| Оглавление | ||
|---|---|---|
|
Общие команды IPS/IDS
description
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION> no description
Параметры
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPS-CATEGORY
CONFIG-IPS-CATEGORY-RULE
...
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
| Блок кода |
|---|
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist" |
enable
Данной командой активируется сервис IPS/IDS и его правила.
Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
IPS/IDS сервис не активирован.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
CONFIG-IPS-CATEGORY-RULE
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
| Блок кода |
|---|
esr(config-ips)# enable |
show security ips counters
Командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters TCP flows processed : 34687 Alerts generated : 456 Blocked by ips engine : 78 Accepted by ips engine : 1356436 |
Настройка политики IPS/IDS
external network-group
Данной командой устанавливается профиль IP-адресов, которые сервис IPS/IDS будет считать ненадежными.
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
external network-group <OBJ-GROUP-NETWORK-NAME> no external network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# external network-group WAN |
protect network-group
Данной командой устанавливается профиль IP-адресов, которые будет защищать сервис IPS/IDS.
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
protect network-group <OBJ-GROUP-NETWORK-NAME> no protect network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# protect network-group LAN |
security ips policy
Данной командой создается политика настроек сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования политики.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.
Синтаксис
[no] security ips policy <POLICY_NAME>
Параметры
<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips policy OFFICE |
Настройка IPS
logging storage-device
Данной командой задается имя USB диска, на который будут записываться лог-файлы сервиса IPS/IDS в формате EVE (elasticsearch).
Использование отрицательной формы команды (no) останавливает запись лог-файлов.
Синтаксис
logging storage-device <DEVICE_NAME> no logging storage-device
Параметры
<DEVICE_NAME> – имя usb накопителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# logging storage-device usb://DATA |
security ips
Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.
Синтаксис
security ips
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips |
performance max
Данная команда позволяет сервису IPS/IDS использовать все ресурсы устройства для достижения максимальной производительности. Рекомендуется применять, когда устройство используется исключительно в качестве IPS/IDS. Не рекомендуется применять, когда помимо IPS/IDS устройство выполняет другие функции (маршрутизация, BRAS и т.д.).
Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.
Синтаксис
[no] performance max
Значение по умолчанию
ESR-10/12V/12VF/14VF – 1 ядро;
...
ESR-1510 – 11 ядер;
ESR-1700 – 21 ядро.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# perfomance max |
policy
Данной командой назначается созданная ранее политика настроек сервиса IPS/IDS.
Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.
Синтаксис
policy <POLICY_NAME> no policy
Параметры
<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# policy OFFICE |
service-ips enable
Данная команда используется для включение сервиса IPS/IDS на сетевом интерфейсе.
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
[no] service-ips enable
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
...
CONFIG-BRIDGE
CONFIG-MULTILINK
Пример
| Блок кода |
|---|
esr(config-if-gi)# service-ips enable |
Настройка автообновления правил IPS/IDS из внешних источников
auto-upgrade
Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.
Синтаксис
auto-upgrade
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# auto-upgrade |
upgrade interval
Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS и/или файла классификатора IPD/IDS для данного url.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS> no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
esr(config-ips-upgrade-user-server)# upgrade interval 36
url
Команда используется для задания URL-ссылки.
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL> no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длинной от 8 до 255 символов.
...
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config
- каталог на сервере содержащий файлы правил и/или файл классификатора правил.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
| Блок кода |
|---|
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/ |
user-server
Данной командой задаётся имя пользовательского сервера обновлений правил IPS/IDS и осуществляется переход в режим конфигурирования параметров пользовательского сервера обновлений.
Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила полученные с этого сервера.
Синтаксис
user-server <WORD> no user-server {<WORD>|all}
Параметры
<WORD> имя сервера задается строкой от 1 до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-AUTO-UPGRADE
Пример
| Блок кода |
|---|
esr(config-ips-auto-upgrade)# user-server ET-Open |
Настройка пользовательских правил IPS/IDS
action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { alert | reject | pass | drop } no action
Параметры:
alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение
...
drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# action permit |
destination-address
Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
destination-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any } no destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# destination-address ip 10.10.10.1 |
destination-port
Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
destination-port {any | <PORT> | object-group <OBJ-GR-NAME> } no destination-port
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535].
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# destination-port 22 |
direction
Данной командой устанавливается направление потока трафика, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
direction { one-way | round-trip } no direction
Параметры
one-way – трафик передаётся в одну сторону.
round-trip – трафик передаётся в обе стороны.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# direction one-way |
ip dscp
Данной командой устанавливается значение кода DSCP, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip dscp <DSCP> [no] ip dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip dscp 8 |
ip http
Данной командой устанавливаются значения ключевых слов протокола HTTP, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http <COMMAND> [no] ip http
Параметры
<COMMAND> – может принимать следующие значения:
...
Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X / Suricata 4.X.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content «HTTP/1.0» esr(config-ips-category-rule)# ip http protocol |
ip icmp code
Данной командой устанавливается значение ICMP CODE, при котором сработает правило
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp code <CODE> [no] ip icmp code
Параметры
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp code 5 |
ip icmp code comparison-operator
Оператор сравнения для команды ip icmp code. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp code comparison-operator { greater-than | less-than } [no] ip icmp code comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp code 5 esr(config-ips-category-rule)# ip icmp code comparison-operator less-than |
ip icmp id
Данной командой устанавливается значение ICMP ID, при котором сработает правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp id <ID> [no] ip icmp id
Параметры
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp id 65000 |
ip icmp sequence id
Данной командой устанавливается значение ICMP sequence-ID, при котором сработает правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp sequence-id <SEQ-ID> [no] ip icmp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp sequence-id 8388608 |
ip icmp type
Данной командой устанавливается значение ICMP TYPE, при котором сработает правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp type <TYPE> [no] ip icmp type
Параметры
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp type 12 |
ip icmp type comparison-operator
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp type comparison-operator { greater-than | less-than } [no] ip icmp type comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp type 14 esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than |
ip protocol-id
Данной командой устанавливается идентификационный номер IP-протокола, трафик которого будет обрабатываться в данном правиле.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip protocol-id <ID> [no] ip protocol-id
Параметры
<ID> – идентификационный номер IP-протокола [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip protocol-id 250 |
ip tcp acknowledgment-number
Данной командой устанавливается значение TCP Acknowledgment-Number, при котором сработает правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp acknowledgment-number <ACK-NUM> [no] ip tcp acknowledgment-number
Параметры
<<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp acknowledgment-number 32 |
ip tcp sequence-id
Данной командой устанавливается значение TCP Sequence-ID, при котором сработает правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp sequence-id <SEQ-ID> [no] ip tcp sequence-id
Параметры
<<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp sequence-id 2542 |
ip tcp window-size
Данной командой устанавливается значение TCP Window Size, при котором сработает правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp window-size <SIZE> [no] ip tcp window-size
Параметры
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535]
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp window-size 50 |
ip ttl
Данной командой устанавливается значение времени жизни IP-пакета, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ttl <TTL> [no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip ttl 8 |
ip ttl comparison-operator
Оператор сравнения для команды ip ttl. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip ttl comparison-operator { greater-than | less-than } [no] ip ttl comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip ttl 5 esr(config-ips-category-rule)# ip ttl comparison-operator less-than |
meta classification-type
Данная команда определяет классификацию события, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt } [no] mera log-message
Параметры
not-suspicious – Не подозрительный трафик.
...
default-login-attempt – Попытка входа с помощью стандартного логина/пароля.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# meta classification-type misc-attack |
meta log-message
Данная команда определяет текстовое сообщение, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta log-message <MESSAGE> [no] mera log-message
Параметры
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# meta log-message «Possible SlowLorys attack» |
payload content
Данной командой можно указать содержимое IP-пакетов, при совпадении с которым будет срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload content <CONTENT> [no] payload content <CONTENT>
Параметры
<CONTENT> -текстовое сообщение, задаётся строкой до 1024 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content «virus» |
payload data-size
Данной командой устанавливается размер содержимого пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload data-size <SIZE> [no] payload data-size
Параметры
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535]
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload data-size 1024 |
payload data-size comparison-operator
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
payload data-size comparison-operator { greater-than | less-than } [no] payload data-size comparison-operator
Параметры
greater-than – больше чем.
less-than –меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload data-size 1024 esr(config-ips-category-rule)# payload data-size comparison-operator less-than |
payload depth
Данная команда указывает сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload depth <DEPTH> [no] payload content depth
Параметры
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content «abc» esr(config-ips-category-rule)# payload depth 3 |
Под действие правила попадут пакеты с содержимым «abcdef», «abc123», «abcabcabc» и т.д.
payload no-case
Данная команда указывает не различать прописные и заглавные буквы в описании содержимого пакетов. Команда используется только совместно с командой payload content.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload no-case [no] payload content no-case
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content «virus» esr(config-ips-category-rule)# payload no-case |
Под действие правила попадут пакеты с содержимым «virus», «VIRUS», «ViRuS» и т.д.
payload offset
Данная команда указывает число байт смещения от начала содержимого пакета, с которого начнется проверка. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload depth.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload offset <OFFSET> [no] payload content offset
Параметры
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content «abc» esr(config-ips-category-rule)# payload depth 6 esr(config-ips-category-rule)# payload offset 3 |
Под действие правила попадут пакеты с содержимым «123abcdef», «defabc», «abcabcabc» и т.д.
protocol
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
protocol { any | ip | icmp | http | tcp | udp } [no] protocol
Параметры
any – правило будет срабатывать для любых протоколов.
...
udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# protocol udp |
rule
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..256].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY
Пример
| Блок кода |
|---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# |
security ips-category user-defined
Данной командой создается набор пользовательских правил сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования этого набора.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.
Синтаксис
[no] security ips-category user-defined <CATEGORY_NAME>
Параметры
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips-category user-defined PROTOCOL esr(config-ips-category)# |
source-address
Данной командой устанавливаются IP-адреса отправителей, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any } no source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16 |
source-port
Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
source-port {any | <PORT> | object-group <OBJ-GR-NAME> } no source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535].
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# source-port 22 |
threshold count
Данной командой устанавливается пороговое значение количества пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold count <COUNT> [no] threshold count
Параметры
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535]
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 1024 |
threshold second
Данной командой устанавливается интервал времени, для которого считается пороговое значение. пакетов, при котором сработает правило. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold second <SECOND> [no] threshold second
Параметры
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold second 1 |
threshold track
Данной командой устанавливается по адресу отправителя или получателя будут считаться пакеты, для которых устанавливаются пороговые значения. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold track { by-src | by-dst } [no] threshold track
Параметры
by-src – считать пороговое значение для пакетов с одинаковым IP-отправителя.
by-dst – считать пороговое значение для пакетов с одинаковым IP-получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold track by-src |
threshold type
Данной командой устанавливается метод обработки пороговых значений. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold type { treshhold | limit | both } [no] threshold type
Параметры
threshold – выдавать сообщение каждый раз по достижении порога.
...
both – комбинация threshold и limit. Сообщение будет генерироваться, если в течении интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 1024 esr(config-ips-category-rule)# threshold second 1 esr(config-ips-category-rule)# threshold track by-src esr(config-ips-category-rule)# threshold type treshold |
Сообщение будет генерироваться на каждый Х*1025 пакет, приходящий за 1 секунду с одного ip-адреса.
Настройка расширенных пользовательских правил
rule-advances
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE-ADVANCED. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule-advanced <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
| Блок кода |
|---|
esr(config-ips-category)# rule-advanced 10 esr(config-ips-category-rule-advanced)# |
rule-text
Данная команда описывает правило обработки трафика в формате SNORT 2.X / Suricata 4.X
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
rule-text <LINE> [no] rule-text
Параметры
<LINE> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил символ '' требуется заменить на символ '.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
| Блок кода |
|---|
esr(config-ips-category-rule-advanced)# rule-text «alert tcp any any -> $HOME_NET any (msg: 'ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet'; flow: established, to_server; content:'_auth'; depth: 20; fast_pattern; content: !'|02 00 00 00|'; within: 4; content: '_ctrl'; content: '_ser'; content: '_tim'; content: '_exp'; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )» |
...