срабатывать правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip http method <COMMAND>

[no] ip http method

Параметры

<COMMAND> – может принимать следующие значения:

• <GET> – запрашивает представление ресурса. Запросы с использованием этого метода могут только извлекать данные;
• <HEAD> – запрашивает ресурс так же, как и метод GET, но без тела ответа;
• <POST> – используется для отправки сущностей к определённому ресурсу;
• <PUT> – заменяет все текущие представления ресурса данными запроса;
• <DELETE> – удаляет указанный ресурс;
• <CONNECT> – устанавливает «туннель» к серверу, определённому по ресурсу;
• <OPTIONS> – используется для описания параметров соединения с ресурсом;
• <TRACE> – выполняет вызов возвращаемого тестового сообщения с ресурса;
• <PATCH> – используется для частичного изменения ресурса.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip http method get

ip icmp code

Данной командой устанавливается значение ICMP CODE, при котором сработает правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp code <CODE>

[no] ip icmp code

Параметры

<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp code 5

ip icmp code comparison-operator

Оператор сравнения для команды ip icmp code. Применим только совместно с этой командой.

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

ip icmp code comparison-operator { greater-than | less-than }

[no] ip icmp code comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp code 5
esr(config-ips-category-rule)# ip icmp code comparison-operator less-than

ip icmp id

Данной командой устанавливается значение ICMP ID, при котором сработает правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp id <ID>

[no] ip icmp id

Параметры

<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp id 65000

ip icmp sequence-id

Данной командой устанавливается значение ICMP sequence-ID, при котором сработает правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp sequence-id <SEQ-ID>

[no] ip icmp sequence-id

Параметры

<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp sequence-id 8388608

ip icmp type

Данной командой устанавливается значение ICMP TYPE, при котором сработает правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip icmp type <TYPE>

[no] ip icmp type

Параметры

<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp type 12

ip icmp type comparison-operator

Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

ip icmp type comparison-operator { greater-than | less-than }

[no] ip icmp type comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip icmp type 14
esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than

ip protocol-id

Данной командой устанавливается идентификационный номер IP-протокола, трафик которого будет обрабатываться в данном правиле.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip protocol-id <ID>

[no] ip protocol-id

Параметры

<ID> – идентификационный номер IP-протокола [1..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip protocol-id 250

ip tcp acknowledgment-number

Данной командой устанавливается значение TCP Acknowledgment-Number, при котором сработает правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip tcp acknowledgment-number <ACK-NUM>

[no] ip tcp acknowledgment-number

Параметры

<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip tcp acknowledgment-number 32

ip tcp sequence-id

Данной командой устанавливается значение TCP Sequence-ID, при котором сработает правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip tcp sequence-id <SEQ-ID>

[no] ip tcp sequence-id

Параметры

<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip tcp sequence-id 2542

ip tcp window-size

Данной командой устанавливается значение TCP Window Size, при котором сработает правило.

...

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip tcp window-size <SIZE>

[no] ip tcp window-size

Параметры

<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip tcp window-size 50

ip ttl

Данной командой устанавливается значение времени жизни IP-пакета, трафик которого будет обрабатываться в данном правиле.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

ip ttl <TTL>

[no] ip ttl

Параметры

<TTL> – время жизни IP-пакета, принимает значения [1..255].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip ttl 8

ip ttl comparison-operator

Оператор сравнения для команды ip ttl. Применим только совместно с этой командой.

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

ip ttl comparison-operator { greater-than | less-than }

[no] ip ttl comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# ip ttl 5
esr(config-ips-category-rule)# ip ttl comparison-operator less-than

meta classification-type

Данная команда определяет классификацию события, которое сгенерирует сервис IPS/IDS, когда сработает правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }

[no] meta classification-type

Параметры

• not-suspicious – неподозрительный трафик;
• unknown – неизвестный трафик;
• bad-unknown – потенциально плохой трафик;
• attempted-recon – попытка утечки информации;
• successful-recon-limited – утечка информации;
• successful-recon-largescale – масштабная утечка информации;
• attempted-dos – попытка отказа в обслуживании;
• successful-dos – отказ в обслуживании;
• attempted-user – попытка получения привилегий пользователя;
• unsuccessful-user – безуспешная попытка получения привилегий пользователя;
• successful-user – успешная попытка получения привилегий пользователя;
• attempted-admin – попытка получения привилегий администратора;
• successful-admin – успешная попытка получения привилегий администратора;
• rpc-portmap-decode – декодирование запроса RPC;
• shellcode-detect – обнаружен исполняемый код;
• string-detect – обнаружена подозрительная строка;
• suspicious-filename-detect – было обнаружено подозрительное имя файла;
• suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
• system-call-detect – обнаружен системный вызов;
• tcp-connection – обнаружено TCP-соединение;
• trojan-activity – был обнаружен сетевой троян;
• unusual-client-port-connection – клиент использовал необычный порт;
• network-scan – обнаружение сетевого сканирования;
• denial-of-service – обнаружение атаки отказа в обслуживании;
• non-standard-protocol – обнаружение нестандартного протокола или события;
• protocol-command-decode – обнаружена попытка шифрования;
• web-application-activity – доступ к потенциально уязвимому веб-приложению;
• web-application-attack – атака на веб-приложение;
• misc-activity – прочая активность;
• misc-attack – прочие атаки;
• icmp-event – общее событие ICMP;
• inappropriate-content – обнаружено неприемлемое содержание;
• policy-violation – потенциальное нарушение корпоративной конфиденциальности;
• default-login-attempt – попытка входа с помощью стандартного логина/пароля.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# meta classification-type misc-attack

meta log-message

Данная команда определяет текстовое сообщение, которое сгенерирует сервис IPS/IDS, когда сработает правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

meta log-message <MESSAGE>

[no] mera log-message

Параметры

<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack"

payload content

Данной командой можно указать содержимое IP-пакетов, при совпадении с которым будет срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload content <CONTENT>

[no] payload content <CONTENT>

Параметры

<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "virus"

payload data-size

Данной командой устанавливается размер содержимого пакетов, при котором сработает правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload data-size <SIZE>

[no] payload data-size

Параметры

<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload data-size 1024

payload data-size comparison-operator

Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.

Использование отрицательной формы команды (no) отменяет сравнение.

Синтаксис

payload data-size comparison-operator { greater-than | less-than }

[no] payload data-size comparison-operator

Параметры

• greater-than – больше чем;
• less-than – меньше чем.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload data-size 1024
esr(config-ips-category-rule)# payload data-size comparison-operator less-than

payload depth

Данная команда указывает, сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.

Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.

Синтаксис

payload depth <DEPTH>

[no] payload content depth

Параметры

<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "abc"
esr(config-ips-category-rule)# payload depth 3

Под действие правила попадут пакеты с содержимым «abcdef», «abc123», «abcabcabc» и т.д.

payload no-case

Данная команда указывает не различать прописные и заглавные буквы в описании содержимого пакетов. Команда используется только совместно с командой payload content.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

payload no-case

[no] payload content no-case

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "virus"
esr(config-ips-category-rule)# payload no-case

Под действие правила попадут пакеты с содержимым «virus», «VIRUS», «ViRuS» и т.д.

payload offset

Данная команда указывает число байт смещения от начала содержимого пакета, с которого начнется проверка. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload depth.

Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.

Синтаксис

payload offset <OFFSET>

[no] payload content offset

Параметры

<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# payload content "abc"
esr(config-ips-category-rule)# payload depth 6
esr(config-ips-category-rule)# payload offset 3

Под действие правила попадут пакеты с содержимым «123abcdef», «defabc», «abcabcabc» и т. д.

protocol

Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

protocol { any | ip | icmp | http | tcp | udp }

[no] protocol

Параметры

• any – правило будет срабатывать для любых протоколов;
• ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
• icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
• http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
• tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
• udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
• ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
• ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# protocol udp

rule

Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис

[no] rule <ORDER>

Параметры

<ORDER> – номер правила, принимает значения [1..512].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY

Пример

esr(config-ips-category)# rule 10
esr(config-ips-category-rule)#

security ips-category user-defined

Данной командой создается набор пользовательских правил сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования этого набора.

Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.

Синтаксис

[no] security ips-category user-defined <CATEGORY_NAME>

Параметры

<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security ips-category user-defined PROTOCOL
esr(config-ips-category)#

source-address

Данной командой устанавливаются IP-адреса отправителей, для которых должно срабатывать правило.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }

no source-address

Параметры

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16

source-port

Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

source-port { any | <PORT> | object-group <OBJ-GR-NAME> }

no source-port

Параметры

<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535];

...

При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# source-port 22

threshold count

Данной командой устанавливается пороговое значение количества пакетов, при котором сработает правило.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold count <COUNT>

[no] threshold count 

Параметры

<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold count 1024

threshold second

Данной командой устанавливается интервал времени, для которого считается пороговое значение пакетов, при котором сработает правило. Команда используется только совместно с командой threshold count.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold second <SECOND>

[no] threshold second

Параметры

<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold second 1

threshold track

Данной командой устанавливается по адресу отправителя или получателя будут считаться пакеты, для которых устанавливаются пороговые значения. Команда используется только совместно с командой threshold count.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold track { by_src | by_dst }

[no] threshold track

Параметры

• by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
• by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold track by-src

threshold type

Данной командой устанавливается метод обработки пороговых значений. Команда используется только совместно с командой threshold count.

Использование отрицательной формы команды (no) удаляет назначение.

Синтаксис

threshold type { treshhold | limit | both }

[no] threshold type

Параметры

• threshold – выдавать сообщение каждый раз по достижении порога;
• limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
• both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE

Пример

esr(config-ips-category-rule)# threshold count 1024
esr(config-ips-category-rule)# threshold second 1
esr(config-ips-category-rule)# threshold track by-src
esr(config-ips-category-rule)# threshold type treshold

Сообщение будет генерироваться на каждый Х*1025 пакет, приходящий за 1 секунду с одного IP-адреса.

Настройка расширенных пользовательских правил

rule-advanced

Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE-ADVANCED. Правила обрабатываются устройством в порядке возрастания их номеров.

Использование отрицательной формы команды (no) удаляет указанное правило.

Синтаксис

[no] rule-advanced <ORDER>

Параметры

<ORDER> – номер правила, принимает значения [1..4294967295].

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE-ADVANCED

Пример

esr(config-ips-category)# rule-advanced 10
esr(config-ips-category-rule-advanced)#

rule-text

Данная команда описывает правило обработки трафика в формате SNORT 2.X/Suricata 4.X.

Использование отрицательной формы команды (no) отменяет назначение.

Синтаксис

rule-text <LINE>

[no] rule-text

Параметры

<LINE> – текстовое сообщение в формате SNORT 2.X/Suricata 4.X, задаётся строкой до 1024 символов.

При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').

Необходимый уровень привилегий

15

Командный режим

CONFIG-IPS-CATEGORY-RULE-ADVANCED

Пример

esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> $HOME_NET any (msg: "ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet"; flow: established, to_server; content:"_auth"; depth: 20; fast_pattern; content: !"|02 00 00 00|"; within: 4; content: "_ctrl"; content: "_ser"; content: "_tim"; content: "_exp"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )'

...