Общие команды IPS/IDS
clear security ips counters
Данной командой выполняется сброс счетчиков работы правил сервиса IPS/IDS.
Синтаксис
clear security ips counters
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# clear security ips counters esr# 15: 2023-09-11T12:21:00.000+07:00 %IPS-I-INFO: Counters have been cleared completely !
description
Данной командой выполняется изменение описания.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IPS-CATEGORY
CONFIG-IPS-CATEGORY-RULE
CONFIG-IPS-CATEGORY-RULE-ADVANCED
CONFIG-IPS-POLICY
CONFIG-IPS-UPGRADE-USER-SERVER
CONFIG-CONTENT-PROVIDER
Пример
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"
enable
Данной командой активируется сервис IPS/IDS и его правила.
Использование отрицательной формы команды (no) деактивирует сервис IPS/IDS.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
IPS/IDS-сервис не активирован.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
CONFIG-IPS-CATEGORY-RULE
CONFIG-IPS-CATEGORY-RULE-ADVANCED
CONFIG-CONTENT-PROVIDER
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
esr(config-ips)# enable
show security ips content-provider
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS, распространяемых по коммерческой лицензии.
Синтаксис
show security ips content-provider
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips content-provider Server: content-provider Last MD5 of received files: 93633ab9a73248ea50d58c25b1ac806c Next update: 2020-10-06 12:27:40
show security ips content-provider rules-info
Данной командой выполняется просмотр информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии. При отсутствии действующей лицензии список будет пуст.
Синтаксис
show security ips content-provider rules-info
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips content-provider rules-info Vendor : kaspersky Category : IoTURLsDF Count of rules : 8000 Description : Kasperksy Lab IoTURLsDF feed IoTURLsDF URL feed - a set of URLs with context covering malware that infects IoT (Internet of Things) devices Category : MaliciousHashDF Count of rules : 1 Description : Kasperksy Lab MaliciousHashDF feed Malicious Hash feed - a set of hashes of malicious objects Category : PhishingURLsDF Count of rules : 11167 Description : Kasperksy Lab PhishingURLsDF feed Phishing URL feed - a set of URLs with context that cover phishing websites and web pages
show security ips counters
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips counters ---------------------------------------------- IPS general counters ---------------------------------------------- Packets decoded by ips engine: 83971 Invalid packets decoded by ips engine: 0 Packets accepted by ips engine: 83977 Packets blocked by ips engine: 0 Packets replaced by ips engine: 0 Alerts generated: 8 ---------------------------------------------- IPS Decoder engine ---------------------------------------------- Packets decoded by ips engine: 83971 Bytes decoded by ips engine: 125677543 Invalid packets decoded by ips engine: 0 IPv4 packets decoded by ips engine: 83971 IPv6 packets decoded by ips engine: 0 TCP packets decoded by ips engine: 75 UDP packets decoded by ips engine: 83891 SCTP packets decoded by ips engine: 0 ICMPv4 packets decoded by ips engine: 5 ICMPv6 packets decoded by ips engine: 0 PPP packets decoded by ips engine: 0 PPPoE packets decoded by ips engine: 0 GRE packets decoded by ips engine: 0 Teredo packets decoded by ips engine: 0 Average packets size decoded by ips engine: 1496 Maximum packets size decoded by ips engine: 1500 ---------------------------------------------- IPS Application Layer ---------------------------------------------- HTTP Flow decoded by ips engine: 0 FTP Flow decoded by ips engine: 0 FTP-DATA Flow decoded by ips engine: 0 SMTP Flow decoded by ips engine: 0 TLS Flow decoded by ips engine: 0 SSH Flow decoded by ips engine: 0 IMAP Flow decoded by ips engine: 0 SMB Flow decoded by ips engine: 0 DCE/RPC flow over TCP decoded by ips engine: 0 DCE/RPC flow over UDP decoded by ips engine: 0 DNS flow over TCP decoded by ips engine: 0 DNS flow over UDP decoded by ips engine: 0 ENIP flow over TCP decoded by ips engine: 0 ENIP flow over UDP decoded by ips engine: 0 ---------------------------------------------- IPS Flow engine ---------------------------------------------- TCP Flow decoded by ips engine: 1 UDP Flow decoded by ips engine: 1 ICMPv4 Flow decoded by ips engine: 1 ICMPv6 Flow decoded by ips engine: 0 Failed TCP Flow decoded by ips engine: 0 Failed UDP Flow decoded by ips engine: 1 ---------------------------------------------- IPS TCP engine ---------------------------------------------- TCP sessions decoded by ips engine: 1 TCP SYN packets decoded by ips engine: 1 TCP SYN-ACK packets decoded by ips engine: 0 TCP RST packets decoded by ips engine: 0 TCP packets with invalid checksum: 0 TCP packets with wrong thread: 0 Packets with TCP header length too small: 0 TCP packets with invalid options: 0
show security ips counters application-layer
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на уровне приложений.
Синтаксис
show security ips counters application-layer
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips counters application-layer ---------------------------------------------- IPS Application Layer ---------------------------------------------- HTTP Flow decoded by ips engine: 0 FTP Flow decoded by ips engine: 0 FTP-DATA Flow decoded by ips engine: 0 SMTP Flow decoded by ips engine: 0 TLS Flow decoded by ips engine: 0 SSH Flow decoded by ips engine: 0 IMAP Flow decoded by ips engine: 0 SMB Flow decoded by ips engine: 0 DCE/RPC flow over TCP decoded by ips engine: 0 DCE/RPC flow over UDP decoded by ips engine: 0 DNS flow over TCP decoded by ips engine: 0 DNS flow over UDP decoded by ips engine: 0 ENIP flow over TCP decoded by ips engine: 0 ENIP flow over UDP decoded by ips engine: 0
show security ips counters decoder
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS декодера.
Синтаксис
show security ips counters decoder
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips counters decoder ---------------------------------------------- IPS Decoder engine ---------------------------------------------- Packets decoded by ips engine: 83971 Bytes decoded by ips engine: 125677543 Invalid packets decoded by ips engine: 0 IPv4 packets decoded by ips engine: 83971 IPv6 packets decoded by ips engine: 0 TCP packets decoded by ips engine: 75 UDP packets decoded by ips engine: 83891 SCTP packets decoded by ips engine: 0 ICMPv4 packets decoded by ips engine: 5 ICMPv6 packets decoded by ips engine: 0 PPP packets decoded by ips engine: 0 PPPoE packets decoded by ips engine: 0 GRE packets decoded by ips engine: 0 Teredo packets decoded by ips engine: 0 Average packets size decoded by ips engine: 1496 Maximum packets size decoded by ips engine: 1500
show security ips counters flow
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS на потоках.
Синтаксис
show security ips counters flow
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips counters flow ---------------------------------------------- IPS Flow engine ---------------------------------------------- TCP Flow decoded by ips engine: 1 UDP Flow decoded by ips engine: 1 ICMPv4 Flow decoded by ips engine: 1 ICMPv6 Flow decoded by ips engine: 0 Failed TCP Flow decoded by ips engine: 0 Failed UDP Flow decoded by ips engine: 1 ----------------------------------------------
show security ips counters general
Данной командой выполняется просмотр глобальных счетчиков работы правил сервиса IPS/IDS.
Синтаксис
show security ips counters general
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips counters general ---------------------------------------------- IPS general counters ---------------------------------------------- Packets decoded by ips engine: 83971 Invalid packets decoded by ips engine: 0 Packets accepted by ips engine: 83977 Packets blocked by ips engine: 0 Packets replaced by ips engine: 0 Alerts generated: 8 ----------------------------------------------
show security ips counters tcp
Данной командой выполняется просмотр счетчиков работы правил сервиса IPS/IDS для TCP-сессий.
Синтаксис
show security ips counters tcp
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips counters tcp ---------------------------------------------- IPS TCP engine ---------------------------------------------- TCP sessions decoded by ips engine: 1 TCP SYN packets decoded by ips engine: 1 TCP SYN-ACK packets decoded by ips engine: 0 TCP RST packets decoded by ips engine: 0 TCP packets with invalid checksum: 0 TCP packets with wrong thread: 0 Packets with TCP header length too small: 0 TCP packets with invalid options: 0
show security ips status
Данной командой выполняется просмотр числа правил, используемых в текущий момент системой IPS/IDS.
Синтаксис
show security ips status [detailed]
Параметры
detailed – показывает расширенную информацию об используемых правилах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show security ips status Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 esr# show security ips status detailed Rule files processed: 3 Rules successfully loaded: 21724 Rules failed: 0 Rules processed: 21727 IP-only inspecting: 1 Payload inspecting: 3980 Application layer inspecting: 18951 Decoder event: 0
show security ips user-server
Данной командой выполняется просмотр информации об обновлении правил IPS/IDS с пользовательских серверов обновлений.
Синтаксис
show security ips user-server [<WORD>]
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# sh security ips user-server Server name Files MD5 Next update -------------------------------- -------------------------------- -------------------------------- content-provider 93633ab9a73248ea50d58c25b1ac806c 2020-10-06 12:27:40 TH 919f51bdf44052bfc0953362aef11c0d 2020-10-06 12:36:40 Traffic-ID e5e2f6472a397227c0d96f5df430a207 2020-10-06 12:36:40 Aggressive cfc3547b50f3f9fec366ba5a1e51cd1f 2020-10-06 12:36:40 JA3-Fingerprint 439aa6e57c66826b92337672937d505b 2020-10-05 16:51:40 C2-Botnet 39e118bd3884b3dc1df4ca3a03c05df1 2020-10-05 16:51:40 SSL-BlackList 1d9c969f25791b9ee8c8c0ab8449d849 2020-10-05 16:51:40 ET-Open d53d92248a1f7cdc040d669a76cf27bc 2020-10-06 12:36:40
update security ips content-provider rules
Данной командой инициируется принудительное обновление правил IPS/IDS, распространяемых по коммерческой лицензии.
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# update security ips content-provider rules
update security ips content-provider rules-info
Данной командой инициируется принудительный запрос информации о категориях правил IPS/IDS, доступных по текущей коммерческой лицензии.
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# update security ips content-provider rules-info
update security ips user-server rules
Данной командой инициируется принудительное обновление правил IPS/IDS с пользовательского сервера обновлений.
Фактическое начало процедуры обновления правил происходит с некоторой задержкой после введения команды. Максимальная величина задержки составляет 5 минут.
Синтаксис
update security ips user-server rules <WORD>
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# update security ips user-server rules ET-Open
Настройка политики IPS/IDS
category
Данной командой определяется категория правил IPS/IDS определённого вендора, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данной категории.
Использование отрицательной формы команды (no) удаляет сконфигурированную категорию из настроек сервиса IPS/IDS.
Синтаксис
category <CATEGORY>
no category { <CATEGORY> | all }
Параметры
<CATEGORY> – категория правил.
Список доступных категорий можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR
Пример
esr(config-ips-vendor)# category MobileBotnetCAndCDF
external network-group
Данной командой устанавливается профиль IP-адресов, которые сервис IPS/IDS будет считать ненадежными.
Сам профиль IP-адресов должен быть предварительно создан.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
external network-group <OBJ-GROUP-NETWORK-NAME>
no external network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
esr(config-ips-policy)# external network-group WAN
protect network-group
Данной командой устанавливается профиль IP-адресов, которые будет защищать сервис IPS/IDS.
Сам профиль IP-адресов должен быть предварительно создан.
Использование отрицательной формы команды (no) удаляет сконфигурированный профиль из настроек сервиса IPS/IDS.
Синтаксис
protect network-group <OBJ-GROUP-NETWORK-NAME>
no protect network-group
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
esr(config-ips-policy)# protect network-group LAN
rules
Данной командой указывается количество правил, которое необходимо скачать для данной категории.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules { all | count <COUNT> | percent <PERCENT> | recomended }
no rules all
Параметры:
- all – данной командой указывается, что система IPS/IDS будет работать с полным набором правил данной категории;
- count <COUNT> – данной командой указывается действующее число правил данной категории, с которым будет работать система IPS/IDS:
- <COUNT> – число правил. Минимальное значение 1, максимальное значение зависит от категории правил.
- percent <PERCENT> – данной командой указывается процентное соотношение от общего числа правил данной категории, с которым будет работать система IPS/IDS:
<PERCENT> – процент от общего числа правил.
- recomended – данной командой указывается, что система IPS/IDS будет использовать рекомендованное количество правил в данной категории. Рекомендованное количество составляет 42% от общего числа правил.
Максимальное число правил по категориям можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
esr(config-ips-vendor-category)# rules percent 25
rules action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего правилам данной категории.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Команда применима только для правил, распространяемых по коммерческой лицензии.
Синтаксис
rules action { alert | reject | pass | drop }
no rules action
Параметры:
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-VENDOR-CATEGORY
Пример
esr(config-ips-vendor-category)# rules action drop
security ips policy
Данной командой создается политика настроек сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования политики.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS/IDS.
Синтаксис
[no] security ips policy <POLICY_NAME>
Параметры
<POLICY_NAME> – имя политики сервиса IPS/IDS, задаётся строкой до 31 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security ips policy OFFICE
vendor
Данной командой определяется вендор правил IPS/IDS, распространяемых по коммерческой лицензии, и осуществляется переход в режим настройки данного вендора.
Использование отрицательной формы команды (no) удаляет сконфигурированного вендора из настроек сервиса IPS/IDS.
Синтаксис
vendor <VENDOR>
no vendor <CATEGORY>
Параметры
<VENDOR> – вендор правил.
Список доступных вендоров можно посмотреть в контекстной подсказке или командой:
show security ips content-provider rules-info
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-POLICY
Пример
esr(config-ips-policy)# vendor kaspersky
Настройка IPS
logging ips severity
Данной командой устанавливается уровень важности сообщения для логирования событий IPS/IDS.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
logging ips severity <SEVERITY>
no logging ips severity
Параметры
<SEVERITY> – уровень важности сообщения, принимает значения (в порядке убывания важности):
- emerg – в системе произошла критическая ошибка, система неработоспособна;
- alert – сигналы тревоги, необходимо немедленное вмешательство персонала;
- crit – критическое состояние системы, сообщение о событии;
- error – сообщения об ошибках;
- warning – предупреждения, неаварийные сообщения;
- notice – сообщения о важных системных событиях;
- info – информационные сообщения системы;
- debug – отладочные сообщения, предоставляют пользователю информацию для корректной настройки системы;
- none – отключает вывод syslog-сообщений.
Значение по умолчанию
info
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# logging ips severity error
security ips
Команда используется для создания профиля сервиса IPS/IDS и перехода в режим его конфигурирования.
Синтаксис
security ips
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security ips
fail-close enable
При использовании данной команды передача трафика через интерфейс, на котором настроен сервис IPS/IDS, в момент начальной загрузки маршрутизатора, будет заблокирована до тех пор, пока сервис IPS/IDS не запустится и не применит хотя бы одно сконфигурированное или существующее правило.
Использование отрицательной формы команды (no) разрешает прохождение трафика при отсутствии загруженных правил IPS/IDS.
Синтаксис
[no] fail-close enable
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# fail-close enable
logging remote-server
Данной командой задаются параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).
Использование отрицательной формы команды (no) останавливает отправку статистики.
Синтаксис
logging remote-server { <ADDR> | <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> | <IPV6-SRC-ADDR> } ]
no logging remote-server
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:
- TCP – передача данных осуществляется по протоколу TCP;
- UDP – передача данных осуществляется по протоколу UDP.
<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;
<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;
<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# logging remote-server 192.168.0.101
logging update-interval
Данной командой устанавливается интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
logging update-interval <INTERVAL>
no logging update-interval
Параметры
<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
Значение по умолчанию
10 минут.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# logging update-interval 10
queue-limit
Данной командой определяется предельное количество пакетов для виртуальной очереди одного потока сервиса IPS/IDS. Больший размер очереди позволяет оптимизировать производительность при всплесках трафика, но слишком большая очередь может привести к снижению производительности.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
queue-limit <QUEUE-LIMIT>
no queue-limit
Параметры
<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096].
Значение по умолчанию
1024
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# queue-limit 2048
performance max
Данная команда позволяет сервису IPS/IDS использовать все ресурсы устройства для достижения максимальной производительности. Рекомендуется применять, когда устройство используется исключительно в качестве IPS/IDS. Не рекомендуется применять, когда помимо IPS/IDS устройство выполняет другие функции (маршрутизация, BRAS и т. д.).
Использование отрицательной формы команды (no) освобождает часть ресурсов устройства для использования другими сервисами.
Синтаксис
[no] performance max
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# perfomance max
policy
Данной командой назначается созданная ранее политика настроек сервиса IPS/IDS.
Использование отрицательной формы команды (no) снимает назначенную ранее политику настроек сервиса IPS/IDS.
Синтаксис
policy <POLICY_NAME>
no policy
Параметры
<POLICY_NAME> – имя политики сервиса IPS, задаётся строкой до 32 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# policy OFFICE
service-ips
Данная команда используется для включения сервиса IPS/IDS на сетевом интерфейсе.
Использование отрицательной формы команды (no) выключает сервис IPS/IDS на сетевом интерфейсе.
Синтаксис
service-ips { inline | monitor }
[no] service-ips
Параметры
inline – режим работы сервиса IPS/IDS, когда устройство ставится в разрыв сети. В этом режиме сервис IPS/IDS может детектировать и блокировать трафик;
monitor – режим работы сервиса IPS/IDS, когда устройство подключается к SPAN/RSPAN-порту. В этом режиме возможно только детектировать трафик, т. е. сервис работает в режиме IDS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
Пример
esr(config-if-gi)# service-ips inline
Настройка автообновления правил IPS/IDS, распространяемых по коммерческой лицензии
content-provider
Данной командой осуществляется переход в режим конфигурирования источника обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
content-provider
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# content-provider
host address
Данной командой задаётся адрес сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host address { <ADDR> | <IPV6-ADDR> | <WORD> }
Параметры
<ADDR> – IP-адрес сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<WORD> – DNS-имя сервера, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
esr(config-content-provider)# host address edm.eltex-co.ru
host port
Данной командой задаётся номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.
Использование отрицательной формы команды (no) удаляет номер TCP-порта сервера обновлений правил, распространяемых по коммерческой лицензии.
Синтаксис
host port <PORT>
no host port
Параметры
<PORT> – номер TCP-порта, принимает значения [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
esr(config-content-provider)# host port 8098
location
Данной командой задаётся текстовое описание, которое передаётся на сервер EDM-Issue.
Использование отрицательной формы команды (no) удаляет это описание.
Данный параметр можно увидеть в разделе Информация об устройстве web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue.
Синтаксис
location <WORD>
no location
Параметры
<WORD> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
esr(config-content-provider)# location "Server room in Novokuznetsk office"
reboot
Данной командой задаётся время перезагрузки устройства при получении системной лицензии. Устройство перезагружается при первом подключении к серверу обновлений правил, распространяемых по коммерческой лицензии.
При наличии функциональной лицензии IPS/IDS перезагрузки не происходит.
Синтаксис
reboot { immediately | time <TIME> }
Параметры
immediately – перезагружаться сразу после получения лицензии;
time <TIME> – перезагружаться в указанное время <TIME>;
<TIME> – время перезагрузки в формате HH:MM:SS.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
esr(config-content-provider)# reboot time 05:00:00
storage-path
Данной командой задается путь на внешнем носителе, по которому будут сохраняться правила IPS/IDS в шифрованном виде, распространяемые по коммерческой лицензии.
Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }
no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
esr(config-content-provider)# storage-device usb://DATA/IPS
system-name
Данной командой задаётся текстовое имя устройства, которое передаётся на сервер EDM-Issue.
Использование отрицательной формы команды (no) присваивает этому имени значение по умолчанию.
Данный параметр можно увидеть в разделе Информация об устройстве web-интерфейса EDM-Issue или выводе команд show интерфейса командной строки EDM-Issue.
Синтаксис
system-name <WORD>
no system-name
Параметры
<WORD> – имя, задаётся строкой до 253 символа.
Значение по умолчанию
По умолчанию значение system-name совпадает с hostname.
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
esr(config-content-provider)# system-name main-office
upgrade interval
Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS, распространяемых по коммерческой лицензии.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-CONTENT-PROVIDER
Пример
esr(config-content-provider)# upgrade interval 36
Настройка автообновления правил IPS/IDS из внешних источников
auto-upgrade
Данной командой осуществляется переход в режим конфигурирования источников обновлений правил для сервиса.
Синтаксис
auto-upgrade
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# auto-upgrade
storage-path
Данной командой задается путь на внешнем носителе, по которому будут сохраняться правила IPS/IDS, загружаемые с пользовательских серверов обновлений.
Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
Использование отрицательной формы команды (no) останавливает сохранение правил.
Синтаксис
storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }
no storage-device
Параметры
<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb;
<MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc.
Необходимый уровень привилегий config-ips-upgrade-user-server
15
Командный режим
CONFIG-IPS
Пример
esr(config-ips)# storage-device usb://DATA/
upgrade interval
Команда задаёт частоту, с которой устройство будет проверять обновления правил IPS/IDS и/или файла классификатора IPD/IDS для данного URL.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
upgrade interval <HOURS>
no upgrade interval
Параметры
<HOURS> – интервал обновлений в часах, от 1 до 240.
Значение по умолчанию
24
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
esr(config-ips-upgrade-user-server)# upgrade interval 36
url
Команда используется для задания URL-ссылки.
Использование отрицательной формы команды (no) удаляет ссылку из конфигурации источника обновлений правил IPS/IDS.
Синтаксис
url <URL>
no url
Параметры
<URL> – текстовое поле, содержащее URL-ссылку длиной от 8 до 255 символов.
В качестве URL-ссылки может быть указан:
- файл правил с расширение .rule,
- файл классификатора правил с именем classification.config,
- каталог на сервере, содержащий файлы правил и/или файл классификатора правил.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-UPGRADE-USER-SERVER
Пример
esr(config-ips-upgrade-user-server)# url https://rules.emergingthreats.net/open/suricata-4.0/rules/
user-server
Данной командой задаётся имя пользовательского сервера обновлений правил IPS/IDS и осуществляется переход в режим конфигурирования параметров пользовательского сервера обновлений.
Использование отрицательной формы команды (no) удаляет пользовательский сервер обновлений правил IPS/IDS и все правила, полученные с этого сервера.
Синтаксис
user-server <WORD>
no user-server { <WORD> | all }
Параметры
<WORD> – имя сервера, задается строкой от 1 до 64 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-AUTO-UPGRADE
Пример
esr(config-ips-auto-upgrade)# user-server ET-Open
Настройка пользовательских правил IPS/IDS
action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { alert | reject | pass | drop }
no action
Параметры
- alert – прохождение трафика разрешается, и сервис IPS/IDS генерирует сообщение;
- reject – прохождение трафика запрещается. Если это TCP-трафик, отправителю и получателю посылается пакет TCP-RESET, для остального типа трафика посылается пакет ICMP-ERROR. Cервис IPS/IDS генерирует сообщение;
- pass – прохождение трафика разрешается;
- drop – прохождение трафика запрещается, и сервис IPS/IDS генерирует сообщение.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# action reject
destination-address
Данной командой устанавливаются IP-адреса получателя, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
destination-address { ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no destination-address
Параметры
<ADDR> – IP-адрес получателя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса назначения, задаётся строкой до 31 символа;
destination-address policy-object-group protect – устанавливает в качестве адресов назначения protect-адреса, определенные в политике IPS/IDS;
destination-address policy-object-group external – устанавливает в качестве адресов назначения external-адреса, определенные в политике IPS/IDS;
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# destination-address ip 10.10.10.1
destination-port
Данной командой устанавливается номер TCP/UDP-порта получателя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
destination-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no destination-port
Параметры
<PORT> – номер TCP/UDP-порта получателя, принимает значения [1..65535];
<OBJ_GR_NAME> – имя профиля TCP/UDP-портов получателя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# destination-port 22
direction
Данной командой устанавливается направление потока трафика, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
direction { one-way | round-trip }
no direction
Параметры
- one-way – трафик передаётся в одну сторону;
- round-trip – трафик передаётся в обе стороны.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# direction one-way
ip dscp
Данной командой устанавливается значение кода DSCP, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip dscp <DSCP>
[no] ip dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения [0..63].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip dscp 8
ip ftp command
Данной командой устанавливаются значения ключевых слов протокола FTP, для которых должно срабатывать правило.
Данная команда применима только для значения protocol ftp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp command <COMMAND>
[no] ip ftp command
Параметры
<COMMAND> – может принимать следующие значения:
- <retr> – скачать файл;
- <stor> – залить файл;
- <mkd> – создать директорию;
- <rmd> – удалить директорию;
- <appe> – добавить в конец файла (с созданием);
- <dele> – удалить файл.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# protocol ftp esr(config-ips-category-rule)# ip ftp command allo
ip ftp-data command
Данной командой устанавливаются значения ключевых слов протокола FTP-DATA, для которых должно срабатывать правило.
Данная команда применима только для значения protocol ftp-data.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ftp-data command <COMMAND>
[no] ip ftp-data command
Параметры
<COMMAND> – может принимать следующие значения:
- <retr> – скачать файл;
- <stor> – залить файл;
- <appe> – добавить в конец файла (с созданием).
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# protocol ftp-data esr(config-ips-category-rule)# ip ftp-data command stor
ip http
Данной командой устанавливаются значения ключевых слов протокола HTTP, для которых должно срабатывать правило.
Данная команда применима только для значения protocol http.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http <COMMAND>
[no] ip http
Параметры
<COMMAND> – может принимать следующие значения:
- accept;
- accept-enc;
- accept-lang;
- client-body;
- connection;
- content-len;
- content-type;
- cookie;
- file-data;
- header;
- header-names;
- host;
- protocol;
- referer;
- request-line;
- response-line;
- server-body;
- start;
- stat-code;
- stat-msg;
- uri;
- urilen <VALUE>;
- urilen comparison-operator { greater-than | less-than};
- user-agent.
Значения и применение ключевых слов протокола HTTP подробно описаны в документации SNORT 2.X/Suricata 4.X.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content "HTTP/1.0" esr(config-ips-category-rule)# ip http protocol
ip http content-filter
Данной командой назначается профиль категорий контентной фильтрации. Текущее правило будет срабатывать для http-сайтов, которые относятся к категориям заданным в этом профиле.
Сам профиль контентной фильтрации должен быть предварительно создан.
Данная команда применима только для значения protocol http.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http content-filter <NAME>
[no] ip http content-filter
Параметры
<NAME> – имя профиля контентной фильтрации, задаётся строкой до 31 символа.
any – правило будет срабатывать для http-сайтов любой категории.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip http content-filter Black-List
ip http method
Данной командой устанавливаются значения метода доступа по протоколу HTTP, для которых должно срабатывать правило.
Данная команда применима только для значения protocol http.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip http method <COMMAND>
[no] ip http method
Параметры
<COMMAND> – может принимать следующие значения:
- <GET> – запрашивает представление ресурса. Запросы с использованием этого метода могут только извлекать данные;
- <HEAD> – запрашивает ресурс так же, как и метод GET, но без тела ответа;
- <POST> – используется для отправки сущностей к определённому ресурсу;
- <PUT> – заменяет все текущие представления ресурса данными запроса;
- <DELETE> – удаляет указанный ресурс;
- <CONNECT> – устанавливает «туннель» к серверу, определённому по ресурсу;
- <OPTIONS> – используется для описания параметров соединения с ресурсом;
- <TRACE> – выполняет вызов возвращаемого тестового сообщения с ресурса;
- <PATCH> – используется для частичного изменения ресурса.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip http method get
ip icmp code
Данной командой устанавливается значение ICMP CODE, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp code <CODE>
[no] ip icmp code
Параметры
<CODE> – значение CODE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp code 5
ip icmp code comparison-operator
Оператор сравнения для команды ip icmp code. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp code comparison-operator { greater-than | less-than }
[no] ip icmp code comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp code 5 esr(config-ips-category-rule)# ip icmp code comparison-operator less-than
ip icmp id
Данной командой устанавливается значение ICMP ID, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp id <ID>
[no] ip icmp id
Параметры
<ID> – значение ID протокола ICMP, принимает значение в диапазоне [0..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp id 65000
ip icmp sequence-id
Данной командой устанавливается значение ICMP sequence-ID, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp sequence-id <SEQ-ID>
[no] ip icmp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола ICMP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp sequence-id 8388608
ip icmp type
Данной командой устанавливается значение ICMP TYPE, при котором сработает правило.
Данная команда применима только для значения protocol icmp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip icmp type <TYPE>
[no] ip icmp type
Параметры
<TYPE> – значение TYPE протокола ICMP, принимает значение в диапазоне [0..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp type 12
ip icmp type comparison-operator
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip icmp type comparison-operator { greater-than | less-than }
[no] ip icmp type comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip icmp type 14 esr(config-ips-category-rule)# ip icmp code comparison-operator greater-than
ip protocol-id
Данной командой устанавливается идентификационный номер IP-протокола, трафик которого будет обрабатываться в данном правиле.
Данная команда применима только для значения protocol any.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip protocol-id <ID>
[no] ip protocol-id
Параметры
<ID> – идентификационный номер IP-протокола [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip protocol-id 250
ip tcp acknowledgment-number
Данной командой устанавливается значение TCP Acknowledgment-Number, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp acknowledgment-number <ACK-NUM>
[no] ip tcp acknowledgment-number
Параметры
<ACK-NUM> – значение Acknowledgment-Number протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip tcp acknowledgment-number 32
ip tcp sequence-id
Данной командой устанавливается значение TCP Sequence-ID, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp sequence-id <SEQ-ID>
[no] ip tcp sequence-id
Параметры
<SEQ-ID> – значение Sequence-ID протокола TCP, принимает значение в диапазоне [0..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip tcp sequence-id 2542
ip tcp window-size
Данной командой устанавливается значение TCP Window Size, при котором сработает правило.
Данная команда применима только для значения protocol tcp.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip tcp window-size <SIZE>
[no] ip tcp window-size
Параметры
<SIZE> – значение Window-Size протокола TCP, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip tcp window-size 50
ip ttl
Данной командой устанавливается значение времени жизни IP-пакета, трафик которого будет обрабатываться в данном правиле.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
ip ttl <TTL>
[no] ip ttl
Параметры
<TTL> – время жизни IP-пакета, принимает значения [1..255].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip ttl 8
ip ttl comparison-operator
Оператор сравнения для команды ip ttl. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
ip ttl comparison-operator { greater-than | less-than }
[no] ip ttl comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# ip ttl 5 esr(config-ips-category-rule)# ip ttl comparison-operator less-than
meta classification-type
Данная команда определяет классификацию события, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta classification-type { not-suspicious | unknown | bad-unknown | attempted-recon | successful-recon-limited | successful-recon-largescale | attempted-dos | successful-dos | attempted-user | unsuccessful-user | successful-user | attempted-admin | successful-admin | rpc-portmap-decode | shellcode-detect | string-detect | suspicious-filename-detect | suspicious-login | system-call-detect | tcp-connection | trojan-activity | unusual-client-port-connection | network-scan | denial-of-service | non-standard-protocol | protocol-command-decode | web-application-activity | web-application-attack | misc-activity | misc-attack | icmp-event | inappropriate-content | policy-violation | default-login-attempt }
[no] meta classification-type
Параметры
- not-suspicious – неподозрительный трафик;
- unknown – неизвестный трафик;
- bad-unknown – потенциально плохой трафик;
- attempted-recon – попытка утечки информации;
- successful-recon-limited – утечка информации;
- successful-recon-largescale – масштабная утечка информации;
- attempted-dos – попытка отказа в обслуживании;
- successful-dos – отказ в обслуживании;
- attempted-user – попытка получения привилегий пользователя;
- unsuccessful-user – безуспешная попытка получения привилегий пользователя;
- successful-user – успешная попытка получения привилегий пользователя;
- attempted-admin – попытка получения привилегий администратора;
- successful-admin – успешная попытка получения привилегий администратора;
- rpc-portmap-decode – декодирование запроса RPC;
- shellcode-detect – обнаружен исполняемый код;
- string-detect – обнаружена подозрительная строка;
- suspicious-filename-detect – было обнаружено подозрительное имя файла;
- suspicious-login – была обнаружена попытка входа с использованием подозрительного имени пользователя;
- system-call-detect – обнаружен системный вызов;
- tcp-connection – обнаружено TCP-соединение;
- trojan-activity – был обнаружен сетевой троян;
- unusual-client-port-connection – клиент использовал необычный порт;
- network-scan – обнаружение сетевого сканирования;
- denial-of-service – обнаружение атаки отказа в обслуживании;
- non-standard-protocol – обнаружение нестандартного протокола или события;
- protocol-command-decode – обнаружена попытка шифрования;
- web-application-activity – доступ к потенциально уязвимому веб-приложению;
- web-application-attack – атака на веб-приложение;
- misc-activity – прочая активность;
- misc-attack – прочие атаки;
- icmp-event – общее событие ICMP;
- inappropriate-content – обнаружено неприемлемое содержание;
- policy-violation – потенциальное нарушение корпоративной конфиденциальности;
- default-login-attempt – попытка входа с помощью стандартного логина/пароля.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# meta classification-type misc-attack
meta log-message
Данная команда определяет текстовое сообщение, которое сгенерирует сервис IPS/IDS, когда сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
meta log-message <MESSAGE>
[no] mera log-message
Параметры
<MESSAGE> – текстовое сообщение, задаётся строкой до 128 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# meta log-message "Possible SlowLorys attack"
payload content
Данной командой можно указать содержимое IP-пакетов, при совпадении с которым будет срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload content <CONTENT>
[no] payload content <CONTENT>
Параметры
<CONTENT> – текстовое сообщение, задаётся строкой до 1024 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content "virus"
payload data-size
Данной командой устанавливается размер содержимого пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload data-size <SIZE>
[no] payload data-size
Параметры
<SIZE> – размер содержимого пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload data-size 1024
payload data-size comparison-operator
Оператор сравнения для команды ip icmp type. Применим только совместно с этой командой.
Использование отрицательной формы команды (no) отменяет сравнение.
Синтаксис
payload data-size comparison-operator { greater-than | less-than }
[no] payload data-size comparison-operator
Параметры
- greater-than – больше чем;
- less-than – меньше чем.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload data-size 1024 esr(config-ips-category-rule)# payload data-size comparison-operator less-than
payload depth
Данная команда указывает, сколько байтов с начала содержимого пакета будет проверять это правило. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload offset.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload depth <DEPTH>
[no] payload content depth
Параметры
<DEPTH> – число байт с начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 3
Под действие правила попадут пакеты с содержимым «abcdef», «abc123», «abcabcabc» и т.д.
payload no-case
Данная команда указывает не различать прописные и заглавные буквы в описании содержимого пакетов. Команда используется только совместно с командой payload content.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
payload no-case
[no] payload content no-case
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content "virus" esr(config-ips-category-rule)# payload no-case
Под действие правила попадут пакеты с содержимым «virus», «VIRUS», «ViRuS» и т.д.
payload offset
Данная команда указывает число байт смещения от начала содержимого пакета, с которого начнется проверка. Команда используется только совместно с командой payload content. Может применяться совместно с командой payload depth.
Использование отрицательной формы команды (no) означает что будет проверяться все содержимое пакета на точное соответствие.
Синтаксис
payload offset <OFFSET>
[no] payload content offset
Параметры
<OFFSET> – число байт смещения от начала содержимого пакета, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# payload content "abc" esr(config-ips-category-rule)# payload depth 6 esr(config-ips-category-rule)# payload offset 3
Под действие правила попадут пакеты с содержимым «123abcdef», «defabc», «abcabcabc» и т. д.
protocol
Данной командой устанавливается имя IP-протокола, для которого должно срабатывать правило. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
protocol { any | ip | icmp | http | tcp | udp }
[no] protocol
Параметры
- any – правило будет срабатывать для любых протоколов;
- ip – правило сработает для протокола ip. В правиле можно настроить дополнительную фильтрацию командой ip protocol-id;
- icmp – правило сработает для протокола icmp. При выборе этого параметра значения source-port и destination-port должны быть any. В правиле можно настроить дополнительную фильтрацию командами ip icmp;
- http – правило сработает для протокола http. В правиле можно настроить дополнительную фильтрацию командами ip http;
- tсp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip tсp;
- udp – правило сработает для протокола tсp. В правиле можно настроить дополнительную фильтрацию командами ip udp;
- ftp – правило сработает для протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp;
- ftp-data – правило сработает для поля data протокола ftp. В правиле можно настроить дополнительную фильтрацию командами ip ftp-data.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# protocol udp
rule
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..512].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY
Пример
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)#
security ips-category user-defined
Данной командой создается набор пользовательских правил сервиса IPS/IDS с определенным именем и осуществляется переход в режим конфигурирования этого набора.
Использование отрицательной формы команды (no) удаляет сконфигурированную политику настроек сервиса IPS.
Синтаксис
[no] security ips-category user-defined <CATEGORY_NAME>
Параметры
<CATEGORY_NAME> – имя набора пользовательских правил сервиса IPS/IDS, задаётся строкой до 31 символов.
В текущей версии использование символа «_» (нижнее подчёркивание) в <CATEGORY_NAME> недопустимо.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security ips-category user-defined PROTOCOL esr(config-ips-category)#
source-address
Данной командой устанавливаются IP-адреса отправителей, для которых должно срабатывать правило.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
source-address {ip <ADDR> | ip-prefix <ADDR/LEN> | object-group <OBJ_GR_NAME> | policy-object-group { protect | external } | any }
no source-address
Параметры
<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ADDR/LEN> – IP-подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и LEN принимает значения [1..32];
<OBJ_GR_NAME> – имя профиля IP-адресов, который содержит IP-адреса отправителя, задаётся строкой до 31 символа;
destination-address policy-object-group protect – устанавливает в качестве адресов отправителя protect-адреса, определенные в политике IPS/IDS;
destination-address policy-object-group external – устанавливает в качестве адресов отправителя external-адреса, определенные в политике IPS/IDS.
При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# source-address ip-prefix 192.168.0.0/16
source-port
Данной командой устанавливается номер TCP/UDP-порта отправителя, для которого должно срабатывать правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
source-port { any | <PORT> | object-group <OBJ-GR-NAME> }
no source-port
Параметры
<PORT> – номер TCP/UDP-порта отправителя, принимает значения [1..65535];
<OBJ_GR_NAME> – имя профиля TCP/UDP-портов отправителя, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# source-port 22
threshold count
Данной командой устанавливается пороговое значение количества пакетов, при котором сработает правило.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold count <COUNT>
[no] threshold count
Параметры
<COUNT> – число пакетов, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold count 1024
threshold second
Данной командой устанавливается интервал времени, для которого считается пороговое значение пакетов, при котором сработает правило. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold second <SECOND>
[no] threshold second
Параметры
<SECOND> – интервал времени в секундах, принимает значение в диапазоне [1..65535].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold second 1
threshold track
Данной командой устанавливается по адресу отправителя или получателя будут считаться пакеты, для которых устанавливаются пороговые значения. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold track { by_src | by_dst }
[no] threshold track
Параметры
- by_src – считать пороговое значение для пакетов с одинаковым IP отправителя;
- by_dst – считать пороговое значение для пакетов с одинаковым IP получателя.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold track by-src
threshold type
Данной командой устанавливается метод обработки пороговых значений. Команда используется только совместно с командой threshold count.
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
threshold type { treshhold | limit | both }
[no] threshold type
Параметры
- threshold – выдавать сообщение каждый раз по достижении порога;
- limit – выдавать сообщение не чаще <COUNT> раз за интервал времени <SECOND>;
- both – комбинация threshold и limit. Сообщение будет генерироваться, если в течение интервала времени <SECOND> было <COUNT> или более пакетов, подходящих под условия правила, и сообщение будет отправлено только один раз в течении интервала времени.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE
Пример
esr(config-ips-category-rule)# threshold count 1024 esr(config-ips-category-rule)# threshold second 1 esr(config-ips-category-rule)# threshold track by-src esr(config-ips-category-rule)# threshold type treshold
Сообщение будет генерироваться на каждый Х*1025 пакет, приходящий за 1 секунду с одного IP-адреса.
Настройка расширенных пользовательских правил
rule-advanced
Данная команда используется для создания правила и перехода в режим конфигурирования CONFIG-IPS-CATEGORY-RULE-ADVANCED. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule-advanced <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..4294967295].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
esr(config-ips-category)# rule-advanced 10 esr(config-ips-category-rule-advanced)#
rule-text
Данная команда описывает правило обработки трафика в формате SNORT 2.X/Suricata 4.X.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
rule-text <LINE>
[no] rule-text
Параметры
<LINE> – текстовое сообщение в формате SNORT 2.X/Suricata 4.X, задаётся строкой до 1024 символов.
При написании правил в тексте правила необходимо использовать только двойные кавычки (символ "), а само правило необходимо заключать в одинарные кавычки (символ ').
Необходимый уровень привилегий
15
Командный режим
CONFIG-IPS-CATEGORY-RULE-ADVANCED
Пример
esr(config-ips-category-rule-advanced)# rule-text 'alert tcp any any -> $HOME_NET any (msg: "ATTACK [PTsecurity] Attempt to crash named using malformed RNDC packet"; flow: established, to_server; content:"_auth"; depth: 20; fast_pattern; content: !"|02 00 00 00|"; within: 4; content: "_ctrl"; content: "_ser"; content: "_tim"; content: "_exp"; reference: cve, 2016-1285; classtype: attempted-dos; reference: url, github.com/ptresearch/AttackDetection; metadata: Open Ptsecurity.com ruleset; sid: 10000005; rev: 3; )'