Примечание |
---|
Данный функционал активируется только при наличии лицензии. |
Оглавление | ||
---|---|---|
|
Общие команды IPS/IDS
...
Данной командой определяется категория правил IPS/IDS определённого вендора, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данной категории.
Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.
...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
...
Данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS.
Использование отрицательной формы команды (no) удаляет назначенное действие.
...
<COUNT> – число правил. Минимальное значение 1, максимальное значение завист зависит от категории правил.
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
...
Данной командой определяется вендор правил IPS/IDS, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данного вендора.
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
...
<TRANSPORT> – протокол передачи данных, по умолчанию - – UDP, принимает значения:
- TCP – передача данных осуществляется по протоколу TCP;
- UDP – передача данных осуществляется по протоколу UDP;
...
<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv4- ipv4-адрес интерфейса с которого отправляются пакеты;
<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog пакетах, по умолчанию – IPv6- ipv6-адрес интерфейса с которого отправляются пакеты;
...
<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах ;.
Значение по умолчанию
10 минут
...
inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;
monitor - – режим работы сервиса IPS/IDS, корда когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т.е. сервис работает в режиме IDS.
Необходимый уровень привилегий
...
Блок кода |
---|
esr(config-if-gi)# service-ips enableinline |
Настройка автообновления правил IPS/IDS, распространяемых по коммерческой лицензии
...
Параметры
<ADDR> – IP-адрес устройствасервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес устройствасервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<HOSTNAME> – DNS-имя устройствасервера, задаётся строкой до 255 символов;.
Необходимый уровень привилегий
...
Примечание |
---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или или выводе команд show интерфейса командной строки EDM-Issuehttps://docs.eltex-co.ru/x/MAFtCw |
Синтаксис
location <WORD>
no location
...
Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
Использование отрицательной формы команды (no) останавливает сохранение правил.
...
Данной командой задаётся текстовое имя устройства, которое передаётся на сервер EDM-Issue.
Использование отрицательной формы команды (no) присваивает этому имени значение по умолчанию.
Примечание |
---|
Данный параметр можно увидеть в разделе «Информация об устройстве» web-интерфейса EDM-Issue https://docs.eltex-co.ru/x/JQFtCw или или выводе команд show интерфейса командной строки EDM-Issuehttps://docs.eltex-co.ru/x/MAFtCw |
Синтаксис
system-name <WORD>
no system-name
...
По умолчанию значение system-name совпадает с hostname.
Необходимый уровень привилегий
...
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config,
- каталог на сервере содержащий файлы правил и/или файл классификатора правил.
...
[no] ip http content-filter
Параметры
<NAME> – Имя имя профиля контентной фильтрации, задаётся строкой до 31 символа.
...
Данной командой устанавливаются значения метода доступа по протоколу httpHTTP, для которых должно срабатывать правило.
...
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
...
Примечание |
---|
В текущей версии использование символа «_» (нижнее подчёркивание) в <CATEGORY_NAME> не допустимонедопустимо. |
Необходимый уровень привилегий
...
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32].;
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа.;
destination-address policy-object-group protect устанавливает в качестве адресов отправителя, protect адреса определенные в политике IPS/IDS.
destination-address policy-object-group external устанавливает в качестве адресов отправителя, external адреса определенные в политике IPS/IDS.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
...
Данной командой устанавливается интервал времени, для которого считается пороговое значение . пакетов, при котором сработает правило. Команда используется только совместно с командой threshold count.
...
Синтаксис
threshold track { by-_src | by-_dst }
[no] threshold track
Параметры
- by-_src – считать пороговое значение для пакетов с одинаковым IP- IP отправителя;
- by-_dst – считать пороговое значение для пакетов с одинаковым IP- IP получателя.
Необходимый уровень привилегий
...
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течении течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени;.
Необходимый уровень привилегий
...
Данная команда описывает правило обработки трафика в формате SNORT 2.X / Suricata 4.X.
Использование отрицательной формы команды (no) отменяет назначение.
...
<LINE> – текстовое сообщение в формате SNORT 2.X / Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил символ '' требуется заменить на символ 'в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').
Необходимый уровень привилегий
...
Блок кода |
---|
esr(config-ips-category-rule-advanced)# rule-text "'alert tcp any any -> $HOME_NET any (msg: '"ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet'"; flow: established, to_server; content:'"_auth'"; depth: 20; fast_pattern; content: !'"|02 00 00 00|'"; within: 4; content: '"_ctrl'"; content: '"_ser'"; content: '"_tim'"; content: '"_exp'"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )"' |
Scroll Pagebreak |
---|