...
| Блок кода |
|---|
esr# show security ips counters TCP flows processed : 34687 Alerts generated : 456 Blocked by ips engine : 78 Accepted by ips engine : 1356436---------------------------------------------- IPS general counters ---------------------------------------------- Packets decoded by ips engine: 83971 Invalid packets decoded by ips engine: 0 Packets accepted by ips engine: 83977 Packets blocked by ips engine: 0 Packets replaced by ips engine: 0 Alerts generated: 8 ---------------------------------------------- IPS Decoder engine ---------------------------------------------- Packets decoded by ips engine: 83971 Bytes decoded by ips engine: 125677543 Invalid packets decoded by ips engine: 0 IPv4 packets decoded by ips engine: 83971 IPv6 packets decoded by ips engine: 0 TCP packets decoded by ips engine: 75 UDP packets decoded by ips engine: 83891 SCTP packets decoded by ips engine: 0 ICMPv4 packets decoded by ips engine: 5 ICMPv6 packets decoded by ips engine: 0 PPP packets decoded by ips engine: 0 PPPoE packets decoded by ips engine: 0 GRE packets decoded by ips engine: 0 Teredo packets decoded by ips engine: 0 Average packets size decoded by ips engine: 1496 Maximum packets size decoded by ips engine: 1500 ---------------------------------------------- IPS Application Layer ---------------------------------------------- HTTP Flow decoded by ips engine: 0 FTP Flow decoded by ips engine: 0 FTP-DATA Flow decoded by ips engine: 0 SMTP Flow decoded by ips engine: 0 TLS Flow decoded by ips engine: 0 SSH Flow decoded by ips engine: 0 IMAP Flow decoded by ips engine: 0 SMB Flow decoded by ips engine: 0 DCE/RPC flow over TCP decoded by ips engine: 0 DCE/RPC flow over UDP decoded by ips engine: 0 DNS flow over TCP decoded by ips engine: 0 DNS flow over UDP decoded by ips engine: 0 ENIP flow over TCP decoded by ips engine: 0 ENIP flow over UDP decoded by ips engine: 0 ---------------------------------------------- IPS Flow engine ---------------------------------------------- TCP Flow decoded by ips engine: 1 UDP Flow decoded by ips engine: 1 ICMPv4 Flow decoded by ips engine: 1 ICMPv6 Flow decoded by ips engine: 0 Failed TCP Flow decoded by ips engine: 0 Failed UDP Flow decoded by ips engine: 1 ---------------------------------------------- IPS TCP engine ---------------------------------------------- TCP sessions decoded by ips engine: 1 TCP SYN packets decoded by ips engine: 1 TCP SYN-ACK packets decoded by ips engine: 0 TCP RST packets decoded by ips engine: 0 TCP packets with invalid checksum: 0 TCP packets with wrong thread: 0 Packets with TCP header length too small: 0 TCP packets with invalid options: 0 |
show security ips counters application-layer
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на уровне приложений.
Синтаксис
show security ips counters application-layerНеобходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters application-layer
----------------------------------------------
IPS Application Layer
----------------------------------------------
HTTP Flow decoded by ips engine: 0
FTP Flow decoded by ips engine: 0
FTP-DATA Flow decoded by ips engine: 0
SMTP Flow decoded by ips engine: 0
TLS Flow decoded by ips engine: 0
SSH Flow decoded by ips engine: 0
IMAP Flow decoded by ips engine: 0
SMB Flow decoded by ips engine: 0
DCE/RPC flow over TCP decoded by ips engine: 0
DCE/RPC flow over UDP decoded by ips engine: 0
DNS flow over TCP decoded by ips engine: 0
DNS flow over UDP decoded by ips engine: 0
ENIP flow over TCP decoded by ips engine: 0
ENIP flow over UDP decoded by ips engine: 0 |
show security ips counters decoder
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS декодера.
Синтаксис
show security ips counters decoderНеобходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters decoder
----------------------------------------------
IPS Decoder engine
----------------------------------------------
Packets decoded by ips engine: 83971
Bytes decoded by ips engine: 125677543
Invalid packets decoded by ips engine: 0
IPv4 packets decoded by ips engine: 83971
IPv6 packets decoded by ips engine: 0
TCP packets decoded by ips engine: 75
UDP packets decoded by ips engine: 83891
SCTP packets decoded by ips engine: 0
ICMPv4 packets decoded by ips engine: 5
ICMPv6 packets decoded by ips engine: 0
PPP packets decoded by ips engine: 0
PPPoE packets decoded by ips engine: 0
GRE packets decoded by ips engine: 0
Teredo packets decoded by ips engine: 0
Average packets size decoded by ips engine: 1496
Maximum packets size decoded by ips engine: 1500 |
show security ips counters flow
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на потоках.
Синтаксис
show security ips counters flowНеобходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters flow
----------------------------------------------
IPS Flow engine
----------------------------------------------
TCP Flow decoded by ips engine: 1
UDP Flow decoded by ips engine: 1
ICMPv4 Flow decoded by ips engine: 1
ICMPv6 Flow decoded by ips engine: 0
Failed TCP Flow decoded by ips engine: 0
Failed UDP Flow decoded by ips engine: 1
---------------------------------------------- |
show security ips counters general
Данной командой выполняется просмотр глобальных счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters generalНеобходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters general
----------------------------------------------
IPS general counters
----------------------------------------------
Packets decoded by ips engine: 83971
Invalid packets decoded by ips engine: 0
Packets accepted by ips engine: 83977
Packets blocked by ips engine: 0
Packets replaced by ips engine: 0
Alerts generated: 8
---------------------------------------------- |
show security ips counters tcp
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS для TCP-сессий.
Синтаксис
show security ips counters tcpНеобходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips counters tcp
----------------------------------------------
IPS TCP engine
----------------------------------------------
TCP sessions decoded by ips engine: 1
TCP SYN packets decoded by ips engine: 1
TCP SYN-ACK packets decoded by ips engine: 0
TCP RST packets decoded by ips engine: 0
TCP packets with invalid checksum: 0
TCP packets with wrong thread: 0
Packets with TCP header length too small: 0
TCP packets with invalid options: 0 |
show security ips status
Данной командой выполняется просмотр числа правил, используемых в текущий момент системой IPS/IDS.
Синтаксис
show security ips status [detailed]
...
detailed – показывает расширенную информацию об используемых правилах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security ips status Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 esr# show security ips status detailed Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 Rules processed: 21727 IP-only inspecting: 1 Payload inspecting: 3980 Application layer inspecting: 18951 Decoder event: 0 |
...
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.
Синтаксис
show security ips user-server [<WORD>]
...
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# sh security ips user-server Server name Files MD5 Next update -------------------------------- -------------------------------- -------------------------------- content-provider 93633ab9a73248ea50d58c25b1ac806c 06 October 2020 12:27:40 TH 919f51bdf44052bfc0953362aef11c0d 06 October 2020 12:36:40 Traffic-ID e5e2f6472a397227c0d96f5df430a207 06 October 2020 12:36:40 Aggressive cfc3547b50f3f9fec366ba5a1e51cd1f 06 October 2020 12:36:40 JA3-Fingerprint 439aa6e57c66826b92337672937d505b 05 October 2020 16:51:40 C2-Botnet 39e118bd3884b3dc1df4ca3a03c05df1 05 October 2020 16:51:40 SSL-BlackList 1d9c969f25791b9ee8c8c0ab8449d849 05 October 2020 16:51:40 ET-Open d53d92248a1f7cdc040d669a76cf27bc 06 October 2020 12:36:40 |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# update security ips content-provider rules |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# update security ips content-provider rules-info |
...
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips user-server rules <WORD>
...
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# update security ips user-server rules ET-Open |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.
Синтаксис
category <CATEGORY>
no category { <CATEGORY> | all }...
| Блок кода |
|---|
show security ips content-provider rules-info |
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR
Пример
| Блок кода |
|---|
esr(config-ips-vendor)# category MobileBotnetCAndCDF |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
external network-group <OBJ-GROUP-NETWORK-NAME>
...
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# external network-group WAN |
...
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
protect network-group <OBJ-GROUP-NETWORK-NAME>
...
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# protect network-group LAN |
...
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules { all | count <COUNT> | percent <PERCENT> | recomended }...
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
| Блок кода |
|---|
esr(config-ips-vendor-category)# rules percent 25 |
...
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules action { alert | reject | pass | drop }...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
| Блок кода |
|---|
esr(config-ips-vendor-category)# rules action drop |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.
Синтаксис
[no] security ips policy <POLICY_NAME>
...
<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips policy OFFICE |
...
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
Синтаксис
vendor <VENDOR>
no vendor <CATEGORY>
...
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
| Блок кода |
|---|
esr(config-ips-policy)# vendor kaspersky |
...
Данной командой устанавливается уровень важности сообщения для логирования событий IPS/IDS.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
logging ips severity <SEVERITY>
...
Значение по умолчанию
info
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# logging ips severity error |
...
Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.
Синтаксис
security ips
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips |
...
Использование отрицательной формы команды (no) разрешает прохождение трафика при отсутствии загруженных правил IPS/IDS.
Синтаксис
[no] fail-close enable
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# fail-close enable |
...
Использование отрицательной формы команды (no) останавливает отправку статистики.
Синтаксис
logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]...
<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# logging remote-server 192.168.0.101 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
logging update-interval <INTERVAL>
...
Значение по умолчанию
10 минут.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# logging update-interval 10 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
queue-limit <QUEUE-LIMIT>
...
Значение по умолчанию
1024
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
|
...
Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.
Синтаксис
[no] performance max
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# perfomance max |
...
Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.
Синтаксис
policy <POLICY_NAME>
no policy
...
<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# policy OFFICE |
...
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
service-ips { inline | monitor }
[no] service-ips
...
monitor – режим работы сервиса IPS/IDS, когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т. е. сервис работает в режиме IDS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
...
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
Пример
| Блок кода |
|---|
esr(config-if-gi)# service-ips inline |
...
Данной командой осуществляется переход в режим конфигурирования источника обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
content-provider
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# content-provider |
...
Данной командой задаётся адрес сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host address { <ADDR> | <IPV6-ADDR> | <WORD> }...
<WORD> – DNS-имя сервера, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# host address edm.eltex-co.ru |
...
Использование отрицательной формы команды (no) удаляет номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host port <PORT>
no host port
...
<PORT> – номер TCP-порта, принимает значения [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# host port 8098 |
...
| Примечание |
|---|
Данный параметр можно увидеть в разделе Информация об устройстве web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue. |
Синтаксис
location <WORD>
no location
...
<WORD> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# location "Server room in Novokuznetsk office" |
...
При наличии функциональной лицензии IPS/IDS перезагрузки не происходит.
Синтаксис
reboot { immediately | time <TIME> } ...
<TIME> – время перезагрузки в формате HH:MM:SS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# reboot time 05:00:00 |
...
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }...
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# storage-device usb://DATA/IPS |
...
| Примечание |
|---|
Данный параметр можно увидеть в разделе Информация об устройстве web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue. |
Синтаксис
system-name <WORD>
no system-name
...
По умолчанию значение system-name совпадает с hostname.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# system-name main-office |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
...
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
| Блок кода |
|---|
esr(config-content-provider)# upgrade interval 36 |
...
Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.
Синтаксис
auto-upgrade
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# auto-upgrade |
...
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }...
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-IPS
Пример
| Блок кода |
|---|
esr(config-ips)# storage-device usb://DATA/ |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
...
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
| Блок кода |
|---|
esr(config-ips-upgrade-user-server)# upgrade interval 36 |
...
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длиной от 8 до 255 символов.
...
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config,
- каталог на сервере, содержащий файлы правил и/или файл классификатора правил.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
| Блок кода |
|---|
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/ |
...
Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила, полученные с этого сервера.
Синтаксис
user-server <WORD>
no user-server { <WORD> | all }...
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-AUTO-UPGRADE
Пример
| Блок кода |
|---|
esr(config-ips-auto-upgrade)# user-server ET-Open |
...
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { alert | reject | pass | drop }...
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# action reject |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# destination-address ip 10.10.10.1 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# destination-port 22 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
direction { one-way | round-trip }...
- one-way – трафик передаётся в одну сторону;
- round-trip – трафик передаётся в обе стороны.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# direction one-way |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip dscp <DSCP>
[no] ip dscp
...
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip dscp 8 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp command <COMMAND>
[no] ip ftp command
...
- <retr> – скачать файл;
- <stor> – залить файл;
- <mkd> – создать директорию;
- <rmd> – удалить директорию;
- <appe> – добавить в конец файла (с созданием);
- <dele> – удалить файл.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# protocol ftp esr(config-ips-category-rule)# ip ftp command allo |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp-data command <COMMAND>
...
- <retr> – скачать файл;
- <stor> – залить файл;
- <appe> – добавить в конец файла (с созданием).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# protocol ftp-data esr(config-ips-category-rule)# ip ftp-data command stor |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http <COMMAND>
[no] ip http
...
Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X/Suricata 4.X.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "HTTP/1.0" esr(config-ips-category-rule)# ip http protocol |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http content-filter <NAME>
...
any – правило будет срабатывать для http-сайтов любой категории.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip http content-filter Black-List |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http method <COMMAND>
[no] ip http method
...
- <GET> – запрашивает представление ресурса. Запросы с использованием этого метода могут только извлекать данные;
- <HEAD> – запрашивает ресурс так же, как и метод GET, но без тела ответа;
- <POST> – используется для отправки сущностей к определённому ресурсу;
- <PUT> – заменяет все текущие представления ресурса данными запроса;
- <DELETE> – удаляет указанный ресурс;
- <CONNECT> – устанавливает «туннель» к серверу, определённому по ресурсу;
- <OPTIONS> – используется для описания параметров соединения с ресурсом;
- <TRACE> – выполняет вызов возвращаемого тестового сообщения с ресурса;
- <PATCH> – используется для частичного изменения ресурса.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip http method get |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp code <CODE>
[no] ip icmp code
...
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp code 5 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp code comparison-operator { greater-than | less-than }...
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp code 5 esr(config-ips-category-rule)# ip icmp code comparison-operator less-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp id <ID>
[no] ip icmp id
...
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp id 65000 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp sequence-id <SEQ-ID>
...
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp sequence-id 8388608 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp type <TYPE>
[no] ip icmp type
...
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp type 12 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp type comparison-operator { greater-than | less-than }...
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip icmp type 14 esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip protocol-id <ID>
[no] ip protocol-id
...
<ID> – идентификационный номер IP-протокола [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip protocol-id 250 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp acknowledgment-number <ACK-NUM>
...
<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp acknowledgment-number 32 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp sequence-id <SEQ-ID>
...
<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp sequence-id 2542 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp window-size <SIZE>
...
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip tcp window-size 50 |
...
Использование отрицательной формы команды (no) отменяет назначение.
| Scroll Pagebreak |
|---|
Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip ttl 8 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip ttl comparison-operator { greater-than | less-than }...
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# ip ttl 5 esr(config-ips-category-rule)# ip ttl comparison-operator less-than |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }...
- not-suspicious – неподозрительный трафик;
- unknown – неизвестный трафик;
- bad-unknown – потенциально плохой трафик;
- attempted-recon – попытка утечки информации;
- successful-recon-limited – утечка информации;
- successful-recon-largescale – масштабная утечка информации;
- attempted-dos – попытка отказа в обслуживании;
- successful-dos – отказ в обслуживании;
- attempted-user – попытка получения привилегий пользователя;
- unsuccessful-user – безуспешная попытка получения привилегий пользователя;
- successful-user – успешная попытка получения привилегий пользователя;
- attempted-admin – попытка получения привилегий администратора;
- successful-admin – успешная попытка получения привилегий администратора;
- rpc-portmap-decode – декодирование запроса RPC;
- shellcode-detect – обнаружен исполняемый код;
- string-detect – обнаружена подозрительная строка;
- suspicious-filename-detect – было обнаружено подозрительное имя файла;
- suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
- system-call-detect – обнаружен системный вызов;
- tcp-connection – обнаружено TCP-соединение;
- trojan-activity – был обнаружен сетевой троян;
- unusual-client-port-connection – клиент использовал необычный порт;
- network-scan – обнаружение сетевого сканирования;
- denial-of-service – обнаружение атаки отказа в обслуживании;
- non-standard-protocol – обнаружение нестандартного протокола или события;
- protocol-command-decode – обнаружена попытка шифрования;
- web-application-activity – доступ к потенциально уязвимому веб-приложению;
- web-application-attack – атака на веб-приложение;
- misc-activity – прочая активность;
- misc-attack – прочие атаки;
- icmp-event – общее событие ICMP;
- inappropriate-content – обнаружено неприемлемое содержание;
- policy-violation – потенциальное нарушение корпоративной конфиденциальности;
- default-login-attempt – попытка входа с помощью стандартного логина/пароля.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# meta classification-type misc-attack |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta log-message <MESSAGE>
...
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack" |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload content <CONTENT>
...
<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "virus" |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload data-size <SIZE>
[no] payload data-size
...
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload data-size 1024 |
...
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
payload data-size comparison-operator { greater-than | less-than }...
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload data-size 1024 esr(config-ips-category-rule)# payload data-size comparison-operator less-than |
...
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload depth <DEPTH>
[no] payload content depth
...
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 3 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload no-case
[no] payload content no-case
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "virus" esr(config-ips-category-rule)# payload no-case |
...
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload offset <OFFSET>
[no] payload content offset
...
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 6 esr(config-ips-category-rule)# payload offset 3 |
...
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
protocol { any | ip | icmp | http | tcp | udp }...
- any – правило будет срабатывать для любых протоколов;
- ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
- icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
- http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
- tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
- udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
- ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
- ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# protocol udp |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..512].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY
Пример
| Блок кода |
|---|
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# |
...
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.
Синтаксис
[no] security ips-category user-defined <CATEGORY_NAME>
...
| Примечание |
|---|
В текущей версии использование символа «_» (нижнее подчёркивание) в <CATEGORY_NAME> недопустимо. |
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security ips-category user-defined PROTOCOL esr(config-ips-category)# |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }...
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
source-port { any | <PORT> | object-group <OBJ-GR-NAME> }...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# source-port 22 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold count <COUNT>
[no] threshold count
...
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 1024 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold second <SECOND>
...
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold second 1 |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold track { by_src | by_dst }...
- by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
- by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold track by-src |
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold type { treshhold | limit | both }...
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
| Блок кода |
|---|
esr(config-ips-category-rule)# threshold count 1024 esr(config-ips-category-rule)# threshold second 1 esr(config-ips-category-rule)# threshold track by-src esr(config-ips-category-rule)# threshold type treshold |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule-advanced <ORDER>
...
<ORDER> – номер правила, принимает значения [1..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
| Блок кода |
|---|
esr(config-ips-category)# rule-advanced 10 esr(config-ips-category-rule-advanced)# |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
rule-text <LINE>
[no] rule-text
...
При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
| Блок кода |
|---|
esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> $HOME_NET any (msg: "ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet"; flow: established, to_server; content:"_auth"; depth: 20; fast_pattern; content: !"|02 00 00 00|"; within: 4; content: "_ctrl"; content: "_ser"; content: "_tim"; content: "_exp"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )' |
...