...
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Задать имя и перейти в режим конфигурирования набора пользовательских правил. | esr(config)# security ips-category user-defined <WORD> | <WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов. |
2 | Задать описание набора пользовательских правил (не обязательно). | esr(config-ips-category)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. |
3 | Создать правило и перейти в режим конфигурирования правила. | esr(config-ips-category)# rule <ORDER> | <ORDER> – номер правила, принимает значения [1..512]. |
4 | Задать описание правила (не обязательно). | esr(config-ips-category-rule)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. |
5 | Указать действие данного правила. | esr(config-ips-category-rule)# action { alert | reject | pass | drop } |
|
6 | Установить имя IP-протокола, для которого должно срабатывать правило. | esr(config-ips-category-rule)# protocol <PROTOCOL> | <PROTOCOL> – принимает значения any/ip/icmp/http/tcp/udp. При указании значения «any» правило будет срабатывать для любых протоколов. |
7 | Установить IP-адреса отправителя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# source-address | <ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть отправителя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. < OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя. |
8 | Установить номера TCP/UDP-портов отправителя, для которых должно срабатывать правило. Для значения protocol icmp, значение source-port может быть только any. | esr(config-ips-category-rule)# source-port {any | <PORT> | object-group <OBJ-GR-NAME> } | <PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов отправителя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя. |
9 | Установить IP-адреса получателя, для которых должно срабатывать правило. | esr(config-ips-category-rule)# destination-address | <ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <ADDR/LEN> – IP-подсеть получателя, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32]. <OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса получателя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя. |
10 | Установить номера TCP/UDP-портов получателя, для которых должно срабатывать правило. Для значения protocol icmp, значение destination-port может быть только any. | esr(config-ips-category-rule)# destination-port | <PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535]. <OBJ_GR_NAME> – имя профиля TCP/UDP портов получателя, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя. |
11 | Установить направление потока трафика, для которого должно срабатывать правило. | esr(config-ips-category-rule)# direction { one-way | round-trip } |
|
12 | Определить сообщение которое IPS/IDS будет записывать в лог, при срабатывании этого правила. | esr(config-ips-category-rule)# meta log-message <MESSAGE> | <MESSAGE> – текстовое сообщение, задаётся строкой до 129 символов. |
13 | Определить классификацию трафика, которая будет записывать в лог, при срабатывании этого правила (не обязательно). | esr(config-ips-category-rule)# meta classification-type |
|
14 | Установить значение кода DSCP, для которого должно срабатывать правило (не обязательно). | esr(config-ips-category-rule)# ip dscp <DSCP> | <DSCP> – значение кода DSCP, принимает значения [0..63]. |
15 | Установить значение времени жизни пакета (TTL), для которого должно срабатывать правило (не обязательно). | esr(config-ips-category-rule)# ip ttl <TTL> | <TTL> – значение TTL, принимает значения в диапазоне [1..255]. |
16 | Установить номер IP-протокола, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol any. | esr(config-ips-category-rule)# ip protocol-id <ID> | <ID> – идентификационный номер IP-протокола, принимает значения [1..255]. |
17 | Установить значения ICMP CODE, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol icmp. | esr(config-ips-category-rule)# ip icmp code <CODE> | <CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255]. |
esr(config-ips-category-rule)# ip icmp code comparison-operator | Оператор сравнения для значения ip icmp code:
| ||
18 | Установить значения ICMP ID, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol icmp. | esr(config-ips-category-rule)# ip icmp id <ID> | <ID> – значение ID протокола ICMP, принимает значение в диапазоне [0.. 65535]. |
19 | Установить значения ICMP Sequence-ID, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol icmp. | esr(config-ips-category-rule)# ip icmp sequence-id <SEQ-ID> | <SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0.. 4294967295]. |
20 | Установить значения ICMP TYPE, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol icmp. | esr(config-ips-category-rule)# ip icmp type <TYPE> | <TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255]. |
esr(config-ips-category-rule)# ip icmp type comparison-operator | Оператор сравнения для значения ip icmp type:
| ||
21 | Установить значения TCP Acknowledgment-Number, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol tcp. | esr(config-ips-category-rule)# ip tcp acknowledgment-number <ACK-NUM> | <ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0.. 4294967295]. |
22 | Установить значения TCP Sequence-ID, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol tcp. | esr(config-ips-category-rule)# ip tcp sequence-id <SEQ-ID> | <SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0.. 4294967295]. |
23 | Установить значения TCP Window-Size, для которого должно срабатывать правило (не обязательно). Применимо только для значения protocol tcp. | esr(config-ips-category-rule)# ip tcp window-size <SIZE> | <SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [0.. 65535]. |
24 | Установить ключевые слова протокола HTTP, для которых должно срабатывать правило (не обязательно). Применимо только для значения protocol http. | esr(config-ips-category-rule)# ip http { accept | accept-enc | | Значение ключевых слов см в документации Suricata 4.X. https://suricata.readthedocs.io/en/suricata-4.1.4/rules/http-keywords.html |
25 | Установить значение ключевого слова URI LEN протокола HTTP, для которых должно срабатывать правило (не обязательно). Применимо только для значения protocol http. | esr(config-ips-category-rule)# ip http urilen <LEN> | <LEN> – принимает значение в диапазоне [0.. 65535]. |
esr(config-ips-category-rule)# ip http urilen comparison-operator | Оператор сравнения для значения ip http urilen:
| ||
26 | Установить значение содержимого пакетов (Payload content), для которых должно срабатывать правило (не обязательно). | esr(config-ips-category-rule)# payload content <CONTENT> | <CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов. |
27 | Не различать прописные и заглавные буквы в описании содержимого пакетов (не обязательно). Применимо только совместно с командой payload content. | esr(config-ips-category-rule)# payload no-case | |
28 | Установить сколько байтов с начала содержимого пакета будет проверено (не обязательно). Применимо только совместно с командой payload content. | esr(config-ips-category-rule)# payload depth <DEPTH> | <DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1.. 65535]. По умолчанию проверяется все содержимое пакета. |
29 | Установить число байт смещения от начала содержимого пакета для проверки (не обязательно). Применимо только совместно с командой payload content. | esr(config-ips-category-rule)# payload offset <OFFSET> | <OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1.. 65535]. По умолчанию проверяется с начала содержимого. |
30 | Установить размер содержимого пакетов, для которых должно срабатывать правило (не обязательно). | esr(config-ips-category-rule)# payload data-size <SIZE> | <SIZE> – размер содержимого пакетов, принимает значение в диапазоне [0.. 65535]. |
esr(config-ips-category-rule)# payload data-size | Оператор сравнения для значения payload data-size:
| ||
31 | Указать пороговое значение количества пакетов, при котором сработает правило (не обязательно). | esr(config-ips-category-rule)# threshold count <COUNT> | <COUNT> – число пакетов, принимает значение в диапазоне [1.. 65535]. |
32 | Указать интервал времени, для которого считается пороговое количество пакетов (Обязательно, если включен threshold count). | esr(config-ips-category-rule)# threshold second <SECOND> | <SECOND> – интервал времени в секундах, принимает значение в диапазоне [1.. 65535]. |
33 | Указать по адресу отправителя или получателя будут считаться пороги. (Обязательно, если включен threshold count). | esr(config-ips-category-rule)# threshold track |
|
34 | Указать метод обработки пороговых значений. | esr(config-ips-category-rule)# threshold type |
Сообщение будет генерироваться, если в течении интервала времени <SECOND> было <COUNT> или более пакетов подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени <SECOND>. |
35 | Активировать правило. | esr(config-ips-category-rule)# enable |
...
Шаг | Описание | Команда | Ключи | ||
---|---|---|---|---|---|
1 | Задать имя и перейти в режим конфигурирования набора пользовательских правил. | esr(config)# security ips-category user-defined <WORD> | <WORD> – имя набора пользовательских правил, задаётся строкой до 32 символов. | ||
2 | Задать описание набора пользовательских правил (не обязательно). | esr(config-ips-category)# description <DESCRIPTION> | <DESCRIPTION> –описание задаётся строкой до 255 символов. | ||
3 | Создать расширенное правило и перейти в режим его конфигурирования. | esr(config-ips-category)# rule-advanced <SID> | <SID> – номер правила, принимает значения [1.. 4294967295]. | ||
4 | Задать описание правила (не обязательно). | esr(config-ips-category-rule-advanced)# description <DESCRIPTION> | <DESCRIPTION> – описание задаётся строкой до 255 символов. | ||
5 | Указать действие данного правила. | esr(config-ips-category-rule-advanced)# rule-text <LINE> | <CONTENT> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
| ||
6 | Активировать правило. | esr(config-ips-category-rule-advanced)# enable |
Scroll Pagebreak |
---|
...
Блок кода |
---|
esr(config)# security ips-category user-defined ADV |
Scroll Pagebreak |
---|
Создадим расширенное правило:
...
Шаг | Описание | Команда | Ключи |
---|---|---|---|
1 | Настроить сетевое имя маршрутизатора. | esr(config)# hostname <NAME> | <NAME> – до 64 символов. |
2 | Назначить имя домена для маршрутизатора. | esr(config)# domain name <NAME> | <NAME> – до 255 символов. |
3 | Назначить IP-адрес DNS-сервера, используемого для разрешения DNS-имен. | esr(config)# domain name-server <IP> | <IP> – в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения от 0 до 255. |
4 | Включить разрешение имен DNS. | esr(config)# domain lookup enable | |
5 | Создать профиль сервиса «Антиспам» | esr(config)# security antispam profile <NAME> | <NAME> – до 31 символа. |
6 | Задать описание профиля сервиса «Антиспам» (необязательно). | esr(config-antispam-profile)# description <DESCRIPTION> | <DESCRIPTION> – до 255 символов. |
7 | Задать тип маркировки электронных писем, которые сервис «Антиспам» отнес к категории «Спам». | esr(config-antispam-profile)# mark-type <MARK-TYPE> | <MARK-TYPE> – тип маркировки писем, отнесенных к категории «Спам». Возможные значения: - header – добавить X-Spam заголовок к заголовкам электронного письма; - subject – добавить тег [SPAM] перед темой электронного письма. |
8 | Создать профиль почтовых доменов и адресов почтовых ящиков (необязательно). | esr(config)# object-group email <NAME> | <NAME> – до 31 символа. |
9 | Задать описание профиля почтовых доменов и адресов почтовых ящиков (необязательно). | esr(config-object-group-email)# description <DESCRIPTION> | <DESCRIPTION> – до 255 символов. |
10 | Внести в профиль почтовый домен или адрес почтового ящика (необязательно). | esr(config-object-group-email)# email <NAME> | <NAME> – до 63 символов. |
11 | Создать правило в профиле сервиса «Антиспам» (необязательно). | esr(config-antispam-profile)# rule <ORDER> | <ORDER> – номер правила, принимает значения от 1 до 100. |
12 | Задать описание правила профиля сервиса «Антиспам» (необязательно). | esr(config-antispam-profile)# description <DESCRIPTION> | <DESCRIPTION> – до 255 символов. |
13 | Установить профиль IP-адресов отправителя, для которых должно срабатывать правило (не обязательно). | esr(config-antispam-profile-rule)# sender ip <NAME> | <NAME> – до 31 символа. |
14 | Установить профиль почтовых доменов и адресов почтовых ящиков, для которых должно срабатывать правило (не обязательно). | esr(config-antispam-profile-rule)# sender email <NAME> | <NAME> – до 31 символа. |
15 | Указать действие для правила. | esr(config-antispam-profile-rule)# action <ACTION> | <ACTION> – назначаемое действие. Возможные значения: - reject – дальнейшая доставка письма запрещена, отправителю письма высылается ответ об ошибке. |
16 | Включить правило в профиле сервиса «Антиспам» (необязательно). | esr(config-antispam-profile-rule)# enable | |
17 | Создать почтовый домен. | esr(config)# mailserver domain <DOMAIN-NAME> | <DOMAIN-NAME> – до 31 символа. |
18 | Задать описание почтового домена (необязательно). | esr(config-mailserver-domain)# description <DESCRIPTION> | <DESCRIPTION> – до 255 символов. |
19 | Задать имя обслуживаемого домена электронной почты. | esr(config-mailserver-domain)# mail domain <NAME> | <NAME> – до 63 символов. |
20 | Задать IP-адрес почтового сервера, для которого сервис «Антиспам» на ESR выступает в качестве SMTP Proxy. | esr(config-mailserver-domain)# mail server ip <ADDR> | <ADDR> – в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения от 0 до 255. |
21 | Задать профиль сервиса «Антиспам», настройки которого будут применены к текущему почтовому домену. | esr(config-mailserver-domain)# profile antispam <NAME> | <NAME> – до 63 символов. |
22 | Включить почтовый домен. | esr(config-mailserver-domain)# enable | |
23 | Перейти в конфигурирование почтового сервера. | esr(config)# mailserver | |
24 | Задать имя почтового домена. | esr(config-mailserver)# domain <NAME> | <NAME> – до 63 символов. |
25 | Указать сертификаты и ключи для работы протокола TLS (необязательно). | esr(config-mailserver)# tls keyfile <TYPE> <NAME> | <TYPE> – Тип файла сертификата или ключа. Возможные значения:
<NAME> – Имя файла сертификата, задаётся строкой до 31 символа. |
26 | Включить поддержку TLS на почтовом сервере (необязательно). При включении TLS обязательно наличие в конфигурации прописанного сертификата удостоверяющего центра, приватного ключа сервера и публичного сертификата сервера. | esr(config-mailserver)# tls enable | |
27 | Задать максимальный размер заголовков письма в КБ (необязательно). | esr(config-mailserver)# headers max-size <SIZE> | <SIZE> – максимальный размер заголовков письма в КБ, принимает значения от 50 до 200. |
28 | Задать максимальный размер письма в КБ (необязательно). | esr(config-mailserver)# mail max-size <SIZE> | <SIZE> – максимальный размер письма в КБ, принимает значения от 5120 до 51200. |
29 | Включить обязательное требование SMTP-команды HELO или EHLO при установлении SMTP-сессии (необязательно). | esr(config-mailserver)# smtp helo-required | |
30 | Разрешить SMTP команду VRFY на почтовом сервере во время SMTP-сессии (необязательно). | esr(config-mailserver)# smtp vrfy-enable | |
31 | Включить почтовый сервер. | esr(config-mailserver)# enable |
Scroll Pagebreak |
---|
Задача:
Настроить на ESR сервис «Антиспам» для работы в качестве SMTP Proxy для анализа электронной почты, адресованной почтовому серверу, расположенному в сети предприятия и обслуживающему домен eltex-co.ru.
...